Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

สําคัญ คุณควรใช้การอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 9 กรกฎาคม 2024 หรือหลังจากนั้น โดยเป็นส่วนหนึ่งของกระบวนการอัปเดตรายเดือนตามปกติของคุณ

บทความนี้ใช้กับองค์กรเหล่านั้นที่ควรเริ่มประเมินการลดปัญหาสําหรับการโจมตี Secure Boot ที่เปิดเผยต่อสาธารณชนโดยใช้เลี่ยงผ่าน BlackLotus UEFI bootkit นอกจากนี้ คุณอาจต้องการใช้ความเสถียรด้านความปลอดภัยเชิงรุกหรือเพื่อเริ่มเตรียมพร้อมสําหรับการเปิดตัว โปรดทราบว่ามัลแวร์นี้ต้องมีสิทธิ์เข้าถึงอุปกรณ์ทางกายภาพหรือระดับผู้ดูแลระบบ

ความระมัดระวัง หลังจากเปิดใช้งานการลดปัญหานี้บนอุปกรณ์แล้ว หมายความว่ามีการนําการแก้ไขไปใช้ จะไม่สามารถแปลงกลับได้หากคุณยังคงใช้การบูตแบบปลอดภัยบนอุปกรณ์นั้นต่อไป แม้การฟอร์แมตดิสก์ใหม่จะไม่ลบการเพิกถอนหากมีการใช้อยู่แล้ว โปรดตระหนักถึงผลกระทบที่เป็นไปได้ทั้งหมดและทดสอบอย่างละเอียดก่อนที่คุณจะใช้การเพิกถอนที่ระบุไว้ในบทความนี้กับอุปกรณ์ของคุณ

ในบทความนี้

บทสรุป

บทความนี้อธิบายถึงการป้องกันการบายพาสคุณลักษณะความปลอดภัยของการบูตแบบปลอดภัยที่เปิดเผยต่อสาธารณะที่ใช้ Bootkit BlackLotus UEFI ที่ติดตามโดย CVE-2023-24932 วิธีการเปิดใช้งานการลดปัญหา และคําแนะนําบนสื่อที่สามารถเริ่มต้นระบบได้ bootkit เป็นโปรแกรมที่เป็นอันตรายซึ่งได้รับการออกแบบมาเพื่อโหลดให้เร็วที่สุดเท่าที่จะเป็นไปได้ในลําดับการบูตอุปกรณ์เพื่อควบคุมการเริ่มต้นระบบปฏิบัติการ

การบูตแบบปลอดภัย ได้รับการแนะนําโดย Microsoft เพื่อสร้างเส้นทางที่ปลอดภัยและเชื่อถือได้จาก Unified Extensible Firmware Interface (UEFI) ผ่านลําดับการบูตที่เชื่อถือได้ของเคอร์เนลของ Windows การบูตแบบปลอดภัยช่วยป้องกันมัลแวร์ bootkit ในลําดับการบูต การปิดใช้งาน Secure Boot จะทําให้อุปกรณ์เสี่ยงต่อการติดมัลแวร์ใน Bootkit การแก้ไขการบายพาสการบูตแบบปลอดภัยที่อธิบายไว้ใน CVE-2023-24932 จําเป็นต้องมีการเพิกถอนตัวจัดการการบูต ซึ่งอาจทําให้เกิดปัญหาสําหรับการกําหนดค่าการบูตอุปกรณ์บางอย่าง

การลดปัญหาจากการบายพาสการบูตแบบปลอดภัยที่มีรายละเอียดใน CVE-2023-24932 จะรวมอยู่ในการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 9 กรกฎาคม 2024 หรือหลังจากนั้น อย่างไรก็ตาม การลดปัญหาเหล่านี้ไม่ได้เปิดใช้งานตามค่าเริ่มต้น ด้วยการอัปเดตเหล่านี้ เราขอแนะนําให้คุณเริ่มการประเมินการเปลี่ยนแปลงเหล่านี้ภายในสภาพแวดล้อมของคุณ กําหนดการที่สมบูรณ์จะอธิบายอยู่ในส่วน กําหนดเวลาของการอัปเดต

ก่อนที่คุณจะเปิดใช้งานการบรรเทาเหล่านี้ คุณควรตรวจสอบรายละเอียดในบทความนี้อย่างละเอียดและพิจารณาว่าคุณต้องเปิดใช้งานการบรรเทาหรือรอการอัปเดตในอนาคตจาก Microsoft หรือไม่ หากคุณเลือกที่จะเปิดใช้งานการบรรเทา คุณต้องตรวจสอบว่าอุปกรณ์ของคุณได้รับการอัปเดตและพร้อมแล้ว และทําความเข้าใจความเสี่ยงที่อธิบายไว้ในบทความนี้ 

ดําเนินการ 

สําหรับรุ่นนี้ ควรทําตามขั้นตอนต่อไปนี้:

ขั้นตอนที่ 1: ติดตั้งการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 9 กรกฎาคม 2024 หรือหลังจากนั้นในเวอร์ชันที่รองรับทั้งหมด

ขั้นตอนที่ 2: ประเมิน การเปลี่ยนแปลงและผลกระทบที่มีต่อสภาพแวดล้อมของคุณ

ขั้นตอนที่ 3: บังคับใช้การเปลี่ยนแปลง

ขอบเขตของผลกระทบ

อุปกรณ์ Windows ทั้งหมดที่เปิดใช้งานการป้องกันการบูตแบบปลอดภัยจะได้รับผลกระทบจาก Bootkit ของ BlackLotus การลดปัญหาพร้อมใช้งานสําหรับ Windows รุ่นที่รองรับ สําหรับรายการทั้งหมด โปรดดู CVE-2023-24932

ทําความเข้าใจเกี่ยวกับความเสี่ยง

ความเสี่ยงของมัลแวร์: สําหรับการโจมตี Bootkit ของ BlackLotus UEFI ที่อธิบายไว้ในบทความนี้เพื่อให้เป็นไปได้ ผู้โจมตีต้องได้รับสิทธิ์ระดับผู้ดูแลระบบบนอุปกรณ์หรือมีสิทธิ์การเข้าถึงทางกายภาพไปยังอุปกรณ์ ซึ่งสามารถทําได้โดยการเข้าถึงอุปกรณ์ทางกายภาพหรือจากระยะไกล เช่น โดยใช้ไฮเปอร์ไวเซอร์เพื่อเข้าถึง VM/cloud โดยทั่วไปผู้โจมตีจะใช้ช่องโหว่นี้เพื่อควบคุมอุปกรณ์ที่พวกเขาสามารถเข้าถึงได้อยู่แล้วและอาจดําเนินการแก้ไขได้ การแก้ไขในบทความนี้มีการป้องกันและแก้ไขไม่ได้ หากอุปกรณ์ของคุณถูกโจมตีแล้ว โปรดติดต่อผู้ให้บริการความปลอดภัยของคุณเพื่อขอความช่วยเหลือ

