ÖNEMLİ Normal aylık güncelleştirme sürecinizin bir parçası olarak 9 Temmuz 2024 veya sonrasında yayımlanan Windows güvenlik güncelleştirmesini uygulamanız gerekir.
Bu makale, BlackLotus UEFI bootkit tarafından yararlanılan genel olarak açıklanmış bir Güvenli Önyükleme atlamasının risk azaltmalarını değerlendirmeye başlaması gereken kuruluşlar için geçerlidir. Buna ek olarak, proaktif bir güvenlik duruşu almak veya dağıtıma hazırlanmaya başlamak isteyebilirsiniz. Bu kötü amaçlı yazılımın cihaza fiziksel veya yönetici erişimi gerektirdiğini unutmayın.
DİKKAT Bu sorunun hafifletilmesi bir cihazda etkinleştirildikten sonra , yani azaltmalar uygulandı, bu cihazda Güvenli Önyükleme kullanmaya devam ederseniz geri alınamaz. Diskin yeniden biçimlendirilmesi bile, zaten uygulanmış olan iptalleri kaldırmaz. Bu makalede açıklanan iptalleri cihazınıza uygulamadan önce lütfen tüm olası etkilerin farkında olun ve kapsamlı bir şekilde test edin.
Bu makalede
Özet
Bu makalede CVE-2023-24932 tarafından izlenen BlackLotus UEFI önyükleme setini kullanan genel olarak açıklanan Güvenli Önyükleme güvenlik özelliği atlamasına karşı koruma, risk azaltmaların nasıl etkinleştirileceği ve önyüklenebilir medyayla ilgili yönergeler açıklanmaktadır. Bootkit, işletim sistemi başlatmasını denetlemek için bir cihaz önyükleme dizisinde mümkün olduğunca erken yüklenmek üzere tasarlanmış kötü amaçlı bir programdır.
Güvenli Önyükleme , Birleşik Genişletilebilir Bellenim Arabirimi'nden (UEFI) Windows çekirdeği Güvenilen Önyükleme dizisi aracılığıyla güvenli ve güvenilir bir yol oluşturmak için Microsoft tarafından önerilir. Güvenli Önyükleme, önyükleme sırasında bootkit kötü amaçlı yazılımlarının önlenmesine yardımcı olur. Güvenli Önyükleme'nin devre dışı bırakılması, bir cihazın bootkit kötü amaçlı yazılımdan etkilenme riskiyle karşı karşıya bırakır. CVE-2023-24932'de açıklanan Güvenli Önyükleme atlamasının düzeltilmesi için önyükleme yöneticilerinin iptali gerekir. Bu, bazı cihaz önyükleme yapılandırmalarında sorunlara neden olabilir.
CVE-2023-24932'de ayrıntılı olarak açıklanan Güvenli Önyükleme atlamalarına karşı azaltmalar, 9 Temmuz 2024 veya sonrasında yayımlanan Windows güvenlik güncelleştirmelerine dahildir. Ancak, bu azaltmalar varsayılan olarak etkin değildir. Bu güncelleştirmelerle, ortamınızda bu değişiklikleri değerlendirmeye başlamanızı öneririz. Zamanlamanın tamamı güncelleştirmelerin zamanlaması bölümünde açıklanmıştır.
Bu azaltmaları etkinleştirmeden önce, bu makaledeki ayrıntıları ayrıntılı bir şekilde gözden geçirmeli ve azaltmaları etkinleştirmeniz mi yoksa Microsoft'tan gelecek bir güncelleştirmeyi mi beklemeniz gerektiğini belirlemeniz gerekir. Risk azaltmaları etkinleştirmeyi seçerseniz, cihazlarınızın güncelleştirildiğini ve hazır olduğunu doğrulamanız ve bu makalede açıklanan riskleri anlamanız gerekir.
Eyleme Geç
Bu sürüm için aşağıdaki adımlar izlenmelidir: 1. Adım: 9 Temmuz 2024 veya sonrasında yayımlanan Windows güvenlik güncelleştirmesini desteklenen tüm sürümlere yükleyin. 2. Adım: Değişiklikleri ve bunların ortamınızı nasıl etkilediğini değerlendirin. |
Etki Kapsamı
Güvenli Önyükleme korumaları etkinleştirilmiş tüm Windows cihazları BlackLotus bootkit'inden etkilenir. Windows'un desteklenen sürümleri için azaltmalar sağlanır. Tam liste için bkz. CVE-2023-24932.
