VIGTIG Du bør anvende den Windows-sikkerhedsopdatering, der blev udgivet den 9. juli 2024 eller derefter, som en del af din almindelige månedlige opdateringsproces.
Denne artikel gælder for de organisationer, der skal begynde at evaluere afhjælpninger for en offentligt tilgængelig Secure Boot-tilsidesættelse, der udnyttes af BlackLotus UEFI-bootkit. Desuden kan det være en god ide at tage en proaktiv sikkerhedsstilling eller begynde at forberede implementeringen. Bemærk, at denne malware kræver fysisk eller administrativ adgang til enheden.
FORSIGTIGHED Når afhjælpningen for dette problem er aktiveret på en enhed, hvilket betyder, at afhjælpningerne er blevet anvendt, kan den ikke gendannes, hvis du fortsætter med at bruge Sikker bootstart på den pågældende enhed. Selv omformatering af disken fjerner ikke tilbageførslerne, hvis de allerede er blevet anvendt. Vær opmærksom på alle mulige konsekvenser, og test grundigt, før du anvender de tilbageførsler, der er beskrevet i denne artikel, på din enhed.
I denne artikel
Sammendrag
I denne artikel beskrives beskyttelsen mod den offentligt tilgængelige sikkerhedsfunktion til sikker bootstart, der bruger BlackLotus UEFI-bootkit, der spores af CVE-2023-24932, hvordan du aktiverer afhjælpninger og vejledning på startmedier. En bootkit er et skadeligt program, der er udviklet til at blive indlæst så tidligt som muligt i en enheds startsekvens for at styre operativsystemets start.
Sikker bootstart anbefales af Microsoft for at oprette en sikker og pålidelig sti fra UEFI (Unified Extensible Firmware Interface) via windows-kernens pålidelige startsekvens. Sikker bootstart hjælper med at forhindre bootkitmalware i startsekvensen. Hvis du deaktiverer Sikker bootstart, risikerer du at blive inficeret med bootkitmalware. Rettelse af tilsidesættelse af sikker bootstart, der er beskrevet i CVE-2023-24932, kræver, at bootadministratorer tilbagekaldes. Dette kan medføre problemer for nogle konfigurationer af enhedsstart.
Afhjælpning af secure boot-tilsidesættelse, der er beskrevet i CVE-2023-24932 , er inkluderet i de Windows-sikkerhedsopdateringer, der blev udgivet den 9. juli 2024 eller derefter. Disse afhjælpninger er dog ikke aktiveret som standard. Med disse opdateringer anbefaler vi, at du begynder at evaluere disse ændringer i dit miljø. Den komplette tidsplan er beskrevet i afsnittet Tidsindstillinger for opdateringer .
Før du aktiverer disse afhjælpninger, skal du gennemgå oplysningerne i denne artikel grundigt og afgøre, om du skal aktivere afhjælpningen eller vente på en fremtidig opdatering fra Microsoft. Hvis du vælger at aktivere afhjælpningerne, skal du kontrollere, at dine enheder er opdateret og klar, og forstå de risici, der er beskrevet i denne artikel.
Gør noget
I denne version skal du følge følgende trin: Trin 1: Installér Den Windows-sikkerhedsopdatering, der blev udgivet den 9. juli 2024 eller derefter, på alle understøttede versioner. Trin 2: Evaluer ændringerne, og hvordan de påvirker dit miljø. Trin 3: Gennemtving ændringerne. |
Omfanget af indvirkningen
Alle Windows-enheder, hvor beskyttelse mod sikker bootstart er aktiveret, påvirkes af BlackLotus-bootkit. Afhjælpninger er tilgængelige for understøttede versioner af Windows. Du kan se hele listen under CVE-2023-24932.
Forstå risiciene
Risiko for malware: For at den BlackLotus UEFI bootkit-udnyttelse, der er beskrevet i denne artikel, skal være mulig, skal en hacker opnå administrative rettigheder på en enhed eller få fysisk adgang til enheden. Dette kan gøres ved at få adgang til enheden fysisk eller eksternt, f.eks. ved at bruge en hypervisor til at få adgang til virtuelle maskiner/skyen. En hacker vil ofte bruge denne sårbarhed til at fortsætte med at kontrollere en enhed, som de allerede kan få adgang til og muligvis manipulere. Afhjælpninger i denne artikel er forebyggende og korrigerer ikke. Hvis enheden allerede er kompromitteret, skal du kontakte sikkerhedsudbyderen for at få hjælp.
