Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

VAŽAN Trebali biste primijeniti sigurnosno ažuriranje sustava Windows izdano 9. srpnja 2024. ili kasnije, kao dio redovitog mjesečnog postupka ažuriranja.

Ovaj se članak odnosi na tvrtke ili ustanove koje bi trebale početi procjenjivati ublažavanja za javno otkriveno zaobilaženje sigurnog pokretanja koje koristi BlackLotus UEFI bootkit. Uz to, možda ćete htjeti postaviti proaktivan sigurnosni stav ili se početi pripremati za početak pokretanja. Imajte na umu da je za taj zlonamjerni softver potreban fizički ili administrativni pristup uređaju.

OPREZ Nakon što je ublažavanje ovog problema omogućeno na uređaju, što znači da su ublažavanja primijenjena, ne može se poništiti ako nastavite koristiti sigurno pokretanje na tom uređaju. Čak ni ponovno formatiranje diska neće ukloniti opozive ako su već primijenjene. Imajte na umu sve moguće implikacije i temeljito testirati prije nego što primijenite opomene navedene u ovom članku na svoj uređaj.

U ovom članku

Sažetak

U ovom se članku opisuje zaštita od javno otkrivenog zaobilaženje sigurnosnih značajki sigurnog pokretanja koje koristi BlackLotus UEFI bootkit koji prati CVE-2023-24932, kako omogućiti ublažavanja i smjernice za medije koji se mogu pokrenuti. Bootkit je zlonamjerni program koji je osmišljen za učitavanje što je prije moguće u slijedu pokretanja uređaja radi upravljanja pokretanjem operacijskog sustava.

Microsoft preporučuje sigurno pokretanje za stvaranje sigurnog i pouzdanog puta iz objedinjenog sučelja za proširivu opremu (UEFI) kroz slijed pouzdanog pokretanja jezgre sustava Windows. Sigurno pokretanje pomaže u sprječavanju zlonamjernog softvera bootkita u slijedu pokretanja. Onemogućivanjem sigurnog pokretanja uređaj prijeti opasnosti od zaraze zlonamjernim softverom bootkita. Popravljanje zaobilaženje sigurnog pokretanja opisano u cve-2023-24932 zahtijeva opoziv upravitelja pokretanja. To može uzrokovati probleme za neke konfiguracije pokretanja uređaja.

Mitigations against the Secure Boot bypass detailed in CVE-2023-24932 are included in the Windows security updates that were released on or after July 9, 2024. Međutim, ta ublažavanja nisu omogućena po zadanom. Uz ta ažuriranja preporučujemo da počnete procjenjivati te promjene u svom okruženju. Potpuni raspored opisan je u odjeljku Tempiranje ažuriranja.

Prije omogućivanja tih ublažavanja trebali biste temeljito pregledati pojedinosti u ovom članku i odrediti morate li omogućiti ublažavanje poteškoća ili pričekati buduće ažuriranje od Microsofta. Ako odlučite omogućiti ublažavanje problema, morate provjeriti jesu li vaši uređaji ažurirani i spremni te razumjeti rizike opisane u ovom članku. 

Akcija 

Za ovo izdanje potrebno je slijediti sljedeće korake:

1. korak: instalirajte sigurnosno ažuriranje sustava Windows izdano 9. srpnja 2024. ili kasnije na sve podržane verzije.

Drugi korak: procijenite promjene i kako one utječu na vaše okruženje.

Treći korak: nametanje promjena.

Opseg utjecaja

BlackLotus bootkit utječe na sve uređaje sa sustavom Windows s omogućenim zaštitama sigurnog pokretanja. Ublažavanja su dostupna za podržane verzije sustava Windows. Potpuni popis potražite u članku CVE-2023-24932.

Razumijevanje rizika

Rizik od zlonamjernog softvera: Da bi blackLotus UEFI bootkit exploit opisan u ovom članku bio moguć, napadač mora steći administrativne ovlasti na uređaju ili dobiti fizički pristup uređaju. To se može učiniti fizičkim ili daljinskim pristupom uređaju, primjerice pomoću hipervizora za pristup VM-ima/oblaku. Napadač će obično koristiti tu ranjivost da bi nastavili upravljati uređajem kojem već mogu pristupiti i kojim bi mogli upravljati. Ublažavanja u ovom članku preventivna su i ne ispravljaju se. Ako je vaš uređaj već ugrožen, zatražite pomoć od davatelja usluge sigurnosti.

