Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

WAŻNY W ramach regularnego comiesięcznego procesu aktualizacji należy zastosować aktualizację zabezpieczeń systemu Windows wydaną 9 lipca 2024 r. lub później.

Ten artykuł dotyczy organizacji, które powinny rozpocząć ocenę środków łagodzących dla publicznie ujawnionego obejścia bezpiecznego rozruchu wykorzystanego przez zestaw rozruchowy INTERFEJSU UEFI blacklotus. Ponadto warto przyjąć proaktywne stanowisko bezpieczeństwa lub rozpocząć przygotowywanie się do wdrożenia. Pamiętaj, że to złośliwe oprogramowanie wymaga dostępu fizycznego lub administracyjnego do urządzenia.

OSTROŻNOŚĆ Po włączeniu łagodzenia tego problemu na urządzeniu, co oznacza, że środki łagodzące zostały zastosowane, nie można go cofnąć, jeśli nadal używasz bezpiecznego rozruchu na tym urządzeniu. Nawet sformatowanie dysku nie spowoduje usunięcia odwołań, jeśli zostały już zastosowane. Należy pamiętać o wszystkich możliwych konsekwencjach i dokładnie przetestować przed zastosowaniem odwołań opisanych w tym artykule na urządzeniu.

W tym artykule

Podsumowanie

W tym artykule opisano ochronę przed ujawnioną publicznie funkcją zabezpieczeń bezpiecznego rozruchu, która korzysta z zestawu rozruchowego UEFI blacklotus śledzonego przez CVE-2023-24932, jak włączyć środki łagodzące i wskazówki dotyczące nośnika rozruchowego. Bootkit to złośliwy program przeznaczony do jak najszybszego ładowania w sekwencji rozruchu urządzeń w celu sterowania uruchomieniem systemu operacyjnego.

Bezpieczny rozruch jest zalecany przez firmę Microsoft w celu utworzenia bezpiecznej i zaufanej ścieżki z interfejsu Unified Extensible Firmware Interface (UEFI) za pośrednictwem sekwencji zaufanego rozruchu jądra systemu Windows. Bezpieczny rozruch zapobiega występowaniu złośliwego oprogramowania w sekwencji rozruchu. Wyłączenie bezpiecznego rozruchu naraża urządzenie na ryzyko zainfekowania go złośliwym oprogramowaniem typu bootkit. Naprawa obejścia bezpiecznego rozruchu opisanego w cve-2023-24932 wymaga odwoływania menedżerów rozruchu. Może to spowodować problemy w przypadku niektórych konfiguracji rozruchu urządzenia.

Środki łagodzące związane z obejściem bezpiecznego rozruchu opisane w temacie CVE-2023-24932 są zawarte w aktualizacjach zabezpieczeń systemu Windows, które zostały wydane 9 lipca 2024 r. lub później. Jednak te środki łagodzące nie są domyślnie włączone. W przypadku tych aktualizacji zalecamy rozpoczęcie oceny tych zmian w środowisku. Pełny harmonogram jest opisany w sekcji Chronometraż aktualizacji .

Przed włączeniem tych środków łagodzących należy dokładnie zapoznać się ze szczegółami tego artykułu i ustalić, czy należy włączyć środki łagodzące, czy poczekać na przyszłą aktualizację od firmy Microsoft. Jeśli włączysz środki łagodzące, musisz sprawdzić, czy twoje urządzenia są zaktualizowane i gotowe, oraz zrozumieć zagrożenia opisane w tym artykule. 

Podejmij działanie 

W tej wersji należy wykonać następujące czynności:

Krok 1. Zainstaluj aktualizację zabezpieczeń systemu Windows wydaną 9 lipca 2024 r. lub później we wszystkich obsługiwanych wersjach.

Krok 2. Oceń zmiany i ich wpływ na środowisko.

Krok 3. Wymuszanie zmian.

Zakres wpływu

Na wszystkie urządzenia z systemem Windows z włączoną ochroną bezpiecznego rozruchu wpływa zestaw rozruchowy BlackLotus. Środki łagodzące są dostępne dla obsługiwanych wersji systemu Windows. Pełną listę można znaleźć w temacie CVE-2023-24932.

Opis zagrożeń

Ryzyko złośliwego oprogramowania: Aby możliwe było wykorzystanie programu rozruchowego UEFI blacklotus opisane w tym artykule, osoba atakująca musi uzyskać uprawnienia administracyjne na urządzeniu lub uzyskać fizyczny dostęp do urządzenia. Można to zrobić, uzyskując dostęp do urządzenia fizycznie lub zdalnie, na przykład za pomocą funkcji hypervisor w celu uzyskania dostępu do maszyn wirtualnych/chmury. Osoba atakująca będzie często używać tej luki w zabezpieczeniach do dalszego sterowania urządzeniem, do którego już może uzyskiwać dostęp, i ewentualnie manipulować nimi. Środki łagodzące w tym artykule są zapobiegawcze i nie korygujące. Jeśli twoje urządzenie jest już zagrożone, skontaktuj się z dostawcą zabezpieczeń, aby uzyskać pomoc.

