IMPORTANT Ar trebui să aplicați actualizarea de securitate Windows lansată la sau după 9 iulie 2024, ca parte a procesului de actualizare lunar obișnuit.
Acest articol se aplică organizațiilor care ar trebui să înceapă să evalueze atenuările pentru o ocolire secure boot dezvăluită public, valorificată de bootkitul BlackLotus UEFI. În plus, se recomandă să luați o atitudine proactivă privind securitatea sau să începeți să vă pregătiți pentru lansare. Rețineți că acest malware necesită acces fizic sau administrativ la dispozitiv.
PRUDENȚĂ După ce atenuarea pentru această problemă este activată pe un dispozitiv, ceea ce înseamnă că atenuările au fost aplicate, nu poate fi readuse la starea inițială dacă utilizați în continuare Bootarea sigură pe acel dispozitiv. Chiar și reformatarea discului nu va elimina revocările dacă au fost deja aplicate. Rețineți toate implicațiile posibile și testați cu atenție înainte de a aplica revocările descrise în acest articol pe dispozitivul dvs.
În acest articol
Rezumat
Acest articol descrie protecția împotriva omiterii caracteristicii de securitate Secure Boot dezvăluită public care utilizează bootkitul BlackLotus UEFI urmărit de CVE-2023-24932, cum să activați atenuările și instrucțiuni privind suportul bootabil. Un bootkit este un program rău intenționat care este proiectat să se încarce cât mai curând posibil într-o secvență de bootare a dispozitivelor pentru a controla pornirea sistemului de operare.
Bootarea securizată este recomandată de Microsoft pentru a stabili o cale sigură și de încredere de la Unified Extensible Firmware Interface (UEFI) prin secvența boot de încredere a kernelului Windows. Secure Boot contribuie la prevenirea malware-ului bootkit în secvența de boot. Dezactivarea bootului securizat pune un dispozitiv în pericol de a fi infectat cu malware bootkit. Remedierea bypass-ului secure boot descris în CVE-2023-24932 necesită revocarea managerilor de boot. Acest lucru poate cauza probleme pentru unele configurații de bootare a dispozitivului.
Atenuările împotriva ocolirii secure boot detaliate în CVE-2023-24932 sunt incluse în actualizările de securitate Windows care au fost lansate la sau după 9 iulie 2024. Totuși, aceste atenuări nu sunt activate în mod implicit. Cu aceste actualizări, vă recomandăm să începeți să evaluați aceste modificări în mediul dvs. Planificarea completă este descrisă în secțiunea Temporizarea actualizărilor .
Înainte de a activa aceste atenuări, ar trebui să revizuiți cu atenție detaliile din acest articol și să determinați dacă trebuie să activați atenuările sau să așteptați o actualizare viitoare de la Microsoft. Dacă alegeți să activați atenuările, trebuie să verificați dacă dispozitivele dvs. sunt actualizate și gata și să înțelegeți riscurile descrise în acest articol.
Acționați
Pentru această versiune, trebuie urmați următorii pași: Pasul 1: Instalați actualizarea de securitate Windows lansată pe sau după 9 iulie 2024, pe toate versiunile acceptate. Pasul 2: Evaluați modificările și modul în care acestea vă afectează mediul. Pasul 3: Impuneți modificările. |
Domeniul de aplicare al impactului
Toate dispozitivele Windows cu protecții Secure Boot activate sunt afectate de bootkitul BlackLotus. Atenuările sunt disponibile pentru versiunile de Windows acceptate. Pentru lista completă, consultați CVE-2023-24932.
Înțelegerea riscurilor
Risc de malware: Pentru ca exploitul bootkit BlackLotus UEFI descris în acest articol să fie posibil, un atacator trebuie să obțină privilegii administrative pe un dispozitiv sau să obțină acces fizic la dispozitiv. Acest lucru poate fi realizat prin accesarea fizică sau de la distanță a dispozitivului, de exemplu prin utilizarea unui hipervizor pentru a accesa mașini virtuale/cloud. Un atacator va utiliza de obicei această vulnerabilitate pentru a continua să controleze un dispozitiv pe care îl poate accesa deja și, eventual, pentru a-l manipula. Atenuările din acest articol sunt preventive și nu sunt corective. Dacă dispozitivul dvs. este deja compromis, contactați furnizorul de securitate pentru ajutor.