Medij za oporavak: Ako naiđete na problem s uređajem nakon primjene ublažavanja i uređaj se ne može pokrenuti, možda nećete moći pokrenuti ili oporaviti uređaj od postojećih medija. Medij za oporavak ili instalaciju morat će se ažurirati tako da funkcionira s uređajem na kojem su primijenjena ublažavanja.

Problemi s programom: Kada Windows primjenjuje ublažavanja koja su opisana u ovom članku, mora se uzimati na UEFI opremu uređaja da bi ažurirao vrijednosti sigurnog pokretanja (ažuriranja se primjenjuju na ključ baze podataka (DB) i zabranjeni ključ potpisa (DBX)). U nekim slučajevima imamo iskustva s uređajima koji ne uspijevaju ažuriranja. S proizvođačima uređaja radimo na provjeri tih ključnih ažuriranja na što više uređaja.

BILJEŠKA Najprije testirajte ta ublažavanja na jednom uređaju po klasi uređaja u vašem okruženju da biste otkrili moguće probleme s programom. Nemojte se općenito implementirati prije potvrde da su procijenjeni svi razredi uređaja u vašem okruženju.

BitLocker oporavak: Neki uređaji mogu ići u BitLocker oporavak. Obavezno zadržite kopiju BitLocker ključa oporavka prije omogućivanja ublažavanja.

Poznati problemi

Problemi s programom:Ne ažuriraju se svi firmveri uređaja db ili DBX za sigurno pokretanje. U slučajevima za koje znamo problem smo prijavili proizvođaču uređaja. Dodatne KB5016061: događaji ažuriranja secure boot DB i DBX varijabli za pojedinosti o prijavljenim događajima. Obratite se proizvođaču uređaja radi ažuriranja programske opreme. Ako uređaj nije podržan, Microsoft preporučuje nadogradnju uređaja.

Poznati problemi s programom:

BILJEŠKA Sljedeći poznati problemi ne utječu na ažuriranja od 9. srpnja 2024. i neće spriječiti instalaciju ažuriranja od 9. srpnja 2024. U većini slučajeva ublažavanje problema neće se primijeniti ako postoje poznati problemi. Pojedinosti potražite u svakom poznatom problemu.

  • HP: HP je identificirao problem s instalacijom ublažavanja na PC-jevima radne stanice HP Z4G4 i objavit će ažuriranu opremu Z4G4 UEFI (BIOS) u sljedećih tjedana. Da bi se osigurala uspješna instalacija ublažavanja, ona će se blokirati na radnim radnim stanicama radne površine dok ažuriranje ne bude dostupno. Korisnici bi se uvijek trebali ažurirati na najnoviji BIOS sustava prije primjene ublažavanja.

  • HP uređaji sa značajkom Sure Start Security: Za instalaciju ublažavanja potrebna su najnovija ažuriranja programske opreme tvrtke HP. Ublažavanja se blokiraju dok se programske opreme ne ažuriraju. Instalirajte najnovije ažuriranje programske opreme sa stranice podrške za HPs – službeno preuzimanje HP upravljačkih programa i softvera | HP-ova podrška.

  • Uređaji utemeljeni na arm64: Ublažavanja su blokirana zbog poznatih problema s UEFI firmverom s uređajima utemeljenima na qualcommu. Microsoft radi na rješavanju tog problema s qualcommom. Qualcomm će proizvođačima uređaja pružiti popravak. Obratite se proizvođaču uređaja da biste utvrdili je li dostupno rješenje za taj problem. Microsoft će dodati otkrivanje da bi omogućio primjenu ublažavanja na uređajima kada se otkrije fiksna oprema. Ako vaš uređaj s procesorom Arm64 nema opremu Qualcomm, konfigurirajte sljedeći ključ registra da biste omogućili ublažavanje.

    Potključ registra

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Naziv vrijednosti ključa

    SkipDeviceCheck

    Vrsta podataka

    REG_DWORD

    Podaci

    1

  • Jabuka:Mac računala sa sigurnosnim čipom Apple T2 podržavaju sigurno pokretanje. No ažuriranje UEFI sigurnosnih varijabli dostupno je samo u sklopu ažuriranja sustava macOS. Od korisnika kampa za pokretanje očekuje se da vide unos zapisnika događaja ID-a događaja 1795 u sustavu Windows koji se odnosi na te varijable. Dodatne informacije o unosu u zapisnik potražite u članku KB5016061: događaji ažuriranja za secure boot DB i DBX varijable.

