QUAN TRỌNG Bạn nên áp dụng bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 như một phần trong quá trình cập nhật hàng tháng thông thường của bạn.
Bài viết này áp dụng cho các tổ chức nên bắt đầu đánh giá các biện pháp giảm thiểu đối với bỏ qua kiểm tra khởi động an toàn được tiết lộ công khai bởi bộ khởi động BlackLotus UEFI. Ngoài ra, bạn có thể muốn có lập trường bảo mật chủ động hoặc để bắt đầu chuẩn bị cho việc triển khai. Lưu ý rằng phần mềm có hại này yêu cầu quyền truy cập vật lý hoặc quản trị vào thiết bị.
THẬN TRỌNG Sau khi đã bật biện pháp giảm nhẹ cho sự cố này trên thiết bị, nghĩa là các biện pháp giảm nhẹ đã được áp dụng, sẽ không thể hoàn nguyên nếu bạn tiếp tục sử dụng Khởi động An toàn trên thiết bị đó. Ngay cả việc định dạng lại đĩa cũng sẽ không loại bỏ việc thu hồi nếu chúng đã được áp dụng. Vui lòng lưu ý tất cả các ngụ ý có thể xảy ra và kiểm tra kỹ trước khi bạn áp dụng các biện pháp thu hồi được nêu trong bài viết này cho thiết bị của bạn.
Trong bài viết này
Tóm tắt
Bài viết này mô tả khả năng bảo vệ chống lại việc công khai tính năng bỏ qua tính năng bảo mật Khởi động An toàn sử dụng bộ khởi động BlackLotus UEFI được theo dõi bởi CVE-2023-24932, cách bật các biện pháp giảm thiểu và hướng dẫn về phương tiện có thể khởi động. Bootkit là một chương trình độc hại được thiết kế để tải càng sớm càng tốt trong trình tự khởi động thiết bị để kiểm soát bắt đầu hệ điều hành.
Khởi động An toàn được Microsoft khuyến nghị để tạo đường dẫn an toàn và đáng tin cậy từ Unified Extensible Firmware Interface (UEFI) thông qua chuỗi Khởi động Tin cậy của nhân Windows. Khởi động An toàn giúp ngăn chặn phần mềm độc hại bootkit theo trình tự khởi động. Việc tắt Khởi động An toàn khiến thiết bị có nguy cơ bị nhiễm phần mềm độc hại bootkit. Việc khắc phục sự cố bỏ qua đường vòng Khởi động An toàn được mô tả trong CVE-2023-24932 yêu cầu phải thu hồi trình quản lý khởi động. Điều này có thể gây ra sự cố cho một số cấu hình khởi động thiết bị.
Mitigations against the Secure Boot bypass detailed in CVE-2023-24932 are included in the Windows security updates that were released on or after July 9, 2024. Tuy nhiên, các biện pháp giảm nhẹ này không được bật theo mặc định. Với các bản cập nhật này, chúng tôi khuyên bạn nên bắt đầu đánh giá những thay đổi này trong môi trường của mình. Lịch biểu đầy đủ được mô tả trong phần Thời gian cập nhật.
Trước khi bạn cho phép các biện pháp giảm nhẹ, bạn nên xem xét kỹ các chi tiết trong bài viết này và xác định xem liệu bạn có phải để cho phép các biện pháp giảm nhẹ hoặc chờ cho một bản cập nhật trong tương lai từ Microsoft. Nếu chọn bật các biện pháp giảm nhẹ, bạn phải xác minh rằng thiết bị của mình đã được cập nhật, sẵn sàng và hiểu các rủi ro được mô tả trong bài viết này.
Thực hiện Hành động
Đối với bản phát hành này, bạn nên làm theo các bước sau: Bước 1: Cài đặt bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024, trên tất cả các phiên bản được hỗ trợ. Bước 2: Đánh giá các thay đổi và cách chúng ảnh hưởng đến môi trường của bạn. Bước 3: Thực thi các thay đổi. |
Phạm vi Tác động
Tất cả các thiết bị Windows có bật tính năng Bảo vệ khởi động An toàn đều bị ảnh hưởng bởi bộ khởi động BlackLotus. Các biện pháp giảm thiểu có sẵn cho các phiên bản Windows được hỗ trợ. Để biết danh sách đầy đủ, vui lòng xem CVE-2023-24932.
Hiểu rõ các rủi ro
Rủi ro phần mềm độc hại: Để có thể khai thác bộ khởi động BlackLotus UEFI được mô tả trong bài viết này, kẻ tấn công phải có đặc quyền quản trị trên thiết bị hoặc có quyền truy cập vật lý vào thiết bị. Điều này có thể được thực hiện bằng cách truy cập thiết bị một cách vật lý hoặc từ xa, chẳng hạn như bằng cách sử dụng một hypervisor để truy cập máy ảo/đám mây. Kẻ tấn công thường sẽ sử dụng lỗ hổng này để tiếp tục kiểm soát thiết bị mà họ đã có thể truy cập và có thể thao tác. Mitigations trong bài viết này là phòng ngừa và không sửa chữa. Nếu thiết bị của bạn đã bị xâm phạm, hãy liên hệ với nhà cung cấp bảo mật của bạn để được trợ giúp.
