VAЋNO Trebalo bi da primenite Windows bezbednosnu ispravku objavljenu 9. jula 2024. ili posle toga, kao deo redovnog mesečnog procesa ažuriranja.
Ovaj članak se odnosi na organizacije koje treba da počnu da procenjuju umanjivanja za javno otkrivani secure Boot zaobionik koji koristi BlackLotus UEFI bootkit. Pored toga, možda ćete želeti da zauzmete proaktivan bezbednosni stav ili da počnete da se pripremate za primenu. Imajte na umu da ovaj malver zahteva fizički ili administrativni pristup uređaju.
OPREZ Kada se umanjivanje za ovaj problem omogući na uređaju, što znači da su umanjivanja primenjena, ona se ne mogu vratiti ako nastavite da koristite bezbedno pokretanje na tom uređaju. Čak ni ponovno formatiranje diska neće ukloniti opo pozivanja ako su već primenjena. Imajte u vidu sve moguće implikacije i detaljno testirajte pre nego što primenite opo pozivanja koja su navedena u ovom članku na uređaju.
U ovom članku
Rezime
Ovaj članak opisuje zaštitu od javno otkrivane bezbednosne funkcije bezbednog pokretanja koja koristi BlackLotus UEFI bootkit koji prati CVE-2023-24932, kako da omogući umanjivanja i uputstva za medije koji se mogu pokrenuti. Bootkit je zlonameran program koji je dizajniran da se učita što je pre moguće u sekvenci pokretanja uređaja kako bi kontrolisao pokretanje operativnog sistema.
Bezbedno pokretanje se preporučuje od korporacije Microsoft da napravi bezbednu i pouzdanu putanju od interfejsa objedinjenog proširivih firmvera (UEFI) putem sekvence pouzdanog pokretanja windows jezgra. Bezbedno pokretanje pomaže u sprečavanju malvera za pokretanje u sekvenci pokretanja. Onemogućavanje bezbednog pokretanja upada uređaja u rizik od infekcije malverom za pokretanje. Popravljanje zaobioska bezbednog pokretanja opisanog u verzijama CVE-2023-24932 zahteva opoziv menadžera pokretanja. To može da dovede do problema u nekim konfiguracijama pokretanja uređaja.
Umanjivanja u odnosu na zaobilaženje bezbednog pokretanja detaljno opisana u verzijama CVE-2023-24932 uključena su u Windows bezbednosne ispravke koje su objavljene 9. jula 2024. ili posle toga. Međutim, ova umanjivanja nisu podrazumevano omogućena. Uz ove ispravke, preporučujemo da počnete da procenjujete ove promene u okruženju. Kompletan raspored je opisan u odeljku Podešavanje vremena ispravki .
Pre nego što omogućite ova umanjivanja, trebalo bi da detaljno pregledate detalje u ovom članku i utvrdite da li morate da omogućite umanjivanja ili da sačekate buduće ažuriranje korporacije Microsoft. Ako odaberete da omogućite umanjivanja, morate da proverite da li su uređaji ažurirani i spremni i da razumete rizike opisane u ovom članku.
Preduzimanje radnje
Za ovo izdanje bi trebalo da sledite sledeće korake: 1. korak: Instaliranje Windows bezbednosne ispravke objavljene 9. jula 2024. ili posle 9. jula 2024. na svim podržanim verzijama. 2. korak: Procenite promene i način na koji one utiču na okruženje. 3. korak: Nametanje promena. |
Opseg uticaja
BlackLotus bootkit utiče na sve Windows uređaje sa omogućenom zaštitom bezbednog pokretanja. Umanjivanja su dostupna za podržane verzije operativnog sistema Windows. Kompletnu listu potražite u članku CVE-2023-24932.