  • VMware:U okruženjima virtualizacije utemeljenima na VMware-u VIRTUALNO računalo s procesorom utemeljenim na procesoru x86 s omogućenim sigurnim pokretanjem neće se moći pokrenuti nakon primjene ublažavanja. Microsoft koordinira s programom VMware radi rješavanja tog problema.

  • Sustavi utemeljeni na TPM-u 2.0:  Ti sustavi koji pokreću Windows Server 2012 i Windows Server 2012 R2 ne mogu implementirati ublažavanja objavljena u sigurnosnom ažuriranju od 9. srpnja 2024. zbog poznatih problema s kompatibilnošću s TPM mjerama. Sigurnosna ažuriranja od 9. srpnja 2024. blokirat će ublažavanja #2 (upravitelj pokretanja) i #3 (DBX ažuriranje) na zahvaćenim sustavima.Microsoft je upoznat s problemom i u budućnosti će se objaviti ažuriranje za deblokiranje sustava utemeljenih na TPM-u 2.0.Da biste provjerili TPM verziju, desnom tipkom miša kliknite Start, kliknite Pokreni, a zatim upišite tpm.msc. U donjem desnom kutu središnjog okna u odjeljku Informacije o proizvođaču TPM-a trebali biste vidjeti vrijednost za verziju specifikacije.

  • Symantec Endpoint Encryption: Ublažavanje sigurnog pokretanja nije moguće primijeniti na sustave koji su instalirali šifriranje krajnje točke tvrtke Symantec. Microsoft i Symantec svjesni su tog problema i bit će riješeni u budućem ažuriranju.

Smjernice za ovo izdanje

Za ovo izdanje slijedite ova dva koraka.

1. korak: instalacija sigurnosnog ažuriranja sustava Windows Instalirajte mjesečno sigurnosno ažuriranje sustava Windows izdano 9. srpnja 2024. ili kasnije na podržanim uređajima sa sustavom Windows. Ta ažuriranja obuhvaćaju ublažavanja za CVE-2023-24932, ali nisu omogućena prema zadanim postavkama. Svi uređaji sa sustavom Windows trebali bi dovršiti taj korak bez obzira na to planirate li implementirati ublažavanja.

Drugi korak: procjena promjena Preporučujemo vam da učinite sljedeće:

  • Razumijevanje prva dva ublažavanja koja omogućuju ažuriranje baze podataka za sigurno pokretanje i ažuriranje upravitelja pokretanja.

  • Pregledajte ažurirani raspored.

  • Počnite testirati prva dva ublažavanja protiv reprezentativnih uređaja iz vašeg okruženja.

  • Počnite planirati implementaciju.

Treći korak: nametanje promjena

Preporučujemo da shvatite rizike istaknute u odjeljku Razumijevanje rizika.

  • Razumijevanje utjecaja na oporavak i druge medije za pokretanje.

  • Započnite testiranje trećeg ublažavanja koje poništava pouzdanost certifikata potpisivanja koji se koristi za sve prethodne upravitelje pokretanja sustava Windows.

Smjernice za implementaciju ublažavanja

Prije nego što pratite ove korake za primjenu ublažavanja, instalirajte mjesečno ažuriranje za servisiranje sustava Windows izdano 9. srpnja 2024. ili kasnije na podržanim uređajima sa sustavom Windows. Ovo ažuriranje obuhvaća ublažavanja za CVE-2023-24932, ali nisu omogućena po zadanom. Svi uređaji sa sustavom Windows moraju dovršiti taj korak bez obzira na plan da biste omogućili ublažavanje.

BILJEŠKA Ako koristite BitLocker, provjerite je li bitLocker ključ oporavka sigurnosno kopiran. Možete pokrenuti sljedeću naredbu iz naredbenog retka administratora i zabilježiti 48-znamenkaste numeričke lozinke:

manage-bde -protectors -get %systemdrive%

Da biste implementirali ažuriranje i primijenili opozive, slijedite ove korake:

  1. Instalirajte ažurirane definicije certifikata u bazu podataka.

    Ovaj će korak u UEFI certifikat "Baza podataka potpisa sigurnog pokretanja" (DB) dodati certifikat "Windows UEFI CA 2023". Dodavanjem ovog certifikata u BAZU podataka firmver uređaja smatrat će pouzdane aplikacije za pokretanje koje je potpisao ovaj certifikat.

    1. Otvorite administratorski naredbeni redak i postavite regkey za izvođenje ažuriranja u DB unosom sljedeće naredbe:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      VAŽAN Prije nastavka na 2. i 3. korak obavezno ponovno pokrenite uređaj da biste dovršili instalaciju ažuriranja.

