Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

TÄRKEÄ Ota 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin suojauspäivitys käyttöön osana tavallista kuukausittaista päivitysprosessia.

Tämä artikkeli koskee niitä organisaatioita, joiden tulisi alkaa arvioida julkistetun suojatun käynnistyksen ohituksen lievennyksiä BlackLotus UEFI -käynnistyspaketin avulla. Lisäksi kannattaa ottaa ennakoiva suojausasenne tai valmistautua käyttöönottoon. Huomaa, että tämä haittaohjelma edellyttää laitteen fyysistä tai hallinnollista käyttöoikeutta.

VAROITUS Kun tämän ongelman lieventäminen on otettu käyttöön laitteessa, eli lievennyksiä on käytetty, sitä ei voi palauttaa, jos jatkat suojatun käynnistyksen käyttöä kyseisessä laitteessa. Edes levyn uudelleenmuotoilu ei poista peruutuksia, jos ne on jo otettu käyttöön. Huomioi mahdolliset seuraukset ja testaa ne huolellisesti, ennen kuin otat tässä artikkelissa kuvatut peruutukset käyttöön laitteessasi.

Tässä artikkelissa

Yhteenveto

Tässä artikkelissa kuvataan suojaus julkistetun suojatun käynnistyksen suojausominaisuuden ohitusta vastaan, joka käyttää CVE-2023-24932:n jäljittämää BlackLotus UEFI -käynnistyspakettia, miten lievennykset otetaan käyttöön, ja ohjeita käynnistystietovälineisiin. Bootkit on haittaohjelma, joka on suunniteltu lataamaan mahdollisimman aikaisin laitteiden käynnistysjärjestyksessä käyttöjärjestelmän käynnistyksen hallitsemiseksi.

Microsoft suosittelee suojattua käynnistystä turvallisen ja luotetun polun luottamiseen Unified Extensible Firmware Interface (UEFI) -liittymästä Windows-ytimen luotetun käynnistyssarjan kautta. Suojattu käynnistys auttaa estämään käynnistysohjelman haittaohjelmia käynnistysjärjestyksessä. Jos poistat suojatun käynnistyksen käytöstä, laite on vaarassa saada bootkit-haittaohjelman tartunnan. CVE-2023-24932 -päivityksessä kuvatun suojatun käynnistyksen ohituksen korjaaminen edellyttää käynnistyspäälliköiden peruuttamista. Tämä voi aiheuttaa ongelmia joissakin laitteen käynnistysmäärityksissä.

CVE-2023-24932:ssa yksityiskohtaiset suojatun käynnistyksen ohitussuojauksen lievennykset sisältyvät Windowsin suojauspäivityksiin, jotka julkaistiin 9. heinäkuuta 2024 tai sen jälkeen. Nämä lievennykset eivät kuitenkaan ole oletusarvoisesti käytössä. Näiden päivitysten avulla suosittelemme, että alat arvioida näitä muutoksia ympäristössäsi. Täydellinen aikataulu on kuvattu Päivitysten ajoitus - osassa.

Ennen kuin otat nämä lievennykset käyttöön, tarkista tämän artikkelin tiedot perusteellisesti ja määritä, onko sinun otettava lievennykset käyttöön vai odotettava Microsoftin tulevaa päivitystä. Jos otat lievennykset käyttöön, sinun on varmistettava, että laitteesi ovat päivitettyjä ja valmiita, ja ymmärrettävä tässä artikkelissa kuvatut riskit. 

Toimi 

Tässä versiossa on noudatettava seuraavia ohjeita:

Vaihe 1: Asenna 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin suojauspäivitys kaikkiin tuettuihin versioihin.

Vaihe 2: Arvioi muutokset ja niiden vaikutus ympäristöön.

Vaihe 3: Pakota muutokset.

Vaikutusalue

BlackLotus-käynnistyspaketti vaikuttaa kaikkiin Windows-laitteisiin, joissa suojatun käynnistyksen suojaus on käytössä. Lievennykset ovat käytettävissä tuetuissa Windows-versioissa. Täydellinen luettelo on artikkelissa CVE-2023-24932.

Riskien ymmärtäminen

Haittaohjelmariski: Jotta tässä artikkelissa kuvattu BlackLotus UEFI -bootkit-hyökkäys on mahdollinen, hyökkääjän on hankittava järjestelmänvalvojan oikeudet laitteessa tai saatava fyysinen pääsy laitteeseen. Tämän voi tehdä käyttämällä laitetta fyysisesti tai etäyhteyden kautta, esimerkiksi käyttämällä hypervisoria virtuaalikoneiden/pilvipalveluiden käyttämiseen. Hyökkääjä käyttää usein tätä haavoittuvuutta jatkaakseen sellaisen laitteen hallintaa, jota hän voi jo käyttää ja mahdollisesti käsitellä. Tämän artikkelin lievennykset ovat ehkäiseviä eivätkä korjaavia. Jos laitteeseesi on jo murtauduttu, pyydä apua suojauspalveluntarjoajaltasi.

