Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

QUAN TRỌNG Bạn nên áp dụng bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 như một phần trong quá trình cập nhật hàng tháng thông thường của bạn.

Bài viết này áp dụng cho các tổ chức nên bắt đầu đánh giá các biện pháp giảm thiểu đối với bỏ qua kiểm tra khởi động an toàn được tiết lộ công khai bởi bộ khởi động BlackLotus UEFI. Ngoài ra, bạn có thể muốn có lập trường bảo mật chủ động hoặc để bắt đầu chuẩn bị cho việc triển khai. Lưu ý rằng phần mềm có hại này yêu cầu quyền truy cập vật lý hoặc quản trị vào thiết bị.

THẬN TRỌNG Sau khi đã bật biện pháp giảm nhẹ cho sự cố này trên thiết bị, nghĩa là các biện pháp giảm nhẹ đã được áp dụng, sẽ không thể hoàn nguyên nếu bạn tiếp tục sử dụng Khởi động An toàn trên thiết bị đó. Ngay cả việc định dạng lại đĩa cũng sẽ không loại bỏ việc thu hồi nếu chúng đã được áp dụng. Vui lòng lưu ý tất cả các ngụ ý có thể xảy ra và kiểm tra kỹ trước khi bạn áp dụng các biện pháp thu hồi được nêu trong bài viết này cho thiết bị của bạn.

Trong bài viết này

Tóm tắt

Bài viết này mô tả khả năng bảo vệ chống lại việc công khai tính năng bỏ qua tính năng bảo mật Khởi động An toàn sử dụng bộ khởi động BlackLotus UEFI được theo dõi bởi CVE-2023-24932, cách bật các biện pháp giảm thiểu và hướng dẫn về phương tiện có thể khởi động. Bootkit là một chương trình độc hại được thiết kế để tải càng sớm càng tốt trong trình tự khởi động thiết bị để kiểm soát bắt đầu hệ điều hành.

Khởi động An toàn được Microsoft khuyến nghị để tạo đường dẫn an toàn và đáng tin cậy từ Unified Extensible Firmware Interface (UEFI) thông qua chuỗi Khởi động Tin cậy của nhân Windows. Khởi động An toàn giúp ngăn chặn phần mềm độc hại bootkit theo trình tự khởi động. Việc tắt Khởi động An toàn khiến thiết bị có nguy cơ bị nhiễm phần mềm độc hại bootkit. Việc khắc phục sự cố bỏ qua đường vòng Khởi động An toàn được mô tả trong CVE-2023-24932 yêu cầu phải thu hồi trình quản lý khởi động. Điều này có thể gây ra sự cố cho một số cấu hình khởi động thiết bị.

Mitigations against the Secure Boot bypass detailed in CVE-2023-24932 are included in the Windows security updates that were released on or after July 9, 2024. Tuy nhiên, các biện pháp giảm nhẹ này không được bật theo mặc định. Với các bản cập nhật này, chúng tôi khuyên bạn nên bắt đầu đánh giá những thay đổi này trong môi trường của mình. Lịch biểu đầy đủ được mô tả trong phần Thời gian cập nhật.

Trước khi bạn cho phép các biện pháp giảm nhẹ, bạn nên xem xét kỹ các chi tiết trong bài viết này và xác định xem liệu bạn có phải để cho phép các biện pháp giảm nhẹ hoặc chờ cho một bản cập nhật trong tương lai từ Microsoft. Nếu chọn bật các biện pháp giảm nhẹ, bạn phải xác minh rằng thiết bị của mình đã được cập nhật, sẵn sàng và hiểu các rủi ro được mô tả trong bài viết này. 

Thực hiện Hành động 

Đối với bản phát hành này, bạn nên làm theo các bước sau:

Bước 1: Cài đặt bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024, trên tất cả các phiên bản được hỗ trợ.

Bước 2: Đánh giá các thay đổi và cách chúng ảnh hưởng đến môi trường của bạn.

Bước 3: Thực thi các thay đổi.

Phạm vi Tác động

Tất cả các thiết bị Windows có bật tính năng Bảo vệ khởi động An toàn đều bị ảnh hưởng bởi bộ khởi động BlackLotus. Các biện pháp giảm thiểu có sẵn cho các phiên bản Windows được hỗ trợ. Để biết danh sách đầy đủ, vui lòng xem CVE-2023-24932.

Hiểu rõ các rủi ro

Rủi ro phần mềm độc hại: Để có thể khai thác bộ khởi động BlackLotus UEFI được mô tả trong bài viết này, kẻ tấn công phải có đặc quyền quản trị trên thiết bị hoặc có quyền truy cập vật lý vào thiết bị. Điều này có thể được thực hiện bằng cách truy cập thiết bị một cách vật lý hoặc từ xa, chẳng hạn như bằng cách sử dụng một hypervisor để truy cập máy ảo/đám mây. Kẻ tấn công thường sẽ sử dụng lỗ hổng này để tiếp tục kiểm soát thiết bị mà họ đã có thể truy cập và có thể thao tác. Mitigations trong bài viết này là phòng ngừa và không sửa chữa. Nếu thiết bị của bạn đã bị xâm phạm, hãy liên hệ với nhà cung cấp bảo mật của bạn để được trợ giúp.

