Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

重要  您應套用 2024 年 7 月 9 日或之後發佈的 Windows 安全性更新,作為每月定期更新流程的一部分。

本文適用於應開始評估 BlackLotus UEFI Bootkit 利用的公開揭露安全開機旁路風險降低措施的組織。 此外,您可能會想要採取主動的安全性立場,或開始準備推出。 請注意,此惡意程式碼需要實體或系統管理存取裝置。

警告 在裝置上啟用此問題的風險降低措施後,表示已套用風險降低措施,如果您繼續在該裝置上使用安全開機,就無法還原。 即使已套用重新格式化磁碟,也不會移除撤銷。 在將本文所述的撤銷套用至您的裝置之前,請注意所有可能的影響並徹底測試。

本文內容

摘要

本文說明使用 CVE-2023-24932 追蹤的 BlackLotus UEFI Bootkit 避免公開揭露安全開機安全性功能、如何啟用風險降低措施,和可開機媒體的指導方針。 Bootkit 是惡意程式,旨在裝置開機順序中儘早載入,以控制作業系統啟動。

安全開機為 Microsoft 建議使用,透過 Windows 核心的信任式開機順序,從整合可延伸韌體介面 (UEFI) 建立安全且受信任的路徑。 安全開機有助於防止開機順序出現 Bootkit 惡意程式碼。 停用安全開機會讓裝置面臨感染 Bootkit 惡意程式碼的風險。 修正 CVE-2023-24932 中所述的安全開機旁路需要撤銷開機管理程式。 這可能會導致某些裝置的開機設定發生問題。

CVE-2023-24932 中詳細說明的針對安全開機旁路的風險降低包含在 2024 年 7 月 9 日或之後發佈的 Windows 安全性更新中。 不過,預設不會啟用這些風險降低措施。 透過這些更新,我們建議您開始在您的環境內評估這些變更。 完整的排程請參閱 更新時間 章節。

啟用這些風險降低措施之前,您應徹底檢閱本文中的詳細資料,並判斷您是否必須啟用風險降低措施,或等待 Microsoft 未來的更新。 如果您選擇啟用風險降低措施,您必須確認您的裝置已更新並準備就緒,並了解本文所述的風險。 

採取行動 

針對此版本,應遵循下列步驟:

步驟 1: 安裝 2024 年 7 月 9 日或之後發佈的 Windows 安全性更新於所有支援版本。

步驟 2:評估變更及其如何影響您的環境。

步驟 3:強制執行變更。

影響範圍

啟用安全開機保護的所有 Windows 裝置都會受到 BlackLotus Bootkit 影響。 風險降低措施適用於支援的 Windows 版本。 如需完整清單,請參閱 CVE-2023-24932

了解風險

惡意程式碼風險: 若要讓本文所述的 BlackLotus UEFI Bootkit 惡意探索可能發生,攻擊者必須取得裝置的系統管理權限,或取得裝置的實體存取權。 這可以透過實際或遠端存取裝置來完成,例如使用 hypervisor 來存取 VM/雲端。 攻擊者通常會使用這個弱點來繼續控制他們已能存取且可能操縱的裝置。 本文中所描述的風險降低措施為防範性而非修正性。 如果您的裝置已遭到入侵,請連絡您的安全性提供者以取得協助。

復原媒體: 如果您在套用風險降低措施後遇到裝置問題,且裝置無法啟動,您可能無法從現有的媒體啟動或復原您的裝置。 復原或安裝媒體需要更新,才能與已套用風險降低措施的裝置搭配使用。

韌體問題: 當 Windows 套用本文所述的風險降低措施時,必須仰賴裝置的 UEFI 韌體來更新安全開機值 (更新套用至資料庫密鑰 (DB) 和禁止簽章金鑰 (DBX))。 在某些情況下,某些裝置無法更新。 我們正與裝置製造商合作,儘可能在許多裝置上測試這些重要更新。

