Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

DÔLEŽITÝ Aktualizáciu zabezpečenia systému Windows vydanú 9. júla 2024 alebo po jej skončení by ste mali použiť ako súčasť procesu pravidelnej mesačnej aktualizácie.

Tento článok sa vzťahuje na organizácie, ktoré by mali začať vyhodnocovať obmedzenia rizík pre verejne zverejnené obídenie zabezpečeného spustenia, ktoré využíva súprava bootkit BlackLotus UEFI. Okrem toho možno budete chcieť zaujať proaktívny postoj k zabezpečeniu alebo začať s prípravou na zavedenie. Tento malvér vyžaduje fyzický alebo administratívny prístup k zariadeniu.

OPATRNOSŤ Po povolení zmiernenia tohto problému v zariadení, čo znamená, že boli použité zmiernenia, sa nedá vrátiť, ak budete v tomto zariadení naďalej používať zabezpečené spustenie. Dokonca ani preformátovanie disku neodstráni zrušenia, ak už boli použité. Skôr než použijete zrušenia, ktoré sú uvedené v tomto článku na vaše zariadenie, dôkladne otestujte všetky možné dôsledky a vykonajte dôkladné testovanie.

V tomto článku

Zhrnutie

V tomto článku sa popisuje ochrana pred verejne zverejneným obídením funkcie zabezpečenia zabezpečeného spustenia, ktorá používa súpravu bootkit BlackLotus UEFI sledovanú cve-2023-24932, ako povoliť zmiernenia a pokyny na spúšťateľné médiá. Bootkit je škodlivý program, ktorý je navrhnutý tak, aby sa načítal čo najskôr v sekvencii spúšťania zariadení na ovládanie spustenia operačného systému.

Spoločnosť Microsoft odporúča bezpečné spustenie na vytvorenie bezpečnej a dôveryhodnej cesty z rozhrania Unified Extensible Firmware Interface (UEFI) prostredníctvom sekvencie dôveryhodného spustenia jadra systému Windows. Zabezpečené spustenie pomáha predchádzať malvéru bootkit v postupnosti spúšťania. Zakázanie zabezpečeného spustenia ohrozuje zariadenie infikovaním malvérom Bootkit. Oprava obídenia zabezpečeného spustenia popísaného v CVE-2023-24932 vyžaduje zrušenie správcov spúšťania. To môže spôsobiť problémy pri niektorých konfiguráciách spúšťania zariadenia.

Obmedzenia rizík voči obídenie zabezpečeného spustenia podrobne opísané v CVE-2023-24932 sú zahrnuté v aktualizáciách zabezpečenia systému Windows, ktoré boli vydané 9. júla 2024 alebo po ich vydaní. Tieto obmedzenia rizík však nie sú predvolene povolené. S týmito aktualizáciami odporúčame začať vyhodnocovať tieto zmeny vo vašom prostredí. Úplný plán je popísaný v časti Časovanie aktualizácií .

Pred povolením týchto zmiernení by ste mali dôkladne skontrolovať podrobnosti v tomto článku a zistiť, či je potrebné povoliť obmedzenia rizík alebo čakať na budúcu aktualizáciu od spoločnosti Microsoft. Ak sa rozhodnete povoliť obmedzenia rizík, musíte overiť, či sú vaše zariadenia aktualizované a pripravené, a porozumieť rizikám popísaným v tomto článku. 

Vykonať akciu 

V tomto vydaní by ste mali postupovať podľa týchto krokov:

Krok 1: Nainštalujte aktualizáciu zabezpečenia windowsu vydanú 9. júla 2024 alebo po jej skončení vo všetkých podporovaných verziách.

Krok 2: Vyhodnotenie zmien a ich vplyvu na vaše prostredie.

Krok 3: Vynútenie zmien.

Rozsah vplyvu

Všetky zariadenia s Windowsom so zapnutou ochranou zabezpečeného spustenia sú ovplyvnené súpravou blacklotus bootkit. Obmedzenia rizík sú k dispozícii pre podporované verzie Windowsu. Úplný zoznam nájdete v cve-2023-24932.

Pochopenie rizík

Riziko malvéru: Aby bolo možné využívať súpravu bootkit BlackLotus UEFI popísanú v tomto článku, útočník musí získať oprávnenia správcu v zariadení alebo získať fyzický prístup k zariadeniu. Môžete to urobiť fyzickým alebo vzdialeným prístupom k zariadeniu, napríklad pomocou hypervízora na prístup k virtuálnym počítačom alebo cloudu. Útočník bude túto zraniteľnosť bežne používať na pokračovanie v kontrole zariadenia, ku ktorému už môže pristupovať a s ktorým možno manipulovať. Obmedzenia rizík v tomto článku sú preventívne a nie nápravné. Ak je vaše zariadenie už zneužité, požiadajte o pomoc svojho poskytovateľa zabezpečenia.

