Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

ΣΗΜΑΝΤΙΚΌΣ Θα πρέπει να εφαρμόσετε την ενημέρωση ασφαλείας των Windows που κυκλοφόρησε στις ή μετά τις 9 Ιουλίου 2024, στο πλαίσιο της τακτικής διαδικασίας μηνιαίας ενημέρωσης.

Αυτό το άρθρο ισχύει για τους οργανισμούς που θα πρέπει να αρχίσουν να αξιολογούν μετριασμούς για μια παράκαμψη Ασφαλούς εκκίνησης που γνωστοποιείται δημόσια και αξιοποιείται από το BlackLotus UEFI bootkit. Επιπλέον, μπορεί να θέλετε να πάρετε μια προληπτική στάση ασφαλείας ή να αρχίσετε να προετοιμάζεστε για την κυκλοφορία. Λάβετε υπόψη ότι αυτό το λογισμικό κακόβουλης λειτουργίας απαιτεί φυσική ή διαχειριστική πρόσβαση στη συσκευή.

ΠΡΟΣΟΧΉ Μετά την ενεργοποίηση του μετριασμού για αυτό το πρόβλημα σε μια συσκευή, που σημαίνει ότι έχουν εφαρμοστεί οι μετριασμούς, δεν είναι δυνατή η επαναφορά του, αν συνεχίσετε να χρησιμοποιείτε την Ασφαλή εκκίνηση σε αυτήν τη συσκευή. Ακόμα και η εκ νέου διαμόρφωση του δίσκου δεν θα καταργήσει τις ανακλήσεις, εάν έχουν ήδη εφαρμοστεί. Λάβετε υπόψη όλες τις πιθανές επιπτώσεις και ελέγξτε διεξοδικά προτού εφαρμόσετε τις ανακλήσεις που περιγράφονται σε αυτό το άρθρο στη συσκευή σας.

Σε αυτό το άρθρο

Σύνοψη

Αυτό το άρθρο περιγράφει την προστασία από την παράκαμψη δυνατοτήτων ασφαλείας Ασφαλούς εκκίνησης που γνωστοποιείται δημόσια και χρησιμοποιεί το bootkit BlackLotus UEFI που παρακολουθείται από το CVE-2023-24932, τον τρόπο ενεργοποίησης των μετριασμάτων και τις οδηγίες για μέσα με δυνατότητα εκκίνησης. Το bootkit είναι ένα κακόβουλο πρόγραμμα που έχει σχεδιαστεί για φόρτωση όσο το δυνατόν νωρίτερα σε μια ακολουθία εκκίνησης συσκευών για τον έλεγχο της εκκίνησης του λειτουργικού συστήματος.

Η Ασφαλής εκκίνηση συνιστάται από τη Microsoft να κάνει μια ασφαλή και αξιόπιστη διαδρομή από την Ενοποιημένη επεκτάσιμη διασύνδεση υλικολογισμικού (UEFI) μέσω της ακολουθίας Αξιόπιστης εκκίνησης πυρήνα των Windows. Η Ασφαλής εκκίνηση βοηθά στην αποτροπή λογισμικού κακόβουλης λειτουργίας bootkit στη σειρά εκκίνησης. Η απενεργοποίηση της Ασφαλούς εκκίνησης θέτει μια συσκευή σε κίνδυνο να μολυνθεί από λογισμικό κακόβουλης λειτουργίας bootkit. Η επιδιόρθωση της παράκαμψης Ασφαλούς εκκίνησης που περιγράφεται στο CVE-2023-24932 απαιτεί την ανάκληση των διαχειριστών εκκίνησης. Αυτό θα μπορούσε να προκαλέσει προβλήματα για ορισμένες ρυθμίσεις παραμέτρων εκκίνησης συσκευών.

Οι μετριασμούς κατά της παράκαμψης Ασφαλούς εκκίνησης που περιγράφονται λεπτομερώς στο CVE-2023-24932 περιλαμβάνονται στις ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Ιουλίου 2024. Ωστόσο, αυτοί οι μετριασμούς δεν είναι ενεργοποιημένος από προεπιλογή. Με αυτές τις ενημερώσεις, συνιστάται να ξεκινήσετε την αξιολόγηση αυτών των αλλαγών στο περιβάλλον σας. Το πλήρες χρονοδιάγραμμα περιγράφεται στην ενότητα Χρονισμός ενημερώσεων .

Πριν ενεργοποιήσετε αυτούς τους μετριασμούς, θα πρέπει να εξετάσετε διεξοδικά τις λεπτομέρειες σε αυτό το άρθρο και να προσδιορίσετε αν πρέπει να ενεργοποιήσετε τους μετριασμούς ή να περιμένετε μια μελλοντική ενημέρωση από τη Microsoft. Εάν επιλέξετε να ενεργοποιήσετε τους μετριασμούς, πρέπει να επαληθεύσετε ότι οι συσκευές σας είναι ενημερωμένες και έτοιμες, καθώς και να κατανοήσετε τους κινδύνους που περιγράφονται σε αυτό το άρθρο. 

Ανάληψη δράσης 

Για αυτήν την έκδοση, θα πρέπει να ακολουθήσετε τα παρακάτω βήματα:

Βήμα 1: Εγκαταστήστε την ενημέρωση ασφαλείας των Windows που κυκλοφόρησε στις ή μετά τις 9 Ιουλίου 2024, σε όλες τις υποστηριζόμενες εκδόσεις.

Βήμα 2: Αξιολογήστε τις αλλαγές και τον τρόπο με τον οποίο επηρεάζουν το περιβάλλον σας.

Βήμα 3: Επιβολή των αλλαγών.

Πεδίο εφαρμογής επιπτώσεων

Όλες οι συσκευές Windows με ενεργοποιημένη την προστασία ασφαλούς εκκίνησης επηρεάζονται από το BlackLotus bootkit. Διατίθενται μετριασμούς για τις υποστηριζόμενες εκδόσεις των Windows. Για την πλήρη λίστα, ανατρέξτε στο CVE-2023-24932.

Κατανόηση των κινδύνων

Κίνδυνος λογισμικού κακόβουλης λειτουργίας: Για να είναι δυνατή η εκμετάλλευση εκμετάλλευσης blackLotus UEFI bootkit που περιγράφεται σε αυτό το άρθρο, ένας εισβολέας πρέπει να αποκτήσει δικαιώματα διαχείρισης σε μια συσκευή ή να αποκτήσει φυσική πρόσβαση στη συσκευή. Αυτό μπορεί να γίνει με πρόσβαση στη συσκευή φυσικά ή απομακρυσμένα, όπως χρησιμοποιώντας έναν υπερεπόπτη για πρόσβαση σε εικονικές συσκευές/cloud. Ένας εισβολέας συνήθως χρησιμοποιεί αυτή την ευπάθεια για να συνεχίσει να ελέγχει μια συσκευή στην οποία μπορεί ήδη να έχει πρόσβαση και ενδεχομένως να χειρίζεται. Οι μετριασμούς σε αυτό το άρθρο είναι προληπτικοί και όχι διορθωτικοί. Αν η συσκευή σας έχει ήδη παραβιαστεί, επικοινωνήστε με τον πάροχο ασφάλειας για βοήθεια.