สื่อการกู้คืน: หากคุณพบปัญหากับอุปกรณ์หลังจากใช้การบรรเทาและอุปกรณ์กลายเป็นไม่สามารถบูตได้ คุณอาจไม่สามารถเริ่มต้นหรือกู้คืนอุปกรณ์ของคุณจากสื่อที่มีอยู่ได้ การกู้คืนหรือการติดตั้งสื่อจะต้องได้รับการอัปเดตเพื่อให้สามารถทํางานร่วมกับอุปกรณ์ที่มีการแก้ไข

ปัญหาเฟิร์มแวร์: เมื่อ Windows นําการแก้ไขที่อธิบายไว้ในบทความนี้ไปใช้ จะต้องใช้เฟิร์มแวร์ UEFI ของอุปกรณ์เพื่ออัปเดตค่าการบูตแบบปลอดภัย (การอัปเดตจะถูกนําไปใช้กับคีย์ฐานข้อมูล (DB) และ Forbidden Signature Key (DBX)) ในบางกรณี เรามีประสบการณ์เกี่ยวกับอุปกรณ์ที่ทําให้การอัปเดตล้มเหลว เรากําลังทํางานร่วมกับผู้ผลิตอุปกรณ์เพื่อทดสอบการอัปเดตที่สําคัญเหล่านี้ในอุปกรณ์ให้มากที่สุดเท่าที่จะเป็นไปได้

โน้ต โปรดทดสอบการลดเหล่านี้บนอุปกรณ์เดียวต่อคลาสอุปกรณ์ในสภาพแวดล้อมของคุณเพื่อตรวจหาปัญหาเฟิร์มแวร์ที่อาจเกิดขึ้นก่อน อย่าปรับใช้อย่างกว้างขวางก่อนที่จะยืนยันว่ามีการประเมินคลาสอุปกรณ์ทั้งหมดในสภาพแวดล้อมของคุณ

การกู้คืน BitLocker: อุปกรณ์บางเครื่องอาจเข้าสู่การกู้คืน BitLocker ตรวจสอบให้แน่ใจว่าเก็บสําเนาของ คีย์การกู้คืน BitLocker ของคุณ ไว้ก่อนที่จะเปิดใช้งานการบรรเทา

ปัญหาที่พบ

ปัญหาเฟิร์มแวร์:เฟิร์มแวร์ของอุปกรณ์เพียงเฟิร์มแวร์เดียวเท่านั้นที่จะอัปเดต Secure Boot DB หรือ DBX ได้ ในกรณีที่เราทราบเราได้รายงานปัญหาไปยังผู้ผลิตอุปกรณ์ ดู KB5016061: เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับรายละเอียดเกี่ยวกับเหตุการณ์ที่บันทึก โปรดติดต่อผู้ผลิตอุปกรณ์สําหรับการอัปเดตเฟิร์มแวร์ หากอุปกรณ์ไม่รองรับ Microsoft ขอแนะนําให้อัปเกรดอุปกรณ์

ปัญหาเฟิร์มแวร์ที่ทราบแล้ว:

โน้ต ปัญหาที่ทราบต่อไปนี้ไม่มีผลกระทบ และจะไม่ป้องกันการติดตั้งการอัปเดตของวันที่ 9 กรกฎาคม 2024 ในกรณีส่วนใหญ่ การแก้ไขจะไม่นําไปใช้เมื่อมีปัญหาที่ทราบแล้ว ดูรายละเอียดที่ทราบแล้วแต่ละปัญหา

  • HP: HP พบปัญหาเกี่ยวกับการติดตั้งการลดปัญหาบนพีซี HP Z4G4 Workstation และจะเผยแพร่เฟิร์มแวร์ Z4G4 UEFI (BIOS) ที่อัปเดตแล้วในสัปดาห์หน้า เพื่อให้แน่ใจว่าการติดตั้งการบรรเทาสําเร็จ ระบบจะบล็อกไว้บนเวิร์กสเตชันเดสก์ท็อปจนกว่าการอัปเดตจะพร้อมใช้งาน ลูกค้าควรอัปเดตเป็น BIOS ระบบล่าสุดก่อนใช้การลดปัญหาเสมอ

  • อุปกรณ์ HP ที่มี Sure Start Security: อุปกรณ์เหล่านี้จําเป็นต้องมีการอัปเดตเฟิร์มแวร์ล่าสุดจาก HP เพื่อติดตั้งการบรรเทา การบรรเทาจะถูกบล็อกจนกว่าเฟิร์มแวร์จะได้รับการอัปเดต ติดตั้งการอัปเดตเฟิร์มแวร์ล่าสุดจากหน้าสนับสนุน HP — ดาวน์โหลดโปรแกรมควบคุมและซอฟต์แวร์อย่างเป็นทางการของ HP | ดาวน์โหลดซอฟต์แวร์ ฝ่ายสนับสนุนของ HP

  • อุปกรณ์ที่ใช้ Arm64: การบรรเทาจะถูกบล็อกเนื่องจากปัญหาเฟิร์มแวร์ UEFI ที่รู้จักกับอุปกรณ์ที่ใช้ Qualcomm Microsoft กําลังทํางานกับ Qualcomm เพื่อแก้ไขปัญหานี้ Qualcomm จะมอบการแก้ไขให้กับผู้ผลิตอุปกรณ์ ติดต่อผู้ผลิตอุปกรณ์ของคุณเพื่อตรวจสอบว่ามีการแก้ไขปัญหานี้หรือไม่ Microsoft จะเพิ่มการตรวจหาเพื่ออนุญาตให้สามารถนําการบรรเทาไปใช้กับอุปกรณ์เมื่อตรวจพบเฟิร์มแวร์แบบคงที่ หากอุปกรณ์ที่ใช้ Arm64 ของคุณไม่มีเฟิร์มแวร์ Qualcomm ให้กําหนดค่ารีจิสทรีคีย์ต่อไปนี้เพื่อเปิดใช้งานการแก้ไข