Palautustietoväline: Jos kohtaat laitteen kanssa ongelman lievennysten käyttöönoton jälkeen ja laite muuttuu käynnistymättömäksi, et ehkä pysty käynnistämään tai palauttamaan laitetta aiemmin luodusta tietovälineestä. Palautus- tai asennustietoväline on päivitettävä niin, että se toimii laitteessa, jossa lievennykset ovat käytössä.

Laiteohjelmisto-ongelmat: Kun Windows käyttää tässä artikkelissa kuvattuja lievennyksiä, sen on käytettävä laitteen UEFI-laiteohjelmistoa suojatun käynnistyksen arvojen päivittämiseen (päivityksiä käytetään tietokantaavaimeen (DB) ja kiellettyyn allekirjoitusavaimeen (DBX).) Joissakin tapauksissa meillä on kokemusta laitteista, jotka epäonnistuvat päivityksissä. Teemme yhteistyötä laitevalmistajien kanssa näiden tärkeiden päivitysten testaamiseksi mahdollisimman monessa laitteessa.

MUISTIINPANO Testaa ensin nämä lievennykset yhdellä laitteella laiteluokkaa kohti ympäristössäsi mahdollisten laiteohjelmisto-ongelmien havaitsemiseksi. Älä ota käyttöön laajasti ennen kuin varmistat, että kaikki ympäristösi laiteluokat on arvioitu.

BitLocker-palautus: Jotkin laitteet saattavat siirtyä BitLocker-palautukseen. Muista säilyttää BitLocker-palautusavaimen kopio, ennen kuin otat lievennykset käyttöön.

Tunnetut ongelmat

Laiteohjelmisto-ongelmat:Kaikki laitteen laiteohjelmistot eivät päivitä suojattua käynnistystä DB tai DBX. Olemme ilmoittaneet ongelmasta laitteen valmistajalle, jos olemme tietoisia siitä. Katso lokiin kirjattujen tapahtumien tiedot artikkelista KB5016061: Suojattu käynnistys DB ja DBX-muuttujapäivitystapahtumat . Pyydä laiteohjelmistopäivityksiä laitteen valmistajalta. Jos laitetta ei tueta, Microsoft suosittelee laitteen päivittämistä.

Tunnetut laiteohjelmisto-ongelmat:

MUISTIINPANO Seuraavat tunnetut ongelmat eivät vaikuta 9. heinäkuuta 2024 julkaistujen päivitysten asentamiseen eivätkä estä niiden asentamista. Useimmissa tapauksissa lievennyksiä ei sovelleta silloin, kun tunnettuja ongelmia on olemassa. Katso kunkin tunnetun ongelman tiedot.

  • HV: HP havaitsi ongelman HP Z4G4 Workstation -tietokoneiden lievennysasennuksessa ja julkaisee päivitetyn Z4G4 UEFI -laiteohjelmiston (BIOS) tulevina viikkoina. Lievennyksen onnistuneen asennuksen varmistamiseksi se estetään työasemien työasemilla, kunnes päivitys on saatavilla. Asiakkaiden tulee aina päivittää uusimpaan bios-järjestelmään ennen lievennyksen soveltamista.

  • HP-laitteet, joissa on Varma aloitussuojaus: Nämä laitteet tarvitsevat HP:n uusimmat laiteohjelmistopäivitykset lievennysten asentamista varten. Lievennykset estetään, kunnes laiteohjelmisto päivitetään. Asenna uusin laiteohjelmistopäivitys HPs-tukisivulta – Viralliset HP-ohjaimet ja ohjelmistolataukset | HP-tuki.

  • Arm64-pohjaiset laitteet: Lievennykset estetään Qualcomm-pohjaisten laitteiden tunnettujen UEFI-laiteohjelmisto-ongelmien vuoksi. Microsoft työskentelee Qualcommin kanssa tämän ongelman ratkaisemiseksi. Qualcomm tarjoaa korjauksen laitevalmistajille. Ota yhteyttä laitteen valmistajaan ja selvitä, onko ongelmaan saatavilla korjausta. Microsoft lisää tunnistuksen, jotta lievennyksiä voidaan käyttää laitteissa, kun kiinteä laiteohjelmisto havaitaan. Jos Arm64-pohjaisessa laitteessasi ei ole Qualcomm-laiteohjelmistoa, ota lievennykset käyttöön määrittämällä seuraava rekisteriavain.

    Rekisterin aliavain

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Näppäinarvon nimi

    SkipDeviceCheck

    Tietotyyppi

    REG_DWORD

    Tiedot

    1

  • Omena:Mac-tietokoneet, joissa on Apple T2 Security Chip -siru, tukevat suojattua käynnistystä. UEFI-suojaukseen liittyvien muuttujien päivittäminen on kuitenkin käytettävissä vain macOS-päivitysten osana. Boot Camp -käyttäjien odotetaan näkevän näihin muuttujiin liittyvän tapahtumalokimerkinnän Tapahtumatunnus 1795 Windowsissa. Lisätietoja tästä lokimerkinnästä on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.

