TÄRKEÄ Ota 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin suojauspäivitys käyttöön osana tavallista kuukausittaista päivitysprosessia.
Tämä artikkeli koskee niitä organisaatioita, joiden tulisi alkaa arvioida julkistetun suojatun käynnistyksen ohituksen lievennyksiä BlackLotus UEFI -käynnistyspaketin avulla. Lisäksi kannattaa ottaa ennakoiva suojausasenne tai valmistautua käyttöönottoon. Huomaa, että tämä haittaohjelma edellyttää laitteen fyysistä tai hallinnollista käyttöoikeutta.
VAROITUS Kun tämän ongelman lieventäminen on otettu käyttöön laitteessa, eli lievennyksiä on käytetty, sitä ei voi palauttaa, jos jatkat suojatun käynnistyksen käyttöä kyseisessä laitteessa. Edes levyn uudelleenmuotoilu ei poista peruutuksia, jos ne on jo otettu käyttöön. Huomioi mahdolliset seuraukset ja testaa ne huolellisesti, ennen kuin otat tässä artikkelissa kuvatut peruutukset käyttöön laitteessasi.
Tässä artikkelissa
Yhteenveto
Tässä artikkelissa kuvataan suojaus julkistetun suojatun käynnistyksen suojausominaisuuden ohitusta vastaan, joka käyttää CVE-2023-24932:n jäljittämää BlackLotus UEFI -käynnistyspakettia, miten lievennykset otetaan käyttöön, ja ohjeita käynnistystietovälineisiin. Bootkit on haittaohjelma, joka on suunniteltu lataamaan mahdollisimman aikaisin laitteiden käynnistysjärjestyksessä käyttöjärjestelmän käynnistyksen hallitsemiseksi.
Microsoft suosittelee suojattua käynnistystä turvallisen ja luotetun polun luottamiseen Unified Extensible Firmware Interface (UEFI) -liittymästä Windows-ytimen luotetun käynnistyssarjan kautta. Suojattu käynnistys auttaa estämään käynnistysohjelman haittaohjelmia käynnistysjärjestyksessä. Jos poistat suojatun käynnistyksen käytöstä, laite on vaarassa saada bootkit-haittaohjelman tartunnan. CVE-2023-24932 -päivityksessä kuvatun suojatun käynnistyksen ohituksen korjaaminen edellyttää käynnistyspäälliköiden peruuttamista. Tämä voi aiheuttaa ongelmia joissakin laitteen käynnistysmäärityksissä.
CVE-2023-24932:ssa yksityiskohtaiset suojatun käynnistyksen ohitussuojauksen lievennykset sisältyvät Windowsin suojauspäivityksiin, jotka julkaistiin 9. heinäkuuta 2024 tai sen jälkeen. Nämä lievennykset eivät kuitenkaan ole oletusarvoisesti käytössä. Näiden päivitysten avulla suosittelemme, että alat arvioida näitä muutoksia ympäristössäsi. Täydellinen aikataulu on kuvattu Päivitysten ajoitus - osassa.
Ennen kuin otat nämä lievennykset käyttöön, tarkista tämän artikkelin tiedot perusteellisesti ja määritä, onko sinun otettava lievennykset käyttöön vai odotettava Microsoftin tulevaa päivitystä. Jos otat lievennykset käyttöön, sinun on varmistettava, että laitteesi ovat päivitettyjä ja valmiita, ja ymmärrettävä tässä artikkelissa kuvatut riskit.
Toimi
Tässä versiossa on noudatettava seuraavia ohjeita: Vaihe 1: Asenna 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin suojauspäivitys kaikkiin tuettuihin versioihin. Vaihe 2: Arvioi muutokset ja niiden vaikutus ympäristöön. Vaihe 3: Pakota muutokset. |
Vaikutusalue
BlackLotus-käynnistyspaketti vaikuttaa kaikkiin Windows-laitteisiin, joissa suojatun käynnistyksen suojaus on käytössä. Lievennykset ovat käytettävissä tuetuissa Windows-versioissa. Täydellinen luettelo on artikkelissa CVE-2023-24932.