Phương tiện Khôi phục: Nếu gặp phải sự cố với thiết bị sau khi áp dụng các biện pháp giảm nhẹ và thiết bị không thể khởi động, bạn có thể không khởi động hoặc khôi phục thiết bị từ phương tiện hiện có. Phương tiện khôi phục hoặc cài đặt sẽ cần được cập nhật để phương tiện này hoạt động với thiết bị được áp dụng các biện pháp giảm nhẹ.
Sự cố vi chương trình: Khi Windows áp dụng các biện pháp giảm nhẹ được mô tả trong bài viết này, Windows phải dựa vào vi chương trình UEFI của thiết bị để cập nhật giá trị Khởi động An toàn (các bản cập nhật được áp dụng cho Khóa Cơ sở dữ liệu (DB) và Khóa Chữ ký Bị cấm (DBX)). Trong một số trường hợp, chúng tôi có kinh nghiệm với các thiết bị không thể cập nhật. Chúng tôi đang làm việc với nhà sản xuất thiết bị để kiểm tra các bản cập nhật quan trọng này trên nhiều thiết bị nhất có thể.
GHI Trước tiên, hãy kiểm tra các biện pháp giảm nhẹ này trên một thiết bị duy nhất cho mỗi lớp thiết bị trong môi trường của bạn để phát hiện các sự cố vi chương trình có thể có. Không triển khai rộng rãi trước khi xác nhận tất cả các lớp thiết bị trong môi trường của bạn đã được đánh giá.
BitLocker Recovery: Một số thiết bị có thể chuyển sang chế độ phục hồi BitLocker. Hãy nhớ giữ lại bản sao khóa khôi phục BitLocker của bạn trước khi bật các biện pháp giảm nhẹ.
Sự cố Đã biết
Sự cố vi chương trình:Không phải tất cả các thiết bị đều sẽ cập nhật thành công Khởi động An toàn DB hoặc DBX. Trong trường hợp chúng tôi biết, chúng tôi đã báo cáo sự cố cho nhà sản xuất thiết bị. Xem mục KB5016061: Bảo mật khởi động DB và sự kiện cập nhật biến DBX để biết chi tiết về các sự kiện được ghi nhật ký. Vui lòng liên hệ với nhà sản xuất thiết bị để nhận bản cập nhật vi chương trình. Nếu thiết bị không được hỗ trợ, Microsoft khuyên bạn nên nâng cấp thiết bị.
Sự cố vi chương trình đã biết:
GHI Các sự cố đã biết sau không ảnh hưởng đến và sẽ không ngăn việc cài đặt các bản cập nhật ngày 9 tháng 7 năm 2024. Trong hầu hết các trường hợp, các biện pháp giảm nhẹ sẽ không áp dụng ở nơi tồn tại các vấn đề đã biết. Xem chi tiết được chú thích trong mỗi sự cố đã biết.
-
HP: HP đã xác định sự cố với cài đặt giảm thiểu trên PC máy trạm HP Z4G4 và sẽ phát hành vi chương trình Z4G4 UEFI (BIOS) cập nhật trong các tuần tới. Để đảm bảo cài đặt thành công biện pháp giảm nhẹ, hệ thống sẽ bị chặn trên Máy trạm để bàn cho đến khi có bản cập nhật. Khách hàng nên luôn cập nhật lên hệ thống BIOS mới nhất trước khi áp dụng biện pháp giảm nhẹ.
-
Thiết bị HP có Bảo mật Bắt đầu Chắc chắn: Các thiết bị này cần có bản cập nhật vi chương trình mới nhất từ HP để cài đặt các biện pháp giảm nhẹ. Các biện pháp giảm nhẹ bị chặn cho đến khi vi chương trình được cập nhật. Cài đặt bản cập nhật vi chương trình mới nhất từ trang hỗ trợ HPs — Trình điều khiển hp chính thức và Tải xuống Phần mềm | Hỗ trợ của HP.
-
Thiết bị dựa trên Arm64: Các biện pháp giảm thiểu bị chặn do các sự cố đã biết về vi chương trình UEFI với các thiết bị dựa trên Qualcomm. Microsoft đang làm việc với Qualcomm để giải quyết sự cố này. Qualcomm sẽ cung cấp bản sửa lỗi cho các nhà sản xuất thiết bị. Hãy liên hệ với nhà sản xuất thiết bị của bạn để xác định xem có bản sửa lỗi cho sự cố này không. Microsoft sẽ bổ sung khả năng phát hiện để cho phép áp dụng các biện pháp giảm nhẹ trên các thiết bị khi phát hiện vi chương trình cố định. Nếu thiết bị dựa trên Arm64 của bạn không có vi chương trình Qualcomm, hãy đặt cấu hình khóa đăng ký sau để bật các biện pháp giảm nhẹ.