Médiá na obnovenie: Ak sa po použití zmiernení vyskytne problém so zariadením a zariadenie sa stane neobnoviteľným, pravdepodobne nebudete môcť spustiť alebo obnoviť zariadenie z existujúcich médií. Médium na obnovenie alebo inštaláciu bude potrebné aktualizovať, aby fungovalo so zariadením s použitými obmedzeniami rizík.

Problémy s firmvérom: Keď Windows použije obmedzenia rizík popísané v tomto článku, musí sa spoliehať na firmvér UEFI zariadenia na aktualizáciu hodnôt zabezpečeného spustenia (aktualizácie sa použijú na databázový kľúč (DB) a zakázaný podpisový kľúč (DBX)). V niektorých prípadoch máme skúsenosti so zariadeniami, ktoré aktualizácie zlyhávajú. Spolupracujeme s výrobcami zariadení na teste týchto kľúčových aktualizácií v čo možno najviac zariadeniach.

NOTA Ak chcete zistiť možné problémy s firmvérom, najskôr otestujte tieto obmedzenia rizík v jednom zariadení na jednu triedu zariadenia vo vašom prostredí. Nenasadzujte široko pred potvrdením všetkých tried zariadení vo vašom prostredí boli vyhodnotené.

Obnovenie šifrovania BitLocker: Niektoré zariadenia môžu prejsť na obnovenie šifrovania BitLocker. Pred povolením zmiernenia si nezabudnite uchovať kópiu kľúča na obnovenie šifrovaní BitLocker .

Známe problémy

Problémy s firmvérom:Nie všetky firmvér zariadenia úspešne aktualizujú databázu zabezpečeného spustenia alebo DBX. V prípadoch, o ktorých vieme, sme problém nahlásili výrobcovi zariadenia. Podrobnosti o zaznamenaných udalostiach nájdete v téme KB5016061: Udalosti aktualizácie premenných Secure Boot DB a DBX . Obráťte sa na výrobcu zariadenia a požiadajte ho o aktualizácie firmvéru. Ak zariadenie nepodporuje, spoločnosť Microsoft odporúča inovovať zariadenie.

Známe problémy s firmvérom:

NOTA Nasledujúce známe problémy nemajú žiadny vplyv a nebránia inštalácii aktualizácií z 9. júla 2024. Vo väčšine prípadov sa obmedzenia rizík nepoužijú tam, kde existujú známe problémy. Pozrite si podrobnosti uvedené v každom známom probléme.

  • HP: Spoločnosť HP identifikovala problém s inštaláciou zmiernenia v pc pracovnej stanice HP Z4G4 a v najbližších týždňoch vydá aktualizovaný firmvér Z4G4 UEFI (BIOS). Ak chcete zabezpečiť úspešnú inštaláciu zmiernenia, bude blokovaná na pracovných staniciach desktop, kým nebude k dispozícii aktualizácia. Zákazníci by mali vždy aktualizovať na najnovší systém BIOS pred použitím zmiernenia.

  • Zariadenia HP s funkciou Sure Start Security: Tieto zariadenia potrebujú najnovšie aktualizácie firmvéru od spoločnosti HP na inštaláciu zmierňujúcich rizík. Obmedzenia rizík sú blokované, kým sa neaktualizuje firmvér. Nainštalujte si najnovšiu aktualizáciu firmvéru zo stránky podpory pre TECHNICKÚ PODPORU – Oficiálne ovládače HP a sťahovanie softvéru | Podpora spoločnosti HP.

  • Zariadenia s architektúrou Arm64: Zmiernenia rizík sú zablokované z dôvodu známych problémov s firmvérom UEFI v zariadeniach so systémom UEFI. Spoločnosť Microsoft spolupracuje so spoločnosťouDries na riešení tohto problému. Airbus poskytne opravu výrobcom zariadení. Obráťte sa na výrobcu zariadenia a zistite, či je k dispozícii oprava tohto problému. Spoločnosť Microsoft pridá detekciu, ktorá umožní použitie zmiernení v zariadeniach pri zistení pevného firmvéru. Ak vaše zariadenie založené na technológii Arm64 nemá firmvér SpoločnostiProgram, nakonfigurujte nasledujúci kľúč databázy Registry, aby ste povolili zmierňovanie rizík.