Riskien ymmärtäminen
Haittaohjelmariski: Jotta tässä artikkelissa kuvattu BlackLotus UEFI -bootkit-hyökkäys on mahdollinen, hyökkääjän on hankittava järjestelmänvalvojan oikeudet laitteessa tai saatava fyysinen pääsy laitteeseen. Tämän voi tehdä käyttämällä laitetta fyysisesti tai etäyhteyden kautta, esimerkiksi käyttämällä hypervisoria virtuaalikoneiden/pilvipalveluiden käyttämiseen. Hyökkääjä käyttää usein tätä haavoittuvuutta jatkaakseen sellaisen laitteen hallintaa, jota hän voi jo käyttää ja mahdollisesti käsitellä. Tämän artikkelin lievennykset ovat ehkäiseviä eivätkä korjaavia. Jos laitteeseesi on jo murtauduttu, pyydä apua suojauspalveluntarjoajaltasi.
Palautustietoväline: Jos kohtaat laitteen kanssa ongelman lievennysten käyttöönoton jälkeen ja laite muuttuu käynnistymättömäksi, et ehkä pysty käynnistämään tai palauttamaan laitetta aiemmin luodusta tietovälineestä. Palautus- tai asennustietoväline on päivitettävä niin, että se toimii laitteessa, jossa lievennykset ovat käytössä.
Laiteohjelmisto-ongelmat: Kun Windows käyttää tässä artikkelissa kuvattuja lievennyksiä, sen on käytettävä laitteen UEFI-laiteohjelmistoa suojatun käynnistyksen arvojen päivittämiseen (päivityksiä käytetään tietokantaavaimeen (DB) ja kiellettyyn allekirjoitusavaimeen (DBX).) Joissakin tapauksissa meillä on kokemusta laitteista, jotka epäonnistuvat päivityksissä. Teemme yhteistyötä laitevalmistajien kanssa näiden tärkeiden päivitysten testaamiseksi mahdollisimman monessa laitteessa.
MUISTIINPANO Testaa ensin nämä lievennykset yhdellä laitteella laiteluokkaa kohti ympäristössäsi mahdollisten laiteohjelmisto-ongelmien havaitsemiseksi. Älä ota käyttöön laajasti ennen kuin varmistat, että kaikki ympäristösi laiteluokat on arvioitu.
BitLocker-palautus: Jotkin laitteet saattavat siirtyä BitLocker-palautukseen. Muista säilyttää BitLocker-palautusavaimen kopio, ennen kuin otat lievennykset käyttöön.
Tunnetut ongelmat
Laiteohjelmisto-ongelmat:Kaikki laitteen laiteohjelmistot eivät päivitä suojattua käynnistystä DB tai DBX. Olemme ilmoittaneet ongelmasta laitteen valmistajalle, jos olemme tietoisia siitä. Katso lokiin kirjattujen tapahtumien tiedot artikkelista KB5016061: Suojattu käynnistys DB ja DBX-muuttujapäivitystapahtumat . Pyydä laiteohjelmistopäivityksiä laitteen valmistajalta. Jos laitetta ei tueta, Microsoft suosittelee laitteen päivittämistä.
Tunnetut laiteohjelmisto-ongelmat:
MUISTIINPANO Seuraavat tunnetut ongelmat eivät vaikuta 9. heinäkuuta 2024 julkaistujen päivitysten asentamiseen eivätkä estä niiden asentamista. Useimmissa tapauksissa lievennyksiä ei sovelleta silloin, kun tunnettuja ongelmia on olemassa. Katso kunkin tunnetun ongelman tiedot.
-
HV: HP havaitsi ongelman HP Z4G4 Workstation -tietokoneiden lievennysasennuksessa ja julkaisee päivitetyn Z4G4 UEFI -laiteohjelmiston (BIOS) tulevina viikkoina. Lievennyksen onnistuneen asennuksen varmistamiseksi se estetään työasemien työasemilla, kunnes päivitys on saatavilla. Asiakkaiden tulee aina päivittää uusimpaan bios-järjestelmään ennen lievennyksen soveltamista.
-
HP-laitteet, joissa on Varma aloitussuojaus: Nämä laitteet tarvitsevat HP:n uusimmat laiteohjelmistopäivitykset lievennysten asentamista varten. Lievennykset estetään, kunnes laiteohjelmisto päivitetään. Asenna uusin laiteohjelmistopäivitys HPs-tukisivulta – Viralliset HP-ohjaimet ja ohjelmistolataukset | HP-tuki.
-
Arm64-pohjaiset laitteet: Lievennykset estetään Qualcomm-pohjaisten laitteiden tunnettujen UEFI-laiteohjelmisto-ongelmien vuoksi. Microsoft työskentelee Qualcommin kanssa tämän ongelman ratkaisemiseksi. Qualcomm tarjoaa korjauksen laitevalmistajille. Ota yhteyttä laitteen valmistajaan ja selvitä, onko ongelmaan saatavilla korjausta. Microsoft lisää tunnistuksen, jotta lievennyksiä voidaan käyttää laitteissa, kun kiinteä laiteohjelmisto havaitaan. Jos Arm64-pohjaisessa laitteessasi ei ole Qualcomm-laiteohjelmistoa, ota lievennykset käyttöön määrittämällä seuraava rekisteriavain.
