FONTOS A rendszeres havi frissítési folyamat részeként a 2024. július 9-én vagy azt követően kiadott Windows biztonsági frissítést kell alkalmaznia.
Ez a cikk azokra a szervezetekre vonatkozik, amelyek megkezdik a BlackLotus UEFI rendszerindítás által használt nyilvánosan közzétett biztonságos rendszerindítási megkerülés kockázatcsökkentéseinek kiértékelését. Emellett érdemes lehet proaktív biztonsági álláspontot használni, vagy felkészülni a bevezetésre. Vegye figyelembe, hogy ez a kártevő fizikai vagy rendszergazdai hozzáférést igényel az eszközhöz.
FIGYELMEZTET Miután engedélyezte a probléma megoldását egy eszközön, ami azt jelenti, hogy alkalmazták a kockázatcsökkentéseket, nem állítható vissza, ha továbbra is a Biztonságos rendszerindítást használja az eszközön. Még a lemez újraformázása sem távolítja el a visszavonásokat, ha már alkalmazták őket. Kérjük, vegye figyelembe az összes lehetséges következményt, és alaposan tesztelje, mielőtt alkalmazza a cikkben ismertetett visszavonásokat az eszközére.
Ebben a cikkben
Összefoglalás
Ez a cikk a CVE-2023-24932 által nyomon követett BlackLotus UEFI-rendszerindítót használó, nyilvánosan közzétett Biztonságos rendszerindítási biztonsági funkció megkerülésével szembeni védelmet, a kockázatcsökkentések engedélyezését és a rendszerindító adathordozóra vonatkozó útmutatást ismerteti. A bootkit egy rosszindulatú program, amely úgy van kialakítva, hogy a lehető leghamarabb betöltse az eszközök rendszerindítási sorozatát az operációs rendszer indításának vezérléséhez.
A Biztonságos rendszerindítást a Microsoft javasolja, hogy biztonságos és megbízható útvonalat hozzon létre az egyesített bővíthető belső vezérlőprogram felületéről (UEFI) a Windows kernel megbízható rendszerindítási sorozatán keresztül. A Biztonságos rendszerindítás segít megelőzni a rendszerindítási kártevőt a rendszerindítási folyamatban. A Biztonságos rendszerindítás letiltása kockázatnak teszi ki az eszközt a bootkit kártevő által történő fertőzöttség szempontjából. A CVE-2023-24932-ben leírt biztonságos rendszerindítási megkerülés kijavításához vissza kell indítani a rendszerindítás-kezelőket. Ez problémákat okozhat egyes eszközindítási konfigurációk esetében.
A 2024. július 9-én vagy azt követően kiadott Windows biztonsági frissítések tartalmazzák a CVE-2023-24932-ben részletezett biztonságos rendszerindítási megkerülés elleni kockázatcsökkentéseket. Ezek a kockázatcsökkentések azonban alapértelmezés szerint nincsenek engedélyezve. Ezekkel a frissítésekkel azt javasoljuk, hogy kezdje el kiértékelni ezeket a változásokat a környezetében. A teljes ütemezést a Frissítések időzítése szakaszban ismertetjük.
A kockázatcsökkentések engedélyezése előtt alaposan tekintse át a cikkben található részleteket, és állapítsa meg, hogy engedélyeznie kell-e a kockázatcsökkentéseket, vagy várnia kell a Microsoft jövőbeli frissítésére. Ha úgy dönt, hogy engedélyezi a kockázatcsökkentéseket, ellenőriznie kell az eszközök frissítését és készenlétét, valamint ismernie kell az ebben a cikkben ismertetett kockázatokat.
Művelet végrehajtása
|
Ebben a kiadásban a következő lépéseket kell követni: 1. lépés: Telepítse a 2024. július 9-én vagy azt követően kiadott Windows biztonsági frissítést az összes támogatott verzióra. 2. lépés: Értékelje ki a módosításokat, és hogy azok hogyan befolyásolják a környezetet. |
Hatás hatóköre
A BlackLotus-rendszerindító minden olyan Windows-eszközt érint, amelyen engedélyezve van a biztonságos rendszerindítási védelem. A Windows támogatott verzióihoz kockázatcsökkentések érhetők el. A teljes listát lásd: CVE-2023-24932.