    Podkľúč databázy Registry

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Názov hodnoty kľúča

    SkipDeviceCheck

    Typ údajov

    REG_DWORD

    Údaje

    1

  • Jablko:Mac počítače, ktoré majú Apple T2 Security Chip podporu Secure Boot. Aktualizácia premenných súvisiacich so zabezpečením UEFI je však k dispozícii len ako súčasť aktualizácií systému macOS. Očakáva sa, že používatelia boot campu uvidia záznam denníka udalostí id udalosti 1795 vo Windowse súvisiace s týmito premennými. Ďalšie informácie o tejto položke denníka nájdete v téme KB5016061: Udalosti aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX.

  • VMware:V prostrediach virtualizácie založených na VMware sa virtuálny počítač používajúci procesor typu x86 s povoleným zabezpečeným spustením nepodarí spustiť po použití zmiernení. Spoločnosť Microsoft na riešenie tohto problému koordinuje s VMware.

  • Systémy založené na module TPM 2.0:  Tieto systémy, ktoré spúšťajú Windows Server 2012 a Windows Server 2012 R2, nemôžu nasadiť obmedzenia rizík vydané v aktualizácii zabezpečenia z 9. júla 2024 z dôvodu známych problémov s kompatibilitou s meraniami modulu TPM. Aktualizácie zabezpečenia z 9. júla 2024 budú blokovať obmedzenia rizík č. 2 (správca spúšťania) a #3 (aktualizácia DBX) v dotknutých systémoch.Spoločnosť Microsoft o probléme vie a v budúcnosti bude vydaná aktualizácia na odblokovanie systémov založených na module TPM 2.0.Ak chcete skontrolovať verziu modulu TPM, kliknite pravým tlačidlom myši na tlačidlo Štart, kliknite na položku Spustiť a potom zadajte tpm.msc. V pravom dolnom rohu strednej tably v časti Informácie o výrobcovi modulu TPM by sa mala zobraziť hodnota pre verziu špecifikácie.

  • Šifrovanie koncového bodu Symantec: Obmedzenia rizík zabezpečeného spustenia nie je možné použiť na systémy, ktoré nainštalovali šifrovanie koncového bodu Symantec. Microsoft a Symantec o probléme vedia a budú vyriešené v budúcej aktualizácii.

Pokyny pre toto vydanie

V tomto vydaní postupujte podľa týchto dvoch krokov.

Krok 1: Inštalácia aktualizácie zabezpečenia windowsu Nainštalujte mesačnú aktualizáciu zabezpečenia Windowsu vydanú 9. júla 2024 alebo po jej vydaní v podporovaných zariadeniach s Windowsom. Tieto aktualizácie zahŕňajú obmedzenia rizík pre CVE-2023-24932, ale nie sú predvolene povolené. Všetky zariadenia s Windowsom by mali tento krok dokončiť bez ohľadu na to, či plánujete nasadiť obmedzenia rizík.

Krok 2: Vyhodnotenie zmien Odporúčame vám vykonať nasledujúce kroky:

  • Oboznámte sa s prvými dvoma obmedzeniami rizík, ktoré umožňujú aktualizovať databázu zabezpečeného spustenia a aktualizovať správcu spúšťania.

  • Skontrolujte aktualizovaný plán.

  • Začnite testovať prvé dve obmedzenia rizík voči reprezentatívnym zariadeniam z vášho prostredia.

  • Začnite plánovať nasadenie.

Krok 3: Vynútenie zmien

Odporúčame vám pochopiť riziká uvedené v časti Vysvetlenie rizík.

  • Oboznámte sa s vplyvom na obnovenie a iné spúšťacie médiá.

  • Začnite testovať tretie obmedzenie rizík, ktoré nedôveruje podpisovému certifikátu použitému pre všetkých predchádzajúcich správcov spúšťania systému Windows.

Pokyny na nasadenie zmiernenia

Pred vykonaním týchto krokov na uplatnenie zmiernených rizík nainštalujte aktualizáciu mesačnej údržby Windowsu vydanú 9. júla 2024 alebo po jej skončení v podporovaných zariadeniach s Windowsom. Táto aktualizácia obsahuje obmedzenia rizík pre CVE-2023-24932, ale nie sú predvolene povolené. Všetky zariadenia s Windowsom by mali vykonať tento krok bez ohľadu na váš plán na povolenie zmiernení rizík.

