SVARBUS Turėtumėte taikyti "Windows" saugos naujinimą, išleistą 2024 m. liepos 9 d. arba vėliau, atlikdami įprastą mėnesinio naujinimo procesą.
Šis straipsnis taikomas toms organizacijoms, kurios turėtų pradėti vertinti rizikos mažinimą viešai paskelbtam saugiosios įkrovos apėjimo apėjimo, kurį naudoja "BlackLotus UEFI" įkrovos rinkinys. Be to, galbūt norėsite imtis aktyvios saugos pozicijos arba pradėti pasiruošti įdiegti. Atkreipkite dėmesį, kad šiai kenkėjiškai programinei įrangai reikia fizinės arba administracinės prieigos prie įrenginio.
ATSARGIAI Kai ši problema yra įjungta įrenginyje, tai reiškia, kad mažinimai buvo taikomi, ji negali būti grąžinta, jei jūs ir toliau naudojate saugiąją įkrovą tame įrenginyje. Net iš naujo suformatavus diską, atšaukti atšaukimai nebus pašalinti, jei jie jau buvo pritaikyti. Prieš taikydami šiame straipsnyje aprašytus atšaukimus savo įrenginiui, atidžiai išbandykite visus galimus padarinius.
Šiame straipsnyje
Suvestinė
Šiame straipsnyje aprašoma apsauga nuo viešai atskleistos saugiosios įkrovos saugos funkcijos apėjimo, kuris naudoja "BlackLotus UEFI" įkrovos rinkinį, sekamą CVE-2023-24932, kaip įgalinti rizikos mažinimą ir nurodymus dėl paleidžiamos laikmenos. Įkrovos rinkinys yra kenkėjiška programa, skirta įkelti kaip įmanoma anksčiau įrenginių paleidimo sekoje, kad būtų galima valdyti operacinės sistemos paleidimą.
"Microsoft" rekomenduoja saugiąją įkrovą padaryti saugiu ir patikimu keliu iš bendrosios išplėstinės programinės-aparatinės įrangos sąsajos (UEFI) per "Windows" branduolio patikimos įkrovos seką. Saugi įkrova padeda išvengti paleidimo rinkinio kenkėjiškų programų paleidimo sekoje. Išjungus saugią paleistį įrenginys gali būti užkrėstas paleidimo rinkinio kenkėjiška programa. Norint išspręsti saugiosios įkrovos apėjimo apėjimo, aprašyto CVE-2023-24932, reikia atšaukti įkrovos tvarkytuvus. Tai gali sukelti problemų dėl kai kurių įrenginio įkrovos konfigūracijų.
Rizikos mažinimai dėl saugiosios įkrovos apėjimo, išsamiai cve-2023-24932 yra įtraukti į "Windows" saugos naujinimus, kurie buvo išleisti 2024 m. liepos 9 d. arba vėliau. Tačiau šie mažinimai nėra įjungtas pagal numatytuosius parametrus. Su šiais naujinimais rekomenduojame pradėti vertinti šiuos pakeitimus savo aplinkoje. Visas tvarkaraštis aprašytas skyriuje Naujinimų laikas .
Prieš įgalindami šiuos mažinimus, turėtumėte išsamiai peržiūrėti šiame straipsnyje esančią informaciją ir nustatyti, ar turite įjungti rizikos mažinimą arba laukti būsimo naujinimo iš "Microsoft". Jei pasirinksite įgalinti rizikos mažinimą, turite patikrinti, ar jūsų įrenginiai atnaujinti ir paruošti, ir suprasti šiame straipsnyje aprašytą riziką.
Imtis veiksmų
Šiame leidime turėtų būti atlikti šie veiksmai: 1 veiksmas: įdiekite "Windows" saugos naujinimą, išleistą 2024 m. liepos 9 d. arba vėliau visose palaikomose versijose. 2 veiksmas: įvertinkite pakeitimus ir kaip jie veikia jūsų aplinką. 3 veiksmas: įgalinkite keitimus. |
Poveikio aprėptis
"BlackLotus" įkrovos rinkinys turi įtakos visiems "Windows" įrenginiams, kuriuose įjungta saugiosios įkrovos apsauga. Rizikos mažinimai galimi palaikomoms "Windows" versijoms. Visą sąrašą rasite CVE-2023-24932.