Phương tiện Khôi phục: Nếu gặp phải sự cố với thiết bị sau khi áp dụng các biện pháp giảm nhẹ và thiết bị không thể khởi động, bạn có thể không khởi động hoặc khôi phục thiết bị từ phương tiện hiện có. Phương tiện khôi phục hoặc cài đặt sẽ cần được cập nhật để phương tiện này hoạt động với thiết bị được áp dụng các biện pháp giảm nhẹ.

Sự cố vi chương trình: Khi Windows áp dụng các biện pháp giảm nhẹ được mô tả trong bài viết này, Windows phải dựa vào vi chương trình UEFI của thiết bị để cập nhật giá trị Khởi động An toàn (các bản cập nhật được áp dụng cho Khóa Cơ sở dữ liệu (DB) và Khóa Chữ ký Bị cấm (DBX)). Trong một số trường hợp, chúng tôi có kinh nghiệm với các thiết bị không thể cập nhật. Chúng tôi đang làm việc với nhà sản xuất thiết bị để kiểm tra các bản cập nhật quan trọng này trên nhiều thiết bị nhất có thể.

GHI Trước tiên, hãy kiểm tra các biện pháp giảm nhẹ này trên một thiết bị duy nhất cho mỗi lớp thiết bị trong môi trường của bạn để phát hiện các sự cố vi chương trình có thể có. Không triển khai rộng rãi trước khi xác nhận tất cả các lớp thiết bị trong môi trường của bạn đã được đánh giá.

BitLocker Recovery: Một số thiết bị có thể chuyển sang chế độ phục hồi BitLocker. Hãy nhớ giữ lại bản sao khóa khôi phục BitLocker của bạn trước khi bật các biện pháp giảm nhẹ.

Sự cố Đã biết

Sự cố vi chương trình:Không phải tất cả các thiết bị đều sẽ cập nhật thành công Khởi động An toàn DB hoặc DBX. Trong trường hợp chúng tôi biết, chúng tôi đã báo cáo sự cố cho nhà sản xuất thiết bị. Xem mục KB5016061: Bảo mật khởi động DB và sự kiện cập nhật biến DBX để biết chi tiết về các sự kiện được ghi nhật ký. Vui lòng liên hệ với nhà sản xuất thiết bị để nhận bản cập nhật vi chương trình. Nếu thiết bị không được hỗ trợ, Microsoft khuyên bạn nên nâng cấp thiết bị.

Sự cố vi chương trình đã biết:

GHI Các sự cố đã biết sau không ảnh hưởng đến và sẽ không ngăn việc cài đặt các bản cập nhật ngày 9 tháng 7 năm 2024. Trong hầu hết các trường hợp, các biện pháp giảm nhẹ sẽ không áp dụng ở nơi tồn tại các vấn đề đã biết. Xem chi tiết được chú thích trong mỗi sự cố đã biết.

  • HP: HP đã xác định sự cố với cài đặt giảm thiểu trên PC máy trạm HP Z4G4 và sẽ phát hành vi chương trình Z4G4 UEFI (BIOS) cập nhật trong các tuần tới. Để đảm bảo cài đặt thành công biện pháp giảm nhẹ, hệ thống sẽ bị chặn trên Máy trạm để bàn cho đến khi có bản cập nhật. Khách hàng nên luôn cập nhật lên hệ thống BIOS mới nhất trước khi áp dụng biện pháp giảm nhẹ.

  • Thiết bị HP có Bảo mật Bắt đầu Chắc chắn: Các thiết bị này cần có bản cập nhật vi chương trình mới nhất từ HP để cài đặt các biện pháp giảm nhẹ. Các biện pháp giảm nhẹ bị chặn cho đến khi vi chương trình được cập nhật. Cài đặt bản cập nhật vi chương trình mới nhất từ trang hỗ trợ HPs — Trình điều khiển hp chính thức và Tải xuống Phần mềm | Hỗ trợ của HP.

  • Thiết bị dựa trên Arm64: Các biện pháp giảm thiểu bị chặn do các sự cố đã biết về vi chương trình UEFI với các thiết bị dựa trên Qualcomm. Microsoft đang làm việc với Qualcomm để giải quyết sự cố này. Qualcomm sẽ cung cấp bản sửa lỗi cho các nhà sản xuất thiết bị. Hãy liên hệ với nhà sản xuất thiết bị của bạn để xác định xem có bản sửa lỗi cho sự cố này không. Microsoft sẽ bổ sung khả năng phát hiện để cho phép áp dụng các biện pháp giảm nhẹ trên các thiết bị khi phát hiện vi chương trình cố định. Nếu thiết bị dựa trên Arm64 của bạn không có vi chương trình Qualcomm, hãy đặt cấu hình khóa đăng ký sau để bật các biện pháp giảm nhẹ.

    Khóa đăng ký phụ

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Tên Giá trị Khóa

    SkipDeviceCheck

    Loại dữ liệu

    REG_DWORD

    Dữ liệu

    1

  • Quả táo:Máy Mac có Chip Bảo mật T2 của Apple hỗ trợ Khởi động An toàn. Tuy nhiên, cập nhật các biến liên quan đến bảo mật UEFI chỉ sẵn dùng như một phần của các bản cập nhật macOS. Người dùng Boot Camp dự kiến sẽ thấy một mục nhật ký sự kiện của Sự kiện ID 1795 trong Windows liên quan đến các biến. Để biết thêm thông tin về mục nhật ký này, hãy xem bài viết KB5016061: Sự kiện cập nhật biến số DB và Khởi động Bảo mật DBX.