Suport de recuperare: Dacă întâmpinați o problemă cu dispozitivul după aplicarea atenuării și dispozitivul devine bootabil, este posibil să nu reușiți să porniți sau să recuperați dispozitivul de pe un suport media existent. Suportul de recuperare sau instalare va trebui actualizat, astfel încât să funcționeze cu un dispozitiv care are atenuările aplicate.
Probleme de firmware: Atunci când Windows aplică atenuările descrise în acest articol, trebuie să se bazeze pe firmware-ul UEFI al dispozitivului pentru a actualiza valorile Secure Boot (actualizările se aplică pentru cheia bazei de date (DB) și cheia de semnătură interzisă (DBX)). În unele cazuri, avem experiență cu dispozitive care nu reușesc actualizările. Colaborăm cu producătorii de dispozitive pentru a testa aceste actualizări cheie în cât mai multe dispozitive posibil.
NOTĂ Testați mai întâi aceste atenuări pe un singur dispozitiv pentru fiecare clasă de dispozitiv din mediul dvs., pentru a detecta posibilele probleme de firmware. Nu implementați pe scară largă înainte de a confirma evaluarea tuturor claselor de dispozitive din mediul dvs.
Recuperare BitLocker: Unele dispozitive pot intra în recuperarea BitLocker. Nu uitați să păstrați o copie a cheii de recuperare BitLocker înainte de a activa atenuările.
Probleme cunoscute
Probleme de firmware:Nu toate firmware-ul dispozitivului va actualiza cu succes Secure Boot DB sau DBX. În cazurile de care știm, am raportat problema producătorului dispozitivului. Consultați KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX pentru detalii despre evenimentele înregistrate. Contactați producătorul dispozitivului pentru actualizări de firmware. Dacă dispozitivul nu este în asistență, Microsoft recomandă upgrade-ul dispozitivului.
Probleme cunoscute de firmware:
NOTĂ Următoarele probleme cunoscute nu au niciun impact asupra și nu vor împiedica instalarea actualizărilor din 9 iulie 2024. În majoritatea cazurilor, atenuările nu se vor aplica acolo unde există probleme cunoscute. Vedeți detaliile explicate în fiecare problemă cunoscută.
-
CP: HP a identificat o problemă cu instalarea atenuării pe PC-urile HP Z4G4 Workstation și va lansa un firmware Z4G4 UEFI actualizat (BIOS) în următoarele săptămâni. Pentru a asigura instalarea cu succes a atenuării, aceasta va fi blocată pe stațiile de lucru desktop până când actualizarea este disponibilă. Clienții ar trebui să actualizeze întotdeauna la cel mai recent BIOS de sistem înainte de a aplica atenuarea.
-
Dispozitive HP cu Sure Start Security: Aceste dispozitive au nevoie de cele mai recente actualizări de firmware de la HP pentru a instala atenuările. Atenuările sunt blocate până la actualizarea firmware-ului. Instalați cea mai recentă actualizare de firmware de pe pagina de asistență HPs - Descărcare oficială drivere și software HP | Asistență HP.
-
Dispozitive bazate pe Arm64: Atenuările sunt blocate din cauza problemelor de firmware UEFI cunoscute cu dispozitivele bazate pe Qualcomm. Microsoft lucrează cu Qualcomm pentru a rezolva această problemă. Qualcomm va oferi remedierea producătorilor de dispozitive. Contactați producătorul dispozitivului pentru a determina dacă este disponibilă o remediere pentru această problemă. Microsoft va adăuga detectare pentru a permite aplicarea atenuării pe dispozitive atunci când este detectat firmware-ul fix. Dacă dispozitivul dvs. bazat pe Arm64 nu are firmware Qualcomm, configurați următoarea cheie de registry pentru a activa atenuările.
Subcheie de registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nume valoare cheie
SkipDeviceCheck
Tip de date
REG_DWORD
Date
1
-
Măr:Computerele Mac care au cip de securitate Apple T2 acceptă bootarea sigură. Totuși, actualizarea variabilelor de securitate UEFI este disponibilă doar ca parte a actualizărilor macOS. Se așteaptă ca utilizatorii Boot Camp să vadă o intrare în jurnalul de evenimente a ID-ului de eveniment 1795 din Windows legată de aceste variabile. Pentru mai multe informații despre această intrare în jurnal, consultați KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX.