    2. Pokrenite sljedeću naredbu powershell kao administrator i provjerite je li baza podataka uspješno ažurirana. Ova naredba mora vratiti True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Ažurirajte Upravitelj pokretanja na uređaju.

    Ovaj će korak instalirati aplikaciju upravitelja pokretanja na uređaj koji je potpisan certifikatom "'Windows UEFI CA 2023".

    1. Otvorite administratorski naredbeni redak i postavite ključ regkey da biste instalirali potpisani upravitelj pokretanja "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Dva puta ponovno pokrenite uređaj.

    3. Kao administrator montirajte EFI particiju da biste je pripremili za pregled:

      mountvol s: /s

    4. Provjerite je li datoteka "s:\efi\microsoft\boot\bootmgfw.efi" potpisana certifikatom "Windows UEFI CA 2023". Da biste to učinili, učinite sljedeće:

      1. Kliknite Start, u okvir Za pretraživanje upišitenaredbeni redak, a zatim kliknite Naredbeni redak.

      2. U prozor naredbenog retka upišite sljedeću naredbu, a zatim pritisnite Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. U upravitelju datoteka desnom tipkom miša kliknite datoteku C:\bootmgfw_2023.efi, kliknite Svojstva, a zatim odaberite karticu Digitalni potpisi.

      4. Na popisu Potpis provjerite obuhvaća li lanac certifikata Windows UEFI CA 2023. Lanac certifikata trebao bi odgovarati sljedećoj snimci zaslona:Certifikati

  3. Omogućite opoziv.

    Zabranjeni popis UEFI-ja (DBX) koristi se za blokiranje učitavanja nepouzdanih UEFI modula. U ovom koraku ažuriranje DBX-a dodat će certifikat "Windows Production CA 2011" u DBX. To će uzrokovati da svi upravitelji pokretanja potpisani ovim certifikatom više nisu pouzdani.

    UPOZORENJE: prije primjene trećeg ublažavanja stvorite izbrisivi memorijski pogon za oporavak koji se može koristiti za pokretanje sustava. Informacije o tome kako to učiniti potražite u odjeljku Ažuriranje medija za instalaciju sustava Windows.

    Ako sustav prijeđe u stanje koje nije moguće pokrenuti, slijedite korake u odjeljku Postupak oporavka da biste uređaj vratili u stanje prije opoziva.

    1. Dodajte certifikat "Windows Production PCA 2011" na popis zabranjenih UEFI-ja za sigurno pokretanje (DBX). Da biste to učinili, otvorite prozore naredbenog retka kao administrator, upišite sljedeću naredbu, a zatim pritisnite Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Ponovno pokrenite uređaj dva puta i provjerite je li se u potpunosti ponovno pokrenuo.

    3. Provjerite je li popis za instalaciju i opoziv uspješno primijenjen tako da u zapisniku događaja potražite događaj 1037.Informacije o događaju 1037 potražite u članku KB5016061: događaji ažuriranja za secure boot DB i DBX varijable. Ili pokrenite sljedeću naredbu komponente PowerShell kao administrator i provjerite vraća li true:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. Primijenite svn ažuriranje na opremu. Upravitelj pokretanja implementiran u 2. koraku ima ugrađenu novu značajku samois pozivanja. Kada se upravitelj pokretanja pokrene, izvodi samoprocjenju usporedbom broja sigurne verzije (SVN- a) pohranjenog u firmveru, a SVN ugrađen u Upravitelj pokretanja. Ako je upravitelj pokretanja SVN manji od SVN-a pohranjenog u firmveru, upravitelj pokretanja neće se moći pokrenuti. Ta značajka sprječava napadača da vrati upravitelj pokretanja na stariju verziju koja nije ažurirana.U budućim ažuriranjima, kada je u upravitelju pokretanja riješen znatan sigurnosni problem, SVN broj povećavat će se u upravitelju pokretanja i ažuriranju programske opreme. Oba će ažuriranja biti objavljena u istom kumulativnom ažuriranju da bi se provjerilo jesu li zakrpama zaštićeni uređaji. Svaki put kada se SVN ažurira, bilo koji medij za pokretanje morat će se ažurirati. Počevši od ažuriranja od 9. srpnja 2024., SVN se povećava u upravitelju pokretanja i ažuriranju programske opreme. Ažuriranje programske opreme nije obavezno i može se primijeniti na sljedeći način:

    1. Otvorite administratorski naredbeni redak i pokrenite sljedeću naredbu da biste instalirali potpisani upravitelj pokretanja "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Dva puta ponovno pokrenite uređaj.

