ВАЖЛИВИЙ Слід застосувати оновлення системи безпеки Windows, випущене 9 липня 2024 р. або пізніше, в рамках регулярного щомісячного оновлення.
Ця стаття стосується організацій, які повинні почати оцінювати пом'якшення для публічно розкритого обходу безпечного завантаження, що використовується bootkit BlackLotus UEFI. Крім того, ви можете зайняти проактивну позицію безпеки або почати підготовку до розгортання. Зверніть увагу, що для цього зловмисного програмного забезпечення потрібен фізичний або адміністративний доступ до пристрою.
ОБЕРЕЖНІСТЬ Після того, як засіб усунення цієї проблеми увімкнуто на пристрої, тобто застосовано послаблення ризиків, його не можна повернути, якщо ви продовжуєте використовувати безпечне завантаження на цьому пристрої. Навіть переформатування диска не видалить відкликання, якщо вони вже застосовані. Перш ніж застосовувати до пристрою відкликання, описані в цій статті, ретельно перевірте всі можливі наслідки та ретельно випробуйте їх.
У цій статті
Зведення
У цій статті описано захист від загальнодоступного обходу функції безпеки безпечного завантаження, який використовує bootkit BlackLotus UEFI, відстежений CVE-2023-24932, як увімкнути засоби захисту та вказівки щодо завантажувальних носіїв. Bootkit – це зловмисна програма, яка запускається якомога раніше в послідовності завантаження пристроїв для керування запуском операційної системи.
Корпорація Майкрософт рекомендує безпечне завантаження, щоб зробити безпечний і надійний шлях з інтерфейсу уніфікованого розширюваного мікропрограми (UEFI) через послідовність надійного завантаження ядра Windows. Безпечне завантаження допомагає запобігти запуску зловмисних програм у послідовності завантаження. Вимкнення безпечного завантаження ставить пристрій під загрозу зараження зловмисною програмою bootkit. Для виправлення обходу безпечного завантаження, описаного в CVE-2023-24932, потрібно відкликати диспетчери завантаження. Це може спричинити проблеми з деякими конфігураціями завантаження пристрою.
Засоби захисту від обходу безпечного завантаження, описані в CVE-2023-24932 , входять до оновлень системи безпеки Windows, випущених 9 липня 2024 р. або пізніше. Однак ці засоби послаблення ризиків не ввімкнуто за промовчанням. З цими оновленнями радимо почати оцінювати ці зміни у своєму середовищі. Повний розклад описано в розділі Хронометраж оновлень .
Перш ніж активувати ці засоби захисту, слід ретельно ознайомитися з відомостями в цій статті та визначити, чи потрібно активувати засоби послаблення ризиків або зачекати на майбутнє оновлення від корпорації Майкрософт. Якщо ви вирішите ввімкнути послаблення ризиків, переконайтеся, що пристрої оновлено та готові, а також зрозуміти ризики, описані в цій статті.
Вжити заходів
У цьому випуску слід виконати такі дії: Крок 1. Інсталюйте оновлення системи безпеки Windows, випущене 9 липня 2024 р. або пізніше, на всі підтримувані версії. Крок 2. Обчислення змін і їх впливу на середовище. Крок 3. Застосування змін. |
Область впливу
На всі пристрої Windows із увімкнутим захистом від безпечного завантаження впливає буткіт BlackLotus. Засоби послаблення ризиків доступні для підтримуваних версій Windows. Повний список див. в статті CVE-2023-24932.
Розуміння ризиків
Ризик зловмисного програмного забезпечення: Для blackLotus UEFI bootkit експлойт, описаний в цій статті, щоб бути можливим, зловмисник повинен отримати права адміністратора на пристрої або отримати фізичний доступ до пристрою. Це можна зробити, використовуючи фізичний або віддалений доступ до пристрою, наприклад за допомогою гіпервізора для доступу до віртуальних машин або хмари. Зловмисник зазвичай використовує цю вразливість, щоб продовжувати керувати пристроєм, доступ до яких вони вже можуть і, можливо, працювати. Зниження ризиків у цій статті є превентивними та не коригувальними. Якщо безпеку вашого пристрою вже порушено, зверніться по допомогу до постачальника послуг безпеки.
