إرشادات لحظر التراجع عن تحديثات الأمان ذات الصلة بالأمان المستندة إلى الظاهرية (VBS)

ملاحظة مهمة حول نهج SkuSiPolicy.p7b

للحصول على إرشادات لتطبيق النهج المحدث، راجع قسم توزيع نهج إبطال موقع من Microsoft (SkuSiPolicy.p7b ). 

في هذه المقالة

• الملخص

• نطاق التأثير

• عوامل التخفيف المتاحة

• فهم مخاطر التخفيف من المخاطر

• إرشادات توزيع التخفيف من المخاطر

  • نشر نهج إبطال موقع من Microsoft (SkuSiPolicy.p7b)

  • تحديث وسائط التمهيد الخارجية

• سجلات أحداث Windows

  • أحداث تنشيط النهج

  • تدقيق الأحداث وحظرها

• إجراء إزالة النهج واسترداده

• التغييرات التي تم إجراؤها على هذه المقالة

الملخص

تم إعلام Microsoft بثغرة أمنية في Windows تسمح للمهاجم الذي يتمتع بامتيازات المسؤول باستبدال ملفات نظام Windows المحدثة التي تحتوي على إصدارات قديمة، ما يفتح الباب للمهاجم لإعادة تقديم الثغرات الأمنية إلى الأمان المستند إلى الظاهرية (VBS).  قد يسمح التراجع عن هذه الثنائيات للمهاجم بالتحايل على ميزات أمان VBS وتصفية البيانات المحمية بواسطة VBS. تم وصف هذه المشكلة في CVE-2024-21302 | رفع وضع Kernel الآمن ل Windows للثغرة الأمنية للامتيازات.

لحل هذه المشكلة، سنقوم بإبطال ملفات نظام VBS الضعيفة التي لم يتم تحديثها. نظرا للعدد الكبير من الملفات المتعلقة ب VBS التي يجب حظرها، نستخدم نهجا بديلا لحظر إصدارات الملفات التي لم يتم تحديثها.

نطاق التأثير

تتأثر جميع أجهزة Windows التي تدعم VBS بهذه المشكلة. يتضمن ذلك الأجهزة الفعلية المحلية والأجهزة الظاهرية (VMs). يتم دعم VBS على إصدارات Windows Windows 10 والإصدارات الأحدث، Windows Server 2016 والإصدارات الأحدث Windows Server.

يمكن التحقق من حالة VBS من خلال أداة معلومات نظام Microsoft (Msinfo32.exe). تجمع هذه الأداة معلومات حول جهازك. بعد البدء Msinfo32.exe، مرر لأسفل إلى صف الأمان المستند إلى الظاهرية . إذا كانت قيمة هذا الصف قيد التشغيل، يتم تمكين VBS وتشغيله.

يمكن أيضا التحقق من حالة VBS مع Windows PowerShell باستخدام فئة Win32_DeviceGuard WMI. للاستعلام عن حالة VBS من PowerShell، افتح جلسة عمل Windows PowerShell مرتفعة ثم قم بتشغيل الأمر التالي:

بعد تشغيل أمر PowerShell أعلاه، يجب أن تكون حالة VBS واحدة مما يلي.

عوامل التخفيف المتاحة

بالنسبة لجميع الإصدارات المدعومة من Windows 10 والإصدار 1507 والإصدارات الأحدث من Windows Windows Server 2016 والإصدارات الأحدث Windows Server، يمكن للمسؤولين نشر نهج إبطال موقع من Microsoft (SkuSiPolicy.p7b). سيؤدي ذلك إلى حظر الإصدارات الضعيفة من ملفات نظام VBS التي لم يتم تحديثها من تحميلها بواسطة نظام التشغيل.  

عند تطبيق SkuSiPolicy.p7b على جهاز Windows، سيتم أيضا تأمين النهج على الجهاز عن طريق إضافة متغير إلى البرنامج الثابت UEFI. أثناء بدء التشغيل، يتم تحميل النهج ويحظر Windows تحميل الثنائيات التي تنتهك النهج. إذا تم تطبيق تأمين UEFI وإزالة النهج أو استبداله بإصدار أقدم، فلن يبدأ تشغيل مدير تمهيد Windows، ولن يبدأ تشغيل الجهاز. لن يظهر فشل التمهيد هذا خطأ وسينتقل النظام إلى خيار التمهيد المتوفر التالي الذي قد يؤدي إلى تكرار حلقي للتمهيد.

تم إضافة نهج CI إضافي موقع من Microsoft والذي يتم تمكينه افتراضيا ولا يتطلب أي خطوات نشر إضافية غير مرتبطة ب UEFI. سيتم تحميل نهج التكامل المستمر الموقع هذا أثناء التمهيد وسيمنع فرض هذا النهج التراجع عن ملفات نظام VBS أثناء جلسة التمهيد هذه. على عكس SkuSiPolicy.p7b، يمكن للجهاز الاستمرار في التمهيد إذا لم يتم تثبيت التحديث. يتم تضمين هذا النهج في جميع الإصدارات المدعومة من Windows 10، الإصدار 1507 والإصدارات الأحدث. لا يزال من الممكن تطبيق SkuSkiPolicy.p7b من قبل المسؤولين لتوفير حماية إضافية للتراجع عبر جلسات التمهيد.   