Razumevanje rizika
Rizik od malvera: Da bi blackLotus UEFI bootkit iskorišćavanje opisano u ovom članku bilo moguće, napadač mora da dobije administrativne privilegije na uređaju ili da dobije fizički pristup uređaju. To možete da uradite tako što ćete pristupiti uređaju fizički ili daljinski, kao što je korišćenje hipervizora za pristup virtuelnim mašinama/oblaku. Napadač će obično koristiti ovu ranjivost da bi nastavio da kontroliše uređaj kom već može da pristupi i možda manipuliše. Umanjivanja u ovom članku su preventivna i ne ispravljaju se. Ako je uređaj već ugrožen, obratite se dobavljaču bezbednosti za pomoć.
Spasavanje medija: Ako naiđete na problem sa uređajem nakon primene umanjivanja i uređaj postane nedostupan, možda nećete moći da pokrenete ili oporavite uređaj iz postojećih medija. Potrebno je da se ažurira oporavak ili instaliranje medija kako bi funkcionisao sa uređajem na koji su primenjena umanjivanja.
Problemi sa firmverom: Kada Windows primeni ublažavanja opisana u ovom članku, on se mora oslanjati na UEFI firmver uređaja da bi ažurirao vrednosti bezbednog pokretanja (ispravke se primenjuju na ključ baze podataka (DB) i zabranjeni ključ potpisa (DBX)). U nekim slučajevima, imamo iskustva sa uređajima koji ne uspevaju da ažuriraju. Radimo sa proizvođačima uređaja da bismo testirali ove ključne ispravke na što većem broju uređaja.
NOTA Prvo testirajte ova umanjivanja na jednom uređaju po klasi uređaja u okruženju da biste otkrili moguće probleme sa firmverom. Ne primenjuj široko pre nego što potvrdite sve klase uređaja u okruženju.
BitLocker oporavak: Neki uređaji mogu da odu u BitLocker oporavak. Obavezno zadržite kopiju BitLocker ključa za oporavak pre nego što omogućite ublažavanja.
Poznati problemi
Problemi sa firmverom:Neće svi firmver uređaji uspešno ažurirati DB ili DBX za bezbedno pokretanje. U slučajevima koje znamo, prijavili smo problem proizvođaču uređaja. Pogledajte KB5016061: Događaji bezbednog pokretanja baze podataka i događaji promenljivih DBX promenljivih za detalje o evidentiranim događajima. Obratite se proizvođaču uređaja za ispravke firmvera. Ako uređaj nije podržan, Microsoft preporučuje nadogradnju uređaja.
Poznati problemi sa firmverom:
NOTA Sledeći poznati problemi ne utiču na i neće sprečiti instalaciju ispravki od 9. jula 2024. U većini slučajeva, umanjivanja se neće primenjivati tamo gde postoje poznati problemi. Pogledajte detalje navedene u svakom poznatom problemu.
-
HP: HP je identifikovao problem sa umanjivanjem instalacije na HP Z4G4 workstation računarima i narednih sedmica će izdati ažurirani Z4G4 UEFI firmver (BIOS). Da bi se obezbedila uspešna instalacija umanjivanja, ona će biti blokirana na radnim površinama dok ne bude dostupno ažuriranje. Klijenti uvek treba da ažuriraju na najnoviji bioS sistema pre nego što primene umanjivanje.
-
HP uređaji sa sigurnošću "Pokreni bezbednost": Ovim uređajima su potrebne najnovije ispravke firmvera od HP-a da bi instalirali umanjivanja. Umanjivanja su blokirana dok se firmver ne ažurira. Instalirajte najnoviju ispravku firmvera sa stranice podrške za HP – zvanični HP upravljački programi i preuzimanje softvera | Podrška za HP.
-
Uređaji zasnovani na Arm64 procesorima: Umanjivanja su blokirana zbog poznatih problema sa UEFI firmverom sa uređajima zasnovanim na Qualcomm. Microsoft radi sa qualcomm-om da bi rešio ovaj problem. Qualcomm će obezbediti rešenje proizvođačima uređaja. Obratite se proizvođaču uređaja da biste utvrdili da li je dostupna ispravka za ovaj problem. Microsoft će dodati otkrivanje da bi omogućio primenu umanjivanja na uređajima kada se otkrije fiksni firmver. Ako vaš uređaj zasnovan na Arm64 nema Qualcomm firmver, konfigurišite sledeći ključ registratora da biste omogućili umanjivanja.