Nośnik odzyskiwania: Jeśli napotkasz problem z urządzeniem po zastosowaniu środków łagodzących i urządzenie stanie się niezbywalne, uruchomienie lub odzyskanie urządzenia z istniejącego nośnika może nie być możliwe. Nośnik odzyskiwania lub zainstalowania musi zostać zaktualizowany, aby działał z urządzeniem, na które zastosowano środki łagodzące.

Problemy z oprogramowaniem układowym: Gdy system Windows zastosuje środki łagodzące opisane w tym artykule, musi on polegać na oprogramowaniu układowym UEFI urządzenia, aby zaktualizować wartości bezpiecznego rozruchu (aktualizacje są stosowane do klucza bazy danych (DB) i zakazanego klucza podpisu (DBX). W niektórych przypadkach mamy doświadczenie z urządzeniami, na których aktualizacje nie są aktualizowane. Współpracujemy z producentami urządzeń, aby przetestować te kluczowe aktualizacje na jak największej liczbie urządzeń.

NUTA Najpierw przetestuj te środki łagodzące na jednym urządzeniu na klasę urządzenia w środowisku, aby wykryć możliwe problemy z oprogramowaniem układowym. Nie wdrażaj go szeroko przed potwierdzeniem, że wszystkie klasy urządzeń w środowisku zostały ocenione.

Odzyskiwanie funkcji BitLocker: Niektóre urządzenia mogą przejść do odzyskiwania funkcji BitLocker. Pamiętaj, aby zachować kopię klucza odzyskiwania funkcji BitLocker przed włączeniem środków łagodzących.

Znane problemy

Problemy z oprogramowaniem układowym:Nie wszystkie oprogramowanie układowe urządzenia pomyślnie zaktualizuje DB lub DBX bezpiecznego rozruchu. W przypadkach, o których wiemy, zgłosiliśmy ten problem producentowi urządzenia. Zobacz KB5016061: zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu , aby uzyskać szczegółowe informacje na temat zarejestrowanych zdarzeń. Aby uzyskać aktualizacje oprogramowania układowego, skontaktuj się z producentem urządzenia. Jeśli urządzenie nie jest obsługiwane, firma Microsoft zaleca uaktualnienie urządzenia.

Znane problemy z oprogramowaniem układowym:

NUTA Wymienione poniżej znane problemy nie mają wpływu na instalację aktualizacji z 9 lipca 2024 r. i nie zapobiegnie ich zainstalowaniu. W większości przypadków środki łagodzące nie będą stosowane tam, gdzie istnieją znane problemy. Zobacz szczegóły dotyczące poszczególnych znanych problemów.

  • HP: Firma HP zidentyfikowała problem z instalacją łagodzenia na komputerach ze stacją roboczą HP Z4G4 i w najbliższych tygodniach wyda zaktualizowane oprogramowanie układowe UEFI (BIOS) Z4G4. Aby zapewnić pomyślne zainstalowanie środków zaradczych, będzie ona blokowana na stacjach roboczych komputerów stacjonarnych do czasu udostępnienia aktualizacji. Klienci powinni zawsze zaktualizować system BIOS do najnowszej wersji przed zastosowaniem środków łagodzących.

  • Urządzenia HP z zabezpieczeniami Sure Start: Aby zainstalować środki łagodzące, te urządzenia wymagają najnowszych aktualizacji oprogramowania układowego firmy HP. Środki łagodzące są blokowane do czasu aktualizacji oprogramowania układowego. Zainstaluj najnowszą aktualizację oprogramowania układowego ze strony pomocy technicznej lekarzy rodzinnych — oficjalne sterowniki HP i pobieranie oprogramowania | Pomoc techniczna HP.

  • Urządzenia z procesorem Arm64: Środki łagodzące są blokowane z powodu znanych problemów z oprogramowaniem układowym UEFI w urządzeniach opartych na procesorze Qualcomm. Firma Microsoft współpracuje z firmą Qualcomm w celu rozwiązania tego problemu. Firma Qualcomm udostępni poprawkę producentom urządzeń. Skontaktuj się z producentem urządzenia, aby ustalić, czy jest dostępna poprawka rozwiązania tego problemu. Firma Microsoft doda wykrywanie, aby umożliwić stosowanie środków łagodzących na urządzeniach po wykryciu stałego oprogramowania układowego. Jeśli urządzenie z procesorem Arm64 nie ma oprogramowania układowego Qualcomm, skonfiguruj następujący klucz rejestru, aby włączyć środki łagodzące.