  • VMware:VMware-pohjaisissa virtualisointiympäristöissä virtuaalikone, joka käyttää x86-pohjaista suoritinta ja suojattu käynnistys on käytössä, ei käynnisty lievennysten käyttöönoton jälkeen. Microsoft koordinoi VMwaren kanssa tämän ongelman ratkaisemiseksi.

  • TPM 2.0 -pohjaiset järjestelmät:  Nämä järjestelmät, joissa on Käytössä Windows Server 2012 ja Windows Server 2012 R2, eivät voi ottaa käyttöön 9. heinäkuuta 2024 julkaistuja suojauspäivitystä koskevia lievennyksiä TPM-mittauksiin liittyvien tunnettujen yhteensopivuusongelmien vuoksi. 9. heinäkuuta 2024 julkaistut suojauspäivitykset estävät järjestelmien lievennykset #2 (käynnistyksen hallinta) ja #3 (DBX-päivitys).Microsoft on tietoinen ongelmasta, ja myöhemmin julkaistaan päivitys TPM 2.0 -pohjaisten järjestelmien eston poistamiseksi.Voit tarkistaa TPM-versiosi napsauttamalla käynnistä-painiketta hiiren kakkospainikkeella, valitsemalla Suorita ja kirjoittamalla sitten tpm.msc. Keskiruudun oikeassa alakulmassa TPM-turvapiirin valmistajan tiedot -kohdassa pitäisi näkyä määrityksen version arvo.

  • Symantecin päätepisteen salaus: Suojatun käynnistyksen lievennyksiä ei voi käyttää järjestelmissä, jotka ovat asentaneet Symantecin päätepisteen salauksen. Microsoft ja Symantec ovat tietoisia ongelmasta, ja ne korjataan tulevassa päivityksessä.

Tämän julkaisun ohjeet

Noudata tässä versiossa näitä kahta vaihetta.

Vaihe 1: Asenna Windowsin suojauspäivitys Asenna 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin kuukausittainen suojauspäivitys tuettuihin Windows-laitteisiin. Nämä päivitykset sisältävät CVE-2023-24932:n lievennyksiä, mutta ne eivät ole oletusarvoisesti käytössä. Kaikkien Windows-laitteiden on suoritettava tämä vaihe riippumatta siitä, aiotko ottaa lievennykset käyttöön.

Vaihe 2: Muutosten arvioiminen Suosittelemme, että toimit seuraavasti:

  • Tutustu kahteen ensimmäiseen lievennykseen, jotka sallivat suojatun käynnistyksen DB:n päivittämisen ja käynnistyksen hallinnan päivittämisen.

  • Tarkista päivitetty aikataulu.

  • Aloita kahden ensimmäisen lievennysympäristösi edustavien laitteiden testaaminen.

  • Aloita käyttöönoton suunnittelu.

Vaihe 3: Muutosten pakottaminen

Kehotamme sinua ymmärtämään riskit, jotka on kutsuttu Riskien ymmärtäminen -osiossa.

  • Tutustu palautuksen ja muiden käynnistystietovälineiden vaikutuksiin.

  • Aloita kolmannen lievennyksen testaaminen, joka ei luota kaikkien aiempien Windows-käynnistysten valvojien allekirjoitusvarmenteeseen.

Lievennyksen käyttöönoton ohjeet

Asenna 9. heinäkuuta 2024 tai sen jälkeen julkaistu Windowsin kuukausittainen ylläpitopäivitys tuettuihin Windows-laitteisiin ennen näiden ohjeiden noudattamista. Tämä päivitys sisältää CVE-2023-24932-lievennyksiä, mutta ne eivät ole oletusarvoisesti käytössä. Kaikkien Windows-laitteiden tulee suorittaa tämä vaihe riippumatta suunnitelmastasi, jotta lievennykset voidaan ottaa käyttöön.

MUISTIINPANO Jos käytät BitLockeria, varmista, että BitLocker-palautusavain on varmuuskopioitu. Voit suorittaa seuraavan komennon järjestelmänvalvojan komentokehotteesta ja merkitä 48-numeroisen numerosalasanamerkin:

manage-bde -protectors -get %systemdrive%

Ota päivitys käyttöön ja ota peruutukset käyttöön seuraavasti:

  1. Asenna päivitetyt varmennemääritykset DB:hen.

    Tämä vaihe lisää "Windows UEFI CA 2023" -varmenteen UEFI "Secure Boot Signature Database" (DB) -tietokantaan. Lisäämällä tämän varmenteen DB:hen laitteen laiteohjelmisto luottaa tämän varmenteen allekirjoittamiin käynnistyssovelluksiin.