Rekisterin aliavain
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Näppäinarvon nimi
SkipDeviceCheck
Tietotyyppi
REG_DWORD
Tiedot
1
-
Omena:Mac-tietokoneet, joissa on Apple T2 Security Chip -siru, tukevat suojattua käynnistystä. UEFI-suojaukseen liittyvien muuttujien päivittäminen on kuitenkin käytettävissä vain macOS-päivitysten osana. Boot Camp -käyttäjien odotetaan näkevän näihin muuttujiin liittyvän tapahtumalokimerkinnän Tapahtumatunnus 1795 Windowsissa. Lisätietoja tästä lokimerkinnästä on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.
-
VMware:VMware-pohjaisissa virtualisointiympäristöissä virtuaalikone, joka käyttää x86-pohjaista suoritinta ja suojattu käynnistys on käytössä, ei käynnisty lievennysten käyttöönoton jälkeen. Microsoft koordinoi VMwaren kanssa tämän ongelman ratkaisemiseksi.
-
TPM 2.0 -pohjaiset järjestelmät: Nämä järjestelmät, joissa on Käytössä Windows Server 2012 ja Windows Server 2012 R2, eivät voi ottaa käyttöön 9. heinäkuuta 2024 julkaistuja suojauspäivitystä koskevia lievennyksiä TPM-mittauksiin liittyvien tunnettujen yhteensopivuusongelmien vuoksi. 9. heinäkuuta 2024 julkaistut suojauspäivitykset estävät järjestelmien lievennykset #2 (käynnistyksen hallinta) ja #3 (DBX-päivitys).tpm.msc. Keskiruudun oikeassa alakulmassa TPM-turvapiirin valmistajan tiedot -kohdassa pitäisi näkyä määrityksen version arvo.
Microsoft on tietoinen ongelmasta, ja myöhemmin julkaistaan päivitys TPM 2.0 -pohjaisten järjestelmien eston poistamiseksi. Voit tarkistaa TPM-versiosi napsauttamalla käynnistä-painiketta hiiren kakkospainikkeella, valitsemalla Suorita ja kirjoittamalla sitten -
Symantecin päätepisteen salaus: Suojatun käynnistyksen lievennyksiä ei voi käyttää järjestelmissä, jotka ovat asentaneet Symantecin päätepisteen salauksen. Microsoft ja Symantec ovat tietoisia ongelmasta, ja ne korjataan tulevassa päivityksessä.
Tämän julkaisun ohjeet
Noudata tässä versiossa näitä kahta vaihetta.
Vaihe 1: Asenna Windowsin suojauspäivitys CVE-2023-24932:n lievennyksiä, mutta ne eivät ole oletusarvoisesti käytössä. Kaikkien Windows-laitteiden on suoritettava tämä vaihe riippumatta siitä, aiotko ottaa lievennykset käyttöön.
Asenna 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin kuukausittainen suojauspäivitys tuettuihin Windows-laitteisiin. Nämä päivitykset sisältävätVaihe 2: Muutosten
arvioiminen Suosittelemme, että toimit seuraavasti:-
Tutustu kahteen ensimmäiseen lievennykseen, jotka sallivat suojatun käynnistyksen DB:n päivittämisen ja käynnistyksen hallinnan päivittämisen.
-
Tarkista päivitetty aikataulu.
-
Aloita kahden ensimmäisen lievennysympäristösi edustavien laitteiden testaaminen.
-
Aloita käyttöönoton suunnittelu.
Vaihe 3: Muutosten pakottaminen
Kehotamme sinua ymmärtämään riskit, jotka on kutsuttu Riskien ymmärtäminen -osiossa.
-
Tutustu palautuksen ja muiden käynnistystietovälineiden vaikutuksiin.
-
Aloita kolmannen lievennyksen testaaminen, joka ei luota kaikkien aiempien Windows-käynnistysten valvojien allekirjoitusvarmenteeseen.