-
VMware:În mediile de virtualizare bazate pe VMware, o mașină virtuală care utilizează un procesor bazat pe x86 cu Secure Boot activat, nu va reuși să booteze după aplicarea atenuării. Microsoft se coordonează cu VMware pentru a rezolva această problemă.
-
Sisteme bazate pe TPM 2.0: Aceste sisteme care rulează Windows Server 2012 și Windows Server 2012 R2 nu pot implementa atenuările lansate în actualizarea de securitate din 9 iulie 2024, din cauza problemelor cunoscute de compatibilitate cu măsurătorile TPM. Actualizările de securitate din 9 iulie 2024 vor bloca atenuările #2 (manager de boot) și #3 (actualizarea DBX) pe sistemele afectate.tpm.msc. În partea din dreapta jos a panoului central, sub Informații despre producător TPM, ar trebui să vedeți o valoare pentru Versiunea specificației.
Microsoft cunoaște problema și va fi lansată în viitor o actualizare pentru deblocarea sistemelor bazate pe TPM 2.0. Pentru a verifica versiunea TPM, faceți clic dreapta pe Start, faceți clic pe Rulare, apoi tastați -
Criptare punct final Symantec: Atenuările Secure Boot nu pot fi aplicate sistemelor care au instalat Symantec Endpoint Encryption. Microsoft și Symantec sunt la curent cu această problemă și vor fi abordate în actualizarea viitoare.
Instrucțiuni pentru această ediție
Pentru această versiune, urmați acești doi pași.
Pasul 1: Instalați actualizarea CVE-2023-24932, dar nu sunt activate în mod implicit. Toate dispozitivele Windows ar trebui să parcurgă acest pas, indiferent dacă intenționați sau nu să implementați atenuările.
de securitate Windows Instalați actualizarea de securitate lunară Windows lansată pe sau după 9 iulie 2024, pe dispozitivele Windows acceptate. Aceste actualizări includ atenuări pentruPasul 2: Evaluați modificările
Vă încurajăm să procedați astfel:-
Înțelegeți primele două atenuări care permit actualizarea Secure Boot DB și actualizarea managerului de boot.
-
Revizuiți planificarea actualizată.
-
Începeți testarea primelor două atenuări pe dispozitivele reprezentative din mediul dvs.
-
Începeți planificarea implementării.
Pasul 3: Impuneți modificările
Vă încurajăm să înțelegeți riscurile prezentate în secțiunea Înțelegerea riscurilor.
-
Înțelegeți impactul asupra recuperării și a altor suporturi bootabile.
-
Începeți testarea celei de-a treia atenuări care nu prezintă încredere în certificatul de semnare utilizat pentru toți managerii de boot Windows anteriori.
Îndrumări pentru implementarea atenuării
Înainte de a urma acești pași pentru aplicarea atenuării, instalați actualizarea de servicii lunară Windows lansată pe sau după 9 iulie 2024, pe dispozitivele Windows acceptate. Această actualizare include atenuări pentru CVE-2023-24932, dar acestea nu sunt activate în mod implicit. Toate dispozitivele Windows ar trebui să parcurgă acest pas indiferent de planul dvs. de activare a atenuării.
NOTĂ Dacă utilizați BitLocker, asigurați-vă că cheii de recuperare BitLocker i s-a făcut backup. Puteți să rulați următoarea comandă dintr-o linie de comandă Administrator și să notați parola numerică de 48 de cifre:
manage-bde -protectors -get %systemdrive%
Pentru a implementa actualizarea și a aplica revocările, urmați acești pași:
-
Instalați definițiile de certificate actualizate în baza de date.
Acest pas va adăuga certificatul "Windows UEFI CA 2023" la UEFI "Secure Boot Signature Database" (DB). Prin adăugarea acestui certificat la DB, firmware-ul dispozitivului va avea încredere în aplicațiile de boot semnate de acest certificat.
-
Deschideți o linie de comandă Administrator și setați cheia de registry pentru a efectua actualizarea la DB, introducând următoarea comandă:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
IMPORTANT Asigurați-vă că reporniți dispozitivul de două ori pentru a finaliza instalarea actualizării înainte de a trece la pașii 2 și 3.
-
Rulați următoarea comandă PowerShell ca administrator și verificați dacă baza de date a fost actualizată cu succes. Această comandă ar trebui să returneze True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Actualizați Managerul de boot pe dispozitiv.
