POMEMBEN Varnostno posodobitev sistema Windows, izdano 9. julija 2024 ali po tem, uporabite kot del rednega mesečnega postopka posodabljanja.
Ta članek velja za tiste organizacije, ki bi morali začeti ocenjevanje mitigations za javno razkriti Secure Boot bypass, ki ga uporablja Bootkit BlackLotus UEFI. Poleg tega boste morda želeli izvesti proaktivno varnostno stališče ali pa se začeti pripravljati na uvačbo. Upoštevajte, da ta zlonamerna programska oprema zahteva fizični ali skrbniški dostop do naprave.
PREVIDNOST Ko je v napravi omogočena ublažitev te težave, kar pomeni, da so bile ublažitve posledic uporabljene, je ni mogoče povrniti, če v tej napravi še naprej uporabljate varni zagon. Tudi formatiranje diska ne bo odstranilo preklicev, če so bile že uporabljene. Preden v svoji napravi uporabite preklice, ki so opisani v tem članku, bodite pozorni na vse morebitne posledice in jih temeljito preskusite.
V tem članku
Povzetek
V tem članku je opisana zaščita pred javno razkritim obhodom varnostne funkcije varnega zagona, ki uporablja bootkit BlackLotus UEFI, ki jim sledi CVE-2023-24932, kako omogočiti ublažitev posledic in navodila za zagonski medij. Zagonski komplet je zlonameren program, ki je zasnovan tako, da se čim prej naloži v zaporedju zagona naprav za nadzor zagona operacijskega sistema.
Microsoft priporoča varni zagon, da ustvari varno in zaupanja vredno pot iz poenotenega programskega vmesnika EFI prek zaporedja zaupanja vrednih zagonov jedra sistema Windows. Varni zagon pomaga preprečiti zlonamerno programsko opremo za zagon v zaporedju zagona. Če onemogočite varni zagon, lahko napravo okuži zlonamerna programska oprema za bootkit. Če želite popraviti obhod varnega zagona, ki je opisan v CVE-2023-24932, morate opisati upravitelje zagona. To lahko povzroči težave pri nekaterih konfiguracijah zagona naprave.
Ublažitev posledic obhoda varnega zagona, podrobno opisana v CVE-2023-24932 , je vključena v varnostne posodobitve sistema Windows, ki so bile izdane 9. julija 2024 ali po tem. Vendar pa te ublažitve posledic privzeto niso omogočene. S temi posodobitvami priporočamo, da začnete ocenjujeti te spremembe v svojem okolju. Celoten urnik je opisan v razdelku Časovna usklajenost posodobitev.
Preden omogočite te ublažitve posledic, morate temeljito pregledati podrobnosti v tem članku in ugotoviti, ali morate omogočiti ublažitev posledic ali počakati na microsoftovo prihodnjo posodobitev. Če omogočite ublažitev posledic, morate preveriti, ali so vaše naprave posodobljene in pripravljene, ter razumeti tveganja, opisana v tem članku.
Ukrepajte
Za to izdajo je treba upoštevati te korake: 1. korak: Namestite varnostno posodobitev sistema Windows, izdano 9. julija 2024 ali po tem, v vse podprte različice. 2. korak: Ocenite spremembe in kako vplivajo na vaše okolje. 3. korak: Uveljavite spremembe. |
Obseg učinka
Na vse naprave s sistemom Windows, v katerih je omogočena zaščita varnega zagona, vpliva komplet zagonov BlackLotus. Ublažitve posledic so na voljo za podprte različice sistema Windows. Za celoten seznam glejte CVE-2023-24932.
Razumevanje tveganj
Tveganje za zlonamerno programsko opremo: Za zagonski komplet BlackLotus UEFI, opisan v tem članku, je mogoče, napadalec mora pridobiti skrbniške pravice v napravi ali pridobiti fizični dostop do naprave. To lahko naredite tako, da fizično ali oddaljeno dostopate do naprave, na primer s hipervizorjem za dostop do navideznih/oblakov. Napadalec bo to ranljivost pogosto uporabil za to, da bo še naprej nadzoroval napravo, do katere lahko že dostopajo in lahko z njo že dostopajo. Mitigations v tem članku so preventivni in ne korektivni. Če je vaša naprava že ogrožena, se za pomoč obrnite na svojega ponudnika varnosti.
