راجع المنتجات التي تنطبق عليها هذه المقالة.

الملخص

في 29 يوليو 2020، نشرت Microsoft 200011 استشارية أمنية تصف ثغرة أمنية جديدة مرتبطة ب Secure Boot. قد تكون الأجهزة التي تثق في المرجع المصدق لواجهة البرامج الثابتة الموسعة الموحدة (UEFI) التابعة ل Microsoft (UEFI) في تكوين التمهيد الآمن عرضة للمهاجم الذي لديه امتيازات إدارية أو وصول فعلي إلى الجهاز.

توفر هذه المقالة إرشادات لتطبيق أحدث قائمة إبطال Secure Boot DBX لإلغاء صلاحية الوحدات النمطية المعرضة للخطر. ستقوم Microsoft بدفع تحديث إلى Windows Update لمعالجة هذه الثغرة الأمنية في ربيع عام 2022.

تتم استضافة ثنائيات تحديث التمهيد الآمن على صفحة ويب UEFI هذه.

الملفات المنشورة هي كما يلي:

  • ملف قائمة إبطال UEFI للإصدار x86 (32 بت)

  • ملف قائمة إبطال UEFI للإصدار x64 (64 بت)

  • ملف قائمة إبطال UEFI ل arm64

بعد إضافة هذه التجزئات إلى Secure Boot DBX على جهازك، لن يسمح بتحميل هذه التطبيقات. 

هام: يستضيف هذا الموقع ملفات لكل بنية. يتضمن كل ملف مستضاف فقط تجزئة التطبيقات التي تنطبق على البنية المحددة. يجب تطبيق أحد هذه الملفات على كل جهاز، ولكن تأكد من تطبيق الملف ذي الصلة بالبنية الخاصة به. على الرغم من أنه من الممكن تقنيا تطبيق تحديث لبنية مختلفة، فإن عدم تثبيت التحديث المناسب سيترك الجهاز غير محمي.

تنبيه: اقرأ المقالة الاستشارية الرئيسية حول هذه الثغرة الأمنية قبل تجربة أي من هذه الخطوات. قد يؤدي تطبيق تحديثات DBX بشكل غير صحيح إلى منع جهازك من البدء.

يجب اتباع هذه الخطوات فقط إذا كانت الشروط التالية صحيحة:

  • لقد تحققت من أن جهازك يثق في UEFI CA لجهة خارجية في تكوين التمهيد الآمن الخاص بك. للقيام بذلك، قم بتشغيل السطر التالي من PowerShell من جلسة عمل PowerShell إدارية:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • لا تعتمد على بدء تشغيل أي من تطبيقات التمهيد التي يتم حظرها بواسطة هذا التحديث.

مزيد من المعلومات

تطبيق تحديث DBX على Windows

بعد قراءة التحذيرات والتحقق من توافق جهازك، اتبع الخطوات التالية لتحديث Secure Boot DBX:

  1. قم بتنزيل ملف قائمة إبطال UEFI المناسب (Dbxupdate.bin) للنظام الأساسي من صفحة ويب UEFI هذه.

  2. يجب تقسيم ملف Dbxupdate.bin إلى المكونات الضرورية من أجل تطبيقها باستخدام PowerShell cmdlets. للقيام بذلك، اتبع الخطوات التالية:

    1. قم بتنزيل البرنامج النصي PowerShell من صفحة ويب معرض PowerShell هذه.

    2. تشغيل البرنامج النصي PowerShell التالي على ملف Dbxupdate.bin:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. تحقق من أن الأمر أنشأ الملفات التالية:

      إخراج الأمر "تطبيق" الخطوة 2c

      • Content.bin – تحديث المحتويات

      • Signature.p7 – التوقيع الذي يصرح بعملية التحديث

  3. في جلسة عمل PowerShell إدارية، قم بتشغيل Set-SecureBootUefi cmdlet لتطبيق تحديث DBX:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    إخراج الأمر "تطبيق" الخطوة 3الإخراج


    المتوقع

  4. أعد تشغيل الجهاز لإكمال عملية تثبيت التحديث.

لمزيد من المعلومات حول cmdlet تكوين التمهيد الآمن وكيفية استخدامه لتحديثات DBX، راجع Set-Secure.

التحقق من نجاح التحديث  

بعد إكمال الخطوات في القسم السابق وإعادة تشغيل الجهاز بنجاح، اتبع هذه الخطوات للتحقق من تطبيق التحديث بنجاح. بعد نجاح عملية التحقق من الصحة، لن يتأثر جهازك بعد الآن بالثغرة الأمنية لRUB.

  1. قم بتنزيل البرامج النصية للتحقق من تحديث DBX من صفحة ويب Gist GitHub هذه.

  2. استخراج البرامج النصية والثنائيات من الملف المضغوط.

  3. قم بتشغيل البرنامج النصي PowerShell التالي داخل المجلد الذي يحتوي على البرامج النصية الموسعة والثنائيات للتحقق من تحديث DBX:

    Check-Dbx.ps1 .\dbx-2021-April.bin' 

    ملاحظة: إذا تم تطبيق تحديث DBX يطابق إصدارات يوليو 2020 أو أكتوبر 2020 من أرشيف ملف قائمة الإبطال هذا ، فقم بتشغيل الأمر المناسب التالي بدلا من ذلك:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. تحقق من أن الإخراج يطابق النتيجة المتوقعة:

    إخراج الأمر "التحقق" من الخطوة 4

الأسئلة المتداولة

Q1: ماذا تعني رسالة الخطأ "Get-SecureBootUEFI: Cmdlets غير معتمدة على هذا النظام الأساسي"؟

A1: تشير رسالة الخطأ هذه إلى تمكين ميزة NO Secure Boot على الكمبيوتر. لذلك، لا يتأثر هذا الجهاز بالثغرة الأمنية لRUB. لا يلزم اتخاذ أي إجراء آخر.

