BELANGRIJK U moet de Windows-beveiligingsupdate die op of na 9 juli 2024 is uitgebracht, toepassen als onderdeel van uw normale maandelijkse updateproces.
Dit artikel is van toepassing op organisaties die moeten beginnen met het evalueren van risicobeperkingen voor een openbaar openbaar gemaakte Secure Boot-bypass die wordt gebruikt door de BlackLotus UEFI-bootkit. Daarnaast kunt u een proactieve beveiligingsstandpunt aannemen of beginnen met het voorbereiden van de implementatie. Houd er rekening mee dat deze malware fysieke of administratieve toegang tot het apparaat vereist.
VOORZICHTIGHEID Nadat de beperking voor dit probleem is ingeschakeld op een apparaat, wat betekent dat de risicobeperkingen zijn toegepast, kan deze niet worden teruggedraaid als u Beveiligd opstarten op dat apparaat blijft gebruiken. Zelfs als u de schijf opnieuw formatteert, worden de intrekkingen niet verwijderd als deze al zijn toegepast. Houd rekening met alle mogelijke gevolgen en test grondig voordat u de intrekkingen die in dit artikel worden beschreven, toepast op uw apparaat.
In dit artikel
Samenvatting
In dit artikel wordt de beveiliging beschreven tegen de openbaar bekendgemaakte beveiligingsfunctie voor beveiligd opstarten die gebruikmaakt van de BlackLotus UEFI-bootkit die wordt bijgehouden door CVE-2023-24932, hoe u de risicobeperkingen inschakelt en richtlijnen voor opstartbare media. Een bootkit is een schadelijk programma dat is ontworpen om zo vroeg mogelijk in een opstartvolgorde van een apparaat te laden om het starten van het besturingssysteem te beheren.
Beveiligd opstarten wordt aanbevolen door Microsoft om een veilig en vertrouwd pad te maken van de Unified Extensible Firmware Interface (UEFI) via de Windows-kernel vertrouwde opstartvolgorde. Beveiligd opstarten helpt bij het voorkomen van bootkit-malware in de opstartvolgorde. Als u Beveiligd opstarten uitschakelt, loopt een apparaat het risico te worden geïnfecteerd met bootkit-malware. Voor het oplossen van de secure boot-bypass beschreven in CVE-2023-24932 moeten opstartmanagers worden ingeleid. Dit kan problemen veroorzaken voor sommige opstartconfiguraties van apparaten.
Risicobeperkingen voor het omzeilen van beveiligd opstarten zoals beschreven in CVE-2023-24932 zijn opgenomen in de Windows-beveiligingsupdates die zijn uitgebracht op of na 9 juli 2024. Deze oplossingen zijn echter niet standaard ingeschakeld. Met deze updates wordt u aangeraden deze wijzigingen binnen uw omgeving te evalueren. Het volledige schema wordt beschreven in de sectie Tijdsinstellingen van updates .
Voordat u deze oplossingen inschakelt, moet u de details in dit artikel grondig doornemen en bepalen of u de risicobeperkingen moet inschakelen of moet wachten op een toekomstige update van Microsoft. Als u ervoor kiest om de risicobeperkingen in te schakelen, moet u controleren of uw apparaten zijn bijgewerkt en gereed zijn en de risico's begrijpen die in dit artikel worden beschreven.
Actie ondernemen
Voor deze release moet u de volgende stappen volgen: Stap 1: Installeer de Windows-beveiligingsupdate die is uitgebracht op of na 9 juli 2024 op alle ondersteunde versies. Stap 2: Evalueer de wijzigingen en hoe deze van invloed zijn op uw omgeving. |
Bereik van impact
Alle Windows-apparaten waarop beveiligd opstarten is ingeschakeld, worden beïnvloed door de BlackLotus-bootkit. Er zijn oplossingen beschikbaar voor ondersteunde versies van Windows. Zie CVE-2023-24932 voor de volledige lijst.