    1. Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain suorittamaan DB-päivitys kirjoittamalla seuraava komento:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      TÄRKEÄ Varmista, että laite käynnistetään uudelleen kaksi kertaa päivityksen asennuksen viimeistelemiseksi, ennen kuin siirryt vaiheisiin 2 ja 3.

    2. Suorita seuraava PowerShell-komento järjestelmänvalvojana ja varmista, että DB on päivitetty onnistuneesti. Tämän komennon pitäisi palauttaa arvo Tosi.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Päivitä laitteesi käynnistyksen hallinta.

    Tämä vaihe asentaa laitteeseesi käynnistyksen hallintasovelluksen, joka on allekirjoitettu Windows UEFI CA 2023 -varmenteella.

    1. Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain asentamaan "'Windows UEFI CA 2023" allekirjoitettu käynnistyksen hallinta:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Käynnistä laite uudelleen kaksi kertaa.

    3. Järjestelmänvalvojana ota EFI-osio käyttöön ja valmistele se tarkastusta varten:

      mountvol s: /s

    4. Tarkista, että "s:\efi\microsoft\boot\bootmgfw.efi" -tiedosto on allekirjoitettu Windows UEFI CA 2023 -varmenteella. Voit tehdä tämän seuraavasti:

      1. Valitse Käynnistä, kirjoita hakuruutuun komentokehote ja valitse sitten Komentokehote.

      2. Kirjoita Komentokehote-ikkunaan seuraava komento ja paina sitten Enter-näppäintä:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Napsauta Tiedostonhallinnassa hiiren kakkospainikkeella tiedostoa C:\bootmgfw_2023.efi, valitse Ominaisuudet ja valitse sitten Digitaaliset allekirjoitukset -välilehti.

      4. Vahvista Allekirjoitus-luettelossa, että varmenneketju sisältää Windows UEFI CA 2023:n. Varmenneketjun pitäisi vastata seuraavaa näyttökuvaa:Todistukset

  3. Ota kumous käyttöön.

    UEFI Forbidden List (DBX) -luetteloa käytetään estämään ei-luotettujen UEFI-moduulien lataaminen. Tässä vaiheessa DBX:n päivittäminen lisää "Windows Production CA 2011" -varmenteen DBX:een. Tämä aiheuttaa sen, että kaikkia tämän varmenteen allekirjoittamia käynnistyspäälliköitä ei enää luoteta.

    VAROITUS: Ennen kuin otat käyttöön kolmannen lievennyksen, luo palautus flash-asema, jota voidaan käyttää järjestelmän käynnistämiseen. Lisätietoja tästä on Ohjeaiheessa Windowsin asennustietovälineen päivittäminen.

    Jos järjestelmäsi on käynnistymättömässä tilassa, palauta laite peruuttamista edeltävään tilaan noudattamalla palautustoimintosarjan osion ohjeita.

    1. Lisää Windows Production PCA 2011 -varmenne suojatun käynnistyksen UEFI-kiellettyjen luetteloon (DBX). Voit tehdä tämän avaamalla komentokehoteikkunan järjestelmänvalvojana, kirjoittamalla seuraavan komennon ja painamalla sitten Enter-näppäintä:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Käynnistä laite uudelleen kaksi kertaa ja varmista, että se on täysin käynnistynyt uudelleen.

    3. Tarkista, että asennus- ja peruutusluettelo on otettu käyttöön, etsimällä tapahtumalokista tapahtuma 1037.Lisätietoja tapahtumasta 1037 on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat. Voit myös suorittaa seuraavan PowerShell-komennon järjestelmänvalvojana ja varmistaa, että se palauttaa arvon Tosi:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. Ota SVN-päivitys käyttöön laiteohjelmistossa. Vaiheessa 2 käyttöön otetun käynnistyksen hallinta sisältää uuden itseisännöinnin valmiina ominaisuutena. Kun käynnistyksen hallinta käynnistyy, se suorittaa itsetarkistuksen vertaamalla laiteohjelmistoon tallennettua suojattua versionumeroa (SVN) käynnistyksen hallintaan sisältyvään SVN:iin. Jos käynnistyksen hallinnan SVN on pienempi kuin laiteohjelmistoon tallennettu SVN, käynnistyksen hallinta ei suostu suorittamaan sitä. Tämä ominaisuus estää hyökkääjää peruuttamasta käynnistyksen hallintaa vanhaan, päivittämattomaan versioon.Tulevissa päivityksissä, kun merkittävä tietoturvaongelma on korjattu käynnistyksen hallinnassa, SVN-numero kasvaa sekä käynnistyksen hallinnassa että laiteohjelmiston päivityksessä. Molemmat päivitykset julkaistaan samassa kumulatiivisessa päivityksessä sen varmistamiseksi, että korjatut laitteet on suojattu. Aina kun SVN päivitetään, kaikki käynnistettävät tietovälineet on päivitettävä. 9. heinäkuuta 2024 alkaen SVN:ää lisätään käynnistyksen hallinnassa ja laiteohjelmiston päivityksessä. Laiteohjelmistopäivitys on valinnainen, ja sitä voi käyttää seuraavasti:

    1. Avaa Järjestelmänvalvoja-komentokehote ja asenna "'Windows UEFI CA 2023" allekirjoitettu käynnistyksen hallinta suorittamalla seuraava komento:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Käynnistä laite uudelleen kaksi kertaa.