Potključ registratora
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Ime vrednosti ključa
SkipDeviceCheck
Tip podataka
REG_DWORD
Podataka
1
-
Jabuka:Mac računari koji imaju Bezbedno pokretanje Apple T2 bezbednosnog čipa. Međutim, ažuriranje promenljivih koje se odnose na UEFI bezbednost dostupno je samo u sklopu macOS ispravki. Očekuje se da korisnici kampa za pokretanje vide unos evidencije događaja za ID 1795 u operativnom sistemu Windows koji se odnosi na ove promenljive. Više informacija o ovoj stavki evidencije potražite u članku KB5016061: Bezbedno pokretanje baze podataka i događaji ažuriranja promenljivih DBX promenljivih.
-
VMware:U okruženjima virtuelizacija zasnovanim na VMware- u, virtuelna mašina koja koristi procesor zasnovan na x86 procesoru sa omogućenim bezbednim pokretanjem neće se pokrenuti nakon primene umanjivanja. Microsoft koordinira sa VMware-om kako bi rešio ovaj problem.
-
TPM 2.0 sistemi zasnovani na: Ovi sistemi koji koriste Windows Server 2012 i Windows Server 2012 R2 ne mogu da primene umanjivanja objavljena u bezbednosnoj ispravci od 9. jula 2024. zbog poznatih problema sa kompatibilnošću sa TPM merama. Bezbednosne ispravke od 9. jula 2024. blokiraju ublaženja #2 (boot manager) i #3 (DBX ispravka) na pogođenim sistemima.a zatim otkucajte tpm.msc. U donjem desnom uglu centralnog okna, u okviru Informacije o proizvođaču TPM-a, trebalo bi da vidite vrednost za verziju specifikacije.
Microsoft zna za ovaj problem i ispravka će biti objavljena u budućnosti da bi se deblokirali sistemi zasnovani na TPM 2.0. Da biste proverili TPM verziju, kliknite desnim tasterom miša na dugme Start, izaberite stavku Pokreni, -
Symantec Šifrovanje krajnjih tačaka: Umanjivanja bezbednog pokretanja se ne mogu primeniti na sisteme koji su instalirali Symantec šifrovanje krajnje tačke. Microsoft i Symantec su svesni ovog problema i biće rešeni u budućim ispravkama.
Uputstva za ovo izdanje
Za ovo izdanje pratite ova dva koraka.
1. korak: Instaliranje Windows bezbednosne ispravke CVE-2023-24932, ali podrazumevano nisu omogućene. Svi Windows uređaji trebalo bi da dovrše ovaj korak bez obzira na to da li planirate da primenite umanjivanja.
Instalirajte mesečnu bezbednosnu ispravku za Windows objavljenu 9. jula 2024. ili posle toga na podržanim Windows uređajima. Ove ispravke uključuju umanjivanja za2. korak: procena promena
Podstičemo vas da uradite sledeće:-
Razumejte prva dva ublaženja koja omogućavaju ažuriranje baze podataka za bezbedno pokretanje i ažuriranje upravljača za pokretanje.
-
Pregledajte ažurirani raspored.
-
Počnite da testirate prva dva umanjivanja protiv reprezentativnih uređaja iz okruženja.
-
Počnite da planirate primenu.
3. korak: Nametanje promena
Podstičemo vas da razumete rizike navedene u odeljku Razumevanje rizika.
-
Razumevanje uticaja na oporavak i druge medije koji se mogu pokrenuti.
-
Počnite da testirate treće umanjivanje koje nepouzda certifikat potpisa koji se koristi za sve prethodne upravljače windows pokretanjem.
Uputstva za umanjivanje primene
Pre nego što pratite ove korake za primenu umanjivanja, instalirajte mesečnu ispravku za servisiranje operativnog sistema Windows objavljenu 9. jula 2024. ili posle toga, na podržanim Windows uređajima. Ova ispravka uključuje umanjivanja za CVE-2023-24932, ali one nisu podrazumevano omogućene. Svi Windows uređaji trebalo bi da dovrše ovaj korak bez obzira na plan kako bi se omogućila umanjivanja.