تتضمن سجلات Windows Measured Boot المستخدمة لإثبات صحة التمهيد للكمبيوتر معلومات حول إصدار النهج الذي يتم تحميله أثناء عملية التمهيد. يتم الاحتفاظ بهذه السجلات بأمان بواسطة TPM أثناء التمهيد، وتوزع خدمات تصديق Microsoft هذه السجلات للتحقق من تحميل إصدارات النهج الصحيحة. تفرض خدمات التصديق القواعد التي تضمن تحميل إصدار نهج معين أو أعلى؛ وإلا، لن يتم إثبات النظام على أنه سليم.

لكي يعمل تخفيف النهج، يجب تحديث النهج باستخدام تحديث خدمة Windows نظرا لأن مكونات Windows والنهج يجب أن تكون من نفس الإصدار. إذا تم نسخ تخفيف النهج إلى الجهاز، فقد لا يبدأ تشغيل الجهاز إذا تم تطبيق الإصدار الخطأ من التخفيف، أو قد لا يعمل التخفيف كما هو متوقع. بالإضافة إلى ذلك، يجب تطبيق عوامل التخفيف الموضحة في KB5025885 على جهازك.

في Windows 11، يضيف الإصدار 24H2 Windows Server 2022 Windows Server 23H2 والجذر الديناميكي للثقة للقياس (DRTM) تخفيفا إضافيا للثغرة الأمنية للتراجع. يتم تمكين التخفيف بشكل افتراضي. في هذه الأنظمة، ترتبط مفاتيح التشفير المحمية ب VBS بنهج VBS CI لجلسة التمهيد التي تم تمكينها افتراضيا ولن يتم إلغاء التضمين إلا إذا تم فرض إصدار نهج CI المطابق. لتمكين عمليات التراجع التي بدأها المستخدم، تمت إضافة فترة سماح لتمكين التراجع الآمن لإصدار واحد من حزمة Windows update دون فقدان القدرة على إلغاء تثبيت المفتاح الرئيسي ل VSM. ومع ذلك، لا يمكن التراجع الذي بدأه المستخدم إلا إذا لم يتم تطبيق SkuSiPolicy.p7b. يفرض نهج VBS CI عدم التراجع عن جميع ثنائيات التمهيد إلى الإصدارات التي تم إبطالها. وهذا يعني أنه إذا تراجع المهاجم الذي يتمتع بامتيازات المسؤول عن ثنائيات التمهيد الضعيفة، فلن يبدأ النظام. إذا تم التراجع عن نهج CI والثنائيات إلى إصدار سابق، فلن يتم إلغاء تأمين البيانات المحمية ب VSM.

فهم مخاطر التخفيف من المخاطر

يجب أن تكون على دراية بالمخاطر المحتملة قبل تطبيق نهج الإبطال الموقع من Microsoft. يرجى مراجعة هذه المخاطر وإجراء أي تحديثات ضرورية لوسائط الاسترداد قبل تطبيق التخفيف.

‏ملاحظة تنطبق هذه المخاطر فقط على نهج SkuSiPolicy.p7b ولا تنطبق على الحماية الافتراضية الممكنة.

• تحديثات UEFI Lock وإلغاء تثبيتها. بعد تطبيق تأمين UEFI مع نهج الإبطال الموقع من Microsoft على جهاز، لا يمكن إعادة الجهاز (عن طريق إلغاء تثبيت تحديثات Windows، أو باستخدام نقطة استعادة، أو بوسائل أخرى) إذا تابعت تطبيق التمهيد الآمن. حتى إعادة تنسيق القرص لن يزيل تأمين UEFI للتخفيف إذا تم تطبيقه بالفعل. وهذا يعني أنه إذا حاولت إعادة نظام التشغيل Windows إلى حالة سابقة لا تحتوي على التخفيف المطبق، فلن يبدأ تشغيل الجهاز، ولن يتم عرض رسالة خطأ، وسينتقل UEFI إلى خيار التمهيد المتوفر التالي. قد يؤدي هذا إلى تكرار حلقي للتمهيد. يجب تعطيل التمهيد الآمن لإزالة تأمين UEFI. يرجى الانتباه إلى جميع الآثار المحتملة والاختبار بدقة قبل تطبيق الإبطالات الموضحة في هذه المقالة على جهازك.

• وسائط التمهيد الخارجية. بعد تطبيق عوامل تخفيف تأمين UEFI على جهاز، يجب تحديث وسائط التمهيد الخارجية بأحدث تحديث Windows مثبت على الجهاز. إذا لم يتم تحديث وسائط التمهيد الخارجية إلى نفس إصدار تحديث Windows، فقد لا يتم تمهيد الجهاز من تلك الوسائط. راجع الإرشادات في قسم تحديث وسائط التمهيد الخارجية قبل تطبيق عوامل التخفيف.