A kockázatok ismertetése
Kártevőkockázat: Ahhoz, hogy a cikkben leírt BlackLotus UEFI rendszerindítási támadás lehetséges legyen, a támadónak rendszergazdai jogosultságokat kell szereznie egy eszközön, vagy fizikai hozzáférést kell szereznie az eszközhöz. Ezt úgy teheti meg, hogy fizikailag vagy távolról éri el az eszközt, például hipervizort használ a virtuális gépek/felhő eléréséhez. A támadók gyakran használják ezt a biztonsági rést egy olyan eszköz felügyeletére, amelyhez már hozzáférnek, és amelyet esetleg manipulálhatnak. A cikkben ismertetett kockázatcsökkentések megelőző jellegűek, és nem korrekciós jellegűek. Ha az eszköz biztonsága már sérült, kérjen segítséget a biztonsági szolgáltatótól.
Helyreállítási adathordozó: Ha a kockázatcsökkentések alkalmazása után problémába ütközik az eszközzel, és az eszköz nem indul el, előfordulhat, hogy nem tudja elindítani vagy helyreállítani az eszközt a meglévő adathordozóról. A helyreállítási vagy telepítési adathordozót frissíteni kell, hogy működjön egy olyan eszközzel, amely alkalmazza a kockázatcsökkentéseket.
Belső vezérlőprogrammal kapcsolatos problémák: Amikor a Windows alkalmazza a cikkben ismertetett kockázatcsökkentéseket, az eszköz UEFI belső vezérlőprogramjára kell támaszkodnia a biztonságos rendszerindítási értékek frissítéséhez (a frissítések az adatbáziskulcsra (DB) és a tiltott aláírási kulcsra (DBX) vonatkoznak). Bizonyos esetekben tapasztalatunk van olyan eszközökkel kapcsolatban, amelyek nem frissítik a frissítéseket. Az eszközgyártókkal együttműködve a lehető legtöbb eszközön teszteljük ezeket a legfontosabb frissítéseket.
JEGYZET Először tesztelje ezeket a kockázatcsökkentéseket eszközosztályonként egyetlen eszközön a környezetében a lehetséges belsővezérlőprogram-problémák észlelése érdekében. A környezet összes eszközosztályának kiértékelése előtt ne telepítse széles körben.
BitLocker-helyreállítás: Egyes eszközök a BitLocker helyreállításába kerülhetnek. A kockázatcsökkentések engedélyezése előtt mindenképpen őrizze meg a BitLocker helyreállítási kulcs másolatát.
Ismert problémák
Belső vezérlőprogrammal kapcsolatos problémák:Nem minden eszköz belső vezérlőprogramja frissíti sikeresen a biztonságos rendszerindítási adatbázist vagy a DBX-et. Azokban az esetekben, amelyekről tudunk, jelentettük a problémát az eszköz gyártójának. A naplózott események részleteiért lásd : KB5016061: Secure Boot DB és DBX változófrissítési események . Kérje a belső vezérlőprogram frissítését az eszköz gyártójától. Ha az eszköz nem támogatott, a Microsoft javasolja az eszköz frissítését.
Ismert belsővezérlőprogram-problémák:
JEGYZET Az alábbi ismert problémák nincsenek hatással a 2024. július 9-i frissítések telepítésére, és nem akadályozzák meg. A legtöbb esetben a kockázatcsökkentések nem alkalmazhatók, ha ismert problémák léteznek. Tekintse meg az ismert problémák részleteit.
-
HP: A HP problémát észlelt a HP Z4G4 munkaállomások telepítésével kapcsolatban, és az elkövetkező hetekben kiad egy frissített Z4G4 UEFI belső vezérlőprogramot (BIOS). A kockázatcsökkentés sikeres telepítése érdekében az asztali munkaállomásokon le lesz tiltva, amíg a frissítés elérhetővé nem válik. A kockázatcsökkentés alkalmazása előtt az ügyfeleknek mindig frissítenie kell a legújabb rendszer BIOS-ra.
-
Biztos indítási biztonsággal rendelkező HP-eszközök: Ezeknek az eszközöknek a HP legújabb belsővezérlőprogram-frissítéseire van szükségük a kockázatcsökkentések telepítéséhez. A kockázatcsökkentések a belső vezérlőprogram frissítéséig le lesznek tiltva. Telepítse a legújabb belsővezérlőprogram-frissítést a HP-k támogatási oldaláról – Hivatalos HP-illesztőprogramok és szoftverletöltés | HP-támogatás.
-
Arm64-alapú eszközök: A kockázatcsökkentéseket a Qualcomm-alapú eszközök ismert UEFI belső vezérlőprogramjával kapcsolatos problémák blokkolják. A Microsoft a Qualcomm segítségével dolgozik a probléma megoldásán. A Qualcomm biztosítja a javítást az eszközgyártóknak. Forduljon az eszköz gyártójához, és állapítsa meg, hogy elérhető-e a probléma megoldása. A Microsoft észlelést ad hozzá, hogy lehetővé tegye a kockázatcsökkentések alkalmazását az eszközökön a rögzített belső vezérlőprogram észlelése esetén. Ha az Arm64-alapú eszköz nem rendelkezik Qualcomm belső vezérlőprogrammal, konfigurálja a következő beállításkulcsot a kockázatcsökkentés engedélyezéséhez.
