VIKTIG Du bør bruke Windows-sikkerhetsoppdateringen som ble utgitt 9. juli 2024, som en del av den vanlige månedlige oppdateringsprosessen.
Denne artikkelen gjelder for de organisasjonene som bør begynne å evaluere begrensninger for en offentliggjort Secure Boot bypass utnyttet av BlackLotus UEFI bootkit. I tillegg vil du kanskje ta en proaktiv sikkerhetsholdning eller begynne å forberede deg på utrullingen. Vær oppmerksom på at denne skadelige programvaren krever fysisk eller administrativ tilgang til enheten.
FORSIKTIGHET Etter at begrensningen for dette problemet er aktivert på en enhet, noe som betyr at begrensningene er brukt, kan den ikke gjenopprettes hvis du fortsetter å bruke sikker oppstart på den enheten. Selv omformatering av disken ikke vil fjerne tilbakekallingene hvis de allerede er brukt. Vær oppmerksom på alle mulige implikasjoner og tester grundig før du bruker tilbakekallingene som er beskrevet i denne artikkelen, på enheten.
I denne artikkelen
Oppsummering
Denne artikkelen beskriver beskyttelsen mot den offentliggjorte sikkerhetsfunksjonen for sikker oppstart som bruker BlackLotus UEFI bootkit sporet av CVE-2023-24932, hvordan du aktiverer begrensninger og veiledning om oppstartbare medier. En bootkit er et skadelig program som er utformet for å laste så tidlig som mulig i en oppstartssekvens for enheter for å kontrollere oppstarten av operativsystemet.
Sikker oppstart anbefales av Microsoft for å lage en sikker og klarert bane fra UEFI (Unified Extensible Firmware Interface) gjennom sekvensen Windows kernel Trusted Boot. Sikker oppstart bidrar til å forhindre bootkit-skadelig programvare i oppstartssekvensen. Deaktivering av sikker oppstart setter en enhet i fare for å bli infisert av bootkit malware. Du må tilbakekalle oppstartsansvarlige for å løse problemet med sikker oppstart som er beskrevet i CVE-2023-24932. Dette kan føre til problemer for enkelte konfigurasjoner for enhetsoppstart.
Begrensninger mot secure boot bypass detaljert i CVE-2023-24932 er inkludert i Windows-sikkerhetsoppdateringene som ble utgitt 9. juli 2024. Disse begrensningene er imidlertid ikke aktivert som standard. Med disse oppdateringene anbefaler vi at du begynner å evaluere disse endringene i miljøet ditt. Den fullstendige tidsplanen er beskrevet i delen Tidsberegning av oppdateringer .
Før du aktiverer disse begrensningene, bør du gå grundig gjennom detaljene i denne artikkelen og avgjøre om du må aktivere begrensningene eller vente på en fremtidig oppdatering fra Microsoft. Hvis du velger å aktivere begrensningene, må du bekrefte at enhetene er oppdaterte og klare, og forstå risikoene som er beskrevet i denne artikkelen.
Utfør handling
For denne versjonen skal følgende trinn følges: Trinn 1: Installer Windows-sikkerhetsoppdateringen som ble utgitt 9. juli 2024, på alle støttede versjoner. Trinn 2: Evaluer endringene og hvordan de påvirker miljøet ditt. Trinn 3: Fremtving endringene. |
Innvirkningsomfang
Alle Windows-enheter med sikker oppstartsbeskyttelse aktivert, påvirkes av BlackLotus bootkit. Begrensninger er tilgjengelige for støttede versjoner av Windows. Hvis du vil ha en fullstendig liste, kan du se CVE-2023-24932.