• بيئة استرداد Windows. يجب تحديث بيئة استرداد Windows (WinRE) على الجهاز بأحدث Windows Safe OS Dynamic Update الذي تم إصداره في 8 يوليو 2025، على الجهاز قبل تطبيق SkuSipolicy.p7b على الجهاز. قد يؤدي حذف هذه الخطوة إلى منع WinRE من تشغيل ميزة إعادة تعيين الكمبيوتر.  لمزيد من المعلومات، راجع إضافة حزمة تحديث إلى Windows RE.

• تمهيد بيئة تنفيذ ما قبل التمهيد (PXE). إذا تم نشر التخفيف على جهاز وحاولت استخدام تمهيد PXE، فلن يبدأ تشغيل الجهاز ما لم يتم تطبيق تحديث Windows الأخير أيضا على صورة تمهيد خادم PXE. لا نوصي بتوزيع عوامل التخفيف من المخاطر على مصادر تمهيد الشبكة ما لم يتم تحديث خادم PXE Boot إلى آخر تحديث Windows تم إصداره في يناير 2025 أو بعده، بما في ذلك مدير تمهيد PXE.  

إرشادات توزيع التخفيف من المخاطر

لمعالجة المشكلات الموضحة في هذه المقالة، يمكنك نشر نهج إبطال موقع من Microsoft (SkuSiPolicy.p7b). يتم دعم التخفيف من المخاطر هذا فقط على Windows 10 والإصدار 1507 والإصدارات الأحدث من Windows Windows Server 2016.

‏ملاحظة إذا كنت تستخدم BitLocker، فتأكد من نسخ مفتاح استرداد BitLocker احتياطيا. يمكنك تشغيل الأمر التالي من موجه أوامر المسؤول وتدوين كلمة المرور الرقمية المكونة من 48 رقما:

سجلات أحداث Windows

يسجل Windows الأحداث عند تحميل نهج تكامل التعليمات البرمجية، بما في ذلك SkuSiPolicy.p7b، وعند حظر تحميل ملف بسبب فرض النهج. يمكنك استخدام هذه الأحداث للتحقق من تطبيق التخفيف.

تتوفر سجلات تكامل التعليمات البرمجية في عارض الأحداث Windows ضمن سجلات التطبيقات والخدمات > Microsoft > Windows > CodeIntegrity > سجلات تطبيقات وخدمات > التشغيلية > Services >Microsoft > Windows > AppLocker > MSI و Script.

لمزيد من المعلومات حول أحداث تكامل التعليمات البرمجية، راجع الدليل التشغيلي ل Windows Defender Application Control.

إجراء إزالة النهج واسترداده

إذا حدث خطأ ما بعد تطبيق التخفيف، يمكنك استخدام الخطوات التالية لإزالة التخفيف من المخاطر:

1. إيقاف BitLocker مؤقتا إذا تم تمكينه. قم بتشغيل الأمر التالي من نافذة موجه أوامر غير مقيدة:

   Manager-bde -protectors -disable c: -rebootcount 3

2. إيقاف تشغيل التمهيد الآمن من قائمة UEFI BIOS.
   
   يختلف إجراء إيقاف تشغيل التمهيد الآمن بين الشركات المصنعة للأجهزة والنماذج. للمساعدة في تحديد مكان إيقاف تشغيل التمهيد الآمن، راجع الوثائق من الشركة المصنعة لجهازك. يمكن العثور على مزيد من التفاصيل في تعطيل التمهيد الآمن.

3. قم بإزالة نهج SkuSiPolicy.p7b.

   1. ابدأ تشغيل Windows بشكل طبيعي ثم سجل الدخول.
      
      يجب إزالة نهج SkuSiPolicy.p7b من الموقع التالي:

      • <قسم نظام EFI>\Microsoft\Boot\SkuSiPolicy.p7b

   2. قم بتشغيل الأوامر التالية من جلسة عمل Windows PowerShell مرتفعة لتنظيف النهج من تلك المواقع:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b"
      $MountPoint = 's:'
      
      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"
      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot"
      mountvol $MountPoint /S
      if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
      
      if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }
      
      ​​​​​​​mountvol $MountPoint /D

4. قم بتشغيل التمهيد الآمن من BIOS.
   
   راجع الوثائق من الشركة المصنعة لجهازك لتحديد مكان تشغيل التمهيد الآمن.
   
   إذا قمت بإيقاف تشغيل التمهيد الآمن في الخطوة 1 وكان محرك الأقراص محميا بواسطة BitLocker، فقم بإيقاف حماية BitLocker مؤقتا ثم قم بتشغيل التمهيد الآمن من قائمة UEFI BIOS .

5. قم بتشغيل BitLocker. قم بتشغيل الأمر التالي من نافذة موجه أوامر غير مقيدة:

   Manager-bde -protectors -enable c:

6. أعد تشغيل جهازك.