TÄHTIS Regulaarse igakuise värskendamise käigus peaksite rakendama Windowsi turbevärskenduse, mis on välja antud 9. juulil 2024 või hiljem.
See artikkel kehtib nende organisatsioonide kohta, kes peaksid hakkama hindama avalikult avaldatud Secure Booti möödumist, mida kasutab BlackLotus UEFI bootkit. Lisaks soovite võib-olla võtta ennetava turbehosti või alustada kasutuselevõtuks ettevalmistamist. Pange tähele, et see ründevara nõuab seadmele füüsilist või administraatori juurdepääsu.
ETTEVAATUST Kui seadmes on lubatud selle probleemi leevendus , mis tähendab, et leevendused on rakendatud, ei saa seda ennistada, kui jätkate selles seadmes secure Booti kasutamist. Isegi ketta ümbervormindamine ei eemalda tühistamisi, kui need on juba rakendatud. Enne selles artiklis kirjeldatud tühistamiste rakendamist oma seadmele pidage meeles kõiki võimalikke mõjusid ja testige neid põhjalikult.
Selle artikli teemad
Kokkuvõte
Selles artiklis kirjeldatakse kaitset avalikult avaldatud Secure Booti turbefunktsiooni möödumise eest, mis kasutab CVE-2023-24932 jälitatud BlackLotus UEFI bootkit, kuidas lubada leevendusi ja juhiseid algkäivitatava meediumi kohta. Algkäivituskomplekt on pahatahtlik programm, mis on loodud nii vara kui võimalik laadima seadmete algkäivitusjadas, et juhtida operatsioonisüsteemi käivitamist.
Microsoft soovitab turvalist algkäivitust, et luua turvaline ja usaldusväärne tee ühtsest laiendatavast püsivaraliidesest (UEFI) Windowsi tuuma usaldusväärse algkäivituse jada kaudu. Secure Boot aitab ära hoida algkäivituskomplekti ründevara algkäivitusjadas. Turvalise algkäivituse keelamine seab seadme ohtu, et algkäivituskomplekti ründevara nakatab. Jaotises CVE-2023-24932 kirjeldatud turvalise algkäivituse möödu parandamine nõuab käivitushaldurite tühistamist. See võib põhjustada probleeme mõne seadme algkäivituskonfiguratsiooniga.
Versioonis CVE-2023-24932 kirjeldatud turvalise algkäivituse möödumise leevendused sisalduvad Windowsi turbevärskendustes, mis anti välja 9. juulil 2024 või hiljem. Need leevendused pole vaikimisi lubatud. Nende värskendustega soovitame teil hakata neid muudatusi oma keskkonnas hindama. Täielikku ajakava kirjeldatakse jaotises Värskenduste ajastus .
Enne nende leevenduste lubamist peaksite selles artiklis toodud üksikasjad põhjalikult läbi vaatama ja otsustama, kas peate leevendused lubama või ootama Microsofti tulevast värskendust. Kui otsustate leevendused lubada, peate veenduma, et teie seadmed on värskendatud ja valmis, ning mõistma selles artiklis kirjeldatud riske.
Toiming
|
Selle väljaande puhul tuleb järgida järgmisi juhiseid. 1. toiming. Installige windowsi turbevärskendus, mis on välja antud 9. juulil 2024 või hiljem, kõigisse toetatud versioonidesse. 2. toiming: hinnake muudatusi ja nende mõju teie keskkonnale. 3. toiming. Jõustage muudatused. |
Mõju ulatus
BlackLotus bootkit mõjutab kõiki Lubatud turvalise algkäivituse kaitsega Windowsi seadmeid. Leevendused on saadaval Windowsi toetatud versioonide jaoks. Täieliku loendi leiate artiklist CVE-2023-24932.