Q2: كيف أعمل تكوين الجهاز للوثوق ب UEFI CA لجهة خارجية أو عدم الوثوق به؟ 

A2: نوصي باستشارة مورد الشركة المصنعة للمعدات الأصلية. 

بالنسبة إلى Microsoft Surface، قم بتغيير إعداد "التمهيد الآمن" إلى "Microsoft Only"، ثم قم بتشغيل أمر PowerShell التالي (يجب أن تكون النتيجة "خطأ"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

لمزيد من المعلومات حول كيفية تكوين Microsoft Surface، راجع إدارة إعدادات Surface UEFI - Surface | Microsoft Docs.

س3: هل تؤثر هذه المشكلة على الأجهزة الظاهرية من الجيل 1 وجيل 2 من Azure IaaS؟ 

A3: لا. لا تدعم الأجهزة الظاهرية الضيف من Azure Gen1 و Gen2 ميزة التمهيد الآمن. لذلك، فهم لا يتأثرون بسلسلة هجوم الثقة. 

Q4: هل يشير ADV200011 وCVE-2020-0689 إلى نفس الثغرات الأمنية المرتبطة ب Secure Boot؟ 

A: لا. تصف هذه النصائح الأمنية الثغرات الأمنية المختلفة. يشير "ADV200011" إلى ثغرة أمنية في GRUB (مكون Linux) التي يمكن أن تسبب تجاوزا للتمهيد الآمن. يشير "CVE-2020-0689" إلى ثغرة أمنية تتجاوز ميزة الأمان الموجودة في Secure Boot. 

س5: لا يمكنني تشغيل أي من البرامج النصية PowerShell. ما الذي ينبغي علي فعله؟

A: تحقق من نهج تنفيذ PowerShell عن طريق تشغيل الأمر Get-ExecutionPolicy . اعتمادا على الإخراج، قد تحتاج إلى تحديث نهج التنفيذ:

يتم تصنيع منتجات الجهات الخارجية التي تمت مناقشتها في هذه المقالة من قبل شركات مستقلة عن Microsoft. لا تقدم Microsoft أي ضمان، ضمني أو غير ذلك، فيما يتعلق بأداء هذه المنتجات أو موثوقيتها. 

توفر Microsoft معلومات جهة اتصال تابعة لجهة خارجية لمساعدتك في العثور على معلومات إضافية حول هذا الموضوع. قد تتغير معلومات الاتصال هذه بدون إشعار. لا تضمن Microsoft دقة معلومات جهة الاتصال التابعة لجهة خارجية. 

ينطبق على:

Windows 10 للأنظمة
بالإصدار 32 بت Windows 10 للأنظمة
المستندة إلى x64 Windows 10 الإصدار 2004 للأنظمة
بالإصدار 32 بت Windows 10 الإصدار 2004 للأنظمة
المستندة إلى ARM64 Windows 10 الإصدار 2004 للأنظمة
المستندة إلى x64 Windows 10 الإصدار 1909 ل 32- أنظمة
البت Windows 10 الإصدار 1909 للأنظمة
المستندة إلى ARM64 Windows 10 الإصدار 1909 للأنظمة
المستندة إلى x64 Windows 10 الإصدار 1903 للأنظمة
التي تعمل بالإصدار 32 بت Windows 10 الإصدار 1903 للأنظمة
المستندة إلى ARM64 Windows 10 الإصدار 1903 للأنظمة
المستندة إلى x64 Windows 10 الإصدار 1809 للأنظمة
التي تعمل بالإصدار 32 بت Windows 10 الإصدار 1809 للأنظمة
المستندة إلى ARM64 Windows 10 الإصدار 1809 للأنظمة
المستندة إلى x64 Windows 10 الإصدار 1803 للأنظمة
ذات الإصدار 32 بت Windows 10 الإصدار 1803 للأنظمة
المستندة إلى ARM64 Windows 10 الإصدار 1803 للأنظمة
المستندة إلى x64 Windows 10 الإصدار 1709 للأنظمة
بالإصدار 32 بت Windows 10 الإصدار 1709 للأنظمة
المستندة إلى ARM64 Windows 10 الإصدار 1709 للأنظمة
المستندة إلى x64 Windows 10 الإصدار 1607 للأنظمة
32 بت Windows 10 الإصدار 1607 للأنظمة
المستندة إلى x64 Windows 8 .1 لأنظمة
32 بت Windows 8.1 للأنظمة
المستندة إلى x64 Windows RT 8.1
Windows Server، الإصدار 2004 (تثبيت Server Core)
Windows Server، الإصدار 1909 (تثبيت Server Core)
Windows Server، الإصدار 1903 (تثبيت Server Core)
Windows Server 2019
Windows Server 2019 (تثبيت Server Core)
Windows Server 2016
Windows Server 2016 (تثبيت Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (تثبيت Server Core)
Windows Server 2012
Windows Server 2012 (تثبيت Server Core)

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟

نشكرك على ملاحظاتك!

×