Forstå risikoene
Risiko for skadelig programvare: For at BlackLotus UEFI bootkit exploit beskrevet i denne artikkelen skal være mulig, må en angriper få administrative rettigheter på en enhet eller få fysisk tilgang til enheten. Dette kan gjøres ved å få tilgang til enheten fysisk eller eksternt, for eksempel ved hjelp av en hypervisor for å få tilgang til virtuelle maskiner/sky. En angriper vil ofte bruke dette sikkerhetsproblemet til å fortsette å kontrollere en enhet som de allerede har tilgang til og muligens manipulere. Begrensninger i denne artikkelen er forebyggende og ikke korrigerende. Hvis enheten allerede er kompromittert, kan du kontakte sikkerhetsleverandøren for å få hjelp.
Gjenopprettingsmedier: Hvis du støter på et problem med enheten etter at du har brukt begrensningene, og enheten blir uboelig, kan det hende at du ikke kan starte eller gjenopprette enheten fra eksisterende medier. Gjenopprettings- eller installasjonsmedier må oppdateres slik at det fungerer med en enhet som har begrensningene brukt.
Problemer med fastvare: Når Windows bruker begrensningene som er beskrevet i denne artikkelen, må den være avhengig av UEFI-fastvaren til enheten for å oppdatere verdiene for sikker oppstart (oppdateringene brukes på databasenøkkelen (DB) og DBX (Forbidden Signature Key). I noen tilfeller har vi erfaring med enheter som mislykkes oppdateringene. Vi jobber med enhetsprodusenter for å teste disse viktige oppdateringene på så mange enheter som mulig.
NOTAT Test først disse begrensningene på én enkelt enhet per enhetsklasse i miljøet ditt for å oppdage mulige fastvareproblemer. Ikke distribuer bredt før du bekrefter at alle enhetsklassene i miljøet ditt er evaluert.
BitLocker Recovery: Noen enheter kan gå inn i BitLocker-gjenoppretting. Pass på å beholde en kopi av BitLocker-gjenopprettingsnøkkelen før du aktiverer begrensningene.
Kjente problemer
Problemer med fastvare:Ikke alle fastvare for enheter oppdaterer DB- eller DBX-en for sikker oppstart. I tilfeller som vi er klar over, har vi rapportert problemet til enhetsprodusenten. Se KB5016061: Hendelser for variabel oppdatering av sikker oppstart og DBX-variabel for detaljer om loggførte hendelser. Kontakt enhetsprodusenten for å få fastvareoppdateringer. Hvis enheten ikke støttes, anbefaler Microsoft å oppgradere enheten.
Kjente problemer med fastvare:
NOTAT Følgende kjente problemer har ingen innvirkning på, og vil ikke hindre installasjonen av oppdateringene 9. juli 2024. I de fleste tilfeller gjelder ikke begrensningene der det finnes kjente problemer. Se detaljer kalt opp i hvert kjente problem.
-
HK: HP identifiserte et problem med reduksjonsinstallasjon på HP Z4G4 Workstation PC-er og vil lansere en oppdatert Z4G4 UEFI-fastvare (BIOS) i de kommende ukene. For å sikre vellykket installasjon av avløsningen, vil den bli blokkert på stasjonære arbeidsstasjoner til oppdateringen er tilgjengelig. Kunder bør alltid oppdatere til det nyeste systemet BIOS før de tar i bruk begrensningen.
-
HP-enheter med Sure Start Security: Disse enhetene trenger de nyeste fastvareoppdateringene fra HP for å installere begrensningene. Begrensningene blokkeres til fastvaren oppdateres. Installer den nyeste fastvareoppdateringen fra kundestøttesiden for HPs – offisielle HP-drivere og programvarenedlasting | HP-støtte.
-
Arm64-baserte enheter: Begrensningene blokkeres på grunn av kjente UEFI-fastvareproblemer med Qualcomm-baserte enheter. Microsoft samarbeider med Qualcomm for å løse dette problemet. Qualcomm vil gi løsningen til enhetsprodusenter. Kontakt enhetsprodusenten for å finne ut om en løsning på dette problemet er tilgjengelig. Microsoft vil legge til gjenkjenning for å tillate at begrensningene brukes på enheter når den faste fastvaren oppdages. Hvis den Arm64-baserte enheten ikke har Qualcomm-fastvare, konfigurerer du følgende registernøkkel for å aktivere begrensningene.
