重要 您應套用 2024 年 4 月 9 日或之後發佈的 Windows 安全性更新,作為每月定期更新流程的一部分。
本文適用於應開始評估 BlackLotus UEFI Bootkit 利用的公開揭露安全開機旁路風險降低措施的組織。 此外,您可能會想要採取主動的安全性立場,或開始準備推出。 請注意,此惡意程式碼需要實體或系統管理存取裝置。
警告 在裝置上啟用此問題的風險降低措施後,表示已套用風險降低措施,如果您繼續在該裝置上使用安全開機,就無法還原。 即使已套用重新格式化磁碟,也不會移除撤銷。 在將本文所述的撤銷套用至您的裝置之前,請注意所有可能的影響並徹底測試。
本文內容
摘要
本文說明使用 CVE-2023-24932 追蹤的 BlackLotus UEFI Bootkit 避免公開揭露安全開機安全性功能、如何啟用風險降低措施,和可開機媒體的指導方針。 Bootkit 是惡意程式,旨在裝置開機順序中儘早載入,以控制作業系統啟動。
安全開機為 Microsoft 建議使用,透過 Windows 核心的信任式開機順序,從整合可延伸韌體介面 (UEFI) 建立安全且受信任的路徑。 安全開機有助於防止開機順序出現 Bootkit 惡意程式碼。 停用安全開機會讓裝置面臨感染 Bootkit 惡意程式碼的風險。 修正 CVE-2023-24932 中所述的安全開機旁路需要撤銷開機管理程式。 這可能會導致某些裝置的開機設定發生問題。
CVE-2023-24932 中詳細說明的針對安全開機旁路的風險降低包含在 2024 年 4 月 9 日或之後發佈的 Windows 安全性更新中。 不過,預設不會啟用這些風險降低措施。 透過這些更新,我們建議您開始在您的環境內評估這些變更。 完整的排程請參閱 更新時間 章節。
啟用這些風險降低措施之前,您應徹底檢閱本文中的詳細資料,並判斷您是否必須啟用風險降低措施,或等待 Microsoft 未來的更新。 如果您選擇啟用風險降低措施,您必須確認您的裝置已更新並準備就緒,並了解本文所述的風險。
採取行動
|
針對此版本,應遵循下列步驟: 步驟 1:安裝 2024 年 4 月 9 日或之後發佈的 Windows 安全性更新於所有支援版本。 步驟 2:評估變更及其如何影響您的環境。 步驟 3:強制執行變更。 |
影響範圍
啟用安全開機保護的所有 Windows 裝置都會受到 BlackLotus Bootkit 影響。 風險降低措施適用於支援的 Windows 版本。 如需完整清單,請參閱 CVE-2023-24932。
了解風險
惡意程式碼風險: 若要讓本文所述的 BlackLotus UEFI Bootkit 惡意探索可能發生,攻擊者必須取得裝置的系統管理權限,或取得裝置的實體存取權。 這可以透過實際或遠端存取裝置來完成,例如使用 hypervisor 來存取 VM/雲端。 攻擊者通常會使用這個弱點來繼續控制他們已能存取且可能操縱的裝置。 本文中所描述的風險降低措施為防範性而非修正性。 如果您的裝置已遭到入侵,請連絡您的安全性提供者以取得協助。
復原媒體: 如果您在套用風險降低措施後遇到裝置問題,且裝置無法啟動,您可能無法從現有的媒體啟動或復原您的裝置。 復原或安裝媒體需要更新,才能與已套用風險降低措施的裝置搭配使用。
韌體問題: 當 Windows 套用本文所述的風險降低措施時,必須仰賴裝置的 UEFI 韌體來更新安全開機值 (更新套用至資料庫密鑰 (DB) 和禁止簽章金鑰 (DBX))。 在某些情況下,某些裝置無法更新。 我們正與裝置製造商合作,儘可能在許多裝置上測試這些重要更新。
注意事項 請先在環境中每個裝置類別的單一裝置上測試這些風險降低措施,以偵測可能的韌體問題。 在確認您環境中的所有裝置類別都經過評估之前,請勿廣泛部署。
BitLocker 修復: 某些裝置可能會進入 BitLocker 修復。 啟用風險降低措施之前,請務必保留 BitLocker 修復金鑰 的複本。
已知問題
韌體問題:並非所有裝置韌體都會成功更新安全開機 DB 或 DBX。 在已知的情況下,我們已將問題回報給裝置製造商。 如需記錄事件的詳細資料,請參閱 KB5016061:安全開機 DB 和 DBX 變數更新事件。 請連絡裝置製造商以取得韌體更新。 如果裝置不在支援中,Microsoft 建議升級裝置。