Rizikos supratimas
Kenkėjiškos programos rizika: Kad šiame straipsnyje aprašytas "BlackLotus UEFI" paleidimo rinkinio pažeidžiamumas būtų įmanomas, užpuolikas turi gauti administratoriaus teises įrenginyje arba gauti fizinę prieigą prie įrenginio. Tai galima padaryti prieigą prie įrenginio fiziškai arba nuotoliniu būdu, pvz., naudojant hipervizoriaus prieigą prie VM / debesies. Pažeidėjas paprastai naudos šį pažeidžiamumą toliau kontroliuoti įrenginį, kad jie jau gali pasiekti ir galbūt manipuliuoti. Šiame straipsnyje nurodytos rizikos mažinimo priemonės yra prevencinės, o ne korekcinės. Jei jūsų įrenginys jau pažeistas, pagalbos kreipkitės į saugos paslaugų teikėją.
Atkūrimo laikmena: Jei pritaikius rizikos mažinimo priemones kyla įrenginio problemų ir įrenginys tampa neįkraunamas, gali nepavykti paleisti arba atkurti įrenginio iš esamos medijos. Atkūrimo arba diegimo laikmeną reikės atnaujinti, kad ji veiktų su įrenginiu, kuriame taikomos rizikos mažinimo priemonės.
Programinės-aparatinės įrangos problemos: Kai "Windows" taiko šiame straipsnyje aprašytas priemones, ji turi remtis įrenginio UEFI programine-aparatine įranga, kad atnaujintų saugiosios įkrovos reikšmes (naujinimai taikomi duomenų bazės raktui (DB) ir draudžiamo parašo raktui (DBX)). Kai kuriais atvejais turime funkcijų su įrenginiais, kuriuose nepavyksta įdiegti naujinimų. Dirbame su įrenginių gamintojais, kad patikrintume šiuos pagrindinius naujinimus kuo daugiau įrenginių.
NATA Norėdami aptikti galimas programinės-aparatinės įrangos problemas, pirmiausia išbandykite šiuos mažinimus viename įrenginyje kiekvienoje įrenginio klasėje savo aplinkoje. Prieš patvirtindami, kad buvo įvertintos visos įrenginio klasės jūsų aplinkoje, visuotinai nediekite.
"BitLocker" atkūrimas: Kai kurie įrenginiai gali pereiti į "BitLocker" atkūrimą. Prieš įjungdami rizikos mažinimus, būtinai išsaugokite savo "BitLocker" atkūrimo rakto kopiją.
Žinomos problemos
Programinės-aparatinės įrangos problemos:Ne visa įrenginio programinė-aparatinė įranga sėkmingai atnaujins saugiosios įkrovos DB arba DBX. Tais atvejais, kai apie tai žinome, apie šią problemą pranešėme įrenginio gamintojui. Žr . KB5016061: Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai , kad sužinotumėte daugiau apie užregistruotus įvykius. Dėl programinės-aparatinės įrangos naujinimų kreipkitės į įrenginio gamintoją. Jei įrenginys nepalaikomas, "Microsoft" rekomenduoja atnaujinti įrenginio versiją.
Žinomos programinės-aparatinės įrangos problemos:
NATA Toliau nurodytos žinomos problemos neturi įtakos ir netrukdys diegti 2024 m. liepos 9 d. naujinimų. Daugeliu atvejų pažeidžiamumą mažinančios priemonės nebus taikomos, kai yra žinomų problemų. Peržiūrėkite išsamią informaciją, iškviestą su kiekviena žinoma problema.
-
HP: HP nustatė problemą dėl rizikos mažinimo diegimo "HP Z4G4 Workstation" kompiuteriuose ir per ateinančias savaites išleis atnaujintą Z4G4 UEFI programinę-aparatinę įrangą (BIOS). Siekiant užtikrinti sėkmingą rizikos mažinimo diegimą, jis bus blokuojamas kompiuterio darbo vietose, kol naujinimas bus pasiekiamas. Klientai visada turi atnaujinti į naujausią sistemos BIOS prieš taikydami rizikos mažinimą.
-
HP įrenginiai su "Sure Start Security": Šiems įrenginiams reikia naujausių programinės-aparatinės įrangos naujinimų iš HP, kad būtų galima įdiegti rizikos mažinimo priemones. Mažinimai blokuojami, kol programinė-aparatinė įranga bus atnaujinta. Įdiekite naujausią programinės-aparatinės įrangos naujinimą iš HPs palaikymo puslapio — Oficialios HP tvarkyklės ir programinės įrangos atsisiuntimas | HP palaikymas.