Käynnistystietoväline

Käynnistystietovälineen päivittäminen on tärkeää, kun käyttöönottovaihe alkaa ympäristössäsi.

Ohjeita käynnistystietovälineen päivittämiseen on tulossa tämän artikkelin tulevissa päivityksissä. Seuraavassa osassa voit luoda USB-muistitikun laitteen palauttamista varten.

Windowsin asennustietovälineen päivittäminen

MUISTIINPANO Kun luot usb-muistitikkua, muista alustaa asema FAT32-tiedostojärjestelmän avulla.

Voit käyttää Luo palautusasema -sovellusta seuraavasti. Tämän tietovälineen avulla voit asentaa laitteen uudelleen siltä varalta, että ilmenee suuri ongelma, kuten laitteistovirhe, voit käyttää palautusasemaa Windowsin uudelleenasentamiseen.

  1. Siirry laitteeseen, jossa on otettu käyttöön 9. heinäkuuta 2024 julkaistut päivitykset ja ensimmäinen lievennysvaihe (suojatun käynnistyksen DB:n päivittäminen).

  2. Etsi käynnistä-valikosta Ohjauspaneelin Luo palautusasema -sovelmalla ja luo palautusasema noudattamalla ohjeita.

  3. Kun juuri luotu muistitikku on otettu käyttöön (esimerkiksi asemalla "D:"), suorita seuraavat komennot järjestelmänvalvojana. Kirjoita kukin seuraavista komennoista ja paina sitten Enter-näppäintä:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jos hallitset asennettavia tietovälineitä ympäristössäsi käyttämällä Windowsin päivitystietovälinettä dynaamisen päivityksen ohjeiden avulla , toimi seuraavasti. Nämä lisävaiheet luovat käynnistysaseman, joka käyttää Windows UEFI CA 2023 -allekirjoitusvarmenteen allekirjoittamia käynnistystiedostoja.

  1. Siirry laitteeseen, jossa on otettu käyttöön 9. heinäkuuta 2024 päivitykset ja ensimmäinen lievennysvaihe (suojatun käynnistyksen DB:n päivittäminen).

  2. Luo mediasisältö 9. heinäkuuta 2024 julkaistujen päivitysten avulla noudattamalla alla olevan linkin ohjeita. Windowsin asennustietovälineen päivittäminen dynaamisella päivityksellä

  3. Aseta tietovälineen sisältö USB-muistitikulle ja asenna muistitikku asemakirjainna. Ota esimerkiksi muistitikku käyttöön muodossa "D:".

  4. Suorita seuraavat komennot komentoikkunasta järjestelmänvalvojana. Kirjoita kukin seuraavista komennoista ja paina sitten Enter-näppäintä.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jos laitteen suojatun käynnistyksen asetukset palautetaan oletusarvoon lievennysten käyttöönoton jälkeen, laite ei käynnisty. Ongelman ratkaisemiseksi 9. heinäkuuta 2024 julkaistuihin päivityksiin sisältyy korjaussovellus, jonka avulla voidaan ottaa uudelleen käyttöön Windows UEFI CA 2023 -varmenne DB:hen (lievennys #1).

MUISTIINPANO Älä käytä tätä korjaussovellusta laitteessa tai järjestelmässä, joka on kuvattu Tunnetut ongelmat -osassa.

  1. Siirry laitteeseen, jossa on otettu käyttöön 9. heinäkuuta 2024 julkaistut päivitykset.

  2. Kopioi palautussovellus komentoikkunassa muistitikkuun seuraavien komentojen avulla (olettaen, että muistitikku on D:-asema). Kirjoita kukin komento erikseen ja paina sitten Enter-näppäintä:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Aseta muistitikku oletusasetuksiin laitteessa, jossa suojatun käynnistyksen asetukset on palautettu oletusasetuksiin, käynnistä laite uudelleen ja käynnistä se muistitikusta.

Päivitysten ajoitus

Päivitykset julkaistaan seuraavasti:

  • Ensimmäinen käyttöönotto Tämä vaihe alkoi 9.5.2023 julkaistuilla päivityksillä, ja se tarjosi perusvähennyksiä manuaalisin vaihein näiden lievennysten mahdollistamiseksi.

  • Toinen käyttöönotto Tämä vaihe alkoi 11. heinäkuuta 2023 julkaistuilla päivityksillä, jotka lisäsivät yksinkertaistettuja vaiheita ongelman lieventämiseksi.