Inzicht in de risico's
Malwarerisico: De BlackLotus UEFI-bootkit-exploit die in dit artikel wordt beschreven, is alleen mogelijk als een aanvaller beheerdersbevoegdheden op een apparaat krijgt of fysieke toegang tot het apparaat krijgt. Dit kan worden gedaan door fysiek of extern toegang te krijgen tot het apparaat, bijvoorbeeld door een hypervisor te gebruiken voor toegang tot VM's/cloud. Een aanvaller gebruikt dit beveiligingsprobleem meestal om een apparaat te blijven beheren dat ze al kunnen openen en mogelijk manipuleren. Oplossingen in dit artikel zijn preventief en niet corrigerend. Als uw apparaat al is gecompromitteerd, neemt u contact op met uw beveiligingsprovider voor hulp.
Herstelmedia: Als u een probleem ondervindt met het apparaat nadat u de risicobeperkingen hebt toegepast en het apparaat niet meer kan worden opgestart, kunt u uw apparaat mogelijk niet starten of herstellen vanaf bestaande media. Herstel- of installatiemedia moeten worden bijgewerkt, zodat deze werken met een apparaat waarop de risicobeperkingen zijn toegepast.
Firmwareproblemen: Wanneer Windows de risicobeperkingen toepast die in dit artikel worden beschreven, moet het afhankelijk zijn van de UEFI-firmware van het apparaat om de waarden voor beveiligd opstarten bij te werken (de updates worden toegepast op de databasesleutel (DB) en de verboden handtekeningsleutel (DBX)). In sommige gevallen hebben we ervaring met apparaten waarvoor de updates mislukken. We werken samen met apparaatfabrikanten om deze belangrijke updates op zoveel mogelijk apparaten te testen.
NOTITIE Test deze oplossingen eerst op één apparaat per apparaatklasse in uw omgeving om mogelijke firmwareproblemen te detecteren. Implementeer niet breed voordat u bevestigt dat alle apparaatklassen in uw omgeving zijn geëvalueerd.
BitLocker-herstel: Sommige apparaten gaan mogelijk over naar BitLocker-herstel. Zorg ervoor dat u een kopie van uw BitLocker-herstelsleutel bewaart voordat u de oplossingen inschakelt.
Bekende problemen
Firmwareproblemen:Niet alle apparaatfirmware werkt de Secure Boot DB of DBX bij. In de gevallen waarvan we op de hoogte zijn, hebben we het probleem gemeld aan de fabrikant van het apparaat. Zie KB5016061: Secure Boot DB- en DBX-variabele updategebeurtenissen voor meer informatie over logboekgebeurtenissen. Neem contact op met de fabrikant van het apparaat voor firmware-updates. Als het apparaat niet wordt ondersteund, raadt Microsoft aan het apparaat te upgraden.
Bekende firmwareproblemen:
NOTITIE De volgende bekende problemen hebben geen invloed op en verhinderen de installatie van de updates van 9 juli 2024 niet. In de meeste gevallen zijn de oplossingen niet van toepassing wanneer er bekende problemen zijn. Bekijk de details van elk bekend probleem.
-
PK: HP heeft een probleem vastgesteld met de installatie van risicobeperking op HP Z4G4 Workstation-pc's en zal in de komende weken een bijgewerkte Z4G4 UEFI-firmware (BIOS) uitbrengen. Om ervoor te zorgen dat de risicobeperking succesvol wordt geïnstalleerd, wordt deze geblokkeerd op desktopwerkstations totdat de update beschikbaar is. Klanten moeten altijd bijwerken naar het meest recente systeem-BIOS voordat ze de beperking toepassen.
-
HP-apparaten met Sure Start Security: Deze apparaten hebben de nieuwste firmware-updates van HP nodig om de risicobeperkingen te installeren. De oplossingen worden geblokkeerd totdat de firmware is bijgewerkt. Installeer de nieuwste firmware-update vanaf de ondersteuningspagina van HPs - Officiële HP stuurprogramma's en software downloaden | HP-ondersteuning.
-
Arm64-apparaten: De risicobeperkingen worden geblokkeerd vanwege bekende UEFI-firmwareproblemen met op Qualcomm gebaseerde apparaten. Microsoft werkt samen met Qualcomm om dit probleem op te lossen. Qualcomm biedt de oplossing aan apparaatfabrikanten. Neem contact op met de fabrikant van uw apparaat om te bepalen of er een oplossing voor dit probleem beschikbaar is. Microsoft voegt detectie toe zodat de risicobeperkingen kunnen worden toegepast op apparaten wanneer de vaste firmware wordt gedetecteerd. Als uw Arm64-apparaat geen Qualcomm-firmware heeft, configureert u de volgende registersleutel om de risicobeperkingen in te schakelen.