    Podklucz rejestru

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Nazwa wartości klucza

    SkipDeviceCheck

    Typ danych

    REG_DWORD

    dane

    1

  • Jabłko:Komputery Mac z mikroukładem zabezpieczeń Apple T2 obsługują bezpieczny rozruch. Jednak aktualizacja zmiennych związanych z zabezpieczeniami UEFI jest dostępna tylko w ramach aktualizacji systemu macOS. Użytkownicy obozu rozruchowego powinni zobaczyć wpis dziennika zdarzeń o identyfikatorze 1795 w systemie Windows związany z tymi zmiennymi. Aby uzyskać więcej informacji o tym wpisie w dzienniku, zobacz KB5016061: zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.

  • VMware:W środowiskach wirtualizacji opartych na programie VMware maszyna wirtualna korzystająca z procesora opartego na procesorze x86 z włączonym bezpiecznym rozruchem nie będzie się uruchamiać po zastosowaniu środków łagodzących. Firma Microsoft współpracuje z firmą VMware w celu rozwiązania tego problemu.

  • Systemy oparte na modułach TPM 2.0:  Te systemy z systemami Windows Server 2012 i Windows Server 2012 R2 nie mogą wdrożyć środków łagodzących wydanych w aktualizacji zabezpieczeń z 9 lipca 2024 r. ze względu na znane problemy ze zgodnością dotyczące pomiarów modułu TPM. Aktualizacje zabezpieczeń z 9 lipca 2024 r. zablokują środki łagodzące #2 (menedżer rozruchu) i #3 (aktualizacja DBX) w systemach, na które ma to wpływ.Firma Microsoft wie o tym problemie i w przyszłości zostanie wydana aktualizacja umożliwiająca odblokowanie systemów opartych na modułach TPM 2.0.Aby sprawdzić wersję modułu TPM, kliknij prawym przyciskiem myszy przycisk Start, kliknij polecenie Uruchom, a następnie wpisz tpm.msc. W prawym dolnym rogu okienka środkowego w obszarze Informacje o producencie modułu TPM powinna zostać wyświetlona wartość dla pozycji Wersja specyfikacji.

  • Szyfrowanie punktów końcowych firmy Symantec: Środków zaradczych bezpiecznego rozruchu nie można stosować do systemów, w których zainstalowano szyfrowanie punktu końcowego firmy Symantec. Firmy Microsoft i Symantec wiedzą o tym problemie i zostaną rozwiązane w przyszłej aktualizacji.

Wskazówki dotyczące tej wersji

W tej wersji wykonaj te dwie czynności.

Krok 1. Instalowanie aktualizacji zabezpieczeń systemu Windows Zainstaluj comiesięczną aktualizację zabezpieczeń systemu Windows wydaną 9 lipca 2024 r. lub później na obsługiwanych urządzeniach z systemem Windows. Te aktualizacje obejmują środki łagodzące dla cve-2023-24932, ale domyślnie nie są włączone. Wszystkie urządzenia z systemem Windows powinny wykonać ten krok niezależnie od tego, czy zamierzasz wdrożyć środki łagodzące.

Krok 2. Szacowanie zmian Zachęcamy do wykonania następujących czynności:

  • Poznaj dwa pierwsze środki łagodzące, które umożliwiają zaktualizowanie bazy danych bezpiecznego rozruchu i zaktualizowanie menedżera rozruchu.

  • Przejrzyj zaktualizowany harmonogram.

  • Rozpocznij testowanie dwóch pierwszych środków zaradczych na reprezentatywnych urządzeniach ze środowiska.

  • Rozpocznij planowanie wdrożenia.

Krok 3. Wymuszanie zmian

Zachęcamy do zrozumienia ryzyka przedstawionego w sekcji Opis czynników ryzyka.

  • Opis wpływu na odzyskiwanie i inne nośniki rozruchowe.

  • Rozpocznij testowanie trzeciego łagodzenia, które nie ufa certyfikatowi podpisywania używanego dla wszystkich poprzednich menedżerów rozruchu systemu Windows.

Wskazówki dotyczące wdrażania łagodzenia

Przed wykonaniem tych czynności w celu zastosowania środków łagodzących zainstaluj comiesięczną aktualizację obsługi systemu Windows wydaną 9 lipca 2024 r. lub później na obsługiwanych urządzeniach z systemem Windows. Ta aktualizacja zawiera środki łagodzące dla cve-2023-24932, ale nie są one domyślnie włączone. Wszystkie urządzenia z systemem Windows powinny wykonać ten krok niezależnie od planu, aby włączyć środki łagodzące.

NUTA Jeśli używasz funkcji BitLocker, upewnij się, że kopia zapasowa klucza odzyskiwania funkcji BitLocker została zapisana. W wierszu polecenia administratora można uruchomić następujące polecenie i zanotować 48-cyfrowe hasło numeryczne:

manage-bde -protectors -get %systemdrive%

Aby wdrożyć aktualizację i zastosować odwołania, wykonaj następujące czynności:

  1. Zainstaluj zaktualizowane definicje certyfikatów w bazie danych.

    Ten krok spowoduje dodanie certyfikatu "Windows UEFI CA 2023" do uefi "Secure Boot Signature Database" (DB). Dodając ten certyfikat do bazy danych, oprogramowanie układowe urządzenia będzie ufać aplikacjom rozruchowym podpisanym za pomocą tego certyfikatu.