Носій для відновлення: Якщо після застосування заходів послаблення ризиків у вас виникла проблема з пристроєм і пристрій стане непридатним для завантаження, ви, можливо, не зможете запустити або відновити пристрій із наявного носія. Необхідно оновити носій для відновлення або інсталяції, щоб він працював із пристроєм, на який застосовано засоби послаблення ризиків.
Проблеми з мікропрограмою: Коли Windows застосовує заходи послаблення ризиків, описані в цій статті, вона повинна покладатися на мікропрограму UEFI пристрою для оновлення значень безпечного завантаження (оновлення застосовуються до ключа бази даних (DB) і забороненого ключа підпису (DBX)). У деяких випадках ми маємо досвід роботи з пристроями, на яких не вдається виконати оновлення. Ми працюємо з виробниками пристроїв, щоб перевірити ці оновлення ключів на якомога більшій кількості пристроїв.
ПРИМІТКА Спочатку перевірте ці послаблення ризиків на одному пристрої для кожного класу пристрою у вашому середовищі, щоб виявити можливі проблеми з мікропрограмою. Не розгортайте широко, перш ніж підтверджувати оцінювання всіх класів пристроїв у вашому середовищі.
Відновлення BitLocker: Деякі пристрої можуть перейти до відновлення BitLocker. Перш ніж увімкнути засоби послаблення ризиків, обов'язково збережіть копію ключа відновлення BitLocker .
Відомі проблеми
Проблеми з мікропрограмою:Не всі мікропрограми пристрою буде успішно оновлено базу даних безпечного завантаження або DBX. У тих випадках, про які нам відомо, ми повідомили про цю проблему виробнику пристрою. Докладні відомості про події, що реєструються, див. в статті KB5016061: події оновлення змінних DB та змінних DBX . Зверніться до виробника пристрою, щоб отримати оновлення мікропрограм. Якщо пристрій не підтримується, корпорація Майкрософт рекомендує оновити пристрій.
Відомі проблеми з мікропрограмою:
ПРИМІТКА Наведені нижче відомі проблеми не впливають на інсталяцію оновлень від 9 липня 2024 року. У більшості випадків послаблення ризиків не застосовуватиметься там, де існують відомі проблеми. Перегляньте докладні відомості про кожну відому проблему.
-
HP: HP визначила проблему з інсталяцією засобу послаблення ризиків на ПК з робочою станцією HP Z4G4 і випустить оновлену мікропрограму Z4G4 UEFI (BIOS) в найближчі тижні. Щоб забезпечити успішну інсталяцію послаблення ризиків, його буде заблоковано на робочих станціях для настільних комп'ютерів, доки оновлення не стане доступним. Клієнти завжди повинні оновити систему BIOS до останньої версії, перш ніж застосовувати засіб послаблення ризиків.
-
Пристрої HP з функцією "Безпека для запуску" Для інсталяції цих пристроїв потрібні останні оновлення мікропрограм від HP. Засоби послаблення ризиків блокуються до оновлення мікропрограми. Інсталюйте останнє оновлення мікропрограми зі сторінки підтримки HPs – Офіційне завантаження драйверів HP та програмного забезпечення | Підтримка HP.