Khóa đăng ký phụ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tên Giá trị Khóa
SkipDeviceCheck
Loại dữ liệu
REG_DWORD
Dữ liệu
1
-
Quả táo:Máy Mac có Chip Bảo mật T2 của Apple hỗ trợ Khởi động An toàn. Tuy nhiên, cập nhật các biến liên quan đến bảo mật UEFI chỉ sẵn dùng như một phần của các bản cập nhật macOS. Người dùng Boot Camp dự kiến sẽ thấy một mục nhật ký sự kiện của Sự kiện ID 1795 trong Windows liên quan đến các biến. Để biết thêm thông tin về mục nhật ký này, hãy xem bài viết KB5016061: Sự kiện cập nhật biến số DB và Khởi động Bảo mật DBX.
-
VMware:Trên môi trường ảo hóa dựa trên VMware, một máy ảo sử dụng bộ xử lý dựa trên x86 có bật Khởi động An toàn, sẽ không khởi động được sau khi áp dụng các biện pháp giảm nhẹ. Microsoft đang phối hợp với VMware để giải quyết sự cố này.
-
Hệ thống dựa trên TPM 2.0: Các hệ thống này chạy Windows Server 2012 và Windows Server 2012 R2 không thể triển khai các biện pháp giảm nhẹ được phát hành trong bản cập nhật bảo mật ngày 9 tháng 7 năm 2024 do các sự cố tương thích đã biết với các phép đo TPM. Các bản cập nhật bảo mật ngày 9 tháng 7 năm 2024 sẽ chặn các biện pháp giảm nhẹ #2 (trình quản lý khởi động) và #3 (bản cập nhật DBX) trên các hệ thống bị ảnh hưởng.nhập tpm.msc. Ở phía dưới bên phải của ngăn trung tâm bên dưới Thông tin Nhà sản xuất TPM, bạn sẽ thấy một giá trị cho Phiên bản Đặc tả.
Microsoft đã biết về sự cố này và sẽ phát hành bản cập nhật trong tương lai để bỏ chặn các hệ thống dựa trên TPM 2.0. Để kiểm tra phiên bản TPM của bạn, bấm chuột phải vào Bắtđầu, bấm vào Chạy, rồi -
Mã hóa Điểm cuối Symantec: Các biện pháp giảm thiểu Khởi động An toàn không thể áp dụng cho các hệ thống đã cài đặt Mã hóa Điểm cuối Symantec. Microsoft và Symantec đã biết về sự cố này và sẽ được giải quyết trong bản cập nhật trong tương lai.
Hướng dẫn cho bản phát hành này
Đối với bản phát hành này, hãy làm theo hai bước sau.
Bước 1: Cài đặt bản cập nhật bảo mật Windows cho CVE-2023-24932 nhưng không được bật theo mặc định. Tất cả các thiết bị Windows nên hoàn thành bước này dù bạn có dự định triển khai các biện pháp giảm nhẹ hay không.
Cài đặt bản cập nhật bảo mật hàng tháng Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 trên các thiết bị Windows được hỗ trợ. Các bản cập nhật này bao gồm các biện pháp giảm nhẹBước 2: Đánh giá các thay đổi
Chúng tôi khuyến khích bạn thực hiện các thao tác sau:-
Hiểu rõ hai biện pháp giảm thiểu đầu tiên cho phép cập nhật Secure Boot DB và cập nhật trình quản lý khởi động.
-
Xem lại lịch biểu đã cập nhật.
-
Bắt đầu kiểm tra hai biện pháp giảm nhẹ đầu tiên đối với các thiết bị đại diện từ môi trường của bạn.
-
Bắt đầu lập kế hoạch triển khai.
Bước 3: Thực thi các thay đổi
Chúng tôi khuyến khích bạn hiểu những rủi ro được đề cập trong mục Hiểu về Rủi ro.
-
Hiểu rõ tác động của phương tiện khôi phục và các phương tiện có thể khởi động khác.
-
Bắt đầu kiểm tra biện pháp giảm nhẹ thứ ba không tin cậy chứng chỉ ký được sử dụng cho tất cả các trình quản lý khởi động Windows trước đây.
Hướng dẫn triển khai giảm nhẹ
Trước khi làm theo các bước này để áp dụng các biện pháp giảm nhẹ, hãy cài đặt bản cập nhật cung cấp dịch vụ hàng tháng Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 trên các thiết bị Windows được hỗ trợ. Bản cập nhật này bao gồm các biện pháp giảm nhẹ cho CVE-2023-24932 nhưng chúng không được bật theo mặc định. Tất cả các thiết bị Windows nên hoàn thành bước này bất kể bạn có kế hoạch bật các biện pháp giảm nhẹ hay không.
