|
تغيير التاريخ |
تغيير الوصف |
|
20 مارس 2024 |
|
|
21 مارس 2024 |
|
|
22 مارس 2024 |
|
المقدمة
هذه المقالة هي ملحق للمقالة التالية التي سيتم تحديثها في أبريل 2024:
-
KB5025885: كيفية إدارة إبطالات Windows Boot Manager لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932
يصف هذا الملحق الإجراء المحدث خطوة بخطوة لنشر عوامل تخفيف جديدة مقابل حزمة التمهيد BlackLotus UEFI التي تم تعقبها بواسطة CVE-2023-24932 ويتضمن إرشادات الاختبار لبيئتك.
للمساعدة في الحماية من إساءة الاستخدام الضارة لمديري التمهيد المعرضين للخطر، يجب علينا نشر شهادة توقيع التمهيد الآمن UEFI جديدة إلى البرنامج الثابت للجهاز وإبطال الثقة في البرنامج الثابت لشهادة التوقيع الحالية. سيؤدي القيام بذلك إلى عدم الثقة في جميع مديري التمهيد الحاليين المعرضين للخطر بواسطة الأجهزة الممكنة للتمهيد الآمن. سيساعدك هذا الدليل في هذه العملية.
خطوات التخفيف الثلاث الموضحة في هذا الدليل هي كما يلي:
-
تحديث قاعدة البيانات: ستتم إضافة شهادة PCA (PCA2023) جديدة إلى قاعدة بيانات التمهيد الآمن والتي ستمكن الجهاز من تمهيد الوسائط الموقعة بواسطة هذه الشهادة.
-
تثبيت مدير التمهيد: سيتم استبدال مدير التمهيد الموقع PCA2011 الحالي بمدير التمهيد الموقع PCA2023.يتم تضمين مديري التمهيد في تحديثات الأمان لشهر أبريل 2024.
-
إبطال DBX PCA2011: ستتم إضافة إدخال رفض إلى Secure Boot DBX لمنع مديري التمهيد الموقعين مع PCA2011 من التمهيد.
ملاحظة لن يسمح برنامج Servicing Stack الذي يطبق عمليات التخفيف الثلاثة هذه بتطبيق عوامل التخفيف خارج الترتيب.
هل ينطبق هذا علي؟
ينطبق هذا الدليل على أي أجهزة مع تمكين التمهيد الآمن وجميع وسائط الاسترداد الموجودة لهذه الأجهزة.
إذا كان جهازك يعمل بنظام التشغيل Windows Server 2012 أو Windows Server 2012 R2، فتأكد من قراءة قسم "المشاكل المعروفة" قبل المتابعة.
قبل أن تبدأ
تمكين البيانات التشخيصية الاختيارية
يرجى تشغيل إعداد "إرسال بيانات تشخيصية اختيارية" عن طريق تنفيذ الخطوات التالية:
-
في Windows 11، انتقل إلى بدء >الإعدادات > الخصوصية & الأمان > الملاحظات & التشخيص.
-
قم بتشغيل إرسال بيانات تشخيصية اختيارية.
لمزيد من المعلومات، راجع التشخيصات والملاحظات والخصوصية في Windows.
ملاحظه تأكد من أن لديك اتصال بالإنترنت أثناء ولفترة من الوقت بعد التحقق من الصحة.
قم بتمرير اختبار
بعد تثبيت تحديثات Windows لشهر أبريل 2024، وقبل المرور بخطوات الاشتراك، تأكد من القيام بتمرير اختبار للتحقق من سلامة النظام الخاص بك:
-
Vpn: تحقق من أن وصول VPN إلى موارد الشركة والشبكة يعمل.
-
Windows Hello: تسجيل الدخول إلى جهاز Windows باستخدام الإجراء العادي (الوجه/بصمة الإصبع/رمز PIN).
-
Bitlocker: يبدأ النظام عادة على الأنظمة التي تدعم BitLocker دون أي مطالبة استرداد BitLocker أثناء بدء التشغيل.
-
إثبات صحة الجهاز: تحقق من أن الأجهزة التي تعتمد على Device Health Attestation تشهد بشكل صحيح على حالتها.
المشكلات المعروفة
بالنسبة إلى Windows Server 2012 وWindows Sever 2012 R2 فقط:
-
لا يمكن للأنظمة المستندة إلى TPM 2.0 توزيع عوامل التخفيف التي تم إصدارها في تصحيح الأمان ل أبريل 2024 بسبب مشكلات التوافق المعروفة مع قياسات TPM. ستحظر تحديثات أبريل 2024 عوامل التخفيف #2 (مدير التمهيد) و#3 (تحديث DBX) على الأنظمة المتأثرة.
