Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

ВАЖЕН Трябва да приложите актуализацията на защитата на Windows, издадена на или след 9 юли 2024 г., като част от вашия редовен месечен процес на актуализация.

Тази статия се отнася за тези организации, които трябва да започнат да оценяват предпазни мерки за публично оповестено защитено стартиране, заобикаляно от BlackLotus UEFI bootkit. Освен това може да искате да се заемете с проактивна позиция на защитата или да започнете да се подготвяте за внедряването. Имайте предвид, че този злонамерен софтуер изисква физически или административен достъп до устройството.

ПРЕДПАЗЛИВОСТ След като смекчаването за този проблем е разрешено на устройство, което означава, че смекчаванията са приложени, то не може да бъде върнато, ако продължите да използвате защитеното стартиране на това устройство. Дори преформатиране на диска няма да премахне анулираните файлове, ако вече са приложени. Имайте предвид всички възможни последствия и тествайте внимателно, преди да приложите анулиранията, които са описани в тази статия, към вашето устройство.

В тази статия

Резюме

Тази статия описва защитата срещу публично оповестената функция за защита на защитеното стартиране заобикаляне, която използва комплекта за стартиране BlackLotus UEFI, проследяван от CVE-2023-24932, как да разрешите предпазните мерки и указания за стартов носител. Bootkit е злонамерена програма, която е предназначена да се зарежда възможно най-рано в последователността за стартиране на устройства за управление на стартирането на операционната система.

Защитеното стартиране се препоръчва от Microsoft да направи безопасен и надежден път от унифициран разширяем интерфейс за фърмуер (UEFI) чрез последователността на надеждно стартиране на ядрото на Windows. Защитеното стартиране помага за предотвратяване на злонамерен софтуер bootkit в последователността на зареждане. Забраняването на защитеното стартиране поставя дадено устройство в риск от заразяване със злонамерен софтуер bootkit. Коригирането на заобикалянето на защитеното стартиране, описано в CVE-2023-24932, изисква анулиране на диспечерите за стартиране. Това може да доведе до проблеми при някои конфигурации за зареждане на устройството.

Предпазни мерки срещу заобикаляне на защитеното стартиране, подробно описани в CVE-2023-24932 , са включени в актуализациите на защитата на Windows, които са издадени на или след 9 юли 2024 г. Въпреки това тези предпазни мерки не са разрешени по подразбиране. С тези актуализации ви препоръчваме да започнете да оценявате тези промени във вашата среда. Пълният график е описан в раздела Време на актуализациите .

Преди да разрешите тези смекчавания, трябва внимателно да прегледате подробностите в тази статия и да определите дали трябва да разрешите предпазните мерки, или да изчакате бъдеща актуализация от Microsoft. Ако изберете да разрешите предпазните мерки, трябва да се уверите, че вашите устройства са актуализирани и готови и да разберете рисковете, описани в тази статия. 

Предприемане на действие 

За това издание трябва да бъдат следвани следните стъпки:

Стъпка 1: Инсталирайте актуализацията на защитата на Windows, издадена на или след 9 юли 2024 г., на всички поддържани версии.

Стъпка 2: Оценявайте промените и как те влияят върху вашата среда.

Стъпка 3: Прилагане на промените.

Обхват на въздействието

Всички устройства с Windows с активирани защити за защитено стартиране са засегнати от bootkit BlackLotus. Има смекчавания на последствията за поддържаните версии на Windows. За пълния списък вж. CVE-2023-24932.

Разбиране на рисковете

Риск от злонамерен софтуер: За да бъде възможен хакът blackLotus UEFI bootkit, описан в тази статия, атакуващият трябва да получи администраторски привилегии на устройство или да получи физически достъп до устройството. Това може да се направи чрез физически или отдалечен достъп до устройството, като например чрез използване на софтуер за управление за достъп до виртуални машини/облак. Хакерът обикновено ще използва тази уязвимост, за да продължи да управлява устройство, до което вече може да има достъп и да манипулира. Предпазните мерки в тази статия са превантивни и не коригиращи. Ако устройството ви вече е компрометирано, свържете се с вашия доставчик на защита за помощ.