Medij za pokretanje

Kada faza implementacije započne u vašem okruženju, važno je ažurirati medij za pokretanje.

Smjernice za ažuriranje medija za pokretanje dolazi s budućim ažuriranjima ovog članka. Pogledajte sljedeći odjeljak za stvaranje USB pogona za oporavak uređaja.

Ažuriranje medija za instalaciju sustava Windows

BILJEŠKA Prilikom stvaranja USB memorijskog pogona za pokretanje obavezno formatiraj pogon pomoću datotečnog sustava FAT32.

Aplikaciju Stvaranje pogona za oporavak možete koristiti slijedeći ove korake. Taj se medij može koristiti za ponovnu instalaciju uređaja u slučaju da postoji veliki problem kao što je kvar na hardveru, da biste ponovno instalirali Windows, moći ćete koristiti pogon za oporavak.

  1. Idite na uređaj na koji su primijenjena ažuriranja od 9. srpnja 2024. i prvi korak ublažavanja (ažuriranje baze podataka za sigurno pokretanje).

  2. Na izborniku Start potražite aplet upravljačke ploče "Stvori pogon za oporavak" i slijedite upute za stvaranje pogona za oporavak.

  3. Dok je novostvoreni izbrisivi memorijski pogon postavljen (npr. kao pogon "D:"), pokrenite sljedeće naredbe kao administrator. Upišite svaku od sljedećih naredbi, a zatim pritisnite Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ako u okruženju upravljate medijem koji se može instalirati pomoću instalacijskog medija za ažuriranje sustava Windows sa smjernicama za dinamičko ažuriranje, slijedite ove korake. Ovim dodatnim koracima stvorit će se izbrisivi memorijski pogon za pokretanje koji koristi datoteke za pokretanje koje je potpisao certifikat za potpisivanje "Windows UEFI CA 2023".

  1. Idite na uređaj na koji su primijenjena ažuriranja od 9. srpnja 2024. i prvi korak ublažavanja (ažuriranje baze podataka za sigurno pokretanje).

  2. Slijedite korake u vezi u nastavku da biste stvorili medijske sadržaje s ažuriranjima od 9. srpnja 2024. Ažuriranje instalacijskog medija sustava Windows pomoću dinamičkog ažuriranja

  3. Postavite sadržaj medija na USB usb pogon i postavite usb pogon kao slovo pogona. Primjerice, postavite usb pogon kao "D:".

  4. Pokrenite sljedeće naredbe iz prozora naredbi kao administrator. Upišite svaku od sljedećih naredbi, a zatim pritisnite Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ako uređaj ima postavke sigurnog pokretanja na zadane postavke nakon primjene ublažavanja, uređaj se neće pokrenuti. Da biste riješili taj problem, aplikacija za popravak obuhvaćena je ažuriranjima od 9. srpnja 2024. koja se mogu koristiti za ponovnu primjenu certifikata "Windows UEFI CA 2023" na DB (ublažavanje #1).

BILJEŠKA Nemojte koristiti ovu aplikaciju za popravak na uređaju ili sustavu opisanom u odjeljku Poznati problemi.

  1. Idite na uređaj na koji su primijenjena ažuriranja od 9. srpnja 2024.

  2. U prozoru naredbe kopirajte aplikaciju za oporavak na izbrisivi memorijski pogon pomoću sljedećih naredbi (pod pretpostavkom da je izbrisivi memorijski pogon pogon "D:"). Svaku naredbu upišite zasebno, a zatim pritisnite Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Na uređaju sa zadanim postavkama sigurnog pokretanja umetnite izbrisivi memorijski pogon, ponovno pokrenite uređaj i pokrenite ga s izbrisivog memorijskog pogona.

Tempiranje ažuriranja

Ažuriranja se izdaju na sljedeći način:

  • Početna implementacija Ta je faza započela s ažuriranjima objavljenima 9. svibnja 2023. i pružala osnovna ublažavanja s ručnim koracima za omogućavanje tih ublažavanja.

  • Druga implementacija Ta je faza započela s ažuriranjima objavljenima 11. srpnja 2023., u kojoj su dodani pojednostavljeni koraci za omogućavanje ublažavanja problema.

  • Faza procjene Ta će faza započeti 9. travnja 2024. i dodat će dodatna ublažavanja ublažavanja upravitelja pokretanja.

