SVARĪGS Lietojiet Windows drošības atjauninājumu, kas izlaists 2024. gada 9. jūlijā vai pēc tā, kā daļu no parastā ikmēneša atjaunināšanas procesa.
Šis raksts attiecas uz tām organizācijām, kurām jāsāk riska mazināšanas pasākumi publiski izpeļotā drošās sāknēšanas apiet, izmantojot BlackLotus UEFI bootkit. Turklāt, iespējams, vēlēsities izmantot proaktīvu drošības pieeju vai sākt sagatavoties izvēršanā. Ņemiet vērā, ka šai ļaunprogrammatūrai ir nepieciešama fiziska vai administratīva piekļuve ierīcei.
PIESARDZĪBU Kad ierīcē ir iespējots šīs problēmas risku mazināšanas līdzeklis, kas nozīmē, ka ir pielietotas risku mazināšanas iespējas, to nevar atjaunot, ja turpināt izmantot drošo sāknēšanas programmu šajā ierīcē. Pat diska pārformatēšana nenoņems atsaukšanas, ja tās jau ir lietotas. Lūdzu, ņemiet vērā visas iespējamās sekas un pārbaudes rūpīgi izklāsta veidā, pirms atsaukumus, kas izklāstīti šajā rakstā, varat izmantot savā ierīcē.
Šajā rakstā
Kopsavilkums
Šajā rakstā ir aprakstīta aizsardzība pret publiski pieejamu drošās sāknēšanas drošības līdzekli, kas izmanto BlackLotus UEFI bootkit, ko reģistrējis CVE-2023-24932, kā nodrošināt atvieglojumus un norādījumus par sāknējamo datu nesēju. Sāknēšanas programma ir ļaunprātīga programma, kas ir izstrādāta pēc iespējas ātrāk ielādēt ierīces startēšanas secībā, lai kontrolētu operētājsistēmas startēšanu.
Secure Boot ir ieteicams izmantot korporācija Microsoft, lai izveidotu drošu un uzticamu ceļu no vienotās paplašināmā aparātprogrammatūras interfeisa (Untensible Firmware Interface — UEFI), izmantojot Windows kernel Trusted Boot secību. Drošā palaišana palīdz novērst sāknēšanas ļaunprogrammatūru palaišanas secībā. Atspējojot drošo sāknēšanas programmu, pastāv risks, ka tā tika inficēta ar bootkit ļaunprogrammatūru. Lai izlabotu CVE-2023-24932 aprakstīto drošas sāknēšanas apiešanu, ir jālabo sāknēšanas pārvaldnieki. Tas var izraisīt problēmas dažās ierīces sāknēšanas konfigurācijās.
2023.–24932. gada versijā detalizētie drošās sāknēšanas apiešanas paņēmieni ir iekļauti Windows drošības atjauninājumos, kas izlaisti 2024. gada 9. jūlijā vai pēc tam. Tomēr šie atvieglojumus nav iespējotas pēc noklusējuma. Ar šiem atjauninājumiem ieteicams sākt novērtēt šīs izmaiņas savā vidē. Pilns grafiks ir aprakstīts sadaļā Atjauninājumu hronometrāža .
Pirms šo risku mazināšanas iespējošanas rūpīgi pārskatiet šajā rakstā detalizēto informāciju un nosakiet, vai ir jāiespējo atvieglojumus vai jāgaida atjauninājums no Microsoft vēlāk. Ja izvēlaties iespējot riskus, jums jāpārbauda, vai jūsu ierīces ir atjauninātas un gatavas, un jāizprot šajā rakstā aprakstītie riski.
Rīcība
Šajā laidienā ir jāveic šādas darbības: 1. darbība. Instalējiet Windows drošības atjauninājumu, kas izlaists 2024. gada 9. jūlijā vai pēc jūlija, visās atbalstītās versijās. 2. darbība. Novērtējiet izmaiņas un to ietekmi uz jūsu vidi. 3. darbība. Izmaiņu veikšana. |
Ietekmes tvērums
BlackLotus bootkit ietekmē visas Windows ierīces ar iespējotu drošas sāknēšanas aizsardzību. Atbalstītajām Windows versijām ir pieejamas risku mazināšanas iespējas. Pilnu sarakstu skatiet CVE-2023-24932.