    1. Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby wykonać aktualizację bazy danych, wprowadzając następujące polecenie:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      WAŻNY Pamiętaj o dwukrotnym ponownym uruchomieniu urządzenia w celu ukończenia instalacji aktualizacji przed przejściem do kroków 2 i 3.

    2. Uruchom następujące polecenie programu PowerShell jako administrator i sprawdź, czy baza danych została pomyślnie zaktualizowana. To polecenie powinno zwrócić wartość Prawda.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Zaktualizuj Menedżera rozruchu na urządzeniu.

    Ten krok spowoduje zainstalowanie na urządzeniu aplikacji Menedżera rozruchu, która jest podpisana certyfikatem "'Windows UEFI CA 2023".

    1. Otwórz wiersz polecenia administratora i ustaw klucz rejestru w celu zainstalowania podpisanego menedżera rozruchu "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Uruchom ponownie urządzenie dwa razy.

    3. Jako administrator zainstaluj partycję EFI, aby przygotować ją do inspekcji:

      mountvol s: /s

    4. Sprawdź, czy plik "s:\efi\microsoft\boot\bootmgfw.efi" jest podpisany certyfikatem "Windows UEFI CA 2023". W tym celu wykonaj następujące czynności:

      1. Kliknij przycisk Start, wpisz wiersz polecenia w polu Wyszukaj , a następnie kliknij pozycję Wiersz polecenia.

      2. W oknie Wiersz polecenia wpisz następujące polecenie, a następnie naciśnij Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. W Menedżerze plików kliknij prawym przyciskiem myszy plik C:\bootmgfw_2023.efi, kliknij pozycję Właściwości, a następnie wybierz kartę Podpisy cyfrowe .

      4. Na liście Podpis upewnij się, że łańcuch certyfikatów zawiera pakiet WINDOWS UEFI CA 2023. Łańcuch certyfikatów powinien być zgodny z następującym zrzutem ekranu:Certyfikaty

  3. Włącz odwołanie.

    Lista zabroniona interfejsu UEFI (DBX) służy do blokowania ładowania niezaufanych modułów UEFI. W tym kroku zaktualizowanie rekordu DBX spowoduje dodanie certyfikatu "Windows Production CA 2011" do rekordu DBX. Spowoduje to, że wszyscy menedżerowie rozruchu podpisani za pomocą tego certyfikatu nie będą już zaufani.

    OSTRZEŻENIE: Przed zastosowaniem trzeciego ograniczenia utwórz dysk flash odzyskiwania, którego można użyć do rozruchu systemu. Aby dowiedzieć się, jak to zrobić, zobacz sekcję Aktualizowanie nośnika instalacyjnego systemu Windows.

    Jeśli system przechodzi w stan niestartowy, wykonaj czynności opisane w sekcji Procedura odzyskiwania, aby zresetować urządzenie do stanu sprzed odwołania.

    1. Dodaj certyfikat "Windows Production PCA 2011" do listy zakazanych plików UEFI bezpiecznego rozruchu (DBX). W tym celu otwórz okno wiersza polecenia jako administrator, wpisz następujące polecenie, a następnie naciśnij Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Uruchom ponownie urządzenie dwa razy i upewnij się, że zostało całkowicie ponownie uruchomione.

    3. Sprawdź, czy lista instalacji i odwołań została pomyślnie zastosowana, szukając zdarzenia 1037 w dzienniku zdarzeń.Aby uzyskać informacje o zdarzeniu 1037, zobacz KB5016061: zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX. Ewentualnie uruchom następujące polecenie programu PowerShell jako administrator i upewnij się, że zwraca wartość Prawda:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bajty) — uwzględnij "Microsoft Windows Production PCA 2011" 

  4. Zastosuj aktualizację SVN do oprogramowania układowego. Menedżer rozruchu wdrożony w kroku 2 ma wbudowaną nową funkcję samookażania. Po uruchomieniu Menedżera rozruchu wykonuje on samodzielne sprawdzanie, porównując numer bezpiecznej wersji (SVN), który jest przechowywany w oprogramowaniu układowym, z nazwą SVN wbudowaną w Menedżera rozruchu. Jeśli nazwa SVN Menedżera rozruchu jest niższa niż nazwa SVN przechowywana w oprogramowaniu układowym, Menedżer rozruchu odmówi uruchomienia. Ta funkcja uniemożliwia osobie atakującej przywrócenie Menedżera rozruchu do starszej, nie zaktualizowanej wersji.W przyszłych aktualizacjach po rozwiązaniu istotnego problemu z zabezpieczeniami w Menedżerze rozruchu numer SVN będzie zwiększany zarówno w Menedżerze rozruchu, jak i w aktualizacji oprogramowania układowego. Obie aktualizacje zostaną wydane w tej samej aktualizacji zbiorczej, aby upewnić się, że poprawione urządzenia są chronione. Za każdym razem, gdy nazwa SVN jest aktualizowana, wszystkie nośniki rozruchowe muszą zostać zaktualizowane. Począwszy od aktualizacji z 9 lipca 2024 r. nazwa SVN jest zwiększana w Menedżerze rozruchu i aktualizacji oprogramowania układowego. Aktualizacja oprogramowania układowego jest opcjonalna i można ją zastosować, wykonując następujące czynności:

    1. Otwórz wiersz polecenia administratora i uruchom następujące polecenie, aby zainstalować podpisanego menedżera rozruchu "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Uruchom ponownie urządzenie dwa razy.