Lievennyksen käyttöönoton ohjeet
Asenna 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin kuukausittainen ylläpitopäivitys tuettuihin Windows-laitteisiin ennen näiden ohjeiden noudattamista. Tämä päivitys sisältää CVE-2023-24932-lievennyksiä, mutta ne eivät ole oletusarvoisesti käytössä. Kaikkien Windows-laitteiden tulee suorittaa tämä vaihe riippumatta suunnitelmastasi, jotta lievennykset voidaan ottaa käyttöön.
MUISTIINPANO Jos käytät BitLockeria, varmista, että BitLocker-palautusavain on varmuuskopioitu. Voit suorittaa seuraavan komennon järjestelmänvalvojan komentokehotteesta ja merkitä 48-numeroisen numerosalasanamerkin:
manage-bde -protectors -get %systemdrive%
Ota päivitys käyttöön ja ota peruutukset käyttöön seuraavasti:
-
Asenna päivitetyt varmennemääritykset DB:hen.
Tämä vaihe lisää "Windows UEFI CA 2023" -varmenteen UEFI "Secure Boot Signature Database" (DB) -tietokantaan. Lisäämällä tämän varmenteen DB:hen laitteen laiteohjelmisto luottaa tämän varmenteen allekirjoittamiin käynnistyssovelluksiin.
-
Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain suorittamaan DB-päivitys kirjoittamalla seuraava komento:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
TÄRKEÄ Varmista, että laite käynnistetään uudelleen kaksi kertaa päivityksen asennuksen viimeistelemiseksi, ennen kuin siirryt vaiheisiin 2 ja 3.
-
Suorita seuraava PowerShell-komento järjestelmänvalvojana ja varmista, että DB on päivitetty onnistuneesti. Tämän komennon pitäisi palauttaa arvo Tosi.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Päivitä laitteesi käynnistyksen hallinta.
Tämä vaihe asentaa laitteeseesi käynnistyksen hallintasovelluksen, joka on allekirjoitettu Windows UEFI CA 2023 -varmenteella.
-
Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain asentamaan "'Windows UEFI CA 2023" allekirjoitettu käynnistyksen hallinta:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Käynnistä laite uudelleen kaksi kertaa.
-
Järjestelmänvalvojana ota EFI-osio käyttöön ja valmistele se tarkastusta varten:
mountvol s: /s
-
Tarkista, että "s:\efi\microsoft\boot\bootmgfw.efi" -tiedosto on allekirjoitettu Windows UEFI CA 2023 -varmenteella. Voit tehdä tämän seuraavasti:
-
Valitse Käynnistä, kirjoita hakuruutuun komentokehote ja valitse sitten Komentokehote.
-
Kirjoita Komentokehote-ikkunaan seuraava komento ja paina sitten Enter-näppäintä:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Napsauta Tiedostonhallinnassa hiiren kakkospainikkeella tiedostoa C:\bootmgfw_2023.efi, valitse Ominaisuudet ja valitse sitten Digitaaliset allekirjoitukset -välilehti.
-
Vahvista Allekirjoitus-luettelossa, että varmenneketju sisältää Windows UEFI CA 2023:n. Varmenneketjun pitäisi vastata seuraavaa näyttökuvaa:
-
-
-
Ota kumous käyttöön.
UEFI Forbidden List (DBX) -luetteloa käytetään estämään ei-luotettujen UEFI-moduulien lataaminen. Tässä vaiheessa DBX:n päivittäminen lisää "Windows Production CA 2011" -varmenteen DBX:een. Tämä aiheuttaa sen, että kaikkia tämän varmenteen allekirjoittamia käynnistyspäälliköitä ei enää luoteta.
VAROITUS: Ennen kuin otat käyttöön kolmannen lievennyksen, luo palautus flash-asema, jota voidaan käyttää järjestelmän käynnistämiseen. Lisätietoja tästä on Ohjeaiheessa Windowsin asennustietovälineen päivittäminen.
Jos järjestelmäsi on käynnistymättömässä tilassa, palauta laite peruuttamista edeltävään tilaan noudattamalla palautustoimintosarjan osion ohjeita.
-
Lisää Windows Production PCA 2011 -varmenne suojatun käynnistyksen UEFI-kiellettyjen luetteloon (DBX). Voit tehdä tämän avaamalla komentokehoteikkunan järjestelmänvalvojana, kirjoittamalla seuraavan komennon ja painamalla sitten Enter-näppäintä:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Käynnistä laite uudelleen kaksi kertaa ja varmista, että se on täysin käynnistynyt uudelleen.