Risku izpratne
Ļaunprogrammatūras risks: Lai šajā rakstā aprakstītais BlackLotus UEFI bootkit būtu iespējams, uzbrucējam ir jāiegūst administratīvas tiesības ierīcē vai jāiegūst fiziska piekļuve ierīcei. To var paveikt, piekļūstot ierīcei fiziskai vai attālināti, piemēram, izmantojot hipervisoru, lai piekļūtu M/mākonim. Uzbrukumētājs parasti izmantos šo ievainojamību, lai turpinātu kontrolēt ierīci, pie kuras viņš jau var piekļūt un, iespējams, manipulēt. Šajā rakstā minētās risku mazināšanas iespējas ir citas, un tās nevar novērst. Ja ierīce jau ir uz apdraudējuma, sazinieties ar drošības nodrošinātāju, lai saņemtu palīdzību.
Atkopšanas multivide: Ja pēc risku mazināšanas pasākumu lietošanas rodas problēma saistībā ar ierīci un ierīce nav pieejama, iespējams, nevarēsiet startēt vai atkopt ierīci no esoša datu nesēja. Atkopšanas vai instalēšanas datu nesējs būs jāatjaunina, lai tas darbotos ierīcē, kurā ir lietotas risku mazināšanas darbības.
Aparātprogrammatūras problēmas: Ja Windows lieto šajā rakstā aprakstīto risku mazināšanas pasākumu, ir nepieciešama ierīces UEFI aparātprogrammatūra, lai atjauninātu drošās sāknēšanas vērtības (atjauninājumi tiek lietoti datu bāzes atslēgai (DB) un aizliegts paraksta atslēgai (DBX)). Dažos gadījumos mums ir pieredze ar ierīcēm, kurās netiek instalēti atjauninājumi. Mēs strādājam pie ierīču ražotājiem, lai pārbaudītu šos galvenos atjauninājumus pēc iespējas vairāk ierīcēs.
PIEZĪME Lūdzu, vispirms pārbaudiet šos riskus vienas ierīces ierīcē savā vidē, lai noteiktu iespējamās aparātprogrammatūras problēmas. Neizvietot pirms visu ierīces klašu apstiprināšanas jūsu vidē ir novērtētas.
BitLocker atkopšana: Dažas ierīces, iespējams, pāriet uz BitLocker atkopšanu. Noteikti saglabājiet BitLocker atkopšanas atslēgas kopiju, pirms iespējojat atvieglojumus.
Zināmās problēmas
Aparātprogrammatūras problēmas:Ne visas ierīces aparātprogrammatūra veiksmīgi atjauninās Secure Boot DB vai DBX. Gadījumos, kad mēs esam informēti, par šo problēmu esam ziņojuši ierīces ražotājam. Detalizētu KB5016061 informāciju par reģistrētajiem notikumiem skatiet rakstā: Droša sāknēšanas DB un DBX mainīgā atjaunināšanas notikumi. Lai saņemtu aparātprogrammatūras atjauninājumus, sazinieties ar ierīces ražotāju. Ja ierīce netiek atbalstīta, Microsoft iesaka jaunināt ierīci.
Zināmās aparātprogrammatūras problēmas:
PIEZĪME Tālāk minētās zināmās problēmas neietekmē un nenovērsīs 2024. gada 9. jūlija atjauninājumu instalēšanu. Lielākajā daļā gadījumu risku mazināšana netiek piemērota tad, ja pastāv zināmās problēmas. Skatiet detalizētu informāciju, kas izsauca katru zināmo problēmu.
-
HP: HP noteica problēmu ar risku mazināšanas instalēšanu HP Z4G4 darbstaciju datoros un nākamajos nedēļās izlaidīs atjauninātu Z4G4 UEFI aparātprogrammatūru (BIOS). Lai nodrošinātu veiksmīgu risku mazināšanas instalēšanu, tas tiks bloķēts datora darbstacijās, līdz atjauninājums būs pieejams. Klientiem vienmēr jāveic atjaunināšana uz jaunāko sistēmu BIOS, pirms lietot risku mazināšanas.
-
HP ierīces ar sure start security: Lai instalētu riskus, šīm ierīcēm ir nepieciešami jaunākie aparātprogrammatūras atjauninājumi no HP. Atvieglojumus tiek bloķētas, līdz tiek atjaunināta aparātprogrammatūra. Instalējiet jaunāko aparātprogrammatūras atjauninājumu no HPs atbalsta lapas — Oficiālie HP draiveri un programmatūras lejupielāde | HP atbalsts.
-
Arm64 ierīces: Atvieglojumus tiek bloķētas zināmu UEFI aparātprogrammatūras problēmu dēļ, kas saistītas ar Qualcomm ierīcēm. Microsoft sadarbojas ar Qualcomm, lai novērstu šo problēmu. Qualcomm sniegs labojumu ierīču ražotājiem. Sazinieties ar ierīces ražotāju, lai noteiktu, vai ir pieejams šīs problēmas labojums. Microsoft pievienos noteikšanu, lai ierīcēs varētu izmantot atvieglojumus, kad tiek noteikta fiksēta aparātprogrammatūra. Ja arm64 ierīcē nav Qualcomm aparātprogrammatūras, konfigurējiet šādu reģistra atslēgu, lai iespējotu risku mazināšanas darbības.