Riskide mõistmine
Ründevararisk: Et selles artiklis kirjeldatud BlackLotus UEFI algkäivituskomplekti ekspluataator oleks võimalik, peab ründaja saama seadmes administraatoriõigused või seadmele füüsilise juurdepääsu. Seda saab teha, kui pääsete seadmele juurde füüsiliselt või kaugühenduse kaudu, näiteks kasutades virtuaalarvutitele/pilvele juurdepääsemiseks hüperviisorit. Ründaja kasutab seda haavatavust tavaliselt, et jätkata kontrolli seadme üle, millele nad saavad juba juurde pääseda ja mida võib-olla manipuleerida. Selle artikli leevendused on ennetavad ja mitte parandused. Kui teie seade on juba ohtu sattunud, pöörduge abi saamiseks oma turbeteenuse pakkuja poole.
Taastekandja: Kui teil tekib seadmega pärast leevendusmeetmete rakendamist probleem ja seade muutub mitteoodatavaks, ei pruugi seadme käivitamine või taastamine olla võimalik olemasoleval andmekandjal. Taaste- või installikandja tuleb värskendada, et see töötaks seadmega, millele on rakendatud leevendused.
Püsivara probleemid: Kui Windows rakendab selles artiklis kirjeldatud leevendusi, peab see secure Booti väärtuste värskendamiseks tuginema seadme UEFI püsivarale (värskendused rakendatakse andmebaasivõtmele (DB) ja keelatud allkirjavõtmele (DBX)). Mõnel juhul on meil kogemusi seadmetega, mis värskendusi ei suuda. Teeme koostööd seadmetootjatega, et testida neid võtmevärskendusi võimalikult paljudes seadmetes.
MÄRKUS Võimalike püsivaraprobleemide tuvastamiseks testige neid leevendusi esmalt ühes seadmes seadmeklassi kohta teie keskkonnas. Ärge juurutage laialdaselt enne, kui olete veendunud, et kõik teie keskkonna seadmeklassid on hinnatud.
BitLockeri taaste: Mõni seade võib minna BitLockeri taastese. Enne leevenduste lubamist säilitage kindlasti oma BitLockeri taastevõtme koopia.
Teadaolevad probleemid
Püsivara probleemid:Kõik seadme püsivara ei värskenda secure Boot DB-d või DBX-i. Juhtudel, millest oleme teadlikud, oleme probleemist teatanud seadme tootjale. Logitud sündmuste kohta leiate lisateavet teemast KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused . Püsivaravärskenduste saamiseks pöörduge seadme tootja poole. Kui seadet ei toetata, soovitab Microsoft seadme versiooni täiendada.
Teadaolevad püsivaraprobleemid:
MÄRKUS Järgmised teadaolevad probleemid ei mõjuta ega takista 9. juuli 2024 värskenduste installimist. Enamikul juhtudel ei rakendata leevendusi teadaolevate probleemide korral. Vaadake üksikasju, mida on kirjeldatud igas teadaolevas probleemis.
-
HJ: HP tuvastas HP Z4G4 workstationi arvutites leevendusinstalli probleemi ja annab tulevastel nädalatel välja värskendatud Z4G4 UEFI püsivara (BIOS). Leevenduse eduka installimise tagamiseks blokeeritakse see töölaua tööjaamades, kuni värskendus on saadaval. Kliendid peaksid enne leevenduse rakendamist alati üle võtma uusima süsteemi BIOS-i.
-
HP seadmed, millel on kindel käivitusturve: Nende seadmete leevendusmeetmete installimiseks on vaja HP uusimaid püsivaravärskendusi. Leevendused blokeeritakse seni, kuni püsivara värskendatakse. Installige HPde toe lehelt uusim püsivaravärskendus — HP ametlikud draiverid ja tarkvara allalaadimine | HP tugi.