Genoprettelsesmedie: Hvis du støder på et problem med enheden efter anvendelse af afhjælpningerne, og enheden ikke kan startes, kan du muligvis ikke starte eller genoprette enheden fra eksisterende medier. Genoprettelses- eller installationsmedier skal opdateres, så de fungerer sammen med en enhed, hvor afhjælpningerne er anvendt.
Firmwareproblemer: Når Windows anvender de afhjælpninger, der er beskrevet i denne artikel, skal det være afhængigt af enhedens UEFI-firmware for at opdatere værdierne for sikker bootstart (opdateringerne anvendes på databasenøglen (DB) og den forbudte signaturnøgle (DBX)). I nogle tilfælde har vi erfaring med enheder, der ikke kan opdateres. Vi arbejder sammen med enhedsproducenter om at teste disse vigtige opdateringer på så mange enheder som muligt.
SEDDEL Test først disse afhjælpninger på en enkelt enhed pr. enhedsklasse i dit miljø for at registrere mulige firmwareproblemer. Udrul ikke bredt, før du bekræfter, at alle enhedsklasser i dit miljø er blevet evalueret.
BitLocker-genoprettelse: Nogle enheder kan gå i BitLocker-genoprettelse. Sørg for at bevare en kopi af BitLocker-genoprettelsesnøglen , før du aktiverer afhjælpningerne.
Kendte problemer
Firmwareproblemer:Ikke al enhedsfirmware kan opdatere Secure Boot DB eller DBX. I de tilfælde, vi er opmærksomme på, har vi rapporteret problemet til enhedsproducenten. Se KB5016061: Sikker bootstart DB- og DBX-variable opdateringshændelser for at få mere at vide om logførte hændelser. Kontakt enhedsproducenten for at få firmwareopdateringer. Hvis enheden ikke understøttes, anbefaler Microsoft, at du opgraderer enheden.
Kendte firmwareproblemer:
SEDDEL Følgende kendte problemer har ingen indflydelse på og forhindrer ikke installationen af opdateringerne fra d. 9. juli 2024. I de fleste tilfælde gælder afhjælpningerne ikke, hvis der findes kendte problemer. Se detaljer, der er angivet i hvert kendt problem.
-
HK: HP har identificeret et problem med installation af afhjælpning på HP Z4G4 Workstation-pc'er og frigiver en opdateret Z4G4 UEFI-firmware (BIOS) i de kommende uger. For at sikre en vellykket installation af afhjælpningen blokeres den på Desktop Workstations, indtil opdateringen er tilgængelig. Kunderne skal altid opdatere til den nyeste system-BIOS, før de anvender afhjælpningen.
-
HP-enheder med Sikker startsikkerhed: Disse enheder skal bruge de nyeste firmwareopdateringer fra HP for at installere afhjælpningerne. Afhjælpningerne blokeres, indtil firmwaren opdateres. Installér den seneste firmwareopdatering fra HP'ers supportside – Officielle HP-drivere og -softwaredownload | HP-support.
-
Arm64-baserede enheder: Afhjælpningerne er blokeret på grund af kendte problemer med UEFI-firmwaren med Qualcomm-baserede enheder. Microsoft arbejder sammen med Qualcomm for at løse dette problem. Qualcomm leverer rettelsen til enhedsproducenter. Kontakt enhedsproducenten for at finde ud af, om der findes en løsning på dette problem. Microsoft tilføjer registrering for at tillade, at afhjælpninger anvendes på enheder, når den faste firmware registreres. Hvis din Arm64-baserede enhed ikke har Qualcomm-firmware, skal du konfigurere følgende registreringsdatabasenøgle for at aktivere afhjælpningerne.
Undernøgle i registreringsdatabasen
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Navn på nøgleværdi
SkipDeviceCheck
Datatype
REG_DWORD
Data
1
-
Æble:Mac-computere, der har Apple T2-sikkerhedschippen, understøtter sikker bootstart. Opdatering af UEFI-sikkerhedsrelaterede variabler er dog kun tilgængelig som en del af macOS-opdateringer. Boot Camp-brugere forventes at se en hændelseslogpost for hændelses-id 1795 i Windows, der er relateret til disse variabler. Du kan finde flere oplysninger om denne logpost i KB5016061: Hændelser for sikker bootstart DB og variable DBX-opdateringshændelser.