-
Arm64 pagrindo įrenginiai: Rizikos mažinimai blokuojami dėl žinomų UEFI programinės-aparatinės įrangos problemų "Qualcomm" pagrindo įrenginiuose. "Microsoft" dirba su "Qualcomm" šiai problemai išspręsti. "Qualcomm" pateiks pataisą įrenginių gamintojams. Kreipkitės į įrenginio gamintoją, kad sužinotumėte, ar yra šios problemos pataisa. "Microsoft" įtrauks aptikimą, kad būtų galima sumažinti riziką įrenginiuose, kai aptinkama fiksuota programinė-aparatinė įranga. Jei jūsų Arm64 pagrindo įrenginyje nėra "Qualcomm" programinės-aparatinės įrangos, konfigūruokite šį registro raktą, kad įgalintumėte rizikos mažinimą.
Registro dalinis raktas
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Rakto reikšmės pavadinimas
SkipDeviceCheck
Duomenų tipas
REG_DWORD
Duomenys
1
-
Obuolys:"Mac" kompiuteriai, kuriuose yra "Apple T2" saugos mikroschema, palaiko saugiąją įkrovą. Tačiau su UEFI sauga susijusių kintamųjų naujinimas galimas tik kaip "macOS" naujinimų dalis. Tikimasi, kad paleidimo stovyklos vartotojai matys įvykio ID 1795 įvykių žurnalo įrašą sistemoje "Windows", susijusį su šiais kintamaisiais. Daugiau informacijos apie šį žurnalo įrašą žr. KB5016061: Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.
-
VMware:VMware pagrindu veikiančiose virtualizavimo aplinkose VM, naudojant x86 pagrįstą procesorių su įgalinta saugia įkrova, nepavyks paleisti pritaikius rizikos mažinimo priemones. "Microsoft" koordinuoja darbą su "VMware", kad išs spręstų šią problemą.
-
TPM 2.0 pagrindo sistemos: Šios sistemos, kurios naudoja "Windows Server 2012" ir "Windows Server 2012 R2" negali diegti mažinimų, išleistų 2024 m. liepos 9 d. saugos naujinime dėl žinomų suderinamumo problemų su TPM matavimais. 2024 m. liepos 9 d. saugos naujinimai blokuos rizikos mažinimą #2 (įkrovos tvarkytuvą) ir #3 (DBX naujinimą) paveiktose sistemose.tpm.msc. Apatinėje dešiniojoje centrinės srities dalyje TPM gamintojo informacija turėtumėte matyti specifikacijos versijos reikšmę.
"Microsoft" žino apie šią problemą ir ateityje bus išleistas naujinimas, kad būtų atblokuotos TPM 2.0 pagrindo sistemos. Norėdami patikrinti TPM versiją, dešiniuoju pelės mygtuku spustelėkite Pradėti, Vykdyti, tada įveskite -
"Symantec" galinio punkto šifravimas: Saugiosios įkrovos mažinimų negalima taikyti sistemoms, kuriose įdiegtas "Symantec" galinio punkto šifravimas. "Microsoft" ir "Symantec" žino apie šią problemą ir bus išspręstos būsimame naujinime.
Šio leidimo gairės
Šiame leidime atlikite šiuos du veiksmus.
1 veiksmas: "Windows" saugos naujinimo CVE-2023-24932, bet nėra įjungta pagal numatytuosius parametrus. Visi "Windows" įrenginiai turėtų atlikti šį veiksmą, nesvarbu, ar planuojate diegti mažinimus.
diegimas Įdiekite "Windows" mėnesinį saugos naujinimą, išleistą 2024 m. liepos 9 d. arba vėliau palaikomuose "Windows" įrenginiuose. Šie naujinimai apima rizikos mažinimą2 veiksmas: keitimų
įvertinimas Rekomenduojame atlikti šiuos veiksmus:-
Supraskite pirmuosius du rizikos mažinimus, leidžiančius atnaujinti saugiosios įkrovos DB ir atnaujinti įkrovos tvarkytuvą.
-
Peržiūrėkite atnaujintą tvarkaraštį.
-
Pradėkite tikrinti pirmąsias dvi rizikos mažinimo priemones pagal tipinius įrenginius iš savo aplinkos.
-
Pradėkite planuoti diegimą.
3 veiksmas: įgalinkite keitimus
Raginame jus suprasti riziką, nurodytą skyriuje Apie riziką.
-
Supraskite atkūrimo ir kitų paleidžiamų laikmenų poveikį.
-
Pradėkite tikrinti trečiąjį rizikos mažinimą, kuris nepatikimas pasirašymo sertifikatu, naudojamu visose ankstesnėse "Windows" įkrovos tvarkytuvuose.