NOTA Ak používate šifrovanie BitLocker, skontrolujte, či bol kľúč na obnovenie šifrovania BitLocker zálohovaný. V príkazovom riadku správcu môžete spustiť nasledujúci príkaz a poznamenať si 48-miestne číselné heslo:

manage-bde -protectors -get %systemdrive%

Ak chcete nasadiť aktualizáciu a použiť zrušenia, postupujte podľa týchto krokov:

  1. Nainštalujte aktualizované definície certifikátu do databázy.

    Tento krok pridá certifikát Windows UEFI CA 2023 do databázy UEFI Secure Boot Signature Database. Pridaním tohto certifikátu do databázy bude firmvér zariadenia dôverovať zavádzacím aplikáciám podpísaným týmto certifikátom.

    1. Otvorte príkazový riadok správcu a zadaním nasledujúceho príkazu nastavte kľúč databázy Regkey na aktualizáciu databázy:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      DÔLEŽITÝ Skôr než prejdete na kroky 2 a 3, nezabudnite zariadenie reštartovať dvakrát, aby ste dokončili inštaláciu aktualizácie.

    2. Spustite nasledujúci príkaz prostredia PowerShell ako správca a overte, či sa databáza úspešne aktualizovala. Tento príkaz by mal vrátiť hodnotu True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Aktualizujte správcu spustenia v zariadení.

    Tento krok nainštaluje do zariadenia aplikáciu správcu spúšťania, ktorá je podpísaná certifikátom "Windows UEFI CA 2023".

    1. Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry na inštaláciu podpísaného správcu spúšťania "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Reštartujte zariadenie dvakrát.

    3. Ako správca, pripojiť EFI oddiel, aby ste ho pripravili na kontrolu:

      mountvol s: /s

    4. Overte, či je súbor s:\efi\microsoft\boot\bootmgfw.efi podpísaný certifikátom Windows UEFI CA 2023. Ak to chcete urobiť, postupujte podľa týchto krokov:

      1. Kliknite na tlačidlo Štart, do vyhľadávacieho poľa zadajte príkazový riadok a potom kliknite na príkazový riadok.

      2. V okne príkazového riadka zadajte nasledujúci príkaz a potom stlačte kláves Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. V Správcovi súborov kliknite pravým tlačidlom myši na súbor C:\bootmgfw_2023.efi, kliknite na položku Vlastnosti a potom vyberte kartu Digitálne podpisy .

      4. V zozname podpisov potvrďte, že certifikačný reťazec obsahuje Windows UEFI CA 2023. Certifikačný reťazec by sa mal zhodovať s nasledujúcou snímkou obrazovky:Certifikáty

  3. Povoľte zrušenie.

    Zoznam zakázaných rozhraní UEFI (DBX) sa používa na blokovanie načítania nedôveryhodných modulov UEFI. V tomto kroku aktualizácia DBX pridá certifikát Windows Production CA 2011 do DBX. To spôsobí, že všetci správcovia spustenia podpísaní týmto certifikátom už nebudú dôveryhodní.

    UPOZORNENIE: Pred použitím tretieho zmiernenia vytvorte jednotku flash na obnovenie, ktorú možno použiť na spustenie systému. Informácie o tomto postupe nájdete v časti Aktualizácia médií inštalácie systému Windows.

    Ak sa systém dostane do stavu, ktorý nie je možné spustiť, postupujte podľa krokov v časti Postup obnovenia a obnovte zariadenie do stavu predbežného zrušenia.

    1. Pridajte certifikát Windows Production PCA 2011 do zoznamu zakázaných rozhraní UEFI zabezpečeného spustenia (DBX). Ak to chcete urobiť, otvorte okná príkazového riadka ako správca, zadajte nasledujúci príkaz a stlačte kláves Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Reštartujte zariadenie dvakrát a potvrďte, že sa úplne reštartuje.

    3. Overte, či bol zoznam inštalácie a zrušenia úspešne použitý vyhľadaním udalosti 1037 v denníku udalostí.Informácie o udalosti 1037 nájdete v téme KB5016061: Secure Boot DB a udalosti aktualizácie premenných DBX. Prípadne spustite nasledujúci príkaz prostredia PowerShell ako správca a uistite sa, že vráti hodnotu True:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match "Microsoft Windows Production PCA 2011" 