Beállításjegyzék alkulcsa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Kulcsérték neve
SkipDeviceCheck
Adattípus
REG_DWORD
Adat
1
-
Alma:Az Apple T2 Security Chippel rendelkező Mac számítógépek támogatják a biztonságos rendszerindítást. Az UEFI biztonsági változóinak frissítése azonban csak a macOS-frissítések részeként érhető el. A Boot Camp felhasználóinak a Windowsban az 1795-ös eseményazonosítójú eseménynapló-bejegyzést kell látniuk ezekhez a változókhoz kapcsolódóan. További információ erről a naplóbejegyzésről: KB5016061: Secure Boot DB és DBX változófrissítési események.
-
VMware:VMware-alapú virtualizálási környezetekben a biztonságos rendszerindítást engedélyező x86-alapú processzort használó virtuális gépek indítása sikertelen lesz a kockázatcsökkentések alkalmazása után. A Microsoft együttműködik a VMware-lel a probléma megoldása érdekében.
-
TPM 2.0-alapú rendszerek: A Windows Server 2012-t és a Windows Server 2012 R2-t futtató rendszerek nem tudják üzembe helyezni a 2024. július 9-i biztonsági frissítésben megjelent kockázatcsökkentéseket a TPM-mérésekkel kapcsolatos ismert kompatibilitási problémák miatt. A 2024. július 9-i biztonsági frissítések blokkolják a 2. (rendszerindítás-kezelő) és a 3. (DBX-frissítés) kockázatcsökkentést az érintett rendszereken.A Microsoft tud a problémáról, és a jövőben kiadunk egy frissítést a TPM 2.0-alapú rendszerek blokkolásának feloldásához.A TPM verziójának ellenőrzéséhez kattintson a jobb gombbal a Start gombra, kattintson a Futtatás parancsra, majd írja be a tpm.msc parancsot. A középső panel jobb alsó részén, a TPM gyártói információi alatt a Specifikáció verziója értéknek kell megjelennie.
-
Symantec Endpoint Encryption: A biztonságos rendszerindítási kockázatcsökkentések nem alkalmazhatók a Symantec Endpoint Encryptiont telepítő rendszerekre. A Microsoft és a Symantec tisztában van a problémával, és a jövőbeli frissítésben meg fogjuk oldani.
Útmutató ehhez a kiadáshoz
Ebben a kiadásban kövesse ezt a két lépést.
1. lépés: A Windows biztonsági frissítés telepítése Telepítse a 2024. július 9-én vagy azt követően kiadott Windows havi biztonsági frissítést a támogatott Windows-eszközökön. Ezek a frissítések tartalmazzák a CVE-2023-24932 megoldásait, de alapértelmezés szerint nincsenek engedélyezve. Minden Windows-eszköznek el kell végeznie ezt a lépést, függetlenül attól, hogy tervezi-e a kockázatcsökkentések üzembe helyezését.
2. lépés: A módosítások kiértékelése Javasoljuk, hogy tegye a következőket:
-
Ismerje meg az első két kockázatcsökkentést, amelyek lehetővé teszik a biztonságos rendszerindítási adatbázis frissítését és a rendszerindítás-kezelő frissítését.
-
Tekintse át a frissített ütemezést.
-
Kezdje el tesztelni az első két kockázatcsökkentést a környezet reprezentatív eszközein.
-
Kezdje el az üzembe helyezés megtervezését.
3. lépés: A módosítások kényszerítése
Javasoljuk, hogy ismerje meg a Kockázatok ismertetése szakaszban szereplő kockázatokat.
-
Ismerje meg a helyreállításra és más rendszerindító adathordozókra gyakorolt hatást.
-
Kezdje el tesztelni a harmadik kockázatcsökkentést, amely nem megbízható az összes korábbi Windows rendszerindítás-kezelőhöz használt aláíró tanúsítványban.
Hibaelhárítási üzembehelyezési irányelvek
Mielőtt követené a kockázatcsökkentések alkalmazásának lépéseit, telepítse a Windows 2024. július 9-én vagy azt követően kiadott havi karbantartási frissítését a támogatott Windows-eszközökön. Ez a frissítés tartalmazza a CVE-2023-24932 megoldásait, de alapértelmezés szerint nincsenek engedélyezve. A megoldás engedélyezésének tervétől függetlenül minden Windows-eszköznek végre kell hajtania ezt a lépést.