-
Tarkista, että asennus- ja peruutusluettelo on otettu käyttöön, etsimällä tapahtumalokista tapahtuma 1037.artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat. Voit myös suorittaa seuraavan PowerShell-komennon järjestelmänvalvojana ja varmistaa, että se palauttaa arvon Tosi:
Lisätietoja tapahtumasta 1037 on[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
-
Ota SVN-päivitys käyttöön laiteohjelmistossa.
Vaiheessa 2 käyttöön otetun käynnistyksen hallinta sisältää uuden itseisännöinnin valmiina ominaisuutena. Kun käynnistyksen hallinta käynnistyy, se suorittaa itsetarkistuksen vertaamalla laiteohjelmistoon tallennettua suojattua versionumeroa (SVN) käynnistyksen hallintaan sisältyvään SVN:iin. Jos käynnistyksen hallinnan SVN on pienempi kuin laiteohjelmistoon tallennettu SVN, käynnistyksen hallinta ei suostu suorittamaan sitä. Tämä ominaisuus estää hyökkääjää peruuttamasta käynnistyksen hallintaa vanhaan, päivittämattomaan versioon. Tulevissa päivityksissä, kun merkittävä tietoturvaongelma on korjattu käynnistyksen hallinnassa, SVN-numero kasvaa sekä käynnistyksen hallinnassa että laiteohjelmiston päivityksessä. Molemmat päivitykset julkaistaan samassa kumulatiivisessa päivityksessä sen varmistamiseksi, että korjatut laitteet on suojattu. Aina kun SVN päivitetään, kaikki käynnistettävät tietovälineet on päivitettävä. 9. heinäkuuta 2024 alkaen SVN:ää lisätään käynnistyksen hallinnassa ja laiteohjelmiston päivityksessä. Laiteohjelmistopäivitys on valinnainen, ja sitä voi käyttää seuraavasti:-
Avaa Järjestelmänvalvoja-komentokehote ja asenna "'Windows UEFI CA 2023" allekirjoitettu käynnistyksen hallinta suorittamalla seuraava komento:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Käynnistä laite uudelleen kaksi kertaa.
-
Käynnistystietoväline
Käynnistystietovälineen päivittäminen on tärkeää, kun käyttöönottovaihe alkaa ympäristössäsi.
Ohjeita käynnistystietovälineen päivittämiseen on tulossa tämän artikkelin tulevissa päivityksissä. Seuraavassa osassa voit luoda USB-muistitikun laitteen palauttamista varten.
Windowsin asennustietovälineen päivittäminen
MUISTIINPANO Kun luot usb-muistitikkua, muista alustaa asema FAT32-tiedostojärjestelmän avulla.
Voit käyttää Luo palautusasema -sovellusta seuraavasti. Tämän tietovälineen avulla voit asentaa laitteen uudelleen siltä varalta, että ilmenee suuri ongelma, kuten laitteistovirhe, voit käyttää palautusasemaa Windowsin uudelleenasentamiseen.
-
Siirry laitteeseen, jossa on otettu käyttöön 9. heinäkuuta 2024 julkaistut päivitykset ja ensimmäinen lievennysvaihe (suojatun käynnistyksen DB:n päivittäminen).
-
Etsi käynnistä-valikosta Ohjauspaneelin Luo palautusasema -sovelmalla ja luo palautusasema noudattamalla ohjeita.
-
Kun juuri luotu muistitikku on otettu käyttöön (esimerkiksi asemalla "D:"), suorita seuraavat komennot järjestelmänvalvojana. Kirjoita kukin seuraavista komennoista ja paina sitten Enter-näppäintä:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Jos hallitset asennettavia tietovälineitä ympäristössäsi käyttämällä Windowsin päivitystietovälinettä dynaamisen päivityksen ohjeiden avulla , toimi seuraavasti. Nämä lisävaiheet luovat käynnistysaseman, joka käyttää Windows UEFI CA 2023 -allekirjoitusvarmenteen allekirjoittamia käynnistystiedostoja.
-
Siirry laitteeseen, jossa on otettu käyttöön 9. heinäkuuta 2024 päivitykset ja ensimmäinen lievennysvaihe (suojatun käynnistyksen DB:n päivittäminen).
-
Luo mediasisältö 9. heinäkuuta 2024 julkaistujen päivitysten avulla noudattamalla alla olevan linkin ohjeita. Windowsin asennustietovälineen päivittäminen dynaamisella päivityksellä
-
Aseta tietovälineen sisältö USB-muistitikulle ja asenna muistitikku asemakirjainna. Ota esimerkiksi muistitikku käyttöön muodossa "D:".