Rizikos mažinimo diegimo gairės
Prieš atlikdami šiuos rizikos mažinimo priemonių taikymo veiksmus, palaikomuose "Windows" įrenginiuose įdiekite "Windows" mėnesinį priežiūros naujinimą, išleistą 2024 m. liepos 9 d. arba vėliau. Šis naujinimas apima rizikos mažinimą CVE-2023-24932, bet jie nėra įjungti pagal numatytuosius parametrus. Visi "Windows" įrenginiai turėtų atlikti šį veiksmą neatsižvelgiant į jūsų planą įgalinti rizikos mažinimą.
NATA Jei naudojate "BitLocker", įsitikinkite, kad buvo sukurta atsarginė "BitLocker" atkūrimo rakto kopija. Galite paleisti šią komandą iš administratoriaus komandinės eilutės ir atkreipkite dėmesį į 48 skaitmenų skaitinį slaptažodį:
manage-bde -protectors -get %systemdrive%
Norėdami įdiegti naujinimą ir taikyti atšaukimus, atlikite šiuos veiksmus:
-
Įdiekite atnaujintus sertifikatų aprašus į DB.
Šis veiksmas įtrauks "Windows UEFI CA 2023" sertifikatą į UEFI "Saugiosios įkrovos parašo duomenų bazė" (DB). Įtraukus šį sertifikatą į DB, įrenginio programinė-aparatinė įranga patikės paleidimo programomis, pasirašytomis šiuo sertifikatu.
-
Atidarykite administratoriaus komandinę eilutę ir nustatykite regkey atlikti naujinimą į DB įvesdami šią komandą:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
SVARBUS Prieš pereidami prie 2 ir 3 veiksmų, būtinai du kartus iš naujo paleiskite įrenginį, kad užbaigtumėte naujinimo diegimą.
-
Paleiskite šią "PowerShell" komandą kaip administratorius ir patikrinkite, ar DB buvo sėkmingai atnaujinta. Ši komanda turi grąžinti True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Atnaujinkite įkrovos tvarkytuvą savo įrenginyje.
Šis veiksmas įdiegs įkrovos tvarkytuvo programą jūsų įrenginyje, kuris yra pasirašytas "Windows UEFI CA 2023" sertifikatu.
-
Atidarykite administratoriaus komandinę eilutę ir nustatykite regkey, kad įdiegtumėte "Windows UEFI CA 2023" pasirašytą įkrovos tvarkytuvą:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Iš naujo paleiskite įrenginį du kartus.
-
Kaip administratorius, prijunkite EFI skaidinį, kad jis būtų paruoštas patikrinti:
mountvol s: /s
-
Patikrinkite, ar failas "s:\efi\microsoft\boot\boot\bootmgfw.efi" yra pasirašytas "Windows UEFI CA 2023" sertifikatu. Norėdami tai padaryti, atlikite šiuos veiksmus:
-
Spustelėkite Pradėti, įveskite komandinė eilutė lauke Ieška , tada spustelėkite Komandinė eilutė.
-
Lange Komandinė eilutė įveskite šią komandą ir paspauskite klavišą "Enter":
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Failų tvarkytuve dešiniuoju pelės mygtuku spustelėkite failą C:\bootmgfw_2023.efi, spustelėkite Ypatybės, tada pasirinkite skirtuką Skaitmeniniai parašai .
-
Sąraše Parašas patvirtinkite, kad sertifikatų grandinėje yra "Windows UEFI CA 2023". Sertifikatų grandinė turi atitikti šią ekrano nuotrauką:
-
-
-
Įgalinti atšaukimą.
UEFI draudžiamų naudoti sąrašas (DBX) naudojamas nepatikimiems UEFI moduliams blokuoti. Atliekant šį veiksmą, atnaujinant DBX bus įtraukti "Windows gamybos CA 2011" sertifikatą į DBX. Dėl to visi šiuo sertifikatu pasirašyti paleidimo vadovai nebebus patikimi.
ĮSPĖJIMAS: prieš taikydami trečiąjį rizikos mažinimą, sukurkite atkūrimo "flash" atmintinę, kurią galima naudoti norint paleisti sistemą. Informacijos, kaip tai padaryti, ieškokite skyriuje "Windows" diegimo laikmenos naujinimas.
Jei jūsų sistema tampa nepakrauta, atlikite veiksmus, nurodytus skyriuje Atkūrimo procedūra, kad iš naujo nustatytumėte įrenginio išankstinio atšaukimo būseną.
-
Įtraukite "Windows Production PCA 2011" sertifikatą į saugiosios įkrovos UEFI draudžiamų įrankių sąrašą (DBX). Norėdami tai padaryti, atidarykite komandinės eilutės langus kaip administratorius, įveskite šią komandą ir paspauskite Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Paleiskite įrenginį iš naujo du kartus ir įsitikinkite, kad jis buvo visiškai paleistas iš naujo.