Носител за възстановяване: Ако срещнете проблем с устройството след прилагането на смекчаванията и устройството стане невъзстановимо, може да не можете да стартирате или възстановите вашето устройство от съществуващ носител. Носителят за възстановяване или инсталиране ще трябва да се актуализира, така че да работи с устройство, което има приложени смекчавания.

Проблеми с фърмуера: Когато Windows прилага предпазните мерки, описани в тази статия, той трябва да разчита на фърмуера UEFI на устройството, за да актуализира стойностите на защитеното стартиране (актуализациите се прилагат към ключа за база данни (DB) и ключа за подпис от забрана (DBX)). В някои случаи имаме опит с устройства, които не успяват да се актуализират. Работим с производители на устройства, за да тестваме тези ключови актуализации на възможно най-много устройства.

БЕЛЕЖКА Първо тествайте тези смекчавания на едно устройство на клас устройство във вашата среда, за да откриете възможни проблеми с фърмуера. Не разполагайте най-общо, преди да потвърдите, че всички класове устройства във вашата среда са оценени.

Възстановяване на BitLocker: Някои устройства може да влязат в възстановяване на BitLocker. Не забравяйте да запазите копие на вашия ключ за възстановяване на BitLocker , преди да разрешите предпазните мерки.

Известни проблеми

Проблеми с фърмуера:Не всички фърмуер на устройството ще актуализират успешно DB или DBX на защитеното стартиране. В случаите, за които сме наясно, съобщихме за проблема на производителя на устройството. Вижте KB5016061: Събития за актуализиране на DB и DBX променливи за защитено стартиране за подробности относно регистрирани събития. Свържете се с производителя на устройството за актуализации на фърмуера. Ако устройството не се поддържа, Microsoft препоръчва надстройване на устройството.

Известни проблеми с фърмуера:

БЕЛЕЖКА Следните известни проблеми не оказват влияние върху и няма да предотвратят инсталирането на актуализациите от 9 юли 2024 г. В повечето случаи смекчаванията няма да се прилагат, когато съществуват известни проблеми. Вижте подробна информация за всеки известен проблем.

  • 5000000 HP идентифицира проблем с инсталирането на смекчаване на последствията на компютри HP Z4G4 Workstation и ще издаде актуализиран фърмуер Z4G4 UEFI (BIOS) в следващите седмици. За да се осигури успешно инсталиране на смекчаването, то ще бъде блокирано на работни станции за настолни компютри, докато актуализацията не стане налична. Клиентите винаги трябва да актуализират до най-новия BIOS на системата, преди да приложат смекчаването.

  • Устройства HP със сигурна защита "Старт": Тези устройства се нуждаят от най-новите актуализации на фърмуера от HP, за да инсталират смекчаванията. Смекчаванията се блокират, докато фърмуерът не се актуализира. Инсталирайте най-новата актуализация на фърмуера от страницата за поддръжка на HPs – Официални драйвери на HP и изтегляне на софтуер | Поддръжка на HP.

  • Устройства, базирани на Arm64: Предпазните мерки са блокирани поради известни проблеми с фърмуера на UEFI с устройства, базирани на Qualcomm. Microsoft работи с Qualcomm, за да разреши този проблем. Qualcomm ще предостави корекцията на производителите на устройства. Свържете се с производителя на устройството, за да разберете дали е налична корекция за този проблем. Microsoft ще добави откриване, за да позволи предпазните мерки да се прилагат на устройствата, когато е открит фиксираният фърмуер. Ако вашето устройство, базирано на Arm64, няма фърмуер Qualcomm, конфигурирайте следния ключ от системния регистър, за да разрешите предпазните мерки.

    Подключ от системния регистър

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Име на стойност на ключ

    SkipDeviceCheck

    Тип данни

    REG_DWORD

    Данни

    1

  • Ябълка:Компютри Mac, които имат Apple T2 Security Chip поддържат Защитено стартиране. Въпреки това актуализирането на променливи, свързани със защитата на UEFI, е налично само като част от актуализации на macOS. От потребителите на boot Camp се очаква да видят запис в регистъра на събитията на Event ID 1795 в Windows, свързан с тези променливи. За повече информация относно този запис в регистрационния файл вижте KB5016061: събития за актуализация на защитено стартиране на DB и DBX променливи.