-
Arm64-põhised seadmed: Leevendused on blokeeritud UEFI-liidese püsivara probleemide tõttu Qualcommi-põhistes seadmetes. Microsoft teeb selle probleemi lahendamiseks koostööd Qualcommiga. Qualcomm pakub parandust seadmetootjatele. Pöörduge oma seadme tootja poole ja uurige, kas selle probleemi jaoks on saadaval lahendus. Microsoft lisab tuvastamise, et lubada leevenduste rakendamist seadmetes püsivara tuvastamisel. Kui teie Arm64-põhisel seadmel pole Qualcommi püsivara, konfigureerige leevenduste lubamiseks järgmine registrivõti.
Registri alamvõti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Võtmeväärtuse nimi
SkipDeviceCheck
Andmetüüp
REG_DWORD
Andmed
1
-
Õun:Apple T2 Turbekiibiga Mac-arvutid toetavad secure Booti. Siiski on UEFI-liidese turbega seotud muutujate värskendamine saadaval ainult macOS-i värskenduste osana. Boot Campi kasutajad peaksid nägema Nende muutujatega seotud Sündmuse ID 1795 sündmuselogi kirjet Windowsis. Lisateavet selle logikirje kohta leiate teemast KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused.
-
VMware:VMware-põhistes virtualiseerimiskeskkondades ei käivitu X86-põhise protsessoriga VM pärast leevendusmeetmete rakendamist. Microsoft koordineerib selle probleemi lahendamiseks VMware'iga.
-
TPM 2.0-põhised süsteemid: Need süsteemid, milles töötab Windows Server 2012 ja Windows Server 2012 R2, ei saa juurutada 9. juulil 2024 välja antud leevendusi TPM-i mõõtmistega seotud teadaolevate ühilduvusprobleemide tõttu. 9. juuli 2024 turbevärskendused blokeerivad mõjutatud süsteemides leevendused #2 (käivitushaldur) ja #3 (DBX-värskendus).Microsoft on probleemist teadlik ja tulevikus antakse välja värskendus TPM 2.0-põhiste süsteemide blokeeringu tühistamiseks.TPM-i versiooni kontrollimiseks paremklõpsake nuppu Start, klõpsake käsku Käivita ja tippige tpm.msc. Jaotise TPM Manufacturer Information (TPM-i tootjateave) keskmise paani paremas allnurgas peaksite nägema sätte Specification Version (Määrangu versioon) väärtust.
-
Symanteci lõpp-punkti krüptimine: Secure Booti leevendusi ei saa rakendada süsteemidele, mis on installinud Symantec lõpp-punkti krüptimise. Microsoft ja Symantec on probleemist teadlikud ja neid käsitletakse edaspidises värskenduses.
Selle väljaande juhised
Selle väljaande puhul järgige neid kahte juhist.
1. toiming: Windowsi turbevärskenduse installimine Installige toetatud Windowsi seadmetesse Windowsi igakuine turbevärskendus, mis on välja antud 9. juulil 2024 või hiljem. Need värskendused hõlmavad CVE-2023-24932 leevendusi, kuid need pole vaikimisi lubatud. Kõik Windowsi seadmed peaksid selle toimingu lõpule viima, olenemata sellest, kas kavatsete leevendused juurutada või mitte.
2. toiming: muudatuste hindamine Soovitame teil teha järgmist.
-
Mõista kahte esimest leevendust, mis võimaldavad värskendada Secure Boot DB-d ja värskendada käivitushaldurit.
-
Vaadake värskendatud ajakava üle.
-
Hakake testima kahte esimest leevendust oma keskkonnast pärinevate representatiivsete seadmete suhtes.
-
Alustage juurutamise kavandamist.
3. juhis: jõustage muudatused
Soovitame teil mõista riske, mida on kirjeldatud jaotises Riskide mõistmine.
-
Mõistke taaste ja muude algkäivitatavate meediumite mõju.
-
Hakake testima kolmandat leevendust, mis tühistab kõigi varasemate Windowsi käivitushaldurite jaoks kasutatud allkirjastamisserdi.