-
Patikrinkite, ar diegimo ir atšaukimo sąrašas sėkmingai pritaikytas įvykių žurnale ieškant įvykio 1037.KB5016061: Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai. Arba paleiskite šią "PowerShell" komandą kaip administratorius ir įsitikinkite, kad ji pateikia true:
Informacijos apie 1037 įvykį žr.[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) - atitinka "Microsoft Windows Production PCA 2011"
-
-
Įdiekite SVN naujinimą programinei-aparatinei įrangai.
Įkrovos tvarkytuve, įdiegtame atliekant 2 veiksmą, yra integruota nauja savarankiško atšaukimo funkcija. Paleidus įkrovos tvarkytuvą, jis atlieka savarankišką patikrą palygindamas saugios versijos numerį (SVN), kuris saugomas programinėje-aparatinėje įrangoje, su SVN, integruotu į įkrovos tvarkytuvą. Jei įkrovos tvarkytuvo SVN yra mažesnis už SVN, saugomą programinėje-aparatinėje įrangoje, įkrovos tvarkytuvas atsisakys veikti. Ši funkcija neleidžia pažeidėjui grąžinti paleidimo tvarkytuvo į senesnę, neatnaujintą versiją. Būsimuose naujinimuose, kai įkrovos tvarkytuve išspręsta didelė saugos problema, SVN numeris bus padidintas paleidimo tvarkytuve ir programinės-aparatinės įrangos naujinime. Abu naujinimai bus išleisti tame pačiame kaupiamajame naujinime, siekiant užtikrinti, kad pataisyti įrenginiai būtų apsaugoti. Kiekvieną kartą atnaujinus SVN, reikės atnaujinti bet kokią paleidžiamą laikmeną. Nuo 2024 m. liepos 9 d. naujinimai, SVN yra padidintas įkrovos tvarkytuve ir programinės-aparatinės įrangos naujinimas. Programinės-aparatinės įrangos naujinimas yra pasirinktinis ir gali būti taikomas atliekant šiuos veiksmus:-
Atidarykite administratoriaus komandinę eilutę ir vykdykite šią komandą, kad įdiegtumėte "Windows UEFI CA 2023" pasirašytą įkrovos tvarkytuvą:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Iš naujo paleiskite įrenginį du kartus.
-
Paleidžiamos laikmenos
Kai diegimo etapas prasidės jūsų aplinkoje, bus svarbu atnaujinti paleidžiamą laikmeną.
Įkraunančios laikmenos naujinimo rekomendacijos bus pateiktos būsimuose šio straipsnio naujinimuose. Norėdami atkurti įrenginį, žr. kitą skyrių, kad sukurtumėte USB atmintinę.
"Windows" diegimo laikmenos naujinimas
NATA Kurdami paleidžiamą USB atmintinę, būtinai suformatuokite diską naudodami FAT32 failų sistemą.
Galite naudoti atkūrimo disko kūrimo programą atlikdami toliau nurodytus veiksmus. Šią laikmeną galima naudoti norint iš naujo įdiegti įrenginį, jei yra didelė problema, pvz., aparatūros triktis, naudodami atkūrimo diską galėsite iš naujo įdiegti "Windows".
-
Eikite į įrenginį, kuriame buvo pritaikyti 2024 m. liepos 9 d. naujinimai ir pirmasis rizikos mažinimo veiksmas (saugiosios įkrovos DB naujinimas).
-
Pradžios meniu ieškokite valdymo skydo programėlės "Atkūrimo disko kūrimas" ir vykdykite nurodymus, kad sukurtumėte atkūrimo diską.
-
Naujai sukurtą "flash" atmintinę pritaisę (pvz., kaip atmintinę "D:"), paleiskite šias komandas kaip administratorius. Įveskite kiekvieną iš toliau nurodytų komandų ir paspauskite klavišą "Enter":
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Jei savo aplinkoje valdote diegiamą mediją naudodami "Windows" diegimo laikmenos naujinimą su dinaminiu naujinimu , atlikite toliau nurodytus veiksmus. Šie papildomi veiksmai sukurs įkrovos "flash" atmintinę, kuri naudoja įkrovos failus, pasirašytus "Windows UEFI CA 2023" pasirašymo sertifikatu.
-
Eikite į įrenginį, kuriame buvo pritaikytas 2024 m. liepos 9 d. naujinimas ir pirmasis rizikos mažinimo veiksmas (saugiosios įkrovos DB naujinimas).