  4. Použite aktualizáciu SVN na firmvér. Správca spustenia nasadený v kroku 2 má vstavanú novú funkciu samoobslužného zrušenia. Keď sa spustí Správca spustenia, vykoná sa automatická kontrola porovnaním čísla zabezpečenej verzie (SVN), ktoré je uložené vo firmvéri, s SVN zabudovaným do Správcu spustenia. Ak je SVN správcu spustenia nižší ako SVN uložený vo firmvéri, Správca spustenia sa odmietne spustiť. Táto funkcia zabraňuje útočníkovi vrátiť správcu spustenia na staršiu neaktualizované verzie.V budúcich aktualizáciách, keď sa v Správcovi spustenia opraví významný problém so zabezpečením, číslo SVN sa zvýši v Správcovi spúšťania aj v aktualizácii firmvéru. Obe aktualizácie budú vydané v rovnakej kumulatívnej aktualizácii, aby sa zabezpečilo, že záplatované zariadenia sú chránené. Pri každej aktualizácii SVN bude potrebné aktualizovať všetky zavádzacie médiá. Od 9. júla 2024 sa aktualizácie SVN zväčšujú v Správcovi spustenia a aktualizácia firmvéru. Aktualizácia firmvéru je voliteľná a možno ju použiť pomocou týchto krokov:

    1. Otvorte príkazový riadok správcu a spustením nasledujúceho príkazu nainštalujte podpísaného správcu spúšťania "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Reštartujte zariadenie dvakrát.

Spúšťacie médium

Po začatí fázy nasadenia vo vašom prostredí bude dôležité aktualizovať zavádzacie médiá.

Sprievodný materiál k aktualizácii zavádzacích médií prichádza s budúcimi aktualizáciami tohto článku. V ďalšej časti si môžete vytvoriť USB kľúč na obnovenie zariadenia.

Aktualizácia inštalačného média systému Windows

NOTA Pri vytváraní zavádzacieho USB kľúča, uistite sa, že formát disk pomocou systému súborov FAT32.

Pomocou týchto krokov môžete použiť aplikáciu Vytvoriť jednotku na obnovenie . Toto médium možno použiť na preinštalovanie zariadenia v prípade závažného problému, ako je napríklad zlyhanie hardvéru, budete môcť použiť jednotku na obnovenie na preinštalovanie Windowsu.

  1. Prejdite do zariadenia, v ktorom boli použité aktualizácie z 9. júla 2024 a prvý krok zmiernenia (aktualizácia databázy zabezpečeného spustenia).

  2. V ponuke Štart vyhľadajte aplet ovládacieho panela "Create a Recovery Drive" a postupujte podľa pokynov na vytvorenie jednotky na obnovenie.

  3. S novovytvorenou jednotkou flash pripojenou (napríklad ako jednotka D:) spustite nasledujúce príkazy ako správca. Zadajte každý z nasledujúcich príkazov a potom stlačte kláves Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ak spravujete inštalovateľné médiá vo svojom prostredí pomocou inštalačného média aktualizácie Windowsu s pokynmi na dynamickú aktualizáciu , postupujte podľa týchto krokov. Tieto ďalšie kroky vytvoria zavádzaciu flash jednotku, ktorá používa súbory spúšťania podpísané podpisovým certifikátom Windows UEFI CA 2023.

  1. Prejdite do zariadenia, v ktorom sa 9. júla 2024 použili aktualizácie a prvý krok zmiernenia (aktualizácia databázy zabezpečeného spustenia).

  2. Ak chcete vytvoriť médiá s aktualizáciami z 9. júla 2024, postupujte podľa krokov v prepojení nižšie. Aktualizácia inštalačného média windowsu pomocou dynamickej aktualizácie

  3. Umiestnite obsah média na USB kľúč a pripojte usb kľúč ako písmeno jednotky. Napríklad usb kľúč pripojte ako "D:".

  4. Spustite nasledujúce príkazy z okna príkazov ako správca. Zadajte každý z nasledujúcich príkazov a stlačte kláves Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ak má zariadenie po použití zmiernení nastavené nastavenia zabezpečeného spustenia nastavené na predvolené hodnoty, zariadenie sa nespusí. Na vyriešenie tohto problému je aplikácia na opravu zahrnutá v aktualizáciách z 9. júla 2024, ktoré možno použiť na opätovné použitie certifikátu Windows UEFI CA 2023 do databázy (zmiernenie č. 1).

NOTA Túto aplikáciu na opravu nepoužívajte v zariadení alebo systéme, ktorá je popísaná v časti Známe problémy .

  1. Prejdite do zariadenia, v ktorom boli použité aktualizácie z 9. júla 2024.

  2. V okne príkazu skopírujte aplikáciu na obnovenie na flash disk pomocou nasledujúcich príkazov (za predpokladu, že jednotka flash je jednotka D:). Zadajte jednotlivé príkazy samostatne a potom stlačte kláves Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. V zariadení s nastaveniami zabezpečeného spustenia obnovte predvolené nastavenia, vložte usb kľúč, reštartujte zariadenie a spustite ho z usb kľúča.