-
VMware:I VMware-baserede virtualiseringsmiljøer kan en VM, der bruger en x86-baseret processor med Sikker bootstart aktiveret, ikke starte efter anvendelse af afhjælpningerne. Microsoft koordinerer med VMware for at løse dette problem.
-
TPM 2.0-baserede systemer: Disse systemer, der kører Windows Server 2012 og Windows Server 2012 R2, kan ikke installere de afhjælpninger, der blev udgivet i sikkerhedsopdatering 9. juli 2024 på grund af kendte kompatibilitetsproblemer med TPM-målinger. Sikkerhedsopdateringerne fra d. 9. juli 2024 blokerer afhjælpninger #2 (boot manager) og #3 (DBX-opdatering) på berørte systemer.tpm.msc. Nederst til højre i den midterste rude under Oplysninger om TPM-producent bør du se en værdi for Specifikationsversion.
Microsoft er opmærksom på problemet, og der frigives en opdatering i fremtiden for at fjerne blokeringen af TPM 2.0-baserede systemer. Hvis du vil kontrollere din TPM-version, skal du højreklikke på Start, klikke på Kør og derefter skrive -
Symantec-slutpunktkryptering: Afhjælpning af sikker bootstart kan ikke anvendes på systemer, der har installeret Symantec-slutpunktkryptering. Microsoft og Symantec er opmærksomme på problemet og vil blive behandlet i fremtidige opdateringer.
Retningslinjer for denne version
I denne version skal du følge disse to trin.
Trin 1: Installér Windows-sikkerhedsopdateringen CVE-2023-24932, men er ikke aktiveret som standard. Alle Windows-enheder skal udføre dette trin, uanset om du planlægger at installere afhjælpningerne eller ej.
Installér den månedlige Windows-sikkerhedsopdatering, der er udgivet den 9. juli 2024 eller derefter, på understøttede Windows-enheder. Disse opdateringer omfatter afhjælpninger forTrin 2: Evaluer ændringerne
Vi opfordrer dig til at gøre følgende:-
Forstå de første to afhjælpninger, der tillader opdatering af Secure Boot DB og opdatering af Boot Manager.
-
Gennemse den opdaterede tidsplan.
-
Begynd at teste de første to afhjælpninger mod repræsentative enheder fra dit miljø.
-
Begynd planlægning af installationen.
Trin 3: Gennemtving ændringerne
Vi opfordrer dig til at forstå de risici, der er angivet i afsnittet Om risici.
-
Forstå virkningen på genoprettelsen og andre medier, der kan startes fra.
-
Begynd at teste den tredje afhjælpning, der ikke har tillid til det signeringscertifikat, der bruges til alle tidligere Windows-startadministratorer.
Retningslinjer for udrulning af afhjælpning
Før du følger disse trin for at anvende afhjælpningerne, skal du installere den månedlige Windows-serviceopdatering, der er udgivet den 9. juli 2024 eller derefter, på understøttede Windows-enheder. Denne opdatering indeholder afhjælpninger for CVE-2023-24932, men de er ikke aktiveret som standard. Alle Windows-enheder skal udføre dette trin, uanset din plan for at aktivere afhjælpningerne.
SEDDEL Hvis du bruger BitLocker, skal du kontrollere, at BitLocker-genoprettelsesnøglen er blevet sikkerhedskopieret. Du kan køre følgende kommando fra en administratorkommandoprompt og notere den 48-cifrede numeriske adgangskode:
manage-bde -protectors -get %systemdrive%
Hvis du vil installere opdateringen og anvende tilbageførslerne, skal du følge disse trin:
-
Installér de opdaterede certifikatdefinitioner til DB.
Dette trin føjer certifikatet "Windows UEFI CA 2023" til UEFI "Secure Boot Signature Database" (DB). Ved at føje dette certifikat til DB har enhedens firmware tillid til startprogrammer, der er signeret af dette certifikat.
-
Åbn en administratorkommandoprompt, og angiv registreringsdatabasenøglen for at udføre opdateringen til DB ved at angive følgende kommando:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
VIGTIG Sørg for at genstarte enheden to gange for at fuldføre installationen af opdateringen, før du fortsætter til trin 2 og 3.
-
Kør følgende PowerShell-kommando som administrator, og kontrollér, at DB'en er blevet opdateret. Denne kommando bør returnere Sand.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Opdater Boot Manager på din enhed.