-
تدرك Microsoft المشكلة وسيتم إصدار تحديث في المستقبل لإلغاء حظر الأنظمة المستندة إلى TPM 2.0.
-
للتحقق من إصدار TPM، انقر بزر الماوس الأيمن فوق بدء، وانقر فوق تشغيل، ثم اكتب tpm.msc. في الجزء السفلي الأيسر من الجزء الأوسط ضمن معلومات الشركة المصنعة ل TPM، يجب أن ترى قيمة لإصدار المواصفات.
خطوات التحقق من الاشتراك
تتناول بقية هذه المقالة اختبار أجهزة الاشتراك في عوامل التخفيف. لا يتم تمكين عوامل التخفيف بشكل افتراضي. إذا كانت مؤسستك تخطط لتمكين عوامل التخفيف هذه، فيرجى تنفيذ خطوات التحقق التالية للتحقق من توافق الجهاز.
-
نشر تحديث الأمان قبل الإصدار لشهر أبريل 2024.
-
افتح موجه أوامر المسؤول وقم بتعيين مفتاح التسجيل لإجراء التحديث إلى DB عن طريق كتابة الأمر التالي، ثم اضغط على مفتاح الإدخال Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
أعد تشغيل الجهاز مرتين.
-
تحقق من تحديث DB بنجاح عن طريق التأكد من أن الأمر التالي يرجع True. قم بتشغيل أمر PowerShell التالي كمسؤول:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
افتح موجه أوامر المسؤول وقم بتعيين مفتاح التسجيل لتنزيل مدير التمهيد الموقع PCA2023 وتثبيته:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
أعد تشغيل الجهاز مرتين.
-
كمسؤول، قم بتحميل قسم EFI لإعداده للفحص:
mountvol s: /s
-
تحقق من توقيع "s:\efi\microsoft\boot\bootmgfw.efi" بواسطة PCA2023. للقيام بذلك، اتبع هذه الخطوات:
-
انقر فوق بدء، واكتب موجه الأوامر في مربع البحث ، ثم انقر فوق موجه الأوامر.
-
في نافذة موجه الأوامر، اكتب الأمر التالي ثم اضغط على مفتاح الإدخال Enter.
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
في إدارة الملفات، انقر بزر الماوس الأيمن فوق الملف C:\bootmgfw_2023.efi، وانقر فوق خصائص، ثم حدد علامة التبويب التواقيع الرقمية.
-
في قائمة التوقيع، تأكد من أن سلسلة الشهادات تتضمن Windows UEFI 2023 CA.
-
تنبيه: تنشر هذه الخطوة إبطال DBX لمديري التمهيد القديمين المعرضين للخطر الذين تم توقيعهم باستخدام PCA2011 إنتاج Windows. لن يتم تشغيل الأجهزة التي تم تطبيق هذا الإبطال عليها من وسائط الاسترداد الحالية وخوادم تمهيد الشبكة (PXE/HTTP) التي لا تحتوي على مكونات مدير التمهيد المحدثة.
إذا دخل جهازك في حالة غير قابلة للتمهيد، فاتبع الخطوات الواردة في قسم "إجراءات الاسترداد والاستعادة" لإعادة تعيين الجهاز إلى حالة إبطال مسبق.
بعد تطبيق DBX، إذا كنت تريد إرجاع الجهاز إلى حالة التمهيد الآمن السابقة، فاتبع قسم "إجراءات الاسترداد والاستعادة".
تطبيق تخفيف DBX لإلغاء الثقة في شهادة PCA2011 إنتاج Windows في التمهيد الآمن:
-
افتح موجه أوامر المسؤول وقم بتعيين مفتاح التسجيل لوضع إبطال PCA2011 في DBX:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
أعد تشغيل جهازك مرتين وتأكد من إعادة تشغيله بالكامل.
-
تحقق من تطبيق تخفيف DBX بنجاح. للقيام بذلك، قم بتشغيل أمر PowerShell التالي كمسؤول وتأكد من أن الأمر يرجع True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
أو ابحث عن الحدث التالي في عارض الأحداث:
سجل الأحداث
النظام
مصدر الحدث
TPM-WMI
معرف الحدث
1037
المستوى
معلومات
نص رسالة الحدث
تم تطبيق تحديث Secure Boot Dbx لإبطال Microsoft Windows Production PCA 2011 بنجاح
-
قم بإجراء عناصر اجتياز الاختبار من قسم "قبل البدء" وتأكد من أن جميع الأنظمة تعمل بشكل طبيعي.