已知的韌體問題:
注意事項 下列已知問題沒有造成影響,也不會阻止安裝 2024 年 4 月 9 日的更新。 在大多數的情況下,如果已知問題存在,則不會套用風險降低措施。 查看每個已知問題中叫用的詳細資料。
-
HP: HP 發現 HP Z4G4 工作站電腦上安裝的風險降低措施有問題,並將會在接下來的幾週 (BIOS) 發行更新的 Z4G4 UEFI 韌體。 為了確認成功安裝風險降低措施,在更新推出之前,桌面工作站會將其封鎖。 客戶應一律先更新至最新的系統 BIOS,再套用風險降低措施。
-
具有確定 [開始安全性] 的 HP 裝置: 這些裝置需要 HP 的最新韌體更新,才能安裝風險降低措施。 在韌體更新之前,風險降低措施會遭到封鎖。 從 HP 支援頁面安裝最新的韌體更新 - 官方 HP 驅動程式和軟體下載 |HP 支援。
-
Arm64 型裝置: 由於 Qualcomm 型裝置的已知 UEFI 韌體問題,這些風險降低措施遭到封鎖。 Microsoft 正與 Qualcomm 合作解決此問題。 Qualcomm 會提供修正程式給裝置製造商。 請連絡您的裝置製造商,判斷是否有可用於此問題的修正程式。 Microsoft 將會新增偵測功能,以便在偵測到固定韌體時,將風險降低措施套用到裝置上。 如果您的 Arm64 型裝置沒有 Qualcomm 韌體,請設定下列登錄機碼以啟用風險降低措施。
登錄子機碼
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
索引鍵值名稱
SkipDeviceCheck
資料類型
REG_DWORD
資料
1
-
蘋果:擁有 Apple T2 安全性晶片支援安全開機的 Mac 電腦。 不過,更新 UEFI 安全性相關變數只能在 macOS 更新時使用。 開機營用戶預期會看到與這些變數相關的 Windows 事件識別碼 1795 事件記錄項目。 如需此記錄項目的詳細資訊,請參閱 KB5016061:安全開機 DB 和 DBX 變數更新事件。
-
VMware:在 VMware 型虛擬化環境中,使用已啟用安全開機之 x86 型處理器的 VM,套用風險降低措施之後將無法開機。 Microsoft 正與 VMware 協調以解決此問題。
-
TPM 2.0 型系統: 由於已知的 TPM 測量相容性問題,這些執行 Windows Server 2012 和 Windows Server 2012 R2 的系統無法部署 2024 年 4 月 9 日安全性更新中發佈的風險降低措施。 2024 年 4 月 9 日安全性更新將會封鎖風險降低措施 #2 (開機管理程式) 以及受影響系統上的風險降低措施 #3 (DBX 更新)。
Microsoft 已經發現這個問題,未來將會發行更新來解除封鎖 TPM 2.0 型系統。
若要檢查您的 TPM 版本,請以滑鼠右鍵按一下 [開始],按一下 [執行],然後輸入 [tpm.msc]。 在 TPM 製造商資訊 下方的中央窗格右下角,您應該會看到 規格版本 的值。 -
Symantec Endpoint Encryption: 安全開機風險降低措施無法套用至已安裝 Symantec Endpoint Encryption 的系統。 Microsoft 和 Symantec 已經發現這個問題,將會在未來的更新中解決。
此版本的指導方針
針對此版本,請遵循下列兩個步驟。
步驟 1:安裝 Windows 安全性更新
在支援的 Windows 裝置上安裝 2024 年 4 月 9 日或之後發行的 Windows 每月安全性更新。 這些更新包括 CVE-2023-24932 的風險降低措施,但預設不會啟用。 無論您是否打算部署風險降低措施,所有 Windows 裝置都應該完成此步驟。
步驟 2:評估變更
我們鼓勵您執行下列動作:
-
了解前兩種允許更新安全開機 DB 和更新開機管理程式的風險降低措施。
-
檢閱更新的排程。
-
開始針對來自您環境的代表性裝置測試前兩種風險降低措施。
-
開始規劃即將於 2024 年 7 月 9 日推出的部署階段。
步驟 3:強制執行變更
我們鼓勵您了解 認識風險 章節中所述 的風險。
-
了解復原和其他可開機媒體的影響。