Μέσα αποκατάστασης: Αν αντιμετωπίσετε πρόβλημα με τη συσκευή μετά την εφαρμογή των μετριασμών και η συσκευή γίνει μη εκκίνηση, ενδέχεται να μην μπορείτε να εκκινήσετε ή να ανακτήσετε τη συσκευή σας από υπάρχον μέσο. Η αποκατάσταση ή η εγκατάσταση μέσου θα πρέπει να ενημερωθεί, ώστε να λειτουργεί με μια συσκευή στην οποία εφαρμόζονται οι μετριασμούς.

Προβλήματα υλικολογισμικού: Όταν τα Windows εφαρμόζουν τους μετριασμούς που περιγράφονται σε αυτό το άρθρο, πρέπει να βασίζονται στο υλικολογισμικό UEFI της συσκευής για την ενημέρωση των τιμών ασφαλούς εκκίνησης (οι ενημερώσεις εφαρμόζονται στο κλειδί βάσης δεδομένων (DB) και το κλειδί απαγορευμένης υπογραφής (DBX)). Σε ορισμένες περιπτώσεις, έχουμε εμπειρία με συσκευές που αποτυγχάνουν στις ενημερώσεις. Συνεργαζόμαστε με κατασκευαστές συσκευών, για να δοκιμάσουμε αυτές τις βασικές ενημερώσεις σε όσο το δυνατόν περισσότερες συσκευές.

ΣΗΜΕΊΩΣΗ Δοκιμάστε πρώτα αυτούς τους μετριασμούς σε μία μόνο συσκευή ανά κλάση συσκευής στο περιβάλλον σας, για να εντοπίσετε πιθανά προβλήματα υλικολογισμικού. Μην αναπτύσσετε ευρέως προτού επιβεβαιώσετε ότι αξιολογήθηκαν όλες οι κατηγορίες συσκευών στο περιβάλλον σας.

Αποκατάσταση BitLocker: Ορισμένες συσκευές ενδέχεται να μεταβούν σε αποκατάσταση BitLocker. Φροντίστε να διατηρήσετε ένα αντίγραφο του κλειδιού αποκατάστασης BitLocker προτού ενεργοποιήσετε τους μετριασμούς.

Γνωστά προβλήματα

Προβλήματα υλικολογισμικού:Το υλικολογισμικό της συσκευής δεν θα ενημερώσει με επιτυχία το Secure Boot DB ή το DBX. Στις περιπτώσεις που γνωρίζουμε, έχουμε αναφέρει το πρόβλημα στον κατασκευαστή της συσκευής. Ανατρέξτε στο θέμα KB5016061: Συμβάντα μεταβλητής ενημέρωσης Ασφαλούς εκκίνησης DB και DBX για λεπτομέρειες σχετικά με τα καταγεγραμμένα συμβάντα. Επικοινωνήστε με τον κατασκευαστή της συσκευής για ενημερώσεις υλικολογισμικού. Αν η συσκευή δεν υποστηρίζεται, η Microsoft συνιστά την αναβάθμιση της συσκευής.

Γνωστά προβλήματα υλικολογισμικού:

ΣΗΜΕΊΩΣΗ Τα ακόλουθα γνωστά ζητήματα δεν επηρεάζουν και δεν θα εμποδίσουν την εγκατάσταση των ενημερώσεων της 9ης Ιουλίου 2024. Στις περισσότερες περιπτώσεις, οι μετριασμούς δεν θα ισχύουν όταν υπάρχουν γνωστά ζητήματα. Δείτε λεπτομέρειες που εμφανίζονται σε κάθε γνωστό πρόβλημα.

  • HP: Η HP εντόπισε ένα πρόβλημα με την εγκατάσταση μετριασμού σε υπολογιστές HP Z4G4 Workstation και θα κυκλοφορήσει ένα ενημερωμένο υλικολογισμικό Z4G4 UEFI (BIOS) τις επόμενες εβδομάδες. Για να διασφαλιστεί η επιτυχής εγκατάσταση του μετριασμού, θα αποκλειστεί σε σταθμούς εργασίας desktop μέχρι να γίνει διαθέσιμη η ενημέρωση. Οι πελάτες θα πρέπει πάντα να κάνουν ενημέρωση στο πιο πρόσφατο BIOS συστήματος πριν να εφαρμόσουν τον μετριασμό.

  • Συσκευές HP με ασφάλεια Sure Start: Αυτές οι συσκευές χρειάζονται τις πιο πρόσφατες ενημερώσεις υλικολογισμικού από την HP για την εγκατάσταση των μετριασμών. Οι μετριασμούς αποκλείονται μέχρι να ενημερωθεί το υλικολογισμικό. Εγκαταστήστε την πιο πρόσφατη ενημέρωση υλικολογισμικού από τη σελίδα υποστήριξης των HP — Επίσημη λήψη προγραμμάτων οδήγησης και λογισμικού HP | Υποστήριξη της HP.

  • Συσκευές που βασίζονται σε Arm64: Οι μετριασμούς αποκλείονται λόγω γνωστών προβλημάτων υλικολογισμικού UEFI με συσκευές που βασίζονται στην Qualcomm. Η Microsoft συνεργάζεται με την Qualcomm για την αντιμετώπιση αυτού του προβλήματος. Η Qualcomm θα παρέχει την επιδιόρθωση στους κατασκευαστές συσκευών. Επικοινωνήστε με τον κατασκευαστή της συσκευής σας, για να προσδιορίσετε αν υπάρχει διαθέσιμη κάποια επιδιόρθωση για αυτό το πρόβλημα. Η Microsoft θα προσθέσει εντοπισμό για να επιτρέψει την εφαρμογή των μετριασμών σε συσκευές, όταν εντοπιστεί το σταθερό υλικολογισμικό. Αν η συσκευή σας που βασίζεται σε Arm64 δεν διαθέτει υλικολογισμικό Qualcomm, ρυθμίστε τις παραμέτρους του παρακάτω κλειδιού μητρώου για να ενεργοποιήσετε τους μετριασμούς.