-
Atlikite toliau pateiktame saite nurodytus veiksmus, kad sukurtumėte mediją su 2024 m. liepos 9 d. naujinimais. "Windows" diegimo laikmenos naujinimas naudojant dinaminį naujinimą
-
Įdėkite laikmenos turinį į USB atmintinę ir prijunkite atmintinę kaip disko raidę. Pavyzdžiui, prijunkite atmintinę kaip "D:".
-
Vykdykite šias komandas iš komandų lango administratoriaus teisėmis. Įveskite kiekvieną iš toliau nurodytų komandų ir paspauskite klavišą "Enter".
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Jei pritaikius rizikos mažinimo priemones įrenginio saugiosios įkrovos parametrai atkuriami į numatytuosius, įrenginys nebus įkraunamas. Norėdami išspręsti šią problemą, taisymo programa yra įtraukta į 2024 m. liepos 9 d. naujinimus, kurie gali būti naudojami iš naujo taikyti "Windows UEFI CA 2023" sertifikatą DB (mažinimas #1).
NATA Nenaudokite šios taisymo programos įrenginyje arba sistemoje, kuri aprašyta skyriuje Žinomos problemos .
-
Eikite į įrenginį, kuriame buvo pritaikyti 2024 m. liepos 9 d. naujinimai.
-
Komandos lange nukopijuokite atkūrimo programėlę į "flash" atmintinę naudodami šias komandas (jei "flash" atmintinė yra "D:" diskas). Kiekvieną komandą įveskite atskirai ir paspauskite klavišą "Enter":
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Įrenginyje, kuriame yra saugiosios įkrovos parametrų numatytieji parametrai, įdėkite "flash" atmintinę, iš naujo paleiskite įrenginį ir paleiskite iš "flash" atmintinės.
Naujinimų laikas
Naujinimai išleidžiami taip:
-
Pradinis diegimas Šis etapas pradėtas su naujinimais, išleistais 2023 m. gegužės 9 d., ir pateikė pagrindines rizikos mažinimo priemones rankiniu būdu, kad įgalintumėte šias priemones.
-
Antras diegimas Šis etapas pradėtas nuo 2023 m. liepos 11 d. išleistų naujinimų, kurie įtraukė supaprastintus veiksmus, kad būtų galima įgalinti problemos mažinimą.
-
Vertinimo etapas Šis etapas prasidės 2024 m. balandžio 9 d. ir įtrauks papildomų įkrovos tvarkytuvo mažinimų.
-
Visuotinio diegimo etapas Taip nutinka, kai paskatinsime visus klientus pradėti diegti rizikos mažinimus ir atnaujinti mediją.
-
Vykdymo etapas Vykdymo etapas, dėl kurio mažinimai bus nuolatiniai. Šio etapo data bus paskelbta vėliau.
Pastaba Prireikus išleidimo tvarkaraštis gali būti persvarstytas.
Šį etapą pakeitė "Windows" saugos naujinimų leidimas 2024 m. balandžio 9 d. arba vėliau.
Šį etapą pakeitė "Windows" saugos naujinimų leidimas 2024 m. balandžio 9 d. arba vėliau.
Šiuo etapu prašome išbandyti šiuos keitimus savo aplinkoje, kad įsitikintumėte, jog pakeitimai tinkamai veikia su tipiniais įrenginių pavyzdžiais ir gautų pakeitimų patirtį.
NATA Užuot bandę baigti sąrašą ir nepatikimi pažeidžiamas įkrovos tvarkytuvas, kaip tai darėme ankstesniuose diegimo etapuose, įtraukiame "Windows Production PCA 2011" pasirašymo sertifikatą į saugiosios įkrovos neleisti sąrašą (DBX), kad nepatikime visų paleidimo vadovų, pasirašytų šiuo sertifikatu. Tai patikimesnis būdas užtikrinti, kad visi ankstesni paleidimo vadovai būtų nepatikimi.
"Windows" naujinimai, išleisti 2024 m. balandžio 9 d. arba vėliau, įtraukite:
-
Trys nauji rizikos mažinimo valdikliai, pakeičiantys rizikos mažinimą, išleistą 2023 m. Nauji rizikos mažinimo valdikliai yra:
-
Valdiklis, skirtas įdiegti sertifikatą "Windows UEFI CA 2023" saugiosios įkrovos DB, kad būtų galima įtraukti "Windows" paleidimo tvarkytuvų, pasirašytų šiuo sertifikatu, patikimumą. Atkreipkite dėmesį, kad sertifikatą "Windows UEFI CA 2023" galėjo įdiegti ankstesnis "Windows" naujinimas.
-
Valdiklis, norint įdiegti įkrovos tvarkytuvą, pasirašytą "Windows UEFI CA 2023" sertifikatu.