-
Пристрої на базі Arm64: Засоби послаблення ризиків заблоковано через відомі проблеми з мікропрограмою UEFI з пристроями на базі Qualcomm. Корпорація Майкрософт працює з Qualcomm, щоб вирішити цю проблему. Qualcomm надасть виправлення виробникам пристроїв. Зверніться до виробника пристрою, щоб дізнатися, чи доступне вирішення цієї проблеми. Корпорація Майкрософт додасть виявлення, щоб дозволити застосування заходів послаблення ризиків на пристроях, коли виявлено фіксовану мікропрограму. Якщо на пристрої з процесором Arm64 немає мікропрограми Qualcomm, настройте наведений нижче розділ реєстру, щоб увімкнути засоби послаблення ризиків.
Підрозділ реєстру
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Ім'я значення ключа
Пропустити перевірку
Тип даних
REG_DWORD
Дані
1
-
Яблуко:Комп'ютери Mac, на яких підтримується безпечне завантаження apple T2 Security Chip. Однак оновлення змінних, пов'язаних із безпекою UEFI, доступне лише в рамках оновлень macOS. Очікується, що користувачі boot Camp побачать запис журналу подій події з ідентифікатором 1795 у Windows, пов'язані з цими змінними. Докладні відомості про цей запис журналу див. в KB5016061: події оновлення змінних DB для безпечного завантаження та DBX.
-
VMware:У середовищах віртуалізації на базі VMware віртуальна машина, яка використовує процесор на базі x86-процесора з увімкнутим захищеним завантаженням, не зможе завантажитися після застосування заходів зниження ризику. Корпорація Майкрософт координує роботу з VMware для вирішення цієї проблеми.
-
Системи на базі TPM 2.0: У цих системах під керуванням Windows Server 2012 і Windows Server 2012 R2 не можна розгорнути засоби захисту, випущені в оновленні системи безпеки від 9 липня 2024 року через відомі проблеми сумісності з вимірами модуля TPM. Оновлення системи безпеки від 9 липня 2024 року блокуватимуть послаблення ризиків #2 (диспетчер завантаження) і #3 (оновлення DBX) у відповідних системах.tpm.msc. У правому нижньому куті центральної області в розділі Відомості про виробника модуля TPM має відобразитися значення для параметра Версія специфікації.
Корпорації Майкрософт відомо про цю проблему, і оновлення буде випущено в майбутньому, щоб розблокувати системи на базі TPM 2.0. Щоб перевірити версію модуля TPM, клацніть правою кнопкою миші кнопку Пуск, виберіть команду Виконати, а потім введіть -
Шифрування кінцевої точки Symantec: Засоби захисту для захисту від завантаження не можна застосувати до систем, у яких інстальовано шифрування кінцевої точки Symantec. Корпорація Майкрософт і Symantec знають про цю проблему та будуть вирішені в майбутньому оновленні.
Рекомендації з цього випуску
Для цього випуску виконайте ці два кроки.
Крок 1. Інсталяція оновлення CVE-2023-24932, але не ввімкнуто за замовчуванням. Усі пристрої Windows мають виконати цей крок незалежно від того, чи плануєте ви розгорнути засоби послаблення ризиків.
системи безпеки Windows Інсталюйте щомісячне оновлення системи безпеки Windows, випущене 9 липня 2024 р. або пізніше, на підтримувані пристрої Windows. Ці оновлення містять послаблення ризиків дляКрок 2. Обчислення змін
Рекомендуємо виконати такі дії:-
Ознайомтеся з першими двома ризиками, які дають змогу оновити базу даних безпечного завантаження та оновити диспетчер завантаження.
-
Перегляньте оновлений розклад.
-
Розпочніть перевірку перших двох заходів захисту від репрезентативних пристроїв із середовища.
-
Почніть планування розгортання.
Крок 3. Застосування змін
Рекомендуємо вам зрозуміти ризики, наведені в розділі Розуміння ризиків.
-
Зрозумійте вплив на відновлення та інші завантажувальні носії.
-
Почніть перевірку третього зниження ризику, яке ненадійне сертифікатом підпису, який використовувався для всіх попередніх диспетчерів завантаження Windows.