    Δευτερεύον κλειδί μητρώου

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Όνομα τιμής κλειδιού

    SkipDeviceCheck

    Τύπος δεδομένων

    REG_DWORD

    Δεδομένα

    1

  • Μήλο:Υπολογιστές Mac με chip ασφαλείας Apple T2 υποστηρίζουν ασφαλή εκκίνηση. Ωστόσο, η ενημέρωση των μεταβλητών που σχετίζονται με την ασφάλεια UEFI είναι διαθέσιμη μόνο ως μέρος των ενημερώσεων του macOS. Οι χρήστες του Boot Camp αναμένεται να δουν μια καταχώρηση αρχείου καταγραφής συμβάντων του Αναγνωριστικού συμβάντος 1795 στα Windows που σχετίζεται με αυτές τις μεταβλητές. Για περισσότερες πληροφορίες σχετικά με αυτή την καταχώρηση αρχείου καταγραφής, ανατρέξτε στο θέμα KB5016061: Ασφαλής εκκίνηση DB και συμβάντα μεταβλητής ενημέρωσης DBX.

  • VMware:Σε περιβάλλοντα αναπαράστασης που βασίζονται σε VMware, μια εικονική μηχανή που χρησιμοποιεί επεξεργαστή x86 με ενεργοποιημένη την Ασφαλή εκκίνηση δεν εκκινείται μετά την εφαρμογή των μετριασμών. Η Microsoft συνεργάζεται με την VMware για την αντιμετώπιση αυτού του προβλήματος.

  • Συστήματα που βασίζονται σε TPM 2.0:  Αυτά τα συστήματα που εκτελούν τον Windows Server 2012 και τον Windows Server 2012 R2 δεν μπορούν να αναπτύξουν τους μετριασμούς που κυκλοφόρησαν στην ενημέρωση ασφαλείας της 9ης Ιουλίου 2024 λόγω γνωστών ζητημάτων συμβατότητας με μετρήσεις TPM. Οι ενημερώσεις ασφαλείας της 9ης Ιουλίου 2024 θα αποκλείσουν τους μετριασμούς #2 (διαχείριση εκκίνησης) και #3 (ενημέρωση DBX) στα επηρεαζόμενα συστήματα.Η Microsoft γνωρίζει το πρόβλημα και στο μέλλον θα κυκλοφορήσει μια ενημέρωση για την άρση αποκλεισμού των συστημάτων που βασίζονται στην TPM 2.0.Για να ελέγξετε την έκδοση TPM, κάντε δεξί κλικ στην Έναρξη, κάντε κλικ στην επιλογή Εκτέλεση και, στη συνέχεια, πληκτρολογήστε tpm.msc. Στην κάτω δεξιά γωνία του κεντρικού παραθύρου στην περιοχή Πληροφορίες κατασκευαστή TPM, θα πρέπει να δείτε μια τιμή για την Έκδοση προδιαγραφής.

  • Κρυπτογράφηση τελικού σημείου Symantec: Οι μετριασμούς ασφαλούς εκκίνησης δεν μπορούν να εφαρμοστούν σε συστήματα που έχουν εγκαταστήσει την κρυπτογράφηση τελικού σημείου Symantec. Η Microsoft και η Symantec γνωρίζουν το πρόβλημα και θα αντιμετωπιστούν σε μελλοντική ενημέρωση.

Οδηγίες για αυτήν την έκδοση

Για αυτήν την έκδοση, ακολουθήστε αυτά τα δύο βήματα.

Βήμα 1: Εγκατάσταση της ενημέρωσης ασφαλείας των Windows Εγκαταστήστε τη μηνιαία ενημέρωση ασφαλείας των Windows που κυκλοφόρησε στις ή μετά τις 9 Ιουλίου 2024, σε υποστηριζόμενες συσκευές Windows. Αυτές οι ενημερώσεις περιλαμβάνουν μετριασμούς για το CVE-2023-24932, αλλά δεν είναι ενεργοποιημένα από προεπιλογή. Όλες οι συσκευές Windows θα πρέπει να ολοκληρώσουν αυτό το βήμα είτε σκοπεύετε να αναπτύξετε τους μετριασμούς είτε όχι.

Βήμα 2: Αξιολόγηση των αλλαγών Σας ενθαρρύνουμε να κάνετε τα εξής:

  • Κατανοήστε τους δύο πρώτους μετριασμούς που επιτρέπουν την ενημέρωση του Secure Boot DB και την ενημέρωση του προγράμματος διαχείρισης εκκίνησης.

  • Ελέγξτε το ενημερωμένο χρονοδιάγραμμα.

  • Ξεκινήστε τη δοκιμή των δύο πρώτων μετριασμάτων σε αντιπροσωπευτικές συσκευές από το περιβάλλον σας.

  • Ξεκινήστε το σχεδιασμό για την ανάπτυξη.

Βήμα 3: Επιβολή των αλλαγών

Σας ενθαρρύνουμε να κατανοήσετε τους κινδύνους που αναφέρονται στην ενότητα Κατανόηση των κινδύνων.

  • Κατανοήστε τις επιπτώσεις στην αποκατάσταση και άλλα μέσα με δυνατότητα εκκίνησης.

  • Ξεκινήστε τη δοκιμή του τρίτου μετριασμού που δεν εμπιστεύεται το πιστοποιητικό υπογραφής που χρησιμοποιείται για όλους τους προηγούμενους διαχειριστές εκκίνησης των Windows.

Οδηγίες ανάπτυξης μετριασμού

Πριν ακολουθήσετε αυτά τα βήματα για την εφαρμογή των μετριασμών, εγκαταστήστε τη μηνιαία ενημέρωση συντήρησης των Windows που κυκλοφόρησε στις ή μετά τις 9 Ιουλίου 2024 σε υποστηριζόμενες συσκευές Windows. Αυτή η ενημέρωση περιλαμβάνει μετριασμούς για το CVE-2023-24932, αλλά δεν είναι ενεργοποιημένα από προεπιλογή. Όλες οι συσκευές Windows θα πρέπει να ολοκληρώσουν αυτό το βήμα ανεξάρτητα από το σχέδιό σας για την ενεργοποίηση των μετριασμάτων.

ΣΗΜΕΊΩΣΗ Αν χρησιμοποιείτε το BitLocker, βεβαιωθείτε ότι έχει δημιουργηθεί αντίγραφο ασφαλείας για το κλειδί αποκατάστασης BitLocker. Μπορείτε να εκτελέσετε την ακόλουθη εντολή από μια γραμμή εντολών διαχειριστή και να σημειώσετε τον αριθμητικό κωδικό πρόσβασης 48 ψηφίων:

manage-bde -protectors -get %systemdrive%

Για να αναπτύξετε την ενημέρωση και να εφαρμόσετε τις ανακλήσεις, ακολουθήστε τα παρακάτω βήματα:

  1. Εγκαταστήστε τους ενημερωμένους ορισμούς πιστοποιητικών στο DB.

    Αυτό το βήμα θα προσθέσει το πιστοποιητικό "Windows UEFI CA 2023" στη "Βάση δεδομένων υπογραφής ασφαλούς εκκίνησης" (DB) του UEFI. Με την προσθήκη αυτού του πιστοποιητικού στο DB, το υλικολογισμικό της συσκευής θα θεωρεί αξιόπιστες τις εφαρμογές εκκίνησης που είναι υπογεγραμμένες από αυτό το πιστοποιητικό.