  • Arviointivaihe Tämä vaihe alkaa 9. huhtikuuta 2024 ja lisää käynnistyksen hallinnan lievennyksiä.

  • Käyttöönottovaihe Tässä yhteydessä kannustamme kaikkia asiakkaita aloittamaan lievennysten käyttöönoton ja mediatietojen päivittämisen.

  • Pakotusvaihe Täytäntöönpanovaihe, joka tekee lievennyksistä pysyviä. Tämän vaiheen päivämäärä ilmoitetaan myöhemmin.

Huomautus Julkaisuaikataulua voidaan tarvittaessa muuttaa.

Tämä vaihe on korvattu Windowsin suojauspäivitysten julkaisulla 9. huhtikuuta 2024 tai sen jälkeen.

Tämä vaihe on korvattu Windowsin suojauspäivitysten julkaisulla 9. huhtikuuta 2024 tai sen jälkeen.

Tässä vaiheessa pyydämme testaamaan nämä muutokset ympäristössäsi varmistaaksesi, että muutokset toimivat oikein edustavien mallilaitteiden kanssa ja jotta saat käyttökokemusta muutoksista.

MUISTIINPANO Sen sijaan, että yrittäisimme luetteloita perusteellisesti ja olla luottamatta haavoittuviin käynnistyspäälliköihin, kuten edellisessä käyttöönottovaiheessa, lisäämme "Windows Production PCA 2011" -allekirjoitusvarmenteen DBX (Secure Boot Disallow List) -luetteloon, jotta emme luota kaikkiin tämän varmenteen allekirjoittamiin käynnistyspäälliköihin. Tämä on luotettavampi tapa varmistaa, että kaikkiin aiempiin käynnistyspäälliköihin ei luoteta.

Lisää 9. huhtikuuta 2024 tai sen jälkeen julkaistut Windows-päivitykset seuraavasti:

  • Kolme uutta lievennysvalvontaa, jotka korvaavat vuonna 2023 julkaistut lievennykset. Uudet lievennysvalvontakeinot ovat seuraavat:

    • Windows UEFI CA 2023 -varmenteen käyttöönotto suojatun käynnistyksen DB:ssä ohjausobjekti, joka lisää tällä varmenteella allekirjoitettujen Windows-käynnistyspäälliköiden luottamuksen. Huomaa, että Windows UEFI CA 2023 -varmenne on saatettu asentaa aiemmassa Windows-päivityksessä.

    • Windows UEFI CA 2023 -varmenteen allekirjoittaman käynnistyshallinnan käyttöönottoohjausobjekti.

    • Ohjausobjekti, joka lisää "Windows Production PCA 2011" suojatun käynnistyksen DBX:een, joka estää kaikki tällä varmenteella allekirjoitetut Windowsin käynnistyksen valvojat.

  • Mahdollisuus ottaa lievennyksen käyttöönotto käyttöön vaiheittain itsenäisesti, jotta voit hallita ympäristön lievennyksiä paremmin tarpeittesi mukaan.

  • Lievennykset on yhdistetty siten, että niitä ei voi ottaa käyttöön väärässä järjestyksessä.

  • Muita tapahtumia, jotka tietävät laitteiden tilan, kun ne soveltavat lievennyksiä. Lisätietoja tapahtumista on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.

Tässä vaiheessa kehotamme asiakkaita ottamaan lievennykset käyttöön ja hallitsemaan mediapäivityksiä. Päivitykset sisältävät seuraavan muutoksen:

  • Lisätty SVN (Secure Version Number) -tuki ja päivitetyn SVN:n määrittäminen laiteohjelmistoon.

Seuraavassa on kuvattu yrityksen käyttöönottovaiheet.

Huomautus Lisäohjeita tämän artikkelin myöhempää päivitystä varten.

  • Ota ensimmäinen lievennys käyttöön kaikkiin enterprise-laitteisiin tai hallittuun laiteryhmään Enterprisessa. Tällaista sisältöä voivat olla seuraavat:

    • Osallistumalla ensimmäiseen lievennykseen, joka lisää "Windows UEFI CA 2023" -allekirjoitusvarmenteen laitteen laiteohjelmistoon.

    • Valvo, että laitteet ovat lisänneet Onnistuneesti Windows UEFI CA 2023 -allekirjoitusvarmenteen.

  • Ota käyttöön toinen lievennys, joka käyttää päivitettyä käynnistyksen hallintaa laitteessa.

  • Päivitä näiden laitteiden kanssa käytettävä palautustietoväline tai ulkoinen käynnistystietoväline.

  • Ota käyttöön kolmas lievennys, joka mahdollistaa Windows Production CA 2011 -varmenteen peruuttamisen lisäämällä sen laiteohjelmiston DBX:een.

  • Ota käyttöön neljäs lievennys, joka päivittää suojatun version numeron (SVN) laiteohjelmistoon.