Leevendusjuhised
Enne nende leevendusmeetmete rakendamist installige toetatud Windowsi seadmetesse Windowsi igakuine hooldusvärskendus, mis on välja antud 9. juulil 2024 või hiljem. See värskendus sisaldab CVE-2023-24932 leevendusi, kuid need pole vaikimisi lubatud. Kõik Windowsi seadmed peaksid selle toimingu lõpule viima olenemata teie plaanist leevendusmeetmete lubamiseks.
MÄRKUS Kui kasutate BitLockerit, veenduge, et teie BitLockeri taastevõti oleks varundatud. Administraatori käsuviiba kaudu saate käivitada järgmise käsu ja märkida üles 48-kohalise numbrilise parooli.
manage-bde -protectors -get %systemdrive%
Värskenduse juurutamiseks ja tühistuste rakendamiseks tehke järgmist.
-
Installige värskendatud serdidefinitsioonid andmebaasi.
See toiming lisab "Windows UEFI CA 2023" serdi UEFI -le "Secure Boot Signature Database" (DB). Kui lisate selle serdi andmebaasi, usaldab seadme püsivara selle serdi allkirjastatud algkäivitusrakendusi.
-
Avage administraatori käsuviip ja määrake regkey, et värskendada DB-ks, sisestades järgmise käsu:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
TÄHTIS Enne 2. ja 3. toiminguga jätkamist taaskäivitage seade kindlasti kaks korda, et värskenduse installimine lõpule viia.
-
Käivitage järgmine PowerShelli käsk administraatorina ja veenduge, et andmebaasi värskendamine õnnestus. See käsk peaks tagastama väärtuse True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Värskendage seadmes käivitushaldurit.
Selle toiminguga installitakse teie seadmesse käivitushalduri rakendus, mis on allkirjastatud serdiga "Windows UEFI CA 2023".
-
Avage administraatori käsuviip ja määrake regkey allkirjastatud käivitushalduri "Windows UEFI CA 2023" installimiseks:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Taaskäivitage seade kaks korda.
-
Administraatorina ühendage EFI-sektsioon, et see kontrolliks valmis saada.
mountvol s: /s
-
Veenduge, et "s:\efi\microsoft\boot\bootmgfw.efi" oleks allkirjastatud serdil "Windows UEFI CA 2023". Selleks tehke järgmist.
-
Klõpsake nuppu Start, tippige otsinguväljalekäsuviip ja seejärel klõpsake käsku Käsuviip.
-
Tippige aknas Käsuviip järgmine käsk ja vajutage sisestusklahvi (Enter):
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Paremklõpsake failihalduris faili C:\bootmgfw_2023.efi, klõpsake käsku Atribuudid ja seejärel valige vahekaart Digitaalallkirjad .
-
Kinnitage loendis Allkiri, et serdiahelasse oleks kaasatud Windows UEFI CA 2023. Serdiahel peaks vastama järgmisele kuvatõmmisele:
-
-
-
Lubage tühistamine.
UEFI keelatud failide loendit (DBX) kasutatakse UEFI-moodulite ebausaldusväärsete laadimise blokeerimiseks. Selles etapis lisab DBX-i värskendamine DBX-ile serdi "Windows Production CA 2011". Seetõttu ei usaldata enam kõiki selle serdi allkirjastatud käivitushaldureid.
HOIATUS. Enne kolmanda leevenduse rakendamist looge taastemäluseade, mida saab kasutada süsteemi algkäivitamiseks. Lisateavet selle kohta leiate jaotisest Windowsi installikandja värskendamine.
Kui teie süsteem satub algkäivitamatusse olekusse, järgige jaotises Taasteprotseduur toodud juhiseid, et lähtestada seade tühistuseelsesse olekusse.
-
Lisage sert "Windows Production PCA 2011" secure Boot UEFI Keelatud loendisse (DBX). Selleks avage administraatorina käsuviibaaknad, tippige järgmine käsk ja vajutage sisestusklahvi (Enter):
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Taaskäivitage seade kaks korda ja veenduge, et see on täielikult taaskäivitatud.