Riskleri anlama
Kötü Amaçlı Yazılım Riski: Bu makalede açıklanan BlackLotus UEFI bootkit açığından yararlanılabilmesi için saldırganın bir cihazda yönetici ayrıcalıkları kazanması veya cihaza fiziksel erişim sağlaması gerekir. Bu, vm'lere/buluta erişmek için hiper yönetici kullanmak gibi cihaza fiziksel veya uzaktan erişerek yapılabilir. Saldırgan, zaten erişebileceği ve muhtemelen işleyebilecekleri bir cihazı denetlemeye devam etmek için bu güvenlik açığını yaygın olarak kullanır. Bu makaledeki risk azaltmalar önleyicidir ve düzeltici değildir. Cihazınızın güvenliği zaten tehlikeye girmişse yardım için güvenlik sağlayıcınıza başvurun.
Kurtarma Medyası: Risk azaltmaları uyguladıktan sonra cihazla ilgili bir sorunla karşılaşırsanız ve cihaz önyükleme yapılamaz hale gelirse, cihazınızı mevcut medyadan başlatamayabilir veya kurtaramayabilirsiniz. Kurtarma veya yükleme medyasının, risk azaltmaları uygulanmış bir cihazla çalışması için güncelleştirilmesi gerekir.
Üretici Yazılımı Sorunları: Windows bu makalede açıklanan azaltmaları uyguladığında, Güvenli Önyükleme değerlerini güncelleştirmek için cihazın UEFI üretici yazılımını kullanmalıdır (güncelleştirmeler Veritabanı Anahtarına (DB) ve Yasak İmza Anahtarı'na (DBX) uygulanır). Bazı durumlarda, güncelleştirmeleri başarısız olan cihazlarla ilgili deneyimimiz vardır. Bu önemli güncelleştirmeleri mümkün olduğunca çok cihazda test etmek için cihaz üreticileriyle birlikte çalışıyoruz.
NOT Olası üretici yazılımı sorunlarını algılamak için lütfen bu risk azaltmaları ortamınızdaki cihaz sınıfı başına tek bir cihazda test edin. Ortamınızdaki tüm cihaz sınıflarının değerlendirildiğini onaylamadan önce geniş kapsamlı dağıtım yapmayın.
BitLocker Kurtarma: Bazı cihazlar BitLocker kurtarmasına gidebilir. Risk azaltmaları etkinleştirmeden önce BitLocker kurtarma anahtarınızın bir kopyasını koruduğunuzdan emin olun.
Bilinen Sorunlar
Üretici Yazılımı Sorunları:Tüm cihaz üretici yazılımları Güvenli Önyükleme DB'sini veya DBX'i başarıyla güncelleştirmez. Farkında olduğumuz durumlarda, sorunu cihaz üreticisine bildirdik. Günlüğe kaydedilen olaylarla ilgili ayrıntılar için bkz . KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları. Üretici yazılımı güncelleştirmeleri için lütfen cihaz üreticisine başvurun. Cihaz desteklenmiyorsa, Microsoft cihazı yükseltmenizi önerir.
Bilinen üretici yazılımı sorunları:
NOT Aşağıdaki bilinen sorunların hiçbir etkisi yoktur ve 9 Temmuz 2024 güncelleştirmelerinin yüklenmesini engellemez. Çoğu durumda, bilinen sorunların mevcut olduğu durumlarda risk azaltmalar uygulanmaz. Bilinen her sorunun ayrıntılarına bakın.
-
HP: HP, HP Z4G4 İş İstasyonu bilgisayarlarında risk azaltma yüklemesiyle ilgili bir sorun belirledi ve önümüzdeki haftalarda güncelleştirilmiş bir Z4G4 UEFI üretici yazılımı (BIOS) yayınlayacak. Azaltmanın başarıyla yüklenmesini sağlamak için, güncelleştirme kullanılabilir olana kadar Masaüstü İş İstasyonlarında engellenir. Müşterilerin risk azaltmayı uygulamadan önce her zaman en son sistem BIOS'larına güncelleştirmeleri gerekir.
-
Güvenliği Kesin Başlat:'a sahip HP cihazları: Bu cihazların risk azaltmaları yüklemek için HP'nin en son üretici yazılımı güncelleştirmelerine ihtiyacı vardır. Üretici yazılımı güncelleştirilene kadar azaltmalar engellenir. HP'ler destek sayfasından en son üretici yazılımı güncelleştirmesini yükleme — Resmi HP Sürücüleri ve Yazılım İndirme | HP Desteği.