JEGYZET Ha a BitLockert használja, győződjön meg arról, hogy a BitLocker helyreállítási kulcsról biztonsági mentés készült. Futtassa a következő parancsot egy rendszergazdai parancssorból, és jegyezze fel a 48 számjegyű numerikus jelszót:
manage-bde -protectors -get %systemdrive%
A frissítés üzembe helyezéséhez és a visszavonások alkalmazásához kövesse az alábbi lépéseket:
-
Telepítse a frissített tanúsítványdefiníciókat az adatbázisba.
Ez a lépés hozzáadja a "Windows UEFI CA 2023" tanúsítványt az UEFI "Secure Boot Signature Database" (DB) adatbázishoz. Ha hozzáadja ezt a tanúsítványt az adatbázishoz, az eszköz belső vezérlőprogramja megbízik a tanúsítvány által aláírt rendszerindító alkalmazásokban.
-
Nyisson meg egy rendszergazdai parancssort, és állítsa be a beállításkulcsot az adatbázisra való frissítés végrehajtásához a következő paranccsal:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
FONTOS Mielőtt továbblép a 2. és 3. lépésre, mindenképpen indítsa újra az eszközt kétszer a frissítés telepítésének befejezéséhez.
-
Futtassa a következő PowerShell-parancsot rendszergazdaként, és ellenőrizze, hogy az adatbázis frissítése sikeresen megtörtént-e. Ennek a parancsnak Igaz értéket kell visszaadnia.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Frissítse a Rendszerindítás-kezelőt az eszközön.
Ez a lépés egy rendszerindítás-kezelő alkalmazást telepít az eszközre, amely a "Windows UEFI CA 2023" tanúsítvánnyal van aláírva.
-
Nyisson meg egy rendszergazdai parancssort, és állítsa be a beállításkulcsot a "'Windows UEFI CA 2023" aláírt rendszerindítás-kezelő telepítéséhez:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Indítsa újra az eszközt kétszer.
-
Rendszergazdaként csatlakoztassa az EFI-partíciót, hogy készen álljon a vizsgálatra:
mountvol s: /s
-
Ellenőrizze, hogy az "s:\efi\microsoft\boot\bootmgfw.efi" fájl alá van-e írva a "Windows UEFI CA 2023" tanúsítvánnyal. Ehhez kövesse a következő lépéseket:
-
Kattintson a Start gombra, írja be a parancssor kifejezést a Keresés mezőbe, majd kattintson a Parancssor elemre.
-
A Parancssor ablakban írja be a következő parancsot, majd nyomja le az Enter billentyűt:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
A Fájlkezelőben kattintson a jobb gombbal a C:\bootmgfw_2023.efi fájlra, kattintson a Tulajdonságok elemre, majd válassza a Digitális aláírások lapot.
-
Az Aláírás listában ellenőrizze, hogy a tanúsítványlánc tartalmazza-e a Windows UEFI CA 2023-at. A tanúsítványláncnak a következő képernyőképen kell megegyeznie:
-
-
-
Engedélyezze a visszavonást.
Az UEFI Tiltott lista (DBX) a nem megbízható UEFI-modulok betöltésének letiltására szolgál. Ebben a lépésben a DBX frissítése hozzáadja a "Windows Production CA 2011" tanúsítványt a DBX-hez. Ez azt eredményezi, hogy a tanúsítvány által aláírt rendszerindítás-kezelők nem lesznek megbízhatók.
FIGYELMEZTETÉS: A harmadik kockázatcsökkentés alkalmazása előtt hozzon létre egy helyreállítási flash meghajtót, amely a rendszer elindításához használható. Ennek módjáról a Windows telepítési adathordozójának frissítése című szakaszban talál további információt.
Ha a rendszer nem indítható állapotba kerül, a Helyreállítási eljárás szakasz lépéseit követve állítsa vissza az eszközt a visszavonás előtti állapotba.
-
Adja hozzá a "Windows Production PCA 2011" tanúsítványt a Secure Boot UEFI Forbidden List (DBX) listához. Ehhez nyisson meg egy parancssori ablakot rendszergazdaként, írja be a következő parancsot, majd nyomja le az Enter billentyűt:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Indítsa újra az eszközt kétszer , és győződjön meg arról, hogy teljesen újraindult.