  • VMware:Trên môi trường ảo hóa dựa trên VMware, một máy ảo sử dụng bộ xử lý dựa trên x86 có bật Khởi động An toàn, sẽ không khởi động được sau khi áp dụng các biện pháp giảm nhẹ. Microsoft đang phối hợp với VMware để giải quyết sự cố này.

  • Hệ thống dựa trên TPM 2.0:  Các hệ thống này chạy Windows Server 2012 và Windows Server 2012 R2 không thể triển khai các biện pháp giảm nhẹ được phát hành trong bản cập nhật bảo mật ngày 9 tháng 7 năm 2024 do các sự cố tương thích đã biết với các phép đo TPM. Các bản cập nhật bảo mật ngày 9 tháng 7 năm 2024 sẽ chặn các biện pháp giảm nhẹ #2 (trình quản lý khởi động) và #3 (bản cập nhật DBX) trên các hệ thống bị ảnh hưởng.Microsoft đã biết về sự cố này và sẽ phát hành bản cập nhật trong tương lai để bỏ chặn các hệ thống dựa trên TPM 2.0.Để kiểm tra phiên bản TPM của bạn, bấm chuột phải vào Bắtđầu, bấm vào Chạy, rồi nhập tpm.msc. Ở phía dưới bên phải của ngăn trung tâm bên dưới Thông tin Nhà sản xuất TPM, bạn sẽ thấy một giá trị cho Phiên bản Đặc tả.

  • Mã hóa Điểm cuối Symantec: Các biện pháp giảm thiểu Khởi động An toàn không thể áp dụng cho các hệ thống đã cài đặt Mã hóa Điểm cuối Symantec. Microsoft và Symantec đã biết về sự cố này và sẽ được giải quyết trong bản cập nhật trong tương lai.

Hướng dẫn cho bản phát hành này

Đối với bản phát hành này, hãy làm theo hai bước sau.

Bước 1: Cài đặt bản cập nhật bảo mật Windows Cài đặt bản cập nhật bảo mật hàng tháng Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 trên các thiết bị Windows được hỗ trợ. Các bản cập nhật này bao gồm các biện pháp giảm nhẹ cho CVE-2023-24932 nhưng không được bật theo mặc định. Tất cả các thiết bị Windows nên hoàn thành bước này dù bạn có dự định triển khai các biện pháp giảm nhẹ hay không.

Bước 2: Đánh giá các thay đổi Chúng tôi khuyến khích bạn thực hiện các thao tác sau:

  • Hiểu rõ hai biện pháp giảm thiểu đầu tiên cho phép cập nhật Secure Boot DB và cập nhật trình quản lý khởi động.

  • Xem lại lịch biểu đã cập nhật.

  • Bắt đầu kiểm tra hai biện pháp giảm nhẹ đầu tiên đối với các thiết bị đại diện từ môi trường của bạn.

  • Bắt đầu lập kế hoạch triển khai.

Bước 3: Thực thi các thay đổi

Chúng tôi khuyến khích bạn hiểu những rủi ro được đề cập trong mục Hiểu về Rủi ro.

  • Hiểu rõ tác động của phương tiện khôi phục và các phương tiện có thể khởi động khác.

  • Bắt đầu kiểm tra biện pháp giảm nhẹ thứ ba không tin cậy chứng chỉ ký được sử dụng cho tất cả các trình quản lý khởi động Windows trước đây.

Hướng dẫn triển khai giảm nhẹ

Trước khi làm theo các bước này để áp dụng các biện pháp giảm nhẹ, hãy cài đặt bản cập nhật cung cấp dịch vụ hàng tháng Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 trên các thiết bị Windows được hỗ trợ. Bản cập nhật này bao gồm các biện pháp giảm nhẹ cho CVE-2023-24932 nhưng chúng không được bật theo mặc định. Tất cả các thiết bị Windows nên hoàn thành bước này bất kể bạn có kế hoạch bật các biện pháp giảm nhẹ hay không.

GHI Nếu bạn sử dụng BitLocker, hãy đảm bảo rằng khóa khôi phục BitLocker của bạn đã được sao lưu. Bạn có thể chạy lệnh sau từ dấu nhắc lệnh Người quản trị và lưu ý mật khẩu dạng số gồm 48 chữ số:

manage-bde -protectors -get %systemdrive%

Để triển khai bản cập nhật và áp dụng thu hồi, hãy làm theo các bước sau:

  1. Cài đặt định nghĩa chứng chỉ cập nhật cho DB.

    Bước này sẽ thêm chứng chỉ "Windows UEFI CA 2023" vào UEFI "Cơ sở dữ liệu Chữ ký Khởi động An toàn" (DB). Bằng cách thêm chứng chỉ này vào DB, vi chương trình thiết bị sẽ tin cậy các ứng dụng khởi động được ký bằng chứng chỉ này.