Dette trin vil installere et boot manager-program på din enhed, som er signeret med certifikatet "'Windows UEFI CA 2023".
-
Åbn en administratorkommandoprompt, og angiv registreringsdatabasenøglen for at installere den "'Windows UEFI CA 2023"-signerede boot manager:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Genstart enheden to gange.
-
Som administrator skal du tilslutte EFI-partitionen for at gøre den klar til inspektion:
mountvol s: /s
-
Valider, at filen "s:\efi\microsoft\boot\bootmgfw.efi" er signeret af certifikatet "Windows UEFI CA 2023". Det kan du gøre, ved at følge disse trin:
-
Klik på Start, skriv kommandoprompt i feltet Søg , og klik derefter på Kommandoprompt.
-
Skriv følgende kommando i kommandolinjen , og tryk derefter på Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Højreklik på filen C:\bootmgfw_2023.efi i Filstyring, klik på Egenskaber, og vælg derefter fanen Digitale signaturer .
-
På listen Signatur skal du bekræfte, at certifikatkæden indeholder Windows UEFI CA 2023. Certifikatkæden skal svare til følgende skærmbillede:
-
-
-
Aktivér tilbagekaldelsen.
Den forbudte UEFI-liste (DBX) bruges til at blokere UEFI-moduler, der ikke er tillid til, i at blive indlæst. I dette trin tilføjer opdatering af DBX certifikatet "Windows Production CA 2011" til DBX. Dette medfører, at der ikke længere er tillid til alle bootadministratorer, der er signeret af dette certifikat.
ADVARSEL: Før du anvender den tredje afhjælpning, skal du oprette et flashdrev til genoprettelse, der kan bruges til at starte systemet. Du kan få mere at vide om, hvordan du gør dette, i afsnittet Opdatering af Windows-installationsmedier.
Hvis systemet kommer i en tilstand, der ikke kan startes fra, skal du følge trinnene i afsnittet Genoprettelsesprocedure for at nulstille enheden til en tilstand, hvor enheden er tilbagekaldt.
-
Føj certifikatet "Windows Production PCA 2011" til dbx (Secure Boot UEFI Forbidden List). Det gør du ved at åbne en kommandoprompt som administrator, skrive følgende kommando og derefter trykke på Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Genstart enheden to gange , og bekræft, at den er genstartet helt.
-
Kontrollér, at installationen og listen over tilbagekaldte blev anvendt korrekt, ved at søge efter hændelse 1037 i hændelsesloggen.i KB5016061: Opdateringshændelser for sikker bootstart DB og variable DBX-hændelser. Eller kør følgende PowerShell-kommando som administrator, og sørg for, at den returnerer Sand:
Du kan finde oplysninger om hændelse 1037[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
-
Anvend SVN-opdateringen på firmwaren.
Boot Manager, der er installeret i trin 2, har en ny indbygget funktion til tilbagekald. Når Boot Manager starter med at køre, udføres en selvkontrol ved at sammenligne det sikre versionsnummer (SVN), der er gemt i firmwaren, med det SVN, der er indbygget i Boot Manager. Hvis Boot Manager SVN er lavere end det SVN, der er gemt i firmwaren, nægter Boot Manager at køre. Denne funktion forhindrer en hacker i at annullere Boot Manager til en ældre, ikke-opdateret version. I fremtidige opdateringer, når et større sikkerhedsproblem er rettet i Boot Manager, vil SVN-nummeret blive forøget i både Boot Manager og opdateringen til firmwaren. Begge opdateringer frigives i den samme samlede opdatering for at sikre, at reparerede enheder er beskyttet. Hver gang SVN opdateres, skal alle startmedier opdateres. Fra og med opdateringerne d. 9. juli 2024 øges SVN i Boot Manager og opdateringen til firmwaren. Firmwareopdateringen er valgfri og kan anvendes ved at følge disse trin:-
Åbn en administratorkommandoprompt, og kør følgende kommando for at installere den "'Windows UEFI CA 2023"-signerede startstyring:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Genstart enheden to gange.
-
Medie, der kan startes fra
Det er vigtigt at opdatere startmedier, når installationsfasen starter i dit miljø.
Vejledning til opdatering af startmedier kommer med fremtidige opdateringer til denne artikel. Se næste afsnit for at oprette et USB-usb-usb-drev til genoprettelse af en enhed.