-
開始測試第三個不信任所有舊版 Windows 開機管理程式所用之簽署憑證的風險降低措施。
風險降低措施部署指導方針
在執行下列步驟以套用風險降低措施之前,請先在支援的 Windows 裝置上安裝 2024 年 4 月 9 日或之後發行的 Windows 每月維護更新。 此更新包括 CVE-2023-24932 的風險降低措施,但預設不會啟用。 無論您是否計劃啟用風險降低措施,所有 Windows 裝置都應該完成此步驟。
注意事項 如果您使用 BitLocker,請確定您的 BitLocker 修復金鑰已備份。 您可以從系統管理員命令提示字元執行下列命令,並記下 48 位數的數字密碼:
manage-bde -protectors -get %systemdrive%
若要部署更新並套用撤銷,請遵循下列步驟:
-
將更新的憑證定義安裝到資料庫。
此步驟會將「Windows UEFI CA 2023」憑證新增至 UEFI「安全開機簽章資料庫」(DB)。 透過將此憑證新增至資料庫,裝置韌體將會信任由此憑證簽署的開機應用程式。
-
開啟系統管理員命令提示字元,並設定登錄機碼對資料庫執行更新,請輸入下列命令:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
重要 請務必重新開機裝置兩次以完成更新安裝,然後再繼續進行步驟 2 和步驟 3。
-
以系統管理員身分執行下列 PowerShell 命令,並確認資料庫已成功更新。 此命令應該會傳回 True。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
更新您裝置上的開機管理程式。
此步驟會在您的裝置上安裝使用 「Windows UEFI CA 2023」憑證簽署的開機管理程式應用程式。
-
開啟系統管理員命令提示字元,並設定註冊機碼以安裝「Windows UEFI CA 2023」簽署的開機管理程式:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
重新啟動裝置 兩次。
-
以系統管理員身分,掛接 EFI 磁碟分割以準備進行檢查:
mountvol s: /s
-
驗證「s:\efi\microsoft\boot\boot\bootmgfw.efi」檔案已由「Windows UEFI CA 2023」憑證簽署。 若要這樣做,請依照下列步驟操作:
-
按一下 [開始],在 [搜尋] 方塊中輸入 [命令提示],然後點擊 [命令提示]。
-
在「命令提示」視窗中輸入下列命令,並按 Enter:。
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
在 [檔案管理員] 中,以滑鼠右鍵按一下檔案 C:\bootmgfw_2023.efi,按一下 [屬性],然後選取 [數位簽名] 索引標籤。
-
在 [簽名] 清單中,確認憑證鏈結包含 Windows UEFI 2023 CA。 憑證鏈結應符合下列螢幕快照:
-
-
-
啟用撤銷。
UEFI 禁止清單 (DBX) 是用來禁止未受信任的 UEFI 模組載入。 在此步驟中,更新 DBX 會將「Windows Production CA 2011」憑證新增至 DBX。 這會導致所有由此憑證簽署的開機管理程式不再受到信任。
警告:套用第三種風險降低措施之前,請先建立可用來啟動系統的修復 USB 快閃磁碟機。 如需有關如何進行的詳細資訊,請參閱 更新 Windows 安裝媒體 章節。
如果您的系統進入無法開機狀態,請遵循 復原程序 章節中的步驟,將裝置重設為撤銷前狀態。
-
將「Windows Production PCA 2011」憑證新增至安全開機 UEFI 禁止清單 (DBX)。 若要這麼做,請以系統管理員身分開啟命令提示字元視窗,輸入下列命令,然後按 Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
將裝置重新啟動 兩次,並確認裝置已完全重新啟動。
-
在事件記錄檔中尋找事件 1037,以確認已成功套用安裝和撤銷清單。