Acest pas va instala o aplicație manager de boot pe dispozitivul dvs., care este semnată cu certificatul "Windows UEFI CA 2023".
-
Deschideți o linie de comandă Administrator și setați cheia regkey pentru a instala managerul de boot semnat "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Reporniți dispozitivul de două ori.
-
Ca administrator, montați partiția EFI pentru a o pregăti pentru inspecție:
mountvol s: /s
-
Validați faptul că fișierul "s:\efi\microsoft\boot\bootmgfw.efi" este semnat de certificatul "Windows UEFI CA 2023". Pentru a face acest lucru, urmați acești pași:
-
Faceți clic pe Start, tastați linie de comandă în caseta Căutare , apoi faceți clic pe Linie de comandă.
-
În fereastra Linie de comandă , tastați următoarea comandă, apoi apăsați pe Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
În Manager fișiere, faceți clic dreapta pe fișierul C:\bootmgfw_2023.efi, faceți clic pe Proprietăți, apoi selectați fila Semnături digitale .
-
În lista Semnătură, confirmați că lanțul de certificate include Windows UEFI CA 2023. Lanțul de certificate ar trebui să corespundă următoarei capturi de ecran:
-
-
-
Activați revocarea.
Lista de permisiuni UEFI (DBX) este utilizată pentru a bloca încărcarea modulelor UEFI care nu sunt de încredere. În acest pas, actualizarea DBX va adăuga certificatul "Windows Production CA 2011" la DBX. Acest lucru va face ca toți managerii de boot semnate de acest certificat să nu mai fie de încredere.
AVERTISMENT: Înainte de a aplica a treia atenuare, creați o unitate flash de recuperare care poate fi utilizată pentru a boota sistemul. Pentru informații despre cum să faceți acest lucru, consultați secțiunea Actualizarea suportului media de instalare Windows.
Dacă sistemul intră într-o stare ne bootabilă, urmați pașii din secțiunea Procedură de recuperare pentru a reseta dispozitivul la o stare de pre-revocare.
-
Adăugați certificatul "Windows Production PCA 2011" la Lista de bootare securizată UEFI interzisă (DBX). Pentru a face acest lucru, deschideți o fereastră linie de comandă ca administrator, tastați următoarea comandă, apoi apăsați pe Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Reporniți dispozitivul de două ori și confirmați că a repornit complet.
-
Verificați dacă lista de instalare și revocare a fost aplicată cu succes căutând evenimentul 1037 în jurnalul de evenimente.KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX. Sau rulați următoarea comandă PowerShell ca Administrator și asigurați-vă că returnează True:
Pentru informații despre evenimentul 1037, consultați[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) - potrivire "Microsoft Windows Production PCA 2011"
-
-
Aplicați actualizarea SVN la firmware.
Managerul de boot implementat în Pasul 2 are încorporată o nouă caracteristică de auto-revocare. Atunci când managerul de boot începe să ruleze, efectuează o auto-verificare prin compararea numărului de versiune securizat (SVN) stocat în firmware, cu SVN încorporat în Managerul de boot. Dacă managerul de boot SVN este mai mic decât SVN stocat în firmware, managerul de boot va refuza să ruleze. Această caracteristică împiedică un atacator să readucerea Managerului de boot la o versiune mai veche, neactualizată. În viitoarele actualizări, atunci când se remediază o problemă semnificativă de securitate în Managerul de boot, numărul SVN va fi incrementat atât în Managerul de boot, cât și în actualizarea firmware-ului. Ambele actualizări vor fi lansate în aceeași actualizare cumulativă, pentru a vă asigura că dispozitivele cu corecții sunt protejate. De fiecare dată când se actualizează SVN, orice suport bootabil va trebui să fie actualizat. Începând cu data de 9 iulie 2024, actualizările, SVN este incrementat în Managerul de boot și actualizarea la firmware. Actualizarea de firmware este opțională și poate fi aplicată urmând acești pași:-
Deschideți o linie de comandă Administrator și rulați următoarea comandă pentru a instala managerul de boot semnat "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Reporniți dispozitivul de două ori.
-
Suport bootabil
Va fi important să actualizați suportul bootabil după începerea Fazei de implementare în mediul dvs.
Instrucțiunile pentru actualizarea suporturilor bootabile vor fi livrate cu actualizările viitoare ale acestui articol. Consultați secțiunea următoare pentru a crea o unitate USB pentru recuperarea unui dispozitiv.