-
Arm64 tabanlı cihazlar: Qualcomm tabanlı cihazlarda bilinen UEFI üretici yazılımı sorunları nedeniyle risk azaltmalar engellenir. Microsoft, bu sorunu çözmek için Qualcomm ile birlikte çalışmaktadır. Qualcomm, bu düzeltmeyi cihaz üreticilerine sağlayacaktır. Bu soruna yönelik bir düzeltme olup olmadığını belirlemek için cihaz üreticinize başvurun. Microsoft, sabit üretici yazılımı algılandığında cihazlarda risk azaltmaların uygulanmasına izin vermek için algılama ekler. Arm64 tabanlı cihazınızda Qualcomm üretici yazılımı yoksa, azaltmaları etkinleştirmek için aşağıdaki kayıt defteri anahtarını yapılandırın.
Kayıt Defteri Alt Anahtarı
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Anahtar Değeri adı
SkipDeviceCheck
Veri tipi
REG_DWORD
Veri
1
-
Elma:Apple T2 Güvenlik Yongası olan Mac bilgisayarlar Güvenli Önyükleme'yi destekler. Ancak UEFI güvenliğiyle ilgili değişkenleri güncelleştirmek yalnızca macOS güncelleştirmelerinin bir parçası olarak kullanılabilir. Boot Camp kullanıcılarının bu değişkenlerle ilgili olarak Windows'ta Olay Kimliği 1795'in olay günlüğü girdisini görmesi beklenir. Bu günlük girdisi hakkında daha fazla bilgi için bkz. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.
-
VMware:VMware tabanlı sanallaştırma ortamlarında, Güvenli Önyükleme etkin x86 tabanlı işlemci kullanan bir VM, risk azaltmaları uygulandıktan sonra önyüklenmez. Microsoft, bu sorunu çözmek için VMware ile koordinedir.
-
TPM 2.0 tabanlı sistemler: Windows Server 2012 ve Windows Server 2012 R2 çalıştıran bu sistemler, TPM ölçümleriyle ilgili bilinen uyumluluk sorunları nedeniyle 9 Temmuz 2024 güvenlik güncelleştirmesinde yayımlanan risk azaltmaları dağıtamaz. 9 Temmuz 2024 güvenlik güncelleştirmeleri, etkilenen sistemlerde 2 . (önyükleme yöneticisi) ve #3 (DBX güncelleştirmesi) risk azaltmalarını engeller.tpm.msc yazın. Tpm Üretici Bilgileri'nin altındaki orta bölmenin sağ alt kısmında Belirtim Sürümü için bir değer görmeniz gerekir.
Microsoft sorunun farkındadır ve gelecekte TPM 2.0 tabanlı sistemlerin engellemesini kaldırmak için bir güncelleştirme yayımlanacaktır. TPM sürümünüzü denetlemek için Başlat'a sağ tıklayın, Çalıştır'a tıklayın ve -
Symantec Uç Nokta Şifrelemesi: Symantec Uç Nokta Şifrelemesi'ni yükleyen sistemlere Güvenli Önyükleme risk azaltmaları uygulanamaz. Microsoft ve Symantec sorunun farkındadır ve gelecek güncelleştirmede ele alınacaktır.
Bu sürüm için yönergeler
Bu sürüm için bu iki adımı izleyin.
1. Adım: Windows güvenlik güncelleştirmesini CVE-2023-24932 için risk azaltmaları içerir ancak varsayılan olarak etkinleştirilmez. Azaltmaları dağıtmayı planlayıp planlamasanız da tüm Windows cihazları bu adımı tamamlamalıdır.
yükleme Desteklenen Windows cihazlarına 9 Temmuz 2024 veya sonrasında yayımlanan Windows aylık güvenlik güncelleştirmesini yükleyin. Bu güncelleştirmeler2. Adım: Değişiklikleri
değerlendirme Aşağıdakileri yapmanızı öneririz:-
Güvenli Önyükleme DB'sini güncelleştirmeye ve önyükleme yöneticisini güncelleştirmeye izin veren ilk iki azaltmayı anlayın.
-
Güncelleştirilmiş zamanlamayı gözden geçirin.
-
Ortamınızdaki temsili cihazlara karşı ilk iki risk azaltmasını test edin.
-
Dağıtımı planlamaya başlayın.
3. Adım: Değişiklikleri zorunlu kılma
Riskleri Anlama bölümünde belirtilen riskleri anlamanızı öneririz.
-
Kurtarmanın ve diğer önyüklenebilir medyanın etkisini anlayın.
-
Önceki tüm Windows önyükleme yöneticileri için kullanılan imzalama sertifikasına güvenilmeyen üçüncü azaltmayı test edin.