Opdatering af Windows-installationsmedier
SEDDEL Når du opretter et USB-usb-drev, der kan startes fra, skal du sørge for at formatere drevet ved hjælp af FAT32-filsystemet.
Du kan bruge programmet Create Recovery Drive ved at følge disse trin. Dette medie kan bruges til at geninstallere en enhed, hvis der er et større problem, f.eks. en hardwarefejl, du vil kunne bruge genoprettelsesdrevet til at geninstallere Windows.
-
Gå til en enhed, hvor 9. juli 2024-opdateringerne og det første afhjælpningstrin (opdatering af Secure Boot DB) er blevet anvendt.
-
I menuen Start skal du søge efter appletten "Create a Recovery Drive" i kontrolpanelet og følge vejledningen for at oprette et genoprettelsesdrev.
-
Med det nyoprettede flashdrev tilsluttet (f.eks. som drev "D:"), skal du køre følgende kommandoer som administrator. Skriv hver af følgende kommandoer, og tryk derefter på Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Hvis du administrerer installerbare medier i dit miljø ved hjælp af Update Windows-installationsmediet med vejledning til Dynamisk opdatering , skal du følge disse trin. Disse yderligere trin opretter et flashdrev, der kan startes fra, og som bruger startfiler, der er signeret af signeringscertifikatet "Windows UEFI CA 2023".
-
Gå til en enhed, hvor opdateringen fra 9. juli 2024 og det første afhjælpningstrin (opdatering af Secure Boot DB) er blevet anvendt.
-
Følg trinnene i linket nedenfor for at oprette medier med opdateringerne d. 9. juli 2024. Opdater Windows-installationsmedier med Dynamisk opdatering
-
Placer indholdet af mediet på et USB-usb-drev, og tilslut usb-drevet som et drevbogstav. Du kan f.eks. tilslutte usb-drevet som "D:".
-
Kør følgende kommandoer fra et kommandovindue som administrator. Skriv hver af følgende kommandoer, og tryk derefter på Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Hvis en enhed har nulstillet indstillingerne for sikker bootstart til standardindstillingerne efter anvendelse af afhjælpningerne, starter enheden ikke. For at løse dette problem er et reparationsprogram inkluderet i opdateringerne fra d. 9. juli 2024, der kan bruges til at genanvende certifikatet "Windows UEFI CA 2023" på DB (mitigation #1).
SEDDEL Brug ikke dette reparationsprogram på en enhed eller et system, der er beskrevet i afsnittet Kendte problemer .
-
Gå til en enhed, hvor opdateringerne fra 9. juli 2024 er blevet anvendt.
-
Kopiér genoprettelsesappen til flashdrevet i et kommandovindue ved hjælp af følgende kommandoer (hvis flashdrevet er drevet "D:"). Skriv hver kommando separat, og tryk derefter på Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
På den enhed, hvor indstillingerne for sikker bootstart er nulstillet til standardindstillingerne, skal du indsætte flashdrevet, genstarte enheden og starte fra flashdrevet.
Tidsindstilling for opdateringer
Opdateringer frigives på følgende måde:
-
Indledende installation Denne fase startede med opdateringer, der blev udgivet d. 9. maj 2023, og gav grundlæggende afhjælpninger med manuelle trin til at aktivere disse afhjælpninger.
-
Anden installation Denne fase startede med opdateringer, der blev udgivet d. 11. juli 2023, og som tilføjede forenklede trin for at aktivere afhjælpning af problemet.
-
Evalueringsfase Denne fase starter den 9. april 2024 og tilføjer yderligere afhjælpninger af bootstyring.
-
Installationsfase Det er på dette tidspunkt, at vi opfordrer alle kunder til at begynde at udrulle afhjælpninger og opdatere medier.
-
Håndhævelsesfase Håndhævelsesfasen, der gør afhjælpningerne permanente. Datoen for denne fase meddeles på et senere tidspunkt.
Bemærk! Udgivelsesplanen kan revideres efter behov.
Denne fase er blevet erstattet af udgivelsen af Windows-sikkerhedsopdateringer den 9. april 2024 eller derefter.
Denne fase er blevet erstattet af udgivelsen af Windows-sikkerhedsopdateringer den 9. april 2024 eller derefter.
Med denne fase beder vi dig teste disse ændringer i dit miljø for at sikre, at ændringerne fungerer korrekt med repræsentative eksempelenheder og for at få erfaring med ændringerne.
