راجع المنتجات التي تنطبق عليها هذه المقالة.

الملخص

في 29 يوليو 2020، نشرت Microsoft استشارات الأمان 200011 التي تصف ثغرة أمنية جديدة مرتبطة بالتمهيد الآمن. قد تكون الأجهزة التي تثق بواجهة البرامج الثابتة الموحدة (UEFI) (UEFI) الخاصة ب Microsoft في تكوين "التشغيل الآمن" عرضة للمهاجم الذي لديه امتيازات إدارية أو حق وصول فعلي إلى الجهاز.

توفر هذه المقالة إرشادات لتطبيق قائمة إلغاء التشغيل الآمن ل DBX الأخيرة لإبطال الوحدات النمطية المعرضة. ستقوم Microsoft بدفع تحديث Windows لمعالجة هذه الثغرة الأمنية في منتصف إلى آخر 2021.

يتم استضافة الثنائيات تحديث التشغيل الآمن على صفحة ويب UEFI هذه.

الملفات المنشورة هي كما يلي:

  • ملف قائمة إلغاء UEFI لل x86 (32 بت)

  • ملف قائمة إلغاء UEFI لل x64 (64 بت)

  • ملف قائمة إلغاء UEFI ل arm64

بعد إضافة هذه الهازات إلى "التشغيل الآمن DBX" على جهازك، لن يتم السماح بتحميل هذه التطبيقات بعد الآن. 

هام: يستضيف هذا الموقع الملفات لكل هندسة. يتضمن كل ملف مستضاف فقط هاشتات التطبيقات التي تنطبق على البنية المحددة. يجب تطبيق أحد هذه الملفات على كل جهاز، ولكن تأكد من تطبيق الملف ذي الصلة بهياته. على الرغم من أنه من الممكن تقنيا تطبيق تحديث له بنية مختلفة، إلا أن عدم تثبيت التحديث المناسب سيترك الجهاز بدون حماية.

تنبيه: اقرأ مقالة الاستشارات الرئيسية حول ثغرة الضعف هذه قبل تجربة أي من هذه الخطوات. قد يؤدي تطبيق تحديثات DBX بشكل غير صحيح إلى منع الجهاز من البدء.

يجب اتباع هذه الخطوات فقط إذا كانت الشروط التالية صحيحة:

  • لقد قمت بالتحقق من أن جهازك يثق ب UEFI CA الطرف الثالث في تكوين "التشغيل الآمن". للقيام بذلك، يمكنك تشغيل السطر التالي من PowerShell من جلسة PowerShell إدارية:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • لا تعتمد على بدء تشغيل أي من تطبيقات التشغيل التي يتم حظرها بواسطة هذا التحديث.

مزيد من المعلومات

تطبيق تحديث DBX على Windows

بعد قراءة التحذيرات والتحقق من توافق جهازك، اتبع الخطوات التالية لتحديث DBX للتمهيد الآمن:

  1. قم بتنزيل ملف قائمة إلغاء UEFI (Dbxupdate.bin) المناسب ل النظام الأساسي من صفحة ويب UEFI هذه.

  2. يجب تقسيم ملف Dbxupdate.bin إلى المكونات الضرورية لتطبيقها باستخدام أمر cmdlets في PowerShell. للقيام بذلك، اتبع الخطوات التالية:

    1. قم بتنزيل البرنامج النصي PowerShell من صفحة ويب معرض PowerShell هذه.

    2. شغل البرنامج النصي PowerShell التالي على ملف Dbxupdate.bin:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. تحقق من أن الأمر قد أنشأ الملفات التالية:إخراج الأمر "تطبيق" للخطوة 2c

      • Content.bin – تحديث المحتويات

      • Signature.p7 – توقيع يرخص عملية التحديث

  3. في جلسة PowerShell إدارية، قم بتشغيل Cmdlet Set-SecureBootUefi لتطبيق تحديث DBX:



    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite النتائج


    المتوقعة إخراج الأوامر "تطبيق" الخطوة 3

  4. أعد تشغيل الجهاز لإكمال عملية تثبيت التحديث.

لمزيد من المعلومات حول الأمر cmdlet لتكوين "التشغيل الآمن" وكيفية استخدامه لتحديثات DBX، راجع Set-Secure.