Рекомендації з розгортання засобу послаблення ризиків
Перш ніж виконати ці кроки для застосування заходів зниження ризику, інсталюйте щомісячне оновлення обслуговування Windows, випущене 9 липня 2024 р. або пізніше, на підтримувані пристрої Windows. Це оновлення містить послаблення ризиків для CVE-2023-24932, але вони не ввімкнуто за замовчуванням. Усі пристрої Windows мають виконати цей крок незалежно від вашого плану, щоб увімкнути засоби послаблення ризиків.
ПРИМІТКА Якщо ви використовуєте BitLocker, переконайтеся, що резервну копію ключа відновлення BitLocker створено. У командному рядку адміністратора можна виконати таку команду та занотувати 48-значний числовий пароль:
manage-bde -protectors -get %systemdrive%
Щоб розгорнути оновлення та застосувати відкликання, виконайте такі дії:
-
Інсталюйте оновлені визначення сертифікатів до бази даних.
Цей крок додасть сертифікат "Windows UEFI CA 2023" до бази даних UEFI "Захищений завантажувальний підпис бази даних" (DB). Додавши цей сертифікат до бази даних, мікропрограма пристрою довірятиме програмам завантаження, підписаним цим сертифікатом.
-
Відкрийте командний рядок адміністратора та встановіть ключ реєстру для виконання оновлення до бази даних, ввівши таку команду:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
ВАЖЛИВИЙ Обов'язково перезавантажте пристрій два рази, щоб завершити інсталяцію оновлення, перш ніж перейти до кроків 2 та 3.
-
Виконайте наведену нижче команду PowerShell як адміністратор і переконайтеся, що базу даних успішно оновлено. Ця команда має повернути значення True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Оновіть диспетчер завантаження на своєму пристрої.
Цей крок інсталює на пристрій програму диспетчера завантаження, підписану сертифікатом "Windows UEFI CA 2023".
-
Відкрийте командний рядок адміністратора та встановіть ключ реєстру для інсталяції диспетчера завантаження "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Перезавантажте пристрій два рази.
-
Як адміністратор, змонтуйте розділ EFI, щоб підготувати його до перевірки:
mountvol s: /s
-
Переконайтеся, що файл "s:\efi\microsoft\boot\bootmgfw.efi" підписано сертифікатом "Windows UEFI CA 2023". Для цього виконайте такі дії:
-
Натисніть кнопку Пуск, введіть командний рядок у полі Пошук і натисніть кнопку Командний рядок.
-
У вікні Командний рядок введіть таку команду та натисніть клавішу Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
У Диспетчері файлів клацніть правою кнопкою миші файл C:\bootmgfw_2023.efi, виберіть пункт Властивості, а потім перейдіть на вкладку Цифрові підписи .
-
У списку Підпис переконайтеся, що ланцюжок сертифікатів включає Windows UEFI CA 2023. Ланцюжок сертифікатів має відповідати такому знімку екрана:
-
-
-
Увімкнути відкликання.
Заборонений список UEFI (DBX) використовується для блокування завантаження ненадійних модулів UEFI. На цьому кроці оновлення DBX додасть сертифікат "Windows Production CA 2011" до DBX. Це призведе до того, що всі диспетчери завантаження, підписані цим сертифікатом, більше не вважатимуться надійними.
УВАГА! Перш ніж застосовувати третє зниження ризику, створіть флеш-пам'ять для відновлення, яку можна використовувати для завантаження системи. Відомості про те, як це зробити, див. в розділі Оновлення носія для інсталяції Windows.
Якщо система переходить у незавантажуваний стан, виконайте кроки, описані в розділі Процедура відновлення, щоб скинути пристрій до стану попереднього виклику.
-
Додайте сертифікат "Windows Production PCA 2011" до списку заборонених UEFI безпечного завантаження (DBX). Для цього відкрийте вікно командного рядка з правами адміністратора, введіть таку команду, а потім натисніть клавішу Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Перезавантажте пристрій два рази та переконайтеся, що його повністю перезавантажено.