Nośnik rozruchowy

Po rozpoczęciu fazy wdrażania w środowisku należy zaktualizować nośnik rozruchowy.

Wskazówki dotyczące aktualizowania nośnika rozruchowego są udostępniane w przyszłych aktualizacjach tego artykułu. Zobacz następną sekcję, aby utworzyć dysk USB do odzyskiwania urządzenia.

Aktualizowanie nośnika instalacyjnego systemu Windows

NUTA Podczas tworzenia rozruchowego dysku USB sformatuj go przy użyciu systemu plików FAT32.

Możesz użyć aplikacji Create Recovery Drive , wykonując poniższe czynności. Za pomocą tego nośnika można ponownie zainstalować urządzenie w przypadku wystąpienia poważnego problemu, takiego jak awaria sprzętu, za pomocą dysku odzyskiwania można ponownie zainstalować system Windows.

  1. Przejdź do urządzenia, na którym zostały zastosowane aktualizacje z 9 lipca 2024 r. i pierwszy krok łagodzenia (aktualizacja bazy danych bezpiecznego rozruchu).

  2. W menu Start wyszukaj aplet "Utwórz dysk odzyskiwania" w panelu sterowania i postępuj zgodnie z instrukcjami, aby utworzyć dysk odzyskiwania.

  3. Po zamontowaniu nowo utworzonego dysku flash (na przykład jako "D:") uruchom następujące polecenia jako administrator. Wpisz każde z następujących poleceń, a następnie naciśnij Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jeśli zarządzasz nośnikiem instalacyjnym w swoim środowisku przy użyciu nośnika instalacyjnego aktualizacji systemu Windows ze wskazówkami dotyczącymi aktualizacji dynamicznych , wykonaj poniższe czynności. Te dodatkowe kroki umożliwią utworzenie rozruchowego dysku flash korzystającego z plików rozruchowych podpisanych za pomocą certyfikatu podpisywania "Windows UEFI CA 2023".

  1. Przejdź do urządzenia, na którym 9 lipca 2024 r. zostały zastosowane aktualizacje i pierwszy krok łagodzenia (aktualizacja bazy danych bezpiecznego rozruchu).

  2. Postępuj zgodnie z instrukcjami podanymi w poniższym linku, aby utworzyć multimedia z aktualizacjami z 9 lipca 2024 r. Aktualizowanie nośnika instalacyjnego systemu Windows za pomocą aktualizacji dynamicznej

  3. Umieść zawartość nośnika na dysku USB i zamocuj go jako literę dysku. Na przykład zainstaluj dysk miniaturowy jako "D:".

  4. Uruchom następujące polecenia z okna polecenia jako administrator. Wpisz każde z następujących poleceń, a następnie naciśnij Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jeśli urządzenie ma ustawienia bezpiecznego rozruchu zresetowane do ustawień domyślnych po zastosowaniu środków łagodzących, urządzenie nie uruchamia się. Aby rozwiązać ten problem, aplikacja do naprawy jest dołączona do aktualizacji z 9 lipca 2024 r., których można użyć do ponownego zastosowania certyfikatu "Windows UEFI CA 2023" do bazy danych (łagodzenie nr 1).

NUTA Nie należy używać tej aplikacji naprawczej na urządzeniu lub systemie opisanym w sekcji Znane problemy .

  1. Przejdź do urządzenia, na którym zostały zastosowane aktualizacje z 9 lipca 2024 r.

  2. W oknie polecenia skopiuj aplikację odzyskiwania na dysk flash, używając następujących poleceń (zakładając, że dysk flash to "D:"). Wpisz poszczególne polecenia osobno, a następnie naciśnij Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Na urządzeniu z ustawieniami bezpiecznego rozruchu zresetuj ustawienia do stanu domyślnego, włóż dysk flash, uruchom ponownie urządzenie i uruchom je z dysku flash.

Chronometraż aktualizacji

Aktualizacje są udostępniane w następujący sposób:

  • Wdrożenie początkowe Ta faza rozpoczęła się od aktualizacji wydanych 9 maja 2023 r. i dostarczyła podstawowe środki łagodzące z ręcznymi krokami w celu włączenia tych środków łagodzących.

  • Drugie wdrożenie Ten etap rozpoczął się od aktualizacji wydanych 11 lipca 2023 r., które dodały uproszczone kroki w celu włączenia środków łagodzących problem.