GHI Nếu bạn sử dụng BitLocker, hãy đảm bảo rằng khóa khôi phục BitLocker của bạn đã được sao lưu. Bạn có thể chạy lệnh sau từ dấu nhắc lệnh Người quản trị và lưu ý mật khẩu dạng số gồm 48 chữ số:
manage-bde -protectors -get %systemdrive%
Để triển khai bản cập nhật và áp dụng thu hồi, hãy làm theo các bước sau:
-
Cài đặt định nghĩa chứng chỉ cập nhật cho DB.
Bước này sẽ thêm chứng chỉ "Windows UEFI CA 2023" vào UEFI "Cơ sở dữ liệu Chữ ký Khởi động An toàn" (DB). Bằng cách thêm chứng chỉ này vào DB, vi chương trình thiết bị sẽ tin cậy các ứng dụng khởi động được ký bằng chứng chỉ này.
-
Mở dấu nhắc lệnh Người quản trị và đặt regkey để thực hiện cập nhật thành DB bằng cách nhập lệnh sau:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
QUAN TRỌNG Đảm bảo khởi động lại thiết bị hai lần để hoàn tất quá trình cài đặt bản cập nhật trước khi tiếp tục đến Bước 2 và 3.
-
Chạy lệnh PowerShell sau với tư cách Người quản trị và xác minh rằng DB đã được cập nhật thành công. Lệnh này sẽ trả về True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Cập nhật Trình quản lý Khởi động trên thiết bị của bạn.
Bước này sẽ cài đặt ứng dụng trình quản lý khởi động trên thiết bị của bạn được ký bằng chứng chỉ "'Windows UEFI CA 2023".
-
Mở dấu nhắc lệnh Người quản trị và đặt regkey để cài đặt trình quản lý khởi động đã ký "Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Khởi động lại thiết bị hai lần.
-
Là Người quản trị, gắn phân vùng EFI để chuẩn bị sẵn sàng cho việc kiểm tra:
mountvol s: /s
-
Xác thực rằng tệp "s:\efi\microsoft\boot\bootmgfw.efi" được ký bằng chứng chỉ "Windows UEFI CA 2023". Để thực hiện điều này, hãy làm theo các bước sau:
-
Bấm Vào Bắt đầu, nhập dấu nhắc lệnh vào hộp Tìm kiếm, rồi bấm vào Dấu nhắc Lệnh.
-
Trong cửa sổ Dấu nhắc Lệnh, nhập lệnh sau đây, rồi nhấn Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Trong Trình quản lý Tệp, bấm chuột phải vào tệp C:\bootmgfw_2023.efi, bấm Thuộc tính, rồi chọn tab Chữ ký Số .
-
Trong danh sách Chữ ký, xác nhận rằng chuỗi chứng chỉ bao gồm Windows UEFI CA 2023. Chuỗi chứng chỉ phải khớp với ảnh chụp màn hình sau:
-
-
-
Bật thu hồi.
Danh sách cấm UEFI (DBX) được sử dụng để chặn không cho tải mô-đun UEFI không đáng tin cậy. Trong bước này, việc cập nhật DBX sẽ thêm chứng chỉ "Windows Production CA 2011" vào DBX. Điều này sẽ khiến tất cả các trình quản lý khởi động được ký bằng chứng chỉ này không còn được tin cậy nữa.
CẢNH BÁO: Trước khi áp dụng biện pháp giảm nhẹ thứ ba, hãy tạo ổ đĩa flash khôi phục có thể được sử dụng để khởi động hệ thống. Để biết thông tin về cách thực hiện việc này, hãy xem phần Cập nhật Phương tiện cài đặt Windows.
Nếu hệ thống của bạn chuyển sang trạng thái không thể khởi động, hãy làm theo các bước trong phần Quy trình khôi phục để đặt lại thiết bị về trạng thái thu hồi trước.
-
Thêm chứng chỉ "Windows Production PCA 2011" vào Danh sách Cấm Khởi động An toàn UEFI (DBX). Để thực hiện điều này, hãy mở cửa sổ Dấu nhắc Lệnh với tư cách Người quản trị, nhập lệnh sau đây, rồi nhấn Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Khởi động lại thiết bị hai lần và xác nhận rằng thiết bị đã khởi động lại hoàn toàn.