  • VMware:В базирани на VMware среди за виртуализация VM, използващ процесор, базиран на x86, с разрешено защитено зареждане, няма да успее да стартира след прилагането на предпазните мерки. Microsoft се координира с VMware, за да се справи с този проблем.

  • Системи, базирани на TPM 2.0:  Тези системи, които работят с Windows Server 2012 и Windows Server 2012 R2, не могат да разположат предпазни мерки, издадени в актуализацията на защитата от 9 юли 2024 г. поради известни проблеми със съвместимостта с измервания на TPM. Актуализациите на защитата от 9 юли 2024 г. ще блокират смекчавания #2 (диспечер за зареждане) и #3 (DBX актуализация) на засегнатите системи.Microsoft е наясно с проблема и в бъдеще ще бъде издадена актуализация за деблокиране на системи, базирани на TPM 2.0.За да проверите своята версия на TPM, щракнете с десния бутон върху Старт, щракнете върху Изпълнение и след това въведете tpm.msc. Долу вдясно на централния екран под Информация за производителя на TPM би трябвало да видите стойност за Версия на спецификацията.

  • Шифроване на крайна точка на Symantec: Смекчаванията на защитеното стартиране не могат да бъдат приложени към системи, които са инсталирали шифроване на крайна точка на Symantec. Microsoft и Symantec са наясно с проблема и ще бъдат разгледани в бъдеща актуализация.

Указания за това издание

За това издание изпълнете следните две стъпки.

Стъпка 1: Инсталиране на актуализацията на защитата на Windows Инсталирайте месечната актуализация на защитата на Windows, издадена на или след 9 юли 2024 г., на поддържани устройства с Windows. Тези актуализации включват смекчавания за CVE-2023-24932, но не са разрешени по подразбиране. Всички устройства с Windows трябва да изпълнят тази стъпка независимо дали планирате да разположите предпазните мерки.

Стъпка 2: Изчисляване на промените Препоръчваме ви да направите следното:

  • Разберете първите две смекчавания, които позволяват актуализиране на базата данни за защитено стартиране и актуализиране на диспечера за зареждане.

  • Прегледайте актуализирания график.

  • Започнете да тествате първите две смекчавания на последствията срещу представителни устройства от вашата среда.

  • Започнете да планирате разполагането.

Стъпка 3: Прилагане на промените

Препоръчваме ви да разберете рисковете, посочени в раздела Разбиране на рисковете.

  • Разберете въздействието върху възстановяването и друг стартов носител.

  • Започнете да тествате третото смекчаване, което ненадеждно издава сертификата за подписване, използван за всички предишни диспечери за стартиране на Windows.

Указания за разполагане на смекчаване

Преди да изпълните тези стъпки за прилагане на предпазни мерки, инсталирайте месечната актуализация за обслужване на Windows, издадена на или след 9 юли 2024 г., на поддържани устройства с Windows. Тази актуализация включва смекчавания за CVE-2023-24932, но те не са разрешени по подразбиране. Всички устройства с Windows трябва да изпълнят тази стъпка независимо от вашия план за разрешаване на предпазните мерки.

БЕЛЕЖКА Ако използвате BitLocker, уверете се, че вашият ключ за възстановяване на BitLocker е архивиран. Можете да изпълните следната команда от команден прозорец администратор и обърнете внимание на 48-цифрената цифрова парола:

manage-bde -protectors -get %systemdrive%

За да разположите актуализацията и да приложите анулираните, изпълнете следните стъпки:

  1. Инсталирайте актуализираните дефиниции на сертификати на базата данни.

    Тази стъпка ще добави сертификата "Windows UEFI CA 2023" към UEFI "База данни за подпис на защитено стартиране" (DB). Чрез добавянето на този сертификат към базата данни фърмуерът на устройството ще се довери на приложенията за стартиране, подписани от този сертификат.