    คีย์ย่อยของรีจิสทรี

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    ชื่อค่าคีย์

    SkipDeviceCheck

    ชนิดข้อมูล

    REG_DWORD

    ข้อมูล

    1

  • แอปเปิล:คอมพิวเตอร์ Mac ที่มีชิปความปลอดภัยของ Apple T2 สนับสนุนการบูตแบบปลอดภัย อย่างไรก็ตาม การอัปเดตตัวแปรที่เกี่ยวข้องกับความปลอดภัย UEFI จะพร้อมใช้งานเป็นส่วนหนึ่งของการอัปเดต macOS เท่านั้น ผู้ใช้ Boot Camp คาดว่าจะเห็นรายการบันทึกเหตุการณ์ของรหัสเหตุการณ์ 1795 ใน Windows ที่เกี่ยวข้องกับตัวแปรเหล่านี้ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับรายการบันทึกนี้ ดูที่ KB5016061: เหตุการณ์การอัปเดตตัวแปร Secure Boot DB และ DBX

  • VMware:ในสภาพแวดล้อมการจําลองเสมือนที่ใช้ VMware VM ที่ใช้ตัวประมวลผล x86 ที่เปิดใช้งาน Secure Boot จะไม่สามารถเริ่มต้นระบบได้หลังจากใช้การแก้ไข Microsoft กําลังประสานงานกับ VMware เพื่อแก้ไขปัญหานี้

  • ระบบที่ใช้ TPM 2.0:  ระบบเหล่านี้ที่ใช้ Windows Server 2012 และ Windows Server 2012 R2 ไม่สามารถปรับใช้การแก้ไขที่เผยแพร่ในการอัปเดตความปลอดภัย 9 กรกฎาคม 2024 เนื่องจากปัญหาความเข้ากันได้ที่ทราบด้วยการวัด TPM การอัปเดตด้านความปลอดภัยของวันที่ 9 กรกฎาคม 2024 จะบล็อกการแก้ไข #2 (ตัวจัดการการเริ่มต้นระบบ) และ #3 (การอัปเดต DBX) บนระบบที่ได้รับผลกระทบMicrosoft ทราบถึงปัญหาและการอัปเดตจะเผยแพร่ในอนาคตเพื่อยกเลิกการบล็อกระบบที่ใช้ TPM 2.0เมื่อต้องการตรวจสอบเวอร์ชัน TPM ของคุณ ให้คลิกขวาที่ เริ่ม คลิก เรียกใช้ แล้วพิมพ์ tpm.msc ที่ด้านล่างขวาของบานหน้าต่างศูนย์ภายใต้ ข้อมูลผู้ผลิต TPM คุณควรเห็นค่าสําหรับ เวอร์ชันข้อมูลจําเพาะ

  • การเข้ารหัสลับจุดสิ้นสุด Symantec: การแก้ไขการบูตแบบปลอดภัยไม่สามารถใช้กับระบบที่ติดตั้งการเข้ารหัสลับจุดสิ้นสุดของ Symantec Microsoft และ Symantec ทราบถึงปัญหาและจะได้รับการแก้ไขในการอัปเดตในอนาคต

แนวทางสําหรับการเผยแพร่นี้

สําหรับรุ่นนี้ ให้ทําตามขั้นตอนสองขั้นตอนต่อไปนี้

ขั้นตอนที่ 1: ติดตั้งการอัปเดต ความปลอดภัยของ Windows ติดตั้งการอัปเดตความปลอดภัยรายเดือนของ Windows ที่เผยแพร่ในวันที่ 9 กรกฎาคม 2024 หรือหลังจากนั้นบนอุปกรณ์ Windows ที่รองรับ การอัปเดตเหล่านี้รวมถึงการลดปัญหาสําหรับ CVE-2023-24932 แต่ไม่ได้เปิดใช้งานตามค่าเริ่มต้น อุปกรณ์ Windows ทั้งหมดควรทําขั้นตอนนี้ไม่ว่าคุณจะวางแผนที่จะปรับใช้การบรรเทาปัญหาหรือไม่

ขั้นตอนที่ 2: ประเมินการเปลี่ยนแปลง เราขอแนะนําให้คุณทําดังต่อไปนี้:

  • ทําความเข้าใจกับการบรรเทาสองวิธีแรกที่อนุญาตให้อัปเดต Secure Boot DB และอัปเดตตัวจัดการการเริ่มต้นระบบ

  • ตรวจสอบกําหนดการที่อัปเดตแล้ว

  • เริ่มทดสอบการบรรเทาสองวิธีแรกกับอุปกรณ์ตัวแทนจากสภาพแวดล้อมของคุณ

  • เริ่มวางแผนสําหรับการปรับใช้

ขั้นตอนที่ 3: บังคับใช้การเปลี่ยนแปลง

เราสนับสนุนให้คุณเข้าใจความเสี่ยงที่เรียกว่าในส่วน การทําความเข้าใจความเสี่ยง

  • ทําความเข้าใจผลกระทบต่อการกู้คืนและสื่อที่สามารถเริ่มระบบได้อื่นๆ

  • เริ่มการทดสอบการแก้ไขครั้งที่สามที่ไม่เชื่อถือใบรับรองการเซ็นชื่อที่ใช้สําหรับตัวจัดการการเริ่มต้นระบบ Windows รุ่นก่อนหน้าทั้งหมด

แนวทางการปรับใช้การลดปัญหา

ก่อนที่จะทําตามขั้นตอนเหล่านี้เพื่อการบรรเทาปัญหา ให้ติดตั้งการอัปเดตการให้บริการรายเดือนของ Windows ที่เผยแพร่ในวันที่ 9 กรกฎาคม 2024 หรือหลังจากนั้นบนอุปกรณ์ Windows ที่รองรับ การอัปเดตนี้มีการแก้ไขสําหรับ CVE-2023-24932 แต่ไม่ได้เปิดใช้งานตามค่าเริ่มต้น อุปกรณ์ Windows ทั้งหมดควรทําขั้นตอนนี้โดยไม่คํานึงถึงแผนของคุณเพื่อเปิดใช้งานการบรรเทา

โน้ต หากคุณใช้ BitLocker ตรวจสอบให้แน่ใจว่าคีย์การกู้คืน BitLocker ของคุณได้รับการสํารองไว้แล้ว คุณสามารถเรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบและจดรหัสผ่านตัวเลข 48 หลัก:

manage-bde -protectors -get %systemdrive%

เมื่อต้องการปรับใช้การอัปเดตและใช้การเพิกถอน ให้ทําตามขั้นตอนเหล่านี้:

  1. ติดตั้งข้อกําหนดใบรับรองที่ปรับปรุงแล้วลงใน DB

    ขั้นตอนนี้จะเพิ่มใบรับรอง "Windows UEFI CA 2023" ลงใน UEFI "Secure Boot Signature Database" (DB) ด้วยการเพิ่มใบรับรองนี้ลงใน DB เฟิร์มแวร์ของอุปกรณ์จะเชื่อถือแอปพลิเคชันการเริ่มต้นระบบที่เซ็นชื่อโดยใบรับรองนี้