-
A telepítési és visszavonási lista sikeres alkalmazásának ellenőrzéséhez keresse meg a 1037-et az eseménynaplóban.További információ az 1037-s eseményről: KB5016061: Secure Boot DB és DBX változófrissítési események. Vagy futtassa a következő PowerShell-parancsot rendszergazdaként, és győződjön meg arról, hogy igaz értéket ad vissza:
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
-
Alkalmazza az SVN-frissítést a belső vezérlőprogramra. A 2. lépésben üzembe helyezett Rendszerindítás-kezelő új önvisszavonási funkcióval rendelkezik. Amikor a rendszerindítás-kezelő elindul, önellenőrzést végez a belső vezérlőprogramban tárolt biztonságos verziószám (SVN) és a rendszerindítás-kezelőbe beépített SVN összehasonlításával. Ha a Boot Manager SVN alacsonyabb, mint a belső vezérlőprogramban tárolt SVN, a rendszerindítás-kezelő megtagadja a futtatását. Ez a funkció megakadályozza, hogy a támadó visszaállítsa a Rendszerindítás-kezelőt egy régebbi, nem frissített verzióra.A jövőbeli frissítésekben, ha egy jelentős biztonsági problémát kijavítanak a rendszerindítás-kezelőben, az SVN-szám a rendszerindítás-kezelőben és a belső vezérlőprogram frissítésében is növekszik. Mindkét frissítés ugyanabban az összegző frissítésben jelenik meg, hogy a javított eszközök védve legyenek. Az SVN frissítésekor minden rendszerindító adathordozót frissíteni kell. 2024. július 9-től kezdődően a rendszerindítási kezelőben és a belső vezérlőprogram frissítésében növekszik az SVN. A belső vezérlőprogram frissítése nem kötelező, és az alábbi lépésekkel alkalmazható:
-
Nyisson meg egy rendszergazdai parancssort, és futtassa a következő parancsot a "'Windows UEFI CA 2023" aláírt rendszerindítás-kezelő telepítéséhez:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Indítsa újra az eszközt kétszer.
-
Rendszerindító adathordozó
Fontos lesz frissíteni a rendszerindító adathordozót, miután az üzembehelyezési fázis elkezdődött a környezetben.
Útmutató a rendszerindító adathordozó frissítéséhez a cikk későbbi frissítéseihez. A következő szakaszban usb-meghajtót hozhat létre az eszköz helyreállításához.
Windows telepítési adathordozó frissítése
JEGYZET Rendszerindító USB-meghajtó létrehozásakor mindenképpen formázza a meghajtót a FAT32 fájlrendszer használatával.
A Helyreállítási meghajtó létrehozása alkalmazást az alábbi lépésekkel használhatja. Ezzel az adathordozóval újratelepíthet egy eszközt, ha nagyobb probléma, például hardverhiba lép fel, a helyreállítási meghajtóval újratelepítheti a Windowst.
-
Nyissa meg azt az eszközt, amelyen a 2024. július 9-i frissítések és az első kockázatcsökkentési lépés (a biztonságos rendszerindítási adatbázis frissítése) lett alkalmazva.
-
A Start menüben keresse meg a "Helyreállítási meghajtó létrehozása" vezérlőpulti kisalkalmazást, és kövesse az utasításokat a helyreállítási meghajtó létrehozásához.
-
Az újonnan létrehozott flash meghajtó csatlakoztatásával (például "D:" meghajtóként) futtassa a következő parancsokat rendszergazdaként. Írja be az alábbi parancsok mindegyikét, majd nyomja le az Enter billentyűt:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ha a környezetében a Telepíthető adathordozó frissítése dinamikus frissítéssel című útmutató segítségével kezeli a telepíthető adathordozót, kövesse az alábbi lépéseket. Ezek a további lépések létrehoznak egy rendszerindító flash meghajtót, amely a "Windows UEFI CA 2023" aláíró tanúsítvány által aláírt rendszerindító fájlokat használja.
-
Nyissa meg azt az eszközt, amelyen a 2024. július 9-i frissítések és az első kockázatcsökkentési lépés (a biztonságos rendszerindítási adatbázis frissítése) lett alkalmazva.
-
A 2024. július 9-i frissítéseket tartalmazó adathordozó létrehozásához kövesse az alábbi hivatkozás lépéseit. Windows telepítési adathordozó frissítése dinamikus frissítéssel
-
Helyezze az adathordozó tartalmát egy USB-meghajtóra, és csatlakoztassa az ujjlenyomatot meghajtóbetűjelként. Csatlakoztassa például az ujjlenyomat-meghajtót "D:" néven.