-
Veenduge, et installimise ja tühistamise loend oleks rakendatud, otsides sündmuselogist sündmust 1037.Sündmuse 1037 kohta leiate teavet artiklist KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused. Või käivitage järgmine PowerShelli käsk administraatorina ja veenduge, et see tagastaks väärtuse True:
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match "Microsoft Windows Production PCA 2011"
-
-
Rakendage püsivarale SVN-i värskendus. Juhises 2 juurutatud algkäivitushalduril on uus ise tühistamise funktsioon sisseehitatud. Kui käivitushaldur hakkab käivituma, teeb see enesekontrolli, võrreldes püsivarale salvestatud turvalise versiooni numbrit (SVN) SVN-iga, mis on käivitushaldurisse sisse ehitatud. Kui käivitushalduri SVN on väiksem kui püsivara salvestatud SVN, keeldub käivitushaldur käivitamisest. See funktsioon takistab ründajal käivitushalduri varasemale värskendamata versioonile tagasipööramist.Kui tulevastes värskendustes on käivitushalduris oluline turbeprobleem lahendatud, kasvab SVN-i number nii algkäivitushalduris kui ka püsivara värskenduses. Mõlemad värskendused antakse välja samas koondvärskenduses veendumaks, et paigatud seadmed on kaitstud. Iga kord, kui SVN-i värskendatakse, tuleb värskendada kõiki algkäivitatavaid meediume. Alates 9. juulist 2024 värskendatakse SVN-i algkäivitushalduris ja püsivara värskenduses. Püsivaravärskendus on valikuline ja seda saab rakendada järgmiste juhiste abil.
-
Avage administraatori käsuviip ja käivitage allkirjastatud käivitushalduri "Windows UEFI CA 2023" installimiseks järgmine käsk:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Taaskäivitage seade kaks korda.
-
Algkäivitatavad meediumid
Kui juurutusetapp hakkab teie keskkonnas algkäivitama, on oluline värskendada algkäivitatavat kandjat.
Selle artikli edaspidiste värskendustega antakse juhiseid algkäivitatava meediumi värskendamiseks. Seadme taastamiseks USB-mäluseadme loomiseks lugege järgmist jaotist.
Windowsi installikandja värskendamine
MÄRKUS Algkäivitatava USB-mäluseadme loomisel vormindage draiv kindlasti FAT32-failisüsteemi abil.
Taasteketta loomise rakenduse kasutamiseks tehke järgmist. Seda kandjat saab kasutada seadme uuesti installimiseks juhul, kui esineb suur probleem (nt riistvaratõrge), saate taasteketta abil Windowsi uuesti installida.
-
Avage seade, kus on rakendatud 9. juuli 2024 värskendused ja esimene leevendussammu etapp (Secure Boot DB värskendamine).
-
Otsige menüüst Start üles juhtpaneeli "Create a Recovery Drive" (Taasteketta loomine) aplett ja järgige taasteketta loomiseks juhiseid.
-
Kui vastloodud mäluseade on ühendatud (nt draivina "D:"), käivitage administraatorina järgmised käsud. Tippige kõik järgmised käsud ja vajutage sisestusklahvi (Enter):
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Kui haldate oma keskkonnas installitavaid meediume, kasutades Juhiseid Windowsi installikandja värskendamiseks Dynamic Update'i abil, tehke järgmist. Need lisatoimingud loovad algkäivitatava mäluseadme, mis kasutab "Windows UEFI CA 2023" allkirjastatud algkäivitusfaile.
-
Avage seade, kus on rakendatud 9. juuli 2024 värskendused ja esimene leevendussammu etapp (Secure Boot DB värskendamine).
-
9. juuli 2024 värskendustega meediumi loomiseks järgige alloleval lingil toodud juhiseid. Windowsi installikandja värskendamine dünaamilise värskendusega
-
Asetage meediumisisu USB-mäluseadmele ja ühendage pöidlaketas draivi tähena. Näiteks ühendage pöidladraiv kujul "D:".