    1. Ανοίξτε μια γραμμή εντολών διαχειριστή και ορίστε το κλειδί μητρώου για την εκτέλεση της ενημέρωσης σε DB, πληκτρολογώντας την ακόλουθη εντολή:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      ΣΗΜΑΝΤΙΚΌΣ Επανεκκινήστε τη συσκευή δύο φορές για να ολοκληρώσετε την εγκατάσταση της ενημέρωσης προτού προχωρήσετε στα βήματα 2 και 3.

    2. Εκτελέστε την ακόλουθη εντολή του PowerShell ως διαχειριστής και βεβαιωθείτε ότι το DB έχει ενημερωθεί με επιτυχία. Αυτή η εντολή θα πρέπει να επιστρέψει την τιμή True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Ενημερώστε τη Διαχείριση εκκίνησης στη συσκευή σας.

    Αυτό το βήμα θα εγκαταστήσει μια εφαρμογή διαχείρισης εκκίνησης στη συσκευή σας, η οποία είναι υπογεγραμμένη με το πιστοποιητικό "Windows UEFI CA 2023".

    1. Ανοίξτε μια γραμμή εντολών διαχειριστή και ορίστε το κλειδί μητρώου για να εγκαταστήσετε τη διαχείριση εκκίνησης με υπογραφή "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Επανεκκινήστε τη συσκευή δύο φορές.

    3. Ως διαχειριστής, τοποθετήστε το διαμέρισμα EFI για να το προετοιμάσετε για έλεγχο:

      mountvol s: /s

    4. Επαληθεύστε ότι το αρχείο "s:\efi\microsoft\boot\bootmgfw.efi" είναι υπογεγραμμένο από το πιστοποιητικό "Windows UEFI CA 2023". Για να το κάνετε αυτό, ακολουθήστε αυτά τα βήματα:

      1. Κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστεγραμμή εντολών στο πλαίσιο Αναζήτηση και, στη συνέχεια, κάντε κλικ στην επιλογή Γραμμή εντολών.

      2. Στο παράθυρο γραμμής εντολών , πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πατήστε το πλήκτρο Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Στη Διαχείριση αρχείων, κάντε δεξί κλικ στο αρχείο C:\bootmgfw_2023.efi, κάντε κλικ στην επιλογή Ιδιότητες και, στη συνέχεια, επιλέξτε την καρτέλα Ψηφιακές υπογραφές .

      4. Στη λίστα Υπογραφή, επιβεβαιώστε ότι η αλυσίδα πιστοποιητικών περιλαμβάνει το Windows UEFI CA 2023. Η αλυσίδα πιστοποιητικών θα πρέπει να συμφωνεί με το ακόλουθο στιγμιότυπο οθόνης:Πιστοποιητικά

  3. Ενεργοποιήστε την ανάκληση.

    Η Απαγορευμένη λίστα UEFI (DBX) χρησιμοποιείται για τον αποκλεισμό μη αξιόπιστων λειτουργικών μονάδων UEFI από τη φόρτωση. Σε αυτό το βήμα, η ενημέρωση του DBX θα προσθέσει το πιστοποιητικό "Windows Production CA 2011" στο DBX. Αυτό θα έχει ως αποτέλεσμα όλοι οι διαχειριστές εκκίνησης που έχουν υπογραφεί από αυτό το πιστοποιητικό να μην θεωρούνται πλέον αξιόπιστοι.

    ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Πριν από την εφαρμογή της τρίτης λύσης, δημιουργήστε μια μονάδα flash αποκατάστασης που μπορεί να χρησιμοποιηθεί για την εκκίνηση του συστήματος. Για πληροφορίες σχετικά με το πώς να το κάνετε αυτό, ανατρέξτε στην ενότητα Ενημέρωση πολυμέσων εγκατάστασης των Windows.

    Αν το σύστημά σας μεταβεί σε κατάσταση μη εκκίνησης, ακολουθήστε τα βήματα στην ενότητα Διαδικασία αποκατάστασης για να επαναφέρετε τη συσκευή σε κατάσταση προ-ανάκλησης.

    1. Προσθέστε το πιστοποιητικό "Windows Production PCA 2011" στη Λίστα απαγορευμένων δικαιωμάτων Ασφαλούς εκκίνησης UEFI (DBX). Για να το κάνετε αυτό, ανοίξτε ένα παράθυρο γραμμής εντολών ως διαχειριστής, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πατήστε το πλήκτρο Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Επανεκκινήστε τη συσκευή δύο φορές και επιβεβαιώστε ότι έχει επανεκκινηθεί πλήρως.

    3. Επαληθεύστε ότι η λίστα εγκατάστασης και ανάκλησης εφαρμόστηκε με επιτυχία αναζητώντας το συμβάν 1037 στο αρχείο καταγραφής συμβάντων.Για πληροφορίες σχετικά με το Συμβάν 1037, ανατρέξτε στο θέμα KB5016061: Ασφαλής εκκίνηση DB και συμβάντα μεταβλητής ενημέρωσης DBX. Εναλλακτικά, εκτελέστε την ακόλουθη εντολή PowerShell ως Διαχειριστής και βεβαιωθείτε ότι επιστρέφει την τιμή True:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).byte) -match 'Microsoft Windows Production PCA 2011' 

  4. Εφαρμόστε την ενημέρωση SVN στο υλικολογισμικό. Η Διαχείριση εκκίνησης που έχει αναπτυχθεί στο Βήμα 2 έχει ενσωματωμένη μια νέα δυνατότητα αυτόματης ανάκλησης. Όταν ξεκινά η εκτέλεση της Διαχείρισης εκκίνησης, εκτελεί αυτοέλεγχο συγκρίνοντας τον Αριθμό ασφαλούς έκδοσης (SVN) που είναι αποθηκευμένος στο υλικολογισμικό, με το SVN ενσωματωμένο στη Διαχείριση εκκίνησης. Αν το SVN Boot Manager είναι μικρότερο από το SVN που είναι αποθηκευμένο στο υλικολογισμικό, το Boot Manager θα αρνηθεί να το εκτελέσει. Αυτή η δυνατότητα εμποδίζει έναν εισβολέα να επαναφέρει τη Διαχείριση εκκίνησης σε μια παλαιότερη, μη ενημερωμένη έκδοση.Σε μελλοντικές ενημερώσεις, όταν ένα σημαντικό πρόβλημα ασφαλείας διορθωθεί στη Διαχείριση εκκίνησης, ο αριθμός SVN θα αυξάνεται τόσο στη Διαχείριση εκκίνησης όσο και στην ενημέρωση του υλικολογισμικού. Και οι δύο ενημερώσεις θα κυκλοφορούν στην ίδια συγκεντρωτική ενημέρωση, για να διασφαλιστεί ότι οι συσκευές με ενημέρωση κώδικα είναι προστατευμένες. Κάθε φορά που ενημερώνεται το SVN, όλα τα μέσα με δυνατότητα εκκίνησης θα πρέπει να ενημερώνονται. Ξεκινώντας από τις 9 Ιουλίου 2024, τις ενημερώσεις, το SVN αυξάνεται στη Διαχείριση εκκίνησης και στην ενημέρωση του υλικολογισμικού. Η ενημέρωση υλικολογισμικού είναι προαιρετική και μπορεί να εφαρμοστεί ακολουθώντας τα παρακάτω βήματα:

    1. Ανοίξτε μια γραμμή εντολών διαχειριστή και εκτελέστε την ακόλουθη εντολή για να εγκαταστήσετε τη διαχείριση εκκίνησης με υπογραφή "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Επανεκκινήστε τη συσκευή δύο φορές.