    1. Mở dấu nhắc lệnh Người quản trị và đặt regkey để thực hiện cập nhật thành DB bằng cách nhập lệnh sau:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      QUAN TRỌNG Đảm bảo khởi động lại thiết bị hai lần để hoàn tất quá trình cài đặt bản cập nhật trước khi tiếp tục đến Bước 2 và 3.

    2. Chạy lệnh PowerShell sau với tư cách Người quản trị và xác minh rằng DB đã được cập nhật thành công. Lệnh này sẽ trả về True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Cập nhật Trình quản lý Khởi động trên thiết bị của bạn.

    Bước này sẽ cài đặt ứng dụng trình quản lý khởi động trên thiết bị của bạn được ký bằng chứng chỉ "'Windows UEFI CA 2023".

    1. Mở dấu nhắc lệnh Người quản trị và đặt regkey để cài đặt trình quản lý khởi động đã ký "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Khởi động lại thiết bị hai lần.

    3. Là Người quản trị, gắn phân vùng EFI để chuẩn bị sẵn sàng cho việc kiểm tra:

      mountvol s: /s

    4. Xác thực rằng tệp "s:\efi\microsoft\boot\bootmgfw.efi" được ký bằng chứng chỉ "Windows UEFI CA 2023". Để thực hiện điều này, hãy làm theo các bước sau:

      1. Bấm Vào Bắt đầu, nhập dấu nhắc lệnh vào hộp Tìm kiếm, rồi bấm vào Dấu nhắc Lệnh.

      2. Trong cửa sổ Dấu nhắc Lệnh, nhập lệnh sau đây, rồi nhấn Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Trong Trình quản lý Tệp, bấm chuột phải vào tệp C:\bootmgfw_2023.efi, bấm Thuộc tính, rồi chọn tab Chữ ký Số .

      4. Trong danh sách Chữ ký, xác nhận rằng chuỗi chứng chỉ bao gồm Windows UEFI CA 2023. Chuỗi chứng chỉ phải khớp với ảnh chụp màn hình sau:Giấy chứng nhận

  3. Bật thu hồi.

    Danh sách cấm UEFI (DBX) được sử dụng để chặn không cho tải mô-đun UEFI không đáng tin cậy. Trong bước này, việc cập nhật DBX sẽ thêm chứng chỉ "Windows Production CA 2011" vào DBX. Điều này sẽ khiến tất cả các trình quản lý khởi động được ký bằng chứng chỉ này không còn được tin cậy nữa.

    CẢNH BÁO: Trước khi áp dụng biện pháp giảm nhẹ thứ ba, hãy tạo ổ đĩa flash khôi phục có thể được sử dụng để khởi động hệ thống. Để biết thông tin về cách thực hiện việc này, hãy xem phần Cập nhật Phương tiện cài đặt Windows.

    Nếu hệ thống của bạn chuyển sang trạng thái không thể khởi động, hãy làm theo các bước trong phần Quy trình khôi phục để đặt lại thiết bị về trạng thái thu hồi trước.

    1. Thêm chứng chỉ "Windows Production PCA 2011" vào Danh sách Cấm Khởi động An toàn UEFI (DBX). Để thực hiện điều này, hãy mở cửa sổ Dấu nhắc Lệnh với tư cách Người quản trị, nhập lệnh sau đây, rồi nhấn Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Khởi động lại thiết bị hai lần và xác nhận rằng thiết bị đã khởi động lại hoàn toàn.

    3. Xác minh việc cài đặt và thu hồi danh sách đã được áp dụng thành công bằng cách tìm kiếm sự kiện 1037 trong nhật ký sự kiện.Để biết thông tin về Sự kiện 1037, hãy xem bài viết KB5016061: Sự kiện cập nhật biến số Khởi động Bảo mật DB và DBX. Hoặc chạy lệnh PowerShell sau với tư cách Người quản trị và đảm bảo lệnh trả về True:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).byte) -match 'Microsoft Windows Production PCA 2011' 

  4. Áp dụng bản cập nhật SVN cho vi chương trình. Trình quản lý Khởi động được triển khai ở Bước 2 có tích hợp tính năng tự thu hồi mới. Khi Trình quản lý Khởi động bắt đầu chạy, Trình quản lý Khởi động thực hiện tự kiểm tra bằng cách so sánh Số Phiên bản An toàn (SVN) được lưu trữ trong vi chương trình, với SVN được tích hợp vào Trình quản lý Khởi động. Nếu Trình quản lý Khởi động SVN thấp hơn SVN được lưu trữ trong phần mềm điều khiển, Trình quản lý Khởi động sẽ từ chối chạy. Tính năng này ngăn chặn kẻ tấn công quay lui Trình quản lý Khởi động về phiên bản cũ hơn, không cập nhật.Trong các bản cập nhật trong tương lai, khi một vấn đề bảo mật quan trọng được khắc phục trong Trình quản lý Khởi động, số SVN sẽ tăng dần trong cả Trình quản lý Khởi động và bản cập nhật cho vi chương trình. Cả hai bản cập nhật sẽ được phát hành trong cùng một bản cập nhật tích lũy để đảm bảo rằng các thiết bị được vá được bảo vệ. Mỗi lần SVN được cập nhật, mọi phương tiện có thể khởi động sẽ cần được cập nhật. Kể từ ngày 9 tháng 7 năm 2024, các bản cập nhật, SVN đang được tăng dần trong Trình quản lý Khởi động và cập nhật lên vi chương trình. Bản cập nhật vi chương trình là tùy chọn và có thể được áp dụng theo các bước sau:

    1. Mở dấu nhắc lệnh Người quản trị và chạy lệnh sau đây để cài đặt trình quản lý khởi động đã ký "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Khởi động lại thiết bị hai lần.