-
Переконайтеся, що список інсталяції та відкликання успішно застосовано, шукаючи подію 1037 у журналі подій.в статті KB5016061: події оновлення змінних DB для безпечного завантаження та змінних DBX. Або виконайте таку команду PowerShell як адміністратор і переконайтеся, що вона повертає значення True:
Відомості про подію 1037 див.[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) - match "Microsoft Windows Production PCA 2011"
-
-
Застосуйте оновлення SVN до мікропрограми.
Диспетчер завантаження, розгорнутий на кроці 2, має нову вбудовану функцію самостійного відкликання. Коли диспетчер завантаження запускається, він виконує самостійну перевірку, порівнюючи безпечний номер версії (SVN), який зберігається в мікропрограмі, з вбудованим SVN в диспетчер завантаження. Якщо SVN диспетчера завантаження нижчий за SVN, що зберігається в мікропрограмі, диспетчер завантаження відмовиться від запуску. Ця функція запобігає відкочування диспетчера завантаження до старішої неоновлювалося версії. У майбутніх оновленнях, коли у диспетчері завантаження виправлено значну проблему безпеки, число SVN збільшується як у диспетчері завантаження, так і в оновленні мікропрограми. Обидва оновлення буде випущено в одному сукупному оновленні, щоб переконатися, що виправлені пристрої захищені. Щоразу, коли оновлюється SVN, потрібно оновлювати будь-який завантажувальний носій. Починаючи з 9 липня 2024 року, оновлення, SVN збільшується в диспетчері завантаження та оновлення мікропрограми. Оновлення мікропрограми необов'язкове, і його можна застосувати, виконавши такі дії:-
Відкрийте командний рядок адміністратора та виконайте таку команду, щоб інсталювати диспетчер завантаження "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Перезавантажте пристрій два рази.
-
Завантажувальний носій
Після початку етапу розгортання в середовищі важливо оновити завантажувальний носій.
У майбутніх оновленнях цієї статті наведено інструкції з оновлення завантажувального носія. Див. наступний розділ, щоб створити флеш-пам'ятку USB для відновлення пристрою.
Оновлення носія для інсталяції Windows
ПРИМІТКА Під час створення завантажувального USB-носія обов'язково відформатуйте диск за допомогою файлової системи FAT32.
Щоб скористатися програмою Create Recovery Drive , виконайте наведені нижче дії. Цей носій можна використовувати для повторної інсталяції пристрою на випадок, якщо виникла серйозна проблема, наприклад неполадка обладнання, ви зможете повторно інсталювати Windows за допомогою диска відновлення.
-
Перейдіть на пристрій, де було застосовано оновлення від 9 липня 2024 року та перший крок зниження ризику (оновлення бази даних безпечного завантаження).
-
У меню "Пуск " знайдіть аплет панелі керування "Create a Recovery Drive" і дотримуйтеся вказівок, щоб створити диск відновлення.
-
Щойно створений флеш-пам'ять установлено (наприклад, як диск "D:"), виконайте наведені нижче команди з правами адміністратора. Введіть кожну з наведених нижче команд і натисніть клавішу Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Якщо ви керуєте інсталяційним медіавмістом у своєму середовищі за допомогою інсталяційного носія Оновлення Windows із рекомендаціями з динамічного оновлення , виконайте наведені нижче дії. Ці додаткові кроки допоможуть створити завантажувальний флеш-диск, який використовує файли завантаження, підписані сертифікатом підпису "Windows UEFI CA 2023".
-
Перейдіть на пристрій, на якому було застосовано оновлення від 9 липня 2024 року та перший крок послаблення ризиків (оновлення бази даних безпечного завантаження).