SEDDEL I stedet for at forsøge at få en udtømmende liste over og ikke have tillid til sårbare bootstartadministratorer, som vi gjorde i de tidligere installationsfaser, føjer vi signeringscertifikatet "Windows Production PCA 2011" til dbx-listen (Secure Boot Disallow List) for at fjerne tillid til alle startadministratorer, der er signeret med dette certifikat. Dette er en mere pålidelig metode til at sikre, at alle tidligere bootadministratorer ikke er tillid til.
Opdateringer til Windows, der er udgivet den 9. april 2024 eller derefter, skal du tilføje følgende:
-
Tre nye afhjælpningskontrolelementer, der erstatter de afhjælpninger, der blev udgivet i 2023. De nye afhjælpningskontrolelementer er:
-
Et kontrolelement til installation af certifikatet "Windows UEFI CA 2023" til Secure Boot DB for at tilføje tillid til Windows-startadministratorer, der er signeret af dette certifikat. Bemærk, at certifikatet "Windows UEFI CA 2023" muligvis er installeret af en tidligere Windows-opdatering.
-
Et kontrolelement til installation af en boot manager, der er signeret af certifikatet "Windows UEFI CA 2023".
-
Et kontrolelement, der føjer "Windows Production PCA 2011" til Secure Boot DBX, som blokerer alle Windows-startadministratorer, der er signeret af dette certifikat.
-
-
Muligheden for at aktivere udrulning af afhjælpning i faser enkeltvis for at give mere kontrol med udrulning af afhjælpninger i dit miljø baseret på dine behov.
-
Afhjælpningerne er indbyrdes forbundne, så de ikke kan installeres i den forkerte rækkefølge.
-
Yderligere hændelser for at kende status for enheder, når de anvender afhjælpningerne. Se KB5016061: Sikker bootstart DB- og DBX-variable opdateringshændelser for at få flere oplysninger om hændelserne.
I denne fase opfordrer vi kunderne til at begynde at implementere afhjælpningerne og administrere eventuelle medieopdateringer. Opdateringerne indeholder følgende ændring:
-
Tilføjet understøttelse af SIKKERT versionsnummer (SVN) og indstilling af det opdaterede SVN i firmwaren.
Følgende er en oversigt over de trin, du skal udføre i en virksomhed.
Bemærk! Yderligere vejledning til at komme med senere opdateringer til denne artikel.
-
Installer den første afhjælpning på alle enheder i Virksomheden eller en administreret gruppe af enheder i Enterprise. Det omfatter:
-
Tilmelding til den første afhjælpning, der føjer signeringscertifikatet "Windows UEFI CA 2023" til enhedens firmware.
-
Overvågning af, at enheder har tilføjet signeringscertifikatet "Windows UEFI CA 2023".
-
-
Installér den anden afhjælpning, der anvender den opdaterede startstyring på enheden.
-
Opdater eventuelle genoprettelsesmedier eller eksterne startmedier, der bruges sammen med disse enheder.
-
Installér den tredje afhjælpning, der aktiverer tilbagekaldelsen af certifikatet "Windows Production CA 2011" ved at føje det til DBX i firmwaren.
-
Installér den fjerde afhjælpning, der opdaterer DET sikre versionsnummer (SVN) til firmwaren.
Håndhævelsesfasen vil være mindst seks måneder efter udrulningsfasen. Når der frigives opdateringer til håndhævelsesfasen, omfatter de følgende:
-
Certifikatet "Windows Production PCA 2011" tilbagekaldes automatisk ved at blive føjet til sikker bootstart på DBX (Secure Boot UEFI Forbidden List) på kompatible enheder. Disse opdateringer gennemtvinges programmeringsmæssigt efter installation af opdateringer til Windows på alle berørte systemer uden mulighed for at blive deaktiveret.
Windows-hændelseslogfejl relateret til CVE-2023-24932
De Poster i Windows-hændelsesloggen, der er relateret til opdatering af DB og DBX, beskrives detaljeret i KB5016061: Hændelser for sikker bootstart DB og dbx-variable opdateringshændelser.
De "vellykkede" hændelser, der er relateret til anvendelse af afhjælpningerne, er angivet i følgende tabel.