Časovanie aktualizácií

Aktualizácie sa vydávajú takto:

  • Počiatočné nasadenie Táto fáza sa začala aktualizáciami vydanými 9. mája 2023 a poskytla základné obmedzenia rizík s manuálnymi krokmi na povolenie týchto zmiernení.

  • Druhé nasadenie Táto fáza sa začala aktualizáciami vydanými 11. júla 2023, ktoré pridali zjednodušené kroky na povolenie zmierňovania rizík problému.

  • Fáza hodnotenia Táto fáza sa začne 9. apríla 2024 a pridá ďalšie obmedzenia rizík správcu spúšťania.

  • Fáza nasadenia V tomto prípade odporúčame všetkým zákazníkom, aby začali nasadzovať obmedzenia rizík a aktualizovať médiá.

  • Fáza presadzovania Fáza vynútenia, ktorá spôsobí, že zmiernenia budú trvalé. Dátum tejto fázy bude oznámený neskôr.

Poznámka Plán vydania možno podľa potreby revidovať.

Táto fáza bola nahradená aktualizáciami zabezpečenia Windowsu vydanými 9. apríla 2024 alebo po jej skončení.

Táto fáza bola nahradená aktualizáciami zabezpečenia Windowsu vydanými 9. apríla 2024 alebo po jej skončení.

V tejto fáze žiadame o testovanie týchto zmien vo vašom prostredí, aby ste sa uistili, že zmeny fungujú správne s reprezentatívnymi vzorovými zariadeniami a aby ste získali skúsenosti so zmenami.

NOTA Namiesto úplného zoznamu a nedôveryhodných zraniteľných správcov spúšťania, ako sme to urobili v predchádzajúcich fázach nasadenia, pridávame podpisový certifikát Windows Production PCA 2011 do zoznamu secure boot Disallow List (DBX), aby sme nedôverovali všetkým správcom spúšťania podpísaným týmto certifikátom. Ide o spoľahlivejšiu metódu na zabezpečenie nedôvery všetkých predchádzajúcich správcov spúšťania.

Aktualizácie pre Windows vydané 9. apríla 2024 alebo po tomto dátume:

  • Tri nové ovládacie prvky na obmedzenie rizík, ktoré nahrádzajú zmiernenia vydané v roku 2023. Nové ovládacie prvky zmierňovania rizík sú:

    • Ovládací prvok na nasadenie certifikátu Windows UEFI CA 2023 do databázy zabezpečeného spustenia na pridanie dôveryhodnosti pre správcov spúšťania systému Windows podpísaných týmto certifikátom. Všimnite si, že certifikát Windows UEFI CA 2023 mohol byť nainštalovaný staršou aktualizáciou Windowsu.

    • Ovládací prvok na nasadenie správcu spúšťania podpísaného certifikátom Windows UEFI CA 2023.

    • Ovládací prvok na pridanie "Windows Production PCA 2011" do secure boot DBX, ktorý zablokuje všetkých správcov spúšťania systému Windows podpísaných týmto certifikátom.

  • Možnosť povoliť nasadenie obmedzenia rizík vo fázach nezávisle, aby sa na základe vašich potrieb umožnila väčšia kontrola pri nasadzovaní zmiernení rizík vo vašom prostredí.

  • Obmedzenia rizík sú uzamknuté, takže ich nie je možné nasadiť v nesprávnom poradí.

  • Ďalšie udalosti na oboznámenie sa so stavom zariadení pri použití zmiernení rizík. Ďalšie podrobnosti o udalostiach nájdete v téme KB5016061: Udalosti aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX.

V tejto fáze odporúčame zákazníkom začať nasadzovať obmedzenia rizík a spravovať všetky aktualizácie médií. Aktualizácie zahŕňajú nasledujúcu zmenu:

  • Pridala sa podpora pre číslo zabezpečenej verzie (SVN) a nastavenie aktualizovaného SVN vo firmvéri.

Nižšie je uvedený prehľad krokov na nasadenie v podniku.

Poznámka Ďalšie pokyny, ktoré budú k dispozícii v neskorších aktualizáciách tohto článku.

  • Nasaďte prvé obmedzenie rizík pre všetky zariadenia v enterprise alebo spravovanej skupine zariadení v podniku. Zahŕňa to:

    • Explicitný súhlas s prvým zmierňovaním, ktoré pridá podpisový certifikát Windows UEFI CA 2023 do firmvéru zariadenia.