-
Käivitage administraatorina käsuaknas järgmised käsud. Tippige kõik järgmised käsud ja vajutage sisestusklahvi (Enter).
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Kui seadme turbekäivituse sätted lähtestatakse pärast leevendusmeetmete rakendamist vaikesätetele, siis seade ei käivitu. Selle probleemi lahendamiseks on parandusrakendus lisatud 9. juuli 2024 värskendustele, mida saab kasutada "Windows UEFI CA 2023" serdi uuesti rakendamiseks DB-le (leevendus #1).
MÄRKUS Ärge kasutage seda parandusrakendust seadmes või süsteemis, mida on kirjeldatud jaotises Teadaolevad probleemid .
-
Avage seade, kus on rakendatud 9. juuli 2024 värskendused.
-
Kopeerige käsuaknas taasterakendus mäluseadmesse järgmiste käskude abil (eeldusel, et mäluseade on D:-draiv). Tippige iga käsk eraldi ja vajutage sisestusklahvi (Enter):
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Sisestage turvalise algkäivituse sätetega seadmesse vaikesätted, sisestage mäluseade, taaskäivitage seade ja käivitage see mäluseadmelt.
Värskenduste ajastus
Värskendused antakse välja järgmiselt.
-
Algjuurutus See etapp algas värskendustega, mis anti välja 9. mail 2023, ja pakkusid nende leevenduste lubamiseks põhilist leevendust koos käsitoimingutega.
-
Teine juurutamine See etapp algas 11. juulil 2023 välja antud värskendustega, mis lisasid probleemile leevendusmeetmete lubamiseks lihtsustatud etappe.
-
Hindamisfaas See etapp algab 9. aprillil 2024 ja lisab täiendavaid käivitushalduri leevendusi.
-
Juurutamise faas See on siis, kui julgustame kõiki kliente alustama leevendusmeetmete juurutamist ja meediumi värskendamist.
-
Jõustamisfaas Jõustamise etapp, mis muudab leevendused püsivaks. Selle faasi kuupäev loetakse ette hilisemal kuupäeval.
Märkus Väljalaske ajakava võib vastavalt vajadusele muuta.
Windowsi turbevärskenduste väljalase asendas selle etapi 9. aprillil 2024 või hiljem.
Windowsi turbevärskenduste väljalase asendas selle etapi 9. aprillil 2024 või hiljem.
Selles etapis palume teil neid muudatusi oma keskkonnas testida, et veenduda muudatuste õiges töötamises näidisseadmetega ja saada muudatustega kogemusi.
MÄRKUS Selle asemel, et proovida ammendavalt loetleda ja usaldada haavatavaid käivitushaldureid nagu eelmistes juurutamise etappides, lisame "Windows Production PCA 2011" allkirjastamisserdi turvalise algkäivituse keelamise loendisse (DBX), et tühistada kõik selle serdi allkirjastatud käivitushaldurid. See on usaldusväärsem meetod tagamaks, et kõik varasemad käivitushaldurid on ebausaldusväärsed.
Windowsi värskendused, mis on välja antud 9. aprillil 2024 või hiljem, lisavad järgmised.
-
Kolm uut leevendusmeetmete juhtelementi, mis asendavad 2023. aastal välja antud leevendused. Uued leevendusmeetmed on järgmised.
-
Juhtelement, mis juurutab "Windows UEFI CA 2023" serdi Secure Boot DB-s, et lisada usaldust selle serdi allkirjastatud Windowsi käivitushaldurite jaoks. Pange tähele, et sert "Windows UEFI CA 2023" võib olla installitud varasema Windowsi värskendusega.
-
Juhtelement käivitushalduri juurutamiseks, mis on allkirjastatud serdiga "Windows UEFI CA 2023".
-
Juhtelement " Windows Production PCA 2011" lisamiseks secure Boot DBX-i, mis blokeerib kõik selle serdi allkirjastatud Windowsi käivitushaldurid.