-
Valdiklis, kuriuo galima įtraukti "Windows Production PCA 2011" į saugiosios įkrovos DBX, kuris blokuos visus "Windows" paleidimo vadovus, pasirašytus šiuo sertifikatu.
-
-
Galimybė įgalinti rizikos mažinimo diegimą etapais atskirai, kad būtų galima daugiau rizikos mažinimo priemonių diegimo valdymo jūsų aplinkoje, atsižvelgiant į jūsų poreikius.
-
Mažinimai yra interlocked taip, kad jie negali būti įdiegti neteisinga tvarka.
-
Papildomi įvykiai, norint sužinoti įrenginių būseną, kai jie taiko rizikos mažinimą. Daugiau informacijos apie įvykius žr. KB5016061: Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.
Šis etapas, kai raginame klientus pradėti diegti rizikos mažinimo priemones ir valdyti visus medijos naujinimus. Naujinimai apima šį keitimą:
-
Įtrauktas apsaugotos versijos numerio (SVN) palaikymas ir atnaujintos SVN programinės-aparatinės įrangos nustatymas.
Toliau pateikiama veiksmų, kaip diegti įmonėje, struktūra.
Pastaba Papildomos rekomendacijos, kurios bus pateiktos su vėlesniais šio straipsnio naujinimais.
-
Įdiekite pirmąjį rizikos mažinimą į visus "Enterprise" įrenginius arba valdomą "Enterprise" įrenginių grupę. Tai apima:
-
Opting to the first mitigation that adds the "Windows UEFI CA 2023" signing certificate to the device firmware.
-
Stebėkite, kad įrenginiai sėkmingai įtraukė "Windows UEFI CA 2023" pasirašymo sertifikatą.
-
-
Įdiekite antrąjį rizikos mažinimą, kuris įrenginiui pritaiko atnaujintą įkrovos tvarkytuvą.
-
Atnaujinkite atkūrimo arba išorinę paleidžiamą laikmeną, naudojamą su šiais įrenginiais.
-
Įdiekite trečiąjį rizikos mažinimą, kuris įgalina "Windows Production CA 2011" sertifikato atšaukimą įtraukdami jį į DBX programinėje-aparatinėje įrangoje.
-
Įdiekite ketvirtą rizikos mažinimą, kuris atnaujina saugios versijos numerį (SVN) į programinę-aparatinę įrangą.
Vykdymo etapas bus bent šeši mėnesiai po diegimo etapo. Kai naujinimai bus išleisti vykdymo etapui, jie apims:
-
Sertifikatas "Windows Production PCA 2011" bus automatiškai atšauktas įtraukiant į saugiosios įkrovos UEFI draudžiamų naudoti sąrašą (DBX) palaikančiuose įrenginiuose. Šie naujinimai bus programiškai įgalinti įdiegus "Windows" naujinimus visose paveiktose sistemose be išjungimo parinkties.
"Windows" įvykių žurnalo klaidos, susijusios su CVE-2023-24932
"Windows" įvykių žurnalo įrašai, susiję su DB ir DBX naujinimu, išsamiai aprašyti KB5016061: saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.
"Sėkmės" įvykiai, susiję su rizikos mažinimų pritaikymu, išvardyti šioje lentelėje.
Rizikos mažinimo veiksmas |
Įvykio ID |
Pastabos |
Db naujinimo taikymas |
1036 |
PCA2023 sertifikatas buvo įtrauktas į DUOMENŲ BAZĘ. |
Įkrovos tvarkytuvo naujinimas |
1799 |
Buvo pritaikytas PCA2023 pasirašytas įkrovos tvarkytuvas. |
DBX naujinimo taikymas |
1037 |
DBX naujinimas, kuris nepatikimas PCA2011 buvo pritaikytas pasirašymo sertifikatas. |
Dažnai užduodami klausimai (DUK)
-
Norėdami atkurti įrenginį, žr. skyrių Atkūrimo procedūra.
-
Vykdykite nurodymus, pateiktus skyriuje "Įkrovos trikčių diagnostika ".
Prieš taikydami atšaukimus, atnaujinkite visas "Windows" operacines sistemas 2024 m. liepos 9 d. arba vėliau išleistais naujinimais. Gali nepavykti paleisti jokios "Windows" versijos, kuri nebuvo atnaujinta į bent 2024 m. liepos 9 d. išleistus naujinimus, kai pritaikote atšaukimus. Vykdykite nurodymus, pateiktus skyriuje "Įkrovos trikčių diagnostika ".
Žr. skyrių "Įkrovos trikčių diagnostika ".