    • Monitorovanie, či zariadenia úspešne pridali podpisový certifikát Windows UEFI CA 2023.

  • Nasadenie druhého zmiernenia, ktoré použije aktualizovaného správcu spustenia v zariadení.

  • Aktualizujte všetky médiá na obnovenie alebo externé spúšťacie médiá používané s týmito zariadeniami.

  • Nasaďte tretie obmedzenie rizík, ktoré umožňuje zrušenie certifikátu Windows Production CA 2011 tak, že ho pridáte do databázy DBX vo firmvéri.

  • Nasadenie štvrtého zmiernenia, ktoré aktualizuje číslo zabezpečenej verzie (SVN) firmvéru.

Fáza presadzovania bude minimálne šesť mesiacov po fáze nasadenia. Po vydaní aktualizácií pre fázu presadzovania budú obsahovať tieto aktualizácie:

  • Certifikát Windows Production PCA 2011 sa automaticky zruší tým, že sa pridá do zoznamu povolených zariadení so zakázaným spustením UEFI (DBX). Tieto aktualizácie sa programovo vynucujú po inštalácii aktualizácií windowsu do všetkých dotknutých systémov bez možnosti vypnutia.

Chyby denníka udalostí systému Windows týkajúce sa CVE-2023-24932

Položky denníka udalostí systému Windows súvisiace s aktualizáciou DATABÁZY a DBX sú podrobne popísané v KB5016061: Udalosti aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX.

Udalosti "úspechu" súvisiace s použitím zmiernení sú uvedené v nasledujúcej tabuľke.

Krok zmiernenia

Identifikačné číslo udalosti

Poznámky

Použitie aktualizácie databázy

1036

Certifikát PCA2023 bol pridaný do databázy.

Aktualizácia správcu spúšťania

1799

Použil sa podpísaný správca spúšťania PCA2023.

Použitie aktualizácie DBX

1037

Aktualizácia DBX, ktorá nedôveruje použitiu podpisového certifikátu PCA2011.

Najčastejšie otázky

Aktualizujte všetky operačné systémy Windows s aktualizáciami vydanými 9. júla 2024 alebo po tom, ako použijete zrušenia. Po použití zrušení možno nebude možné spustiť žiadnu verziu Windowsu, ktorá nebola aktualizovaná minimálne na aktualizácie vydané 9. júla 2024. Postupujte podľa pokynov v časti Riešenie problémov so spustením .

Riešenie problémov s spustením

Po použití všetkých troch zmiernení sa firmvér zariadenia nespusí pomocou správcu spúšťania podpísaného Windows Production PCA 2011. Zlyhania spustenia nahlásené firmvérom sú špecifické pre zariadenie. Pozrite si časť Postup obnovenia .

Postup obnovenia

Ak sa pri používaní zmiernení vyskytne problém a zariadenie sa nedá spustiť alebo potrebujete spustiť z externých médií (ako je napríklad usb kľúč alebo spustenie systému PXE), vyskúšajte nasledujúce návrhy:

  1. Vypnite zabezpečené spustenie.Tento postup sa líši medzi výrobcami zariadení a modelmi. Zadajte svoje zariadenia UEFI BIOS menu a prejdite na nastavenia zabezpečeného spustenia a vypnite ho. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu zariadenia. Ďalšie podrobnosti nájdete v téme Zakázanie zabezpečeného spustenia.

  2. Obnovte predvolené hodnoty zabezpečeného spustenia.

    Ak zariadenie podporuje resetovanie zabezpečených klávesov na spustenie na továrenské predvolené nastavenia, vykonajte túto akciu teraz.

    NOTA Niektorí výrobcovia zariadení majú ako "Clear" a "Reset" možnosť secure boot premenných, v takom prípade "Reset" by mali byť použité. Cieľom je vrátiť premenné zabezpečeného spustenia na predvolené hodnoty výrobcov.

    Vaše zariadenie by sa malo spustiť teraz, ale majte na pamäti, že je citlivé na malvér boot-kit. Uistite sa, že ste dokončili krok 5 tohto procesu obnovenia, aby ste znova povolili zabezpečené spustenie.

  3. Skúste spustiť Systém Windows zo systémového disku.

    1. Prihláste sa do Windowsu.

    2. Spustite nasledujúce príkazy z príkazového riadka správcu a obnovte súbory spúšťania v oblasti spúšťania systému EFI. Zadajte jednotlivé príkazy samostatne a potom stlačte kláves Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Spustenie bcdboot vráti "Boot files successfully created" (Súbory spúšťania sa úspešne vytvorili). Po zobrazení tohto hlásenia reštartujte zariadenie späť do Windowsu.