Obnovitveni medij: Če naletite na težavo z napravo po uporabi ublažitve posledic in naprava postane neugasljiva, naprave morda ne boste mogli zagnati ali obnoviti iz obstoječega medija. Obnovitveni ali namestitveni medij boste morali posodobiti, da bo deloval z napravo, v kateri so bile uporabljene ublažitve posledic.
Težave z vdelano programsko opremo: Ko Windows uporabi ublažitve posledic, opisane v tem članku, mora za posodobitev vrednosti varnega zagona (posodobitve veljajo za ključ zbirke podatkov (DB) in prepovedani ključ za podpis (DBX) uporabiti vdelano programsko opremo vmesnika UEFI naprave. V nekaterih primerih imamo izkušnje z napravami, ki ne uspejo posodobitve. Z izdelovalci naprav se trudimo, da bi te ključne posodobitve preskusili v čim več napravah.
OPOMBA Najprej preskusite te ublažitve posledic v eni napravi na razred naprave v okolju, da zaznate morebitne težave z vdelano programsko opremo. Ne uvedi širšega razreda, preden potrdite, da so bili ocenjeni vsi razredi naprav v vašem okolju.
Obnovitev storitve BitLocker: Nekatere naprave bodo morda preštete v obnovitev funkcije BitLocker. Preden omogočite ublažitev posledic, ne pozabite ohraniti kopije obnovitvenega ključa za BitLocker .
Znane težave
Težave z vdelano programsko opremo:Vsa vdelana programska oprema naprave ne bo uspešno posodobila zbirke podatkov za varni zagon ali DBX. V primerih, za katere smo seznanjeni, smo težavo prijavili izdelovalcu naprave. Glejte KB5016061: Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX za podrobnosti o zabeleženih dogodkih. Za posodobitve vdelane programske opreme se obrnite na proizvajalca naprave. Če naprava ni podprta, Microsoft priporoča nadgradnjo naprave.
Znane težave z vdelano programsko opremo:
OPOMBA Te znane težave ne vplivajo na namestitev posodobitev z dne 9. julija 2024. V večini primerov ublažitve posledic ne bodo veljale tam, kjer obstajajo znane težave. Oglejte si podrobnosti o vsaki znani težavi.
-
HP: Hp je zaznal težavo z namestitvijo ublažitve posledic v računalnikih z delovnimi postajami HP Z4G4 in izdal posodobljeno vdelano programsko opremo vmesnika UEFI (BIOS) Z4G4 v prihodnjih tednih. Če želite zagotoviti uspešno namestitev ublažitve posledic, bo ta v namiznih delovnih postajah blokirana, dokler ne bo na voljo posodobitev. Stranke morajo pred uporabo ublažitve vedno posodobiti najnovejši BIOS sistema.
-
Naprave HP s sistemom Sure Start Security: Te naprave za namestitev ublažitev posledic potrebujejo najnovejše posodobitve vdelane programske opreme hp. Ublažitve posledic so blokirane, dokler ni vdelana programska oprema posodobljena. Namestite najnovejšo posodobitev vdelane programske opreme s strani podpore za HPs – Uradni prenos gonilnikov in programske opreme HP | Podpora za HP.
-
Naprave Arm64: Ublažitev posledic je blokirana zaradi znanih težav z vdelano programsko opremo vmesnika UEFI z napravami, ki uporabljajo Qualcomm. Microsoft sodeluje s qualcommom in odpravlja to težavo. Qualcomm zagotovi popravek proizvajalcem naprav. Obrnite se na izdelovalca naprave, da ugotovite, ali je na voljo popravek za to težavo. Microsoft bo dodal zaznavanje, ki bo omogočilo ublažitev posledic, ki bodo uporabljene v napravah, ko bo zaznana nespremenljiva vdelana programska oprema. Če vaša naprava Arm64 nima vdelane programske opreme Qualcomm, konfigurirajte ta registrski ključ, da omogočite ublažitev posledic.