Πολυμέσα με δυνατότητα εκκίνησης

Θα είναι σημαντικό να ενημερώσετε τα μέσα με δυνατότητα εκκίνησης μόλις ξεκινήσει η φάση ανάπτυξης στο περιβάλλον σας.

Οδηγίες για την ενημέρωση των πολυμέσων με δυνατότητα εκκίνησης θα συνοδεύονται από μελλοντικές ενημερώσεις για αυτό το άρθρο. Ανατρέξτε στην επόμενη ενότητα για να δημιουργήσετε μια μονάδα USB thumb για να ανακτήσετε μια συσκευή.

Ενημέρωση μέσου εγκατάστασης των Windows

ΣΗΜΕΊΩΣΗ Κατά τη δημιουργία μιας μονάδας usb με δυνατότητα εκκίνησης, φροντίστε να μορφοποιήσετε τη μονάδα δίσκου χρησιμοποιώντας το σύστημα αρχείων FAT32.

Μπορείτε να χρησιμοποιήσετε την εφαρμογή Create Recovery Drive ακολουθώντας αυτά τα βήματα. Αυτό το μέσο μπορεί να χρησιμοποιηθεί για την επανεγκατάσταση μιας συσκευής σε περίπτωση που υπάρχει κάποιο σημαντικό πρόβλημα, όπως μια αποτυχία υλικού, θα μπορείτε να χρησιμοποιήσετε τη μονάδα δίσκου αποκατάστασης για να επανεγκαταστήσετε τα Windows.

  1. Μεταβείτε σε μια συσκευή όπου έχουν εφαρμοστεί οι ενημερώσεις της 9ης Ιουλίου 2024 και το πρώτο βήμα μετριασμού (ενημέρωση της Ασφαλούς εκκίνησης DB).

  2. Από το μενού "Έναρξη", κάντε αναζήτηση για βοηθητική εφαρμογή του πίνακα ελέγχου "Δημιουργία μονάδας δίσκου αποκατάστασης" και ακολουθήστε τις οδηγίες για να δημιουργήσετε μια μονάδα δίσκου αποκατάστασης.

  3. Με τη μονάδα flash που μόλις δημιουργήσατε τοποθετημένη (για παράδειγμα, ως μονάδα δίσκου "D:"), εκτελέστε τις ακόλουθες εντολές ως διαχειριστής. Πληκτρολογήστε καθεμία από τις ακόλουθες εντολές και, στη συνέχεια, πατήστε το πλήκτρο Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Αν διαχειρίζεστε μέσα με δυνατότητα εγκατάστασης στο περιβάλλον σας χρησιμοποιώντας το μέσο εγκατάστασης του Update των Windows με οδηγίες για το Dynamic Update , ακολουθήστε τα παρακάτω βήματα. Αυτά τα πρόσθετα βήματα θα δημιουργήσουν μια μονάδα flash με δυνατότητα εκκίνησης που χρησιμοποιεί αρχεία εκκίνησης υπογεγραμμένα από το πιστοποιητικό υπογραφής "Windows UEFI CA 2023".

  1. Μεταβείτε σε μια συσκευή όπου έχει εφαρμοστεί η ενημέρωση της 9ης Ιουλίου 2024 και το πρώτο βήμα μετριασμού (ενημέρωση της Ασφαλούς εκκίνησης DB).

  2. Ακολουθήστε τα βήματα στην παρακάτω σύνδεση για να δημιουργήσετε πολυμέσα με ενημερώσεις της 9ης Ιουλίου 2024. Ενημέρωση μέσου εγκατάστασης των Windows με τη Δυναμική ενημέρωση

  3. Τοποθετήστε τα περιεχόμενα του μέσου σε μια μονάδα USB και τοποθετήστε τη μονάδα δίσκου ως γράμμα μονάδας δίσκου. Για παράδειγμα, μοντάρισμα της μονάδας δίσκου ως "D:".

  4. Εκτελέστε τις ακόλουθες εντολές από ένα παράθυρο εντολών ως διαχειριστής. Πληκτρολογήστε καθεμία από τις ακόλουθες εντολές και, στη συνέχεια, πατήστε το πλήκτρο Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Αν στις προεπιλεγμένες ρυθμίσεις έχει γίνει επαναφορά των ρυθμίσεων Ασφαλούς εκκίνησης σε μια συσκευή μετά την εφαρμογή των μετριασμάτων, η συσκευή δεν θα εκκινείται. Για την επίλυση αυτού του προβλήματος, περιλαμβάνεται μια εφαρμογή επιδιόρθωσης με τις ενημερώσεις της 9ης Ιουλίου 2024 που μπορούν να χρησιμοποιηθούν για την εκ νέου εφαρμογή του πιστοποιητικού "Windows UEFI CA 2023" στο DB (μετριασμός #1).

ΣΗΜΕΊΩΣΗ Μην χρησιμοποιείτε αυτήν την εφαρμογή επιδιόρθωσης σε μια συσκευή ή σύστημα που περιγράφεται στην ενότητα "Γνωστά ζητήματα" .

  1. Μεταβείτε σε μια συσκευή όπου έχουν εφαρμοστεί οι ενημερώσεις της 9ης Ιουλίου 2024.

  2. Σε ένα παράθυρο εντολών, αντιγράψτε την εφαρμογή αποκατάστασης στη μονάδα flash χρησιμοποιώντας τις ακόλουθες εντολές (με την προϋπόθεση ότι η μονάδα flash είναι η μονάδα δίσκου "D:"). Πληκτρολογήστε κάθε εντολή ξεχωριστά και, στη συνέχεια, πατήστε το πλήκτρο Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Στη συσκευή στην οποία έχουν γίνει επαναφορά των ρυθμίσεων Ασφαλούς εκκίνησης στις προεπιλογές, εισαγάγετε τη μονάδα flash, επανεκκινήστε τη συσκευή και εκκινήστε τη από τη μονάδα flash.