-
Suorita seuraavat komennot komentoikkunasta järjestelmänvalvojana. Kirjoita kukin seuraavista komennoista ja paina sitten Enter-näppäintä.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Jos laitteen suojatun käynnistyksen asetukset palautetaan oletusarvoon lievennysten käyttöönoton jälkeen, laite ei käynnisty. Ongelman ratkaisemiseksi 9. heinäkuuta 2024 julkaistuihin päivityksiin sisältyy korjaussovellus, jonka avulla voidaan ottaa uudelleen käyttöön Windows UEFI CA 2023 -varmenne DB:hen (lievennys #1).
MUISTIINPANO Älä käytä tätä korjaussovellusta laitteessa tai järjestelmässä, joka on kuvattu Tunnetut ongelmat -osassa.
-
Siirry laitteeseen, jossa on otettu käyttöön 9. heinäkuuta 2024 julkaistut päivitykset.
-
Kopioi palautussovellus komentoikkunassa muistitikkuun seuraavien komentojen avulla (olettaen, että muistitikku on D:-asema). Kirjoita kukin komento erikseen ja paina sitten Enter-näppäintä:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Aseta muistitikku oletusasetuksiin laitteessa, jossa suojatun käynnistyksen asetukset on palautettu oletusasetuksiin, käynnistä laite uudelleen ja käynnistä se muistitikusta.
Päivitysten ajoitus
Päivitykset julkaistaan seuraavasti:
-
Ensimmäinen käyttöönotto Tämä vaihe alkoi 9.5.2023 julkaistuilla päivityksillä, ja se tarjosi perusvähennyksiä manuaalisin vaihein näiden lievennysten mahdollistamiseksi.
-
Toinen käyttöönotto Tämä vaihe alkoi 11. heinäkuuta 2023 julkaistuilla päivityksillä, jotka lisäsivät yksinkertaistettuja vaiheita ongelman lieventämiseksi.
-
Arviointivaihe Tämä vaihe alkaa 9. huhtikuuta 2024 ja lisää käynnistyksen hallinnan lievennyksiä.
-
Käyttöönottovaihe Tässä yhteydessä kannustamme kaikkia asiakkaita aloittamaan lievennysten käyttöönoton ja mediatietojen päivittämisen.
-
Pakotusvaihe Täytäntöönpanovaihe, joka tekee lievennyksistä pysyviä. Tämän vaiheen päivämäärä ilmoitetaan myöhemmin.
Huomautus Julkaisuaikataulua voidaan tarvittaessa muuttaa.
Tämä vaihe on korvattu Windowsin suojauspäivitysten julkaisulla 9. huhtikuuta 2024 tai sen jälkeen.
Tämä vaihe on korvattu Windowsin suojauspäivitysten julkaisulla 9. huhtikuuta 2024 tai sen jälkeen.
Tässä vaiheessa pyydämme testaamaan nämä muutokset ympäristössäsi varmistaaksesi, että muutokset toimivat oikein edustavien mallilaitteiden kanssa ja jotta saat käyttökokemusta muutoksista.
MUISTIINPANO Sen sijaan, että yrittäisimme luetteloita perusteellisesti ja olla luottamatta haavoittuviin käynnistyspäälliköihin, kuten edellisessä käyttöönottovaiheessa, lisäämme "Windows Production PCA 2011" -allekirjoitusvarmenteen DBX (Secure Boot Disallow List) -luetteloon, jotta emme luota kaikkiin tämän varmenteen allekirjoittamiin käynnistyspäälliköihin. Tämä on luotettavampi tapa varmistaa, että kaikkiin aiempiin käynnistyspäälliköihin ei luoteta.
Lisää 9. huhtikuuta 2024 tai sen jälkeen julkaistut Windows-päivitykset seuraavasti:
-
Kolme uutta lievennysvalvontaa, jotka korvaavat vuonna 2023 julkaistut lievennykset. Uudet lievennysvalvontakeinot ovat seuraavat:
-
Windows UEFI CA 2023 -varmenteen käyttöönotto suojatun käynnistyksen DB:ssä ohjausobjekti, joka lisää tällä varmenteella allekirjoitettujen Windows-käynnistyspäälliköiden luottamuksen. Huomaa, että Windows UEFI CA 2023 -varmenne on saatettu asentaa aiemmassa Windows-päivityksessä.
-
Windows UEFI CA 2023 -varmenteen allekirjoittaman käynnistyshallinnan käyttöönottoohjausobjekti.