Azaltma dağıtımı yönergeleri
Risk azaltmaları uygulamak için bu adımları izlemeden önce, desteklenen Windows cihazlarına 9 Temmuz 2024 veya sonrasında yayımlanan Windows aylık hizmet güncelleştirmesini yükleyin. Bu güncelleştirme CVE-2023-24932 için risk azaltmaları içerir ancak varsayılan olarak etkinleştirilmez. Risk azaltmayı etkinleştirme planınızdan bağımsız olarak tüm Windows cihazları bu adımı tamamlamalıdır.
NOT BitLocker kullanıyorsanız, BitLocker kurtarma anahtarınızın yedeklenmiş olduğundan emin olun. Yönetici komut isteminden aşağıdaki komutu çalıştırabilir ve 48 basamaklı sayısal parolayı not alabilirsiniz:
manage-bde -protectors -get %systemdrive%
Güncelleştirmeyi dağıtmak ve iptalleri uygulamak için şu adımları izleyin:
-
Güncelleştirilmiş sertifika tanımlarını DB'ye yükleyin.
Bu adım UEFI "Güvenli Önyükleme İmzaSı Veritabanı" (DB) öğesine "Windows UEFI CA 2023" sertifikasını ekler. Bu sertifikayı VERITABANıNA ekleyerek cihaz üretici yazılımı bu sertifika tarafından imzalanan önyükleme uygulamalarına güvenir.
-
Bir Yönetici komut istemi açın ve aşağıdaki komutu girerek regkey değerini db güncelleştirmesini gerçekleştirecek şekilde ayarlayın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
ÖNEMLİ 2. ve 3. Adımlara geçmeden önce güncelleştirmeyi yüklemeyi tamamlamak için cihazı iki kez yeniden başlattığınızdan emin olun.
-
Aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın ve DB'nin başarıyla güncelleştirildiğini doğrulayın. Bu komut True döndürmelidir.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Cihazınızda Önyükleme Yöneticisi'ni güncelleştirin.
Bu adım, cihazınıza "'Windows UEFI CA 2023" sertifikasıyla imzalanan bir önyükleme yöneticisi uygulaması yükler.
-
Yönetici komut istemini açın ve "'Windows UEFI CA 2023" imzalı önyükleme yöneticisini yüklemek için regkey'i ayarlayın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Cihazı iki kez yeniden başlatın.
-
Yönetici olarak, incelemeye hazır hale getirmek için EFI bölümünü bağlayın:
mountvol s: /s
-
"s:\efi\microsoft\boot\bootmgfw.efi" dosyasının "Windows UEFI CA 2023" sertifikası tarafından imzalandığını doğrulayın. Bunu yapmak için şu adımları izleyin:
-
Başlat'a tıklayın, Arama kutusuna komut istemi yazın ve ardından Komut İstemi'ne tıklayın.
-
Komut İstemi penceresinde aşağıdaki komutu yazın ve Enter tuşuna basın:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Dosya Yöneticisi'nde C:\bootmgfw_2023.efi dosyasına sağ tıklayın, Özellikler'e tıklayın ve dijital imzalar sekmesini seçin.
-
İmza listesinde, sertifika zincirinin Windows UEFI CA 2023 içerdiğini onaylayın. Sertifika zinciri aşağıdaki ekran görüntüsüyle eşleşmelidir:
-
-
-
İptali etkinleştirin.
UEFI Yasak Listesi (DBX), güvenilmeyen UEFI modüllerinin yüklenmesini engellemek için kullanılır. Bu adımda DBX güncelleştirilirken DBX'e "Windows Production CA 2011" sertifikası eklenir. Bu, bu sertifika tarafından imzalanan tüm önyükleme yöneticilerinin artık güvenilir olmamasına neden olur.
UYARI: Üçüncü risk azaltmayı uygulamadan önce, sistemi önyüklemek için kullanılabilecek bir kurtarma flash sürücüsü oluşturun. Bunun nasıl yapılacağını öğrenmek için Windows yükleme medyasını güncelleştirme bölümüne bakın.
Sisteminiz önyüklenemez bir duruma geçerse, cihazı iptal öncesi durumuna sıfırlamak için Kurtarma yordamı bölümündeki adımları izleyin.
-
"Windows Production PCA 2011" sertifikasını Güvenli Önyükleme UEFI Yasak Listesi'ne (DBX) ekleyin. Bunu yapmak için, Yönetici olarak bir Komut İstemi penceresi açın, aşağıdaki komutu yazın ve Enter tuşuna basın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Cihazı iki kez yeniden başlatın ve tamamen yeniden başlatıldığını onaylayın.