如需事件 1037 的相關資訊,請參閱 KB5016061:安全開機資料庫和 DBX 變數更新事件。 或者,請以系統管理員身分執行下列 PowerShell 命令,並確定命令傳回 True:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
可開機媒體
一旦部署階段在您的環境中開始,更新可開機媒體非常重要。 將會在部署階段及時提供更新媒體的指導方針和工具。 部署階段預計於 2024 年 7 月 9 日開始。
受此問題影響的可開機媒體和復原媒體範例:
-
使用建立 [建立修復磁碟機] 建立的可開機媒體。
-
Windows 備份,在套用風險降低措施之前已進行映射。 這些在您的裝置上啟用撤銷之後,將無法直接用來還原您的 Windows 安裝。
-
您或您的裝置製造商 (OEM),或企業所建立的自訂 CD/DVD 或修復磁碟分割。
-
ISO (透過下載或使用 ADK)。
-
網路開機:
-
Windows 部署服務。
-
開機前執行環境開機服務 (PXE 開機服務)。
-
Microsoft Deployment Toolkit。
-
HTTPS 開機。
-
-
OEM 安裝與復原媒體。
-
Microsoft 官方 Windows 媒體包括:
-
零售媒體。
-
媒體建立工具 (ISO 或 USB 磁碟機)。
-
USB 磁碟機。
-
-
Windows PE。
-
安裝在實體硬體或虛擬機器上的 Windows。
如果您將可開機媒體搭配個人 Windows 裝置使用,您可能需要執行下列一或多項動作,才能套用撤銷:
-
如果您使用個人備份軟體來儲存裝置的內容,在套用 2024 年 4 月 9 日的風險降低措施之後,請務必執行完整備份。
-
如果您使用可開機磁碟片映射 (ISO)、CD-ROM 或 DVD 媒體,請遵循後續將提供的指示更新媒體。
Enterprise
-
請參閱 使用動態更新更新 Windows 安裝媒體 的完整指引和指令碼
-
如果您支援環境中的網路開機或復原案例,您將會需要更新所有媒體和影像。 這可能包括下列開機或復原選項:
-
Microsoft Deployment Toolkit。
-
Microsoft Endpoint Configuration Manager。
-
Windows 部署服務。
-
PxE 開機。
-
HTTPS 開機和其他網路開機案例。
-
-
其中一個方法是在這些案例所送達的影像上使用 DISM 離線套件安裝。 這包括更新這些服務所提供的開機檔案。
-
如果您使用備份軟體將 Windows 安裝的內容儲存到復原映像中,在套用 2024 年 4 月 9 日的風險降低措施之後,請務必執行完整備份。 除了 Windows 作業系統磁碟分割之外,請務必備份 EFI 磁碟分割。 請清楚識別在套用 2024 年 4 月 9 日之前,與套用風險降低措施後所做的備份。
Windows 電腦 OEM
-
請參閱 使用動態更新更新 Windows 安裝媒體 的完整指引和指令碼
更新 Windows 安裝媒體
注意事項 建立可開機 USB 快閃磁碟機時,請務必使用 FAT32 檔案系統設定磁碟機的格式。
您可以依照下列步驟使用 [建立修復磁碟機] 應用程式。 此媒體可用來重新安裝裝置,以防發生硬體失敗等重大問題,您可以使用修復磁碟機來重新安裝 Windows。
-
移至已套用 2024 年 4 月 9 日的更新和第一個風險降低步驟 (更新安全開機資料庫) 的裝置。
-
從 [開始] 功能表中,搜尋「建立修復磁碟機」控制面板,然後依照指示建立修復磁碟機。
-
使用新建立的快閃磁碟機安裝 (例如,磁碟機「D:」) 時,以系統管理員身分執行下列命令。 輸入下列每個命令,然後按 Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
如果您使用以動態更新更新 Windows 安裝媒體指導方針,在您的環境中管理可安裝的媒體,請依照下列步驟進行。 這些額外步驟會建立可開機的 USB 快閃磁碟機,其使用由「Windows UEFI CA 2023」簽署憑證簽署的開機檔案。
-
移至已套用 2024 年 4 月 9 日更新和第一個風險降低步驟 (更新安全開機資料庫) 的裝置。
-