Registrski podključ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Ime vrednosti ključa
SkipDeviceCheck
Podatkovni tip
REG_DWORD
Podatki
1
-
Jabolko:Računalniki Mac, ki imajo varnostni čip Apple T2, podpirajo varni zagon. Vendar pa je posodabljanje varnostnih spremenljivk, povezanih z vmesnikom UEFI, na voljo le kot del posodobitev sistema macOS. Uporabniki zagonskega kampa naj bi videli vnos v dnevnik dogodkov z ID-jem dogodka 1795 v sistemu Windows, ki je povezan s temi spremenljivkami. Če želite več informacij o tem vnosu v dnevnik, glejte KB5016061: Dogodki posodobitve spremenljivk DB in DBX varnega zagona.
-
VMware:naprej VMware- osnova virtualization okolje, a VM using x86- osnova predelovalec s varen škorenj omogočen, will ne zadostvati v škorenj čez uporaba mitigations. Microsoft se usklajuje s storitvijo VMware za odpravljanje te težave.
-
Sistemi, ki uporabljajo modul zaupanja TPM 2.0: Ti sistemi, ki uporabljajo Windows Server 2012 in Windows Server 2012 R2, zaradi znanih težav z združljivostjo z meritvami modula zaupanja TPM ne morejo uvesti ublažitev posledic, izdanih v varnostni posodobitvi z dne 9. julija 2024. Varnostne posodobitve z dne 9. julija 2024 blokirajo ublažitev posledic #2 (upravitelj zagona) in #3 (posodobitev DBX) v prizadetih sistemih.tpm.msc. V spodnjem desnem kotu sredinskega podokna pod možnostjo Informacije o izdelovalcu modula zaupanja TPM bi morala biti prikazana vrednost za Različica specifikacije.
Microsoft je seznanjen s težavo in v prihodnje bo izdana posodobitev za deblokiranje sistemov, ki temeljijo na modulu zaupanja TPM 2.0. Če želite preveriti različico modula zaupanja TPM, z desno tipko miške kliknite Začetek, kliknite Zaženi in nato vnesite -
Šifriranje končne točke Symantec: Ublažitev posledic varnega zagona ni mogoče uporabiti v sistemih, ki imajo nameščeno šifriranje končne točke Symantec. Microsoft in Symantec sta seznanjena s težavo in se bosta obravnavala v prihodnji posodobitvi.
Navodila za to izdajo
Za to izdajo upoštevajte ta dva koraka.
1. korak: Namestite varnostno posodobitev sistema Windows za CVE-2023-24932, vendar privzeto niso omogočene. Ta korak morajo dokončati vse naprave s sistemom Windows, ne glede na to, ali nameravate uvesti ublažitve posledic.
Namestite mesečno varnostno posodobitev sistema Windows, izdano 9. julija 2024 ali po tem, v podprtih napravah s sistemom Windows. Te posodobitve vključujejo ublažitev posledic2. korak: Ocenite spremembe
Priporočamo, da naredite to:-
Seznanite se s prvima dvema ublažitvijo posledic, ki omogočata posodobitev zbirke podatkov za varni zagon in posodabljanje upravitelja zagona.
-
Preglejte posodobljen urnik.
-
Začnite preskušati prvi dve ublažitvi posledic za reprezentativne naprave iz vašega okolja.
-
Začnite načrtovati uvedbo.
3. korak: Uveljavite spremembe
Priporočamo, da razumete tveganja, označena v razdelku Razumevanje tveganja.
-
Seznanite se z vplivom na obnovitev in drugim zagonskimi mediji.
-
Začnite preskušati tretjo ublažitev, ki ne zaupa podpisovanju potrdila, uporabljenega za vse prejšnje upravitelje zagona sistema Windows.
Smernice za uvajanje ublažitve posledic
Preden sledite tem korakom za uporabo ublažitev posledic, namestite mesečno posodobitev servisiranja sistema Windows, izdano 9. julija 2024, ali po tem, v podprtih napravah s sistemom Windows. Ta posodobitev vključuje ublažitev posledic za CVE-2023-24932, vendar privzeto niso omogočena. Ta korak morajo za ublažitev posledic dokončati vse naprave s sistemom Windows, ne glede na vaš načrt.
OPOMBA Če uporabljate BitLocker, preverite, ali je bil obnovitveni ključ za BitLocker varnostno kopiran. V ukaznem pozivu skrbnika lahko zaženete ta ukaz in zabeležite 48-mestno številsko geslo:
manage-bde -protectors -get %systemdrive%
Če želite uvesti posodobitev in uveljaviti preklice, upoštevajte ta navodila:
-
Namestite posodobljene definicije potrdil v DB.
V tem koraku boste potrdilo »Windows UEFI CA 2023« dodali v »zbirko podatkov za podpis varnega zagona« vmesnika UEFI (DB). Če to potrdilo dodate v DB, vdelana programska oprema naprave zaupa zagonskih aplikacijam, ki jih je podpisalo to potrdilo.
-
Odprite ukazni poziv skrbnika in nastavite registrski ključ tako, da izvede posodobitev na DB tako, da vnesete ta ukaz:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
POMEMBEN Preden nadaljujete z 2. in 3. korakom, dvakrat znova zaženite napravo, da dokončate namestitev posodobitve.
-
Zaženite ta ukaz PowerShell kot skrbnik in preverite, ali je bila DB uspešno posodobljena. Ta ukaz mora vrniti vrednost True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Posodobite upravitelja zagona v svoji napravi.
V tem koraku boste v napravo namestili aplikacijo upravitelja zagona, ki je podpisana s potrdilom »Windows UEFI CA 2023«.
-
Odprite ukazni poziv skrbnika in nastavite registrski ključ, da namestite upravitelja zagona s podpisom »Windows UEFI CA 2023«:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Dvakrat znova zaženite napravo.
-
Kot skrbnik namestite particijo EFI, da jo pripravite za pregled:
mountvol s: /s
-
Preverite, ali je datoteka »s:\efi\microsoft\boot\bootmgfw.efi« podpisana s potrdilom »Windows UEFI CA 2023«. To naredite tako:
-
Kliknite Start, v iskalno polje vnesite ukazni poziv in nato kliknite Ukazni poziv.
-
V okno ukaznega poziva vnesite ta ukaz in pritisnite Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
V upravitelju datotek z desno tipko miške kliknite datoteko C:\bootmgfw_2023.efi, kliknite Lastnosti in nato izberite zavihek Digitalni podpisi.
-
Na seznamu Podpis potrdite, da veriga potrdil vključuje Windows UEFI CA 2023. Veriga potrdil se mora ujemati s tem posnetkom zaslona:
-
-
-
Omogoči preklic.
Seznam prepovedanih naslovov UEFI (DBX) se uporablja za blokiranje, da se moduli UEFI, ki niso vreden zaupanja, ne nana ajo na nalaganje. V tem koraku boste s posodobitvijo DBX v DBX dodali potrdilo »Windows Production CA 2011«. Zaradi tega ne bodo več zaupanja vredni vsi upravitelji zagona, ki jih je podpisalo to potrdilo.
OPOZORILO: Pred uporabo tretje ublažitve posledic ustvarite obnovitveni pomnilniški ključek, ki ga lahko uporabite za zagon sistema. Če želite več informacij o tem, kako to naredite, glejte razdelek Posodabljanje namestitvenega medija za Windows.
Če se vaš sistem vrne v stanje, ki ga ni mogoče zagnati, sledite korakom v razdelku Postopek obnovitve, da ponastavite napravo na stanje pred preklicem naročnine.
-
Dodajte potrdilo »Windows Production PCA 2011« na seznam prepovedanih naslovov UEFI za varni zagon (DBX). To naredite tako, da odprete okno ukaznega poziva kot skrbnik, vnesete ta ukaz in pritisnete Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Dvakrat znova zaženite napravo in preverite , ali se je v celoti znova zagnala.
-
Preverite, ali sta bila namestitev in seznam ukinjenih naslovov uspešno uporabljena, tako da v dnevniku dogodkov poiščite dogodek 1037.posodobitev DB za varni zagon in DBX. Lahko pa kot skrbnik zaženete ta ukaz PowerShell in se prepričate, da vrne vrednost »True«:
Če želite informacije o dogodku 1037, glejte KB5016061: dogodki posodobitve spremenljivih[System.text.encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) - match "Microsoft Windows Production PCA 2011"
-
-
Uporabite posodobitev SVN za vdelano programsko opremo.
Upravitelj zagona, uveden v 2. koraku, ima vgrajeno novo funkcijo samo ukinjenja. Ko se upravitelj zagona zažene, izvede samodejno preverjanje tako, da primerja številko SVN (Secure Version Number), ki je shranjena v vdelani programski opremi, z SVN-jem, vgrajenim v upravitelja zagona. Če je upravitelj zagona SVN nižji od svn, ki je shranjen v vdelani programski opremi, upravitelj zagona zavrne zagon. Ta funkcija napadalcu preprečuje povrnitev zagonskega upravitelja na starejšo, ne posodobljeno različico. Ko bo v upravitelju zagona odpravljena pomembna varnostna težava, bo številka SVN povečana v upravitelju zagona in posodobitvi vdelane programske opreme. Obe posodobitvi bosta izdani v isti zbirni posodobitvi, da se zagotovi, da so naprave s popravki zaščitene. Vsakič, ko posodobite SVN, je treba posodobiti vsak zagonski medij. Od 9. julija 2024 se posodobitve povečujejo v upravitelju zagona in posodobitev vdelane programske opreme. Posodobitev vdelane programske opreme je izbirna in jo lahko uporabite tako:-
Odprite ukazni poziv skrbnika in zaženite ta ukaz, da namestite upravitelja zagona, podpisanega »Windows UEFI CA 2023«:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Dvakrat znova zaženite napravo.
-
Zagonski medij
Ko se faza uvajanja začne v vašem okolju, je pomembno posodobiti zagonski medij.
Navodila za posodobitev zagonskega medija bodo na voljo s prihodnjimi posodobitvami tega članka. Glejte naslednji razdelek za ustvarjanje pogona USB za obnovitev naprave.
Posodabljanje namestitvenega medija v sistemu Windows
OPOMBA Pri ustvarjanju zagonskega pogona USB usb ne pozabite oblikovati pogona z datotečnim sistemom FAT32.
Aplikacijo Ustvarjanje obnovitvenega pogona lahko uporabite tako, da upoštevate te korake. Ta medij se lahko uporabi za ponovno namestitev naprave, če pride do večje težave, kot je napaka strojne opreme, boste lahko z obnovitvenim pogonom znova namestili sistem Windows.
-
Pojdite v napravo, v kateri so bile uporabljene posodobitve z dne 9. julija 2024 in prvi korak za ublažitev posledic (posodobitev zbirke podatkov za varni zagon).
-
V začetnem meniju poiščite programček nadzorne plošče »Ustvari obnovitveni pogon« in sledite navodilom za ustvarjanje obnovitvenega pogona.
-
Ko je novo ustvarjeni pogon USB nameščen (na primer pogon »D:«), kot skrbnik zaženite te ukaze. Vnesite vsakega od teh ukazov in pritisnite tipko Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Če namestitveno predstavnost v svojem okolju upravljate z namestitvenim medijem za Windows Update z navodili za dinamično posodobitev, sledite tem korakom. Ti dodatni koraki bodo ustvarili zagonski pomnilniški ključek, ki uporablja zagonske datoteke, podpisane s potrdilom podpisa »Windows UEFI CA 2023«.
-
Pojdite v napravo, v kateri so bile uporabljene posodobitve z dne 9. julija 2024 in prvi korak za ublažitev posledic (posodobitev zbirke podatkov za varni zagon).
-
Sledite korakom v spodnji povezavi za ustvarjanje medijev s posodobitvami z dne 9. julija 2024. Posodobitev namestitvenega medija sistema Windows z dinamično posodobitvijo
-
Položite vsebino nosilca podatkov na ključek USB in vstavite ključek USB kot črko pogona. Na primer, ključek palca pritrdite kot »D:«.
-
Kot skrbnik v ukaznem oknu zaženite te ukaze. Vnesite vsakega od teh ukazov in pritisnite tipko Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Če se v napravi nastavitve varnega zagona ponastavijo na privzete nastavitve po ublažitvi posledic, se naprava ne zažene. Če želite odpraviti to težavo, je aplikacija za popravilo vključena v posodobitve z dne 9. julija 2024, ki jih je mogoče uporabiti za ponovno uporabo potrdila »Windows UEFI CA 2023« v zbirki podatkov (ublažitev #1).
OPOMBA Te aplikacije za popravilo ne uporabljajte v napravi ali sistemu, ki je opisan v razdelku Znane težave.
-
Pojdite v napravo, v kateri so bile uporabljene posodobitve z dne 9. julija 2024.
-
V ukaznem oknu kopirajte aplikacijo za obnovitev na pogon USB s temi ukazi (če je pogon »D:«). Vsak ukaz vnesite posebej in pritisnite tipko Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
V napravi, v kateri so nastavitve varnega zagona ponastavljene na privzete nastavitve, vstavite pomnilniški ključek, znova zaženite napravo in zaženite napravo s pogona.
Časovna usklajenost posodobitev
Posodobitve so izdane na naslednji način:
-
Začetna uvedba Ta faza se je začela s posodobitvami, izdanimi 9. maja 2023, in je osnovne ublažitve posledic opravila opravila z ročnimi koraki, ki omogočajo ublažitev posledic.
-
Drugo uvajanje Ta faza se je začela s posodobitvami, izdanimi 11. julija 2023, s katerimi so bili dodani poenostavljeni koraki za ublažitev te težave.
-
Faza ocenjevanja Ta faza se bo začel 9. aprila 2024 in dodala dodatne ublažitve posledic upravitelja zagona.
-
Faza uvajanja Zdaj bomo vse stranke spodbujali, da začnejo uvajati ublažitve posledic in posodabljati medije.
-
Faza uveljavljanja Faza izvajanja, ki bo ublažitev posledic trajna. Datum te faze bo objavljen pozneje.
Opomba Urnik izdaje se lahko po potrebi spremeni.
To fazo so nadomeščali varnostne posodobitve sistema Windows, izdane 9. aprila 2024 ali po tem aprilu.
To fazo so nadomeščali varnostne posodobitve sistema Windows, izdane 9. aprila 2024 ali po tem aprilu.
V tej fazi vas prosim, da preskusite te spremembe v svojem okolju, da zagotovite pravilno delovanje sprememb z reprezentativnimi vzorčnimi napravami in da pridobite izkušnje s spremembami.
OPOMBA Namesto da bi poskušali izčrpen seznam ranljivih upraviteljev zagona in jih počistiti, kot smo v prejšnjih fazah uvajanja, dodajamo potrdilo o podpisu »Windows Production PCA 2011« na seznam »Disallow List« (DBX) za varni zagon, da vsem upraviteljem zagona, ki jih je podpisalo to potrdilo, ne zaupajo. To je zanesljivejši način za zagotavljanje, da vsi prejšnji upravitelji zagona niso vreden zaupanja.
Posodobitve za Windows, izdane 9. aprila 2024 ali po tem, dodajte naslednje:
-
Three new mitigation controls that replace the mitigations released in 2023. Novi kontrolniki za ublažitev posledic so:
-
Kontrolnik za uvedbo potrdila »Windows UEFI CA 2023« v DB varnega zagona za dodajanje zaupanja upraviteljem zagona sistema Windows, ki so podpisani s tem potrdilom. Upoštevajte, da je potrdilo »Windows UEFI CA 2023« morda namestila starejša posodobitev sistema Windows.
-
Kontrolnik za uvedbo upravitelja zagona, ki ga je podpisalo potrdilo »Windows UEFI CA 2023«.
-
Kontrolnik za dodajanje »Windows Production PCA 2011« v DBX varnega zagona, ki blokira vse upravitelje zagona sistema Windows, ki so podpisani s tem potrdilom.
-
-
Zmožnost omogočanja uvajanja ublažitve posledic po stopnjah neodvisno, da omogočite več nadzora pri uvajanju ublažitev posledic v vašem okolju glede na vaše potrebe.
-
Ublažitve posledic so zapete, tako da jih ni mogoče uvesti v nepravilnem vrstnem redu.
-
Dodatni dogodki, ki jih je treba poznati glede stanja naprav, ko uporabljajo ublažitve posledic. Glejte KB5016061: Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX za več podrobnosti o dogodkih.
V tej fazi spodbujamo stranke, da začnejo uvajati ublažitve posledic in upravljati morebitne posodobitve predstavnosti. Posodobitve vključujejo to spremembo:
-
Dodali smo podporo za številko varne različice (SVN) in v vdelani programski opremi nastaviti posodobljen SVN.
V nadaljevanju je oris korakov za uvedbo v podjetju.
Opomba Dodatna navodila za poznejše posodobitve tega članka.
-
Uvedi prvo ublažitev posledic za vse naprave v podjetju ali upravljani skupini naprav v podjetju. Sem sodijo:
-
Privolitev v prvo ublažitev posledic, ki vdelani programski opremi naprave doda potrdilo o podpisu »Windows UEFI CA 2023«.
-
Nadzorovanje, da so naprave uspešno dodale potrdilo za podpisovanje »Windows UEFI CA 2023«.
-
-
Uvedi drugo ublažitev, ki v napravi uporabi posodobljen upravitelj zagona.
-
Posodobite vse obnovitvene ali zunanje zagonske medije, ki se uporabljajo s temi napravami.
-
Uvedite tretjo ublažitev, ki omogoča preklic potrdila »Windows Production CA 2011«, tako da ga dodate v DBX v vdelani programski opremi.
-
Uvedi četrto ublažitev, ki posodobi številko varne različice (SVN) vdelane programske opreme.
Faza izvajanja bo na voljo vsaj šest mesecev po fazi uvajanja. Ko bodo posodobitve izdane za fazo uveljavljanja, bodo vključevale naslednje:
-
Potrdilo »Windows Production PCA 2011« bo samodejno preklicano tako, da bo dodano na seznam prepovedanih naslovov UEFI za varni zagon (DBX) v napravah, ki so na voljo. Te posodobitve bodo programsko uveljavljene po namestitvi posodobitev sistema Windows za vse sisteme, na katere to vpliva, brez možnosti, da bi jih onemogočili.
Napake dnevnika dogodkov sistema Windows, povezane s CVE-2023-24932
Vnosi v dnevnik dogodkov sistema Windows, ki se nanašajo na posodobitev zbirke podatkov (DB in DBX), so podrobno opisani v članku KB5016061: Dogodki posodobitve spremenljivk DB in DBX za varni zagon.
Dogodki »uspeha«, povezani z uporabo ublažitev posledic, so navedeni v spodnji tabeli.
Korak ublažitve posledic |
ID dogodka |
Opombe |
Uporaba posodobitve zbirke podatkov |
1036 |
Potrdilo PCA2023 je bilo dodano zbirki podatkov. |
Posodabljanje upravitelja zagona |
1799 |
V PCA2023 je bil uporabljen podpisani upravitelj zagona. |
Uporaba posodobitve DBX |
1037 |
Posodobitev DBX, ki ne zaupa podpisovanju PCA2011 je bila uporabljena. |
Pogosta vprašanja
-
Če želite obnoviti napravo, glejte razdelek Postopek obnovitve.
-
Upoštevajte navodila v razdelku Odpravljanje težav z zagonom .
Posodobite vse operacijske sisteme Windows s posodobitvami, izdanimi 9. julija 2024 ali po tem, preden uporabite preklice. Ko uporabite preklice, morda ne boste mogli zagnati nobene različice sistema Windows, ki še ni bila posodobljena na najmanj posodobitve, izdane 9. julija 2024. Upoštevajte navodila v razdelku Odpravljanje težav z zagonom .
Glejte razdelek Odpravljanje težav z zagonom .