-
-
Võimalus lubada leevendusjuurutus järk-järgult, et teie vajadustest lähtuvalt oleks võimalik oma keskkonnas leevendusmeetmete juurutamise üle suuremat kontrolli anda.
-
Leevendused on interlocked nii, et neid ei saa juurutada vales järjestuses.
-
Lisasündmused, mis annavad teada seadmete olekut leevendusmeetmete rakendamise ajal. Lisateavet sündmuste kohta leiate teemast KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused.
See etapp on siis, kui julgustame kliente alustama leevendusmeetmete juurutamist ja meediumivärskenduste haldamist. Värskendused sisaldavad järgmist muudatust.
-
Lisatud on turbeversiooni numbri (SVN) tugi ja värskendatud SVN-i püsivara säte.
Järgmine on ülevaade ettevõttes juurutamise etappidest.
Märkus Lisajuhised selle artikli hilisemate värskendustega kaasamiseks.
-
Juurutage esimene leevendus kõigile enterprise'i seadmetele või hallatud seadmete rühmale Enterprise'is. See hõlmab järgmist:
-
Esimese leevenduse lubamine, mis lisab seadme püsivarale "Windows UEFI CA 2023" allkirjastamisserdi.
-
Jälgimine, et seadmed on edukalt lisanud "Windows UEFI CA 2023" allkirjastamisserdi.
-
-
Juurutage teine leevendus, mis rakendab seadmele värskendatud algkäivitushalduri.
-
Värskendage mis tahes nende seadmetega kasutatavat taaste- või välist algkäivitatavat kandjat.
-
Juurutage kolmas leevendus, mis võimaldab "Windows Production CA 2011" serdi tühistamist, lisades selle püsivara DBX-i.
-
Juurutage neljas leevendus, mis värskendab turvalise versiooninumbri (SVN) püsivarale.
Jõustamisetapp on vähemalt kuus kuud pärast juurutamise etappi. Kui jõustamisetapi jaoks antakse välja värskendused, sisaldavad need järgmist.
-
Sert "Windows Production PCA 2011" tühistatakse automaatselt, lisades turvalist algkäivituse UEFI keelatud loendisse (DBX) toega seadmetes. Need värskendused jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigile mõjutatud süsteemidele, ilma et oleks võimalik neid keelata.
CVE-2023-24932 seotud Windowsi sündmuselogi tõrked
Windowsi sündmuselogi kirjeid, mis on seotud DB ja DBX värskendamisega, on üksikasjalikult kirjeldatud KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused.
Leevendusmeetmete rakendamisega seotud õnnestumissündmused on loetletud järgmises tabelis.
|
Leevendussammud |
Sündmuse ID |
Märkused. |
|
DB värskenduse rakendamine |
1036 |
PCA2023 sert lisati andmebaasi. |
|
Käivitushalduri värskendamine |
1799 |
Rakendati allkirjastatud PCA2023 käivitushaldur. |
|
DBX-värskenduse rakendamine |
1037 |
Rakendati DBX-i värskendus, mis ei usalda PCA2011 allkirjaserti. |
Korduma kippuvad küsimused (KKK)
-
Seadme taastamiseks lugege jaotist Taasteprotseduur.
-
Järgige jaotises Algkäivitusprobleemide tõrkeotsing toodud juhiseid.
Enne tühistamiste rakendamist värskendage kõiki Windowsi operatsioonisüsteeme värskendustega, mis on välja antud 9. juulil 2024 või hiljem. Võimalik, et te ei saa pärast tühistamiste rakendamist käivitada ühtegi Windowsi versiooni, mida pole pärast tühistamist värskendatud vähemalt 9. juulil 2024 välja antud värskendustele. Järgige jaotises Algkäivitusprobleemide tõrkeotsing toodud juhiseid.