Phương tiện có thể khởi động

Điều quan trọng là cập nhật phương tiện có thể khởi động sau khi Giai đoạn Triển khai bắt đầu trong môi trường của bạn.

Hướng dẫn cập nhật phương tiện có thể khởi động sẽ xuất hiện trong các bản cập nhật trong tương lai cho bài viết này. Xem mục tiếp theo để tạo ổ đĩa USB để khôi phục thiết bị.

Cập nhật phương tiện cài đặt Windows

GHI Khi tạo ổ đĩa USB thumb có thể khởi động, hãy đảm bảo định dạng ổ đĩa bằng cách sử dụng hệ thống tệp FAT32.

Bạn có thể sử dụng ứng dụng Tạo Ổ đĩa Khôi phục bằng cách làm theo các bước sau. Phương tiện này có thể được sử dụng để cài đặt lại thiết bị trong trường hợp có sự cố lớn như lỗi phần cứng, bạn sẽ có thể sử dụng ổ đĩa khôi phục để cài đặt lại Windows.

  1. Đi tới thiết bị đã áp dụng các bản cập nhật ngày 9 tháng 7 năm 2024 và bước giảm thiểu đầu tiên (cập nhật DB Khởi động An toàn).

  2. Từ menu Bắt đầu , tìm kiếm applet panel điều khiển "Tạo Ổ đĩa Khôi phục" và làm theo hướng dẫn để tạo ổ đĩa khôi phục.

  3. Với ổ đĩa flash mới được tạo được gắn kết (ví dụ: như ổ đĩa "D:"), hãy chạy các lệnh sau với tư cách người quản trị. Nhập từng lệnh sau đây, rồi nhấn Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Nếu bạn quản lý phương tiện có thể cài đặt trong môi trường của mình bằng cách sử dụng phương tiện cài đặt Update Windows bằng hướng dẫn Cập nhật Động, hãy làm theo các bước sau. Các bước bổ sung này sẽ tạo ra ổ đĩa flash có thể khởi động sử dụng tệp khởi động được ký bằng chứng chỉ ký "Windows UEFI CA 2023".

  1. Đi tới thiết bị đã áp dụng bản cập nhật ngày 9 tháng 7 năm 2024 và bước giảm thiểu đầu tiên (cập nhật DB Khởi động An toàn).

  2. Hãy làm theo các bước trong liên kết bên dưới để tạo phương tiện có bản cập nhật ngày 9 tháng 7 năm 2024. Cập nhật phương tiện cài đặt Windows bằng Bản cập nhật Động

  3. Đặt nội dung của phương tiện truyền thông trên ổ đĩa USB ngón cái và gắn ổ đĩa ngón cái dưới dạng chữ cái ổ đĩa. Ví dụ: gắn ổ đĩa ngón cái là "D:".

  4. Chạy các lệnh sau từ cửa sổ lệnh với tư cách người quản trị. Nhập từng lệnh sau đây, rồi nhấn Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Nếu thiết bị có cài đặt Khởi động An toàn đặt lại về cài đặt mặc định sau khi áp dụng các biện pháp giảm thiểu, thiết bị sẽ không khởi động. Để giải quyết sự cố này, một ứng dụng sửa chữa được bao gồm trong các bản cập nhật ngày 9 tháng 7 năm 2024 có thể được sử dụng để áp dụng lại chứng chỉ "Windows UEFI CA 2023" cho DB (giảm nhẹ #1).

GHI Không sử dụng ứng dụng sửa chữa này trên thiết bị hoặc hệ thống được mô tả trong phần Sự cố Đã biết.

  1. Chuyển đến thiết bị đã áp dụng bản cập nhật ngày 9 tháng 7 năm 2024.

  2. Trong cửa sổ lệnh, sao chép ứng dụng khôi phục vào ổ đĩa flash bằng cách sử dụng các lệnh sau đây (giả sử ổ đĩa flash là ổ đĩa "D:"). Nhập từng lệnh riêng biệt, rồi nhấn Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Trên thiết bị có cài đặt Khởi động An toàn đặt lại về cài đặt mặc định, lắp ổ đĩa flash, khởi động lại thiết bị và khởi động từ ổ đĩa flash.

Thời gian cập nhật

Các bản cập nhật được phát hành như sau:

  • Triển khai Ban đầu Giai đoạn này bắt đầu với các bản cập nhật được phát hành vào ngày 9 tháng 5 năm 2023 và cung cấp các biện pháp giảm thiểu cơ bản với các bước thủ công để cho phép các biện pháp giảm nhẹ đó.

  • Triển khai Lần thứ hai Giai đoạn này bắt đầu với các bản cập nhật được phát hành vào ngày 11 tháng 7 năm 2023, thêm các bước được đơn giản hóa để cho phép khắc phục sự cố.