    1. เปิดพร้อมท์คําสั่งของผู้ดูแลระบบและตั้งค่ารีจิสทรีคีย์เพื่อดําเนินการอัปเดตเป็น DB โดยการป้อนคําสั่งต่อไปนี้:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      สําคัญ ตรวจสอบให้แน่ใจว่าได้รีสตาร์ตอุปกรณ์ สองครั้งเพื่อดําเนินการติดตั้งการอัปเดตให้เสร็จสมบูรณ์ก่อนดําเนินการต่อในขั้นตอนที่ 2 และ 3

    2. เรียกใช้คําสั่ง PowerShell ต่อไปนี้ในฐานะผู้ดูแลระบบ และตรวจสอบว่า DB ได้รับการอัปเดตเรียบร้อยแล้ว คําสั่งนี้ควรแสดงเป็น True

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. อัปเดตตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ของคุณ

    ขั้นตอนนี้จะติดตั้งแอปพลิเคชันตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ของคุณซึ่งลงชื่อด้วยใบรับรอง "'Windows UEFI CA 2023"

    1. เปิดพร้อมท์คําสั่งของผู้ดูแลระบบและตั้งค่ารีจิสทรีคีย์เพื่อติดตั้งตัวจัดการการบูตที่ได้รับการรับรอง "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. รีสตาร์ตอุปกรณ์สองครั้ง

    3. ในฐานะผู้ดูแลระบบ ติดตั้งพาร์ติชัน EFI เพื่อให้พร้อมสําหรับการตรวจสอบ:

      mountvol s: /s

    4. ตรวจสอบว่าไฟล์ "s:\efi\microsoft\boot\bootmgfw.efi" ได้รับการรับรองโดยใบรับรอง "Windows UEFI CA 2023" เมื่อต้องการดำเนินการดังกล่าวนี้ ให้ปฏิบัติตามขั้นตอนต่อไปนี้:

      1. คลิก เริ่ม พิมพ์ พร้อมท์คําสั่ง ในกล่อง ค้นหา แล้วคลิก พร้อมท์คําสั่ง

      2. ในหน้าต่าง พร้อมท์คําสั่ง ให้พิมพ์คําสั่งต่อไปนี้ แล้วกด Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. ในตัวจัดการไฟล์ ให้คลิกขวาที่ไฟล์ C:\bootmgfw_2023.efi คลิก คุณสมบัติ แล้วเลือกแท็บ ลายเซ็นดิจิทัล

      4. ในรายการ ลายเซ็น ให้ยืนยันว่าสายใบรับรองมี Windows UEFI CA 2023 สายใบรับรองควรตรงกับสกรีนช็อตต่อไปนี้:ใบ รับรอง

  3. เปิดใช้งานการเพิกถอน

    รายการ UEFI Forbidden (DBX) ใช้เพื่อบล็อกโมดูล UEFI ที่ไม่น่าเชื่อถือจากการโหลด ในขั้นตอนนี้ การอัปเดต DBX จะเพิ่มใบรับรอง "Windows Production CA 2011" ไปยัง DBX ซึ่งจะทําให้ผู้จัดการการเริ่มต้นระบบทั้งหมดที่เซ็นชื่อโดยใบรับรองนี้ไม่น่าเชื่อถืออีกต่อไป

    คําเตือน: ก่อนที่จะใช้การบรรเทาครั้งที่สาม ให้สร้างแฟลชไดรฟ์การกู้คืนที่สามารถใช้ในการบูตระบบ สําหรับข้อมูลเกี่ยวกับวิธีการดําเนินการนี้ โปรดดูส่วน การอัปเดตสื่อการติดตั้ง Windows

    หากระบบของคุณเข้าสู่สถานะที่ไม่สามารถเริ่มต้นระบบได้ ให้ทําตามขั้นตอนในส่วน กระบวนการกู้คืน เพื่อรีเซ็ตอุปกรณ์ให้เป็นสถานะก่อนการเพิกถอน

    1. เพิ่มใบรับรอง "Windows Production PCA 2011" ลงในรายการ การบูตแบบปลอดภัย UEFI Forbidden (DBX) เมื่อต้องการทําเช่นนี้ ให้เปิดหน้าต่างพร้อมท์คําสั่งในฐานะผู้ดูแลระบบ พิมพ์คําสั่งต่อไปนี้ แล้วกด Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. รีสตาร์ตอุปกรณ์ สองครั้ง และยืนยันว่าได้เริ่มระบบใหม่ทั้งหมดแล้ว

    3. ตรวจสอบว่าการติดตั้งและรายการเพิกถอนถูกนําไปใช้สําเร็จโดยการค้นหาเหตุการณ์ 1037 ในบันทึกเหตุการณ์สําหรับข้อมูลเกี่ยวกับเหตุการณ์ 1037 ดูที่ KB5016061: เหตุการณ์การอัปเดตตัวแปร Secure Boot DB และ DBX หรือเรียกใช้คําสั่ง PowerShell ต่อไปนี้ในฐานะผู้ดูแลระบบ และตรวจสอบให้แน่ใจว่าคําสั่งส่งกลับจริง:

      [System.Text.Encoding]::ASCII GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. ใช้การอัปเดต SVN กับเฟิร์มแวร์ ตัวจัดการการเริ่มต้นระบบที่ปรับใช้ในขั้นตอนที่ 2 มีฟีเจอร์การเพิกถอนตนเองใหม่ในตัว เมื่อตัวจัดการการเริ่มต้นระบบเริ่มทํางาน ตัวจัดการจะดําเนินการตรวจสอบด้วยตนเองโดยการเปรียบเทียบหมายเลขรุ่นที่ปลอดภัย (SVN) ที่เก็บไว้ในเฟิร์มแวร์ กับ SVN ที่อยู่ในตัวจัดการการเริ่มต้นระบบ หาก SVN ตัวจัดการการเริ่มต้นระบบต่ํากว่า SVN ที่เก็บอยู่ในเฟิร์มแวร์ ตัวจัดการการเริ่มต้นระบบจะปฏิเสธที่จะเรียกใช้ คุณลักษณะนี้ป้องกันไม่ให้ผู้โจมตีย้อนกลับเป็นตัวจัดการการเริ่มต้นระบบเป็นเวอร์ชันที่เก่ากว่าที่ไม่ได้อัปเดตในการอัปเดตในอนาคต เมื่อมีการแก้ไขปัญหาด้านความปลอดภัยที่สําคัญในตัวจัดการการเริ่มต้นระบบ หมายเลข SVN จะเพิ่มขึ้นทั้งในตัวจัดการการเริ่มต้นระบบและการอัปเดตเฟิร์มแวร์ การอัปเดตทั้งสองจะเผยแพร่ในการอัปเดตแบบสะสมเดียวกันเพื่อให้แน่ใจว่าอุปกรณ์ที่มีการแก้ไขได้รับการป้องกัน ทุกครั้งที่อัปเดต SVN สื่อที่สามารถเริ่มต้นระบบได้จะต้องได้รับการอัปเดต ตั้งแต่วันที่ 9 กรกฎาคม 2024 เป็นต้นไป การอัปเดต SVN จะถูกเพิ่มมากขึ้นในตัวจัดการการเริ่มต้นระบบและการอัปเดตเฟิร์มแวร์ การอัปเดตเฟิร์มแวร์เป็นตัวเลือกเพิ่มเติมและสามารถนําไปใช้ได้โดยทําตามขั้นตอนเหล่านี้:

    1. เปิดพร้อมท์คําสั่งของผู้ดูแลระบบและเรียกใช้คําสั่งต่อไปนี้เพื่อติดตั้งตัวจัดการการบูตที่เซ็นชื่อ "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. รีสตาร์ตอุปกรณ์สองครั้ง

สื่อที่สามารถเริ่มระบบได้

การอัปเดตสื่อที่สามารถเริ่มต้นระบบได้เป็นสิ่งสําคัญเมื่อขั้นตอนการปรับใช้เริ่มต้นในสภาพแวดล้อมของคุณ

คําแนะนําสําหรับการอัปเดตสื่อที่สามารถเริ่มต้นระบบได้จะมาพร้อมกับการอัปเดตในอนาคตของบทความนี้ ดูส่วนถัดไปเพื่อสร้างธัมบ์ไดรฟ์ USB สําหรับการกู้คืนอุปกรณ์

การอัปเดตสื่อการติดตั้ง Windows

โน้ต เมื่อสร้างธัมป์ไดรฟ์ USB ที่สามารถบูตได้ ตรวจสอบให้แน่ใจว่าได้ฟอร์แมตไดรฟ์โดยใช้ระบบไฟล์ FAT32

คุณสามารถใช้แอปพลิเคชัน สร้างไดรฟ์การกู้คืน โดยทําตามขั้นตอนเหล่านี้ สื่อนี้สามารถใช้เพื่อติดตั้งอุปกรณ์ใหม่ในกรณีที่มีปัญหาหลัก เช่น ฮาร์ดแวร์ล้มเหลว คุณจะสามารถใช้ไดรฟ์การกู้คืนเพื่อติดตั้ง Windows ใหม่ได้

  1. ไปที่อุปกรณ์ที่มีการใช้การอัปเดตของวันที่ 9 กรกฎาคม 2024 และขั้นตอนการลดปัญหาแรก (การอัปเดต Secure Boot DB)

  2. จากเมนู เริ่มต้น ค้นหาแอปเพล็ตแผงควบคุม "สร้างไดรฟ์การกู้คืน" และทําตามคําแนะนําเพื่อสร้างไดรฟ์การกู้คืน

  3. เมื่อติดตั้งแฟลชไดรฟ์ที่สร้างขึ้นใหม่ (ตัวอย่างเช่น เป็นไดรฟ์ "D:") ให้เรียกใช้คําสั่งต่อไปนี้ในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้ แล้วกด Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

หากคุณจัดการสื่อที่สามารถติดตั้งได้ในสภาพแวดล้อมของคุณโดยใช้ สื่อการติดตั้ง Windows Update ด้วยคําแนะนําสําหรับการปรับปรุงแบบไดนามิก ให้ทําตามขั้นตอนเหล่านี้ ขั้นตอนเพิ่มเติมเหล่านี้จะสร้างแฟลชไดรฟ์ที่สามารถบูตได้ที่ใช้ไฟล์การเริ่มต้นระบบที่เซ็นชื่อโดยใบรับรองการเซ็นชื่อ "Windows UEFI CA 2023"

  1. ไปยังอุปกรณ์ที่มีการใช้การอัปเดตของวันที่ 9 กรกฎาคม 2024 และขั้นตอนการแก้ไขครั้งแรก (การอัปเดต Secure Boot DB)

  2. ทําตามขั้นตอนในลิงก์ด้านล่างเพื่อสร้างสื่อที่มีการอัปเดตของวันที่ 9 กรกฎาคม 2024 อัปเดตสื่อการติดตั้ง Windows ด้วยการปรับปรุงแบบไดนามิก

  3. วางเนื้อหาของสื่อบนธัมป์ไดรฟ์ USB และต่อธัมบ์ไดรฟ์เป็นตัวอักษรไดรฟ์ ตัวอย่างเช่น ต่อเชื่อมธัมป์ไดรฟ์เป็น "D:"

  4. เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างคําสั่งในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้ แล้วกด Enter

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

หากอุปกรณ์มีการตั้งค่าการบูตแบบปลอดภัยรีเซ็ตเป็นค่าเริ่มต้นหลังจากใช้การบรรเทา อุปกรณ์จะไม่บูต เพื่อแก้ไขปัญหานี้ แอปพลิเคชันซ่อมแซมจะรวมอยู่กับการอัปเดตของวันที่ 9 กรกฎาคม 2024 ที่สามารถใช้เพื่อนําใบรับรอง "Windows UEFI CA 2023" ไปใช้กับ DB (การลดปัญหา #1) อีกครั้ง

โน้ต อย่าใช้แอปพลิเคชันซ่อมแซมนี้บนอุปกรณ์หรือระบบที่อธิบายไว้ในส่วน ปัญหาที่ทราบ

  1. ไปที่อุปกรณ์ที่มีการนําการอัปเดตของวันที่ 9 กรกฎาคม 2024 ไปใช้

  2. ในหน้าต่างคําสั่ง ให้คัดลอกแอปการกู้คืนไปยังแฟลชไดรฟ์โดยใช้คําสั่งต่อไปนี้ (สมมติให้แฟลชไดรฟ์เป็นไดรฟ์ "D:") พิมพ์แต่ละคําสั่งแยกกัน แล้วกด Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. บนอุปกรณ์ที่มีการตั้งค่าการบูตแบบปลอดภัยรีเซ็ตเป็นค่าเริ่มต้น ให้ใส่แฟลชไดรฟ์ เริ่มระบบของอุปกรณ์ใหม่ และเริ่มต้นระบบจากแฟลชไดรฟ์

เวลาของการอัปเดต

การอัปเดตจะเผยแพร่ดังนี้:

  • การปรับใช้ครั้งแรก ระยะนี้เริ่มต้นด้วยการอัปเดตที่เผยแพร่เมื่อวันที่ 9 พฤษภาคม 2023 และให้การแก้ไขพื้นฐานด้วยขั้นตอนด้วยตนเองเพื่อเปิดใช้งานการแก้ไขเหล่านั้น