請遵循下列連結中的步驟,以使用 2024 年 4 月 9 日的更新來建立媒體。 使用動態更新更新 Windows 安裝媒體https://learn.microsoft.com/windows/deployment/update/media-dynamic-update
-
將媒體的內容放在 USB 隨身碟上,然後將隨身碟掛接磁碟機代號。 例如,將隨身碟掛接為「D:」。
-
以系統管理員身分從命令窗口執行下列命令。 輸入下列每個命令,然後按 Enter。
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
如果裝置在套用風險降低措施之後,已將安全開機設定重設為預設值,則裝置不會開機。 若要解決此問題,修復應用程式隨附於 2024 年 4 月 9 日的更新中,可用來將「Windows UEFI CA 2023」憑證重新套用至資料庫 (風險降低 #1)。
注意事項 請勿在 已知問題 一節中所述的裝置或系統上使用此修復應用程式。
-
移至已套用 2024 年 4 月 9 日更新的裝置。
-
在命令視窗中,使用下列命令將修復應用程式複製到快閃磁碟機 (假設快閃磁碟機是「D:磁碟機」)。 個別輸入每個命令,然後按 Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
在已將安全開機設定重設為預設值的裝置上,插入 USB 快閃磁碟機、重新啟動裝置並從快閃磁碟機開機。
更新時間
更新以下列方式發行:
-
初始部署 此階段從 2023 年 5 月 9 日發行的更新開始,並提供基本緩和措施,以及啟用這些緩和措施的手動步驟。
-
第二階段部署 此階段開始于 2023 年 7 月 11 日發行的更新,其中新增了簡化的步驟,以為此問題啟用緩和措施。
-
評估階段 此階段於 2024 年 4 月 9 日開始,並將新增其他開機管理程式風險降低措施。
-
最終部署階段 此時我們會鼓勵所有客戶開始部署風險降低措施及更新媒體。
-
強制階段 強制階段會讓風險降低措施永久化。 此階段的日期將於稍後宣佈。
注意 可能會視需要修訂發行排程。
此階段已由 2024 年 4 月 9 日或之後的 Windows 安全性更新發行取代。
此階段已由 2024 年 4 月 9 日或之後的 Windows 安全性更新發行取代。
在此階段中,我們要求您在您的環境中測試這些變更,以確保變更能與代表性範例裝置正確運作,並取得變更的體驗。
注意事項 我們正將「Windows 生產 PCA 2011」簽署憑證新增至安全開機不允許清單 (DBX) ,以解除信任此憑證所簽署的所有開機管理程式,而不是像之前的部署階段一樣,嘗試完整列出且不信任易受攻擊的開機管理程式。 這是一個更可靠的方法,可確保所有先前的開機管理程式不受信任。
在 2024 年 4 月 9 日或之後發行的 Windows 更新將新增下列項目:
-
取代 2023 年發佈的三種新風險降低控制措施。 新的風險降低控制措施包括:
-
將「Windows UEFI CA 2023」憑證部署到安全開機資料庫的控制項,以新增信任由此憑證簽署的 Windows 開機管理程式。 請注意,「Windows UEFI CA 2023」憑證可能是先前的 Windows Update 所安裝。
-
部署由「Windows UEFI CA 2023」憑證簽署的開機管理程式的控制。
-
將「Windows 生產 PCA 2011」新增至安全開機 DBX 的控制項,該控制項會封鎖所有由此憑證簽署的 Windows 開機管理程式。
-
-
能分階段啟用風險降低措施,以根據您的需求進一步控制在您的環境中部署風險降低措施。
-
風險降低措施會相互關聯,因此無法以不正確的順序部署。
-
其他事件,以便在裝置套用風險降低措施時了解其狀態。 如需事件的詳細資料,請參閱 KB5016061:安全開機資料庫和 DBX 變數更新事件。
在此階段我們會鼓勵客戶開始部署風險降低措施及管理任何媒體更新。 更新將會新增下列變更:
-
協助更新媒體的指引和工具。
-
更新 DBX 封鎖以撤銷其他開機管理程式。
「強制階段」至少會在部署階段之後六個月。 發行強制階段的更新時,會包括下列項目:
-