注意事項 請先在環境中每個裝置類別的單一裝置上測試這些風險降低措施,以偵測可能的韌體問題。 在確認您環境中的所有裝置類別都經過評估之前,請勿廣泛部署。

BitLocker 修復: 某些裝置可能會進入 BitLocker 修復。 啟用風險降低措施之前,請務必保留 BitLocker 修復金鑰 的複本。

已知問題

韌體問題:並非所有裝置韌體都會成功更新安全開機 DB 或 DBX。 在已知的情況下,我們已將問題回報給裝置製造商。 如需記錄事件的詳細資料,請參閱 KB5016061:安全開機 DB 和 DBX 變數更新事件。 請連絡裝置製造商以取得韌體更新。 如果裝置不在支援中,Microsoft 建議升級裝置。

已知的韌體問題:

注意事項 下列已知問題沒有造成影響,也不會阻止安裝 2024 年 7 月 9 日的更新。 在大多數的情況下,如果已知問題存在,則不會套用風險降低措施。 查看每個已知問題中叫用的詳細資料。

  • HP: HP 發現 HP Z4G4 工作站電腦上安裝的風險降低措施有問題,並將會在接下來的幾週 (BIOS) 發行更新的 Z4G4 UEFI 韌體。 為了確認成功安裝風險降低措施,在更新推出之前,桌面工作站會將其封鎖。 客戶應一律先更新至最新的系統 BIOS,再套用風險降低措施。

  • 具有確定 [開始安全性] 的 HP 裝置: 這些裝置需要 HP 的最新韌體更新,才能安裝風險降低措施。 在韌體更新之前,風險降低措施會遭到封鎖。 從 HP 支援頁面安裝最新的韌體更新 - 官方 HP 驅動程式和軟體下載 |HP 支援。

  • Arm64 型裝置: 由於 Qualcomm 型裝置的已知 UEFI 韌體問題,這些風險降低措施遭到封鎖。 Microsoft 正與 Qualcomm 合作解決此問題。 Qualcomm 會提供修正程式給裝置製造商。 請連絡您的裝置製造商,判斷是否有可用於此問題的修正程式。 Microsoft 將會新增偵測功能,以便在偵測到固定韌體時,將風險降低措施套用到裝置上。 如果您的 Arm64 型裝置沒有 Qualcomm 韌體,請設定下列登錄機碼以啟用風險降低措施。

    登錄子機碼

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    索引鍵值名稱

    SkipDeviceCheck

    資料類型

    REG_DWORD

    資料

    1

  • 蘋果:擁有 Apple T2 安全性晶片支援安全開機的 Mac 電腦。 不過,更新 UEFI 安全性相關變數只能在 macOS 更新時使用。 開機營用戶預期會看到與這些變數相關的 Windows 事件識別碼 1795 事件記錄項目。 如需此記錄項目的詳細資訊,請參閱 KB5016061:安全開機 DB 和 DBX 變數更新事件

  • VMware:在 VMware 型虛擬化環境中,使用已啟用安全開機之 x86 型處理器的 VM,套用風險降低措施之後將無法開機。 Microsoft 正與 VMware 協調以解決此問題。

  • TPM 2.0 型系統:  由於已知的 TPM 測量相容性問題,這些執行 Windows Server 2012 和 Windows Server 2012 R2 的系統無法部署 2024 年 7 月 9 日安全性更新中發佈的風險降低措施。 2024 年 7 月 9 日安全性更新將會封鎖風險降低措施 #2 (開機管理程式) 以及受影響系統上的風險降低措施 #3 (DBX 更新)。 Microsoft 已經發現這個問題,未來將會發行更新來解除封鎖 TPM 2.0 型系統。 若要檢查您的 TPM 版本,請以滑鼠右鍵按一下 [開始],按一下 [執行],然後輸入 [tpm.msc]。 在 TPM 製造商資訊 下方的中央窗格右下角,您應該會看到 規格版本 的值。

  • Symantec Endpoint Encryption: 安全開機風險降低措施無法套用至已安裝 Symantec Endpoint Encryption 的系統。 Microsoft 和 Symantec 已經發現這個問題,將會在未來的更新中解決。

此版本的指導方針

針對此版本,請遵循下列兩個步驟。

步驟 1: 安裝 Windows 安全性更新 在支援的 Windows 裝置上安裝 2024 年 7 月 9 日或之後發行的 Windows 每月安全性更新。 這些更新包括 CVE-2023-24932 的風險降低措施,但預設不會啟用。 無論您是否打算部署風險降低措施,所有 Windows 裝置都應該完成此步驟。

步驟 2:評估變更 我們鼓勵您執行下列動作:

  • 了解前兩種允許更新安全開機 DB 和更新開機管理程式的風險降低措施。

  • 檢閱更新的排程。

  • 開始針對來自您環境的代表性裝置測試前兩種風險降低措施。

  • 開始規劃部署。

步驟 3:強制執行變更

我們鼓勵您了解 認識風險 章節中所述 的風險。

  • 了解復原和其他可開機媒體的影響。

  • 開始測試第三個不信任所有舊版 Windows 開機管理程式所用之簽署憑證的風險降低措施。

風險降低措施部署指導方針

在執行下列步驟以套用風險降低措施之前,請先在支援的 Windows 裝置上安裝 2024 年 7 月 9 日或之後發行的 Windows 每月維護更新。 此更新包括 CVE-2023-24932 的風險降低措施,但預設不會啟用。 無論您是否計劃啟用風險降低措施,所有 Windows 裝置都應該完成此步驟。

注意事項 如果您使用 BitLocker,請確定您的 BitLocker 修復金鑰已備份。 您可以從系統管理員命令提示字元執行下列命令,並記下 48 位數的數字密碼:

manage-bde -protectors -get %systemdrive%

若要部署更新並套用撤銷,請遵循下列步驟:

  1. 將更新的憑證定義安裝到資料庫。

    此步驟會將「Windows UEFI CA 2023」憑證新增至 UEFI「安全開機簽章資料庫」(DB)。 透過將此憑證新增至資料庫,裝置韌體將會信任由此憑證簽署的開機應用程式。

    1. 開啟系統管理員命令提示字元,並設定登錄機碼對資料庫執行更新,請輸入下列命令:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      重要  請務必重新開機裝置兩次以完成更新安裝,然後再繼續進行步驟 2 和步驟 3。

    2. 以系統管理員身分執行下列 PowerShell 命令,並確認資料庫已成功更新。 此命令應該會傳回 True

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. 更新您裝置上的開機管理程式。

    此步驟會在您的裝置上安裝使用 「Windows UEFI CA 2023」憑證簽署的開機管理程式應用程式。

    1. 開啟系統管理員命令提示字元,並設定註冊機碼以安裝「Windows UEFI CA 2023」簽署的開機管理程式:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. 重新啟動裝置 兩次

    3. 以系統管理員身分,掛接 EFI 磁碟分割以準備進行檢查:

      mountvol s: /s

    4. 驗證「s:\efi\microsoft\boot\boot\bootmgfw.efi」檔案已由「Windows UEFI CA 2023」憑證簽署。 若要這樣做,請依照下列步驟操作:

      1. 按一下 [開始],在 [搜尋] 方塊中輸入 [命令提示],然後點擊 [命令提示]

      2. 「命令提示」視窗中輸入下列命令,並按 Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. 在 [檔案管理員] 中,以滑鼠右鍵按一下檔案 C:\bootmgfw_2023.efi,按一下 [屬性],然後選取 [數位簽名] 索引標籤。

      4. [簽名] 清單中,確認憑證鏈結包含 Windows UEFI 2023 CA。 憑證鏈結應符合下列螢幕快照: 憑證

  3. 啟用撤銷。

    UEFI 禁止清單 (DBX) 是用來禁止未受信任的 UEFI 模組載入。 在此步驟中,更新 DBX 會將「Windows Production CA 2011」憑證新增至 DBX。 這會導致所有由此憑證簽署的開機管理程式不再受到信任。

    警告:套用第三種風險降低措施之前,請先建立可用來啟動系統的修復 USB 快閃磁碟機。 如需有關如何進行的詳細資訊,請參閱 更新 Windows 安裝媒體 章節。

    如果您的系統進入無法開機狀態,請遵循 復原程序 章節中的步驟,將裝置重設為撤銷前狀態。

    1. 將「Windows Production PCA 2011」憑證新增至安全開機 UEFI 禁止清單 (DBX)。 若要這麼做,請以系統管理員身分開啟命令提示字元視窗,輸入下列命令,然後按 Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. 將裝置重新啟動 兩次,並確認裝置已完全重新啟動。

    3. 在事件記錄檔中尋找事件 1037,以確認已成功套用安裝和撤銷清單。 如需事件 1037 的相關資訊,請參閱 KB5016061:安全開機資料庫和 DBX 變數更新事件。 或者,請以系統管理員身分執行下列 PowerShell 命令,並確定命令傳回 True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. 將 SVN 更新套用至韌體。 在步驟 2 中部署的開機管理程式內建了新的自我撤銷功能。 開機管理程式啟動執行時,會比較儲存在韌體中的安全版本號碼 (SVN) 與開機管理程式內建的 SVN,以執行自我檢查。 如果開機管理程式 SVN 低於韌體中儲存的 SVN,則開機管理程式將會拒絕執行。 此功能可防止攻擊者將開機管理程式恢復為較舊的非更新版本。 在未來的更新中,當開機管理程式中修正重大安全性問題時,開機管理程式和韌體更新都會增加 SVN 號碼。 這兩個更新都會在相同累積更新中發行,以確保修補的裝置受到保護。 每次更新 SVN 時,任何可開機媒體都需要更新。 ​​​​​​​ 從 2024 年 7 月 9 日開始更新,SVN 會在開機管理程式中遞增,並更新為韌體。 韌體更新為選擇性,可依照下列步驟套用:

    1. 開啟系統管理員命令提示,並執行下列命令以安裝「Windows UEFI CA 2023」簽署的開機管理程式:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

    2. 重新啟動裝置 兩次

可開機媒體

一旦部署階段在您的環境中開始,更新可開機媒體非常重要。

更新可開機媒體的指導方針會隨著本文未來的更新而提供。 請參閱下一節以建立可復原裝置的 USB 隨身碟。

更新 Windows 安裝媒體

注意事項 建立可開機 USB 隨身碟時,請務必使用 FAT32 檔案系統設定磁碟機的格式。

您可以依照下列步驟使用 [建立修復磁碟機] 應用程式。 此媒體可用來重新安裝裝置,以防發生硬體失敗等重大問題,您可以使用修復磁碟機來重新安裝 Windows。

  1. 移至已套用 2024 年 7 月 9 日的更新和第一個風險降低步驟 (更新安全開機資料庫) 的裝置。

  2. [開始] 功能表中,搜尋「建立修復磁碟機」控制面板,然後依照指示建立修復磁碟機。

  3. 使用新建立的快閃磁碟機安裝 (例如,磁碟機「D:」) 時,以系統管理員身分執行下列命令。 輸入下列每個命令,然後按 Enter

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

如果您使用以動態更新更新 Windows 安裝媒體指導方針,在您的環境中管理可安裝的媒體,請依照下列步驟進行。 這些額外步驟會建立可開機的 USB 快閃磁碟機,其使用由「Windows UEFI CA 2023」簽署憑證簽署的開機檔案。

  1. 移至已套用 2024 年 7 月 9 日更新和第一個風險降低步驟 (更新安全開機資料庫) 的裝置。

  2. 請遵循下列連結中的步驟,以使用 2024 年 7 月 9 日的更新來建立媒體。 使用動態更新更新 Windows 安裝媒體https://learn.microsoft.com/windows/deployment/update/media-dynamic-update

  3. 將媒體的內容放在 USB 隨身碟上,然後將隨身碟掛接磁碟機代號。 例如,將隨身碟掛接為「D:」。

  4. 以系統管理員身分從命令窗口執行下列命令。 輸入下列每個命令,然後按 Enter。

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

如果裝置在套用風險降低措施之後,已將安全開機設定重設為預設值,則裝置不會開機。 若要解決此問題,修復應用程式隨附於 2024 年 7 月 9 日的更新中,可用來將「Windows UEFI CA 2023」憑證重新套用至資料庫 (風險降低 #1)。

注意事項 請勿在 已知問題 一節中所述的裝置或系統上使用此修復應用程式。

  1. 移至已套用 2024 年 7 月 9 日更新的裝置。

  2. 在命令視窗中,使用下列命令將修復應用程式複製到快閃磁碟機 (假設快閃磁碟機是「D:磁碟機」)。 個別輸入每個命令,然後按 Enter

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. 在已將安全開機設定重設為預設值的裝置上,插入 USB 快閃磁碟機、重新啟動裝置並從快閃磁碟機開機。

更新時間

更新以下列方式發行:

  • 初始部署 此階段從 2023 年 5 月 9 日發行的更新開始,並提供基本緩和措施,以及啟用這些緩和措施的手動步驟。

  • 第二階段部署 此階段開始于 2023 年 7 月 11 日發行的更新,其中新增了簡化的步驟,以為此問題啟用緩和措施。

  • 評估階段 此階段於 2024 年 4 月 9 日開始,並將新增其他開機管理程式風險降低措施。

  • 部署階段 此時我們會鼓勵所有客戶開始部署風險降低措施及更新媒體。

  • 強制階段 強制階段會讓風險降低措施永久化。 此階段的日期將於稍後宣佈。

注意 可能會視需要修訂發行排程。

此階段已由 2024 年 4 月 9 日或之後的 Windows 安全性更新發行取代。

此階段已由 2024 年 4 月 9 日或之後的 Windows 安全性更新發行取代。

在此階段中,我們要求您在您的環境中測試這些變更,以確保變更能與代表性範例裝置正確運作,並取得變更的體驗。

注意事項 我們正將「Windows 生產 PCA 2011」簽署憑證新增至安全開機不允許清單 (DBX) ,以解除信任此憑證所簽署的所有開機管理程式,而不是像之前的部署階段一樣,嘗試完整列出且不信任易受攻擊的開機管理程式。 這是一個更可靠的方法,可確保所有先前的開機管理程式不受信任。

在 2024 年 4 月 9 日或之後發行的 Windows 更新將新增下列項目:

  • 取代 2023 年發佈的三種新風險降低控制措施。 新的風險降低控制措施包括:

    • 將「Windows UEFI CA 2023」憑證部署到安全開機資料庫的控制項,以新增信任由此憑證簽署的 Windows 開機管理程式。 請注意,「Windows UEFI CA 2023」憑證可能是先前的 Windows Update 所安裝。

    • 部署由「Windows UEFI CA 2023」憑證簽署的開機管理程式的控制。

    • 將「Windows 生產 PCA 2011」新增至安全開機 DBX 的控制項,該控制項會封鎖所有由此憑證簽署的 Windows 開機管理程式。

  • 能分階段啟用風險降低措施,以根據您的需求進一步控制在您的環境中部署風險降低措施。

  • 風險降低措施會相互關聯,因此無法以不正確的順序部署。

  • 其他事件,以便在裝置套用風險降低措施時了解其狀態。 如需事件的詳細資料,請參閱 KB5016061:安全開機資料庫和 DBX 變數更新事件

在此階段我們會鼓勵客戶開始部署風險降低措施及管理任何媒體更新。 更新會包含下列變更:

  • 已新增安全版本號碼 (SVN) 支援,並在韌體中設定更新的 SVN。

以下是在企業版中部署的步驟大綱。

注意 本文後續更新的其他指導方針。

  • 在企業版或企業版中受管理的裝置群組中,將第一個緩和措施部署到所有裝置。 其中包含:

    • 選擇加入第一個將「Windows UEFI CA 2023」簽署憑證新增至裝置韌體的緩和措施。

    • 監控裝置已成功新增「Windows UEFI CA 2023」簽署憑證。

  • 部署第二個緩和措施,以將更新的開機管理程式套用至裝置。

  • 更新與這些裝置搭配使用的任何修復或外部可開機媒體。

  • 部署第三個緩和措施,藉由將「Windows Production CA 2011」憑證新增至韌體中的 DBX,以啟用「Windows Production CA 2011」憑證之撤銷。

  • 部署第四個緩和措施,將安全版本號碼 (SVN) 更新至韌體。

「強制階段」至少會在部署階段之後六個月。 發行強制階段的更新時,會包括下列項目:

  • 「Windows 生產 PCA 2011」憑證會被新增至支援裝置上安全開機 UEFI 禁止清單 (DBX),而自動撤銷。 在將 Windows 的更新安裝到所有受影響的系統後,將會以程式設計方式強制執行這些更新,而不需要停用任何選項。

與 CVE-2023-24932 相關的 Windows 事件記錄檔錯誤

更新資料庫和 DBX 的相關 Windows 事件記錄項目描述於 KB5016061:安全開機資料庫和 DBX 變數更新事件

下表列出與套用風險降低措施相關的「成功」事件。

風險降低步驟

事件識別碼

注意事項

套用資料庫更新

1036

PCA2023 憑證已新增至資料庫。

更新開機管理程式

1799

已套用 PCA2023 簽署的開機管理程式。

套用 DBX 更新

1037

已套用不信任 PCA2011 簽署憑證的 DBX 更新。

常見問題集 (FAQ)

使用 2024 年 7 月 9 日或之後發行的更新更新所有 Windows 作業系統,然後再套用撤銷。 在套用撤銷之後,您可能無法啟動尚未更新至至少 2024 年 7 月 9 日發行之更新的任何 Windows 版本。 請依照 疑難排解開機問題 章節中的指引進行。

請參閱 疑難排解開機問題 章節。

疑難排解開機問題

套用這三種風險降低措施之後,裝置韌體就不會使用由 Windows Production PCA 2011 簽署的開機管理程式開機。 韌體回報的開機失敗是針對特定裝置。 請參閱 復原程序 章節。

復原程序

如果在套用風險降低措施時發生問題,而您無法啟動裝置或您需要從外部媒體 (例如隨身碟或 PXE 開機) 啟動,請嘗試下列建議:

  1. 關閉安全開機。 此程序在裝置製造商和型號之間是不同的。 輸入您的裝置 UEFI BIOS 功能表,然後瀏覽至 [安全開機] 設定並將其關閉。 請查看裝置製造商提供的文件,了解此流程的特定資訊。 您可以在 停用安全開機 中找到更多詳細資料。

  2. 將安全開機金鑰重設為原廠預設值。

    如果裝置支援將安全開機金鑰重設為原廠預設值,請立即執行此動作。

    注意事項 有些裝置製造商同時有安全開機變數的「清除」和「重設」選項,在這種情況下,應該使用「重設」。 目標是要讓安全開機變數回到製造商的預設值。

    您的裝置應該會立即啟動,但請注意,它很容易受到開機套件惡意程式碼的攻擊。 請務必在此復原程序結束時完成步驟 5,以重新啟用安全開機。

  3. 嘗試從系統磁片啟動 Windows。

    1. 登入 Windows。

    2. 從系統管理員命令提示執行下列命令,以還原 EFI 系統開機磁碟分割中的開機檔案。 個別輸入每個命令,然後按 Enter

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. 執行 BCDBoot 會傳回「已成功建立開機檔案」。 顯示此訊息之後,將裝置重新啟動回 Windows。

  4. 如果步驟 3 無法成功復原裝置,請重新安裝 Windows。

    1. 從現有的復原媒體啟動裝置。

    2. 透過使用復原媒體繼續安裝 Windows。

    3. 登入 Windows。

    4. 重新啟動 Windows 以確認裝置是否重新啟動至 Windows。

  5. 重新啟用安全開機並重新啟動裝置。 輸入裝置 UEFI 功能表,然後瀏覽至安全開機設定並將它開啟。 請查看裝置製造商提供的文件,了解此流程的特定資訊。 如需詳細資訊,請參閱「重新啟用安全開機」章節。

參考

本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。

我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。

變更日期

變更描述

2024 年 7 月 9 日

  • 已更新「步驟 2:評估變更」以移除 2024 年 7 月 9 日的日期。

  • 已將 2024 年 4 月 9 日的日期的所有項目更新為 2024 年 7 月 9 日,但「更新時間」一節除外。

  • 已更新「可開機媒體」一節,並以「更新可開機媒體的指導方針即將伴隨未來更新推出」取代內容。

  • 已更新「更新時間」一節中的「2024 年 7 月 9 日或更新版本 – 部署階段開始」。

  • 已在「緩和措施部署指導方針」一節中新增步驟 4「將 SVN 更新套用至韌體」。

2024 年 4 月 9 日

  • 程序、資訊、指導方針和日期的大量變更。 請注意,由於此日期做了大量變更,已移除先前的一些變更。

2023 年 12 月 16 日

  • 修訂了「更新時間」章節中第三個部署和強制的發行日期。

2023 年 5 月 15 日

  • 已從「適用項目」章節移除不支援的作業系統 Windows 10 版本 21H1。

2023 年 5 月 11 日

  • 在「部署指導方針」一節的步驟 1 中,新增升級至 Windows 11 版本 21H2 或 22H2 或某些 Windows 10 版本的警告注意事項。

2023 年 5 月 10 日

  • 已澄清使用最新累積更新的可下載 Windows 媒體即將推出。

  • 已修正 [禁止] 一詞的拼字。

2023 年 5 月 9 日

  • 已將其他支援的版本新增至「適用對象」章節。

  • 已更新「採取行動」章節的步驟 1。

  • 已更新「部署指導方針」章節的步驟 1。

  • 已修正「部署指導方針」章節的步驟 3a 中的命令。

  • 已修正「疑難排解開機問題」章節中 Hyper-V UEFI 影像的位置。

2023 年 6 月 27 日

  • 已移除有關從 Windows 10 更新至較新版本 Windows 10 的注意事項,該版本在「部署指導方針」一節的「步驟 1: 安裝」下使用啟用套件。

2023 年 7 月 11 日

  • 將「2023 年 5 月 9 日」的執行個體更新為「2023 年 7 月 11 日」、「2023 年 5 月 9 日」和「2023 年 7 月 11 日」或「2023 年 5 月 9 日或之後日期」。

  • 在「部署指導方針」章節中,我們注意到所有 SafeOS 動態更新現在都可供更新 WinRE 磁碟分割。 此外,已移除 [警告] 方塊,因為此問題是由 SafeOS 動態更新的發行所解決。

  • 在 「3. 套用撤銷」一節,已修訂指示。

  • 在「Windows 事件記錄錯誤」章節中,已新增事件識別碼 276。

2023 年 8 月 25 日

  • 更新了各節的字詞,並新增了 2023 年 7 月 11 日發行與未來的 2024 版資訊。

  • 從 [避免可開機媒體的問題] 一節重新排列某些內容到 [更新可開機媒體] 一節。

  • 已更新「更新時間」一節,其中包含修訂的部署日期和資訊。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。