    1. Отворете команден прозорец на администратор и задайте regkey да извърши актуализацията на базата данни чрез въвеждане на следната команда:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      ВАЖЕН Не забравяйте да рестартирате устройството два пъти, за да завършите инсталирането на актуализацията, преди да продължите със стъпки 2 и 3.

    2. Изпълнете следната команда на PowerShell като администратор и проверете дали базата данни е актуализирана успешно. Тази команда трябва да върне True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Актуализирайте диспечера за зареждане на вашето устройство.

    Тази стъпка ще инсталира приложение на диспечера за зареждане на вашето устройство, което е подписано със сертификата "Windows UEFI CA 2023".

    1. Отворете команден прозорец на администратор и задайте regkey за инсталиране на диспечера за зареждане, подписан с "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Рестартирайте устройството два пъти.

    3. Като администратор, монтирайте дяла EFI, за да го подготвите за проверка:

      mountvol s: /s

    4. Проверете дали файлът "s:\efi\microsoft\boot\bootmgfw.efi" е подписан от сертификата "Windows UEFI CA 2023". За да направите това, следвайте тези стъпки:

      1. Щракнете върху Старт, въведете команден прозорец в полето Търсене и след това щракнете върху Команден прозорец.

      2. В прозореца Команден прозорец въведете следната команда и след това натиснете Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Във File Manager щракнете с десния бутон върху файла C:\bootmgfw_2023.efi, щракнете върху Свойства и след това изберете раздела Цифрови подписи .

      4. В списъка Подпис потвърдете, че веригата от сертификати включва Windows UEFI CA 2023. Веригата от сертификати трябва да съответства на следната екранна снимка:Сертификати

  3. Разрешаване на анулирането.

    Списъкът от забранени UEFI (DBX) се използва за блокиране на зареждането на ненадеждни UEFI модули. В тази стъпка актуализирането на DBX ще добави сертификата "Windows Production CA 2011" към DBX. Това ще доведе до това всички диспечери за стартиране, подписани от този сертификат, вече да не са надеждни.

    ПРЕДУПРЕЖДЕНИЕ: Преди да приложите третото смекчаване, създайте флаш устройство за възстановяване, което може да се използва за зареждане на системата. За информация как да направите това, вижте раздела Актуализиране на носител за инсталиране на Windows.

    Ако системата ви попадне в състояние, което не е стартиращо, следвайте стъпките в раздела Процедура по възстановяване, за да нулирате устройството до състояние на предварително анулиране.

    1. Добавете сертификата "Windows Production PCA 2011" към списъка със забранени UEFI на защитено стартиране (DBX). За да направите това, отворете команден прозорец като администратор, въведете следната команда и след това натиснете Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Рестартирайте устройството два пъти и се уверете, че е рестартирано напълно.

    3. Проверете дали списъкът за инсталиране и анулиране е приложен успешно, като потърсите събитие 1037 в регистъра на събитията.За информация относно събитие 1037 вижте KB5016061: Събития за актуализация на защитено стартиране на DB и DBX променливи. Или изпълнете следната команда на PowerShell като администратор и се уверете, че връща True:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) - match "Microsoft Windows Production PCA 2011" 

  4. Приложете SVN актуализацията към фърмуера. Диспечерът за зареждане, разположен на стъпка 2, има вградена нова функция за самостоятелно анулиране. Когато диспечерът за зареждане започне да се изпълнява, той извършва само проверка, като сравнява защитения номер на версията (SVN), който се съхранява във фърмуера, с SVN, вграден в диспечера за зареждане. Ако SVN на диспечера за зареждане е по-нисък от SVN, съхранен във фърмуера, диспечерът за зареждане ще откаже да се изпълни. Тази функция не позволява на атакуващ да върне диспечера за зареждане към по-стара, не актуализирана версия.В бъдещи актуализации, когато значителен проблем със защитата е коригиран в диспечера за зареждане, SVN номерът ще се увеличава както в диспечера за зареждане, така и в актуализацията на фърмуера. И двете актуализации ще бъдат издадени в една и съща кумулативна актуализация, за да се уверите, че коригираните устройства са защитени. Всеки път, когато SVN се актуализира, всеки стартов носител ще трябва да се актуализира. Започвайки с актуализациите от 9 юли 2024 г., SVN се увеличава в диспечера за зареждане и актуализацията на фърмуера. Актуализацията на фърмуера не е задължителна и може да се приложи, като изпълните следните стъпки:

    1. Отворете команден прозорец на администратор и изпълнете следната команда, за да инсталирате диспечера за зареждане, подписан с "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Рестартирайте устройството два пъти.