-
Olay günlüğünde olay 1037'yi arayarak yükleme ve iptal listesinin başarıyla uygulandığını doğrulayın.. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları. Veya aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın ve Doğru döndürdüğünden emin olun:
Olay 1037 hakkında bilgi için bkz[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
-
SVN güncelleştirmesini üretici yazılımına uygulayın.
2. Adımda dağıtılan Önyükleme Yöneticisi'nin yerleşik olarak yeni bir kendi kendine iptal özelliği vardır. Önyükleme Yöneticisi çalışmaya başladığında, üretici yazılımında depolanan Güvenli Sürüm Numarası'nı (SVN) Önyükleme Yöneticisi'nde yerleşik olarak bulunan SVN ile karşılaştırarak kendi kendine denetim gerçekleştirir. Önyükleme Yöneticisi SVN'sinin üretici yazılımında depolanan SVN'den düşük olması durumunda Önyükleme Yöneticisi çalıştırmayı reddeder. Bu özellik, saldırganın Önyükleme Yöneticisi'ni eski, güncelleştirilmeyen bir sürüme geri döndürmesini engeller. Gelecekteki güncelleştirmelerde, Önyükleme Yöneticisi'nde önemli bir güvenlik sorunu düzeltildiğinde, SVN numarası hem Önyükleme Yöneticisi'nde hem de üretici yazılımı güncelleştirmesinde artırılacaktır. Düzeltme eki yapılan cihazların korunduğundan emin olmak için her iki güncelleştirme de aynı toplu güncelleştirmede yayımlanacaktır. SVN her güncelleştirildiğinde önyüklenebilir medyaların güncelleştirilmiş olması gerekir. 9 Temmuz 2024 güncelleştirmeleri ile başlayarak, SVN Önyükleme Yöneticisi'nde ve üretici yazılımı güncelleştirmesinde artırılıyor. Üretici yazılımı güncelleştirmesi isteğe bağlıdır ve aşağıdaki adımları izleyerek uygulanabilir:-
Bir Yönetici komut istemi açın ve "'Windows UEFI CA 2023" imzalı önyükleme yöneticisini yüklemek için aşağıdaki komutu çalıştırın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Cihazı iki kez yeniden başlatın.
-
Önyüklenebilir medya
Ortamınızda Dağıtım Aşaması başladıktan sonra önyüklenebilir medyayı güncelleştirmeniz önemlidir.
Önyüklenebilir medyayı güncelleştirme yönergeleri bu makalenin gelecekteki güncelleştirmeleriyle birlikte sunulacaktır. Bir cihazı kurtarmak için usb başparmak sürücüsü oluşturmak için sonraki bölüme bakın.
Windows yükleme medyası güncelleştiriliyor
NOT Önyüklenebilir bir USB başparmak sürücüsü oluştururken FAT32 dosya sistemini kullanarak sürücüyü biçimlendirdiğinizden emin olun.
Bu adımları izleyerek Kurtarma Sürücüsü Oluştur uygulamasını kullanabilirsiniz. Bu medya, donanım hatası gibi önemli bir sorun olması durumunda bir cihazı yeniden yüklemek için kullanılabilir. Windows'un yeniden yüklenmesi için kurtarma sürücüsünü kullanabilirsiniz.
-
9 Temmuz 2024 güncelleştirmelerinin ve ilk risk azaltma adımının (Güvenli Önyükleme DB'yi güncelleştirme) uygulandığı bir cihaza gidin.
-
Başlat menüsünden "Kurtarma Sürücüsü Oluştur" denetim masası uygulaması için arama yapın ve bir kurtarma sürücüsü oluşturmak için yönergeleri izleyin.
-
Yeni oluşturulan flash sürücü takılı olduğundan (örneğin, "D:" sürücüsü olarak), yönetici olarak aşağıdaki komutları çalıştırın. Aşağıdaki komutların her birini yazın ve Enter tuşuna basın:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ortamınızdaki yüklenebilir medyayı Windows yükleme medyasını Dinamik Güncelleştirme ile güncelleştirme yönergelerini kullanarak yönetiyorsanız, aşağıdaki adımları izleyin. Bu ek adımlar, "Windows UEFI CA 2023" imzalama sertifikası tarafından imzalanan önyükleme dosyalarını kullanan önyüklenebilir bir flash sürücü oluşturur.
-
9 Temmuz 2024 güncelleştirmelerinin ve ilk risk azaltma adımının (Güvenli Önyükleme DB'yi güncelleştirme) uygulandığı bir cihaza gidin.
-
9 Temmuz 2024 güncelleştirmeleriyle medya oluşturmak için aşağıdaki bağlantıdaki adımları izleyin. Dinamik Güncelleştirme ile Windows yükleme medyası güncelleştirme
-
Medyanın içeriğini bir USB başparmak sürücüsüne yerleştirin ve başparmak sürücüsünü sürücü harfi olarak bağlayın. Örneğin, başparmak sürücüsünü "D:" olarak bağlayın.