Reģistra apakšatslēga
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Atslēgas vērtības nosaukums
SkipDeviceCheck
Datu tips
REG_DWORD
Dati
1
-
Ābols:Mac datori, kuros ir Apple T2 drošības mikroshēma, atbalsta drošo sāknēšanu. Tomēr ar UEFI drošību saistītu mainīgo atjaunināšana ir pieejama tikai kā daļa no macOS atjauninājumiem. Ir paredzams, ka Boot Camp lietotāji sistēmā Windows redzēs notikuma ID 1795 ierakstu par notikumu žurnālu, kas saistīts ar šiem mainīgajiem. Papildinformāciju par šo žurnālfaila ierakstu skatiet rakstā KB5016061: Secure Boot DB un DBX mainīgo atjaunināšanas notikumi.
-
VMware:VMware virtualizācijas vidēs, virtuālās mašīnas, kas izmanto x86 procesoru ar iespējotu drošo sāknēšanas iespēju, pēc risku mazināšanas pasākumu lietošanas neizdosies veikt sāknēšanu. Microsoft koordinē ar VMware, lai novērstu šo problēmu.
-
TPM 2.0 sistēmas: Šīs sistēmas, kurās darbojas Windows Server 2012 un Windows Server 2012 R2, nevar izvietot 2024. gada 9. jūlija drošības atjauninājumā izlaistos riskus, jo pastāv zināmas saderības problēmas ar TPM mērījumiem. 2024. gada 9. jūlija drošības atjauninājumi bloķēs riskus #2 (sāknēšanas pārvaldnieks) un #3 (DBX atjauninājums) ietekmētajās sistēmās.tpm.msc. Centra rūts apakšējā labajā stūrī sadaļā TPM ražotāja informācija jābūt redzamai specifikācijas versijas vērtībai.
Microsoft ir informēta par šo problēmu, un nākotnē tiks izlaists atjauninājums, lai atbloķētu TPM 2.0 sistēmas. Lai pārbaudītu savu TPM versiju, ar peles labo pogu noklikšķiniet uz Sākums, noklikšķiniet uz Palaist un pēc tam ierakstiet -
Sianteka galapunkta šifrēšana. Drošas palaišanas riskus nevar izmantot sistēmām, kuras ir instalējuši Symantec Endpoint Encryption. Microsoft un Symantc ir informēti par šo problēmu un tiks novērsti nākamajā atjauninājumā.
Norādījumi par šo laidienu
Šajā laidienā veiciet abas šīs darbības.
1. darbība. Windows drošības atjauninājuma instalēšana , kas attiecas uz CVE-2023-24932, bet pēc noklusējuma nav iespējoti. Visām Windows ierīcēm ir jāveic šī darbība neatkarīgi no tā, vai plānojat ieviest atvieglojumus.
Instalējiet Windows ikmēneša drošības atjauninājumu, kas izlaists 2024. gada 9. jūlijā vai pēc jūlija, atbalstītās Windows ierīcēs. Šie atjauninājumi ietver riskus2. darbība. Izmaiņu izvērtēšana
Iesakām veikt tālāk norādītās darbības.-
Izprast pirmos divus riskus, kas ļauj atjaunināt Secure Boot DB un atjaunināt sāknēšanas pārvaldnieku.
-
Pārskatiet atjaunināto grafiku.
-
Sāciet testēt pirmos divus riskus, salīdzinot ar ierīces, kas ir no jūsu vides.
-
Sāciet izvietošanas plānošanu.
3. darbība. Izmaiņu veikšana
Mēs iesakām izprast riskus, kas izklāstīti sadaļā Riski.
-
Izprast atkopšanas un citu sāknējamo datu nesēju ietekmi.
-
Sāciet testēt trešo risku, kas neuzticas parakstīšanas sertifikātam, kas izmantots visiem iepriekšējiem Windows sāknēšanas pārvaldniekiem.
.
Pirms šo darbību veikšanas, lai lietotu riskus, instalējiet Windows ikmēneša apkalpošanas atjauninājumu, kas izlaists 2024. gada 9. jūlijā vai pēc jūlija, atbalstītās Windows ierīcēs. Šajā atjauninājumā ir iekļautas CVE-2023-24932 risku mazināšanas, bet tās pēc noklusējuma nav iespējotas. Visām Windows ierīcēm ir jāveic šī darbība neatkarīgi no jūsu plāna, lai iespējotu atvieglojumus.