Käyttöönottovaihe on vähintään kuusi kuukautta käyttöönottovaiheen jälkeen. Kun pakotusvaiheeseen julkaistaan päivityksiä, ne sisältävät seuraavat:

  • Windows Production PCA 2011 -varmenne kumotaan automaattisesti lisäämällä se suojatun käynnistyksen UEFI-kiellettyjen luetteloon (DBX) kyvykkäissä laitteissa. Nämä päivitykset otetaan käyttöön ohjelmallisesti sen jälkeen, kun Windows-päivitykset on asennettu kaikkiin järjestelmiin, joihin päivitys vaikuttaa, eikä niitä voi poistaa käytöstä.

Windowsin tapahtumalokivirheet, jotka liittyvät CVE-2023-24932:een

DB: n ja DBX: n päivittämiseen liittyvät Windowsin tapahtumalokimerkinnät on kuvattu yksityiskohtaisesti KB5016061 : Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.

Lievennysten soveltamiseen liittyvät onnistumistapahtumat on lueteltu seuraavassa taulukossa.

Lievennysvaihe

Tapahtumatunnus

Huomautukset

DB-päivityksen käyttäminen

1036

PCA2023 varmenne lisättiin DB:hen.

Käynnistyksen hallinnan päivittäminen

1799

PCA2023 allekirjoitetun käynnistyksen hallinta otettiin käyttöön.

DBX-päivityksen käyttäminen

1037

Käytettiin DBX-päivitystä, joka ei luota PCA2011 allekirjoitusvarmenteeseen.

Usein kysytyt kysymykset (usein kysytyt kysymykset)

Päivitä kaikki Windows-käyttöjärjestelmät 9. heinäkuuta 2024 tai sen jälkeen julkaistuilla päivityksillä ennen peruutusten käyttöönottoa. Et ehkä pysty käynnistämään mitään Windows-versiota, jota ei ole päivitetty vähintään 9. heinäkuuta 2024 julkaistuihin päivityksiin peruuttamisen jälkeen. Noudata Käynnistysongelmien vianmääritys -osion ohjeita.

Käynnistysongelmien vianmääritys

Kun kaikki kolme lievennystä on otettu käyttöön, laitteen laiteohjelmisto ei käynnisty Windows Production PCA 2011:n allekirjoittamalla käynnistyshallinnalla. Laiteohjelmiston ilmoittamat käynnistysvirheet ovat laitekohtaisia. Katso Palautusmenettely-osio .

Palautusmenettely

Jos jokin menee vikaan lievennysten käyttöönoton aikana etkä pysty käynnistämään laitetta tai sinun on aloitettava ulkoisesta tietovälineestä (kuten muistitikusta tai PXE-käynnistys), kokeile seuraavia ehdotuksia:

  1. Poista suojattu käynnistys käytöstä.Tämä toimenpide eroaa laitevalmistajien ja -mallien välillä. Kirjoita laitteisiisi UEFI BIOS -valikko, siirry Suojatun käynnistyksen asetuksiin ja poista se käytöstä. Lisätietoja tästä prosessista on laitteen valmistajan ohjeissa. Lisätietoja on artikkelissa Suojatun käynnistyksen poistaminen käytöstä.

  2. Palauta suojatun käynnistyksen näppäimet tehdasasetuksiin.

    Jos laite tukee suojattujen käynnistysnäppäinten oletusasetusten palauttamista, suorita tämä toiminto nyt.

    MUISTIINPANO Joillakin laitevalmistajilla on sekä "Tyhjennä" että "Palauta" -vaihtoehto suojatun käynnistyksen muuttujille, jolloin "Palauta" on käytettävä. Tavoitteena on palauttaa suojatun käynnistyksen muuttujat valmistajien oletusarvoihin.

    Laitteesi pitäisi käynnistyä nyt, mutta huomaa, että se on altis käynnistysohjelman haittaohjelmille. Varmista, että suoritat tämän palautusprosessin vaiheen 5 ottaaksesi suojatun käynnistyksen uudelleen käyttöön.

  3. Yritä käynnistää Windows järjestelmälevyltä.

    1. Kirjaudu Sisään Windowsiin.

    2. Suorita seuraavat komennot järjestelmänvalvojan komentokehotteesta, jotta voit palauttaa käynnistystiedostot EFI-järjestelmän käynnistysosiossa. Kirjoita kukin komento erikseen ja paina sitten Enter-näppäintä:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. BCDBoot-komennon suorittaminen palauttaa "Käynnistystiedostojen luominen onnistui". Kun tämä viesti on näkyvissä, käynnistä laite uudelleen Windowsiin.