-
Виконайте кроки, наведені в посиланні нижче, щоб створити медіавміст з оновленнями від 9 липня 2024 року. Оновлення інсталяційного носія Windows за допомогою динамічного оновлення
-
Розмістіть вміст носія на флеш-накопичувачі USB і змонтуйте флеш-пам'ятку як букву диска. Наприклад, змонтуйте флеш-диск як "D:".
-
Виконайте наведені нижче команди з командного вікна з правами адміністратора. Введіть кожну з наведених нижче команд і натисніть клавішу Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Якщо після застосування заходів захисту пристрій скинув настройки безпечного завантаження до значень за замовчуванням, пристрій не завантажиться. Щоб вирішити цю проблему, програма відновлення входить до складу оновлення від 9 липня 2024 р., які можна використовувати для повторного застосування сертифіката "Windows UEFI CA 2023" до бази даних (послаблення ризиків #1).
ПРИМІТКА Не використовуйте цей застосунок відновлення на пристрої або системі, описаних у розділі Відомі проблеми .
-
Перейдіть на пристрій, на якому застосовано оновлення від 9 липня 2024 року.
-
У командному вікні скопіюйте програму відновлення на флеш-пам'ять за допомогою наведених нижче команд (якщо флеш-пам'ять – це диск "D:"). Введіть кожну команду окремо, а потім натисніть клавішу Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
На пристрої з настройками безпечного завантаження відновіть початковий стан за замовчуванням, вставте флеш-пам'ять, перезавантажте пристрій і завантажте його зі флеш-пам'яті.
Хронометраж оновлень
Оновлення випускаються в такий спосіб:
-
Початкове розгортання Цей етап почався з оновлень, випущених 9 травня 2023 року, і забезпечив основні заходи з усунення ризиків вручну, щоб увімкнути ці заходи.
-
Друге розгортання Цей етап почався з оновлень, випущених 11 липня 2023 року, які додали спрощені кроки, щоб увімкнути послаблення ризиків для цієї проблеми.
-
Етап оцінювання Цей етап розпочнеться 9 квітня 2024 року та додасть додаткові засоби послаблення ризиків диспетчера завантаження.
-
Етап розгортання Це коли ми заохочуватимемо всіх клієнтів почати розгортання заходів послаблення ризиків і оновлення медіавмісту.
-
Етап примусового застосування Етап примусового застосування, який зробить пом'якшення постійними. Дата цього етапу буде оголошена пізніше.
Нотатка Розклад випуску може бути змінений за потреби.
Цей етап замінено випуском оновлень системи безпеки Windows 9 квітня 2024 р. або пізніше.
Цей етап замінено випуском оновлень системи безпеки Windows 9 квітня 2024 р. або пізніше.
На цьому етапі ми просимо перевірити ці зміни у вашому середовищі, щоб переконатися, що зміни правильно працюють із репрезентативним зразком пристроїв і отримати досвід роботи зі змінами.
ПРИМІТКА Замість того, щоб вичерпно перелічити та ненадійні вразливі менеджери завантаження, як це було на попередніх етапах розгортання, ми додаємо сертифікат підпису "Windows Production PCA 2011" до списку безпечного завантаження (DBX), щоб недовірити всім керівникам завантаження, підписаним цим сертифікатом. Це надійніший спосіб забезпечення ненадійності всіх попередніх диспетчерів завантаження.
Оновлення для Windows, випущені 9 квітня 2024 р. або пізніше, додайте такі оновлення:
-
Три нові елементи керування послабленням ризиків, які замінюють засоби послаблення ризиків, випущені у 2023 році. Нові елементи керування послабленням ризиків:
-
Елемент керування для розгортання сертифіката "Windows UEFI CA 2023" до бази даних безпечного завантаження, щоб додати довіру для диспетчерів завантаження Windows, підписаних цим сертифікатом. Зверніть увагу, що сертифікат "Windows UEFI CA 2023", можливо, інстальовано в попередньому оновленні Windows.