-
Xác minh việc cài đặt và thu hồi danh sách đã được áp dụng thành công bằng cách tìm kiếm sự kiện 1037 trong nhật ký sự kiện.xem bài viết KB5016061: Sự kiện cập nhật biến số Khởi động Bảo mật DB và DBX. Hoặc chạy lệnh PowerShell sau với tư cách Người quản trị và đảm bảo lệnh trả về True:
Để biết thông tin về Sự kiện 1037, hãy[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).byte) -match 'Microsoft Windows Production PCA 2011'
-
-
Áp dụng bản cập nhật SVN cho vi chương trình.
Trình quản lý Khởi động được triển khai ở Bước 2 có tích hợp tính năng tự thu hồi mới. Khi Trình quản lý Khởi động bắt đầu chạy, Trình quản lý Khởi động thực hiện tự kiểm tra bằng cách so sánh Số Phiên bản An toàn (SVN) được lưu trữ trong vi chương trình, với SVN được tích hợp vào Trình quản lý Khởi động. Nếu Trình quản lý Khởi động SVN thấp hơn SVN được lưu trữ trong phần mềm điều khiển, Trình quản lý Khởi động sẽ từ chối chạy. Tính năng này ngăn chặn kẻ tấn công quay lui Trình quản lý Khởi động về phiên bản cũ hơn, không cập nhật. Trong các bản cập nhật trong tương lai, khi một vấn đề bảo mật quan trọng được khắc phục trong Trình quản lý Khởi động, số SVN sẽ tăng dần trong cả Trình quản lý Khởi động và bản cập nhật cho vi chương trình. Cả hai bản cập nhật sẽ được phát hành trong cùng một bản cập nhật tích lũy để đảm bảo rằng các thiết bị được vá được bảo vệ. Mỗi lần SVN được cập nhật, mọi phương tiện có thể khởi động sẽ cần được cập nhật. Kể từ ngày 9 tháng 7 năm 2024, các bản cập nhật, SVN đang được tăng dần trong Trình quản lý Khởi động và cập nhật lên vi chương trình. Bản cập nhật vi chương trình là tùy chọn và có thể được áp dụng theo các bước sau:-
Mở dấu nhắc lệnh Người quản trị và chạy lệnh sau đây để cài đặt trình quản lý khởi động đã ký "Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Khởi động lại thiết bị hai lần.
-
Phương tiện có thể khởi động
Điều quan trọng là cập nhật phương tiện có thể khởi động sau khi Giai đoạn Triển khai bắt đầu trong môi trường của bạn.
Hướng dẫn cập nhật phương tiện có thể khởi động sẽ xuất hiện trong các bản cập nhật trong tương lai cho bài viết này. Xem mục tiếp theo để tạo ổ đĩa USB để khôi phục thiết bị.
Cập nhật phương tiện cài đặt Windows
GHI Khi tạo ổ đĩa USB thumb có thể khởi động, hãy đảm bảo định dạng ổ đĩa bằng cách sử dụng hệ thống tệp FAT32.
Bạn có thể sử dụng ứng dụng Tạo Ổ đĩa Khôi phục bằng cách làm theo các bước sau. Phương tiện này có thể được sử dụng để cài đặt lại thiết bị trong trường hợp có sự cố lớn như lỗi phần cứng, bạn sẽ có thể sử dụng ổ đĩa khôi phục để cài đặt lại Windows.
-
Đi tới thiết bị đã áp dụng các bản cập nhật ngày 9 tháng 7 năm 2024 và bước giảm thiểu đầu tiên (cập nhật DB Khởi động An toàn).
-
Từ menu Bắt đầu , tìm kiếm applet panel điều khiển "Tạo Ổ đĩa Khôi phục" và làm theo hướng dẫn để tạo ổ đĩa khôi phục.
-
Với ổ đĩa flash mới được tạo được gắn kết (ví dụ: như ổ đĩa "D:"), hãy chạy các lệnh sau với tư cách người quản trị. Nhập từng lệnh sau đây, rồi nhấn Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Nếu bạn quản lý phương tiện có thể cài đặt trong môi trường của mình bằng cách sử dụng phương tiện cài đặt Update Windows bằng hướng dẫn Cập nhật Động, hãy làm theo các bước sau. Các bước bổ sung này sẽ tạo ra ổ đĩa flash có thể khởi động sử dụng tệp khởi động được ký bằng chứng chỉ ký "Windows UEFI CA 2023".
-
Đi tới thiết bị đã áp dụng bản cập nhật ngày 9 tháng 7 năm 2024 và bước giảm thiểu đầu tiên (cập nhật DB Khởi động An toàn).
-
Hãy làm theo các bước trong liên kết bên dưới để tạo phương tiện có bản cập nhật ngày 9 tháng 7 năm 2024. Cập nhật phương tiện cài đặt Windows bằng Bản cập nhật Động
-
Đặt nội dung của phương tiện truyền thông trên ổ đĩa USB ngón cái và gắn ổ đĩa ngón cái dưới dạng chữ cái ổ đĩa. Ví dụ: gắn ổ đĩa ngón cái là "D:".