-
Bir komut penceresinden aşağıdaki komutları yönetici olarak çalıştırın. Aşağıdaki komutların her birini yazın ve Enter tuşuna basın.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Bir cihazda, risk azaltmaları uygulandıktan sonra Güvenli Önyükleme ayarları varsayılanlara sıfırlanırsa cihaz önyüklemez. Bu sorunu çözmek için, "Windows UEFI CA 2023" sertifikasını DB'ye yeniden uygulamak için kullanılabilecek bir onarım uygulaması 9 Temmuz 2024 güncelleştirmelerine dahil edilir (azaltma #1).
NOT Bu onarım uygulamasını Bilinen Sorunlar bölümünde açıklanan bir cihazda veya sistemde kullanmayın.
-
9 Temmuz 2024 güncelleştirmelerinin uygulandığı bir cihaza gidin.
-
Komut penceresinde, aşağıdaki komutları kullanarak kurtarma uygulamasını flash sürücüye kopyalayın (flash sürücünün "D:" sürücüsü olduğu varsayılır). Her komutu ayrı olarak yazıp Enter tuşuna basın:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Güvenli Önyükleme ayarlarının varsayılanlara sıfırlanması gereken cihazda flash sürücüyü takın, cihazı yeniden başlatın ve flash sürücüden önyükleme yapın.
Güncelleştirmelerin zamanlaması
Güncelleştirmeler aşağıdaki gibi yayınlanmıştır:
-
İlk Dağıtım Bu aşama, 9 Mayıs 2023'te yayınlanan güncelleştirmelerle başladı ve bu azaltmaları etkinleştirmek için el ile gerçekleştirilen adımlarla temel azaltmalar sağladı.
-
İkinci Dağıtım Bu aşama, 11 Temmuz 2023'te yayımlanan güncelleştirmelerle başladı ve bu güncelleştirmeler, soruna yönelik azaltmaları etkinleştirmek için basitleştirilmiş adımlar ekledi.
-
Değerlendirme Aşaması Bu aşama 9 Nisan 2024'e başlayacak ve ek önyükleme yöneticisi risk azaltmaları ekleyecektir.
-
Dağıtım Aşaması Bu noktada tüm müşterileri risk azaltmaları dağıtmaya ve medyayı güncelleştirmeye başlamaya teşvik edeceğiz.
-
Zorlama Aşaması Azaltmaları kalıcı hale getiren Zorlama Aşaması. Bu aşamanın tarihi sonraki bir tarihte duyurulacaktır.
Not Sürüm zamanlaması gerektiği gibi düzeltilebilir.
Bu aşama, 9 Nisan 2024 veya sonrasındaki Windows güvenlik güncelleştirmeleri sürümü tarafından değiştirildi.
Bu aşama, 9 Nisan 2024 veya sonrasındaki Windows güvenlik güncelleştirmeleri sürümü tarafından değiştirildi.
Bu aşamada, değişikliklerin temsili örnek cihazlarla doğru çalıştığından emin olmak ve değişikliklerle ilgili deneyim elde etmek için bu değişiklikleri ortamınızda test etmenizi istiyoruz.
NOT Önceki dağıtım aşamalarında yaptığımız gibi, güvenlik açığı olan önyükleme yöneticilerini kapsamlı bir şekilde listelemeye ve güvenilmez duruma getirmeye çalışmak yerine, bu sertifika tarafından imzalanan tüm önyükleme yöneticilerine güvenmemek için Güvenli Önyükleme İzin Verme Listesi'ne (DBX) "Windows Üretim PCA 2011" imzalama sertifikasını ekliyoruz. Bu, önceki tüm önyükleme yöneticilerinin güvenilmeyen olduğundan emin olmak için daha güvenilir bir yöntemdir.
9 Nisan 2024 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri aşağıdakileri ekleyin:
-
2023'te yayımlanan azaltmaların yerini alan üç yeni azaltma denetimi. Yeni risk azaltma denetimleri şunlardır:
-
Bu sertifika tarafından imzalanan Windows önyükleme yöneticilerine güven eklemek için "Windows UEFI CA 2023" sertifikasını Güvenli Önyükleme VERITABANıNA dağıtma denetimi. "Windows UEFI CA 2023" sertifikasının önceki bir Windows güncelleştirmesi tarafından yüklenmiş olabileceğini unutmayın.
-
"Windows UEFI CA 2023" sertifikası tarafından imzalanan bir önyükleme yöneticisini dağıtma denetimi.