Įkrovos trikčių diagnostika
Pritaikius visus tris rizikos mažinimus, įrenginio programinė-aparatinė įranga nebus įkraunama naudojant įkrovos tvarkytuvą, pasirašytą "Windows Production PCA 2011". Programinės-aparatinės įrangos praneštos įkrovos triktys yra susijusios su konkrečiu įrenginiu. Žr. skyrių Atkūrimo procedūra .
Atkūrimo procedūra
Jei taikant rizikos mažinimą kažkas nepavyksta ir negalite paleisti įrenginio arba jums reikia paleisti iš išorinės laikmenos (pvz., atmintinės arba PXE įkrovos), išbandykite šiuos pasiūlymus:
-
Išjunkite saugią įkrovą.saugiosios įkrovos išjungimas.
Ši procedūra skiriasi įrenginių gamintojais ir modeliais. Įveskite savo įrenginių UEFI BIOS meniu ir pereikite prie saugiosios įkrovos parametrų ir jį išjunkite. Informacijos apie šį procesą ieškokite įrenginio gamintojo dokumentuose. Daugiau informacijos galima rasti -
Iš naujo nustatykite saugiosios įkrovos kodus į gamyklinius numatytuosius parametrus.
Jei įrenginys palaiko saugiosios įkrovos kodų gamyklinių parametrų nustatymą iš naujo, atlikite šį veiksmą dabar.
NATA Kai kurie įrenginių gamintojai apsaugotos įkrovos kintamiesiems turi parinktį "Valyti" ir "Nustatyti iš naujo", tokiu atveju reikėtų naudoti parinktį "Nustatyti iš naujo". Tikslas – grąžinti saugiosios įkrovos kintamuosius gamintojams numatytąsias reikšmes.
Jūsų įrenginys turėtų būti paleistas dabar, bet atkreipkite dėmesį, kad jis pažeidžiamas įkrovos rinkinio kenkėjiškų programų. Būtinai atlikite šio atkūrimo proceso 5 veiksmą, kad vėl įjungtumėte saugią įkrovą.
-
Pabandykite paleisti "Windows" sistemos diske.
-
Prisijungimas prie Windows.
-
Vykdykite šias administratoriaus komandinės eilutės komandas, kad atkurtumėte įkrovos failus EFI sistemos įkrovos skaidinyje. Kiekvieną komandą įveskite atskirai ir paspauskite klavišą "Enter":
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Paleidus "BCDBoot" grąžinama "Paleidimo failai sėkmingai sukurti". Kai bus parodytas šis pranešimas, iš naujo paleiskite įrenginį atgal į "Windows".
-
-
Jei atlikus 3 veiksmą nepavyksta sėkmingai atkurti įrenginio, iš naujo įdiekite "Windows".
-
Paleiskite įrenginį iš esamos atkūrimo laikmenos.
-
Pereikite prie "Windows" diegimo naudodami atkūrimo laikmeną.
-
Prisijungimas prie Windows.
-
Iš naujo paleiskite "Windows", kad įsitikintumėte, jog įrenginys vėl paleidžiamas sistemoje "Windows".
-
-
Iš naujo įjunkite saugiąją įkrovą ir iš naujo paleiskite įrenginį.
Įveskite įrenginio UEFI meniu ir pereikite prie saugiosios įkrovos parametrų ir jį įjunkite. Informacijos apie šį procesą ieškokite įrenginio gamintojo dokumentuose. Daugiau informacijos galima rasti skyriuje "Iš naujo įgalinti saugiąją įkrovą".
Nuorodos
-
Rekomendacijos, kaip tirti atakas naudojant CVE-2022-21894: "BlackLotus" kampanija
-
Saugiosios įkrovos įgalinimas užregistruotuose "Windows" įrenginiuose
-
Apie įvykius, kurie generuojami taikant DBX naujinimus, žr. KB5016061: Pažeidžiamų ir atšauktų paleidimo tvarkytuvų sprendimas.
Šiame straipsnyje aptariamus trečiųjų šalių produktus gamina „Microsoft‟ nepriklausančios įmonės. Dėl šių produktų našumo ar patikimumo neteikiame jokių numanomų ar kitokių garantijų.
Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.
Keitimo data |
Keitimo aprašas |
2024 m. liepos 9 d. |
|
2024 m. balandžio 9 d. |
|
2023 m. gruodžio 16 d. |
|
2023 m. gegužės 15 d. |
|
2023 m. gegužės 11 d. |
|
2023 m. gegužės 10 d. |
|
2023 m. gegužės 9 d. |
|
2023 m. birželio 27 d. |
|
2023 m. liepos 11 d. |
|
2023 m. rugpjūčio 25 d. |
|