  • การปรับใช้ที่สอง ระยะนี้เริ่มต้นด้วยการอัปเดตที่เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2023 ซึ่งเพิ่มขั้นตอนง่ายๆ เพื่อเปิดใช้งานการลดปัญหา

  • ระยะการประเมิน ขั้นตอนนี้จะเริ่มต้นในวันที่ 9 เมษายน 2024 และจะเพิ่มการบรรเทาตัวจัดการการเริ่มต้นระบบเพิ่มเติม

  • ระยะการปรับใช้ นี่คือเวลาที่เราจะสนับสนุนให้ลูกค้าทุกคนเริ่มปรับใช้การลดปัญหาและอัปเดตสื่อ

  • ระยะการบังคับใช้ ขั้นตอนการบังคับใช้ที่จะทําให้การแก้ไขถาวร วันที่สําหรับระยะนี้จะถูกประกาศในภายหลัง

หมายเหตุ กําหนดการการเผยแพร่อาจได้รับการแก้ไขตามความจําเป็น

ระยะนี้ถูกแทนที่ด้วยการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 9 เมษายน 2024 หรือหลังจากนั้น

ระยะนี้ถูกแทนที่ด้วยการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 9 เมษายน 2024 หรือหลังจากนั้น

ในขั้นตอนนี้ เราขอให้คุณทดสอบการเปลี่ยนแปลงเหล่านี้ในสภาพแวดล้อมของคุณเพื่อให้แน่ใจว่าการเปลี่ยนแปลงทํางานได้อย่างถูกต้องกับอุปกรณ์ตัวอย่างที่เป็นตัวแทนและเพื่อรับประสบการณ์ในการเปลี่ยนแปลง

โน้ต แทนที่จะพยายามทํารายการอย่างครบถ้วนและทําให้ผู้จัดการการเริ่มต้นระบบมีช่องโหว่อย่างไม่น่าเชื่อถือดังที่เราทําในขั้นตอนการปรับใช้ก่อนหน้านี้ เรากําลังเพิ่มใบรับรองการลงนาม "Windows Production PCA 2011" ลงใน Secure Boot Disallow List (DBX) เพื่อไม่ให้ผู้จัดการการเริ่มต้นระบบทั้งหมดที่เซ็นชื่อด้วยใบรับรองนี้ไม่น่าเชื่อถือ นี่เป็นวิธีที่เชื่อถือได้มากขึ้นในการตรวจสอบให้แน่ใจว่าผู้จัดการการเริ่มต้นระบบก่อนหน้านี้ทั้งหมดไม่น่าเชื่อถือ

การอัปเดตสําหรับ Windows ที่เผยแพร่ในวันที่ 9 เมษายน 2024 หรือหลังจากนั้น ให้เพิ่มรายการต่อไปนี้:

  • การควบคุมการลดปัญหาใหม่สามตัวที่แทนที่การบรรเทาที่เผยแพร่ในปี 2023 การควบคุมการลดปัญหาแบบใหม่มีดังนี้:

    • ตัวควบคุมเพื่อปรับใช้ใบรับรอง "Windows UEFI CA 2023" กับ DB การบูตแบบปลอดภัย เพื่อเพิ่มความเชื่อถือสําหรับตัวจัดการการเริ่มต้นระบบ Windows ที่เซ็นชื่อโดยใบรับรองนี้ โปรดทราบว่าใบรับรอง "Windows UEFI CA 2023" อาจได้รับการติดตั้งโดย Windows Update รุ่นก่อนหน้านี้

    • ตัวควบคุมเพื่อปรับใช้ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อโดยใบรับรอง "Windows UEFI CA 2023"

    • ตัวควบคุมเพื่อเพิ่ม "Windows Production PCA 2011" ไปยัง Secure Boot DBX ซึ่งจะบล็อกตัวจัดการการเริ่มต้นระบบ Windows ทั้งหมดที่เซ็นชื่อโดยใบรับรองนี้

  • ความสามารถในการเปิดใช้งานการปรับใช้การบรรเทาในขั้นตอนต่างๆ ได้อย่างอิสระ เพื่อให้สามารถควบคุมการปรับใช้การแก้ไขในสภาพแวดล้อมของคุณได้ตามความต้องการของคุณมากขึ้น

  • การบรรเทาจะเชื่อมต่อกันเพื่อไม่ให้สามารถปรับใช้ในลําดับที่ไม่ถูกต้อง

  • เหตุการณ์เพิ่มเติมเพื่อทราบสถานะของอุปกรณ์ขณะที่ใช้การบรรเทา ดู KB5016061: เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์

ระยะนี้เกิดขึ้นเมื่อเราสนับสนุนให้ลูกค้าเริ่มปรับใช้การแก้ไขและจัดการการอัปเดตสื่อใดๆ การอัปเดตมีการเปลี่ยนแปลงดังต่อไปนี้:

  • เพิ่มการสนับสนุนสําหรับหมายเลขเวอร์ชันที่ปลอดภัย (SVN) และการตั้งค่า SVN ที่อัปเดตในเฟิร์มแวร์

ต่อไปนี้เป็นเค้าร่างของขั้นตอนในการปรับใช้ในองค์กร

หมายเหตุ คําแนะนําเพิ่มเติมที่จะมาพร้อมกับการอัปเดตบทความนี้ในภายหลัง

  • ปรับใช้การบรรเทาครั้งแรกกับอุปกรณ์ทั้งหมดในองค์กรหรือกลุ่มอุปกรณ์ที่มีการจัดการในองค์กร ซึ่งรวมถึง:

    • การเลือกใช้การลดครั้งแรกที่เพิ่มใบรับรองการลงนาม "Windows UEFI CA 2023" ลงในเฟิร์มแวร์ของอุปกรณ์

    • การตรวจสอบว่าอุปกรณ์ได้เพิ่มใบรับรองการลงชื่อ "Windows UEFI CA 2023" เสร็จเรียบร้อยแล้ว

  • ปรับใช้การลดครั้งที่สองที่ใช้ตัวจัดการการบูตที่อัปเดตกับอุปกรณ์

  • อัปเดตการกู้คืนหรือสื่อที่สามารถเริ่มระบบได้ภายนอกที่ใช้กับอุปกรณ์เหล่านี้

  • ปรับใช้การบรรเทาที่สามที่เปิดใช้งานการเพิกถอนใบรับรอง "Windows Production CA 2011" โดยการเพิ่มไปยัง DBX ในเฟิร์มแวร์