NOTA Ako koristite BitLocker, uverite se da je rezervna verzija BitLocker ključa za oporavak rezervna. Možete da pokrenete sledeću komandu sa komandne linije administratora i da obratite belešku na numeričku lozinku od 48 cifara:
manage-bde -protectors -get %systemdrive%
Da biste primenili ispravku i primenili opo pozivanja, pratite ove korake:
-
Instalirajte ažurirane definicije certifikata u DB.
Ovaj korak će dodati certifikat "Windows UEFI CA 2023" UEFI "Baza podataka potpisa za bezbedno pokretanje" (DB). Ako ovaj certifikat dodate u DB, firmver uređaja će imati poverenja u aplikacije za pokretanje koje je potpisao ovaj certifikat.
-
Otvorite komandnu liniju administratora i podesite regkey tako da izvrši ažuriranje u DB tako što ćete uneti sledeću komandu:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
VAЋNO Obavezno ponovo pokrenite uređaj dva puta da biste dovršili instalaciju ispravke pre nego što pređete na 2. i 3. korak.
-
Pokrenite sledeću PowerShell komandu kao administrator i potvrdite da je DB uspešno ažuriran. Ova komanda bi trebalo da vrati vrednost Tačno.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Ažurirajte upravljač pokretanjem na uređaju.
Ovaj korak će instalirati aplikaciju upravljača pokretanja na uređaju koja je potpisana certifikatom ""Windows UEFI CA 2023".
-
Otvorite administratorsku komandnu liniju i podesite regkey da biste instalirali upravljač pokretanja potpisanog programa "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Ponovo pokrenite uređaj dva puta.
-
Kao administrator, postavite EFI particiju da biste je pripremili za ispitivanje:
mountvol s: /s
-
Proverite da li je datoteka "s:\efi\microsoft\boot\bootmgfw.efi" potpisana certifikatom "Windows UEFI CA 2023". Da biste to uradili, pratite ove korake:
-
Kliknite na dugme Start, otkucajte komandnu liniju u polju Pretraga , a zatim izaberite stavku Komandna linija.
-
U prozoru Komandna linija otkucajte sledeću komandu, a zatim pritisnite taster Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
U upravljaču datotekama kliknite desnim tasterom miša na datoteku C:\bootmgfw_2023.efi, izaberite stavku Svojstva , a zatim izaberite karticu Digitalni potpisi .
-
Na listi Potpis potvrdite da lanac certifikata uključuje Windows UEFI CA 2023. Lanac certifikata treba da se podudara sa sledećim snimkom ekrana:
-
-
-
Omogućite opomenj.
UEFI zabranjena lista (DBX) koristi se za blokiranje učitavanja nepouzdanih UEFI modula. U ovom koraku, ažuriranje DBX-a dodaće certifikat "Windows Production CA 2011" u DBX. To će dovesti do toga da svi menadžeri pokretanja koje je potpisao ovaj certifikat više neće biti pouzdani.
UPOZORENJE: Pre nego što primenite treće umanjivanje, kreirajte fleš disk za oporavak koji se može koristiti za pokretanje sistema. Informacije o tome kako to da uradite potražite u odeljku Ažuriranje operativnog sistema Windows instaliranje medija.
Ako sistem dođe u stanje koje nije moguće pokrenuti, pratite korake u odeljku Procedure za oporavak da biste uspostavili početne vrednosti uređaja u stanje opo pozivanja.
-
Dodajte certifikat "Windows production PCA 2011" na listu zabranjenog UEFI-a za bezbedno pokretanje (DBX). Da biste to uradili, otvorite prozore komandne linije kao administrator, otkucajte sledeću komandu, a zatim pritisnite taster Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Ponovo pokrenite uređaj dva puta i potvrdite da je potpuno ponovo pokrenut.