PIEZĪME Ja izmantojat BitLocker, pārliecinieties, vai jūsu BitLocker atkopšanas atslēga ir dublēta. Administratora komandu uzvednē varat izpildīt šādu komandu un atzīmēt 48 ciparu skaitlisko paroli:
manage-bde -protectors -get %systemdrive%
Lai izvietotu atjauninājumu un lietotu atsaukšanas, veiciet tālāk norādītās darbības.
-
Db instalējiet atjauninātās sertifikātu definīcijas.
Ar šo darbību UEFI "Secure Boot Signature Database" (DB) tiks pievienots "Windows UEFI CA 2023" sertifikāts. Pievienojot šo sertifikātu DB, ierīces aparātprogrammatūra uzticēsies palaišanas lietojumprogrammām, kuras parakstījīs šis sertifikāts.
-
Atveriet administratora komandu uzvedni un iestatiet regkey, lai veiktu atjaunināšanu uz DB, ievadot šādu komandu:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
SVARĪGS Pirms turpināt veikt 2. un 3. darbību, noteikti restartējiet ierīci divas reizes, lai pabeigtu atjauninājuma instalēšanu.
-
Palaidiet tālāk norādīto PowerShell komandu kā administrators un pārbaudiet, vai DB ir sekmīgi atjaunināts. Šai komandai ir jāatgriež vērtība True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Atjauniniet sāknēšanas pārvaldnieku savā ierīcē.
Šī darbība instalēs palaišanas pārvaldnieka lietojumprogrammu jūsu ierīcē, kas ir parakstīta ar sertifikātu "Windows UEFI CA 2023".
-
Atveriet administratora komandu uzvedni un iestatiet regkey, lai instalētu "Windows UEFI CA 2023" parakstītu palaišanas pārvaldnieku:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Divas reizes restartējiet ierīci.
-
Kā administrators kalns EFI nodalījums, lai sagatavotos pārbaudei:
mountvol s: /s
-
Pārbaudiet, vai failu "s:\efi\microsoft\boot\bootmgfw.efi" ir parakstījis sertifikāts "Windows UEFI CA 2023". Lai to izdarītu, veiciet tālāk norādītās darbības.
-
Noklikšķiniet uz Sākt, meklēšanas lodziņā ierakstiet komandu uzvedne un pēc tam noklikšķiniet uz Komandu uzvedne.
-
Komandu uzvednes logā ierakstiet šo komandu un pēc tam nospiediet taustiņu Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Failu pārvaldniekā ar peles labo pogu noklikšķiniet uz faila C:\bootmgfw_2023.efi, noklikšķiniet uz Rekvizīti un pēc tam atlasiet cilni Ciparparaksti .
-
Sarakstā Paraksts pārliecinieties, ka sertifikātu ķēde ietver Windows UEFI CA 2023. Sertifikātu ķēdei jāatbilst šādam ekrānuzņēmumam:
-
-
-
Iespējojiet atsaukšanas opciju.
UEFI Forbidden List (DBX) tiek izmantots, lai bloķētu neuzticamus UEFI moduļus no ielādes. Šajā darbībā atjauninot DBX, DBX tiks pievienots sertifikāts "Windows Production CA 2011". Tādējādi visi ar šo sertifikātu parakstītie sāknēšanas pārvaldnieki vairs nebūs uzticami.
BRĪDINĀJUMS Pirms trešās risku mazināšanas lietošanas izveidojiet atkopšanas zibatmiņas disku, ko var izmantot sistēmas palaišanai. Informāciju, kā to paveikt, skatiet sadaļā Windows instalēšanas multivides atjaunināšana.
Ja jūsu sistēma kļūst tādā stāvoklī, kas nav sāknējams, izpildiet atkopšanas procedūras sadaļā norādītās darbības, lai ierīci atiestatītu uz iepriekšēju atsaukšanas stāvokli.
-
Pievienojiet sertifikātu "Windows Production PCA 2011" drošas palaišanas UEFI aizliegts sarakstam (DBX). Lai to izdarītu, atveriet komandu uzvednes logus kā administrators, ierakstiet šo komandu un pēc tam nospiediet taustiņu Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Divas reizes restartējiet ierīci un pārliecinieties, vai tā ir pilnībā restartēta.
-
Pārbaudiet, vai instalēšanas un atsaukšanas saraksts tika sekmīgi lietots, meklējot notikumu 1037 notikumu žurnālā.KB5016061: Secure Boot DB un DBX mainīgo atjaunināšanas notikumi. Vai arī izpildiet tālāk norādīto PowerShell komandu kā administrators un pārliecinieties, vai tā atgriež vērtību True:
Informāciju par Notikumu 1037 skatiet rakstā[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) — atbilstības "Microsoft Windows Production PCA 2011"
-
-
Aparātprogrammatūrai lietojiet SVN atjauninājumu.