  • Giai đoạn Đánh giá Giai đoạn này sẽ bắt đầu vào ngày 9 tháng 4 năm 2024 và sẽ thêm các biện pháp giảm nhẹ trình quản lý khởi động bổ sung.

  • Giai đoạn Triển khai Đây là khi chúng tôi sẽ khuyến khích tất cả các khách hàng bắt đầu triển khai các biện pháp giảm thiểu và cập nhật phương tiện.

  • Giai đoạn Thực thi Giai đoạn thực thi sẽ làm cho các biện pháp giảm nhẹ vĩnh viễn. Ngày cho giai đoạn này sẽ được thông báo vào một ngày sau đó.

Lưu ý Lịch phát hành có thể được sửa đổi nếu cần.

Giai đoạn này đã được thay thế bằng bản cập nhật bảo mật Windows phát hành vào hoặc sau ngày 9 tháng 4 năm 2024.

Giai đoạn này đã được thay thế bằng bản cập nhật bảo mật Windows phát hành vào hoặc sau ngày 9 tháng 4 năm 2024.

Với giai đoạn này, chúng tôi yêu cầu bạn kiểm tra những thay đổi này trong môi trường của bạn để đảm bảo rằng các thay đổi hoạt động chính xác với các thiết bị mẫu đại diện và có được trải nghiệm với các thay đổi.

GHI Thay vì cố gắng liệt kê đầy đủ và không tin cậy các nhà quản lý khởi động dễ bị tổn thương như chúng tôi đã làm trong các giai đoạn triển khai trước đó, chúng tôi đang thêm chứng chỉ ký "Windows Production PCA 2011" vào Danh sách Không cho phép Khởi động An toàn (DBX) để không tin cậy tất cả các trình quản lý khởi động được ký bằng chứng chỉ này. Đây là một phương pháp đáng tin cậy hơn để đảm bảo rằng tất cả các trình quản lý khởi động trước đó là không đáng tin cậy.

Thêm các bản cập nhật dành cho Windows được phát hành vào hoặc sau ngày 9 tháng 4 năm 2024:

  • Ba điều khiển giảm nhẹ mới thay thế các biện pháp giảm nhẹ được phát hành vào năm 2023. Các điều khiển giảm nhẹ mới là:

    • Một điều khiển để triển khai chứng chỉ "Windows UEFI CA 2023" cho DB Khởi động An toàn để thêm độ tin cậy cho trình quản lý khởi động Windows được ký bằng chứng chỉ này. Lưu ý rằng chứng chỉ "Windows UEFI CA 2023" có thể đã được cài đặt bởi một bản cập nhật Windows trước đó.

    • Điều khiển để triển khai trình quản lý khởi động được ký bằng chứng chỉ "Windows UEFI CA 2023".

    • Điều khiển để thêm "Windows Production PCA 2011" vào Secure Boot DBX sẽ chặn tất cả các trình quản lý khởi động Windows được ký bằng chứng chỉ này.

  • Khả năng cho phép triển khai giảm thiểu trong các giai đoạn một cách độc lập để cho phép kiểm soát nhiều hơn trong việc triển khai các biện pháp giảm nhẹ trong môi trường của bạn dựa trên nhu cầu của bạn.

  • Các mitigations được interlocked do đó họ không thể được triển khai theo thứ tự không chính xác.

  • Các sự kiện bổ sung để biết trạng thái của thiết bị khi chúng áp dụng các biện pháp giảm nhẹ. Xem mục KB5016061: Bảo mật khởi động DB và sự kiện cập nhật biến DBX để biết thêm chi tiết về các sự kiện.

Giai đoạn này là khi chúng tôi khuyến khích khách hàng bắt đầu triển khai các biện pháp giảm thiểu và quản lý mọi bản cập nhật phương tiện. Các bản cập nhật bao gồm những thay đổi sau:

  • Thêm hỗ trợ cho Số Phiên bản Bảo mật (SVN) và cài đặt SVN đã cập nhật trong vi chương trình.

Sau đây là đại cương của các bước để triển khai trong một doanh nghiệp.

Lưu ý Hướng dẫn bổ sung để đi kèm với các bản cập nhật sau cho bài viết này.

  • Triển khai biện pháp giảm nhẹ đầu tiên cho tất cả các thiết bị trong Doanh nghiệp hoặc nhóm thiết bị được quản lý trong Doanh nghiệp. Điều này bao gồm:

    • Chọn tham gia biện pháp giảm nhẹ đầu tiên thêm chứng chỉ ký "Windows UEFI CA 2023" vào vi chương trình thiết bị.

    • Giám sát các thiết bị đã thêm thành công chứng chỉ ký "Windows UEFI CA 2023".

  • Triển khai biện pháp giảm nhẹ thứ hai áp dụng trình quản lý khởi động đã cập nhật cho thiết bị.

  • Cập nhật mọi phương tiện có thể khởi động bên ngoài hoặc phục hồi được sử dụng với các thiết bị này.

  • Triển khai biện pháp giảm nhẹ thứ ba cho phép thu hồi chứng chỉ "Windows Production CA 2011" bằng cách thêm vào DBX trong vi chương trình.

  • Triển khai biện pháp giảm nhẹ thứ tư cập nhật Số Phiên bản Bảo mật (SVN) cho vi chương trình.