Χρονισμός ενημερώσεων

Οι ενημερώσεις κυκλοφορούν ως εξής:

  • Αρχική ανάπτυξη Αυτή η φάση ξεκίνησε με ενημερώσεις που κυκλοφόρησαν στις 9 Μαΐου 2023 και παρείχε βασικούς μετριασμούς με μη αυτόματα βήματα για την ενεργοποίηση αυτών των μετριασμών.

  • Δεύτερη ανάπτυξη Αυτή η φάση ξεκίνησε με ενημερώσεις που κυκλοφόρησαν στις 11 Ιουλίου 2023, οι οποίες πρόσθεσαν απλοποιημένα βήματα για την ενεργοποίηση των μετριασμών για το πρόβλημα.

  • Φάση αξιολόγησης Αυτή η φάση θα ξεκινήσει στις 9 Απριλίου 2024 και θα προσθέσει επιπλέον μετριασμούς διαχείρισης εκκίνησης.

  • Φάση ανάπτυξης Τότε θα ενθαρρύνουμε όλους τους πελάτες να αρχίσουν να αναπτύσσουν τους μετριασμούς και να ενημερώνουν τα μέσα ενημέρωσης.

  • Φάση επιβολής Η φάση επιβολής που θα καταστήσει μόνιμους τους μετριασμούς. Η ημερομηνία για αυτή τη φάση θα ανακοινωθεί σε μεταγενέστερη ημερομηνία.

Σημείωση Το χρονοδιάγραμμα κυκλοφορίας μπορεί να αναθεωρηθεί ανάλογα με τις ανάγκες.

Αυτή η φάση έχει αντικατασταθεί από τις ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024.

Αυτή η φάση έχει αντικατασταθεί από τις ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024.

Με αυτήν τη φάση, σας ζητούμε να ελέγξετε αυτές τις αλλαγές στο περιβάλλον σας για να βεβαιωθείτε ότι οι αλλαγές λειτουργούν σωστά με αντιπροσωπευτικά δείγματα συσκευών και για να έχετε εμπειρία με τις αλλαγές.

ΣΗΜΕΊΩΣΗ Αντί να προσπαθούμε να παραθέτουμε εξαντλητικά και να μην εμπιστευόμαστε τους ευάλωτους διαχειριστές εκκίνησης όπως κάναμε στις προηγούμενες φάσεις ανάπτυξης, προσθέτουμε το πιστοποιητικό υπογραφής "Windows Production PCA 2011" στη λίστα ασφαλούς εκκίνησης disallow list (DBX) για να μην θεωρούνται αξιόπιστοι όλοι οι διαχειριστές εκκίνησης που έχουν υπογραφεί από αυτό το πιστοποιητικό. Αυτή είναι μια πιο αξιόπιστη μέθοδος για να εξασφαλίσετε ότι όλοι οι προηγούμενοι διαχειριστές εκκίνησης δεν είναι αξιόπιστοι.

Οι ενημερώσεις για τα Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024, προσθέτουν τα εξής:

  • Τρεις νέοι έλεγχοι μετριασμού που αντικαθιστούν τους μετριασμούς που κυκλοφόρησαν το 2023. Οι νέοι έλεγχοι μετριασμού είναι οι εξής:

    • Ένα στοιχείο ελέγχου για την ανάπτυξη του πιστοποιητικού "Windows UEFI CA 2023" στο Secure Boot DB για την προσθήκη αξιοπιστίας για διαχειριστές εκκίνησης των Windows που έχουν υπογραφεί από αυτό το πιστοποιητικό. Λάβετε υπόψη ότι το πιστοποιητικό "Windows UEFI CA 2023" ενδέχεται να έχει εγκατασταθεί από προηγούμενη ενημέρωση των Windows.

    • Ένα στοιχείο ελέγχου για την ανάπτυξη μιας διαχείρισης εκκίνησης υπογεγραμμένη από το πιστοποιητικό "Windows UEFI CA 2023".

    • Ένα στοιχείο ελέγχου για να προσθέσετε το "Windows Production PCA 2011" στην Ασφαλή εκκίνηση DBX, το οποίο θα αποκλείσει όλους τους διαχειριστές εκκίνησης των Windows που είναι υπογεγραμμένοι από αυτό το πιστοποιητικό.

  • Η δυνατότητα να ενεργοποιήσετε την ανάπτυξη μετριασμού σε στάδια ανεξάρτητα για να επιτρέψετε μεγαλύτερο έλεγχο στην ανάπτυξη των μετριασμάτων στο περιβάλλον σας με βάση τις ανάγκες σας.

  • Οι μετριασμούς ενσωματώνονται έτσι ώστε να μην μπορούν να αναπτυχθούν με εσφαλμένη σειρά.

  • Πρόσθετα συμβάντα για να γνωρίζετε την κατάσταση των συσκευών καθώς εφαρμόζουν τους μετριασμούς. Ανατρέξτε στο θέμα KB5016061: Συμβάντα ενημέρωσης μεταβλητών DB και DBX Ασφαλούς εκκίνησης για περισσότερες λεπτομέρειες σχετικά με τα συμβάντα.

Αυτή η φάση είναι η στιγμή που ενθαρρύνουμε τους πελάτες να αρχίσουν να αναπτύσσουν τους μετριασμούς και να διαχειρίζονται τυχόν ενημερώσεις πολυμέσων. Οι ενημερώσεις περιλαμβάνουν την ακόλουθη αλλαγή:

  • Προστέθηκε υποστήριξη για τον Αριθμό ασφαλούς έκδοσης (SVN) και τη ρύθμιση του ενημερωμένου SVN στο υλικολογισμικό.

Ακολουθεί μια διάρθρωση με τα βήματα που πρέπει να αναπτύξετε σε μια επιχείρηση.

Σημείωση Πρόσθετες οδηγίες για να λάβετε μεταγενέστερες ενημερώσεις για αυτό το άρθρο.

  • Αναπτύξτε τον πρώτο μετριασμό σε όλες τις συσκευές στην επιχείρηση ή σε μια διαχειριζόμενη ομάδα συσκευών στην επιχείρηση. Σε αυτά περιλαμβάνονται:

    • Επιλογή στον πρώτο μετριασμό που προσθέτει το πιστοποιητικό υπογραφής "Windows UEFI CA 2023" στο υλικολογισμικό της συσκευής.

    • Η παρακολούθηση των συσκευών έχει προσθέσει με επιτυχία το πιστοποιητικό υπογραφής "Windows UEFI CA 2023".

  • Αναπτύξτε τον δεύτερο μετριασμό που εφαρμόζει την ενημερωμένη διαχείριση εκκίνησης στη συσκευή.

  • Ενημερώστε τυχόν μέσα αποκατάστασης ή εξωτερικής εκκίνησης που χρησιμοποιούνται με αυτές τις συσκευές.