Registerundernøkkel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nøkkelverdinavn
SkipDeviceCheck
Datatype
REG_DWORD
Data
1
-
Eple:Mac-maskiner som har Apple T2 Security Chip støtter Sikker oppstart. Oppdatering av UEFI-sikkerhetsrelaterte variabler er imidlertid bare tilgjengelig som en del av macOS-oppdateringer. Boot Camp-brukere forventes å se en hendelsesloggoppføring for hendelses-ID 1795 i Windows relatert til disse variablene. Hvis du vil ha mer informasjon om denne loggoppføringen, kan du se KB5016061: Hendelser for sikker oppstart av DB og DBX-variabeloppdatering.
-
VMware:På VMware-baserte virtualiseringsmiljøer vil en virtuell maskin som bruker en x86-basert prosessor med sikker oppstart aktivert, mislykkes i å starte etter å ha brukt begrensningene. Microsoft koordinerer med VMware for å løse dette problemet.
-
TPM 2.0-baserte systemer: Disse systemene som kjører Windows Server 2012 og Windows Server 2012 R2, kan ikke distribuere begrensningene som ble utgitt i sikkerhetsoppdateringen 9. juli 2024 på grunn av kjente kompatibilitetsproblemer med TPM-målinger. Sikkerhetsoppdateringene 9. juli 2024 vil blokkere begrensninger #2 (oppstartsbehandling) og #3 (DBX-oppdatering) på berørte systemer.tpm.msc. Nederst til høyre i den midterste ruten under TPM Manufacturer Information skal du se en verdi for spesifikasjonsversjonen.
Microsoft er klar over problemet, og en oppdatering vil bli utgitt i fremtiden for å oppheve blokkeringen av TPM 2.0-baserte systemer. Hvis du vil kontrollere TPM-versjonen, høyreklikker du Start, klikker Kjør og skriver deretter inn -
Symantec-endepunktkryptering: Begrensninger for sikker oppstart kan ikke brukes på systemer som har installert Symantec Endpoint Encryption. Microsoft og Symantec er klar over problemet og vil bli behandlet i fremtidig oppdatering.
Retningslinjer for denne versjonen
Følg disse to trinnene for denne versjonen.
Trinn 1: Installere Windows-sikkerhetsoppdateringen CVE-2023-24932, men er ikke aktivert som standard. Alle Windows-enheter bør fullføre dette trinnet uansett om du planlegger å distribuere begrensningene eller ikke.
Installer den månedlige sikkerhetsoppdateringen for Windows som ble utgitt 9. juli 2024, på støttede Windows-enheter. Disse oppdateringene inkluderer begrensninger forTrinn 2: Evaluere endringene
Vi oppfordrer deg til å gjøre følgende:-
Forstå de to første begrensningene som tillater oppdatering av DB for sikker oppstart og oppdatering av oppstartsbehandling.
-
Se gjennom den oppdaterte tidsplanen.
-
Begynn å teste de to første begrensningene mot representative enheter fra miljøet ditt.
-
Begynn planleggingen av distribusjonen.
Trinn 3: Fremtving endringene
Vi oppfordrer deg til å forstå risikoene i delen Forstå risikoene.
-
Forstå innvirkningen på gjenoppretting og andre oppstartbare medier.
-
Begynn å teste den tredje begrensningen som opphever signeringssertifikatet som brukes for alle tidligere Windows-oppstartsbehandlere.
Retningslinjer for utbedring av distribusjon
Før du følger disse trinnene for å ta i bruk begrensningene, må du installere den månedlige serviceoppdateringen for Windows som ble utgitt 9. juli 2024, på støttede Windows-enheter. Denne oppdateringen inkluderer begrensninger for CVE-2023-24932, men de er ikke aktivert som standard. Alle Windows-enheter bør fullføre dette trinnet uavhengig av planen din for å aktivere begrensningene.