-
Chạy các lệnh sau từ cửa sổ lệnh với tư cách người quản trị. Nhập từng lệnh sau đây, rồi nhấn Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Nếu thiết bị có cài đặt Khởi động An toàn đặt lại về cài đặt mặc định sau khi áp dụng các biện pháp giảm thiểu, thiết bị sẽ không khởi động. Để giải quyết sự cố này, một ứng dụng sửa chữa được bao gồm trong các bản cập nhật ngày 9 tháng 7 năm 2024 có thể được sử dụng để áp dụng lại chứng chỉ "Windows UEFI CA 2023" cho DB (giảm nhẹ #1).
GHI Không sử dụng ứng dụng sửa chữa này trên thiết bị hoặc hệ thống được mô tả trong phần Sự cố Đã biết.
-
Chuyển đến thiết bị đã áp dụng bản cập nhật ngày 9 tháng 7 năm 2024.
-
Trong cửa sổ lệnh, sao chép ứng dụng khôi phục vào ổ đĩa flash bằng cách sử dụng các lệnh sau đây (giả sử ổ đĩa flash là ổ đĩa "D:"). Nhập từng lệnh riêng biệt, rồi nhấn Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Trên thiết bị có cài đặt Khởi động An toàn đặt lại về cài đặt mặc định, lắp ổ đĩa flash, khởi động lại thiết bị và khởi động từ ổ đĩa flash.
Thời gian cập nhật
Các bản cập nhật được phát hành như sau:
-
Triển khai Ban đầu Giai đoạn này bắt đầu với các bản cập nhật được phát hành vào ngày 9 tháng 5 năm 2023 và cung cấp các biện pháp giảm thiểu cơ bản với các bước thủ công để cho phép các biện pháp giảm nhẹ đó.
-
Triển khai Lần thứ hai Giai đoạn này bắt đầu với các bản cập nhật được phát hành vào ngày 11 tháng 7 năm 2023, thêm các bước được đơn giản hóa để cho phép khắc phục sự cố.
-
Giai đoạn Đánh giá Giai đoạn này sẽ bắt đầu vào ngày 9 tháng 4 năm 2024 và sẽ thêm các biện pháp giảm nhẹ trình quản lý khởi động bổ sung.
-
Giai đoạn Triển khai Đây là khi chúng tôi sẽ khuyến khích tất cả các khách hàng bắt đầu triển khai các biện pháp giảm thiểu và cập nhật phương tiện.
-
Giai đoạn Thực thi Giai đoạn thực thi sẽ làm cho các biện pháp giảm nhẹ vĩnh viễn. Ngày cho giai đoạn này sẽ được thông báo vào một ngày sau đó.
Lưu ý Lịch phát hành có thể được sửa đổi nếu cần.
Giai đoạn này đã được thay thế bằng bản cập nhật bảo mật Windows phát hành vào hoặc sau ngày 9 tháng 4 năm 2024.
Giai đoạn này đã được thay thế bằng bản cập nhật bảo mật Windows phát hành vào hoặc sau ngày 9 tháng 4 năm 2024.
Với giai đoạn này, chúng tôi yêu cầu bạn kiểm tra những thay đổi này trong môi trường của bạn để đảm bảo rằng các thay đổi hoạt động chính xác với các thiết bị mẫu đại diện và có được trải nghiệm với các thay đổi.
GHI Thay vì cố gắng liệt kê đầy đủ và không tin cậy các nhà quản lý khởi động dễ bị tổn thương như chúng tôi đã làm trong các giai đoạn triển khai trước đó, chúng tôi đang thêm chứng chỉ ký "Windows Production PCA 2011" vào Danh sách Không cho phép Khởi động An toàn (DBX) để không tin cậy tất cả các trình quản lý khởi động được ký bằng chứng chỉ này. Đây là một phương pháp đáng tin cậy hơn để đảm bảo rằng tất cả các trình quản lý khởi động trước đó là không đáng tin cậy.
Thêm các bản cập nhật dành cho Windows được phát hành vào hoặc sau ngày 9 tháng 4 năm 2024:
-
Ba điều khiển giảm nhẹ mới thay thế các biện pháp giảm nhẹ được phát hành vào năm 2023. Các điều khiển giảm nhẹ mới là:
-
Một điều khiển để triển khai chứng chỉ "Windows UEFI CA 2023" cho DB Khởi động An toàn để thêm độ tin cậy cho trình quản lý khởi động Windows được ký bằng chứng chỉ này. Lưu ý rằng chứng chỉ "Windows UEFI CA 2023" có thể đã được cài đặt bởi một bản cập nhật Windows trước đó.
-
Điều khiển để triển khai trình quản lý khởi động được ký bằng chứng chỉ "Windows UEFI CA 2023".