  • ปรับใช้การลดที่สี่ที่อัปเดตหมายเลขเวอร์ชันที่ปลอดภัย (SVN) ให้กับเฟิร์มแวร์

ระยะการบังคับใช้จะมีเวลาอย่างน้อยหกเดือนหลังจากขั้นตอนการปรับใช้ เมื่อมีการเผยแพร่การอัปเดตสําหรับขั้นตอนการบังคับใช้ การอัปเดตจะรวมถึงรายการต่อไปนี้:

  • ใบรับรอง "Windows Production PCA 2011" จะถูกเพิกถอนโดยอัตโนมัติโดยการเพิ่มลงใน Secure Boot UEFI Forbidden List (DBX) บนอุปกรณ์ที่สามารถใช้งานได้ การอัปเดตเหล่านี้จะถูกบังคับใช้ทางโปรแกรมหลังจากติดตั้งการอัปเดตสําหรับ Windows ไปยังระบบที่ได้รับผลกระทบทั้งหมดโดยไม่มีตัวเลือกที่จะปิดใช้งาน

ข้อผิดพลาดในบันทึกเหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2023-24932

รายการบันทึกเหตุการณ์ของ Windows ที่เกี่ยวข้องกับการอัปเดต DB และ DBX มีอธิบายรายละเอียดใน KB5016061: เหตุการณ์การอัปเดตตัวแปร DB การบูตแบบปลอดภัยและ DBX

เหตุการณ์ "ความสําเร็จ" ที่เกี่ยวข้องกับการใช้การแก้ไขจะแสดงอยู่ในตารางต่อไปนี้

ขั้นตอนการลดปัญหา

ID เหตุการณ์

หมายเหตุ

การใช้การอัปเดต DB

1036

เพิ่มใบรับรอง PCA2023 ไปยัง DB แล้ว

กําลังปรับปรุงตัวจัดการการเริ่มต้นระบบ

1799

PCA2023 ใช้ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อแล้ว

การใช้การอัปเดต DBX

1037

มีการนําการอัปเดต DBX ที่ไม่เชื่อถือใบรับรองการลงชื่อ PCA2011 ไปใช้

คําถามที่ถามบ่อย (FAQ)

อัปเดตระบบปฏิบัติการ Windows ทั้งหมดด้วยการอัปเดตที่วางจําหน่ายในวันที่ 9 กรกฎาคม 2024 หรือหลังจากนั้นก่อนที่คุณจะใช้การเพิกถอน คุณอาจไม่สามารถเริ่ม Windows รุ่นใดๆ ที่ไม่ได้รับการอัปเดตเป็นการอัปเดตอย่างน้อยในวันที่ 9 กรกฎาคม 2024 หลังจากที่คุณใช้การเพิกถอน ทําตามคําแนะนําในส่วน การแก้ไขปัญหาการบูต

การแก้ไขปัญหาการเริ่มต้นระบบ

หลังจากมีการนําการแก้ไขทั้งสามรายการไปใช้ เฟิร์มแวร์ของอุปกรณ์จะไม่เริ่มต้นระบบโดยใช้ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อโดย Windows Production PCA 2011 ความล้มเหลวในการบูตที่ได้รับรายงานโดยเฟิร์มแวร์เป็นข้อมูลเฉพาะอุปกรณ์ โปรดดูส่วน ขั้นตอนการกู้คืน

ขั้นตอนการกู้คืน

หากมีบางอย่างผิดปกติขณะใช้การลดปัญหา และคุณไม่สามารถเริ่มระบบอุปกรณ์ของคุณได้ หรือคุณจําเป็นต้องเริ่มระบบจากสื่อภายนอก (เช่น ธัมบ์ไดรฟ์ หรือการบูตแบบ PXE) ให้ลองทําตามคําแนะนําต่อไปนี้:

  1. ปิดการบูตแบบปลอดภัยขั้นตอนนี้แตกต่างกันระหว่างผู้ผลิตอุปกรณ์และรุ่นต่างๆ เข้าสู่เมนู UEFI BIOS ของอุปกรณ์ของคุณ และไปที่การตั้งค่าการบูตแบบปลอดภัยและปิด ตรวจสอบเอกสารประกอบจากผู้ผลิตอุปกรณ์ของคุณเพื่อดูข้อมูลเฉพาะเกี่ยวกับกระบวนการนี้ สามารถดูรายละเอียดเพิ่มเติมได้ใน การปิดใช้งานการบูตแบบปลอดภัย

  2. รีเซ็ตคีย์การบูตแบบปลอดภัยเป็นค่าเริ่มต้นจากโรงงาน

    หากอุปกรณ์สนับสนุนการรีเซ็ตคีย์การบูตแบบปลอดภัยเป็นค่าเริ่มต้นจากโรงงาน ให้ดําเนินการนี้ทันที

    โน้ต ผู้ผลิตอุปกรณ์บางรายมีตัวเลือก "ล้าง" และ "รีเซ็ต" สําหรับตัวแปรการบูตแบบปลอดภัย ซึ่งในกรณีนี้ควรใช้ "รีเซ็ต" เป้าหมายคือการใส่ตัวแปร Secure Boot กลับไปเป็นค่าเริ่มต้นของผู้ผลิต

    อุปกรณ์ของคุณควรเริ่มทํางานทันที แต่โปรดทราบว่ามีความเสี่ยงที่จะเกิดมัลแวร์ในชุดการบูต ตรวจสอบให้แน่ใจว่าได้ทําขั้นตอนที่ 5 ของกระบวนการกู้คืนนี้เพื่อเปิดใช้งานการบูตแบบปลอดภัยอีกครั้ง

  3. ลองเริ่ม Windows จากดิสก์ระบบ

    1. เข้าสู่ระบบ Windows

    2. เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบเพื่อคืนค่าไฟล์การบูตในพาร์ติชันการบูตระบบ EFI พิมพ์แต่ละคําสั่งแยกกัน แล้วกด Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. การเรียกใช้ BCDBoot ส่งกลับ "สร้างไฟล์การเริ่มต้นระบบเรียบร้อยแล้ว" หลังจากข้อความนี้ปรากฏขึ้น ให้รีสตาร์ตอุปกรณ์กลับไปยัง Windows