Actualizarea suportului de instalare Windows
NOTĂ Atunci când creați o unitate USB bootabilă, nu uitați să formatați unitatea utilizând sistemul de fișiere FAT32.
Puteți utiliza aplicația Creare unitate de recuperare urmând acești pași. Acest suport fizic poate fi utilizat pentru a reinstala un dispozitiv în cazul în care există o problemă majoră, cum ar fi o eroare de hardware, veți putea utiliza unitatea de recuperare pentru a reinstala Windows.
-
Accesați un dispozitiv pe care au fost aplicate actualizările din 9 iulie 2024 și primul pas de atenuare (actualizarea Secure Boot DB).
-
Din meniul Start , căutați applet "Creați o unitate de recuperare" din panoul de control și urmați instrucțiunile pentru a crea o unitate de recuperare.
-
Cu unitatea flash nou creată montată (de exemplu, ca unitate "D:"), rulați următoarele comenzi ca administrator. Tastați fiecare dintre următoarele comenzi, apoi apăsați pe Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Dacă gestionați suportul fizic instalabil în mediul dvs. utilizând suportul de instalare Actualizare Windows cu instrucțiuni privind actualizarea dinamică , urmați acești pași. Acești pași suplimentari vor crea o unitate flash bootabilă care utilizează fișiere de boot semnate de certificatul de semnare "Windows UEFI CA 2023".
-
Accesați un dispozitiv pe care s-au aplicat 9 iulie 2024, actualizări și primul pas de atenuare (actualizarea Secure Boot DB).
-
Urmați pașii din linkul de mai jos pentru a crea fișiere media cu actualizările din 9 iulie 2024. Actualizarea suportului de instalare Windows cu Actualizare dinamică
-
Plasați conținutul suportului media pe o unitate USB și montați unitatea USB ca literă de unitate. De exemplu, montați unitatea usb ca "D:".
-
Rulați următoarele comenzi dintr-o fereastră de comandă ca administrator. Tastați fiecare dintre următoarele comenzi, apoi apăsați pe Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Dacă un dispozitiv are setările Secure Boot resetat la valorile implicite după aplicarea atenuării, dispozitivul nu se va boota. Pentru a rezolva această problemă, o aplicație de reparare este inclusă cu actualizările din 9 iulie 2024 care pot fi utilizate pentru a reaplica certificatul "Windows UEFI CA 2023" la DB (atenuare nr. 1).
NOTĂ Nu utilizați această aplicație de reparare pe un dispozitiv sau sistem descris în secțiunea Probleme cunoscute .
-
Accesați un dispozitiv pe care au fost aplicate actualizările din 9 iulie 2024.
-
Într-o fereastră de comandă, copiați aplicația de recuperare pe unitatea flash utilizând următoarele comenzi (presupunând că unitatea flash este unitatea "D:"). Tastați fiecare comandă separat, apoi apăsați pe Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Pe dispozitivul care are setările Secure Boot resetați la valorile implicite, introduceți unitatea flash, reporniți dispozitivul și bootați de pe unitatea flash.
Temporizarea actualizărilor
Actualizările sunt lansate după cum urmează:
-
Implementare inițială Această fază a început cu actualizările lansate pe 9 mai 2023 și a furnizat atenuări de bază cu pași manuali pentru a activa aceste atenuări.
-
A doua implementare Această fază a început cu actualizările lansate pe 11 iulie 2023, care a adăugat pași simplifică pentru a permite atenuările pentru problemă.
-
Fază de evaluare Această fază va începe la 9 aprilie 2024 și va adăuga atenuări suplimentare ale managerului de boot.
-
Faza de implementare Acest lucru se va întâmpla atunci când îi vom încuraja pe toți clienții să înceapă să implementeze atenuările și să actualizeze conținutul media.
-
Faza de impunere Faza de impunere care va face atenuările permanente. Data pentru această etapă va fi anunțată la o dată ulterioară.
Notă Programul de lansare poate fi revizuit după cum este necesar.
Această fază a fost înlocuită de actualizările de securitate Windows lansate la sau după 9 aprilie 2024.
Această fază a fost înlocuită de actualizările de securitate Windows lansate la sau după 9 aprilie 2024.
În această fază, vă solicităm să testați aceste modificări în mediul dvs., pentru a vă asigura că modificările funcționează corect cu dispozitive eșantion reprezentative și pentru a obține experiență cu modificările.