مرجع مفتاح التسجيل
|
الامر |
الغرض |
تعليقات |
|
تثبيت تحديث DB للسماح لمدير التمهيد الموقع PCA2023 |
|
الامر |
الغرض |
تعليقات |
|
تثبيت bootmgr الموقع PCA2023 |
القيمة التي تم تكريمها فقط بعد اكتمال خطوة 0x40 |
|
الامر |
الغرض |
تعليقات |
|
تثبيت تحديث DBX الذي يلغي PCA2011 |
القيمة التي يتم احترامها فقط بعد اكتمال كلتا الخطوتين 0x40 & 0x100 |
النتائج والملاحظات
أرسل بريدا إلكترونيا إلى suvp@microsoft.com مع نتائج الاختبار والأسئلة والملاحظات.
إجراءات الاسترداد والاستعادة
عند تنفيذ إجراءات الاسترداد، شارك البيانات التالية مع Microsoft:
-
لقطة شاشة لفشل التمهيد الذي تمت ملاحظته.
-
الخطوات التي تم تنفيذها والتي أدت إلى أن يصبح الجهاز غير قابل للتمهيد.
-
تفاصيل تكوين الجهاز.
عند تنفيذ إجراء استعادة، قم بإيقاف BitLocker مؤقتا قبل بدء الإجراء.
إذا حدث خطأ أثناء هذه العملية ولم تتمكن من بدء تشغيل جهازك أو كنت بحاجة إلى البدء من الوسائط الخارجية (على سبيل المثال، محرك الأقراص الإبهام أو تمهيد PXE)، فجرب الإجراءات التالية.
-
إيقاف تشغيل التمهيد
الآمن يختلف هذا الإجراء بين الشركات المصنعة للكمبيوتر الشخصي والنماذج. أدخل قائمة PCs UEFI BIOS وانتقل إلى إعداد Secure Boot وقم بإيقاف تشغيله. تحقق من الوثائق من الشركة المصنعة للكمبيوتر للحصول على تفاصيل حول هذه العملية. لمزيد من المعلومات، راجع تعطيل التمهيد الآمن. -
مسح مفاتيح
التمهيد الآمن إذا كان الجهاز يدعم مسح مفاتيح التمهيد الآمن أو إعادة تعيين مفاتيح التمهيد الآمن إلى الإعدادات الافتراضية للمصنع، فنفذ هذا الإجراء الآن.
يجب أن يبدأ جهازك الآن ولكن لاحظ أنه عرضة للبرامج الضارة الخاصة بمجموعات التمهيد. تأكد من إكمال الخطوة 5 في نهاية عملية الاسترداد هذه لإعادة تمكين التمهيد الآمن. -
حاول بدء تشغيل Windows من قرص النظام.
-
إذا تم تمكين BitLocker ودخل في الاسترداد، أدخل مفتاح استرداد BitLocker.
-
تسجيل الدخول إلى Windows.
-
قم بتشغيل الأوامر التالية من موجه أوامر المسؤول لاستعادة ملفات التمهيد في قسم تمهيد نظام EFI:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
يجب أن يؤدي تشغيل BCDBoot إلى إرجاع "تم إنشاء ملفات التمهيد بنجاح. "
-
إذا تم تمكين BitLocker، فقم بإيقاف BitLocker مؤقتا.
-
أعد تشغيل الجهاز.
-
-
إذا لم تسترد الخطوة 3 الجهاز بنجاح، فقم بإعادة تثبيت Windows.
-
ابدأ من وسائط الاسترداد الموجودة.
-
تابع لتثبيت Windows باستخدام وسائط الاسترداد.
-
تسجيل الدخول إلى Windows.
-
أعد التشغيل للتحقق من بدء تشغيل الجهاز بنجاح إلى Windows.
-
-
إعادة تمكين التمهيد الآمن وإعادة تشغيل الجهاز.
أدخل قائمة devicce UEFI وانتقل إلى إعداد Secure Boot وقم بتشغيله. تحقق من الوثائق من الشركة المصنعة لجهازك للحصول على تفاصيل حول هذه العملية. لمزيد من المعلومات، راجع إعادة تمكين التمهيد الآمن. -
إذا استمر فشل بدء تشغيل Windows، أدخل UEFI BIOS مرة أخرى وأوقف تشغيل التمهيد الآمن.
-
بدء تشغيل Windows.
-
مشاركة محتويات DB وDBX مع Microsoft.
-
افتح PowerShell في وضع المسؤول.
-
التقاط DB:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
التقاط DBX:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
مشاركة الملفات DBUpdateFw.bindbxUpdateFw.bin إنشاؤها في الخطوات 8b و8c.
-