-
Futtassa a következő parancsokat egy parancsablakból rendszergazdaként. Írja be az alábbi parancsokat, majd nyomja le az Enter billentyűt.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ha egy eszköz biztonsági rendszerindítási beállításai a kockázatcsökkentések alkalmazása után az alapértelmezett értékre állíthatók vissza, az eszköz nem indul el. A probléma megoldásához a javítóalkalmazás szerepel a 2024. július 9-i frissítésekben, amelyek a "Windows UEFI CA 2023" tanúsítvány adatbázisra való újbóli alkalmazásához használhatók (1. kockázatcsökkentés).
JEGYZET Ne használja ezt a javítóalkalmazást olyan eszközön vagy rendszeren, amelyről az Ismert problémák szakaszban olvashat.
-
Nyissa meg azt az eszközt, amelyen a 2024. július 9-i frissítéseket alkalmazták.
-
Egy parancsablakban másolja a helyreállítási alkalmazást a flash meghajtóra a következő parancsokkal (feltéve, hogy a flash meghajtó a "D:" meghajtó). Írja be külön az egyes parancsokat, majd nyomja le az Enter billentyűt:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Azon az eszközön, amelyen a Biztonságos rendszerindítási beállítások visszaállnak az alapértelmezett értékre, helyezze be a flash meghajtót, indítsa újra az eszközt, és indítsa el a flash meghajtóról.
Frissítések időzítése
A frissítések az alábbiak szerint jelennek meg:
-
Kezdeti üzembe helyezés Ez a fázis a 2023. május 9-én kiadott frissítésekkel kezdődött, és alapvető kockázatcsökkentési megoldásokat biztosított a kockázatcsökkentések engedélyezéséhez szükséges manuális lépésekkel.
-
Második üzembe helyezés Ez a fázis a 2023. július 11-én kiadott frissítésekkel kezdődött, amelyek egyszerűsített lépésekkel lehetővé tették a probléma megoldását.
-
Kiértékelési fázis Ez a fázis 2024. április 9-én kezdődik, és további rendszerindítás-kezelői kockázatcsökkentéseket ad hozzá.
-
Üzembehelyezési fázis Ekkor bátorítjuk az összes ügyfelet a kockázatcsökkentések üzembe helyezésére és az adathordozók frissítésére.
-
Kényszerítési fázis A kényszerítési fázis, amely véglegessé teszi a kockázatcsökkentéseket. A fázis dátumát egy későbbi időpontban jelentik be.
Megjegyzés A kiadási ütemezés szükség szerint módosítható.
Ezt a fázist a Windows biztonsági frissítéseinek 2024. április 9-én vagy azt követően kiadott kiadása váltotta fel.
Ezt a fázist a Windows biztonsági frissítéseinek 2024. április 9-én vagy azt követően kiadott kiadása váltotta fel.
Ebben a fázisban azt kérjük, hogy tesztelje ezeket a módosításokat a környezetben, hogy a módosítások megfelelően működjenek a reprezentatív mintaeszközökkel, és hogy tapasztalatot szerezzen a változásokról.
JEGYZET Ahelyett, hogy az előző üzembe helyezési fázisokban is teljes körűen felsorolnánk és nem megbízható sebezhető rendszerindítás-kezelőket keresnénk, hozzáadjuk a "Windows Production PCA 2011" aláíró tanúsítványt a Biztonságos rendszerindítás tiltása listához (DBX), hogy ne bízzunk a tanúsítvány által aláírt összes rendszerindítás-kezelőben. Ez megbízhatóbb módszer annak biztosítására, hogy az összes korábbi rendszerindítás-kezelő ne legyen megbízható.
A 2024. április 9-én vagy azt követően kiadott Windows-frissítésekhez adja hozzá a következőket:
-
Három új kockázatcsökkentési vezérlő, amelyek felváltják a 2023-ban kiadott kockázatcsökkentéseket. Az új kockázatcsökkentési vezérlők a következők:
-
Egy vezérlő, amely a "Windows UEFI CA 2023" tanúsítványt a biztonságos rendszerindítási adatbázisban helyezi üzembe, hogy megbízzon a tanúsítvány által aláírt Windows rendszerindítás-kezelőkben. Vegye figyelembe, hogy előfordulhat, hogy a "Windows UEFI CA 2023" tanúsítványt egy korábbi Windows-frissítés telepítette.
-
A "Windows UEFI CA 2023" tanúsítvány által aláírt rendszerindítás-kezelő üzembe helyezésére vonatkozó vezérlő.
-
A "Windows Production PCA 2011" hozzáadására szolgáló vezérlő a Biztonságos rendszerindítási DBX-hez, amely blokkolja a tanúsítvány által aláírt összes Windows rendszerindítás-kezelőt.