Registersubsleutel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Naam van sleutelwaarde
SkipDeviceCheck
Gegevenstype
REG_DWORD
Gegevens
1
-
Appel:Mac-computers met de Apple T2-beveiligingschip ondersteunen Beveiligd opstarten. Het bijwerken van UEFI-beveiligingsvariabelen is echter alleen beschikbaar als onderdeel van macOS-updates. Boot Camp-gebruikers zien naar verwachting een gebeurtenislogboekvermelding van gebeurtenis-id 1795 in Windows met betrekking tot deze variabelen. Zie KB5016061: Secure Boot DB- en DBX-variabele updategebeurtenissen voor meer informatie over deze logboekvermelding.
-
VMware:In VMware-virtualisatieomgevingen kan een VM die gebruikmaakt van een x86-processor waarvoor Beveiligd opstarten is ingeschakeld, niet opstarten na het toepassen van de risicobeperkingen. Microsoft coördineert met VMware om dit probleem op te lossen.
-
TPM 2.0-systemen: Deze systemen met Windows Server 2012 en Windows Server 2012 R2 kunnen de risicobeperkingen die zijn uitgebracht in de beveiligingsupdate van 9 juli 2024, niet implementeren vanwege bekende compatibiliteitsproblemen met TPM-metingen. De beveiligingsupdates van 9 juli 2024 blokkeren risicobeperkingen #2 (opstartbeheer) en #3 (DBX-update) op betrokken systemen.tpm.msc. Rechtsonder in het middelste deelvenster onder TPM-fabrikantinformatie ziet u een waarde voor Specificatieversie.
Microsoft is op de hoogte van het probleem en er wordt in de toekomst een update uitgebracht om TPM 2.0-systemen te deblokkeren. Als u uw TPM-versie wilt controleren, klikt u met de rechtermuisknop op Start, klikt u op Uitvoeren en typt u -
Symantec Endpoint Encryption: Oplossingen voor beveiligd opstarten kunnen niet worden toegepast op systemen die Symantec Endpoint Encryption hebben geïnstalleerd. Microsoft en Symantec zijn op de hoogte van het probleem en worden in de toekomstige update opgelost.
Richtlijnen voor deze release
Voer voor deze release de volgende twee stappen uit.
Stap 1: De Windows-beveiligingsupdate CVE-2023-24932, maar zijn niet standaard ingeschakeld. Alle Windows-apparaten moeten deze stap voltooien, ongeacht of u van plan bent om de risicobeperkingen te implementeren.
installeren Installeer de maandelijkse beveiligingsupdate voor Windows die is uitgebracht op of na 9 juli 2024 op ondersteunde Windows-apparaten. Deze updates bevatten oplossingen voorStap 2: de wijzigingen
evalueren We raden u aan het volgende te doen:-
Inzicht in de eerste twee oplossingen die het bijwerken van de Secure Boot-database en het bijwerken van opstartbeheer mogelijk maken.
-
Bekijk het bijgewerkte schema.
-
Begin met het testen van de eerste twee risicobeperkingen voor representatieve apparaten uit uw omgeving.
-
Begin met het plannen van de implementatie.
Stap 3: de wijzigingen afdwingen
We raden u aan om inzicht te krijgen in de risico's die worden beschreven in de sectie Inzicht in de risico's.
-
Inzicht in de impact op herstel en andere opstartbare media.
-
Begin met het testen van de derde beperking waardoor het ondertekeningscertificaat dat wordt gebruikt voor alle vorige Windows-opstartmanagers, wordt ontkoppeld.