-
Điều khiển để thêm "Windows Production PCA 2011" vào Secure Boot DBX sẽ chặn tất cả các trình quản lý khởi động Windows được ký bằng chứng chỉ này.
-
-
Khả năng cho phép triển khai giảm thiểu trong các giai đoạn một cách độc lập để cho phép kiểm soát nhiều hơn trong việc triển khai các biện pháp giảm nhẹ trong môi trường của bạn dựa trên nhu cầu của bạn.
-
Các mitigations được interlocked do đó họ không thể được triển khai theo thứ tự không chính xác.
-
Các sự kiện bổ sung để biết trạng thái của thiết bị khi chúng áp dụng các biện pháp giảm nhẹ. Xem mục KB5016061: Bảo mật khởi động DB và sự kiện cập nhật biến DBX để biết thêm chi tiết về các sự kiện.
Giai đoạn này là khi chúng tôi khuyến khích khách hàng bắt đầu triển khai các biện pháp giảm thiểu và quản lý mọi bản cập nhật phương tiện. Các bản cập nhật bao gồm những thay đổi sau:
-
Thêm hỗ trợ cho Số Phiên bản Bảo mật (SVN) và cài đặt SVN đã cập nhật trong vi chương trình.
Sau đây là đại cương của các bước để triển khai trong một doanh nghiệp.
Lưu ý Hướng dẫn bổ sung để đi kèm với các bản cập nhật sau cho bài viết này.
-
Triển khai biện pháp giảm nhẹ đầu tiên cho tất cả các thiết bị trong Doanh nghiệp hoặc nhóm thiết bị được quản lý trong Doanh nghiệp. Điều này bao gồm:
-
Chọn tham gia biện pháp giảm nhẹ đầu tiên thêm chứng chỉ ký "Windows UEFI CA 2023" vào vi chương trình thiết bị.
-
Giám sát các thiết bị đã thêm thành công chứng chỉ ký "Windows UEFI CA 2023".
-
-
Triển khai biện pháp giảm nhẹ thứ hai áp dụng trình quản lý khởi động đã cập nhật cho thiết bị.
-
Cập nhật mọi phương tiện có thể khởi động bên ngoài hoặc phục hồi được sử dụng với các thiết bị này.
-
Triển khai biện pháp giảm nhẹ thứ ba cho phép thu hồi chứng chỉ "Windows Production CA 2011" bằng cách thêm vào DBX trong vi chương trình.
-
Triển khai biện pháp giảm nhẹ thứ tư cập nhật Số Phiên bản Bảo mật (SVN) cho vi chương trình.
Giai đoạn Thực thi sẽ ít nhất sáu tháng sau Giai đoạn Triển khai. Khi các bản cập nhật được phát hành cho Giai đoạn Thực thi, chúng sẽ bao gồm:
-
Chứng chỉ "Windows Production PCA 2011" sẽ tự động bị thu hồi khi được thêm vào Danh sách Cấm UEFI Khởi động An toàn (DBX) trên các thiết bị có khả năng. Các bản cập nhật này sẽ được thực thi theo chương trình sau khi cài đặt các bản cập nhật cho Windows cho tất cả các hệ thống bị ảnh hưởng mà không có tùy chọn nào để bị vô hiệu hóa.
Lỗi nhật ký Sự kiện Windows liên quan đến CVE-2023-24932
Các mục nhật ký Sự kiện Windows liên quan đến việc cập nhật DB và DBX được mô tả chi tiết trong KB5016061: Khởi động An toàn DB và sự kiện cập nhật biến DBX.
Các sự kiện "thành công" liên quan đến áp dụng các biện pháp giảm nhẹ được liệt kê trong bảng sau đây.
Bước Giảm nhẹ |
ID Sự kiện |
Lưu ý |
Áp dụng bản cập nhật DB |
1036 |
Chứng PCA2023 đã được thêm vào DB. |
Cập nhật trình quản lý khởi động |
1799 |
Trình quản lý PCA2023 ký đã được áp dụng. |
Áp dụng bản cập nhật DBX |
1037 |
Bản cập nhật DBX không tin cậy chứng PCA2011 ký đã được áp dụng. |
Câu hỏi Thường Gặp (Câu hỏi Thường Gặp)
-
Xem phần Thủ tục Phục hồi để khôi phục thiết bị.
-
Làm theo hướng dẫn trong mục Khắc phục sự cố Khởi động .
Cập nhật tất cả các hệ điều hành Windows có các bản cập nhật được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024 trước khi bạn áp dụng các biện pháp thu hồi. Bạn có thể không khởi động bất kỳ phiên bản Windows nào chưa được cập nhật lên ít nhất các bản cập nhật được phát hành vào ngày 9 tháng 7 năm 2024 sau khi áp dụng thu hồi. Làm theo hướng dẫn trong mục Khắc phục sự cố Khởi động .
Xem phần Khắc phục sự cố khởi động.