-
-
A kockázatcsökkentés üzembe helyezésének engedélyezése szakaszokban egymástól függetlenül, hogy az igényeinek megfelelően jobban szabályozhassa a kockázatcsökkentések üzembe helyezését a környezetben.
-
A kockázatcsökkentések egymáshoz vannak fonva, így nem helyezhetők üzembe helytelen sorrendben.
-
További események az eszközök állapotának megismeréséhez a kockázatcsökkentés alkalmazása során. Az eseményekkel kapcsolatos további részletekért lásd: KB5016061: Secure Boot DB és DBX változófrissítési események.
Ebben a fázisban arra biztatjuk az ügyfeleket, hogy megkezdjék a kockázatcsökkentések üzembe helyezését és a médiafrissítések kezelését. A frissítések a következő módosításokat tartalmazzák:
-
Mostantól támogatott a biztonságos verziószám (SVN) és a frissített SVN beállítása a belső vezérlőprogramban.
Az alábbiakban a nagyvállalati üzembe helyezés lépéseit mutatjuk be.
Megjegyzés További útmutatás a cikk későbbi frissítéseivel kapcsolatban.
-
Helyezze üzembe az első kockázatcsökkentést a vállalat összes eszközén vagy a vállalat egy felügyelt eszközcsoportjában. Ez a következőkre vonatkozik:
-
Az első olyan kockázatcsökkentés engedélyezése, amely hozzáadja a "Windows UEFI CA 2023" aláíró tanúsítványt az eszköz belső vezérlőprogramjához.
-
Annak figyelése, hogy az eszközök sikeresen hozzáadták a "Windows UEFI CA 2023" aláíró tanúsítványt.
-
-
Telepítse a második kockázatcsökkentést, amely a frissített rendszerindítás-kezelőt alkalmazza az eszközre.
-
Frissítse az ezekkel az eszközökkel használt helyreállítási vagy külső rendszerindító adathordozót.
-
Helyezze üzembe a harmadik kockázatcsökkentést, amely lehetővé teszi a "Windows Production CA 2011" tanúsítvány visszavonását a belső vezérlőprogram DBX-hez való hozzáadásával.
-
Telepítse a negyedik kockázatcsökkentést, amely frissíti a biztonságos verziószámot (SVN) a belső vezérlőprogramban.
A kényszerítési fázis legalább hat hónappal az üzembe helyezési fázis után lesz. A kényszerítési fázishoz kiadott frissítések a következőket tartalmazzák:
-
A rendszer automatikusan visszavonja a "Windows production PCA 2011" tanúsítványt úgy, hogy hozzáadja a biztonságos rendszerindítási UEFI tiltott eszközök listájához (DBX) a kompatibilis eszközökön. Ezeket a frissítéseket a rendszer programozott módon érvényesíti, miután telepítette a Windows frissítéseit az összes érintett rendszerre, és nincs lehetőség a letiltásra.
A CVE-2023-24932-höz kapcsolódó Windows-eseménynapló-hibák
Az adatbázis és a DBX frissítésével kapcsolatos Windows-eseménynapló-bejegyzések részletes leírását a következő KB5016061: Secure Boot DB és DBX változófrissítési események.
A kockázatcsökkentések alkalmazásával kapcsolatos "sikeres" eseményeket az alábbi táblázat sorolja fel.
|
Kockázatcsökkentési lépés |
Eseményazonosító |
Megjegyzések |
|
Az adatbázis-frissítés alkalmazása |
1036 |
A PCA2023 tanúsítvány hozzá lett adva az adatbázishoz. |
|
A rendszerindítás-kezelő frissítése |
1799 |
A rendszer alkalmazta az PCA2023 aláírt rendszerindítás-kezelőt. |
|
A DBX-frissítés alkalmazása |
1037 |
Az aláíró tanúsítvány PCA2011 nem megbízható DBX-frissítés lett alkalmazva. |
Gyakori kérdések (GYIK)
-
Az eszköz helyreállításához tekintse meg a Helyreállítási eljárás szakaszt.
-
Kövesse a Rendszerindítási problémák elhárítása című szakaszban található útmutatást.
A visszavonás alkalmazása előtt frissítse az összes Windows operációs rendszert a 2024. július 9-én vagy azt követően kiadott frissítésekkel. Előfordulhat, hogy a visszavonás alkalmazása után nem tudja elindítani a Windows olyan verzióját, amely nem lett legalább 2024. július 9-én kiadott frissítésekre frissítve. Kövesse a Rendszerindítási problémák elhárítása című szakaszban található útmutatást.