-
Potvrdite da je lista instalacija i opoziva uspešno primenjena traženje događaja 1037 u evidenciji događaja.KB5016061: Bezbedno pokretanje baze podataka i događaji promenljivih DBX promenljivih. Možete i da pokrenete sledeću PowerShell komandu kao administrator i uverite se da vraća vrednost Tačno:
Informacije o događaju 1037 potražite u članku[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -podudaranje "Microsoft Windows Production PCA 2011"
-
-
Primenite SVN ispravku na firmver.
Upravljač pokretanja primenjen u 2. koraku ima ugrađenu novu funkciju za samoprozvanje. Kada se pokrene upravljač pokretanjem, on izvršava samoproveru tako što poredi broj bezbedne verzije (SVN) koji je uskladišten u firmveru, sa SVN-om ugrađenim u upravljač pokretanja. Ako je SVN menadžera pokretanja manji od SVN-a uskladištenog u firmveru, upravljač pokretanjem će odbiti da se pokrene. Ova funkcija sprečava napadača da vrati upravljač pokretanjem na stariju verziju koja nije ažurirana. U budućim ispravkama, kada se značajni bezbednosni problem reši u upravljaču pokretanjem, SVN broj će se povećati i u upravljaču pokretanjem i u ispravci firmvera. Obe ispravke će biti objavljene u istoj kumulativnom ažuriranju da bi se uverili da su zakrvljeni uređaji zaštićeni. Svaki put kada se SVN ažurira, svi mediji koji se mogu pokrenuti moraće da se ažuriraju. Počevši od 9. jula 2024. godine, ispravke, SVN se povećavanje u funkciji Boot Manager i ažuriranje firmvera. Ispravka firmvera je opcionalna i može se primeniti tako što ćete pratiti ove korake:-
Otvorite komandnu liniju administratora i pokrenite sledeću komandu da biste instalirali upravljač pokretanja potpisanim sistemom "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Ponovo pokrenite uređaj dva puta.
-
Medijum koji se može pokrenuti
Biće važno da ažurirate medije koji se mogu pokrenuti kada faza primene počne u okruženju.
Uputstva za ažuriranje medija koji se mogu pokrenuti dolaze uz buduća ažuriranja ovog članka. Pogledajte sledeći odeljak da biste kreirali USB fleš disk za oporavak uređaja.
Ažuriranje medijuma za instalaciju operativnog sistema Windows
NOTA Prilikom kreiranja USB diska koji se može pokrenuti, obavezno oblikujte disk jedinicu pomoću FAT32 sistema datoteka.
Možete da koristite aplikaciju Create Recovery Drive tako što ćete pratiti ove korake. Ovaj medijum se može koristiti za ponovnu instalaciju uređaja u slučaju da postoji veliki problem kao što je otkazivanje hardvera, moći ćete da koristite disk jedinicu za oporavak da biste ponovo instalirali Windows.
-
Idite na uređaj na kom su ispravke od 9. jula 2024. i prvi korak ublaženja (ažuriranje baze podataka za bezbedno pokretanje) primenjeni.
-
U " Start" meniju potražite aplet "Kreiranje disk jedinice za oporavak" i pratite uputstva da biste kreirali disk jedinicu za oporavak.
-
Dok je novokreirana fleš disk jedinica postavljena (na primer, kao disk jedinica "D:"), pokrenite sledeće komande kao administrator. Otkucajte svaku od sledećih komandi, a zatim pritisnite taster Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ako upravljate instalacionim medijima u okruženju pomoću instalacionog medijuma Ažuriranje operativnog sistema Windows pomoću vodiča za dinamičko ažuriranje, pratite ove korake. Ovi dodatni koraci će kreirati fleš disk koji se može pokrenuti i koji koristi datoteke za pokretanje koje je potpisao certifikat potpisa "Windows UEFI CA 2023".
-
Idite na uređaj na kom su 9. jula 2024. ažuriranja i prvi korak ublaženja (ažuriranje baze podataka za bezbedno pokretanje) primenjeni.
-
Pratite korake iz dolenavedene veze da biste kreirali medije sa ispravkama od 9. jula 2024. Ažuriranje windows instalacionog medijuma pomoću dinamičke ispravke
-
Postavite sadržaj medija na USB fleš disk i postavite fleš disk jedinicu kao oznaku disk jedinice. Na primer, postavite disk jedinicu sa sličicama kao "D:".