Algkäivitusprobleemide tõrkeotsing
Pärast kõigi kolme leevendusmeetmete rakendamist ei käivitu seadme püsivara Windows Production PCA 2011 allkirjastatud käivitushalduri abil. Püsivara teatatud algkäivituse tõrked on seadmepõhised. Lugege jaotist Taasteprotseduur .
Taasteprotseduur
Kui leevendusmeetmete rakendamisel läheb midagi valesti ja te ei saa seadet käivitada või peate käivitama väliskandjalt (nt mälupulgalt või PXE algkäivituselt), proovige järgmisi soovitusi.
-
Lülitage Secure Boot välja.See toiming erineb seadmetootjatest ja mudelitest. Sisestage oma seadmete UEFI BIOS-i menüü, liikuge secure Booti sätetele ja lülitage see välja. Lisateavet selle protsessi kohta leiate oma seadme tootja dokumentatsioonist. Lisateavet leiate artiklist Turvalise algkäivituse keelamine.
-
Lähtestage Secure Booti võtmed tehase vaikesätetele.
Kui seade toetab turvaliste algkäivitusvõtmete tehase vaikesätete lähtestamist, tehke see toiming kohe.
MÄRKUS Mõnel seadme tootjal on secure Booti muutujate jaoks nii suvand "Tühjenda" kui ka "Lähtesta", misjuhul tuleks kasutada "Reset". Eesmärk on viia Secure Booti muutujad tagasi tootjate vaikeväärtuste hulka.
Seade peaks käivituma kohe, kuid võtke arvesse, et see on algkäivituskomplekti ründevarale haavatav. Secure Booti uuesti lubamiseks viige kindlasti lõpule selle taasteprotsessi 5. toiming.
-
Proovige Windows käivitada süsteemikettalt.
-
Windowsi sisselogimine.
-
Käivitage järgmised käsud administraatori käsuviiba kaudu, et taastada algkäivitusfailid EFI süsteemi algkäivitussektsioonis. Tippige iga käsk eraldi ja vajutage sisestusklahvi (Enter):
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
BCDBooti käitamine tagastab "Algkäivitusfailid on loodud". Pärast selle teate kuvamist taaskäivitage seade uuesti Windowsisse.
-
-
Kui 3. juhis ei taasta seadet edukalt, installige Windows uuesti.
-
Käivitage seade olemasoleva taastekandja abil.
-
Jätkake Windowsi installimist taastekandja abil.
-
Windowsi sisselogimine.
-
Taaskäivitage Windows, et kontrollida, kas seade käivitatakse uuesti Windowsiga.
-
-
Lubage Secure Boot uuesti ja taaskäivitage seade.Sisestage seadme UEFI-liidese menüü, liikuge secure Booti sätetele ja lülitage see sisse. Lisateavet selle protsessi kohta leiate oma seadme tootja dokumentatsioonist. Lisateavet leiate jaotisest "Secure Booti uuesti lubamine".
Viited
-
Juhised Rünnete uurimiseks CVE-2022-21894 abil: BlackLotuse kampaania
-
DBX-värskenduste rakendamisel genereeritavate sündmuste kohta vt KB5016061: Haavatavate ja tühistatud algkäivitushaldurite käsitlemine.
Artiklis käsitletava kolmanda osapoole toote lõi Microsoftist sõltumatu ettevõte. Me ei anna nende toodete jõudluse ega töökindluse osas mitte mingigi kaudset ega muud garantiid.
Pakume kolmanda osapoole kontaktteavet, mis aitab teil leida tehnilist tuge. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Me ei taga selle kolmanda osapoole kontaktteabe täpsust.
|
Muudatuse kuupäev |
Muudatuse kirjeldus |
|
9. juuli 2024 |
|
|
9. aprill 2024 |
|
|
16. detsember 2023 |
|
|
15. mai 2023 |
|
|
11. mai 2023 |
|
|
10. mai 2023 |
|
|
9. mai 2023 |
|
|
27. juuni 2023 |
|
|
11. juuli 2023 |
|
|
25. august 2023 |
|