Стартов носител

Ще бъде важно да актуализирате стартов носител, след като фазата на разполагане започне във вашата среда.

Указания за актуализиране на стартов носител се предоставят с бъдещи актуализации на тази статия. Вижте следващия раздел, за да създадете USB флаш устройство за възстановяване на устройство.

Актуализиране на носител за инсталиране на Windows

БЕЛЕЖКА Когато създавате стартиращо USB флаш устройство, не забравяйте да форматирате устройството с помощта на файловата система FAT32.

Можете да използвате приложението "Създаване на устройство за възстановяване" , като следвате тези стъпки. Този носител може да се използва за преинсталиране на устройство, в случай че има сериозен проблем, като например отказ на хардуера, ще можете да използвате устройството за възстановяване, за да преинсталирате Windows.

  1. Отидете на устройство, където са приложени актуализациите от 9 юли 2024 г. и първата стъпка за смекчаване (актуализиране на базата данни за защитено стартиране).

  2. От менюто "Старт " потърсете аплета на контролния панел "Създаване на устройство за възстановяване" и следвайте инструкциите, за да създадете устройство за възстановяване.

  3. С новосъздаденото флаш устройство, монтирано (например като устройство "D:"), изпълнете следните команди като администратор. Въведете всяка от следните команди и след това натиснете клавиша Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ако управлявате инсталационен носител във вашата среда с помощта на инсталационния носител за Актуализиране на Windows с указания за динамична актуализация , следвайте тези стъпки. Тези допълнителни стъпки ще създадат стартово флаш устройство, което използва файлове за стартиране, подписани от сертификата за подписване на "Windows UEFI CA 2023".

  1. Отидете на устройство, където е приложена актуализацията от 9 юли 2024 г. и първата стъпка за смекчаване (актуализиране на базата данни за защитено стартиране).

  2. Следвайте стъпките във връзката по-долу, за да създадете мултимедия с актуализациите от 9 юли 2024 г. Актуализиране на инсталационен носител на Windows с динамична актуализация

  3. Поставете съдържанието на мултимедията на USB флаш устройство и монтирайте преносимото устройство като буква на устройство. Например монтирайте преносимото устройство като "D:".

  4. Изпълнете следните команди от команден прозорец като администратор. Въведете всяка от следните команди и след това натиснете клавиша Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ако дадено устройство има настройки за защитено стартиране, които се нулират до настройките по подразбиране след прилагането на смекчаванията, устройството няма да се стартира. За да разрешите този проблем, приложението за поправка е включено в актуализациите от 9 юли 2024 г., които могат да се използват за повторно прилагане на сертификата "Windows UEFI CA 2023" към DB (смекчаване #1).

БЕЛЕЖКА Не използвайте това приложение за поправка на устройство или система, описани в раздела "Известни проблеми ".

  1. Отидете на устройство, където са приложени актуализациите от 9 юли 2024 г.

  2. В команден прозорец копирайте приложението за възстановяване на флаш устройството с помощта на следните команди (ако флаш устройството е устройството D:). Въведете всяка команда поотделно и след това натиснете Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. На устройството, което има настройките на защитеното стартиране, се нулира до настройките по подразбиране, поставете флаш устройството, рестартирайте устройството и стартирайте от флаш устройството.

Време на актуализациите

Актуализациите се издават по следния начин:

  • Първоначално разполагане Тази фаза започна с актуализации, издадени на 9 май 2023 г., и предостави основни смекчавания с ръчни стъпки за разрешаване на тези смекчавания.