2. darbībā izvietotajā palaišanas pārvaldniekā ir iebūvēts jauns paš atsaukšanas līdzeklis. Kad sāk darboties sāknēšanas pārvaldnieks, tas veic patstāvīgu pārbaudi, salīdzinot aparātprogrammatūru saglabāto drošās versijas numuru (SVN), ar sāknēšanas pārvaldniekā iebūvēto SVN. Ja sāknēšanas pārvaldnieks SVN ir zemāks nekā APARĀTPROGRAMMAtūras SVN, Sāknēšanas pārvaldnieks noraida darbību. Šis līdzeklis neļauj uzbrucējam atritt sāknēšanas pārvaldnieku uz vecāku, neatjauninatu versiju. Turpmākajos atjauninājumos, kad sāknēšanas pārvaldniekā tiek novērsta būtiska drošības problēma, SVN skaitlis tiks palielināts gan sāknēšanas pārvaldniekā, gan aparātprogrammatūras atjauninājumā. Abi atjauninājumi tiks izlaisti tajā pašā kumulatīvajā atjauninājumā, lai nodrošinātu, ka ielāpētas ierīces ir aizsargātas. Ikreiz, kad SVN tiek atjaunināts, būs jāatjaunina visi sāknēšanas datu nesēji. Sākot ar 2024. gada 9. jūliju, atjauninājumos SVN tiek palielināts sāknēšanas pārvaldniekā un aparātprogrammatūras atjauninājums. Aparātprogrammatūras atjauninājums nav obligāts, un to var lietot, veicot tālāk norādītās darbības.-
Atveriet administratora komandu uzvedni un izpildiet šādu komandu, lai instalētu "Windows UEFI CA 2023" parakstītu palaišanas pārvaldnieku:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Divas reizes restartējiet ierīci.
-
Sāknēšanas datu nesējs
Pēc izvietošanas posma sākuma vidē ir svarīgi atjaunināt sāknēšanas datu nesēju.
Norādījumi par sāknēšanas multivides atjaunināšanu būs pieejami turpmākajos šī raksta atjauninājumos. Skatiet nākamo sadaļu, lai izveidotu USB zibatmiņas disku ierīces atkopšanai.
Windows instalēšanas datu nesēja atjaunināšana
PIEZĪME Izveidojot sāknējamu USB zibatmiņas disku, noteikti formatējiet disku, izmantojot FAT32 failusystem.
Varat izmantot atkopšanas diska izveides lietojumprogrammu , veicot tālāk norādītās darbības. Šo datu nesēju var izmantot, lai atkārtoti instalētu ierīci, ja rodas liela problēma, piemēram, aparatūras kļūme, varēsit izmantot atkopšanas disku, lai atkārtoti instalētu operētājsistēmu Windows.
-
Dodieties uz ierīci, kurā tika lietots 2024. gada 9. jūlija atjauninājums un pirmā riska mazināšanas darbība (drošās sāknēšanas DB atjaunināšana).
-
Sākuma izvēlnē meklējiet vadības paneļa "Atkopšanas diska izveide" sīklietotni un izpildiet norādījumus, lai izveidotu atkopšanas disku.
-
Kad jaunizveidotais zibatmiņas disks ir uzstādāms (piemēram, kā disks "D:"), kā administrators izpildiet šādas komandas. Ierakstiet katru no šīm komandām un pēc tam nospiediet taustiņu Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ja savā vidē pārvaldāt instalējamu datu nesēju, izmantojot Windows instalēšanas datu nesēja atjaunināšanu ar dinamiskās atjaunināšanas norādījumiem, veiciet tālāk norādītās darbības. Šīs papildu darbības ļaus izveidot sāknējamu zibatmiņas disku, kurā tiek izmantoti sāknējam faili, ko parakstījis parakstīšanas sertifikāts "Windows UEFI CA 2023".
-
Dodieties uz ierīci, kurā tika lietots 2024. gada 9. jūlijs, atjauninājumi un pirmā riska mazināšanas darbība (drošās sāknēšanas DB atjaunināšana).
-
Izpildiet tālāk redzamajā saiti, lai izveidotu multivides failus, izmantojot 2024. gada 9. jūlija atjauninājumus. Windows instalācijas datu nesēja atjaunināšana, izmantojot dinamisko atjaunināšanu
-
Novietojiet multivides saturu USB zibatmiņas diskā un pievienojiet zibatmiņas disku kā diska burtu. Piemēram, kalnā kalns ir jādublē kā "D:".
-
Palaidiet tālāk norādītās komandas komandu logā kā administrators. Ierakstiet katru no šīm komandām un pēc tam nospiediet taustiņu Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ja pēc risku mazināšanas pasākumu novēršanas ierīcei tiek atiestatīti drošās sāknēšanas iestatījumi, ierīce netiks palaista. Lai novērstu šo problēmu, labošanas lietojumprogramma ir iekļauta 2024. gada 9. jūlija atjauninājumos, ko var izmantot, lai db tiktu atkārtoti lietota sertifikāta "Windows UEFI CA 2023" (risku mazināšana #1).
PIEZĪME Neizmantojiet šo labošanas programmu ierīcē vai sistēmā, kas ir aprakstīta sadaļā Zināmās problēmas.
-
Dodieties uz ierīci, kurā ir lietoti 2024. gada 9. jūlija atjauninājumi.
-
Komandu logā kopējiet atkopšanas programmu zibatmiņas diskā, izmantojot tālāk norādītās komandas (pieņemot, ka zibatmiņas disks ir diskdzinis D:). Ierakstiet katru komandu atsevišķi un pēc tam nospiediet taustiņu Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Ierīcē, kurā ir drošās sāknēšanas iestatījumi, tiek atiestatīti uz noklusējuma iestatījumiem: ievietojiet zibatmiņas disku, restartējiet ierīci un startējiet no zibatmiņas diska.
Atjauninājumu hronometrāža
Atjauninājumi tiek izlaisti šādi:
-
Sākotnējā izvietošana Šajā posmā tika sākta atjaunināšana, kas izlaista 2023. gada 9. maijā, un sniegtas pamata risku mazināšanas darbības, izmantojot manuālas darbības, lai iespējotu šo risku.
-
Otrā izvietošana Šajā posmā tika sākts ar 2023. gada 11. jūlijā izlaistajiem atjauninājumiem, kuros pievienotas vienkāršotas darbības, lai iespējotu problēmas risku mazināšanas pasākumus.
-
Novērtēšanas fāze Šis posms sāksies 2024. gada 9. aprīlī un pievienos papildu sāknēja pārvaldnieka riskus.
-
Izvietošanas posms Šajā gadījumā mēs rosināsim visus klientus sākt izmantot atvieglojumus un atjaunināt multividi.
-
Ieviešanas posms Ieviešanas posms, kas padara riskus pastāvīgus. Šī posma datums tiks paziņots vēlāk.
Piezīme Pēc nepieciešamības laidiena grafiku var pārskatīt.
Šo posmu aizstāj Windows drošības atjauninājumu laidiens, kas bija 2024. gada 9. aprīlī vai pēc tam.
Šo posmu aizstāj Windows drošības atjauninājumu laidiens, kas bija 2024. gada 9. aprīlī vai pēc tam.
Šajā posmā mēs uzdodam jums pārbaudīt šīs izmaiņas savā vidē, lai pārliecinātos, vai izmaiņas darbojas pareizi ar pārstāvim parauga ierīcēm un iegūtu pieredzi saistībā ar izmaiņām.
PIEZĪME Tā vietā, lai mēģinātu visaptveroši uzskaitīt un neuzticamus sāknēšanas vadītājus, kā tas bija iepriekšējās izvietošanas fāzēs, mēs pievienojam "Windows Production PCA 2011" parakstīšanas sertifikātu drošajam sāknēšanas sarakstam (Secure Boot Disallow List — DBX), lai neuzticamu visus šajā sertifikātā parakstītos sāknēšanas vadītājus. Šī ir uzticamāka metode, lai nodrošinātu, ka visi iepriekšējie sāknēšanas pārvaldnieki nav uzticami.
Windows atjauninājumi, kas izlaisti 2024. gada 9. aprīlī vai pēc tam, pievienojiet:
-
Trīs jaunas risku mazināšanas vadīklas, kas aizstāj 2023. gadā izlaistos riskus. Jaunās risku mazināšanas vadīklas ir:
-
Vadīkla, kas izvietos sertifikātu "Windows UEFI CA 2023" drošajā sāknēšanas DB, lai pievienotu šī sertifikāta parakstīto Windows sāknēšanas pārvaldnieku uzticamību. Ņemiet vērā, ka sertifikātu "Windows UEFI CA 2023", iespējams, ir instalējis vecākā Windows atjauninājumā.
-
Vadīkla, lai izvietotu palaišanas pārvaldnieku, ko parakstījis sertifikāts "Windows UEFI CA 2023".
-
Vadīkla, lai drošajam sāknēšanas DBX pievienotu "Windows Production PCA 2011", kas bloķēs visus ar šo sertifikātu parakstītos Windows sāknēšanas pārvaldniekus.
-
-
Iespēja patstāvīgi iespējot risku mazināšanas izvietošanu pakāpeniski, lai atkarībā no jūsu vajadzībām nodrošinātu lielāku kontroli, izvietojot riskus jūsu vidē.
-
Risku mazināšanas iespējas ir savstarpēji bloķētas, tāpēc tās nevar izvietot nepareizā secībā.
-
Papildu notikumi, kas jāzina ierīču statusā, kad tās piemēro riskus. Papildinformāciju KB5016061 skatiet rakstā: Secure Boot DB un DBX mainīgās atjaunināšanas notikumi.
Šajā posmā mēs iesakām klientiem sākt izmantot risku mazināšanas pasākumu un pārvaldīt multivides atjauninājumus. Atjauninājumi ietver šādas izmaiņas:
-
Pievienots atbalsts drošam versijas numuram (SVN) un atjauninātā SVN iestatīšana aparātprogrammatūrai.
Tālāk ir aprakstītas darbības, kas jāveic izvietošanā uzņēmumā.
Piezīme Papildu norādījumi, kā saņemt jaunākos šī raksta atjauninājumus.
-
Izvietojiet pirmo risku visām uzņēmuma vai uzņēmuma vadītās ierīču grupas ierīcēm. Tas attiecas uz tālāk minēto.
-
Pieteikšanās pirmajam riska mazināšanas pasākumiem, kas pievieno "Windows UEFI CA 2023" parakstīšanas sertifikātu ierīces aparātprogrammatūrai.
-
Pārraugiet, vai ierīces ir sekmīgi pievienojumjoslas "Windows UEFI CA 2023" parakstīšanas sertifikātu.
-
-
Izvietojiet otro risku, kas ierīcē lieto atjaunināto sāknēšanas pārvaldnieku.
-
Atjauniniet visus atkopšanas vai ārējos sāknējamos datu nesējus, kas tiek izmantoti šajās ierīcēs.
-
Izvietojiet trešo risku, kas ļauj atsaukt "Windows Production CA 2011" sertifikātu, pievienojot to DBX aparātprogrammatūras programmā.
-
Izvietojiet ceturto risku, kas atjaunina drošas versijas numuru (SVN) aparātprogrammatūrai.
Ieviešanas fāze būs vismaz sešus mēnešus pēc izvietošanas posma. Kad atjauninājumi tiek izlaisti ieviešanas fāzē, tie ietver:
-
Sertifikāts "Windows Production PCA 2011" tiks automātiski atsaukts, to pievienojot drošas sāknēšanas UEFI Forbidden List (DBX) ierīcēs. Šie atjauninājumi tiks programmiski ieviesti pēc atjauninājumu instalēšanas sistēmai Windows visās attiecīgajās sistēmās bez atspējošanas opcijas.
Windows notikumu žurnāla kļūdas saistībā ar CVE-2023-24932
Ar DB un DBX atjaunināšanu saistītie Windows notikumu žurnāla ieraksti ir detalizēti aprakstīti rakstā KB5016061: Secure Boot DB un DBX mainīgo atjaunināšanas notikumi.
"Izdošanās" notikumi, kas saistīti ar risku mazināšanas pasākumu šanu, ir norādīti tālāk tabulā.
. |
Notikuma ID |
Piezīmes |
Db atjauninājuma lietošanas |
1036 |
Datu PCA2023 sertifikāts tika pievienots DB. |
Sāknēšanas pārvaldnieka atjaunināšana |
1799 |
Tika PCA2023 ar parakstītu sāknēšanas pārvaldnieku. |
DBX atjauninājuma lietošanas |
1037 |
DBX atjauninājums, kas neuzticas failam PCA2011 tika lietots parakstīšanas sertifikāts. |
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
-
Skatiet sadaļu Atkopšanas procedūra, lai atkoptu ierīci.
-
Izpildiet norādījumus sadaļā Sāknēšanas problēmu novēršana.
Atjauniniet visas operētājsistēmas Windows ar atjauninājumiem, kas izlaisti 2024. gada 9. jūlijā vai pēc tam, pirms atsaukšanas. Iespējams, nevarēsiet startēt nevienu Windows versiju, kas nav atjaunināta uz vismaz visiem atjauninājumiem, kas izlaisti 2024. gada 9. jūlijā pēc atsaukšanas lietošanas. Izpildiet norādījumus sadaļā Sāknēšanas problēmu novēršana.
Skatiet sadaļu Sāknēšanas problēmu novēršana.