Giai đoạn Thực thi sẽ ít nhất sáu tháng sau Giai đoạn Triển khai. Khi các bản cập nhật được phát hành cho Giai đoạn Thực thi, chúng sẽ bao gồm:

  • Chứng chỉ "Windows Production PCA 2011" sẽ tự động bị thu hồi khi được thêm vào Danh sách Cấm UEFI Khởi động An toàn (DBX) trên các thiết bị có khả năng. Các bản cập nhật này sẽ được thực thi theo chương trình sau khi cài đặt các bản cập nhật cho Windows cho tất cả các hệ thống bị ảnh hưởng mà không có tùy chọn nào để bị vô hiệu hóa.

Lỗi nhật ký Sự kiện Windows liên quan đến CVE-2023-24932

Các mục nhật ký Sự kiện Windows liên quan đến việc cập nhật DB và DBX được mô tả chi tiết trong KB5016061: Khởi động An toàn DB và sự kiện cập nhật biến DBX.

Các sự kiện "thành công" liên quan đến áp dụng các biện pháp giảm nhẹ được liệt kê trong bảng sau đây.

Bước Giảm nhẹ

ID Sự kiện

Lưu ý

Áp dụng bản cập nhật DB

1036

Chứng PCA2023 đã được thêm vào DB.

Cập nhật trình quản lý khởi động

1799

Trình quản lý PCA2023 ký đã được áp dụng.

Áp dụng bản cập nhật DBX

1037

Bản cập nhật DBX không tin cậy chứng PCA2011 ký đã được áp dụng.

Câu hỏi Thường Gặp (Câu hỏi Thường Gặp)

Cập nhật tất cả các hệ điều hành Windows có các bản cập nhật được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 trước khi bạn áp dụng các biện pháp thu hồi. Bạn có thể không khởi động bất kỳ phiên bản Windows nào chưa được cập nhật lên ít nhất các bản cập nhật được phát hành vào ngày 9 tháng 7 năm 2024 sau khi áp dụng thu hồi. Làm theo hướng dẫn trong mục Khắc phục sự cố Khởi động .

Xem phần Khắc phục sự cố khởi động.

Khắc phục sự cố khởi động

Sau khi áp dụng cả ba biện pháp giảm nhẹ, vi chương trình thiết bị sẽ không khởi động bằng cách sử dụng trình quản lý khởi động được ký bởi Windows Production PCA 2011. Các lỗi khởi động được báo cáo bởi vi chương trình là dành riêng cho thiết bị. Vui lòng tham khảo phần Thủ tục khôi phục.

Quy trình phục hồi

Nếu xảy ra sự cố trong khi áp dụng các biện pháp giảm nhẹ và bạn không thể khởi động thiết bị hoặc cần bắt đầu từ phương tiện bên ngoài (chẳng hạn như ổ đĩa ngón cái hoặc khởi động PXE), hãy thử các đề xuất sau:

  1. Tắt Khởi động An toàn.Quy trình này khác nhau giữa các nhà sản xuất thiết bị và kiểu máy. Nhập menu UEFI BIOS của thiết bị của bạn và chuyển đến cài đặt Khởi động An toàn và tắt tính năng này. Kiểm tra tài liệu từ nhà sản xuất thiết bị của bạn để biết chi tiết cụ thể về quy trình này. Bạn có thể tìm thấy thêm thông tin chi tiết trong mục Tắt Khởi động An toàn.

  2. Đặt lại các phím Khởi động An toàn về cài đặt mặc định của nhà sản xuất.

    Nếu thiết bị hỗ trợ đặt lại các phím khởi động an toàn về cài đặt mặc định của nhà sản xuất, hãy thực hiện hành động này ngay.

    GHI Một số nhà sản xuất thiết bị có cả tùy chọn "Xóa" và "Đặt lại" cho các biến Khởi động An toàn, trong trường hợp này, bạn nên sử dụng tùy chọn "Đặt lại". Mục tiêu là đưa các biến Khởi động An toàn trở lại giá trị mặc định của nhà sản xuất.

    Thiết bị của bạn sẽ khởi động ngay bây giờ nhưng lưu ý rằng thiết bị có thể gặp phải phần mềm có hại bộ khởi động. Đảm bảo hoàn tất Bước 5 của quy trình khôi phục này để bật lại Khởi động An toàn.

  3. Thử khởi động Windows từ đĩa hệ thống.

    1. Đăng nhập vào Windows.

    2. Chạy các lệnh sau từ dấu nhắc lệnh Người quản trị để khôi phục tệp khởi động trong phân vùng khởi động hệ thống EFI. Nhập từng lệnh riêng biệt, rồi nhấn Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Chạy BCDBoot trả về "Tệp khởi động đã tạo thành công". Sau khi thông báo này được hiển thị, hãy khởi động lại thiết bị về Windows.

  4. Nếu Bước 3 không khôi phục thành công thiết bị, hãy cài đặt lại Windows.

    1. Khởi động thiết bị từ phương tiện phục hồi hiện có.

    2. Tiếp tục cài đặt Windows bằng cách sử dụng phương tiện khôi phục.

    3. Đăng nhập vào Windows.