  • Второ разполагане Тази фаза започна с актуализации, издадени на 11 юли 2023 г., които добавиха опростени стъпки за разрешаване на предпазни мерки за проблема.

  • Фаза на оценка Тази фаза ще стартира на 9 април 2024 г. и ще добави допълнителни смекчавания на последствията за диспечера за стартиране.

  • Фаза на разполагане Това е моментът, в който ще насърчим всички клиенти да започнат да разполагат предпазни мерки и да актуализират мултимедията.

  • Етап на прилагане Етапът на прилагане, който ще направи предпазните мерки постоянни. Датата за тази фаза ще бъде обявена на по-късна дата.

Забележка Графикът за издаване може да бъде коригиран, ако е необходимо.

Тази фаза е заместена от изданието за актуализации на защитата на Windows на или след 9 април 2024 г.

Тази фаза е заместена от изданието за актуализации на защитата на Windows на или след 9 април 2024 г.

С тази фаза ви молим да тествате тези промени във вашата среда, за да се уверите, че промените работят правилно с представителни примерни устройства и да се запознаете с промените.

БЕЛЕЖКА Вместо да се опитваме да изброим изчерпателно и ненадеждно уязвимите диспечери за стартиране, както направихме в предишните фази на разполагане, добавяме сертификата за подписване "Windows Production PCA 2011" към списъка за забраняване на защитено стартиране (DBX), за да ненадеждно всички диспечери за стартиране, подписани от този сертификат. Това е по-надежден метод, за да се гарантира, че всички предишни диспечери за стартиране са ненадеждни.

Актуализации за Windows, издадени на или след 9 април 2024 г., добавете следното:

  • Три нови контроли за смекчаване, които заместват смекчаванията, издадени през 2023 г. Новите контроли за смекчаване са:

    • Контрола за разполагане на сертификата "Windows UEFI CA 2023" в базата данни за защитено стартиране, за да добавите доверие за диспечерите за стартиране на Windows, подписани от този сертификат. Имайте предвид, че сертификатът "Windows UEFI CA 2023" може да е инсталиран от по-стара актуализация на Windows.

    • Контрола за разполагане на диспечер за зареждане, подписан от сертификата "Windows UEFI CA 2023".

    • Контрола за добавяне на "Windows Production PCA 2011" към DBX на защитеното стартиране, която ще блокира всички диспечери за стартиране на Windows, подписани от този сертификат.

  • Възможността за разрешаване на внедряването на смекчаване на последствията на етапи независимо, за да се позволи по-добър контрол при разполагането на предпазни мерки във вашата среда въз основа на вашите нужди.

  • Смекчаванията са взаимно блокирани, така че те не могат да бъдат разположени в неправилен ред.

  • Допълнителни събития, за да знаят състоянието на устройствата, когато прилагат предпазни мерки. Вижте KB5016061: Събития за актуализиране на DB и DBX променливи за защитено стартиране за повече подробности относно събитията.

Тази фаза е, когато насърчаваме клиентите да започнат да разполагат смекчаванията и да управляват всички актуализации на мултимедията. Актуализациите включват следната промяна:

  • Добавена поддръжка за защитен номер на версия (SVN) и настройване на актуализирания SVN във фърмуера.

Следва структура на стъпките за разполагане в enterprise.

Забележка Допълнителни указания, които да бъдат предоставени с по-късни актуализации на тази статия.

  • Разположете първото смекчаване за всички устройства в Enterprise или управлявана група от устройства в Enterprise. Това включва:

    • Включване на първото смекчаване, което добавя сертификата за подписване "Windows UEFI CA 2023" към фърмуера на устройството.

    • Наблюдение дали устройствата са добавили успешно сертификата за подписване на "Windows UEFI CA 2023".

  • Разположете второто смекчаване, което прилага актуализирания диспечер за зареждане на устройството.

  • Актуализирайте всяко възстановяване или външен стартов носител, използван с тези устройства.

  • Разположете третото смекчаване, което позволява анулирането на сертификата "Windows Production CA 2011", като го добавите към DBX във фърмуера.