  • Αναπτύξτε τον τρίτο μετριασμό που επιτρέπει την ανάκληση του πιστοποιητικού "Windows Production CA 2011", προσθέοντάς το στο DBX στο υλικολογισμικό.

  • Αναπτύξτε τον τέταρτο μετριασμό που ενημερώνει τον αριθμό ασφαλούς έκδοσης (SVN) στο υλικολογισμικό.

Η φάση επιβολής θα είναι τουλάχιστον έξι μήνες μετά τη φάση ανάπτυξης. Όταν κυκλοφορήσουν ενημερώσεις για τη φάση επιβολής κυρώσεων, θα περιλαμβάνουν τα εξής:

  • Το πιστοποιητικό "Windows Production PCA 2011" θα ανακληθεί αυτόματα με την προσθήκη του στη Λίστα απαγορευμένων δικαιωμάτων Ασφαλούς εκκίνησης UEFI (DBX) σε συσκευές με δυνατότητα. Αυτές οι ενημερώσεις θα επιβάλλονται μέσω προγραμματισμού μετά την εγκατάσταση ενημερώσεων για τα Windows σε όλα τα συστήματα που επηρεάζονται χωρίς επιλογή απενεργοποίησης.

Σφάλματα αρχείου καταγραφής συμβάντων των Windows που σχετίζονται με το CVE-2023-24932

Οι καταχωρήσεις του αρχείου καταγραφής συμβάντων των Windows που σχετίζονται με την ενημέρωση των DB και DBX περιγράφονται λεπτομερώς στο KB5016061: Συμβάντα ασφαλούς εκκίνησης DB και μεταβλητής ενημέρωσης DBX.

Τα συμβάντα "επιτυχίας" που σχετίζονται με την εφαρμογή των μετριασμάτων παρατίθενται στον παρακάτω πίνακα.

Βήμα μετριασμού

Αναγνωριστικό συμβάντος

Σημειώσεις

Εφαρμογή της ενημέρωσης DB

1036

Το πιστοποιητικό PCA2023 προστέθηκε στο DB.

Ενημέρωση της διαχείρισης εκκίνησης

1799

Εφαρμόστηκε η PCA2023 διαχείρισης εκκίνησης με υπογραφή.

Εφαρμογή της ενημέρωσης DBX

1037

Η ενημέρωση DBX που δεν εμπιστεύεται το πιστοποιητικό υπογραφής PCA2011 εφαρμόστηκε.

Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)

Ενημερώστε όλα τα λειτουργικά συστήματα Windows με ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 9 Ιουλίου 2024 πριν από την εφαρμογή των ανάκλησης. Ενδέχεται να μην μπορείτε να εκκινήσετε οποιαδήποτε έκδοση των Windows που δεν έχει ενημερωθεί σε τουλάχιστον ενημερώσεις που κυκλοφόρησαν στις 9 Ιουλίου 2024 μετά την εφαρμογή των ανακλήσεων. Ακολουθήστε τις οδηγίες στην ενότητα Αντιμετώπιση προβλημάτων εκκίνησης .

Ανατρέξτε στην ενότητα Αντιμετώπιση προβλημάτων εκκίνησης .

Αντιμετώπιση προβλημάτων εκκίνησης

Μετά την εφαρμογή και των τριών μετριασμών, το υλικολογισμικό της συσκευής δεν θα εκκινείται χρησιμοποιώντας μια διαχείριση εκκίνησης υπογεγραμμένη από το Windows Production PCA 2011. Οι αποτυχίες εκκίνησης που αναφέρονται από το υλικολογισμικό αφορούν συγκεκριμένες συσκευές. Ανατρέξτε στην ενότητα Διαδικασία αποκατάστασης .

Διαδικασία αποκατάστασης

Αν κάτι δεν πάει καλά κατά την εφαρμογή των μετριασμάτων και δεν μπορείτε να εκκινήσετε τη συσκευή σας ή πρέπει να ξεκινήσετε από εξωτερικά μέσα (όπως μια μονάδα flash ή μια εκκίνηση PXE), δοκιμάστε τις ακόλουθες προτάσεις:

  1. Απενεργοποιήστε την Ασφαλή εκκίνηση.Αυτή η διαδικασία διαφέρει μεταξύ των κατασκευαστών συσκευών και των μοντέλων. Εισαγάγετε το μενού UEFI BIOS των συσκευών σας, μεταβείτε στις ρυθμίσεις Ασφαλούς εκκίνησης και απενεργοποιήστε το. Ελέγξτε την τεκμηρίωση από τον κατασκευαστή της συσκευής σας για λεπτομέρειες σχετικά με αυτήν τη διαδικασία. Μπορείτε να βρείτε περισσότερες λεπτομέρειες στην ενότητα Απενεργοποίηση ασφαλούς εκκίνησης.

  2. Επαναφέρετε τα κλειδιά ασφαλούς εκκίνησης στις εργοστασιακές προεπιλογές.

    Αν η συσκευή υποστηρίζει επαναφορά των κλειδιών ασφαλούς εκκίνησης στις εργοστασιακές προεπιλογές, εκτελέστε αυτήν την ενέργεια τώρα.

    ΣΗΜΕΊΩΣΗ Ορισμένοι κατασκευαστές συσκευών έχουν και την επιλογή "Απαλοιφή" και την επιλογή "Επαναφορά" για τις μεταβλητές Ασφαλούς εκκίνησης, οπότε θα πρέπει να χρησιμοποιείται η επιλογή "Επαναφορά". Ο στόχος είναι να επαναφέρετε τις μεταβλητές Ασφαλούς εκκίνησης στις προεπιλεγμένες τιμές των κατασκευαστών.

    Η συσκευή σας θα πρέπει να εκκινείται τώρα, αλλά λάβετε υπόψη ότι είναι ευάλωτη σε λογισμικό κακόβουλης λειτουργίας boot-kit. Φροντίστε να ολοκληρώσετε το βήμα 5 αυτής της διαδικασίας αποκατάστασης για να ενεργοποιήσετε ξανά την Ασφαλή εκκίνηση.

  3. Δοκιμάστε να εκκινήσετε τα Windows από το δίσκο συστήματος.

    1. Συνδεθείτε στα Windows.

    2. Εκτελέστε τις ακόλουθες εντολές από μια γραμμή εντολών διαχειριστή για να επαναφέρετε τα αρχεία εκκίνησης στο διαμέρισμα εκκίνησης συστήματος EFI. Πληκτρολογήστε κάθε εντολή ξεχωριστά και, στη συνέχεια, πατήστε το πλήκτρο Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Η εκτέλεση του BCDBoot επιστρέφει "Τα αρχεία εκκίνησης δημιουργήθηκαν με επιτυχία". Αφού εμφανιστεί αυτό το μήνυμα, επανεκκινήστε τη συσκευή ξανά στα Windows.

  4. Αν το Βήμα 3 δεν ανακτήσει με επιτυχία τη συσκευή, επανεγκαταστήστε τα Windows.