Richtlijnen voor implementatie van risicobeperking
Voordat u deze stappen voor het toepassen van de risicobeperkingen uitvoert, installeert u de maandelijkse onderhoudsupdate van Windows die is uitgebracht op of na 9 juli 2024 op ondersteunde Windows-apparaten. Deze update bevat oplossingen voor CVE-2023-24932, maar deze zijn niet standaard ingeschakeld. Alle Windows-apparaten moeten deze stap voltooien, ongeacht uw plan om de risicobeperkingen in te schakelen.
NOTITIE Als u BitLocker gebruikt, moet u ervoor zorgen dat er een back-up is gemaakt van uw BitLocker-herstelsleutel. U kunt de volgende opdracht uitvoeren vanaf een beheerdersopdrachtprompt en het numerieke wachtwoord van 48 cijfers noteren:
manage-bde -protectors -get %systemdrive%
Voer de volgende stappen uit om de update te implementeren en de intrekkingen toe te passen:
-
Installeer de bijgewerkte certificaatdefinities in de database.
In deze stap wordt het certificaat 'Windows UEFI CA 2023' toegevoegd aan de UEFI 'Secure Boot Signature Database' (DB). Door dit certificaat toe te voegen aan de database, vertrouwt de firmware van het apparaat op opstarttoepassingen die door dit certificaat zijn ondertekend.
-
Open een administrator-opdrachtprompt en stel de regkey in om de update uit te voeren naar DB door de volgende opdracht in te voeren:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
BELANGRIJK Start het apparaat twee keer opnieuw op om de installatie van de update te voltooien voordat u verdergaat met stap 2 en 3.
-
Voer de volgende PowerShell-opdracht uit als beheerder en controleer of de database is bijgewerkt. Met deze opdracht moet True worden geretourneerd.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Werk Opstartbeheer op uw apparaat bij.
Met deze stap wordt een opstartbeheertoepassing op uw apparaat geïnstalleerd die is ondertekend met het certificaat ''Windows UEFI CA 2023'.
-
Open een administrator-opdrachtprompt en stel de regkey in om het door Windows UEFI CA 2023 ondertekende opstartbeheer te installeren:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Start het apparaat twee keer opnieuw op.
-
Koppel als beheerder de EFI-partitie om deze klaar te maken voor inspectie:
mountvol s: /s
-
Controleer of het bestand 's:\efi\microsoft\boot\bootmgfw.efi' is ondertekend door het certificaat 'Windows UEFI CA 2023'. Ga hiervoor als volgt te werk:
-
Klik op Start, typ opdrachtprompt in het vak Zoeken en klik vervolgens op Opdrachtprompt.
-
Typ in het opdrachtpromptvenster de volgende opdracht en druk op Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Klik in Bestandsbeheer met de rechtermuisknop op het bestand C:\bootmgfw_2023.efi, klik op Eigenschappen en selecteer vervolgens het tabblad Digitale handtekeningen .
-
Controleer in de lijst Handtekening of de certificaatketen Windows UEFI CA 2023 bevat. De certificaatketen moet overeenkomen met de volgende schermopname:
-
-
-
Schakel de intrekking in.
De UEFI Forbidden List (DBX) wordt gebruikt om het laden van niet-vertrouwde UEFI-modules te blokkeren. In deze stap wordt bij het bijwerken van de DBX het certificaat 'Windows Production CA 2011' toegevoegd aan de DBX. Hierdoor worden alle opstartmanagers die door dit certificaat zijn ondertekend, niet meer vertrouwd.
WAARSCHUWING: Voordat u de derde beperking toepast, maakt u een herstel flashstation dat kan worden gebruikt om het systeem op te starten. Zie de sectie Windows-installatiemedia bijwerken voor informatie hierover.
Als uw systeem een niet-opstartbare status krijgt, volgt u de stappen in de sectie Herstelprocedure om het apparaat terug te zetten naar een status van vóór intrekking.
-
Voeg het certificaat 'Windows Production PCA 2011' toe aan de Secure Boot UEFI Forbidden List (DBX). Hiervoor opent u een opdrachtpromptvenster als beheerder, typt u de volgende opdracht en drukt u op Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Start het apparaat twee keer opnieuw op en controleer of het volledig opnieuw is opgestart.