    4. Khởi động lại Windows để xác minh rằng thiết bị khởi động lại Windows.

  5. Bật lại Khởi động An toàn và khởi động lại thiết bị.Nhập menu UEFI của thiết bị và điều hướng đến cài đặt Khởi động An toàn và bật tính năng này. Kiểm tra tài liệu từ nhà sản xuất thiết bị của bạn để biết chi tiết cụ thể về quy trình này. Bạn có thể tìm thêm thông tin trong mục "Bật lại Khởi động An toàn".

Tham khảo

Các sản phẩm bên thứ ba mà bài viết này đề cập được sản xuất bởi các công ty độc lập với Microsoft. Chúng tôi không đảm bảo, dù là ngụ ý hay theo bất kỳ cách nào khác, về hiệu suất hoặc mức độ tin cậy của các sản phẩm này.

Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.

Ngày thay đổi

Mô tả thay đổi

Ngày 9 tháng 7 năm 2024

  • Đã cập nhật "Bước 2: Đánh giá các thay đổi" để loại bỏ ngày 9 tháng 7 năm 2024.

  • Cập nhật tất cả các lần xuất hiện của ngày 9 tháng 4 năm 2024 đến ngày 9 tháng 7 năm 2024 ngoại trừ trong phần "Đặt thời gian cập nhật".

  • Đã cập nhật mục "phương tiện có thể khởi động" và thay thế nội dung bằng "Hướng dẫn cập nhật phương tiện có thể khởi động sẽ đến với các bản cập nhật trong tương lai".

  • Cập nhật "Ngày 9 tháng 7 năm 2024 trở lên – Giai đoạn Triển khai Bắt đầu" trong phần "Đặt thời gian cập nhật".

  • Đã thêm Bước 4 "Áp dụng bản cập nhật SVN cho vi chương trình" trong phần "Hướng dẫn triển khai giảm thiểu".

Ngày 9 tháng 4 năm 2024

  • Mở rộng các thay đổi đối với thủ tục, thông tin, hướng dẫn, và ngày. Lưu ý rằng một số thay đổi trước đó đã bị loại bỏ do các thay đổi sâu rộng được thực hiện vào ngày này.

Ngày 16 tháng 12 năm 2023

  • Đã sửa đổi ngày phát hành cho triển khai và thực thi thứ ba trong phần "Đặt thời gian cập nhật".

Ngày 15 tháng 5 năm 2023

  • Đã xóa HĐH không được hỗ trợ Windows 10, phiên bản 21H1 khỏi mục "Áp dụng cho".

Ngày 11 tháng 5 năm 2023

  • Đã thêm ghi chú THẬN TRỌNG vào Bước 1 trong mục "Hướng dẫn triển khai" về việc nâng cấp lên Windows 11, phiên bản 21H2 hoặc 22H2 hoặc một số phiên bản Windows 10.

Ngày 10 tháng 5 năm 2023

  • Làm rõ rằng phương tiện Windows có thể tải xuống được cập nhật với Bản cập nhật Tích lũy mới nhất sẽ sớm có sẵn.

  • Sửa chính tả của từ "Forbidden" (Cấm).

Ngày 9 tháng 5 năm 2023

  • Đã thêm các phiên bản được hỗ trợ bổ sung vào mục "Áp dụng cho".

  • Đã cập nhật Bước 1 của phần "Thực hiện Hành động".

  • Đã cập nhật Bước 1 của mục "Hướng dẫn triển khai".

  • Sửa các lệnh trong Bước 3a của phần "Hướng dẫn xóa".

  • Vị trí được sửa của hình ảnh UEFI Hyper-V trong phần "Khắc phục sự cố khởi động".

Ngày 27 tháng 6 năm 2023

  • Đã xóa lưu ý về việc cập nhật từ Windows 10 lên phiên bản Windows 10 mới hơn sử dụng gói bật trong Bước 1:Cài đặt trong mục "Hướng dẫn triển khai".

Ngày 11 tháng 07 năm 2023

  • Đã cập nhật các phiên bản của ngày "9 tháng 5 năm 2023" thành "ngày 11 tháng 7 năm 2023", "ngày 9 tháng 5 năm 2023 và ngày 11 tháng 7 năm 2023" hoặc "ngày 9 tháng 5 năm 2023 trở lên".

  • Trong mục "Hướng dẫn triển khai", chúng tôi lưu ý rằng tất cả các bản cập nhật động SafeOS hiện có sẵn để cập nhật phân vùng WinRE. Ngoài ra, hộp THẬN TRỌNG đã được loại bỏ vì sự cố được giải quyết bằng việc phát hành các bản cập nhật động SafeOS.

  • Trong "3. APPLY the revocations" section, the instructions have been revised.

  • Trong phần "Lỗi nhật ký Sự kiện Windows", ID Sự kiện 276 được thêm vào.

Ngày 25 tháng 8 năm 2023

  • Đã cập nhật nhiều mục khác nhau để diễn giải và thêm thông tin về bản phát hành ngày 11 tháng 7 năm 2023 và thông tin phát hành năm 2024 trong tương lai.

  • Sắp xếp lại một số nội dung từ phần "Tránh sự cố với Phương tiện Có thể khởi động" sang mục "Đang cập nhật phương tiện có thể khởi động".

  • Cập nhật mục "Đặt thời gian cập nhật" bằng thông tin và ngày triển khai đã điều chỉnh.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.