NOTĂ În loc să încercăm să listam exhaustiv și să nu de încredere managerii de boot vulnerabili, așa cum am făcut în fazele de implementare anterioare, adăugăm certificatul de semnare "Windows Production PCA 2011" la Secure Boot Disallow List (DBX), pentru a nu fi de încredere în toți managerii de boot semnate de acest certificat. Aceasta este o metodă mai fiabilă pentru a vă asigura că toți managerii de boot anteriori nu sunt de încredere.
Actualizările pentru Windows lansate la sau după 9 aprilie 2024 adaugă următoarele:
-
Trei noi controale de atenuare care înlocuiesc atenuările lansate în 2023. Noile controale pentru atenuări sunt:
-
Un control pentru implementarea certificatului "Windows UEFI CA 2023" în Secure Boot DB pentru a adăuga încredere pentru managerii de boot Windows semnați de acest certificat. Rețineți că certificatul "Windows UEFI CA 2023" poate să fi fost instalat de o actualizare Windows anterioară.
-
Un control pentru a implementa un manager de boot semnat de certificatul "Windows UEFI CA 2023".
-
Un control pentru a adăuga "Windows Production PCA 2011" la Secure Boot DBX, care va bloca toate managerii de boot Windows semnate de acest certificat.
-
-
Capacitatea de a activa independent implementarea atenuării în etape, pentru a permite mai mult control în implementarea atenuării în mediul dvs., în funcție de necesitățile dvs.
-
Atenuările sunt interconectate, astfel încât să nu poată fi implementate în ordine incorectă.
-
Evenimente suplimentare pentru a ști starea dispozitivelor pe măsură ce aplică atenuările. Consultați KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX pentru mai multe detalii despre evenimente.
Această etapă este atunci când încurajăm clienții să înceapă să implementeze atenuările și să gestioneze toate actualizările media. Actualizările includ următoarea modificare:
-
S-a adăugat suport pentru Numărul de versiune securizat (SVN) și s-a setat SVN actualizat în firmware.
Iată o schiță a pașilor de implementare într-o întreprindere.
Notă Instrucțiuni suplimentare pentru a fi livrate cu actualizările ulterioare ale acestui articol.
-
Implementați prima atenuare pentru toate dispozitivele din Enterprise sau un grup gestionat de dispozitive din Enterprise. Acesta include:
-
Optând pentru prima atenuare care adaugă certificatul de semnare "Windows UEFI CA 2023" la firmware-ul dispozitivului.
-
Monitorizarea că dispozitivele au adăugat cu succes certificatul de semnare "Windows UEFI CA 2023".
-
-
Implementați a doua atenuare care aplică managerului de boot actualizat pe dispozitiv.
-
Actualizați orice suport de recuperare sau bootabil extern utilizat cu aceste dispozitive.
-
Implementați a treia atenuare care permite revocarea certificatului "Windows Production CA 2011", adăugându-l la DBX în firmware.
-
Implementați a patra atenuare care actualizează numărul de versiune securizat (SVN) la firmware.
Faza de impunere va fi la cel puțin șase luni după etapa de implementare. Atunci când sunt lansate actualizări pentru faza de impunere, acestea vor include următoarele:
-
Certificatul "Windows Production PCA 2011" va fi revocat automat prin adăugarea la Lista de bootare sigură UEFI Interzis (DBX) pe dispozitivele capabile. Aceste actualizări vor fi impuse prin programare după instalarea actualizărilor pentru Windows pe toate sistemele afectate, fără opțiunea de a fi dezactivate.
Erori din jurnalul de evenimente Windows legate de CVE-2023-24932
Intrările din jurnalul de evenimente Windows legate de actualizarea DB și DBX sunt descrise în detaliu în KB5016061: evenimente de actualizare a variabilei Secure Boot DB și DBX.
Evenimentele "reușite" legate de aplicarea atenuării sunt listate în tabelul următor.
Pas atenuare |
ID eveniment |
Note |
Aplicarea actualizării bazei de date |
1036 |
Certificatul PCA2023 a fost adăugat la baza de date. |
Se actualizează managerul de boot |
1799 |
S-a aplicat managerul de boot semnat PCA2023. |
Aplicarea actualizării DBX |
1037 |
Actualizarea DBX care nu prezintă încredere în certificatul de semnare PCA2011 a fost aplicată. |
Întrebări frecvente (Întrebări frecvente)
-
Consultați secțiunea Procedură de recuperare pentru a recupera dispozitivul.