-
Елемент керування для розгортання диспетчера завантаження, підписаного сертифікатом "Windows UEFI CA 2023".
-
Елемент керування для додавання "Windows Production PCA 2011" до DBX безпечного завантаження, який блокує всі диспетчери завантаження Windows, підписані цим сертифікатом.
-
-
Можливість увімкнути розгортання засобу послаблення ризиків поетапно незалежно, щоб забезпечити більший контроль у розгортанні заходів послаблення ризиків у вашому середовищі відповідно до ваших потреб.
-
Засоби послаблення ризиків взаємозв'язані, тому їх не можна розгорнути в неправильному порядку.
-
Додаткові події, які дають змогу знати стан пристроїв під час застосування заходів послаблення ризиків. Докладні відомості про події див. в статті KB5016061: події оновлення змінних DB та DBX безпечного завантаження.
Цей етап полягає в тому, коли ми заохочуємо клієнтів почати розгортати засоби послаблення ризиків і керувати будь-якими оновленнями медіавмісту. Оновлення включають таку зміну:
-
Додано підтримку безпечного номера версії (SVN) і налаштування оновленого SVN у мікропрограмі.
Нижче наведено структуру кроків розгортання на підприємстві.
Нотатка Додаткові інструкції з отримання подальших оновлень цієї статті.
-
Розгорніть перше послаблення ризиків на всіх пристроях у enterprise або керованій групі пристроїв enterprise. Включно з:
-
Приєднання до першого засобу зниження ризику, який додає сертифікат підпису "Windows UEFI CA 2023" до мікропрограми пристрою.
-
Моніторинг того, що пристрої успішно додали сертифікат підпису "Windows UEFI CA 2023".
-
-
Розгорніть друге послаблення ризиків, яке застосовує оновлений диспетчер завантаження до пристрою.
-
Оновіть будь-який носій для відновлення або зовнішній завантажувальний носій, який використовується з цими пристроями.
-
Розгорніть третє послаблення ризиків, яке дає змогу відкликати сертифікат "Windows Production CA 2011", додавши його до DBX у мікропрограмі.
-
Розгорніть четверте послаблення ризиків, яке оновлює номер захищеної версії (SVN) до мікропрограми.
Етап примусового виконання буде щонайменше через шість місяців після етапу розгортання. Коли оновлення буде випущено для етапу примусового виконання, вони включатимуть такі елементи:
-
Сертифікат "Windows Production PCA 2011" буде автоматично відкликано шляхом додавання до списку заборонених пристроїв із підтримкою безпечного завантаження UEFI (DBX). Ці оновлення буде програмно застосовано після інсталяції оновлень для Windows для всіх уражених систем без можливості вимкнення.
Помилки журналу подій Windows, пов'язані з CVE-2023-24932
Записи журналу подій Windows, пов'язані з оновленням DB і DBX, докладно описано в KB5016061: події оновлення змінних DB для безпечного завантаження та DBX.
Події успіху, пов'язані із застосуванням заходів зниження ризику, перелічено в таблиці нижче.
Крок послаблення ризиків |
Ідентифікатор події |
Примітки |
Застосування оновлення бази даних |
1036 |
Сертифікат PCA2023 додано до бази даних. |
Оновлення диспетчера завантаження |
1799 |
Було застосовано диспетчер завантаження PCA2023 з підписом. |
Застосування оновлення DBX |
1037 |
Оновлення DBX, яке ненадійне до сертифіката підпису PCA2011 було застосовано. |
Запитання й відповіді (запитання й відповіді)
-
Щоб відновити пристрій, див. розділ Процедура відновлення.
-
Дотримуйтеся вказівок у розділі Виправлення неполадок завантаження .
Оновіть усі операційні системи Windows оновленнями, випущеними 9 липня 2024 р. або пізніше, перш ніж застосовувати відкликання. Можливо, не вдається запустити будь-яку версію Windows, яку не оновлено принаймні до оновлень, випущених 9 липня 2024 р. після застосування відкликань. Дотримуйтеся вказівок у розділі Виправлення неполадок завантаження .