  4. Jos vaihe 3 ei palauta laitetta onnistuneesti, asenna Windows uudelleen.

    1. Käynnistä laite olemassa olevasta palautustietovälineestä.

    2. Jatka Windowsin asentamista palautustietovälineen avulla.

    3. Kirjaudu Sisään Windowsiin.

    4. Käynnistä Windows uudelleen varmistaaksesi, että laite käynnistyy takaisin Windowsiin.

  5. Ota suojattu käynnistys uudelleen käyttöön ja käynnistä laite uudelleen.Kirjoita laitteen UEFI-valikko, siirry suojatun käynnistyksen asetuksiin ja ota se käyttöön. Lisätietoja tästä prosessista on laitteen valmistajan ohjeissa. Lisätietoja on Ota suojattu käynnistys uudelleen käyttöön -osassa.

Lisätietoja

Tässä artikkelissa mainitut kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita näiden tuotteiden suorituskyvystä tai luotettavuudesta.

Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.

Muutoksen päivämäärä

Muutoksen kuvaus

9. heinäkuuta 2024

  • Päivitetty "Vaihe 2: Arvioi muutokset" poistaaksesi päivämäärän 9. heinäkuuta 2024.

  • Päivitetty kaikki 9. huhtikuuta 2024 päivämäärän esiintymät 9. heinäkuuta 2024, paitsi "Päivitysten ajoitus" -osassa.

  • Päivitti "käynnistystietoväline" -osion ja korvasi sisällön sanoilla "Ohjeita käynnistystietovälineen päivittämiseen on tulossa tulevilla päivityksillä".

  • Päivitetty "9. heinäkuuta 2024 tai uudempi – käyttöönottovaihe alkaa" päivitysten ajoitus -osassa.

  • Lisätty vaihe 4 "Käytä SVN-päivitystä laiteohjelmistoon" Lievennyksen käyttöönoton ohjeet -osiossa.

9. huhtikuuta 2024

  • Menettelyihin, tietoihin, ohjeisiin ja päivämääriin tehdyt laajat muutokset. Huomaa, että joitakin aiempia muutoksia on poistettu tänä päivänä tehtyjen laajojen muutosten vuoksi.

16. joulukuuta 2023

  • Korjasi kolmannen käyttöönoton ja toimeenpanon julkaisupäivät Päivitysten ajoitus -osassa.

15. toukokuuta 2023

  • Poistettu käyttöjärjestelmä, jota ei tueta, Windows 10:n versio 21H1 Koskee seuraavia -osiosta.

11. toukokuuta 2023

  • Lisätty VAROITUS-huomautus vaiheeseen 1 Käyttöönotto-ohjeissa, jotka koskevat päivittämistä Windows 11:een, versioon 21H2 tai 22H2 tai joihinkin Windows 10 -versioihin.

10. toukokuuta 2023

  • Selvennettynä, että ladattavissa oleva Windows-media, joka on päivitetty uusimmilla kumulatiivisilla päivityksillä, on pian saatavilla.

  • Korjattu sanan "Kielletty" oikeinkirjoitus.

9. toukokuuta 2023

  • Lisätty muita tuettuja versioita "Koskee"-osaan.

  • Päivitetty Toimenpide-osan vaihe 1.

  • Päivitetty käyttöönotto-ohjeosion vaihe1.

  • Korjattu "Deploment guidelines" -osion vaiheen 3a komennot.

  • Hyper-V UEFI -kuvien korjattu sijainti Käynnistysongelmien vianmääritys -osassa.

27. kesäkuuta 2023

  • Poistettu huomautus Windows 10:n päivittämisestä windows 10:n uudempaan versioon, joka käyttää käyttöönottopakettia kohdassa Vaihe 1:Asenna Käyttöönoton ohjeet -osassa.

11. heinäkuuta 2023

  • Päivitetty 9.5.2023 päivämäärän esiintymät 11. heinäkuuta 2023, 9. toukokuuta 2023 ja 11. heinäkuuta 2023 tai 9. toukokuuta 2023 tai uudemman version esiintymiksi.

  • Käyttöönoton ohjeet -osassa huomaamme, että kaikki SafeOS:n dynaamiset päivitykset ovat nyt saatavilla WinRE-osioiden päivittämiseen. Lisäksi VAROITUS-ruutu poistettiin, koska ongelma on ratkaistu SafeOS:n dynaamisten päivitysten julkaisun myötä.

  • Kirjoita "3. KÄYTÄ peruutukset-osiota, ohjeita on muokattu.

  • Windowsin tapahtumalokivirheet -osioon lisätään Tapahtumatunnus 276.

25. elokuuta 2023

  • Päivitetty sanamuotojen eri osioita ja lisätty 11. heinäkuuta 2023 julkaistut tiedot ja tulevat vuoden 2024 julkaisutiedot.

  • Joidenkin sisältöjen järjestäminen uudelleen Käynnistystietovälineen ongelmien välttäminen -osasta Käynnistystietovälineen päivittäminen -osaan.

  • Päivitti Päivitysten ajoitus -osioon päivitetyt käyttöönottopäivämäärät ja -tiedot.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.