  4. Ak krok 3 úspešne neobnoví zariadenie, preinštalujte Systém Windows.

    1. Spustite zariadenie z existujúceho média na obnovenie.

    2. Pokračujte v inštalácii Windowsu pomocou média na obnovenie.

    3. Prihláste sa do Windowsu.

    4. Reštartujte Windows a overte, či sa zariadenie spustí späť do Windowsu.

  5. Znova zapnite zabezpečené spustenie a reštartujte zariadenie.Zadajte ponuku UEFI zariadenia, prejdite na nastavenia zabezpečeného spustenia a zapnite ju. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu zariadenia. Ďalšie informácie nájdete v časti Opätovné povolenie zabezpečeného spustenia.

Referencie

Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Dátum zmeny

Popis zmeny

9. júla 2024

  • Aktualizovaný krok 2: Vyhodnotenie zmien na odstránenie dátumu 9. júla 2024.

  • Aktualizovali sa všetky výskyty dátumu z 9. apríla 2024 do 9. júla 2024 s výnimkou časti Načasovanie aktualizácií.

  • Aktualizovala sa časť Zavádzacie médium a nahradila obsah pokynmi na aktualizáciu zavádzacieho média, ktoré prichádzajú s budúcimi aktualizáciami.

  • Aktualizované 9. júla 2024 – Začína sa fáza nasadenia v časti Načasovanie aktualizácií.

  • Pridal sa krok 4 Použitie aktualizácie SVN na firmvér v časti Pokyny na nasadenie zmiernenia.

9. apríla 2024

  • Rozsiahle zmeny postupov, informácií, usmernení a dátumov. Všimnite si, že niektoré predchádzajúce zmeny boli odstránené v dôsledku rozsiahlych zmien vykonaných v tento deň.

16. decembra 2023

  • Zrevidované dátumy vydania pre tretie nasadenie a presadzovanie v časti Načasovanie aktualizácií.

15. mája 2023

  • Odstránili sme nepodporovaný operačný systém Windows 10 verzie 21H1 zo sekcie Vzťahuje sa na.

11. mája 2023

  • Pridali sme poznámku UPOZORNENIE k kroku 1 v časti Pokyny na nasadenie týkajúcej sa inovácie na Windows 11, verziu 21H2 alebo 22H2 alebo niektoré verzie Windowsu 10.

10. mája 2023

  • Objasnené, že médiá windowsu na stiahnutie aktualizované najnovšími kumulatívnymi aktualizáciami budú čoskoro k dispozícii.

  • Opravila sa kontrola pravopisu slova "Zakázané".

9. mája 2023

  • Pridali sa ďalšie podporované verzie do časti Vzťahuje sa na.

  • Aktualizovaný krok 1 sekcie "Vykonať akciu".

  • Aktualizovaný krok 1 časti Pokyny na nasadenie.

  • Opravili sa príkazy v kroku 3a sekcie Pokyny na odstránenie.

  • Opravené umiestnenie obrázkov Hyper-V UEFI v časti Riešenie problémov so spúšťaním.

27. júna 2023

  • Odstránila sa poznámka o aktualizácii z Windowsu 10 na novšiu verziu Windowsu 10, ktorá používa balík povolení v časti Krok 1: Inštalácia v časti Pokyny na nasadenie.

11. júla 2023

  • Aktualizovali sa inštancie dátumu 9. mája 2023 na 11. júla 2023, 9. mája 2023 a 11. júla 2023 alebo 9. mája 2023.

  • V časti Pokyny na nasadenie si všimnite, že všetky dynamické aktualizácie systému SafeOS sú teraz k dispozícii na aktualizáciu oblastí WinRE. Okrem toho sa odstránilo pole UPOZORNENIE, pretože problém je vyriešený vydaním dynamických aktualizácií SafeOS.

  • V "3. Použite sekciu zrušenia, pokyny boli revidované.

  • V časti Chyby denníka udalostí systému Windows sa pridá identifikácia udalosti 276.

25. augusta 2023

  • Aktualizovali sa rôzne sekcie na znenie a pridali sa informácie o vydaní z 11. júla 2023 a o budúcich vydaniach z roku 2024.

  • Zmena usporiadania niektorého obsahu zo sekcie Vyhnúť sa problémom s zavádzacím médiám do časti Aktualizácia zavádzacieho média.

  • Aktualizovala sa časť Časovanie aktualizácií s revidovanými dátumami nasadenia a informáciami.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.