「Windows 生產 PCA 2011」憑證會被新增至支援裝置上安全開機 UEFI 禁止清單 (DBX),而自動撤銷。 在將 Windows 的更新安裝到所有受影響的系統後,將會以程式設計方式強制執行這些更新,而不需要停用任何選項。
與 CVE-2023-24932 相關的 Windows 事件記錄檔錯誤
更新資料庫和 DBX 的相關 Windows 事件記錄項目描述於 KB5016061:安全開機資料庫和 DBX 變數更新事件。
下表列出與套用風險降低措施相關的「成功」事件。
|
風險降低步驟 |
事件識別碼 |
注意事項 |
|
套用資料庫更新 |
1036 |
PCA2023 憑證已新增至資料庫。 |
|
更新開機管理程式 |
1799 |
已套用 PCA2023 簽署的開機管理程式。 |
|
套用 DBX 更新 |
1037 |
已套用不信任 PCA2011 簽署憑證的 DBX 更新。 |
常見問題集 (FAQ)
-
請參閱「復原程序」章節以復原裝置。
-
請依照 疑難排解開機問題 章節中的指引進行。
使用 2024 年 4 月 9 日或之後發行的更新更新所有 Windows 作業系統,然後再套用撤銷。 在套用撤銷之後,您可能無法啟動尚未更新至至少 2024 年 4 月 9 日發行之更新的任何 Windows 版本。 請依照 疑難排解開機問題 章節中的指引進行。
請參閱 疑難排解開機問題 章節。
疑難排解開機問題
套用這三種風險降低措施之後,裝置韌體就不會使用由 Windows Production PCA 2011 簽署的開機管理程式開機。 韌體回報的開機失敗是針對特定裝置。 請參閱 復原程序 章節。
復原程序
如果在套用風險降低措施時發生問題,而您無法啟動裝置或您需要從外部媒體 (例如隨身碟或 PXE 開機) 啟動,請嘗試下列建議:
-
關閉安全開機。
此程序在裝置製造商和型號之間是不同的。 輸入您的裝置 UEFI BIOS 功能表,然後瀏覽至 [安全開機] 設定並將其關閉。 請查看裝置製造商提供的文件,了解此流程的特定資訊。 您可以在 停用安全開機 中找到更多詳細資料。 -
將安全開機金鑰重設為原廠預設值。
如果裝置支援將安全開機金鑰重設為原廠預設值,請立即執行此動作。
注意事項 有些裝置製造商同時有安全開機變數的「清除」和「重設」選項,在這種情況下,應該使用「重設」。 目標是要讓安全開機變數回到製造商的預設值。
您的裝置應該會立即啟動,但請注意,它很容易受到開機套件惡意程式碼的攻擊。 請務必在此復原程序結束時完成步驟 5,以重新啟用安全開機。
-
嘗試從系統磁片啟動 Windows。
-
登入 Windows。
-
從系統管理員命令提示執行下列命令,以還原 EFI 系統開機磁碟分割中的開機檔案。 個別輸入每個命令,然後按 Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
執行 BCDBoot 會傳回「已成功建立開機檔案」。 顯示此訊息之後,將裝置重新啟動回 Windows。
-
-
如果步驟 3 無法成功復原裝置,請重新安裝 Windows。
-
從現有的復原媒體啟動裝置。
-
透過使用復原媒體繼續安裝 Windows。
-
登入 Windows。
-
重新啟動 Windows 以確認裝置是否重新啟動至 Windows。
-
-
重新啟用安全開機並重新啟動裝置。
輸入裝置 UEFI 功能表,然後瀏覽至安全開機設定並將它開啟。 請查看裝置製造商提供的文件,了解此流程的特定資訊。 如需詳細資訊,請參閱「重新啟用安全開機」章節。
參考
-
對於套用 DBX 更新時產生的事件,請參閱 KB5016061: 解決易受攻擊和撤銷的開機管理程式。
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。
|
變更日期 |
變更描述 |
|
2024 年 4 月 9 日 |
|
|
2023 年 12 月 16 日 |
|
|
2023 年 5 月 15 日 |
|
|
2023 年 5 月 11 日 |
|
|
2023 年 5 月 10 日 |
|
|
2023 年 5 月 9 日 |
|
|
2023 年 6 月 27 日 |
|
|
2023 年 7 月 11 日 |
|
|
2023 年 8 月 25 日 |
|