NOTAT Hvis du bruker BitLocker, må du kontrollere at BitLocker-gjenopprettingsnøkkelen er sikkerhetskopiert. Du kan kjøre følgende kommando fra en ledetekst for administrator og notere det numeriske passordet på 48 sifre:
manage-bde -protectors -get %systemdrive%
Følg disse trinnene for å distribuere oppdateringen og bruke tilbakekallingene:
-
Installer de oppdaterte sertifikatdefinisjonene i databasen.
Dette trinnet legger til sertifikatet "Windows UEFI CA 2023" i UEFI "Secure Boot Signature Database" (DB). Ved å legge til dette sertifikatet i databasen klarerer fastvaren oppstartsprogrammer som er signert av dette sertifikatet.
-
Åpne en ledetekst for administrator, og angi regkeyen for å utføre oppdateringen til DB ved å skrive inn følgende kommando:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
VIKTIG Pass på å starte enheten på nytt to ganger for å fullføre installasjonen av oppdateringen før du fortsetter til trinn 2 og 3.
-
Kjør følgende PowerShell-kommando som administrator, og kontroller at databasen er oppdatert. Denne kommandoen skal returnere Sann.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Oppdater Oppstartsbehandling på enheten.
Dette trinnet installerer et oppstartsbehandlingsprogram på enheten som er signert med sertifikatet «Windows UEFI CA 2023».
-
Åpne en ledetekst for administrator, og angi regkeyen for å installere den signerte oppstartsbehandlingen for Windows UEFI CA 2023:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Start enheten på nytt to ganger.
-
Som administrator monterer du EFI-partisjonen for å gjøre den klar til inspeksjon:
mountvol s: /s
-
Valider at «s:\efi\microsoft\boot\bootmgfw.efi»-filen er signert av sertifikatet «Windows UEFI CA 2023». For å gjøre dette, følger du disse trinnene:
-
Klikk Start, skriv inn ledeteksten i søkeboksen , og klikk deretter Ledetekst.
-
Skriv inn følgende kommando i ledetekstvinduet , og trykk deretter ENTER:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Høyreklikk filen C:\bootmgfw_2023.efi i Filbehandling, klikk Egenskaper, og velg deretter fanen Digitale signaturer .
-
Bekreft at sertifikatkjeden inkluderer Windows UEFI CA 2023 i signaturlisten. Sertifikatkjeden skal samsvare med følgende skjermbilde:
-
-
-
Aktiver tilbakekallingen.
UEFI Forbidden List (DBX) brukes til å blokkere ikke-klarerte UEFI-moduler fra innlasting. I dette trinnet legger oppdatering av DBX sertifikatet «Windows Production CA 2011» til DBX. Dette vil føre til at alle oppstartsbehandlere som er signert av dette sertifikatet, ikke lenger klareres.
ADVARSEL: Før du bruker den tredje begrensningen, må du opprette en flash-enhet for gjenoppretting som kan brukes til å starte systemet. Hvis du vil ha informasjon om hvordan du gjør dette, kan du se delen Oppdatere Windows installer medier.
Hvis systemet havner i en tilstand som ikke kan startes, følger du fremgangsmåten i delen for gjenopprettingsprosedyren for å tilbakestille enheten til en tilstand før tilbakekalling.
-
Legg til sertifikatet «Windows Production PCA 2011» i UEFI Forbidden List (DBX) for sikker oppstart. Dette gjør du ved å åpne et ledetekstvindu som administrator, skrive inn følgende kommando og deretter trykke ENTER:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Start enheten på nytt to ganger , og bekreft at den er startet på nytt.
-
Kontroller at listen over installasjoner og tilbakekalling ble brukt ved å se etter hendelse 1037 i hendelsesloggen.KB5016061: Oppdateringshendelser for sikker oppstart og DBX-variabel. Du kan også kjøre følgende PowerShell-kommando som administrator og kontrollere at den returnerer Sann:
Hvis du vil ha informasjon om hendelse 1037, kan du se[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).byte) – samsvarer med «Microsoft Windows Production PCA 2011»
-
-
Bruk SVN-oppdateringen på fastvaren.
Oppstartsbehandlingen som er distribuert i trinn 2, har innebygd en ny funksjon for selvopphevelse. Når Oppstartsbehandling begynner å kjøre, utføres en selvkontroll ved å sammenligne SVN (Secure Version Number) som er lagret i fastvaren, med SVN innebygd i Oppstartsbehandling. Hvis Boot Manager SVN er lavere enn SVN-en som er lagret i fastvaren, vil Boot Manager nekte å kjøre. Denne funksjonen hindrer en angriper i å rulle tilbake Oppstartsbehandling til en eldre, ikke oppdatert versjon. I fremtidige oppdateringer, når et betydelig sikkerhetsproblem er løst i Oppstartsbehandling, økes SVN-nummeret i både Boot Manager og oppdateringen til fastvaren. Begge oppdateringene vil bli utgitt i den samme kumulative oppdateringen for å sikre at oppdaterte enheter er beskyttet. Hver gang SVN oppdateres, må alle oppstartbare medier oppdateres. Fra og med 9. juli 2024, oppdateringer, økes SVN i Oppstartsbehandling og oppdateringen til fastvaren. Fastvareoppdateringen er valgfri og kan brukes ved å følge disse trinnene:-
Åpne en ledetekst for administrator, og kjør følgende kommando for å installere den signerte oppstartsbehandlingen for Windows UEFI CA 2023:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Start enheten på nytt to ganger.
-
Medier som kan startes opp
Det vil være viktig å oppdatere oppstartbare medier når distribusjonsfasen begynner i miljøet.
Veiledning for oppdatering av oppstartbare medier kommer med fremtidige oppdateringer av denne artikkelen. Se neste del for å opprette en USB-minnepinne for å gjenopprette en enhet.
Oppdaterer windows installeringsmedium
NOTAT Når du oppretter en oppstartbar USB-minnepinne, må du formatere stasjonen ved hjelp av FAT32-filsystemet.
Du kan bruke programmet Opprett gjenopprettingsstasjon ved å følge disse trinnene. Dette mediet kan brukes til å installere en enhet på nytt i tilfelle det er et stort problem, for eksempel en maskinvarefeil, vil du kunne bruke gjenopprettingsstasjonen til å installere Windows på nytt.
-
Gå til en enhet der oppdateringene for 9. juli 2024 og det første avbøtingstrinnet (oppdatering av DB for sikker oppstart) er brukt.
-
Søk etter Kontrollpanel-appleten «Opprett en gjenopprettingsstasjon» på Start-menyen , og følg instruksjonene for å opprette en gjenopprettingsstasjon.
-
Med den nyopprettede flash-stasjonen montert (for eksempel som stasjon «D:»), kjører du følgende kommandoer som administrator. Skriv inn hver av følgende kommandoer, og trykk deretter ENTER:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Hvis du administrerer installerbare medier i miljøet ditt ved hjelp av Update Windows-installasjonsmediet med dynamic update-veiledning , følger du disse trinnene. Disse ekstra trinnene oppretter en oppstartbar flash-enhet som bruker oppstartsfiler signert av signeringssertifikatet windows UEFI CA 2023.
-
Gå til en enhet der oppdateringene for 9. juli 2024, og det første avbøtingstrinnet (oppdatering av DB for sikker oppstart) er brukt.
-
Følg trinnene i koblingen nedenfor for å opprette medier med oppdateringene 9. juli 2024. Oppdatere Windows-installasjonsmedier med dynamisk oppdatering
-
Plasser innholdet i mediene på en USB-minnepinne, og sett på minnepinnen som en stasjonsbokstav. Du kan for eksempel montere minnepinnen som «D:».
-
Kjør følgende kommandoer fra et kommandovindu som administrator. Skriv inn hver av følgende kommandoer, og trykk deretter ENTER.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Hvis en enhet har tilbakestilt innstillingene for sikker oppstart til standardinnstillingene etter å ha brukt begrensningene, vil ikke enheten starte. For å løse dette problemet er et reparasjonsprogram inkludert i 9. juli 2024-oppdateringene som kan brukes til å bruke sertifikatet "Windows UEFI CA 2023" på nytt til DB (utbedring nr. 1).
NOTAT Ikke bruk dette reparasjonsprogrammet på en enhet eller et system som er beskrevet i delen Kjente problemer .
-
Gå til en enhet der oppdateringene for 9. juli 2024 er brukt.
-
Kopier gjenopprettingsappen til flash-enheten i et kommandovindu ved hjelp av følgende kommandoer (forutsatt at flash-enheten er D:-stasjonen). Skriv inn hver kommando separat, og trykk deretter ENTER:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
På enheten som har innstillingene for sikker oppstart tilbakestilt til standardinnstillingene, setter du inn flash-enheten, starter enheten på nytt og starter opp fra flash-enheten.
Tidsberegning for oppdateringer
Oppdateringer utgis på følgende måte:
-
Første distribusjon Denne fasen startet med oppdateringer utgitt 9. mai 2023, og ga grunnleggende begrensninger med manuelle trinn for å muliggjøre disse begrensningene.
-
Andre distribusjon Denne fasen startet med oppdateringer utgitt 11. juli 2023, som la til forenklede trinn for å aktivere begrensningene for problemet.
-
Evalueringsfase Denne fasen starter 9. april 2024, og legger til flere begrensninger for oppstartsbehandling.
-
Distribusjonsfase Dette er når vi vil oppfordre alle kunder til å begynne å distribuere begrensninger og oppdatere medier.
-
Håndhevelsesfase Håndhevelsesfasen som vil gjøre begrensningene permanente. Datoen for denne fasen vil bli kunngjort på et senere tidspunkt.
Obs! Lanseringsplanen kan bli revidert etter behov.
Denne fasen er erstattet av Windows-sikkerhetsoppdateringene som lanseres 9. april 2024.
Denne fasen er erstattet av Windows-sikkerhetsoppdateringene som lanseres 9. april 2024.
Med denne fasen ber vi deg teste disse endringene i miljøet ditt for å sikre at endringene fungerer på riktig måte med representative eksempelenheter og for å få erfaring med endringene.
NOTAT I stedet for å prøve å fullstendig liste opp og untruste sårbare oppstartsbehandlere slik vi gjorde i de forrige distribusjonsfasene, legger vi til signeringssertifikatet «Windows Production PCA 2011» i DBX (Secure Boot Disallow List) for å oppheve mistillit til alle oppstartsbehandlere som er signert av dette sertifikatet. Dette er en mer pålitelig metode for å sikre at alle tidligere oppstartsbehandlere ikke er klarert.
Oppdateringer for Windows utgitt 9. april 2024, legg til følgende:
-
Tre nye begrensningskontroller som erstatter begrensningene som ble lansert i 2023. De nye begrensningskontrollene er:
-
En kontroll for å distribuere sertifikatet "Windows UEFI CA 2023" til den sikre oppstartsdatabasen for å legge til klarering for Windows-oppstartsbehandlere signert av dette sertifikatet. Vær oppmerksom på at «Windows UEFI CA 2023»-sertifikatet kan ha blitt installert av en tidligere Windows-oppdatering.
-
En kontroll for å distribuere en oppstartsbehandling signert av «Windows UEFI CA 2023»-sertifikatet.
-
En kontroll for å legge til Windows Production PCA 2011 i DBX for sikker oppstart, som blokkerer alle Windows-oppstartsbehandlere som er signert av dette sertifikatet.
-
-
Muligheten til å aktivere distribusjon av begrensninger i faser uavhengig av hverandre for å gi mer kontroll i distribusjonen av begrensningene i miljøet basert på behovene dine.
-
Begrensningene er låst slik at de ikke kan distribueres i feil rekkefølge.
-
Flere hendelser for å vite statusen til enhetene når de bruker begrensningene. Se KB5016061: Hendelser for variabel oppdatering av sikker oppstart og DBX-variabel for mer informasjon om hendelsene.
Denne fasen er når vi oppfordrer kunder til å begynne å distribuere begrensningene og administrere eventuelle medieoppdateringer. Oppdateringene omfatter følgende endring:
-
La til støtte for SVN (Secure Version Number) og angir den oppdaterte SVN-en i fastvaren.
Nedenfor finner du en oversikt over trinnene som skal distribueres i en virksomhet.
Obs! Ytterligere veiledning for å komme med senere oppdateringer av denne artikkelen.
-
Distribuer den første begrensningen til alle enheter i Enterprise eller en administrert gruppe enheter i Enterprise. Dette inkluderer:
-
Velge den første begrensningen som legger til signeringssertifikatet «Windows UEFI CA 2023» i enhetens fastvare.
-
Overvåking av at enheter har lagt til signeringssertifikatet Windows UEFI CA 2023.
-
-
Distribuer den andre begrensningen som bruker den oppdaterte oppstartsbehandlingen på enheten.
-
Oppdater eventuelle gjenopprettingsmedier eller eksterne oppstartsmedier som brukes med disse enhetene.
-
Distribuer den tredje begrensningen som aktiverer tilbakekallingen av sertifikatet «Windows Production CA 2011» ved å legge det til I DBX i fastvaren.
-
Distribuer den fjerde begrensningen som oppdaterer SVN (Secure Version Number) til fastvaren.
Håndhevelsesfasen vil være minst seks måneder etter distribusjonsfasen. Når oppdateringer utgis for håndhevelsesfasen, vil de inkludere følgende:
-
Sertifikatet «Windows Production PCA 2011» tilbakekalles automatisk ved å bli lagt til i UEFI Forbidden List (DBX) for sikker oppstart på kompatible enheter. Disse oppdateringene vil bli programmatisk håndhevet etter installasjon av oppdateringer for Windows til alle berørte systemer uten mulighet til å deaktiveres.
Windows-hendelsesloggfeil relatert til CVE-2023-24932
Oppføringer i Windows-hendelsesloggen relatert til oppdatering av DB og DBX beskrives i detalj i KB5016061: Hendelser for sikker oppstart av DB og DBX-variabeloppdatering.
«Vellykkede»-hendelser relatert til bruk av begrensningene, er oppført i tabellen nedenfor.
Utbedringstrinn |
Hendelses-ID |
Merknader |
Bruk av DB-oppdateringen |
1036 |
Det PCA2023 sertifikatet ble lagt til IB. |
Oppdaterer oppstartsbehandlingen |
1799 |
Den PCA2023 signerte oppstartsbehandlingen ble brukt. |
Bruk av DBX-oppdateringen |
1037 |
DBX-oppdateringen som ikke gir den PCA2011 signeringssertifikatet, ble brukt. |
Vanlige spørsmål
-
Se delen Om gjenopprettingsprosedyre for å gjenopprette enheten.
-
Følg veiledningen i delen Feilsøking av oppstartsproblemer .
Oppdater alle Windows-operativsystemer med oppdateringer utgitt 9. juli 2024 før du bruker tilbakekallingene. Det kan hende du ikke kan starte en versjon av Windows som ikke er oppdatert til minst oppdateringer utgitt 9. juli 2024 etter at du har tatt i bruk tilbakekallingene. Følg veiledningen i delen Feilsøking av oppstartsproblemer .
Se avsnittet Feilsøking av oppstartsproblemer .
Feilsøking av oppstartsproblemer
Når alle tre begrensningene er brukt, starter ikke fastvaren for enheten ved hjelp av en oppstartsbehandling signert av Windows Production PCA 2011. Oppstartsfeilene som rapporteres av fastvaren, er enhetsspesifikke. Se avsnittet Om gjenopprettingsprosedyre .
Gjenopprettingsprosedyre
Hvis noe går galt under bruk av begrensningene og du ikke kan starte enheten, eller du må starte fra eksterne medier (for eksempel en minnepinne eller PXE-oppstart), kan du prøve følgende forslag:
-
Deaktiver sikker oppstart.Deaktivering av sikker oppstart.
Denne prosedyren er forskjellig mellom enhetsprodusenter og modeller. Skriv inn UEFI BIOS-menyen på enhetene dine, og naviger til innstillingene for sikker oppstart, og slå den av. Se dokumentasjonen fra enhetsprodusenten for detaljer om denne prosessen. Du finner flere detaljer under -
Tilbakestill sikker oppstart-nøkler til fabrikkstandarder.
Hvis enheten støtter tilbakestilling av de sikre oppstartsnøklene til fabrikkstandarder, utfører du denne handlingen nå.
NOTAT Noen enhetsprodusenter har både et «Fjern»- og Tilbakestill-alternativ for variabler for sikker oppstart, og i så fall bør «Tilbakestill» brukes. Målet er å sette variablene for sikker oppstart tilbake til produsentens standardverdier.
Enheten skal starte nå, men vær oppmerksom på at den er sårbar for oppstartspakke-skadelig programvare. Pass på å fullføre trinn 5 i denne gjenopprettingsprosessen for å aktivere sikker oppstart på nytt.
-
Prøv å starte Windows fra systemdisken.
-
Logge på Windows.
-
Kjør følgende kommandoer fra en ledetekst for administrator for å gjenopprette oppstartsfilene i oppstartspartisjonen for EFI-systemet. Skriv inn hver kommando separat, og trykk deretter ENTER:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Kjører BCDBoot returnerer "Oppstartsfiler er opprettet." Når denne meldingen vises, starter du enheten på nytt tilbake til Windows.
-
-
Hvis trinn 3 ikke gjenoppretter enheten, installerer du Windows på nytt.
-
Start enheten fra eksisterende gjenopprettingsmedier.
-
Fortsett å installere Windows ved hjelp av gjenopprettingsmediet.
-
Logge på Windows.
-
Start Windows på nytt for å bekrefte at enheten starter tilbake til Windows.
-
-
Aktiver sikker oppstart på nytt, og start enheten på nytt.
Skriv inn UEFI-menyen for enheten, gå til innstillingene for sikker oppstart og slå den på. Se dokumentasjonen fra enhetsprodusenten for detaljer om denne prosessen. Du finner mer informasjon i delen Aktiver sikker oppstart på nytt.
Referanser
-
Veiledning for å undersøke angrep ved hjelp av CVE-2022-21894: BlackLotus-kampanjen
-
For hendelser som genereres når du bruker DBX-oppdateringer, kan du se KB5016061: Adressering av sårbare og tilbakekalte oppstartsledere.
Tredjepartsprodukter som nevnes i denne artikkelen, er produsert av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, underforstått eller på annen måte, om ytelsen eller påliteligheten til disse produktene.
Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.
Endringsdato |
Endringsbeskrivelse |
9. juli 2024 |
|
9. april 2024 |
|
16. desember 2023 |
|
15. mai 2023 kl. |
|
11. mai 2023 kl. |
|
10. mai 2023 kl. |
|
9. mai 2023 kl. |
|
27. juni 2023 kl. |
|
11. juli 2023 |
|
25. august 2023 kl. |
|