-
Controleer of de installatie- en intrekkingslijst is toegepast door te zoeken naar gebeurtenis 1037 in het gebeurtenislogboek.KB5016061: Updategebeurtenissen van Secure Boot DB en DBX-variabele. Of voer de volgende PowerShell-opdracht uit als administrator en zorg ervoor dat deze Waar retourneert:
Zie voor meer informatie over gebeurtenis 1037[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
-
Pas de SVN-update toe op de firmware.
De Boot Manager die is geïmplementeerd in stap 2, heeft een nieuwe functie voor zelfintrekking ingebouwd. Wanneer Opstartbeheer wordt uitgevoerd, wordt een zelfcontrole uitgevoerd door het beveiligde versienummer (SVN) dat is opgeslagen in de firmware te vergelijken met de SVN die is ingebouwd in Opstartbeheer. Als de SVN van Boot Manager lager is dan de SVN die is opgeslagen in de firmware, weigert Boot Manager om uit te voeren. Deze functie voorkomt dat een aanvaller opstartbeheer terugdraait naar een oudere, niet-bijgewerkte versie. Wanneer in toekomstige updates een aanzienlijk beveiligingsprobleem is opgelost in Boot Manager, wordt het SVN-nummer verhoogd in zowel Boot Manager als de update naar de firmware. Beide updates worden uitgebracht in dezelfde cumulatieve update om ervoor te zorgen dat gepatchte apparaten worden beveiligd. Telkens wanneer de SVN wordt bijgewerkt, moeten alle opstartbare media worden bijgewerkt. Vanaf de updates van 9 juli 2024 wordt de SVN in Boot Manager verhoogd en de firmware bijgewerkt. De firmware-update is optioneel en kan worden toegepast door de volgende stappen uit te voeren:-
Open een administrator-opdrachtprompt en voer de volgende opdracht uit om het door Windows UEFI CA 2023 ondertekende opstartbeheer te installeren:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Start het apparaat twee keer opnieuw op.
-
Opstartbare media
Het is belangrijk om opstartbare media bij te werken zodra de implementatiefase in uw omgeving begint.
Richtlijnen voor het bijwerken van opstartbare media worden geleverd met toekomstige updates van dit artikel. Zie de volgende sectie om een USB-stick te maken voor het herstellen van een apparaat.
Windows-installatiemedia bijwerken
NOTITIE Wanneer u een opstartbaar USB-stick maakt, moet u het station formatteren met behulp van het FAT32-bestandssysteem.
U kunt de toepassing Herstelstation maken gebruiken door deze stappen uit te voeren. Dit medium kan worden gebruikt om een apparaat opnieuw te installeren in het geval er een groot probleem is, zoals een hardwarestoring, kunt u het herstelstation gebruiken om Windows opnieuw te installeren.
-
Ga naar een apparaat waarop de updates van 9 juli 2024 en de eerste risicobeperkingsstap (het bijwerken van de Secure Boot DB) zijn toegepast.
-
Zoek in het Startmenu naar de applet van het configuratiescherm 'Een herstelstation maken' en volg de instructies om een herstelstation te maken.
-
Terwijl het zojuist gemaakte flashstation is gekoppeld (bijvoorbeeld als station 'D:'), voert u de volgende opdrachten uit als beheerder. Typ elk van de volgende opdrachten en druk op Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Als u installeerbare media in uw omgeving beheert met behulp van de windows-installatiemedia bijwerken met dynamische updates , volgt u deze stappen. Met deze extra stappen wordt een opstartbaar flashstation gemaakt dat gebruikmaakt van opstartbestanden die zijn ondertekend door het handtekeningcertificaat 'Windows UEFI CA 2023'.
-
Ga naar een apparaat waarop de updates van 9 juli 2024 en de eerste risicobeperkingsstap (het bijwerken van de Secure Boot DB) zijn toegepast.
-
Volg de stappen in de onderstaande koppeling om media te maken met de updates van 9 juli 2024. Windows-installatiemedia bijwerken met dynamische update
-
Plaats de inhoud van het medium op een USB-stick en koppel het usb-station als een stationsletter. Koppel het usb-station bijvoorbeeld als 'D:'.
-
Voer de volgende opdrachten uit vanuit een opdrachtvenster als beheerder. Typ elk van de volgende opdrachten en druk op Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Als op een apparaat de instellingen voor beveiligd opstarten zijn ingesteld op de standaardwaarden na het toepassen van de oplossingen, wordt het apparaat niet opgestart. Om dit probleem op te lossen, is er een reparatietoepassing opgenomen in de updates van 9 juli 2024 die kunnen worden gebruikt om het certificaat 'Windows UEFI CA 2023' opnieuw toe te toepassing op de DB (risicobeperking #1).
NOTITIE Gebruik deze hersteltoepassing niet op een apparaat of systeem dat wordt beschreven in de sectie Bekende problemen .
-
Ga naar een apparaat waarop de updates van 9 juli 2024 zijn toegepast.
-
Kopieer in een opdrachtvenster de herstel-app naar het flashstation met behulp van de volgende opdrachten (ervan uitgaande dat het flashstation het station 'D:' is). Typ elke opdracht afzonderlijk en druk op Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Plaats het flashstation op het apparaat waarop de instellingen voor beveiligd opstarten opnieuw zijn ingesteld op de standaardinstellingen, plaats het flashstation, start het apparaat opnieuw op en start op vanaf het flashstation.
Timing van updates
Updates worden als volgt uitgebracht:
-
Initiële implementatie Deze fase begon met updates die zijn uitgebracht op 9 mei 2023 en bood basisbeperkingen met handmatige stappen om deze risicobeperkingen in te schakelen.
-
Tweede implementatie Deze fase begon met updates die zijn uitgebracht op 11 juli 2023, waarbij vereenvoudigde stappen zijn toegevoegd om de risicobeperkingen voor het probleem in te schakelen.
-
Evaluatiefase Deze fase begint op 9 april 2024 en voegt extra opstartbeheerbeperkingen toe.
-
Implementatiefase Dit is wanneer we alle klanten aanmoedigen om te beginnen met het implementeren van de risicobeperkingen en het bijwerken van media.
-
Afdwingingsfase De afdwingingsfase die de risicobeperkingen permanent maakt. De datum voor deze fase wordt op een later tijdstip bekend gemaakt.
Opmerking Het releaseschema kan indien nodig worden herzien.
Deze fase is vervangen door de Release van Windows-beveiligingsupdates op of na 9 april 2024.
Deze fase is vervangen door de Release van Windows-beveiligingsupdates op of na 9 april 2024.
In deze fase vragen we u om deze wijzigingen in uw omgeving te testen om ervoor te zorgen dat de wijzigingen correct werken met representatieve voorbeeldapparaten en om ervaring op te doen met de wijzigingen.
NOTITIE In plaats van te proberen om kwetsbare opstartmanagers volledig te vermelden en te vertrouwen, zoals we in de vorige implementatiefasen hebben gedaan, voegen we het handtekeningcertificaat 'Windows Production PCA 2011' toe aan de Lijst met niet-toestaan voor beveiligd opstarten (DBX) om alle opstartbeheerders die met dit certificaat zijn ondertekend, niet te vertrouwen. Dit is een betrouwbaardere methode om ervoor te zorgen dat alle vorige opstartmanagers niet worden vertrouwd.
Updates voor Windows die zijn uitgebracht op of na 9 april 2024, voegen het volgende toe:
-
Drie nieuwe beperkingsbesturingselementen die de oplossingen vervangen die in 2023 zijn uitgebracht. De nieuwe beperkingsbesturingselementen zijn:
-
Een besturingselement voor het implementeren van het Certificaat 'Windows UEFI CA 2023' in de Secure Boot-database om vertrouwensrelatie toe te voegen voor Windows-opstartmanagers die zijn ondertekend door dit certificaat. Houd er rekening mee dat het certificaat 'Windows UEFI CA 2023' mogelijk is geïnstalleerd door een eerdere Windows-update.
-
Een besturingselement voor het implementeren van een opstartbeheer dat is ondertekend door het certificaat 'Windows UEFI CA 2023'.
-
Een besturingselement om de 'Windows Production PCA 2011' toe te voegen aan de Secure Boot DBX, waardoor alle Windows-opstartmanagers die met dit certificaat zijn ondertekend, worden geblokkeerd.