Odpravljanje težav z zagonom
Ko so vse tri ublažitve posledic uporabljene, se vdelana programska oprema naprave ne zažene z upraviteljem zagona, ki ga je podpisal Windows Production PCA 2011. Napake pri zagonu, ki jih je prijavila vdelana programska oprema, so značilne za napravo. Glejte razdelek Postopek obnovitve .
Postopek obnovitve
Če pride do napake pri uporabi ublažitev posledic in ne morete zagnati naprave ali pa morate zagnati napravo z zunanjega medija (na primer s palčnim pogonom ali zagonom PXE), poskusite naslednje predloge:
-
Izklopite varni zagon.Onemogočanje varnega zagona.
Ta postopek se razlikuje med proizvajalci naprav in modeli. Vnesite meni BIOS-a UEFI za naprave in se pomaknite do nastavitev varnega zagona ter ga izklopite. Podrobnosti o tem postopku poiščite v dokumentaciji proizvajalca naprave. Več podrobnosti najdete v članku -
Ponastavite ključe za varni zagon na tovarniške privzete nastavitve.
Če naprava podpira ponastavitev ključev za varni zagon na tovarniške privzete nastavitve, izvedite to dejanje zdaj.
OPOMBA Nekateri izdelovalci naprav imajo možnost »Počisti« in »Ponastavi« za spremenljivke varnega zagona, v tem primeru pa je treba uporabiti možnost »Ponastavi«. Cilj je, da se spremenljivke varnega zagona nazaj v privzete vrednosti proizvajalca.
Naprava bi se morala zagnati zdaj, vendar upoštevajte, da je ranljiva za zlonamerno programsko opremo kompleta za zagon. Če želite znova omogočiti varni zagon, dokončajte 5. korak tega postopka obnovitve.
-
Poskusite sistem Windows zagnati s sistemskega diska.
-
Prijava v Sistem Windows.
-
V ukaznem pozivu skrbnika zaženite te ukaze, da obnovite zagonske datoteke v particiji za zagon sistema EFI. Vsak ukaz vnesite posebej in pritisnite tipko Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Zagon BCDBoot vrne »Zagonske datoteke so bile uspešno ustvarjene«. Ko se prikaže to sporočilo, znova zaženite napravo nazaj v sistem Windows.
-
-
Če 3. korak ne obnovi uspešno naprave, znova namestite sistem Windows.
-
Zaženite napravo z obstoječega obnovitvenega medija.
-
Nadaljujte z namestitvijo sistema Windows z obnovitvenim medijem.
-
Prijava v Sistem Windows.
-
Znova zaženite sistem Windows, da preverite, ali se naprava znova zažene v sistemu Windows.
-
-
Znova omogočite varni zagon in znova zaženite napravo.
Vnesite meni vmesnika UEFI naprave in se pomaknite do nastavitev varnega zagona ter ga vklopite. Podrobnosti o tem postopku poiščite v dokumentaciji proizvajalca naprave. Več informacij najdete v razdelku »Vnovično omogočanje varnega zagona«.
Sklici
-
Navodila za preiskovanje napadov s CVE-2022-21894: Kampanja BlackLotus
-
Omogočanje varnega zagona v včlanjenih napravah s sistemom Windows
-
Za dogodke, ki se ustvarijo pri uporabi posodobitev DBX, glejte KB5016061: Naslavljanje ranljivih in ukinjenih upraviteljev zagona.
Izdelke drugih ponudnikov, ki jih obravnava ta članek, izdelujejo podjetja, ki so neodvisna od Microsofta. Ne dajemo garancije, naznačene ali drugače, glede učinkovitosti delovanja ali zanesljivosti teh izdelkov.
Za pomoč pri tehničnih podpori vam zagotavljamo podatke za stik tretjih oseb. Ti podatki za stik se lahko spremenijo brez obvestila. Ne zagotavljamo točnosti teh podatkov za stik tretjih oseb.
Datum spremembe |
Opis spremembe |
9. julij 2024 |
|
9. april 2024 |
|
16. december 2023 |
|
15. maj 2023 |
|
11. maj 2023 |
|
10. maj 2023 |
|
9. maj 2023 |
|
27. junij 2023 |
|
11. julij 2023 |
|
25. avgust 2023 |
|