  • Faza oceny Ta faza rozpocznie się 9 kwietnia 2024 r. i wprowadzi dodatkowe środki łagodzące dla menedżera rozruchu.

  • Faza wdrażania Wtedy będziemy zachęcać wszystkich klientów do rozpoczęcia wdrażania środków łagodzących i aktualizowania nośników.

  • Faza wymuszania Faza wymuszania, która spowoduje, że środki łagodzące stałe. Data tego etapu zostanie ogłoszona w późniejszym terminie.

Uwaga Harmonogram wersji może zostać zmieniony w razie potrzeby.

Ta faza została usunięta przez aktualizacje zabezpieczeń systemu Windows, które zostały opublikowane 9 kwietnia 2024 r. w okresie od 9 kwietnia 2024 r.

Ta faza została usunięta przez aktualizacje zabezpieczeń systemu Windows, które zostały opublikowane 9 kwietnia 2024 r. w okresie od 9 kwietnia 2024 r.

W tej fazie prosimy o przetestowanie tych zmian w środowisku, aby upewnić się, że zmiany działają poprawnie z reprezentatywnymi przykładowymi urządzeniami i aby uzyskać doświadczenie w zakresie tych zmian.

NUTA Zamiast prób wyczerpującego tworzenia list i niezaufanych wrażliwych menedżerów rozruchu, tak jak to miało miejsce w poprzednich fazach wdrażania, dodajemy certyfikat podpisywania "Windows Production PCA 2011" do listy nie zezwalania na bezpieczny rozruch (DBX), aby nie ufać wszystkim menedżerom rozruchu podpisanym za pomocą tego certyfikatu. Jest to bardziej niezawodna metoda zapewnienia, że wszyscy poprzedni menedżerowie rozruchu są niezaufane.

Aktualizacje systemu Windows wydane 9 kwietnia 2024 r. lub później dodają następujące elementy:

  • Trzy nowe środki zaradcze, które zastępują środki łagodzące wydane w 2023 r. Nowe środki zaradcze są następujące:

    • Kontrolka umożliwiająca wdrożenie certyfikatu "Windows UEFI CA 2023" w bazie danych bezpiecznego rozruchu w celu dodania zaufania dla menedżerów rozruchu systemu Windows podpisanych za pomocą tego certyfikatu. Pamiętaj, że certyfikat "Windows UEFI CA 2023" mógł zostać zainstalowany we wcześniejszej aktualizacji systemu Windows.

    • Kontrolka umożliwiająca wdrożenie menedżera rozruchu podpisanego certyfikatem "Windows UEFI CA 2023".

    • Kontrolka umożliwiająca dodanie pliku "Windows Production PCA 2011" do bazy danych bezpiecznego rozruchu, która blokuje wszystkich menedżerów rozruchu systemu Windows podpisanych tym certyfikatem.

  • Możliwość umożliwienia wdrażania łagodzenia etapami niezależnie, aby umożliwić większą kontrolę nad wdrażaniem środków łagodzących w środowisku w zależności od twoich potrzeb.

  • Środki łagodzące są połączone, dzięki czemu nie można ich wdrożyć w nieprawidłowej kolejności.

  • Dodatkowe zdarzenia, aby poznać stan urządzeń w miarę ich stosowania środków łagodzących. Zobacz KB5016061: zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu, aby uzyskać więcej szczegółowych informacji na temat zdarzeń.

Ta faza jest wtedy, gdy zachęcamy klientów do rozpoczęcia wdrażania środków łagodzących i zarządzania wszelkimi aktualizacjami multimediów. Aktualizacje zawierają następujące zmiany:

  • Dodano obsługę bezpiecznego numeru wersji (SVN) i ustawianie zaktualizowanej nazwy SVN w oprogramowaniu układowym.

Poniżej przedstawiono konspekt kroków wdrażania w przedsiębiorstwie.

Uwaga Dodatkowe wskazówki, które zostaną udostępnione w późniejszych aktualizacjach tego artykułu.

  • Wdróż pierwszą poprawkę na wszystkich urządzeniach w przedsiębiorstwie lub zarządzanej grupie urządzeń w przedsiębiorstwie. Są to między innymi:

    • Wybranie pierwszego ograniczenia powodującego dodanie certyfikatu podpisu "Windows UEFI CA 2023" do oprogramowania układowego urządzenia.

    • Monitorowanie, czy urządzenia pomyślnie dodały certyfikat podpisywania "Windows UEFI CA 2023".

  • Wdróż drugie ograniczenie, które zastosuje zaktualizowanego menedżera rozruchu na urządzeniu.

  • Zaktualizuj wszelkie nośniki odzyskiwania lub zewnętrzne nośniki rozruchowe używane z tymi urządzeniami.

  • Wdróż trzecie ograniczenie umożliwiające wycofanie certyfikatu "Windows Production CA 2011", dodając go do bazy danych DBX w oprogramowaniu układowym.

  • Wdróż czwartą poprawkę aktualizującą numer bezpiecznej wersji (SVN) w oprogramowaniu układowym.

Faza wymuszania będzie obowiązywać co najmniej sześć miesięcy po fazie wdrażania. Po wydaniu aktualizacji dla fazy wymuszania będą one obejmować następujące elementy:

  • Certyfikat "Windows Production PCA 2011" zostanie automatycznie odwołany przez dodanie go do listy zakazanych plików UEFI bezpiecznego rozruchu (DBX) na urządzeniach z obsługą. Te aktualizacje będą programowo wymuszane po zainstalowaniu aktualizacji systemu Windows we wszystkich systemach, których dotyczy problem, bez możliwości wyłączenia.

Błędy dziennika zdarzeń systemu Windows związane z OKS-2023-24932

Wpisy dziennika zdarzeń systemu Windows związane z aktualizacją DB i DBX opisano szczegółowo w KB5016061: zdarzeniach aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.

Zdarzenia "sukcesu" związane ze stosowaniem środków łagodzących są wymienione w poniższej tabeli.

Krok łagodzenia

Identyfikator zdarzenia

Uwagi

Stosowanie aktualizacji bazy danych

1036

Certyfikat PCA2023 został dodany do bazy danych.

Aktualizowanie menedżera rozruchu

1799

Zastosowano PCA2023 podpisany menedżer rozruchu.

Stosowanie aktualizacji DBX

1037

Zastosowano aktualizację DBX, która nie ufa certyfikatowi podpisywania PCA2011.

Często zadawane pytania (często zadawane pytania)

Zaktualizuj wszystkie systemy operacyjne Windows za pomocą aktualizacji wydanych 9 lipca 2024 r. lub później, zanim zastosujesz odwołania. Uruchomienie żadnej wersji systemu Windows, która nie została zaktualizowana do co najmniej aktualizacji wydanych 9 lipca 2024 r., może nie być możliwe po zastosowaniu odwołań. Postępuj zgodnie ze wskazówkami w sekcji Rozwiązywanie problemów z rozruchem .

Rozwiązywanie problemów z rozruchem

Po zastosowaniu wszystkich trzech środków łagodzących oprogramowanie układowe urządzenia nie zostanie uruchomione przy użyciu menedżera rozruchu podpisanego przez windows production PCA 2011. Błędy rozruchu zgłaszane przez oprogramowanie układowe są specyficzne dla urządzenia. Zapoznaj się z sekcją Procedura odzyskiwania .

Procedura odzyskiwania

Jeśli coś pójdzie nie tak podczas stosowania środków łagodzących i nie możesz uruchomić urządzenia lub musisz uruchomić urządzenie z nośnika zewnętrznego (takiego jak dysk usb lub rozruch PXE), wypróbuj następujące sugestie:

  1. Wyłącz bezpieczny rozruch.Ta procedura różni się między producentami i modelami urządzeń. Wprowadź na urządzeniach menu BIOS interfejsu UEFI, przejdź do ustawień bezpiecznego rozruchu i wyłącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta urządzenia. Więcej szczegółów można znaleźć w temacie Wyłączanie bezpiecznego rozruchu.

  2. Zresetuj domyślne ustawienia kluczy bezpiecznego rozruchu do stanu początkowego.

    Jeśli urządzenie obsługuje resetowanie kluczy bezpiecznego rozruchu do domyślnych ustawień fabrycznych, wykonaj tę akcję teraz.

    NUTA Niektórzy producenci urządzeń mają opcję "Wyczyść" i "Resetuj" dla zmiennych bezpiecznego rozruchu, w którym to przypadku należy użyć opcji "Resetuj". Celem jest przywrócenie wartości domyślnych producentów zmiennych bezpiecznego rozruchu.

    Urządzenie powinno rozpocząć się teraz, ale pamiętaj, że jest ono narażone na złośliwe oprogramowanie z zestawu rozruchowego. Upewnij się, że wykonasz krok 5 tego procesu odzyskiwania, aby ponownie włączyć bezpieczny rozruch.

  3. Spróbuj uruchomić system Windows z dysku systemowego.

    1. Logowanie do systemu Windows.

    2. Uruchom następujące polecenia z wiersza polecenia administratora, aby przywrócić pliki rozruchu na partycji rozruchowej systemu EFI. Wpisz poszczególne polecenia osobno, a następnie naciśnij Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Uruchomienie funkcji BCDBoot zwraca wartość "Pomyślnie utworzono pliki rozruchowe". Po wyświetleniu tego komunikatu ponownie uruchom urządzenie do systemu Windows.

  4. Jeśli krok 3 nie odzyska urządzenia, ponownie zainstaluj system Windows.

    1. Uruchom urządzenie z istniejącego nośnika odzyskiwania.

    2. Przejdź do instalacji systemu Windows przy użyciu nośnika odzyskiwania.

    3. Logowanie do systemu Windows.

    4. Uruchom ponownie system Windows, aby sprawdzić, czy urządzenie ponownie uruchamia się w systemie Windows.

  5. Włącz ponownie bezpieczny rozruch i uruchom ponownie urządzenie.Wprowadź menu interfejsu UEFI urządzenia i przejdź do ustawień bezpiecznego rozruchu i włącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta urządzenia. Więcej informacji można znaleźć w sekcji "Ponowne włączanie bezpiecznego rozruchu".