  4. หากขั้นตอนที่ 3 กู้คืนอุปกรณ์ไม่สําเร็จ ให้ติดตั้ง Windows ใหม่

    1. เริ่มอุปกรณ์จากสื่อการกู้คืนที่มีอยู่

    2. ดําเนินการติดตั้ง Windows โดยใช้สื่อการกู้คืน

    3. เข้าสู่ระบบ Windows

    4. รีสตาร์ต Windows เพื่อตรวจสอบว่าอุปกรณ์เริ่มต้นระบบกลับไปยัง Windows

  5. เปิดใช้งานการบูตแบบปลอดภัยอีกครั้งและเริ่มระบบของอุปกรณ์ใหม่เข้าสู่เมนู UEFI ของอุปกรณ์ และนําทางไปยังการตั้งค่าการบูตแบบปลอดภัยและเปิด ตรวจสอบเอกสารประกอบจากผู้ผลิตอุปกรณ์ของคุณเพื่อดูข้อมูลเฉพาะเกี่ยวกับกระบวนการนี้ สามารถดูข้อมูลเพิ่มเติมได้ในส่วน "เปิดใช้งานการบูตแบบปลอดภัยอีกครั้ง"

แหล่งอ้างอิง

ผลิตภัณฑ์ของบริษัทอื่นที่กล่าวถึงในบทความนี้ ผลิตโดยบริษัทที่ไม่เกี่ยวข้องกับ Microsoft เราไม่รับประกันไม่ว่าโดยนัยหรือโดยอื่นใดเกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้

วันที่เปลี่ยนแปลง

คําอธิบายเกี่ยวกับการเปลี่ยนแปลง

9 กรกฎาคม 2024

  • อัปเดต "ขั้นตอนที่ 2: ประเมินการเปลี่ยนแปลง" เพื่อนําวันที่ 9 กรกฎาคม 2024 ออก

  • อัปเดตการเกิดขึ้นทั้งหมดของวันที่ 9 เมษายน 2024 เป็นวันที่ 9 กรกฎาคม 2024 ยกเว้นในส่วน "ระยะเวลาการอัปเดต"

  • อัปเดตส่วน "สื่อที่สามารถเริ่มต้นระบบได้" และแทนที่เนื้อหาด้วย "คําแนะนําสําหรับการอัปเดตสื่อที่สามารถเริ่มต้นระบบได้จะมาพร้อมกับการอัปเดตในอนาคต"

  • อัปเดต "9 กรกฎาคม 2024 หรือใหม่กว่า – ระยะการปรับใช้เริ่มต้น" ในส่วน "กําหนดเวลาการอัปเดต"

  • เพิ่มขั้นตอนที่ 4 "นําการอัปเดต SVN ไปใช้กับเฟิร์มแวร์" ในส่วน "แนวทางการปรับใช้การลดปัญหา"

9 เมษายน 2024

  • การเปลี่ยนแปลงอย่างกว้างขวางในขั้นตอน ข้อมูล แนวทาง และวันที่ โปรดทราบว่าการเปลี่ยนแปลงก่อนหน้านี้บางรายการถูกลบออกเนื่องจากการเปลี่ยนแปลงที่ครอบคลุมที่ทําในวันที่นี้

วันที่ 16 ธันวาคม 2566

  • แก้ไขวันที่เผยแพร่สําหรับการปรับใช้และการบังคับใช้ที่สามในส่วน "กําหนดเวลาของการอัปเดต"

วันที่ 15 พฤษภาคม 2566

  • ลบระบบปฏิบัติการที่ไม่สนับสนุน Windows 10 เวอร์ชัน 21H1 ออกจากส่วน "นําไปใช้กับ"

วันที่ 11 พฤษภาคม 2566

  • เพิ่มหมายเหตุข้อควรระวังในขั้นตอนที่ 1 ในส่วน "แนวทางการปรับใช้" เกี่ยวกับการอัปเกรดเป็น Windows 11 เวอร์ชัน 21H2 หรือ 22H2 หรือ Windows 10 บางเวอร์ชัน

วันที่ 10 พฤษภาคม 2566

  • อธิบายว่าสื่อ Windows ที่ดาวน์โหลดได้อัปเดตด้วยการอัปเดตสะสมล่าสุดจะพร้อมใช้งานเร็วๆ นี้

  • แก้ไขการสะกดคํา "ห้าม" แล้ว

วันที่ 9 พฤษภาคม 2566

  • เพิ่มเวอร์ชันที่ได้รับการสนับสนุนเพิ่มเติมในส่วน "นําไปใช้กับ"

  • อัปเดตขั้นตอนที่ 1 ของส่วน "ดําเนินการ"

  • อัปเดตขั้นตอนที่ 1 ของส่วน "แนวทางการปรับใช้"

  • แก้ไขคําสั่งในขั้นตอนที่ 3a ของส่วน "แนวทางการ Deploment"

  • แก้ไขการจัดวางอิมเมจ Hyper-V UEFI ในส่วน "การแก้ไขปัญหาการบูต"

วันที่ 27 มิถุนายน 2566

  • ลบหมายเหตุเกี่ยวกับการอัปเดตจาก Windows 10 เป็น Windows 10 เวอร์ชันที่ใหม่กว่าซึ่งใช้แพคเกจการเปิดใช้งานภายใต้ขั้นตอนที่ 1:ติดตั้งในส่วน "แนวทางการปรับใช้"

11 กรกฎาคม 2023

  • อัปเดตอินสแตนซ์ของวันที่ "9 พฤษภาคม 2023" เป็น "11 กรกฎาคม 2023" "9 พฤษภาคม 2023 และ 11 กรกฎาคม 2023" หรือเป็น "9 พฤษภาคม 2023 หรือใหม่กว่า"

  • ในส่วน "แนวทางการปรับใช้" เราทราบว่าการอัปเดตแบบไดนามิก SafeOS ทั้งหมดพร้อมใช้งานสําหรับการอัปเดตพาร์ติชัน WinRE แล้ว นอกจากนี้ กล่องข้อควรระวังถูกลบออกเนื่องจากปัญหาได้รับการแก้ไขโดยการเผยแพร่การอัปเดตแบบไดนามิก SafeOS

  • ใน "3. ใช้ส่วนการเพิกถอน" คําแนะนําได้รับการแก้ไขแล้ว

  • ในส่วน "ข้อผิดพลาดในบันทึกเหตุการณ์ของ Windows" รหัสเหตุการณ์ 276 จะถูกเพิ่ม

วันที่ 25 สิงหาคม 2566

  • อัปเดตส่วนต่างๆ สําหรับการใช้คําและเพิ่มข้อมูลการเผยแพร่วันที่ 11 กรกฎาคม 2023 และรุ่นในอนาคต 2024

  • การจัดเรียงเนื้อหาบางส่วนจากส่วน "การหลีกเลี่ยงปัญหาเกี่ยวกับสื่อที่สามารถเริ่มต้นระบบได้" เป็นส่วน "กําลังอัปเดตสื่อที่สามารถเริ่มต้นระบบได้"

  • อัปเดตส่วน "กําหนดเวลาของการอัปเดต" ด้วยวันที่และข้อมูลการปรับใช้ที่แก้ไขแล้ว
Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders