Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

ВАЖЛИВИЙ Слід застосувати оновлення системи безпеки Windows, випущене 9 липня 2024 р. або пізніше, в рамках регулярного щомісячного оновлення.

Ця стаття стосується організацій, які повинні почати оцінювати пом'якшення для публічно розкритого обходу безпечного завантаження, що використовується bootkit BlackLotus UEFI. Крім того, ви можете зайняти проактивну позицію безпеки або почати підготовку до розгортання. Зверніть увагу, що для цього зловмисного програмного забезпечення потрібен фізичний або адміністративний доступ до пристрою.

ОБЕРЕЖНІСТЬ Після того, як засіб усунення цієї проблеми увімкнуто на пристрої, тобто застосовано послаблення ризиків, його не можна повернути, якщо ви продовжуєте використовувати безпечне завантаження на цьому пристрої. Навіть переформатування диска не видалить відкликання, якщо вони вже застосовані. Перш ніж застосовувати до пристрою відкликання, описані в цій статті, ретельно перевірте всі можливі наслідки та ретельно випробуйте їх.

У цій статті

Зведення

У цій статті описано захист від загальнодоступного обходу функції безпеки безпечного завантаження, який використовує bootkit BlackLotus UEFI, відстежений CVE-2023-24932, як увімкнути засоби захисту та вказівки щодо завантажувальних носіїв. Bootkit – це зловмисна програма, яка запускається якомога раніше в послідовності завантаження пристроїв для керування запуском операційної системи.

Корпорація Майкрософт рекомендує безпечне завантаження, щоб зробити безпечний і надійний шлях з інтерфейсу уніфікованого розширюваного мікропрограми (UEFI) через послідовність надійного завантаження ядра Windows. Безпечне завантаження допомагає запобігти запуску зловмисних програм у послідовності завантаження. Вимкнення безпечного завантаження ставить пристрій під загрозу зараження зловмисною програмою bootkit. Для виправлення обходу безпечного завантаження, описаного в CVE-2023-24932, потрібно відкликати диспетчери завантаження. Це може спричинити проблеми з деякими конфігураціями завантаження пристрою.

Засоби захисту від обходу безпечного завантаження, описані в CVE-2023-24932 , входять до оновлень системи безпеки Windows, випущених 9 липня 2024 р. або пізніше. Однак ці засоби послаблення ризиків не ввімкнуто за промовчанням. З цими оновленнями радимо почати оцінювати ці зміни у своєму середовищі. Повний розклад описано в розділі Хронометраж оновлень .

Перш ніж активувати ці засоби захисту, слід ретельно ознайомитися з відомостями в цій статті та визначити, чи потрібно активувати засоби послаблення ризиків або зачекати на майбутнє оновлення від корпорації Майкрософт. Якщо ви вирішите ввімкнути послаблення ризиків, переконайтеся, що пристрої оновлено та готові, а також зрозуміти ризики, описані в цій статті. 

Вжити заходів 

У цьому випуску слід виконати такі дії:

Крок 1. Інсталюйте оновлення системи безпеки Windows, випущене 9 липня 2024 р. або пізніше, на всі підтримувані версії.

Крок 2. Обчислення змін і їх впливу на середовище.

Крок 3. Застосування змін.

Область впливу

На всі пристрої Windows із увімкнутим захистом від безпечного завантаження впливає буткіт BlackLotus. Засоби послаблення ризиків доступні для підтримуваних версій Windows. Повний список див. в статті CVE-2023-24932.

Розуміння ризиків

Ризик зловмисного програмного забезпечення: Для blackLotus UEFI bootkit експлойт, описаний в цій статті, щоб бути можливим, зловмисник повинен отримати права адміністратора на пристрої або отримати фізичний доступ до пристрою. Це можна зробити, використовуючи фізичний або віддалений доступ до пристрою, наприклад за допомогою гіпервізора для доступу до віртуальних машин або хмари. Зловмисник зазвичай використовує цю вразливість, щоб продовжувати керувати пристроєм, доступ до яких вони вже можуть і, можливо, працювати. Зниження ризиків у цій статті є превентивними та не коригувальними. Якщо безпеку вашого пристрою вже порушено, зверніться по допомогу до постачальника послуг безпеки.

Носій для відновлення: Якщо після застосування заходів послаблення ризиків у вас виникла проблема з пристроєм і пристрій стане непридатним для завантаження, ви, можливо, не зможете запустити або відновити пристрій із наявного носія. Необхідно оновити носій для відновлення або інсталяції, щоб він працював із пристроєм, на який застосовано засоби послаблення ризиків.

Проблеми з мікропрограмою: Коли Windows застосовує заходи послаблення ризиків, описані в цій статті, вона повинна покладатися на мікропрограму UEFI пристрою для оновлення значень безпечного завантаження (оновлення застосовуються до ключа бази даних (DB) і забороненого ключа підпису (DBX)). У деяких випадках ми маємо досвід роботи з пристроями, на яких не вдається виконати оновлення. Ми працюємо з виробниками пристроїв, щоб перевірити ці оновлення ключів на якомога більшій кількості пристроїв.

ПРИМІТКА Спочатку перевірте ці послаблення ризиків на одному пристрої для кожного класу пристрою у вашому середовищі, щоб виявити можливі проблеми з мікропрограмою. Не розгортайте широко, перш ніж підтверджувати оцінювання всіх класів пристроїв у вашому середовищі.

Відновлення BitLocker: Деякі пристрої можуть перейти до відновлення BitLocker. Перш ніж увімкнути засоби послаблення ризиків, обов'язково збережіть копію ключа відновлення BitLocker .

Відомі проблеми

Проблеми з мікропрограмою:Не всі мікропрограми пристрою буде успішно оновлено базу даних безпечного завантаження або DBX. У тих випадках, про які нам відомо, ми повідомили про цю проблему виробнику пристрою. Докладні відомості про події, що реєструються, див. в статті KB5016061: події оновлення змінних DB та змінних DBX . Зверніться до виробника пристрою, щоб отримати оновлення мікропрограм. Якщо пристрій не підтримується, корпорація Майкрософт рекомендує оновити пристрій.

Відомі проблеми з мікропрограмою:

ПРИМІТКА Наведені нижче відомі проблеми не впливають на інсталяцію оновлень від 9 липня 2024 року. У більшості випадків послаблення ризиків не застосовуватиметься там, де існують відомі проблеми. Перегляньте докладні відомості про кожну відому проблему.

  • HP: HP визначила проблему з інсталяцією засобу послаблення ризиків на ПК з робочою станцією HP Z4G4 і випустить оновлену мікропрограму Z4G4 UEFI (BIOS) в найближчі тижні. Щоб забезпечити успішну інсталяцію послаблення ризиків, його буде заблоковано на робочих станціях для настільних комп'ютерів, доки оновлення не стане доступним. Клієнти завжди повинні оновити систему BIOS до останньої версії, перш ніж застосовувати засіб послаблення ризиків.

  • Пристрої HP з функцією "Безпека для запуску" Для інсталяції цих пристроїв потрібні останні оновлення мікропрограм від HP. Засоби послаблення ризиків блокуються до оновлення мікропрограми. Інсталюйте останнє оновлення мікропрограми зі сторінки підтримки HPs – Офіційне завантаження драйверів HP та програмного забезпечення | Підтримка HP.

  • Пристрої на базі Arm64: Засоби послаблення ризиків заблоковано через відомі проблеми з мікропрограмою UEFI з пристроями на базі Qualcomm. Корпорація Майкрософт працює з Qualcomm, щоб вирішити цю проблему. Qualcomm надасть виправлення виробникам пристроїв. Зверніться до виробника пристрою, щоб дізнатися, чи доступне вирішення цієї проблеми. Корпорація Майкрософт додасть виявлення, щоб дозволити застосування заходів послаблення ризиків на пристроях, коли виявлено фіксовану мікропрограму. Якщо на пристрої з процесором Arm64 немає мікропрограми Qualcomm, настройте наведений нижче розділ реєстру, щоб увімкнути засоби послаблення ризиків.

    Підрозділ реєстру

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Ім'я значення ключа

    Пропустити перевірку

    Тип даних

    REG_DWORD

    Дані

    1

  • Яблуко:Комп'ютери Mac, на яких підтримується безпечне завантаження apple T2 Security Chip. Однак оновлення змінних, пов'язаних із безпекою UEFI, доступне лише в рамках оновлень macOS. Очікується, що користувачі boot Camp побачать запис журналу подій події з ідентифікатором 1795 у Windows, пов'язані з цими змінними. Докладні відомості про цей запис журналу див. в KB5016061: події оновлення змінних DB для безпечного завантаження та DBX.

  • VMware:У середовищах віртуалізації на базі VMware віртуальна машина, яка використовує процесор на базі x86-процесора з увімкнутим захищеним завантаженням, не зможе завантажитися після застосування заходів зниження ризику. Корпорація Майкрософт координує роботу з VMware для вирішення цієї проблеми.

  • Системи на базі TPM 2.0:  У цих системах під керуванням Windows Server 2012 і Windows Server 2012 R2 не можна розгорнути засоби захисту, випущені в оновленні системи безпеки від 9 липня 2024 року через відомі проблеми сумісності з вимірами модуля TPM. Оновлення системи безпеки від 9 липня 2024 року блокуватимуть послаблення ризиків #2 (диспетчер завантаження) і #3 (оновлення DBX) у відповідних системах.Корпорації Майкрософт відомо про цю проблему, і оновлення буде випущено в майбутньому, щоб розблокувати системи на базі TPM 2.0.Щоб перевірити версію модуля TPM, клацніть правою кнопкою миші кнопку Пуск, виберіть команду Виконати, а потім введіть tpm.msc. У правому нижньому куті центральної області в розділі Відомості про виробника модуля TPM має відобразитися значення для параметра Версія специфікації.

  • Шифрування кінцевої точки Symantec: Засоби захисту для захисту від завантаження не можна застосувати до систем, у яких інстальовано шифрування кінцевої точки Symantec. Корпорація Майкрософт і Symantec знають про цю проблему та будуть вирішені в майбутньому оновленні.

Рекомендації з цього випуску

Для цього випуску виконайте ці два кроки.

Крок 1. Інсталяція оновлення системи безпеки Windows Інсталюйте щомісячне оновлення системи безпеки Windows, випущене 9 липня 2024 р. або пізніше, на підтримувані пристрої Windows. Ці оновлення містять послаблення ризиків для CVE-2023-24932, але не ввімкнуто за замовчуванням. Усі пристрої Windows мають виконати цей крок незалежно від того, чи плануєте ви розгорнути засоби послаблення ризиків.

Крок 2. Обчислення змін Рекомендуємо виконати такі дії:

  • Ознайомтеся з першими двома ризиками, які дають змогу оновити базу даних безпечного завантаження та оновити диспетчер завантаження.

  • Перегляньте оновлений розклад.

  • Розпочніть перевірку перших двох заходів захисту від репрезентативних пристроїв із середовища.

  • Почніть планування розгортання.

Крок 3. Застосування змін

Рекомендуємо вам зрозуміти ризики, наведені в розділі Розуміння ризиків.

  • Зрозумійте вплив на відновлення та інші завантажувальні носії.

  • Почніть перевірку третього зниження ризику, яке ненадійне сертифікатом підпису, який використовувався для всіх попередніх диспетчерів завантаження Windows.

Рекомендації з розгортання засобу послаблення ризиків

Перш ніж виконати ці кроки для застосування заходів зниження ризику, інсталюйте щомісячне оновлення обслуговування Windows, випущене 9 липня 2024 р. або пізніше, на підтримувані пристрої Windows. Це оновлення містить послаблення ризиків для CVE-2023-24932, але вони не ввімкнуто за замовчуванням. Усі пристрої Windows мають виконати цей крок незалежно від вашого плану, щоб увімкнути засоби послаблення ризиків.

ПРИМІТКА Якщо ви використовуєте BitLocker, переконайтеся, що резервну копію ключа відновлення BitLocker створено. У командному рядку адміністратора можна виконати таку команду та занотувати 48-значний числовий пароль:

manage-bde -protectors -get %systemdrive%

Щоб розгорнути оновлення та застосувати відкликання, виконайте такі дії:

  1. Інсталюйте оновлені визначення сертифікатів до бази даних.

    Цей крок додасть сертифікат "Windows UEFI CA 2023" до бази даних UEFI "Захищений завантажувальний підпис бази даних" (DB). Додавши цей сертифікат до бази даних, мікропрограма пристрою довірятиме програмам завантаження, підписаним цим сертифікатом.

    1. Відкрийте командний рядок адміністратора та встановіть ключ реєстру для виконання оновлення до бази даних, ввівши таку команду:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      ВАЖЛИВИЙ Обов'язково перезавантажте пристрій два рази, щоб завершити інсталяцію оновлення, перш ніж перейти до кроків 2 та 3.

    2. Виконайте наведену нижче команду PowerShell як адміністратор і переконайтеся, що базу даних успішно оновлено. Ця команда має повернути значення True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Оновіть диспетчер завантаження на своєму пристрої.

    Цей крок інсталює на пристрій програму диспетчера завантаження, підписану сертифікатом "Windows UEFI CA 2023".

    1. Відкрийте командний рядок адміністратора та встановіть ключ реєстру для інсталяції диспетчера завантаження "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Перезавантажте пристрій два рази.

    3. Як адміністратор, змонтуйте розділ EFI, щоб підготувати його до перевірки:

      mountvol s: /s

    4. Переконайтеся, що файл "s:\efi\microsoft\boot\bootmgfw.efi" підписано сертифікатом "Windows UEFI CA 2023". Для цього виконайте такі дії:

      1. Натисніть кнопку Пуск, введіть командний рядок у полі Пошук і натисніть кнопку Командний рядок.

      2. У вікні Командний рядок введіть таку команду та натисніть клавішу Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. У Диспетчері файлів клацніть правою кнопкою миші файл C:\bootmgfw_2023.efi, виберіть пункт Властивості, а потім перейдіть на вкладку Цифрові підписи .

      4. У списку Підпис переконайтеся, що ланцюжок сертифікатів включає Windows UEFI CA 2023. Ланцюжок сертифікатів має відповідати такому знімку екрана:Сертифікати

  3. Увімкнути відкликання.

    Заборонений список UEFI (DBX) використовується для блокування завантаження ненадійних модулів UEFI. На цьому кроці оновлення DBX додасть сертифікат "Windows Production CA 2011" до DBX. Це призведе до того, що всі диспетчери завантаження, підписані цим сертифікатом, більше не вважатимуться надійними.

    УВАГА! Перш ніж застосовувати третє зниження ризику, створіть флеш-пам'ять для відновлення, яку можна використовувати для завантаження системи. Відомості про те, як це зробити, див. в розділі Оновлення носія для інсталяції Windows.

    Якщо система переходить у незавантажуваний стан, виконайте кроки, описані в розділі Процедура відновлення, щоб скинути пристрій до стану попереднього виклику.

    1. Додайте сертифікат "Windows Production PCA 2011" до списку заборонених UEFI безпечного завантаження (DBX). Для цього відкрийте вікно командного рядка з правами адміністратора, введіть таку команду, а потім натисніть клавішу Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Перезавантажте пристрій два рази та переконайтеся, що його повністю перезавантажено.

    3. Переконайтеся, що список інсталяції та відкликання успішно застосовано, шукаючи подію 1037 у журналі подій.Відомості про подію 1037 див. в статті KB5016061: події оновлення змінних DB для безпечного завантаження та змінних DBX. Або виконайте таку команду PowerShell як адміністратор і переконайтеся, що вона повертає значення True:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) - match "Microsoft Windows Production PCA 2011" 

  4. Застосуйте оновлення SVN до мікропрограми. Диспетчер завантаження, розгорнутий на кроці 2, має нову вбудовану функцію самостійного відкликання. Коли диспетчер завантаження запускається, він виконує самостійну перевірку, порівнюючи безпечний номер версії (SVN), який зберігається в мікропрограмі, з вбудованим SVN в диспетчер завантаження. Якщо SVN диспетчера завантаження нижчий за SVN, що зберігається в мікропрограмі, диспетчер завантаження відмовиться від запуску. Ця функція запобігає відкочування диспетчера завантаження до старішої неоновлювалося версії.У майбутніх оновленнях, коли у диспетчері завантаження виправлено значну проблему безпеки, число SVN збільшується як у диспетчері завантаження, так і в оновленні мікропрограми. Обидва оновлення буде випущено в одному сукупному оновленні, щоб переконатися, що виправлені пристрої захищені. Щоразу, коли оновлюється SVN, потрібно оновлювати будь-який завантажувальний носій. Починаючи з 9 липня 2024 року, оновлення, SVN збільшується в диспетчері завантаження та оновлення мікропрограми. Оновлення мікропрограми необов'язкове, і його можна застосувати, виконавши такі дії:

    1. Відкрийте командний рядок адміністратора та виконайте таку команду, щоб інсталювати диспетчер завантаження "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. Перезавантажте пристрій два рази.

Завантажувальний носій

Після початку етапу розгортання в середовищі важливо оновити завантажувальний носій.

У майбутніх оновленнях цієї статті наведено інструкції з оновлення завантажувального носія. Див. наступний розділ, щоб створити флеш-пам'ятку USB для відновлення пристрою.

Оновлення носія для інсталяції Windows

ПРИМІТКА Під час створення завантажувального USB-носія обов'язково відформатуйте диск за допомогою файлової системи FAT32.

Щоб скористатися програмою Create Recovery Drive , виконайте наведені нижче дії. Цей носій можна використовувати для повторної інсталяції пристрою на випадок, якщо виникла серйозна проблема, наприклад неполадка обладнання, ви зможете повторно інсталювати Windows за допомогою диска відновлення.

  1. Перейдіть на пристрій, де було застосовано оновлення від 9 липня 2024 року та перший крок зниження ризику (оновлення бази даних безпечного завантаження).

  2. У меню "Пуск " знайдіть аплет панелі керування "Create a Recovery Drive" і дотримуйтеся вказівок, щоб створити диск відновлення.

  3. Щойно створений флеш-пам'ять установлено (наприклад, як диск "D:"), виконайте наведені нижче команди з правами адміністратора. Введіть кожну з наведених нижче команд і натисніть клавішу Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Якщо ви керуєте інсталяційним медіавмістом у своєму середовищі за допомогою інсталяційного носія Оновлення Windows із рекомендаціями з динамічного оновлення , виконайте наведені нижче дії. Ці додаткові кроки допоможуть створити завантажувальний флеш-диск, який використовує файли завантаження, підписані сертифікатом підпису "Windows UEFI CA 2023".

  1. Перейдіть на пристрій, на якому було застосовано оновлення від 9 липня 2024 року та перший крок послаблення ризиків (оновлення бази даних безпечного завантаження).

  2. Виконайте кроки, наведені в посиланні нижче, щоб створити медіавміст з оновленнями від 9 липня 2024 року. Оновлення інсталяційного носія Windows за допомогою динамічного оновлення

  3. Розмістіть вміст носія на флеш-накопичувачі USB і змонтуйте флеш-пам'ятку як букву диска. Наприклад, змонтуйте флеш-диск як "D:".

  4. Виконайте наведені нижче команди з командного вікна з правами адміністратора. Введіть кожну з наведених нижче команд і натисніть клавішу Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Якщо після застосування заходів захисту пристрій скинув настройки безпечного завантаження до значень за замовчуванням, пристрій не завантажиться. Щоб вирішити цю проблему, програма відновлення входить до складу оновлення від 9 липня 2024 р., які можна використовувати для повторного застосування сертифіката "Windows UEFI CA 2023" до бази даних (послаблення ризиків #1).

ПРИМІТКА Не використовуйте цей застосунок відновлення на пристрої або системі, описаних у розділі Відомі проблеми .

  1. Перейдіть на пристрій, на якому застосовано оновлення від 9 липня 2024 року.

  2. У командному вікні скопіюйте програму відновлення на флеш-пам'ять за допомогою наведених нижче команд (якщо флеш-пам'ять – це диск "D:"). Введіть кожну команду окремо, а потім натисніть клавішу Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. На пристрої з настройками безпечного завантаження відновіть початковий стан за замовчуванням, вставте флеш-пам'ять, перезавантажте пристрій і завантажте його зі флеш-пам'яті.

Хронометраж оновлень

Оновлення випускаються в такий спосіб:

  • Початкове розгортання Цей етап почався з оновлень, випущених 9 травня 2023 року, і забезпечив основні заходи з усунення ризиків вручну, щоб увімкнути ці заходи.

  • Друге розгортання Цей етап почався з оновлень, випущених 11 липня 2023 року, які додали спрощені кроки, щоб увімкнути послаблення ризиків для цієї проблеми.

  • Етап оцінювання Цей етап розпочнеться 9 квітня 2024 року та додасть додаткові засоби послаблення ризиків диспетчера завантаження.

  • Етап розгортання Це коли ми заохочуватимемо всіх клієнтів почати розгортання заходів послаблення ризиків і оновлення медіавмісту.

  • Етап примусового застосування Етап примусового застосування, який зробить пом'якшення постійними. Дата цього етапу буде оголошена пізніше.

Нотатка Розклад випуску може бути змінений за потреби.

Цей етап замінено випуском оновлень системи безпеки Windows 9 квітня 2024 р. або пізніше.

Цей етап замінено випуском оновлень системи безпеки Windows 9 квітня 2024 р. або пізніше.

На цьому етапі ми просимо перевірити ці зміни у вашому середовищі, щоб переконатися, що зміни правильно працюють із репрезентативним зразком пристроїв і отримати досвід роботи зі змінами.

ПРИМІТКА Замість того, щоб вичерпно перелічити та ненадійні вразливі менеджери завантаження, як це було на попередніх етапах розгортання, ми додаємо сертифікат підпису "Windows Production PCA 2011" до списку безпечного завантаження (DBX), щоб недовірити всім керівникам завантаження, підписаним цим сертифікатом. Це надійніший спосіб забезпечення ненадійності всіх попередніх диспетчерів завантаження.

Оновлення для Windows, випущені 9 квітня 2024 р. або пізніше, додайте такі оновлення:

  • Три нові елементи керування послабленням ризиків, які замінюють засоби послаблення ризиків, випущені у 2023 році. Нові елементи керування послабленням ризиків:

    • Елемент керування для розгортання сертифіката "Windows UEFI CA 2023" до бази даних безпечного завантаження, щоб додати довіру для диспетчерів завантаження Windows, підписаних цим сертифікатом. Зверніть увагу, що сертифікат "Windows UEFI CA 2023", можливо, інстальовано в попередньому оновленні Windows.

    • Елемент керування для розгортання диспетчера завантаження, підписаного сертифікатом "Windows UEFI CA 2023".

    • Елемент керування для додавання "Windows Production PCA 2011" до DBX безпечного завантаження, який блокує всі диспетчери завантаження Windows, підписані цим сертифікатом.

  • Можливість увімкнути розгортання засобу послаблення ризиків поетапно незалежно, щоб забезпечити більший контроль у розгортанні заходів послаблення ризиків у вашому середовищі відповідно до ваших потреб.

  • Засоби послаблення ризиків взаємозв'язані, тому їх не можна розгорнути в неправильному порядку.

  • Додаткові події, які дають змогу знати стан пристроїв під час застосування заходів послаблення ризиків. Докладні відомості про події див. в статті KB5016061: події оновлення змінних DB та DBX безпечного завантаження.

Цей етап полягає в тому, коли ми заохочуємо клієнтів почати розгортати засоби послаблення ризиків і керувати будь-якими оновленнями медіавмісту. Оновлення включають таку зміну:

  • Додано підтримку безпечного номера версії (SVN) і налаштування оновленого SVN у мікропрограмі.

Нижче наведено структуру кроків розгортання на підприємстві.

Нотатка Додаткові інструкції з отримання подальших оновлень цієї статті.

  • Розгорніть перше послаблення ризиків на всіх пристроях у enterprise або керованій групі пристроїв enterprise. Включно з:

    • Приєднання до першого засобу зниження ризику, який додає сертифікат підпису "Windows UEFI CA 2023" до мікропрограми пристрою.

    • Моніторинг того, що пристрої успішно додали сертифікат підпису "Windows UEFI CA 2023".

  • Розгорніть друге послаблення ризиків, яке застосовує оновлений диспетчер завантаження до пристрою.

  • Оновіть будь-який носій для відновлення або зовнішній завантажувальний носій, який використовується з цими пристроями.

  • Розгорніть третє послаблення ризиків, яке дає змогу відкликати сертифікат "Windows Production CA 2011", додавши його до DBX у мікропрограмі.

  • Розгорніть четверте послаблення ризиків, яке оновлює номер захищеної версії (SVN) до мікропрограми.

Етап примусового виконання буде щонайменше через шість місяців після етапу розгортання. Коли оновлення буде випущено для етапу примусового виконання, вони включатимуть такі елементи:

  • Сертифікат "Windows Production PCA 2011" буде автоматично відкликано шляхом додавання до списку заборонених пристроїв із підтримкою безпечного завантаження UEFI (DBX). Ці оновлення буде програмно застосовано після інсталяції оновлень для Windows для всіх уражених систем без можливості вимкнення.

Помилки журналу подій Windows, пов'язані з CVE-2023-24932

Записи журналу подій Windows, пов'язані з оновленням DB і DBX, докладно описано в KB5016061: події оновлення змінних DB для безпечного завантаження та DBX.

Події успіху, пов'язані із застосуванням заходів зниження ризику, перелічено в таблиці нижче.

Крок послаблення ризиків

Ідентифікатор події

Примітки

Застосування оновлення бази даних

1036

Сертифікат PCA2023 додано до бази даних.

Оновлення диспетчера завантаження

1799

Було застосовано диспетчер завантаження PCA2023 з підписом.

Застосування оновлення DBX

1037

Оновлення DBX, яке ненадійне до сертифіката підпису PCA2011 було застосовано.

Запитання й відповіді (запитання й відповіді)

Оновіть усі операційні системи Windows оновленнями, випущеними 9 липня 2024 р. або пізніше, перш ніж застосовувати відкликання. Можливо, не вдається запустити будь-яку версію Windows, яку не оновлено принаймні до оновлень, випущених 9 липня 2024 р. після застосування відкликань. Дотримуйтеся вказівок у розділі Виправлення неполадок завантаження .

Виправлення неполадок із завантаженням

Після застосування всіх трьох заходів зниження ризику мікропрограма пристрою не завантажиться за допомогою диспетчера завантаження, підписаного PCA Windows Production 2011. Помилки завантаження, про які повідомляє мікропрограма, стосуються конкретних пристроїв. Див. розділ Процедура відновлення .

Процедура відновлення

Якщо під час застосування заходів зниження ризику сталася помилка, але не вдалося запустити пристрій або потрібно почати роботу із зовнішнього носія (наприклад, флеш-накопичувача або завантаження PXE), спробуйте виконати наведені нижче дії.

  1. Вимкніть безпечне завантаження.Ця процедура відрізняється між виробниками пристроїв і моделями. Введіть у меню UEFI BIOS свої пристрої та перейдіть до настройок безпечного завантаження та вимкніть його. Перегляньте документацію від виробника пристрою, щоб дізнатися про особливості цього процесу. Докладні відомості див. в статті Вимкнення безпечного завантаження.

  2. Скидання ключів безпечного завантаження до заводських значень за замовчуванням.

    Якщо пристрій підтримує скидання ключів безпечного завантаження до заводських настройок, виконайте цю дію зараз.

    ПРИМІТКА Деякі виробники пристроїв мають параметр "Очистити" та "Скинути" для змінних безпечного завантаження, у цьому випадку слід використовувати "Скинути". Мета полягає в тому, щоб повернути змінні безпечного завантаження до стандартних значень виробників.

    Пристрій має запуститися зараз, але зверніть увагу, що він вразливий до шкідливого програмного забезпечення для завантаження. Обов'язково виконайте крок 5 цього процесу відновлення, щоб повторно ввімкнути безпечне завантаження.

  3. Спробуйте запустити Windows із системного диска.

    1. Увійдіть у Windows.

    2. Виконайте наведені нижче команди з командного рядка адміністратора, щоб відновити завантажувальні файли в розділі завантаження системи EFI. Введіть кожну команду окремо, а потім натисніть клавішу Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Виконання BCDBoot повертає фразу "Boot files successfully created" (Успішно створено файли завантаження). Коли це повідомлення з'явиться, перезавантажте пристрій знову у Windows.

  4. Якщо крок 3 не відновлює пристрій, повторно інсталюйте Windows.

    1. Запустіть пристрій із наявного носія для відновлення.

    2. Приступайте до інсталяції Windows за допомогою носія для відновлення.

    3. Увійдіть у Windows.

    4. Перезавантажте Windows, щоб переконатися, що пристрій знову запускається у Windows.

  5. Знову ввімкніть безпечне завантаження та перезавантажте пристрій.Введіть меню UEFI пристрою, перейдіть до настройок безпечного завантаження та ввімкніть його. Перегляньте документацію від виробника пристрою, щоб дізнатися про особливості цього процесу. Докладні відомості див. в розділі "Повторне ввімкнення безпечного завантаження".

Посилання

Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.

Дата змінення

Опис зміни

9 липня 2024 р.

  • Оновлено "Крок 2. Обчислення змін", щоб видалити дату 9 липня 2024 р.

  • Оновлено всі екземпляри дати від 9 квітня 2024 року до 9 липня 2024 року, за винятком розділу "Хронометраж оновлень".

  • Оновлено розділ "завантажувальний носій" і замінено вміст на "Інструкції з оновлення завантажувального носія надходять із майбутніми оновленнями".

  • Оновлено "9 липня 2024 р. або пізніше – починається етап розгортання" в розділі "Хронометраж оновлень".

  • Додано крок 4 "Застосувати оновлення SVN до мікропрограми" в розділі "Рекомендації з послаблення ризиків розгортання".

9 квітня 2024 р.

  • Загальні зміни в процедурах, інформації, рекомендаціях і датах. Зверніть увагу, що деякі попередні зміни видалено в результаті масштабних змін, внесених у цю дату.

16 грудня 2023 р.

  • Змінено дати випуску третього розгортання та застосування в розділі "Хронометраж оновлень".

15 травня 2023 р.

  • Видалено непідтримувану ОС Windows 10 версії 21H1 з розділу "Стосується".

11 травня 2023 р.

  • Додано застереження до кроку 1 у розділі "Рекомендації щодо розгортання" про оновлення до Windows 11 версії 21H2 або 22H2 або деяких версій Windows 10.

10 травня 2023 р.

  • Уточнив, що завантажуваний носій Windows, оновлений останніми сукупними оновленнями, незабаром буде доступний.

  • Виправлено орфографію слова "Заборонено".

9 травня 2023 р.

  • Додано додаткові підтримувані версії до розділу "Стосується".

  • Оновлено крок 1 розділу "Вжити заходів".

  • Оновлено крок 1 розділу "Рекомендації щодо розгортання".

  • Виправлено команди на кроці 3a розділу "Рекомендації з усунення помилки".

  • Виправлено розміщення зображень Hyper-V UEFI в розділі "Виправлення неполадок завантаження".

27 червня 2023 р.

  • Видалено нотатку про оновлення Windows 10 до пізнішої версії Windows 10, у якій використовується пакет активації в розділі "Рекомендації щодо розгортання" кроку 1:Install.

11 липня 2023 р.

  • Оновлено екземпляри дати "9 травня 2023 р." на "11 липня 2023 р.", "9 травня 2023 р. та 11 липня 2023 р." або на "9 травня 2023 р. або пізнішої версії".

  • У розділі "Рекомендації з розгортання" ми зауважимо, що всі динамічні оновлення SafeOS тепер доступні для оновлення розділів WinRE. Крім того, було видалено поле CAUTION, оскільки цю проблему вирішено після випуску динамічних оновлень SafeOS.

  • У розділі "3. ЗАСТОСУЙТЕ розділ відкликань", інструкції було переглянуто.

  • У розділі "Помилки журналу подій Windows" додається ідентифікатор події 276.

25 серпня 2023 р.

  • Оновлено різні розділи для формулювання та додано відомості про випуск від 11 липня 2023 року та майбутні версії 2024 року.

  • Перевпорядкування деякого вмісту з розділу "Уникнення проблем із завантажувальним мультимедіа" до розділу "Оновлення завантажувального носія".

  • Оновлено розділ "Хронометраж оновлень" з переглянутими датами розгортання та відомостями.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.