    1. Εκκινήστε τη συσκευή από το υπάρχον μέσο αποκατάστασης.

    2. Προχωρήστε στην εγκατάσταση των Windows χρησιμοποιώντας το μέσο αποκατάστασης.

    3. Συνδεθείτε στα Windows.

    4. Επανεκκινήστε τα Windows, για να βεβαιωθείτε ότι η συσκευή θα επανεκκινηθεί στα Windows.

  5. Ενεργοποιήστε ξανά την Ασφαλή εκκίνηση και επανεκκινήστε τη συσκευή.Πληκτρολογήστε το μενού UEFI της συσκευής, μεταβείτε στις ρυθμίσεις Ασφαλούς εκκίνησης και ενεργοποιήστε την. Ελέγξτε την τεκμηρίωση από τον κατασκευαστή της συσκευής σας για λεπτομέρειες σχετικά με αυτήν τη διαδικασία. Μπορείτε να βρείτε περισσότερες πληροφορίες στην ενότητα "Επανενεργή ασφαλής εκκίνηση".

Αναφορές

Τα προϊόντα τρίτων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες από τη Microsoft. Δεν παρεχόμαστε καμία εγγύηση, έμμεση ή άλλη, σχετικά με την απόδοση ή την αξιοπιστία αυτών των προϊόντων.

Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.

Ημερομηνία αλλαγής

Περιγραφή αλλαγής

9 Ιουλίου 2024

  • Ενημερώθηκε το "Βήμα 2: Αξιολογήστε τις αλλαγές" για να καταργήσετε την ημερομηνία της 9ης Ιουλίου 2024.

  • Ενημερώθηκε όλες οι εμφανίσεις της ημερομηνίας της 9ης Απριλίου 2024 στις 9 Ιουλίου 2024, εκτός από την ενότητα "Χρονισμός ενημερώσεων".

  • Ενημερώθηκε η ενότητα "μέσα με δυνατότητα εκκίνησης" και αντικατέστησε το περιεχόμενο με τη φράση "Οδηγίες για την ενημέρωση των μέσων με δυνατότητα εκκίνησης έρχονται με μελλοντικές ενημερώσεις".

  • Ενημερώθηκε στις "9 Ιουλίου 2024 ή νεότερη έκδοση – Η φάση ανάπτυξης ξεκινά" στην ενότητα "Χρονισμός ενημερώσεων".

  • Προσθέσαμε το Βήμα 4 "Εφαρμογή της ενημέρωσης SVN στο υλικολογισμικό" στην ενότητα "Οδηγίες ανάπτυξης μετριασμού".

9 Απριλίου 2024

  • Εκτεταμένες αλλαγές στις διαδικασίες, τις πληροφορίες, τις οδηγίες και τις ημερομηνίες. Σημειώστε ότι ορισμένες προηγούμενες αλλαγές έχουν καταργηθεί ως αποτέλεσμα των εκτεταμένων αλλαγών που έγιναν σε αυτήν την ημερομηνία.

16 Δεκεμβρίου 2023

  • Αναθεώρησε τις ημερομηνίες κυκλοφορίας για την τρίτη ανάπτυξη και επιβολή στην ενότητα "Χρονισμός ενημερώσεων".

15 Μαΐου 2023

  • Καταργήθηκε το μη υποστηριζόμενο λειτουργικό σύστημα Windows 10, έκδοση 21H1 από την ενότητα "Ισχύει για".

11 Μαΐου 2023

  • Προσθέσαμε μια σημείωση ΠΡΟΣΟΧΗ στο Βήμα 1 της ενότητας "Οδηγίες ανάπτυξης" σχετικά με την αναβάθμιση στα Windows 11, έκδοση 21H2 ή 22H2 ή σε ορισμένες εκδόσεις των Windows 10.

10 Μαΐου 2023

  • Αποσαφηνίστηκε ότι σύντομα θα είναι διαθέσιμα τα windows media με δυνατότητα λήψης με τις πιο πρόσφατες αθροιστικές ενημερώσεις.

  • Διόρθωσε την ορθογραφία της λέξης "Απαγορευμένο".

9 Μαΐου 2023

  • Προστέθηκαν επιπλέον υποστηριζόμενες εκδόσεις στην ενότητα "Ισχύει για".

  • Ενημερώθηκε το Βήμα 1 της ενότητας "Ανάληψη δράσης".

  • Ενημερώθηκε το Βήμα 1 της ενότητας "Οδηγίες ανάπτυξης".

  • Διόρθωσε τις εντολές στο Βήμα 3α της ενότητας "Οδηγίες για την ανάπτυξη".

  • Διορθώθηκε η τοποθέτηση των εικόνων Hyper-V UEFI στην ενότητα "Αντιμετώπιση προβλημάτων εκκίνησης".

27 Ιουνίου 2023

  • Σημείωση που καταργήθηκε σχετικά με την ενημέρωση από τα Windows 10 σε νεότερη έκδοση των Windows 10, η οποία χρησιμοποιεί ένα πακέτο ενεργοποίησης στο Βήμα 1:Εγκατάσταση στην ενότητα "Οδηγίες ανάπτυξης".

11 Ιουλίου 2023

  • Ενημερώθηκε η ημερομηνία "9 Μαΐου 2023" στις "11 Ιουλίου 2023", "9 Μαΐου 2023 και 11 Ιουλίου 2023" ή "9 Μαΐου 2023 ή νεότερη".

  • Στην ενότητα "Οδηγίες ανάπτυξης", λάβετε υπόψη ότι όλες οι δυναμικές ενημερώσεις SafeOS είναι τώρα διαθέσιμες για την ενημέρωση των διαμερισμάτων WinRE. Επιπλέον, το πλαίσιο ΠΡΟΣΟΧΗ καταργήθηκε, επειδή το πρόβλημα επιλύεται με την κυκλοφορία των δυναμικών ενημερώσεων του SafeOS.

  • Στο "3. APPLY the revocations" section, the instructions have revised.

  • Στην ενότητα "Σφάλματα αρχείου καταγραφής συμβάντων των Windows", προστίθεται το αναγνωριστικό συμβάντος 276.

25 Αυγούστου 2023

  • Ενημερώθηκε σε διάφορες ενότητες για τη διατύπωση και προστέθηκε η έκδοση της 11ης Ιουλίου 2023 και οι πληροφορίες μελλοντικής έκδοσης του 2024.

  • Αναδιάταξη ορισμένου περιεχομένου από την ενότητα "Αποφυγή προβλημάτων με το μέσο αποθήκευσης με δυνατότητα εκκίνησης" στην ενότητα "Ενημέρωση μέσων με δυνατότητα εκκίνησης".

  • Ενημερώθηκε η ενότητα "Χρονισμός ενημερώσεων" με αναθεωρημένες ημερομηνίες και πληροφορίες ανάπτυξης.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.