Tekintse meg a Rendszerindítási problémák elhárítása című szakaszt .
Rendszerindítási problémák elhárítása
Mindhárom kockázatcsökkentés alkalmazása után az eszköz belső vezérlőprogramja nem indul el a Windows Production PCA 2011 által aláírt rendszerindítás-kezelővel. A belső vezérlőprogram által jelentett rendszerindítási hibák eszközspecifikusak. Tekintse meg a Helyreállítási eljárás szakaszt.
Helyreállítási eljárás
Ha hiba lép fel a kockázatcsökkentés alkalmazása közben, és nem tudja elindítani az eszközt, vagy külső adathordozóról (például egy pendrive-ról vagy PXE-rendszerindításról) kell indulnia, próbálkozzon az alábbi javaslatokkal:
-
Kapcsolja ki a Biztonságos rendszerindítást.Ez az eljárás különbözik az eszközgyártóktól és a modellektől. Adja meg az eszközök UEFI BIOS menüjét, lépjen a Biztonságos rendszerindítási beállítások területre, és kapcsolja ki. A folyamatra vonatkozó részletekért tekintse meg az eszköz gyártójának dokumentációját. További információt a Biztonságos rendszerindítás letiltása című témakörben talál.
-
Állítsa alaphelyzetbe a biztonságos rendszerindítási kulcsokat az alapértelmezett gyári beállításokra.
Ha az eszköz támogatja a biztonságos rendszerindítási kulcsok gyári alapértékre állítását, most hajtsa végre ezt a műveletet.
JEGYZET Egyes eszközgyártók a Biztonságos rendszerindítás változók esetében "Clear" (Törlés) és "Reset" (Alaphelyzetbe állítás) beállítással is rendelkeznek, amely esetben a "Reset" (Alaphelyzetbe állítás) lehetőséget kell használni. A cél az, hogy a Secure Boot változókat visszahelyezzük a gyártók alapértelmezett értékeire.
Az eszköznek most kell elindulnia, de vegye figyelembe, hogy sebezhető a boot-kit kártevők ellen. A biztonságos rendszerindítás újbóli engedélyezéséhez végezze el a helyreállítási folyamat 5. lépését.
-
Próbálja meg elindítani a Windowst a rendszerlemezről.
-
Bejelentkezés a Windowsba.
-
Futtassa az alábbi parancsokat egy rendszergazdai parancssorból a rendszerindító fájlok visszaállításához az EFI rendszerindítási partíciójában. Írja be külön az egyes parancsokat, majd nyomja le az Enter billentyűt:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
A BCDBoot futtatása a "Rendszerindító fájlok sikeresen létrehozva" értéket adja vissza. Az üzenet megjelenése után indítsa újra az eszközt a Windowsba.
-
-
Ha a 3. lépés nem tudja helyreállítani az eszközt, telepítse újra a Windowst.
-
Indítsa el az eszközt a meglévő helyreállítási adathordozóról.
-
Folytassa a Windows telepítésével a helyreállítási adathordozó használatával.
-
Bejelentkezés a Windowsba.
-
Indítsa újra a Windowst annak ellenőrzéséhez, hogy az eszköz visszaindul-e a Windowsba.
-
-
Engedélyezze újra a Biztonságos rendszerindítást, és indítsa újra az eszközt.Adja meg az eszköz UEFI menüjét, lépjen a Biztonságos rendszerindítási beállítások területre, és kapcsolja be. A folyamatra vonatkozó részletekért tekintse meg az eszköz gyártójának dokumentációját. További információt a Biztonságos rendszerindítás újbóli engedélyezése című szakaszban talál.
Referenciák
-
Útmutató a CVE-2022-21894: The BlackLotus kampányt használó támadások kivizsgálására
-
Biztonságos rendszerindítás engedélyezése regisztrált Windows-eszközökön
-
A DBX-frissítések alkalmazásakor generált eseményekért lásd: KB5016061: A sebezhető és visszavont rendszerindítás-kezelők kezelése.
A külső gyártók ebben a cikkben említett termékeit a Microsofttól független vállalatok gyártják. A termékek teljesítményére vagy megbízhatóságára semmilyen vélelmezett vagy egyéb garanciát nem vállalunk.
Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.
|
A módosítás dátuma |
A módosítás leírása |
|
2024. július 9. |
|
|
2024. április 9. |
|
|
2023. december 16., csütörtök |
|
|
2023. május 15. |
|
|
2023. május 11. |
|
|
2023. május 10. |
|
|
2023. május 9. |
|
|
2023. június 27. |
|
|
2023. július 11. |
|
|
2023. augusztus 25. |
|