التحقق من نجاح التحديث  

بعد إكمال الخطوات بنجاح في المقطع السابق وإعادة تشغيل الجهاز، اتبع هذه الخطوات للتحقق من تطبيق التحديث بنجاح. بعد نجاح عملية التحقق، لن يتأثر جهازك بعد ذلك بضعف GRUB.

  1. قم بتنزيل برامج التحقق من صحة تحديث DBX النصية من صفحة ويب GitHub Gist هذه.

  2. استخراج البرامج النصية وال الثنائيات من الملف المضغوط.

  3. قم بتشغيل البرنامج النصي PowerShell التالي داخل المجلد الذي يحتوي على البرامج النصية وال الثنائيات الموسعة للتحقق من تحديث DBX:Check-Dbx.ps1 .\dbx-2021-April.bin' 

    ملاحظة: إذا تم تطبيق تحديث DBX يتطابق مع إصدارات يوليو 2020 أو أكتوبر 2020 من أرشيف ملف قائمة الاجهاد هذا، ف قم بتشغيل الأمر المناسب التالي بدلا من

    ذلك:Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. تحقق من تطابق الإخراج مع النتيجة المتوقعة:

    إخراج الأمر "التحقق" من الخطوة 4

الأسئلة المتداولة

س1: ما معنى رسالة الخطأ "Get-SecureBootUEFI: Cmdlets غير معتمدة على هذا النظام الأساسي"؟

A1: تشير رسالة الخطأ هذه إلى أنه لم يتم تمكين ميزة التشغيل الآمن على الكمبيوتر. وبالتالي، لا يتأثر هذا الجهاز بالهشاشة GRUB. لا حاجة إلى اتخاذ أي إجراء آخر.

س2: كيف يمكنني تكوين الجهاز للثقة أو عدم الوثوق ب UEFI CA من جهة خارجية؟ 

A2: نوصيك باستشارة مورد OEM. 

بالنسبة ل Microsoft Surface، قم بتغيير إعداد التشغيل الآمن إلى "Microsoft فقط"، ثم قم بتشغيل الأمر PowerShell التالي (يجب أن تكون النتيجة "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

لمزيد من المعلومات حول كيفية تكوين Microsoft Surface، راجع إدارة إعدادات Surface UEFI - Surface | Microsoft Docs.

Q3: هل تؤثر هذه المشكلة على أجهزة Azure IaaS الظاهرية من الجيل 1 والجيل 2؟ 

A3: لا. لا تدعم الأجهزة الظاهرية لضيف Azure Gen1 و Gen2 ميزة "التشغيل الآمن". وبالتالي، فهي لا تتأثر بسلسلة هجوم الثقة. 

س4: هل يشير ADV200011 و CVE-2020-0689 إلى الثغرة الأمنية نفسها المرتبطة بالتمهيد الآمن؟ 

أ: لا. تصف استشارات الأمان هذه نقاط الضعف المختلفة. يشير "ADV200011" إلى ثغرة في GRUB (مكون Linux) قد تتسبب في تجاوز التشغيل الآمن. يشير "CVE-2020-0689" إلى ثغرة أمنية لتجاوز ميزة الأمان موجودة في "التشغيل الآمن". 

س5: لا يمكنني تشغيل أي من البرامج النصية في PowerShell. ما الذي ينبغي علي فعله؟

أ: تحقق من نهج التنفيذ في PowerShell عن طريق تشغيل الأمر Get-ExecutionPolicy. استنادا إلى الإخراج، قد تحتاج إلى تحديث نهج التنفيذ:

يتم تصنيع منتجات الأطراف الخارجية التي تمت مناقشتها في هذه المقالة بواسطة الشركات المستقلة عن Microsoft. لا تقدم Microsoft أي ضمان، ضمني أو غيره، فيما يتعلق بأداء هذه المنتجات أو وثوقيتها. 

توفر Microsoft معلومات جهات اتصال جهة خارجية لمساعدتك في العثور على معلومات إضافية حول هذا الموضوع. قد تتغير معلومات الاتصال هذه بدون إشعار. لا تضمن Microsoft دقة معلومات جهات الاتصال الخاصة ب جهة خارجية. 

ينطبق على:

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة الترجمة؟
ما الذي أثّر في تجربتك؟

نشكرك على ملاحظاتك!

×