-
Pokrenite sledeće komande iz komandnog prozora kao administrator. Otkucajte svaku od sledećih komandi, a zatim pritisnite taster Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ako uređaj ima postavke bezbednog pokretanja na podrazumevane vrednosti nakon primene umanjivanja, uređaj se neće pokrenuti. Da biste rešili ovaj problem, aplikacija za popravku je uključena u ispravke od 9. jula 2024. koje se mogu koristiti za ponovnu primenu certifikata "Windows UEFI CA 2023" na DB (ublažavanje #1).
NOTA Nemojte koristiti ovu aplikaciju za popravku na uređaju ili sistemu koji je opisan u odeljku Poznati problemi .
-
Idite na uređaj na kom su primenjene ispravke za 9. jul 2024.
-
U komandnom prozoru kopirajte aplikaciju za oporavak na fleš disk pomoću sledećih komandi (pod pretpostavkom da je fleš disk "D:" disk jedinica). Otkucajte svaku komandu zasebno, a zatim pritisnite taster Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Na uređaju koji ima postavke bezbednog pokretanja uspostavite podrazumevane vrednosti, umetnite fleš disk, ponovo pokrenite uređaj i pokrenite ga sa fleš diska.
Podešavanje vremena ispravki
Ispravke se objavljuje na sledeći način:
-
Početna primena Ova faza je započeta ispravkama objavljenim 9. maja 2023. i pružala je osnovna umanjivanja ručnim koracima za omogućavanje tih umanjivanja.
-
Druga primena Ova faza je započeta ispravkama objavljenim 11. jula 2023. koje su dodale pojednostavljene korake kako bi se omogućilo umanjivanje problema.
-
Faza procene Ova faza će početi 9. aprila 2024. i dodaće dodatna umanjivanja upravljača pokretanja.
-
Faza primene Sada ćemo podstaći sve klijente da počnu da primenjuju umanjivanja i ažuriraju medije.
-
Faza sprovođenja Faza sprovođenja koja će umanjiti umanjivanja trajnih. Datum ove faze biće objavljen kasnije.
Napomena Raspored izdanja može da se korigujete po potrebi.
Ova faza je zamenjena izdanjem windows bezbednosnih ispravki 9. aprila 2024. ili posle toga.
Ova faza je zamenjena izdanjem windows bezbednosnih ispravki 9. aprila 2024. ili posle toga.
Ovom fazom od vas tražimo da testirate ove promene u okruženju da biste se uverili da promene ispravno rade sa reprezentativnim uzorcima uređaja i da biste stekli utisak pri radu sa promenama.
NOTA Umesto da pokušavamo da iscrpno napišemo i nepouzdamo ranjive upravljače pokretanja kao što smo to uradili u prethodnim fazama primene, dodajemo certifikat potpisa "Windows proizvodni RAČUNARA 2011" listi za onemogućavanje bezbednog pokretanja (DBX) da bismo osporili sve upravljače pokretanja koje je potpisao ovaj certifikat. Ovo je pouzdaniji metod za obezbeđivanje da su svi prethodni menadžeri pokretanja nepouzdani.
Ispravke za Windows objavljene 9. aprila 2024. ili posle toga, dodajte sledeće:
-
Tri nove kontrole za umanjivanje koje zamenjuju umanjivanja objavljena 2023. godine. Nove kontrole za umanjivanje su:
-
Kontrola za primenu certifikata "Windows UEFI CA 2023" na bazu podataka za bezbedno pokretanje radi dodavanja poverenja upravljačima windows pokretanja koje je potpisao ovaj certifikat. Imajte na umu da je starija windows ispravka možda instalirala certifikat "Windows UEFI CA 2023".
-
Kontrola za primenu upravljača pokretanja certifikatom "Windows UEFI CA 2023".
-
Kontrola za dodavanje "Windows produkcijskog RAČUNARAA 2011" u DBX bezbednog pokretanja, što će blokirati sve upravljače za pokretanje operativnog sistema Windows koje je potpisao ovaj certifikat.