-
-
De mogelijkheid om implementatie van risicobeperking in fasen onafhankelijk in te schakelen om meer controle toe te staan bij het implementeren van de risicobeperkingen in uw omgeving op basis van uw behoeften.
-
De oplossingen zijn onderling verbonden, zodat ze niet in de verkeerde volgorde kunnen worden geïmplementeerd.
-
Aanvullende gebeurtenissen om de status van apparaten te kennen wanneer ze de risicobeperkingen toepassen. Zie KB5016061: Secure Boot DB- en DBX-variabele updategebeurtenissen voor meer informatie over de gebeurtenissen.
In deze fase moedigen we klanten aan om te beginnen met het implementeren van de risicobeperkingen en het beheren van eventuele media-updates. De updates bevatten de volgende wijziging:
-
Ondersteuning toegevoegd voor Secure Version Number (SVN) en het instellen van de bijgewerkte SVN in de firmware.
Hier volgt een overzicht van de stappen voor het implementeren in een onderneming.
Opmerking Aanvullende richtlijnen voor latere updates van dit artikel.
-
Implementeer de eerste beperking op alle apparaten in de Onderneming of een beheerde groep apparaten in de Onderneming. Dit omvat:
-
Aanmelden voor de eerste beperking waarmee het handtekeningcertificaat 'Windows UEFI CA 2023' wordt toegevoegd aan de firmware van het apparaat.
-
Controleren of apparaten het handtekeningcertificaat 'Windows UEFI CA 2023' hebben toegevoegd.
-
-
Implementeer de tweede beperking die het bijgewerkte opstartbeheer toepast op het apparaat.
-
Werk alle herstel- of externe opstartbare media bij die met deze apparaten worden gebruikt.
-
Implementeer de derde beperking waarmee het certificaat 'Windows Production CA 2011' kan worden ingetrokken door het toe te voegen aan de DBX in de firmware.
-
Implementeer de vierde risicobeperking waarmee de SECURE Version Number (SVN) wordt bijgewerkt naar de firmware.
De afdwingingsfase vindt ten minste zes maanden na de implementatiefase plaats. Wanneer updates worden uitgebracht voor de afdwingingsfase, bevatten deze het volgende:
-
Het certificaat 'Windows Production PCA 2011' wordt automatisch ingetrokken door te worden toegevoegd aan de Secure Boot UEFI Forbidden List (DBX) op compatibele apparaten. Deze updates worden programmatisch afgedwongen na de installatie van updates voor Windows op alle betrokken systemen zonder dat u de optie hebt uitgeschakeld.
Windows-gebeurtenislogboekfouten met betrekking tot CVE-2023-24932
De vermeldingen in het Windows-gebeurtenislogboek met betrekking tot het bijwerken van de DB en DBX worden gedetailleerd beschreven in KB5016061: Updategebeurtenissen voor beveiligde opstartdatabase en DBX-variabele.
De 'geslaagde' gebeurtenissen met betrekking tot het toepassen van de risicobeperkingen worden vermeld in de volgende tabel.
Risicobeperkingsstap |
Gebeurtenis-id |
Opmerkingen |
De db-update toepassen |
1036 |
Het PCA2023-certificaat is toegevoegd aan de database. |
Opstartbeheer bijwerken |
1799 |
De PCA2023 ondertekende opstartmanager is toegepast. |
De DBX-update toepassen |
1037 |
De DBX-update waarmee het PCA2011 handtekeningcertificaat wordt uitgeschakeld, is toegepast. |
Veelgestelde vragen (FAQ)
-
Zie de sectie Herstelprocedure om het apparaat te herstellen.
-
Volg de richtlijnen in de sectie Opstartproblemen oplossen .
Werk alle Windows-besturingssystemen bij met updates die zijn uitgebracht op of na 9 juli 2024 voordat u de intrekkingen toepast. Mogelijk kunt u geen versie van Windows starten die niet is bijgewerkt naar ten minste updates die zijn uitgebracht op 9 juli 2024 nadat u de intrekkingen hebt toegepast. Volg de richtlijnen in de sectie Opstartproblemen oplossen .
Zie de sectie Opstartproblemen oplossen .