-
Urmați instrucțiunile din secțiunea Depanarea problemelor de boot .
Actualizați toate sistemele de operare Windows cu actualizări lansate la sau după 9 iulie 2024 înainte de a aplica revocările. Este posibil să nu reușiți să porniți nicio versiune de Windows care nu a fost actualizată la cel puțin actualizări lansate pe 9 iulie 2024 după ce aplicați revocările. Urmați instrucțiunile din secțiunea Depanarea problemelor de boot .
Consultați secțiunea Depanarea problemelor de boot .
Depanarea problemelor de boot
După ce au fost aplicate toate cele trei atenuări, firmware-ul dispozitivului nu se va boota utilizând un manager de boot semnat de Windows Production PCA 2011. Erorile de boot raportate de firmware sunt specifice dispozitivului. Consultați secțiunea Procedura de recuperare .
Procedură de recuperare
Dacă ceva nu merge bine în timpul aplicării atenuării și nu puteți porni dispozitivul sau trebuie să porniți de pe un suport media extern (cum ar fi o unitate USB sau bootarea PXE), încercați următoarele sugestii:
-
Dezactivați Bootare sigură.Dezactivarea Boot secure.
Această procedură diferă între producătorii și modelele de dispozitive. Introduceți meniul UEFI BIOS al dispozitivelor și navigați la setările secure Boot și dezactivați-l. Consultați documentația de la producătorul dispozitivului pentru detalii despre acest proces. Mai multe detalii pot fi găsite în -
Resetați cheile Secure Boot la setările implicite din fabrică.
Dacă dispozitivul acceptă resetarea cheilor de boot securizate la setările implicite din fabrică, efectuați această acțiune acum.
NOTĂ Unii producători de dispozitive au atât o opțiune "Golire", cât și o opțiune "Resetare" pentru variabilele Secure Boot, caz în care ar trebui utilizată opțiunea "Resetare". Scopul este să readuceți variabilele Secure Boot înapoi la valorile implicite ale producătorilor.
Dispozitivul dvs. ar trebui să înceapă acum, dar rețineți că este vulnerabil la malware-ul kit de bootare. Asigurați-vă că finalizați Pasul 5 al acestui proces de recuperare pentru a reactiva Bootarea sigură.
-
Încercați să porniți Windows de pe discul de sistem.
-
Conectați-vă la Windows.
-
Rulați următoarele comenzi dintr-o linie de comandă Administrator pentru a restaura fișierele de boot în partiția de bootare a sistemului EFI. Tastați fiecare comandă separat, apoi apăsați pe Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Rularea BCDBoot returnează "Bootați fișierele au fost create cu succes". După ce se afișează acest mesaj, reporniți dispozitivul la Windows.
-
-
Dacă Pasul 3 nu recuperează cu succes dispozitivul, reinstalați Windows.
-
Porniți dispozitivul de pe suportul de recuperare existent.
-
Continuați să instalați Windows utilizând suportul de recuperare.
-
Conectați-vă la Windows.
-
Reporniți Windows pentru a verifica dacă dispozitivul revine la Windows.
-
-
Reactivați Bootarea sigură și reporniți dispozitivul.
Introduceți meniul UEFI al dispozitivului și navigați la setările secure Boot și activați-l. Consultați documentația de la producătorul dispozitivului pentru detalii despre acest proces. Mai multe informații pot fi găsite în secțiunea "Reactivați bootarea sigură".
Referințe
-
Instrucțiuni pentru investigarea atacurilor utilizând CVE-2022-21894: campania BlackLotus
-
Pentru evenimentele generate la aplicarea actualizărilor DBX, consultați KB5016061: Abordarea managerilor de boot vulnerabili și revocați.
Produsele de la terți prezentate în acest articol sunt create de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau de altă natură, despre performanța sau fiabilitatea acestor produse.
Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.
Data modificării |
Descrierea modificării |
9 iulie 2024 |
|
9 aprilie 2024 |
|
16 decembrie 2023 |
|
15 mai 2023 |
|
11 mai 2023 |
|
10 mai 2023 |
|
9 mai 2023 |
|
27 iunie 2023 |
|
11 iulie 2023 |
|
25 august 2023 |
|