Sāknēšanas problēmu novēršana
Pēc tam, kad ir pielietotas visas trīs risku mazināšanas programmas, ierīces aparātprogrammatūra netiks palaista, izmantojot sāknēšanas pārvaldnieku, ko parakstīja Windows Production PCA 2011. Aparātprogrammatūras uzrādītās sāknēšanas kļūmes ir raksturīgas ierīcēm. Skatiet sadaļu Atkopšanas procedūra.
Atkopšanas procedūra
Ja, lietojot riskus, kaut kas nav kārtībā un nevarat startēt ierīci vai ir nepieciešams sākt darbu ar ārēju multividi (piemēram, zibatmiņa vai PXE sāknēšana), izmēģiniet tālāk norādītos ieteikumus.
-
Izslēdziet drošo sāknēšanas sistēmu.Drošās sāknēšanas atspējošana.
Dažādām ierīču ražotājiem un modeļiem šī procedūra atšķiras. Ievadiet savas ierīces UEFI BIOS izvēlni un naviģējiet uz drošās palaišanas iestatījumiem un izslēdziet to. Skatiet ierīces ražotāja dokumentāciju, lai iegūtu konkrētu informāciju par šo procesu. Papildinformācija ir pieejama lodziņā -
Atiestatiet drošas sāknēšanas taustiņu rūpnīcas noklusējumus.
Ja ierīce atbalsta drošo sāknēšanas taustiņu atiestatīšanu uz rūpnīcas noklusējuma iestatījumiem, veiciet šo darbību tūlīt.
PIEZĪME Dažiem ierīču ražotājiem ir gan mainīgo "Clear" (Notīrīt), gan "Reset" (Atiestatīt) opcija drošas sāknēšanas mainīgajiem, un šādā gadījumā jāizmanto opcija "Reset" (Atiestatīt). Mērķis ir novietot drošās sāknēšanas mainīgos atpakaļ uz ražotājiem noklusējuma vērtībām.
Tagad ierīcei ir jāsākas, bet ņemiet vērā, ka tā ir neaizsargāta pret sāknēšanas komplekta ļaunprogrammatūru. Pārliecinieties, vai esat pabeidzis šī atkopšanas procesa 5. darbību, lai atkārtoti iespējotu drošo sāknēšanas procesu.
-
Mēģiniet startēt Windows no sistēmas diska.
-
Piesakieties sistēmā Windows.
-
Izpildiet tālāk norādītās komandas administratora komandu uzvednē, lai atjaunotu sāknēšanas failus EFI sistēmas sāknēšanas nodalījumā. Ierakstiet katru komandu atsevišķi un pēc tam nospiediet taustiņu Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Palaižot BCDBoot, tiek atgriezts "Sekmīgi izveidoti sāknfaili". Kad tiek parādīts šis ziņojums, restartējiet ierīci atpakaļ sistēmā Windows.
-
-
Ja 3. darbība nevar sekmīgi atkopt ierīci, atkārtoti instalējiet sistēmu Windows.
-
Startējiet ierīci no esoša atkopšanas datu nesēja.
-
Turpiniet instalēt Windows, izmantojot atkopšanas datu nesēju.
-
Piesakieties sistēmā Windows.
-
Restartējiet sistēmu Windows, lai pārbaudītu, vai ierīce tiek startēta atpakaļ sistēmā Windows.
-
-
Atkārtoti iespējojiet drošo sāknēšanas programmu un restartējiet ierīci.
Ievadiet ierīces UEFI izvēlni, naviģējiet uz drošās sāknēšanas iestatījumiem un ieslēdziet to. Skatiet ierīces ražotāja dokumentāciju, lai iegūtu konkrētu informāciju par šo procesu. Papildinformācija ir atrodama sadaļā "Drošās sāknēšanas atkārtota iespējošana".
Uzziņas
-
Norādījumi par uzbrukumu izpēti, izmantojot CVE-2022-21894: BlackLotus kampaņu
-
Notikumus, kas tiek ģenerēti, lietojot DBX atjauninājumus, skatiet rakstā KB5016061: Neaizsargātu un atsauktu sāknēšanas pārvaldnieku adresēšana.
Šajā rakstā pieminēto trešās puses produktu ražotāji ir no korporācijas Microsoft neatkarīgi uzņēmumi. Mēs nesniedzam nekādas garantijas, tiešas vai netiešas, par šo produktu veiktspēju vai uzticamību.
Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.
Izmaiņu datums |
Izmaiņu apraksts |
2024. gada 9. jūlijs |
|
2024. gada 9. aprīlis |
|
2023. gada 16. decembris |
|
2023. gada 15. maijs |
|
2023. gada 11. maijs |
|
2023. gada 10. maijs |
|
2023. gada 9. maijs |
|
2023. gada 27. jūnijs |
|
2023. gada 11. jūlijs |
|
2023. gada 25. augusts |
|