-
-
Mogućnost da omogućite primenu umanjivanja u fazama nezavisno da biste omogućili veću kontrolu u primeni umanjivanja u okruženju na osnovu vaših potreba.
-
Umanjivanja su zamenjena tako da ne mogu da se primene neispravnim redosledom.
-
Dodatni događaji koji znaju status uređaja dok primenjuju umanjivanja. Pogledajte KB5016061: Bezbedno pokretanje baze podataka i događaji promenljivih DBX promenljivih za više detalja o događajima.
Ova faza je kada podstičemo klijente da počnu da primenjuju umanjivanja i upravljaju svim ispravkama medija. Ispravke uključuju sledeću promenu:
-
Dodata je podrška za broj bezbedne verzije (SVN) i podešavanje ažuriranog SVN-a u firmveru.
Sledi prikaz strukture koraka za primenu u preduzeću.
Napomena Dodatna uputstva za dobijanje uz kasnije ispravke ovog članka.
-
Primenite prvo umanjivanje na sve uređaje u preduzeću ili kontrolisanu grupu uređaja u preduzeću. To obuhvata:
-
Davanje saglasnosti za prvo umanjivanje koje dodaje certifikat potpisa "Windows UEFI CA 2023" firmveru uređaja.
-
Nadgledanje da su uređaji uspešno dodali certifikat potpisa "Windows UEFI CA 2023".
-
-
Primenite drugo umanjivanje koje primenjuje ažurirani upravljač pokretanja na uređaj.
-
Ažurirajte sve medije koji se mogu oporaviti ili koji se mogu pokrenuti sa ovim uređajima.
-
Primenite treće ublažavanje koje omogućava opozvanje certifikata "Windows Production CA 2011" tako što ćete ga dodati u DBX u firmveru.
-
Primenite četvrto umanjivanje koje ažurira broj bezbedne verzije (SVN) u firmver.
Faza sprovođenja biće najmanje šest meseci posle faze primene. Kada se objave ispravke za fazu sprovođenja, one uključuju sledeće:
-
Certifikat "Windows Production PCA 2011" će automatski biti opozvan tako što će biti dodat na listu zabranjenih UEFI-a za bezbedno pokretanje (DBX) na omogućenim uređajima. Ove ispravke će se programski nametnuti nakon instaliranja ispravki za Windows svim sistemima na koje ovo utiče i kojima nije omogućena opcija za onemogućavanje.
Greške u Windows evidenciji događaja povezane sa CVE-2023-24932
Stavke Windows evidencije događaja povezane sa ažuriranjem DB i DBX-a detaljno su opisane u članku KB5016061: Događaji ažuriranja promenljivih za bezbedno pokretanje DBX i DBX promenljivih.
Događaji "uspeh" povezani sa primenom umanjivanja navedeni su u sledećoj tabeli.
Korak umanjivanja |
ID događaja |
Beleške |
Primena ispravke za DB |
1036 |
Certifikat PCA2023 dodat u DB. |
Ažuriranje upravljača za pokretanje |
1799 |
Primenjen PCA2023 potpisanog upravljača pokretanja. |
Primena DBX ispravke |
1037 |
Primenjena je DBX ispravka koja ne PCA2011 certifikat potpisa. |
Najčešća pitanja (najčešća pitanja)
-
Pogledajte odeljak "Procedura oporavka" da biste oporavili uređaj.
-
Pratite uputstva u odeljku Rešavanje problema pri pokretanju .
Ažurirajte sve operativne sisteme Windows ispravkama objavljenim 9. jula 2024. ili posle 9. jula 2024. pre nego što primenite opo pozivanja. Možda nećete moći da pokrenete nijednu verziju operativnog sistema Windows koja nije ažurirana na najmanje ispravke objavljene 9. jula 2024. nakon što primenite opo pozivanja. Pratite uputstva u odeljku Rešavanje problema pri pokretanju .
Pogledajte odeljak Rešavanje problema pri pokretanju .