  • Разположете четвъртото смекчаване, което актуализира номера на защитената версия (SVN) на фърмуера.

Фазата на изпълнение ще бъде най-малко шест месеца след фазата на разполагане. Когато актуализациите бъдат издадени за фазата на изпълнение, те ще включват следното:

  • Сертификатът "Windows Production PCA 2011" автоматично ще бъде анулиран, като бъде добавен към списъка от забранени елементи на Secure Boot UEFI (DBX) на поддържащи устройства. Тези актуализации ще бъдат приложени програмно след инсталирането на актуализации за Windows на всички засегнати системи без опция за забраняване.

Грешки в регистъра на събитията на Windows, свързани с CVE-2023-24932

Записите в регистъра на събитията на Windows, свързани с актуализирането на базата данни и DBX, са описани подробно в KB5016061: Събития за актуализация на защитено стартиране на база данни и променлива DBX.

Събитията "успех", свързани с прилагането на смекчаванията, са изброени в следващата таблица.

Стъпка за смекчаване

ИД на събитие

Бележки

Прилагане на актуализацията на базата данни

1036

Сертификатът PCA2023 е добавен към базата данни.

Актуализиране на диспечера за зареждане

1799

Беше приложен диспечерът за първоначално стартиране на PCA2023.

Прилагане на актуализацията на DBX

1037

Актуализацията на DBX, която ненадеждно е приложена PCA2011 сертификат за подписване.

Често задавани въпроси (ЧЗВ)

Актуализирайте всички операционни системи Windows с актуализации, издадени на или след 9 юли 2024 г., преди да приложите анулираните актуализации. Възможно е да не можете да стартирате никоя версия на Windows, която не е актуализирана до най-малко актуализации, издадени на 9 юли 2024 г., след като приложите анулираните актуализации. Следвайте указанията в раздела Отстраняване на проблеми при стартиране .

Отстраняване на проблеми при стартиране

След като са приложени и трите смекчавания, фърмуерът на устройството няма да се стартира с помощта на диспечер за зареждане, подписан от Windows Production PCA 2011. Грешките при стартиране, съобщени от фърмуера, са специфични за устройството. Вижте раздела Процедура по възстановяване .

Процедура по възстановяване

Ако нещо се обърка при прилагането на смекчаванията и не можете да стартирате вашето устройство или трябва да стартирате от външен носител (като например преносимо устройство или PXE зареждане), опитайте следните предложения:

  1. Изключете защитеното стартиране.Тази процедура се различава между производителите и моделите на устройствата. Въведете вашите устройства UEFI BIOS меню и отидете до настройките на защитеното стартиране и го изключете. Проверете документацията от производителя на вашето устройство за подробности за този процес. Повече подробности можете да намерите в Забраняване на защитеното стартиране.

  2. Нулиране на ключовете на защитеното стартиране до фабричните настройки по подразбиране.

    Ако устройството поддържа нулиране на ключовете за защитено стартиране до фабричните настройки по подразбиране, извършете това действие сега.

    БЕЛЕЖКА Някои производители на устройства имат както опция "Изчистване", така и опция "Нулиране" за променливи на защитеното стартиране, в който случай трябва да се използва "Нулиране". Целта е да се върнат променливите на защитеното стартиране обратно към стойностите по подразбиране на производителя.

    Вашето устройство трябва да се стартира сега, но имайте предвид, че е уязвимо за злонамерен софтуер за стартиране на комплекта. Не забравяйте да изпълните стъпка 5 от този процес на възстановяване, за да активирате отново защитеното стартиране.

  3. Опитайте да стартирате Windows от системния диск.

    1. Влизане в Windows.

    2. Изпълнете следните команди от команден прозорец на администратора, за да възстановите файловете за стартиране на дяла за стартиране на EFI системата. Въведете всяка команда поотделно и след това натиснете Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Изпълнението на BCDBoot връща "Успешно създадени файлове за стартиране". След като се покаже това съобщение, рестартирайте устройството обратно към Windows.

  4. Ако стъпка 3 не възстанови успешно устройството, преинсталирайте Windows.