Див. розділ Виправлення неполадок завантаження .
Виправлення неполадок із завантаженням
Після застосування всіх трьох заходів зниження ризику мікропрограма пристрою не завантажиться за допомогою диспетчера завантаження, підписаного PCA Windows Production 2011. Помилки завантаження, про які повідомляє мікропрограма, стосуються конкретних пристроїв. Див. розділ Процедура відновлення .
Процедура відновлення
Якщо під час застосування заходів зниження ризику сталася помилка, але не вдалося запустити пристрій або потрібно почати роботу із зовнішнього носія (наприклад, флеш-накопичувача або завантаження PXE), спробуйте виконати наведені нижче дії.
-
Вимкніть безпечне завантаження.Вимкнення безпечного завантаження.
Ця процедура відрізняється між виробниками пристроїв і моделями. Введіть у меню UEFI BIOS свої пристрої та перейдіть до настройок безпечного завантаження та вимкніть його. Перегляньте документацію від виробника пристрою, щоб дізнатися про особливості цього процесу. Докладні відомості див. в статті -
Скидання ключів безпечного завантаження до заводських значень за замовчуванням.
Якщо пристрій підтримує скидання ключів безпечного завантаження до заводських настройок, виконайте цю дію зараз.
ПРИМІТКА Деякі виробники пристроїв мають параметр "Очистити" та "Скинути" для змінних безпечного завантаження, у цьому випадку слід використовувати "Скинути". Мета полягає в тому, щоб повернути змінні безпечного завантаження до стандартних значень виробників.
Пристрій має запуститися зараз, але зверніть увагу, що він вразливий до шкідливого програмного забезпечення для завантаження. Обов'язково виконайте крок 5 цього процесу відновлення, щоб повторно ввімкнути безпечне завантаження.
-
Спробуйте запустити Windows із системного диска.
-
Увійдіть у Windows.
-
Виконайте наведені нижче команди з командного рядка адміністратора, щоб відновити завантажувальні файли в розділі завантаження системи EFI. Введіть кожну команду окремо, а потім натисніть клавішу Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Виконання BCDBoot повертає фразу "Boot files successfully created" (Успішно створено файли завантаження). Коли це повідомлення з'явиться, перезавантажте пристрій знову у Windows.
-
-
Якщо крок 3 не відновлює пристрій, повторно інсталюйте Windows.
-
Запустіть пристрій із наявного носія для відновлення.
-
Приступайте до інсталяції Windows за допомогою носія для відновлення.
-
Увійдіть у Windows.
-
Перезавантажте Windows, щоб переконатися, що пристрій знову запускається у Windows.
-
-
Знову ввімкніть безпечне завантаження та перезавантажте пристрій.
Введіть меню UEFI пристрою, перейдіть до настройок безпечного завантаження та ввімкніть його. Перегляньте документацію від виробника пристрою, щоб дізнатися про особливості цього процесу. Докладні відомості див. в розділі "Повторне ввімкнення безпечного завантаження".
Посилання
-
Рекомендації з розслідування атак за допомогою CVE-2022-21894: кампанія BlackLotus
-
Увімкнути безпечне завантаження на зареєстрованих пристроях Windows
-
Відомості про події, які створюються під час застосування оновлень DBX, див. в статті KB5016061: Вирішення вразливих і відкликаних диспетчерів завантаження.
Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.
Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.
Дата змінення |
Опис зміни |
9 липня 2024 р. |
|
9 квітня 2024 р. |
|
16 грудня 2023 р. |
|
15 травня 2023 р. |
|
11 травня 2023 р. |
|
10 травня 2023 р. |
|
9 травня 2023 р. |
|
27 червня 2023 р. |
|
11 липня 2023 р. |
|
25 серпня 2023 р. |
|