Rešavanje problema sa pokretanjem
Nakon što su primenjena sva tri umanjivanja, firmver uređaja se neće pokrenuti pomoću upravljača pokretanja koji je potpisao Windows Produktivni PCA 2011. Greške pri pokretanju koje je prijavio firmver su specifične za uređaj. Pogledajte odeljak "Postupak oporavka ".
Procedura oporavka
Ako nešto nije u redu prilikom primene umanjivanja i ne možete da pokrenete uređaj ili treba da krenete od spoljnih medija (kao što je fleš disk ili PXE pokretanje), isprobajte sledeće predloge:
-
Isključivanje bezbednog pokretanja.odeljku Onemogućavanje bezbednog pokretanja.
Ova procedura se razlikuje od proizvođača uređaja i modela. Unesite uređaje UEFI BIOS meni i pomerite se do postavki bezbednog pokretanja i isključite ga. Pogledajte dokumentaciju proizvođača uređaja da biste saznali detalje o ovom procesu. Više detalja možete pronaći u -
Uspostavljanje fabričkih podrazumevanih vrednosti ključeva bezbednog pokretanja.
Ako uređaj podržava uspostavljanje fabričkih vrednosti ključeva za bezbedno pokretanje na fabričke vrednosti, odmah izvršite ovu radnju.
NOTA Neki proizvođači uređaja imaju opciju "Obriši" i opciju "Uspostavi početne vrednosti" za promenljive bezbednog pokretanja, u kom slučaju bi trebalo koristiti opciju "Uspostavljanje početnih vrednosti". Cilj je da se promenljive bezbednog pokretanja vraćaju na podrazumevane vrednosti proizvođača.
Uređaj bi trebalo da počne odmah, ali imajte na umu da je on ranjiv na malver koji se koristi za pokretanje sistema. Obavezno dovršite 5. korak ovog procesa oporavka da biste ponovo omogućili bezbedno pokretanje.
-
Pokušajte da pokrenete Windows sa sistemskog diska.
-
Prijavite se u Windows.
-
Pokrenite sledeće komande sa komandne linije administratora da biste vratili datoteke za pokretanje u particiji za pokretanje sistema EFI. Otkucajte svaku komandu zasebno, a zatim pritisnite taster Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Pokretanje BCDBoot daje "Datoteke za pokretanje su uspešno kreirane". Kada se ova poruka prikaže, ponovo pokrenite uređaj u operativnom sistemu Windows.
-
-
Ako 3. korak ne oporavi uređaj uspešno, ponovo instalirajte Windows.
-
Pokrenite uređaj iz postojećeg medijuma za oporavak.
-
Nastavite sa instalacijom operativnog sistema Windows pomoću medijuma za oporavak.
-
Prijavite se u Windows.
-
Ponovo pokrenite Windows da biste potvrdili da se uređaj pokreće nazad na Windows.
-
-
Ponovo omogućite bezbedno pokretanje i ponovo pokrenite uređaj.
Unesite UEFI meni uređaja i idite na postavke bezbednog pokretanja i uključite ga. Pogledajte dokumentaciju proizvođača uređaja da biste saznali detalje o ovom procesu. Više informacija možete pronaći u odeljku "Ponovno omogućavanje bezbednog pokretanja".
Reference
-
Uputstvo za istraživanje napada koji koriste CVE-2022-21894: BlackLotus kampanja
-
Događaje koji se generišu prilikom primene DBX ispravki potražite u članku KB5016061: Adresiranje ranjivih i opozvanih menadžera pokretanja.
Proizvodi nezavisnih proizvođača o kojima se govori u ovom članku proizvode kompanije koje su nezavisne od korporacije Microsoft. Ne pružamo nikakvu garanciju, podrazumevanu ni bilo koju drugi, u vezi sa performansama ili pouzdanošću ovih proizvoda.
Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.
Datum promene |
Opis promene |
9. jul 2024. |
|
9. april 2024. |
|
16. decembar 2023. |
|
15. maj 2023. |
|
11. maj 2023. |
|
10. maj 2023. |
|
9. maj 2023. |
|
27. jun 2023. |
|
11. jul 2023. |
|
25. avgust 2023. |
|