Khắc phục sự cố khởi động
Sau khi áp dụng cả ba biện pháp giảm nhẹ, vi chương trình thiết bị sẽ không khởi động bằng cách sử dụng trình quản lý khởi động được ký bởi Windows Production PCA 2011. Các lỗi khởi động được báo cáo bởi vi chương trình là dành riêng cho thiết bị. Vui lòng tham khảo phần Thủ tục khôi phục.
Quy trình phục hồi
Nếu xảy ra sự cố trong khi áp dụng các biện pháp giảm nhẹ và bạn không thể khởi động thiết bị hoặc cần bắt đầu từ phương tiện bên ngoài (chẳng hạn như ổ đĩa ngón cái hoặc khởi động PXE), hãy thử các đề xuất sau:
-
Tắt Khởi động An toàn.chi tiết trong mục Tắt Khởi động An toàn.
Quy trình này khác nhau giữa các nhà sản xuất thiết bị và kiểu máy. Nhập menu UEFI BIOS của thiết bị của bạn và chuyển đến cài đặt Khởi động An toàn và tắt tính năng này. Kiểm tra tài liệu từ nhà sản xuất thiết bị của bạn để biết chi tiết cụ thể về quy trình này. Bạn có thể tìm thấy thêm thông tin -
Đặt lại các phím Khởi động An toàn về cài đặt mặc định của nhà sản xuất.
Nếu thiết bị hỗ trợ đặt lại các phím khởi động an toàn về cài đặt mặc định của nhà sản xuất, hãy thực hiện hành động này ngay.
GHI Một số nhà sản xuất thiết bị có cả tùy chọn "Xóa" và "Đặt lại" cho các biến Khởi động An toàn, trong trường hợp này, bạn nên sử dụng tùy chọn "Đặt lại". Mục tiêu là đưa các biến Khởi động An toàn trở lại giá trị mặc định của nhà sản xuất.
Thiết bị của bạn sẽ khởi động ngay bây giờ nhưng lưu ý rằng thiết bị có thể gặp phải phần mềm có hại bộ khởi động. Đảm bảo hoàn tất Bước 5 của quy trình khôi phục này để bật lại Khởi động An toàn.
-
Thử khởi động Windows từ đĩa hệ thống.
-
Đăng nhập vào Windows.
-
Chạy các lệnh sau từ dấu nhắc lệnh Người quản trị để khôi phục tệp khởi động trong phân vùng khởi động hệ thống EFI. Nhập từng lệnh riêng biệt, rồi nhấn Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Chạy BCDBoot trả về "Tệp khởi động đã tạo thành công". Sau khi thông báo này được hiển thị, hãy khởi động lại thiết bị về Windows.
-
-
Nếu Bước 3 không khôi phục thành công thiết bị, hãy cài đặt lại Windows.
-
Khởi động thiết bị từ phương tiện phục hồi hiện có.
-
Tiếp tục cài đặt Windows bằng cách sử dụng phương tiện khôi phục.
-
Đăng nhập vào Windows.
-
Khởi động lại Windows để xác minh rằng thiết bị khởi động lại Windows.
-
-
Bật lại Khởi động An toàn và khởi động lại thiết bị.
Nhập menu UEFI của thiết bị và điều hướng đến cài đặt Khởi động An toàn và bật tính năng này. Kiểm tra tài liệu từ nhà sản xuất thiết bị của bạn để biết chi tiết cụ thể về quy trình này. Bạn có thể tìm thêm thông tin trong mục "Bật lại Khởi động An toàn".
Tham khảo
-
Hướng dẫn điều tra các cuộc tấn công bằng cách sử dụng CVE-2022-21894: Chiến dịch BlackLotus
-
Đối với các sự kiện được tạo khi áp dụng các bản cập nhật DBX, hãy xem bài KB5016061: Khắc phục người quản lý Khởi động dễ bị tấn công và bị thu hồi.
Các sản phẩm bên thứ ba mà bài viết này đề cập được sản xuất bởi các công ty độc lập với Microsoft. Chúng tôi không đảm bảo, dù là ngụ ý hay theo bất kỳ cách nào khác, về hiệu suất hoặc mức độ tin cậy của các sản phẩm này.
Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.
Ngày thay đổi |
Mô tả thay đổi |
Ngày 9 tháng 7 năm 2024 |
|
Ngày 9 tháng 4 năm 2024 |
|
Ngày 16 tháng 12 năm 2023 |
|
Ngày 15 tháng 5 năm 2023 |
|
Ngày 11 tháng 5 năm 2023 |
|
Ngày 10 tháng 5 năm 2023 |
|
Ngày 9 tháng 5 năm 2023 |
|
Ngày 27 tháng 6 năm 2023 |
|
Ngày 11 tháng 07 năm 2023 |
|
Ngày 25 tháng 8 năm 2023 |
|