-
Güvenli Önyükleme DBX'e "Windows Üretim PCA 2011" ekleme denetimi, bu sertifika tarafından imzalanan tüm Windows önyükleme yöneticilerini engeller.
-
-
Azaltmaları ortamınızda ihtiyaçlarınıza göre dağıtma konusunda daha fazla denetime olanak tanımak için aşamalı olarak azaltma dağıtımını etkinleştirme olanağı.
-
Azaltmalar birbirine kilitlenir, böylece yanlış sırada dağıtılamazlar.
-
Azaltmaları uygularken cihazların durumunu bilmek için ek olaylar. Olaylar hakkında daha fazla bilgi için bkz. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.
Bu aşama, müşterilerin azaltmaları dağıtmaya ve medya güncelleştirmelerini yönetmeye başlamasını teşvik ettiğimiz aşamadır. Güncelleştirmeler aşağıdaki değişikliği içerir:
-
Güvenli Sürüm Numarası (SVN) desteği eklendi ve üretici yazılımında güncelleştirilmiş SVN ayarlandı.
Aşağıda, Bir Kuruluşta dağıtma adımlarının ana hattı yer almaktadır.
Not Bu makalenin sonraki güncelleştirmeleriyle birlikte gelecek ek yönergeler.
-
İlk risk azaltmayı Kurumsal'daki tüm cihazlara veya Kurumsal'daki yönetilen bir cihaz grubuna dağıtın. Buna aşağıdakiler dahildir:
-
Cihaz üretici yazılımına "Windows UEFI CA 2023" imzalama sertifikasını ekleyen ilk azaltmayı kabul etme.
-
Cihazların "Windows UEFI CA 2023" imzalama sertifikasını başarıyla eklediğini izleme.
-
-
Güncelleştirilmiş önyükleme yöneticisini cihaza uygulayan ikinci azaltmayı dağıtın.
-
Bu cihazlarla kullanılan kurtarma veya dış önyüklenebilir medyaları güncelleştirin.
-
"Windows Üretim CA 2011" sertifikasının üretici yazılımındaki DBX'e ekleyerek iptalini sağlayan üçüncü azaltmayı dağıtın.
-
Güvenli Sürüm Numarası'nı (SVN) üretici yazılımına güncelleştiren dördüncü azaltmayı dağıtın.
Zorlama Aşaması, Dağıtım Aşamasından en az altı ay sonra olacaktır. Güncelleştirmeler Zorlama Aşaması için yayımlandığında aşağıdakileri içerir:
-
"Windows Production PCA 2011" sertifikası, uyumlu cihazlarda Güvenli Önyükleme UEFI Yasak Listesi'ne (DBX) eklenerek otomatik olarak iptal edilir. Bu güncelleştirmeler, Windows güncelleştirmeleri devre dışı bırakılmadan etkilenen tüm sistemlere yüklendikten sonra program aracılığıyla uygulanır.
CVE-2023-24932 ile ilgili Windows Olay günlüğü hataları
DB ve DBX'i güncelleştirmeyle ilgili Windows Olay günlüğü girişleri KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları bölümünde ayrıntılı olarak açıklanmıştır.
Risk azaltmaları uygulamayla ilgili "başarılı" olaylar aşağıdaki tabloda listelenmiştir.
Azaltma Adımı |
Olay Kimliği |
Notlar |
VERITABANı güncelleştirmesini uygulama |
1036 |
PCA2023 sertifikası db'ye eklendi. |
Önyükleme yöneticisini güncelleştirme |
1799 |
İmzalı PCA2023 önyükleme yöneticisi uygulandı. |
DBX güncelleştirmesini uygulama |
1037 |
PCA2011 imzalama sertifikasına güvenilmeyen DBX güncelleştirmesi uygulandı. |
Sık Sorulan Sorular (SSS)
-
Cihazı kurtarmak için Kurtarma Yordamı bölümüne bakın.
-
Önyükleme Sorunlarını Giderme bölümündeki yönergeleri izleyin.
İptalleri uygulamadan önce 9 Temmuz 2024 veya sonrasında yayımlanan güncelleştirmelerle tüm Windows işletim sistemlerini güncelleştirin. İptalleri uyguladıktan sonra 9 Temmuz 2024'te yayımlanan en az güncelleştirmelere güncelleştirilmemiş windows sürümlerini başlatamayabilirsiniz. Önyükleme Sorunlarını Giderme bölümündeki yönergeleri izleyin.
Önyükleme sorunlarını giderme bölümüne bakın.