  • Faza implementacije To je vrijeme kada ćemo potaknuti sve korisnike da započinju implementaciju ublažavanja i ažuriranja medija.

  • Faza provođenja Faza provođenja zbog koje će ublažavanje biti trajno. Datum za ovu fazu objavit će se kasnije.

Napomena Raspored izdanja može se prema potrebi izmijeniti.

Ovu je fazu nadjačavao izdanje sigurnosnih ažuriranja sustava Windows 9. travnja 2024. ili nakon. travnja.

Ovu je fazu nadjačavao izdanje sigurnosnih ažuriranja sustava Windows 9. travnja 2024. ili nakon. travnja.

U ovoj fazi od vas se traži da testirate te promjene u svom okruženju da biste bili sigurni da će promjene ispravno funkcionirati s reprezentativnim oglednim uređajima i da biste dobili iskustvo s promjenama.

BILJEŠKA Umjesto pokušaja iscrpnog popisa i nepouzdanih ranjivih upravitelja pokretanja kao u prethodnim fazama implementacije, dodajemo certifikat za potpisivanje "Windows Production PCA 2011" na popis za onemogućivanje sigurnosnog pokretanja (DBX) da bismo poništili pouzdanost svih upravitelja pokretanja potpisanih ovim certifikatom. To je pouzdanija metoda za osiguravanje da su svi prethodni upravitelji pokretanja nepouzdani.

Ažuriranja za Windows objavljena 9. travnja 2024. ili kasnije, dodajte sljedeće:

  • Tri nove kontrole ublažavanja koje zamjese ublažavanja objavljena u 2023. Nove kontrole ublažavanja su:

    • Kontrola za implementaciju certifikata "Windows UEFI CA 2023" u bazu za sigurno pokretanje radi dodavanja pouzdanosti za upravitelje pokretanja sustava Windows potpisane ovim certifikatom. Imajte na umu da je ranije ažuriranje sustava Windows instaliralo certifikat "Windows UEFI CA 2023".

    • Kontrola za implementaciju upravitelja pokretanja potpisanog certifikatom "Windows UEFI CA 2023".

    • Kontrola za dodavanje "Windows Production PCA 2011" u SECURE BOOT DBX koji će blokirati sve upravitelje pokretanja sustava Windows potpisane ovim certifikatom.

  • Mogućnost omogućivanja implementacije ublažavanja u fazama neovisno kako bi se omogućila dodatna kontrola u implementaciji ublažavanja u vašem okruženju na temelju vaših potreba.

  • Ublažavanja su međusobno povezana tako da se ne mogu implementirati pogrešnim redoslijedom.

  • Dodatni događaji da biste znali status uređaja dok primjenjuju ublažavanja. Dodatne KB5016061 informacije o događajima potražite u člancima: Secure Boot DB i DBX variable update events.

Ova faza je kada potičemo korisnike da započinju implementaciju ublažavanja i upravljanje bilo kojim medijskim ažuriranjima. Ažuriranja obuhvaćaju sljedeću promjenu:

  • Dodana je podrška za broj sigurne verzije (SVN) i postavljanje ažuriranog SVN-a u firmveru.

U nastavku je navedeno nekoliko koraka za implementaciju u tvrtki ili tvrtki.

Napomena Dodatne smjernice za kasnije ažuriranje ovog članka.

  • Implementirajte prvo ublažavanje na sve uređaje u enterprise ili upravljana grupa uređaja u enterprise. Ovo obuhvaća:

    • Uključite se u prvo ublažavanje koje dodaje certifikat za potpisivanje "Windows UEFI CA 2023" u opremu uređaja.

    • Nadzor da su uređaji uspješno dodali certifikat za potpisivanje "Windows UEFI CA 2023".

  • Implementirajte drugo ublažavanje koje primjenjuje ažurirani upravitelj pokretanja na uređaj.

  • Ažurirajte sve medije za oporavak ili vanjske medije za pokretanje koji se koriste s tim uređajima.

  • Implementirajte treće ublažavanje koje omogućuje opoziv certifikata "Windows Production CA 2011" dodavanjem u DBX u firmveru.

  • Implementirajte četvrto ublažavanje koje ažurira broj sigurne verzije (SVN) na opremu.

Faza provođenja bit će najmanje šest mjeseci nakon faze implementacije. Kada se ažuriranja izdaju za fazu provođenja, ona će obuhvaćati sljedeće:

  • Certifikat "Windows Production PCA 2011" automatski će se opozvati dodavanjem na popis zabranjenih UEFI-ja za sigurno pokretanje (DBX) na uređajima s podrškom. Ta će se ažuriranja programski nametnuti nakon instalacije ažuriranja za Windows svim zahvaćenim sustavima bez mogućnosti onemogućivanja.