    1. Стартирайте устройството от съществуващ носител за възстановяване.

    2. Продължете да инсталирате Windows с помощта на носителя за възстановяване.

    3. Влизане в Windows.

    4. Рестартирайте Windows, за да проверите дали устройството се стартира обратно към Windows.

  5. Разрешете отново защитеното стартиране и рестартирайте устройството.Въведете менюто за UEFI на устройството, отидете до настройките за защитено стартиране и го включете. Проверете документацията от производителя на вашето устройство за подробности за този процес. Повече информация можете да намерите в раздела "Повторно разрешаване на защитеното стартиране".

Справочни материали

Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не предоставяме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.

Дата на промяна

Описание на промяната

9 юли 2024 г.

  • Актуализирано "Стъпка 2: Изчисляване на промените", за да премахнете датата от 9 юли 2024 г.

  • Всички повторения на датата от 9 април 2024 г. са актуализирани на 9 юли 2024 г., с изключение на раздела "Времена на актуализациите".

  • Актуализиран е разделът "стартов носител" и съдържанието е заменено с "Указания за актуализиране на стартов носител се предоставят с бъдещи актуализации".

  • Актуализирано "9 юли 2024 г. или по-нова версия – Започва фазата на разполагане" в раздела "Време на актуализациите".

  • Добавена стъпка 4 "Приложете SVN актуализацията към фърмуера" в раздела "Указания за разполагане на смекчаване".

9 април 2024 г.

  • Обширни промени в процедурите, информацията, указанията и датите. Имайте предвид, че някои предишни промени са премахнати в резултат на значителните промени, направени на тази дата.

16 декември 2023 г.

  • Променени са датите на издаване за трето разполагане и прилагане в раздела "Времена на актуализациите".

15 май 2023 г.

  • Премахната е неподдържана операционна система Windows 10, версия 21H1, от раздела "Отнася се за".

11 май 2023 г.

  • Добавена бележка ВНИМАНИЕ към стъпка 1 в раздела "Указания за разполагане" за надстройване до Windows 11, версия 21H2 или 22H2 или някои версии на Windows 10.

10 май 2023 г.

  • Пояснено е, че носител на Windows за изтегляне, актуализиран с най-новите кумулативни актуализации, скоро ще бъде наличен.

  • Коригиран е правописът на думата "Забранено".

9 май 2023 г.

  • Добавихме допълнителни поддържани версии към раздела "Отнася се за".

  • Актуализирана е стъпка 1 на секцията "Предприемане на действие".

  • Актуализирана стъпка1 на раздела "Указания за разполагане".

  • Коригирани са командите в стъпка 3a на раздела "Насоки за депломент".

  • Коригирано разположение на Hyper-V UEFI изображения в раздела "Отстраняване на проблеми при стартиране".

27 юни 2023 г.

  • Премахната бележка за актуализиране от Windows 10 до по-нова версия на Windows 10, която използва пакет за разрешаване под Стъпка 1:Инсталиране в раздела "Указания за разполагане".

11 юли 2023 г.

  • Актуализирани са екземплярите на датата "9 май 2023 г." до "11 юли 2023 г.", "9 май 2023 г. и 11 юли 2023 г." или "9 май 2023 г. или по-нова версия".

  • В раздела "Указания за разполагане" отбелязваме, че всички динамични актуализации на SafeOS вече са налични за актуализиране на дялове на WinRE. Освен това полето ВНИМАНИЕ е премахнато, тъй като проблемът е решен чрез издаването на динамични актуализации на SafeOS.

  • В "3. APPLY the revocations" section, the instructions been revised.

  • В секцията "Грешки в регистъра на събитията на Windows" се добавя ИД на събитие 276.

25 август 2023 г.

  • Актуализирани са различните раздели за формулировки и е добавено изданието от 11 юли 2023 г. и бъдещата информация за изданието от 2024 г.

  • Пренареждане на част от съдържанието от раздела "Избягване на проблеми с вашия стартов носител" в раздела "Актуализиране на стартов носител".

  • Актуализиран е разделът "Време на актуализациите" с коригирани дати на разполагане и информация.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.