Afhjælpningstrin |
Hændelses-id |
Bemærkninger |
Anvendelse af DB-opdateringen |
1036 |
Det PCA2023 certifikat blev føjet til DB'en. |
Opdatering af Boot Manager |
1799 |
Den PCA2023 signerede boot manager blev anvendt. |
Anvendelse af DBX-opdateringen |
1037 |
DBX-opdateringen, der ikke har tillid til det PCA2011 signeringscertifikat, blev anvendt. |
Ofte stillede spørgsmål (ofte stillede spørgsmål)
-
Se afsnittet Genoprettelsesprocedure for at genoprette enheden.
-
Følg vejledningen i afsnittet Fejlfinding af startproblemer .
Opdater alle Windows-operativsystemer med opdateringer, der er udgivet den 9. juli 2024 eller derefter, før du anvender tilbageførslerne. Du kan muligvis ikke starte nogen version af Windows, der ikke er blevet opdateret til mindst de opdateringer, der er udgivet d. 9. juli 2024, efter du har anvendt tilbageførslerne. Følg vejledningen i afsnittet Fejlfinding af startproblemer .
Se afsnittet Fejlfinding af startproblemer .
Fejlfinding af startproblemer
Når alle tre afhjælpninger er blevet anvendt, starter enhedens firmware ikke ved hjælp af en boot manager, der er signeret af Windows Production PCA 2011. De startfejl, der rapporteres af firmware, er enhedsspecifikke. Se afsnittet Genoprettelsesprocedure .
Genoprettelsesprocedure
Hvis noget går galt under anvendelse af afhjælpningerne, og du ikke kan starte enheden, eller du har brug for at starte fra eksterne medier (f.eks. et usb-drev eller en PXE-start), kan du prøve følgende forslag:
-
Slå Sikker bootstart fra.Deaktivere sikker bootstart.
Denne fremgangsmåde er forskellig fra enhedsproducent til model. Angiv UEFI BIOS-menuen på dine enheder, og gå til indstillingerne for sikker bootstart, og slå den fra. Se dokumentationen fra enhedsproducenten for at få mere at vide om denne proces. Du kan finde flere oplysninger i -
Nulstil nøgler til sikker bootstart til fabriksindstillingerne.
Hvis enheden understøtter nulstilling af nøglerne til sikker bootstart til fabriksindstillingerne, skal du udføre denne handling nu.
SEDDEL Nogle enhedsproducenter har både indstillingen "Ryd" og "Nulstil" for variabler for sikker bootstart. I så fald skal "Nulstil" bruges. Målet er at sætte variablerne for sikker bootstart tilbage til producenternes standardværdier.
Din enhed bør starte nu, men bemærk, at den er sårbar over for boot-kit-malware. Sørg for at fuldføre trin 5 i denne genoprettelsesproces for at genaktivere sikker bootstart.
-
Prøv at starte Windows fra systemdisken.
-
Log på Windows.
-
Kør følgende kommandoer fra en administratorkommandoprompt for at gendanne startfilerne i EFI-systemstartpartitionen. Skriv hver kommando separat, og tryk derefter på Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Hvis du kører BCDBoot, returneres "Startfiler blev oprettet". Når denne meddelelse vises, skal du genstarte enheden tilbage til Windows.
-
-
Hvis trin 3 ikke genopretter enheden, skal du geninstallere Windows.
-
Start enheden fra eksisterende genoprettelsesmedier.
-
Fortsæt med at installere Windows ved hjælp af genoprettelsesmediet.
-
Log på Windows.
-
Genstart Windows for at bekræfte, at enheden starter tilbage til Windows.
-
-
Genaktiver sikker bootstart, og genstart enheden.
Gå til enhedens UEFI-menu, og gå til indstillingerne for sikker bootstart, og slå den til. Se dokumentationen fra enhedsproducenten for at få mere at vide om denne proces. Du kan finde flere oplysninger i afsnittet "Genaktiver sikker bootstart".
Referencer
-
Vejledning til undersøgelse af angreb ved hjælp af CVE-2022-21894: BlackLotus-kampagnen
-
For hændelser, der genereres ved anvendelse af DBX-opdateringer, skal du se KB5016061: Håndtering af sårbare og tilbagekaldte bootadministratorer.
De tredjepartsprodukter, der beskrives i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Vi giver ingen garanti, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter.
Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.
Ændringsdato |
Beskrivelse af ændring |
9. juli 2024 |
|
9. april 2024 |
|
16. december 2023 |
|
15. maj 2023 |
|
11. maj 2023 |
|
10. maj 2023 |
|
9. maj 2023 |
|
27. juni 2023 |
|
11. juli 2023 |
|
25. august 2023 |
|