-
Ohjausobjekti, joka lisää "Windows Production PCA 2011" suojatun käynnistyksen DBX:een, joka estää kaikki tällä varmenteella allekirjoitetut Windowsin käynnistyksen valvojat.
-
-
Mahdollisuus ottaa lievennyksen käyttöönotto käyttöön vaiheittain itsenäisesti, jotta voit hallita ympäristön lievennyksiä paremmin tarpeittesi mukaan.
-
Lievennykset on yhdistetty siten, että niitä ei voi ottaa käyttöön väärässä järjestyksessä.
-
Muita tapahtumia, jotka tietävät laitteiden tilan, kun ne soveltavat lievennyksiä. Lisätietoja tapahtumista on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.
Tässä vaiheessa kehotamme asiakkaita ottamaan lievennykset käyttöön ja hallitsemaan mediapäivityksiä. Päivitykset sisältävät seuraavan muutoksen:
-
Lisätty SVN (Secure Version Number) -tuki ja päivitetyn SVN:n määrittäminen laiteohjelmistoon.
Seuraavassa on kuvattu yrityksen käyttöönottovaiheet.
Huomautus Lisäohjeita tämän artikkelin myöhempää päivitystä varten.
-
Ota ensimmäinen lievennys käyttöön kaikkiin enterprise-laitteisiin tai hallittuun laiteryhmään Enterprisessa. Tällaista sisältöä voivat olla seuraavat:
-
Osallistumalla ensimmäiseen lievennykseen, joka lisää "Windows UEFI CA 2023" -allekirjoitusvarmenteen laitteen laiteohjelmistoon.
-
Valvo, että laitteet ovat lisänneet Onnistuneesti Windows UEFI CA 2023 -allekirjoitusvarmenteen.
-
-
Ota käyttöön toinen lievennys, joka käyttää päivitettyä käynnistyksen hallintaa laitteessa.
-
Päivitä näiden laitteiden kanssa käytettävä palautustietoväline tai ulkoinen käynnistystietoväline.
-
Ota käyttöön kolmas lievennys, joka mahdollistaa Windows Production CA 2011 -varmenteen peruuttamisen lisäämällä sen laiteohjelmiston DBX:een.
-
Ota käyttöön neljäs lievennys, joka päivittää suojatun version numeron (SVN) laiteohjelmistoon.
Käyttöönottovaihe on vähintään kuusi kuukautta käyttöönottovaiheen jälkeen. Kun pakotusvaiheeseen julkaistaan päivityksiä, ne sisältävät seuraavat:
-
Windows Production PCA 2011 -varmenne kumotaan automaattisesti lisäämällä se suojatun käynnistyksen UEFI-kiellettyjen luetteloon (DBX) kyvykkäissä laitteissa. Nämä päivitykset otetaan käyttöön ohjelmallisesti sen jälkeen, kun Windows-päivitykset on asennettu kaikkiin järjestelmiin, joihin päivitys vaikuttaa, eikä niitä voi poistaa käytöstä.
Windowsin tapahtumalokivirheet, jotka liittyvät CVE-2023-24932:een
DB: n ja DBX: n päivittämiseen liittyvät Windowsin tapahtumalokimerkinnät on kuvattu yksityiskohtaisesti KB5016061 : Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.
Lievennysten soveltamiseen liittyvät onnistumistapahtumat on lueteltu seuraavassa taulukossa.
Lievennysvaihe |
Tapahtumatunnus |
Huomautukset |
DB-päivityksen käyttäminen |
1036 |
PCA2023 varmenne lisättiin DB:hen. |
Käynnistyksen hallinnan päivittäminen |
1799 |
PCA2023 allekirjoitetun käynnistyksen hallinta otettiin käyttöön. |
DBX-päivityksen käyttäminen |
1037 |
Käytettiin DBX-päivitystä, joka ei luota PCA2011 allekirjoitusvarmenteeseen. |
Usein kysytyt kysymykset (usein kysytyt kysymykset)
-
Lisätietoja laitteen palauttamisesta on Palautusmenettely-osassa.
-
Noudata Käynnistysongelmien vianmääritys -osion ohjeita.
Päivitä kaikki Windows-käyttöjärjestelmät 9. heinäkuuta 2024 tai sen jälkeen julkaistuilla päivityksillä ennen peruutusten käyttöönottoa. Et ehkä pysty käynnistämään mitään Windows-versiota, jota ei ole päivitetty vähintään 9. heinäkuuta 2024 julkaistuihin päivityksiin peruuttamisen jälkeen. Noudata Käynnistysongelmien vianmääritys -osion ohjeita.