Önyükleme sorunlarını giderme
Üç azaltma da uygulandıktan sonra cihaz üretici yazılımı, Windows Production PCA 2011 tarafından imzalanan bir önyükleme yöneticisi kullanılarak önyükleme yapılmaz. Üretici yazılımı tarafından bildirilen önyükleme hataları cihaza özeldir. Lütfen Kurtarma yordamı bölümüne bakın.
Kurtarma yordamı
Risk azaltmaları uygularken bir sorun olursa ve cihazınızı başlatamıyorsanız veya dış medyadan (başparmak sürücüsü veya PXE önyüklemesi gibi) başlamanız gerekiyorsa aşağıdaki önerileri deneyin:
-
Güvenli Önyükleme'i kapatın.bkz. Güvenli Önyüklemeyi Devre Dışı Bırakma.
Bu yordam, cihaz üreticileri ve modelleri arasında farklılık gösterir. Cihazlarınız UEFI BIOS menüsüne girin ve Güvenli Önyükleme ayarlarına gidin ve kapatın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Daha ayrıntılı bilgi için -
Güvenli Önyükleme anahtarlarını fabrika varsayılanlarına sıfırlayın.
Cihaz güvenli önyükleme anahtarlarını fabrika varsayılanlarına sıfırlamayı destekliyorsa, bu eylemi şimdi gerçekleştirin.
NOT Bazı cihaz üreticileri, Güvenli Önyükleme değişkenleri için hem "Temizle" hem de "Sıfırla" seçeneğine sahiptir ve bu durumda "Sıfırla" kullanılmalıdır. Amaç, Güvenli Önyükleme değişkenlerini üreticilerin varsayılan değerlerine geri döndürmektir.
Cihazınız şimdi başlatılmalıdır ancak önyükleme seti kötü amaçlı yazılımlarına karşı savunmasız olduğunu unutmayın. Güvenli Önyükleme'yi yeniden etkinleştirmek için bu kurtarma işleminin 5. adımını tamamladığınızdan emin olun.
-
Windows'ı sistem diskinden başlatmayı deneyin.
-
Windows'ta oturum açma.
-
EFI sistem önyükleme bölümündeki önyükleme dosyalarını geri yüklemek için bir Yönetici komut isteminden aşağıdaki komutları çalıştırın. Her komutu ayrı olarak yazıp Enter tuşuna basın:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
BCDBoot çalıştırılırken "Önyükleme dosyaları başarıyla oluşturuldu" döndürür. Bu ileti görüntülendikten sonra cihazı Windows'a geri başlatın.
-
-
3. Adım cihazı başarıyla kurtarmazsa Windows'ı yeniden yükleyin.
-
Cihazı mevcut kurtarma medyasından başlatın.
-
Kurtarma medyasını kullanarak Windows'u yüklemeye devam edin.
-
Windows'ta oturum açma.
-
Cihazın Windows'a geri döndüğünü doğrulamak için Windows'ı yeniden başlatın.
-
-
Güvenli Önyükleme'yi yeniden etkinleştirin ve cihazı yeniden başlatın.
Cihaz UEFI menüsünü girin ve Güvenli Önyükleme ayarlarına gidin ve açın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Daha fazla bilgi için "Güvenli Önyüklemeyi Yeniden Etkinleştir" bölümüne bakın.
Başvurular
-
CVE-2022-21894 kullanarak saldırıları araştırma kılavuzu: BlackLotus kampanyası
-
Kayıtlı Windows cihazlarında Güvenli Önyüklemeyi etkinleştirme
-
DBX güncelleştirmeleri uygulanırken oluşturulan olaylar için bkz. KB5016061: Güvenlik açığı olan ve iptal edilen Önyükleme Yöneticilerini ele alma.
Bu makalede belirtilen üçüncü taraf ürünler, Microsoft’tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliği hakkında zımni veya başka bir şekilde hiçbir garanti vermeyeceğiz.
Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.
Değişiklik tarihi |
Değişikliğin açıklaması |
9 Temmuz 2024 |
|
9 Nisan 2024 |
|
16 Aralık 2023, Cumartesi |
|
15 Mayıs 2023, Mayıs 2023, Mayıs 2023, Mayıs 2023, Mayıs |
|
11 Mayıs 2023, Mayıs 2023, Mayıs 2023, Mayıs 2023, Saat |
|
10 Mayıs 2023, Mayıs 2023 |
|
9 Mayıs 2023, Mayıs 2023 |
|
27 Haziran 2023, Ağustos 2023, Temmuz 2023, Temmuz 2023, Temmuz |
|
11 Temmuz 2023 |
|
25 Ağustos 2023, Ağustos 2023 |
|