Opstartproblemen oplossen
Nadat alle drie de oplossingen zijn toegepast, wordt de apparaatfirmware niet opgestart met behulp van een opstartbeheer dat is ondertekend door Windows Production PCA 2011. De opstartfouten die door firmware worden gerapporteerd, zijn apparaatspecifiek. Raadpleeg de sectie Herstelprocedure .
Herstelprocedure
Als er iets misgaat tijdens het toepassen van de oplossingen en u uw apparaat niet kunt starten of als u moet starten vanaf externe media (zoals een usb-station of PXE-opstart), probeert u de volgende suggesties:
-
Schakel Beveiligd opstarten uit.Beveiligd opstarten uitschakelen.
Deze procedure verschilt per fabrikant en model. Voer het UEFI BIOS-menu van uw apparaten in, navigeer naar de instellingen voor beveiligd opstarten en schakel dit uit. Raadpleeg de documentatie van de fabrikant van uw apparaat voor meer informatie over dit proces. Meer informatie vindt u in -
Stel Sleutels voor beveiligd opstarten opnieuw in op de fabrieksinstellingen.
Als het apparaat ondersteuning biedt voor het opnieuw instellen van de fabrieksinstellingen van de beveiligde opstartsleutels, voert u deze actie nu uit.
NOTITIE Sommige apparaatfabrikanten hebben zowel een optie 'Wissen' als 'Opnieuw instellen' voor de variabelen Beveiligd opstarten, in welk geval 'Opnieuw instellen' moet worden gebruikt. Het doel is om de variabelen voor beveiligd opstarten terug te zetten op de standaardwaarden van de fabrikant.
Uw apparaat moet nu worden gestart, maar houd er rekening mee dat het kwetsbaar is voor boot-kit-malware. Zorg ervoor dat u stap 5 van dit herstelproces voltooit om Beveiligd opstarten opnieuw in te schakelen.
-
Probeer Windows te starten vanaf de systeemschijf.
-
Aanmelden bij Windows.
-
Voer de volgende opdrachten uit vanaf een administrator-opdrachtprompt om de opstartbestanden in de opstartpartitie van het EFI-systeem te herstellen. Typ elke opdracht afzonderlijk en druk op Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Als u BCDBoot uitvoert, wordt 'Opstartbestanden gemaakt' geretourneerd. Nadat dit bericht is weergegeven, start u het apparaat opnieuw op naar Windows.
-
-
Als stap 3 het apparaat niet kan herstellen, installeert u Windows opnieuw.
-
Start het apparaat vanaf bestaande herstelmedia.
-
Ga verder met het installeren van Windows met behulp van het herstelmedium.
-
Aanmelden bij Windows.
-
Start Windows opnieuw op om te controleren of het apparaat weer wordt opgestart naar Windows.
-
-
Schakel Beveiligd opstarten opnieuw in en start het apparaat opnieuw op.
Voer het UEFI-menu van het apparaat in, navigeer naar de instellingen voor beveiligd opstarten en schakel dit in. Raadpleeg de documentatie van de fabrikant van uw apparaat voor meer informatie over dit proces. Meer informatie vindt u in de sectie Beveiligd opstarten opnieuw inschakelen.
Naslagwerken
-
Richtlijnen voor het onderzoeken van aanvallen met CVE-2022-21894: De BlackLotus-campagne
-
Beveiligd opstarten inschakelen op ingeschreven Windows-apparaten
-
Zie KB5016061: Adressering van kwetsbare en ingetrokken opstartmanagers voor gebeurtenissen die worden gegenereerd bij het toepassen van DBX-updates.
De producten van derden die in artikel worden beschreven, worden geproduceerd door bedrijven die onafhankelijk van Microsoft zijn. We bieden geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.
We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.
Datum van wijziging |
Beschrijving van de wijziging |
9 juli 2024 |
|
9 april 2024 |
|
dinsdag 16 december 2023 |
|
dinsdag 15 mei 2023 |
|
dinsdag 11 mei 2023 |
|
dinsdag 10 mei 2023 |
|
dinsdag 9 mei 2023 |
|
dinsdag 27 juni 2023 |
|
11 juli 2023 |
|
dinsdag 25 augustus 2023 |
|