Informacje pomocnicze

Produkty innych firm omówione w tym artykule są produkowane przez wytwórców niezależnych od Microsoft. Nie udzielamy żadnych gwarancji, dorozumianych ani innych, co do wydajności i niezawodności tych produktów.

Udostępniamy informacje kontaktowe innych firm, aby pomóc w znalezieniu pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych innych firm.

Data zmiany

Opis zmiany

9 lipca 2024 r.

  • Zaktualizowano "Krok 2: Oceń zmiany", aby usunąć datę 9 lipca 2024 r.

  • Zaktualizowano wszystkie wystąpienia daty 9 kwietnia 2024 r. do 9 lipca 2024 r., z wyjątkiem sekcji "Chronometraż aktualizacji".

  • Zaktualizowano sekcję "nośnik rozruchowy" i zamieniono zawartość na "Wskazówki dotyczące aktualizowania nośnika rozruchowego są udostępniane w przyszłych aktualizacjach".

  • Zaktualizowano "9 lipca 2024 r. lub nowsza — rozpoczyna się faza wdrażania" w sekcji "Chronometraż aktualizacji".

  • Dodano krok 4 "Zastosuj aktualizację SVN do oprogramowania układowego" w sekcji "Wskazówki dotyczące wdrażania łagodzenia".

9 kwietnia 2024 r.

  • Obszerne zmiany procedur, informacji, wytycznych i dat. Należy pamiętać, że niektóre poprzednie zmiany zostały usunięte w wyniku dużych zmian wprowadzonych w tym dniu.

16 grudnia 2023 r.

  • Poprawiono daty wydania trzeciego wdrożenia i wymuszania w sekcji "Chronometraż aktualizacji".

15 maja 2023 r.

  • Usunięto nieobsługiwanie systemu operacyjnego Windows 10 w wersji 21H1 z sekcji "Dotyczy".

11 maja 2023 r.

  • Do kroku 1 dodano uwagę PRZESTROGA w sekcji "Wskazówki dotyczące wdrażania" dotyczące uaktualniania do systemu Windows 11, wersji 21H2 lub 22H2 lub niektórych wersji systemu Windows 10.

10 maja 2023 r.

  • Wyjaśniono, że nośniki systemu Windows do pobrania zaktualizowane o najnowsze aktualizacje zbiorcze wkrótce będą dostępne.

  • Poprawiono pisownię wyrazu "Dostęp zabroniony".

9 maja 2023 r.

  • Dodano dodatkowe obsługiwane wersje do sekcji "Dotyczy".

  • Zaktualizowano krok 1 sekcji "Wykonywanie akcji".

  • Zaktualizowano krok 1 sekcji "Wskazówki dotyczące wdrażania".

  • Poprawiono polecenia w kroku 3a sekcji "Wskazówki dotyczące deplomentu".

  • Poprawiono rozmieszczenie obrazów INTERFEJSU UEFI funkcji Hyper-V w sekcji "Rozwiązywanie problemów z rozruchem".

27 czerwca 2023 r.

  • Usunięto notatkę dotyczącą aktualizowania systemu Windows 10 do nowszej wersji systemu Windows 10, która używa pakietu włączania w sekcji Krok 1:Install w sekcji "Wskazówki dotyczące wdrażania".

11 lipca 2023 r.

  • Zaktualizowano wystąpienia daty "9 maja 2023 r." na "11 lipca 2023 r.", "9 maja 2023 r. i 11 lipca 2023 r." lub do "9 maja 2023 r. lub nowszej".

  • W sekcji "Wskazówki dotyczące wdrażania" zauważamy, że wszystkie aktualizacje dynamiczne safeOS są teraz dostępne do aktualizowania partycji WinRE. Ponadto pole PRZESTROGA zostało usunięte, ponieważ problem został rozwiązany przez wydanie aktualizacji dynamicznych SafeOS.

  • W polu "3. Zastosuj sekcję odwołań", instrukcje zostały poprawione.

  • W sekcji "Błędy dziennika zdarzeń systemu Windows" jest dodawany identyfikator zdarzenia 276.

25 sierpnia 2023 r.

  • Zaktualizowano różne sekcje dotyczące tworzenia wyrazów i dodano informacje o wersji z 11 lipca 2023 r. i wersji w przyszłości 2024 r.

  • Ponowne rozmieszczanie części zawartości z sekcji "Unikanie problemów z nośnikiem rozruchu" do sekcji "Aktualizowanie nośnika rozruchowego".

  • Zaktualizowano sekcję "Chronometraż aktualizacji" o poprawione daty wdrożenia i informacje.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.