Pogreške zapisnika događaja u sustavu Windows povezane s CVE-2023-24932

Unosi zapisnika događaja u sustavu Windows koji se odnose na ažuriranje DB i DBX detaljno su opisani u članku KB5016061: događaji ažuriranja secure boot DB i DBX.

Događaji "uspjeh" povezani s primjenom ublažavanja navedeni su u sljedećoj tablici.

Korak ublažavanja

ID događaja

Napomene

Primjena ažuriranja baze podataka

1036

Certifikat PCA2023 je dodan u bazu podataka.

Ažuriranje upravitelja pokretanja

1799

Primijenjen PCA2023 potpisani upravitelj pokretanja.

Primjena DBX ažuriranja

1037

Ažuriranje DBX-a koje poništava pouzdanost PCA2011 certifikat za potpisivanje je primijenjen.

Najčešća pitanja (najčešća pitanja)

  • Da biste oporavili uređaj, pročitajte odjeljak Postupak oporavka.

  • Slijedite upute u odjeljku Otklanjanje poteškoća s pokretanjem .

Ažurirajte sve operacijske sustave Windows ažuriranjima objavljenima 9. srpnja 2024. ili kasnije prije nego što primijenite opozive. Možda nećete moći pokrenuti nijednu verziju sustava Windows koja nije ažurirana na barem ažuriranja objavljena 9. srpnja 2024. nakon primjene opoziva. Slijedite upute u odjeljku Otklanjanje poteškoća s pokretanjem .

Otklanjanje poteškoća s pokretanjem

Nakon primjene sva tri ublažavanja, oprema uređaja neće se pokrenuti pomoću upravitelja pokretanja koji je potpisao Windows Production PCA 2011. Kvarovi pokretanja koje je prijavila oprema specifični su za uređaj. Pogledajte odjeljak Postupak oporavka .

Postupak oporavka

Ako nešto pođe po zlu tijekom primjene ublažavanja i ne možete pokrenuti uređaj ili morate početi od vanjskog medija (kao što je usb pogon ili PXE pokretanje), pokušajte sljedeće prijedloge:

  1. Isključite sigurno pokretanje.Taj se postupak razlikuje od proizvođača uređaja do modela. Unesite izbornik UEFI BIOS uređaja i dođite do postavki sigurnog pokretanja i isključite ga. U dokumentaciji proizvođača uređaja potražite specifične informacije o tom postupku. Dodatne pojedinosti potražite u članku Onemogućivanje sigurnog pokretanja.

  2. Vraćanje tipki sigurnog pokretanja na tvorničke postavke.

    Ako uređaj podržava vraćanje sigurnih tipki za pokretanje na tvorničke postavke, izvršite tu akciju odmah.

    BILJEŠKA Neki proizvođači uređaja imaju i mogućnost "Očisti" i "Ponovno postavi" za varijable sigurnog pokretanja, u kojem bi se slučaju trebalo koristiti "Ponovno postavljanje". Cilj je vratiti varijable sigurnog pokretanja na zadane vrijednosti proizvođača.

    Uređaj bi trebao početi odmah, ali imajte na umu da je izložen zlonamjernom softveru za pokretanje. Obavezno dovršite peti korak ovog postupka oporavka da biste ponovno omogućili sigurno pokretanje.

  3. Pokušajte pokrenuti Windows s sistemskog diska.

    1. Prijava u Sustav Windows.

    2. Pokrenite sljedeće naredbe iz naredbenog retka administratora da biste vratili datoteke za pokretanje u efi particiji za pokretanje sustava. Svaku naredbu upišite zasebno, a zatim pritisnite Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Pokretanjem BCDBoota vraća se poruka "Datoteke pokretanja uspješno su stvorene". Kada se prikaže ova poruka, ponovno pokrenite uređaj u sustav Windows.

  4. Ako treći korak ne uspije oporaviti uređaj, ponovno instalirajte Windows.

    1. Pokrenite uređaj s postojećeg medija za oporavak.

    2. Nastavite s instalacijom sustava Windows pomoću medija za oporavak.

    3. Prijava u Sustav Windows.

    4. Ponovno pokrenite Windows da biste provjerili pokreće li se uređaj na Windows.

  5. Ponovno omogućite sigurno pokretanje i ponovno pokrenite uređaj.Unesite izbornik UEFI uređaja i dođite do postavki sigurnog pokretanja i uključite ga. U dokumentaciji proizvođača uređaja potražite specifične informacije o tom postupku. Dodatne informacije potražite u odjeljku "Ponovno omogući sigurno pokretanje".