Katso Käynnistysongelmien vianmääritys -osa.
Käynnistysongelmien vianmääritys
Kun kaikki kolme lievennystä on otettu käyttöön, laitteen laiteohjelmisto ei käynnisty Windows Production PCA 2011:n allekirjoittamalla käynnistyshallinnalla. Laiteohjelmiston ilmoittamat käynnistysvirheet ovat laitekohtaisia. Katso Palautusmenettely-osio .
Palautusmenettely
Jos jokin menee vikaan lievennysten käyttöönoton aikana etkä pysty käynnistämään laitetta tai sinun on aloitettava ulkoisesta tietovälineestä (kuten muistitikusta tai PXE-käynnistys), kokeile seuraavia ehdotuksia:
-
Poista suojattu käynnistys käytöstä.Suojatun käynnistyksen poistaminen käytöstä.
Tämä toimenpide eroaa laitevalmistajien ja -mallien välillä. Kirjoita laitteisiisi UEFI BIOS -valikko, siirry Suojatun käynnistyksen asetuksiin ja poista se käytöstä. Lisätietoja tästä prosessista on laitteen valmistajan ohjeissa. Lisätietoja on artikkelissa -
Palauta suojatun käynnistyksen näppäimet tehdasasetuksiin.
Jos laite tukee suojattujen käynnistysnäppäinten oletusasetusten palauttamista, suorita tämä toiminto nyt.
MUISTIINPANO Joillakin laitevalmistajilla on sekä "Tyhjennä" että "Palauta" -vaihtoehto suojatun käynnistyksen muuttujille, jolloin "Palauta" on käytettävä. Tavoitteena on palauttaa suojatun käynnistyksen muuttujat valmistajien oletusarvoihin.
Laitteesi pitäisi käynnistyä nyt, mutta huomaa, että se on altis käynnistysohjelman haittaohjelmille. Varmista, että suoritat tämän palautusprosessin vaiheen 5 ottaaksesi suojatun käynnistyksen uudelleen käyttöön.
-
Yritä käynnistää Windows järjestelmälevyltä.
-
Kirjaudu Sisään Windowsiin.
-
Suorita seuraavat komennot järjestelmänvalvojan komentokehotteesta, jotta voit palauttaa käynnistystiedostot EFI-järjestelmän käynnistysosiossa. Kirjoita kukin komento erikseen ja paina sitten Enter-näppäintä:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
BCDBoot-komennon suorittaminen palauttaa "Käynnistystiedostojen luominen onnistui". Kun tämä viesti on näkyvissä, käynnistä laite uudelleen Windowsiin.
-
-
Jos vaihe 3 ei palauta laitetta onnistuneesti, asenna Windows uudelleen.
-
Käynnistä laite olemassa olevasta palautustietovälineestä.
-
Jatka Windowsin asentamista palautustietovälineen avulla.
-
Kirjaudu Sisään Windowsiin.
-
Käynnistä Windows uudelleen varmistaaksesi, että laite käynnistyy takaisin Windowsiin.
-
-
Ota suojattu käynnistys uudelleen käyttöön ja käynnistä laite uudelleen.
Kirjoita laitteen UEFI-valikko, siirry suojatun käynnistyksen asetuksiin ja ota se käyttöön. Lisätietoja tästä prosessista on laitteen valmistajan ohjeissa. Lisätietoja on Ota suojattu käynnistys uudelleen käyttöön -osassa.
Lisätietoja
-
Ohjeita hyökkäysten tutkimiseen CVE-2022-21894: BlackLotus-kampanja
-
Suojatun käynnistyksen ottaminen käyttöön rekisteröidyissä Windows-laitteissa
-
Tietoja tapahtumista, jotka luodaan DBX-päivitysten käyttöönoton yhteydessä, on artikkelissa KB5016061: Heikossa asemassa olevien ja kumottujen käynnistyspäälliköiden korjaaminen.
Tässä artikkelissa mainitut kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita näiden tuotteiden suorituskyvystä tai luotettavuudesta.
Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.
Muutoksen päivämäärä |
Muutoksen kuvaus |
9. heinäkuuta 2024 |
|
9. huhtikuuta 2024 |
|
16. joulukuuta 2023 |
|
15. toukokuuta 2023 |
|
11. toukokuuta 2023 |
|
10. toukokuuta 2023 |
|
9. toukokuuta 2023 |
|
27. kesäkuuta 2023 |
|
11. heinäkuuta 2023 |
|
25. elokuuta 2023 |
|