Reference

Proizvodi trećih strana o kojima se radi u članku proizvode tvrtke koje su neovisne o Microsoftu. Ne jamčimo, implicirana ili na neki drugi način, o performansama ili pouzdanosti tih proizvoda.

Podatke za kontakt drugih proizvođača pružamo da bismo vam pomogli pronaći tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Ne jamčimo točnost tih podataka za kontakt treće strane.

Datum promjene

Opis promjene

9. srpnja 2024.

  • Ažuriran je "Drugi korak: procjena promjena" da biste uklonili datum 9. srpnja 2024.

  • Ažurirana su sva pojavljivanja datuma 9. travnja 2024. na 9. srpnja 2024., osim u odjeljku "Tempiranje ažuriranja".

  • Ažuriran je odjeljak "medij za pokretanje" i zamijenio sadržaj s "Vodiči za ažuriranje medija za pokretanje dolazi s budućim ažuriranjima".

  • Ažurirano "9. srpnja 2024. ili novije – početak faze implementacije" u odjeljku "Tempiranje ažuriranja".

  • Dodan je četvrti korak "Primjena ažuriranja SVN-a na opremu" u odjeljku "Smjernice za implementaciju ublažavanja".

9. travnja 2024.

  • Opsežne promjene postupaka, informacija, smjernica i datuma. Imajte na umu da su neke prethodne promjene uklonjene zbog opsežnih promjena izvršenih na taj datum.

16. prosinca 2023.

  • Izmijenili smo datume izdavanja za treću implementaciju i provedbu u odjeljku "Tempiranje ažuriranja".

15. svibnja 2023.

  • Uklonjen je nepodržani operacijski sustav Windows 10, verzija 21H1 iz odjeljka "Odnosi se na".

11. svibnja 2023.

  • Dodali smo obavijest OPREZ u prvi korak u odjeljku "Smjernice za implementaciju" o nadogradnji na Windows 11, verziju 21H2 ili 22H2 ili neke verzije sustava Windows 10.

10. svibnja 2023.

  • Pojasnili smo da će medij sustava Windows koji se može preuzeti ažuriran najnovijim kumulativnim ažuriranjima uskoro biti dostupan.

  • Ispravili smo pravopis riječi "Zabranjeno".

9. svibnja 2023.

  • Dodane su dodatne podržane verzije u odjeljak "Odnosi se na".

  • Ažuriran je prvi korak odjeljka "Radnja".

  • Ažurirani korak1 odjeljka "Smjernice za implementaciju".

  • Ispravite naredbe u 3. koraku odjeljka "Smjernice za zastare".

  • Ispravljen položaj slika značajke Hyper-V UEFI u odjeljku "Otklanjanje poteškoća s pokretanjem".

27. lipnja 2023.

  • Uklonjena je napomena o ažuriranju sustava Windows 10 na noviju verziju sustava Windows 10 koja koristi paket za omogućavanje u odjeljku 1. korak:instalacija u odjeljku "Smjernice za implementaciju".

11. srpnja 2023.

  • Ažurirane su instance datuma "9. svibnja 2023." na "11. srpnja 2023.", "9. svibnja 2023. i 11. srpnja 2023." ili na "9. svibnja 2023. ili novije".

  • U odjeljku "Smjernice za implementaciju" imajte na umu da su sva dinamička ažuriranja sustava SafeOS sada dostupna za ažuriranje winRE particija. Uz to, okvir OPREZ uklonjen je jer je problem riješen izdanjem dinamičkih ažuriranja sustava SafeOS.

  • U "3. PRIMIJENITE opomene", upute su promijenjene.

  • U odjeljku "Pogreške zapisnika događaja u sustavu Windows" dodaje se ID događaja 276.

25. kolovoza 2023.

  • Ažurirani su različiti odjeljci za tekst i dodani su informacije o izdanju od 11. srpnja 2023. i budućem izdanju 2024.

  • Prerasporediti dio sadržaja iz odjeljka "Izbjegavanje problema s medijskim sadržajima za pokretanje" u odjeljak "Ažuriranje medija za pokretanje".

  • Ažuriran je odjeljak "Tempiranje ažuriranja" revidiranim datumima implementacije i informacijama.

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.