Отнася се за
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Първоначална дата на публикуване: 9 май 2023 г.

ИД на БЗ: 5025885

ВАЖНО Трябва да приложите актуализацията на защитата на Windows, издадена на 8 юли 2025 г., или по-нова актуализация като част от вашия редовен процес на месечно актуализиране.

Тази статия се отнася за тези организации, които трябва да започнат да оценяват смекчавания на публично оповестеното заобикаляне на защитеното стартиране, използвано от комплекта за стартиране на BlackLotus UEFI. Освен това може да искате да заемете проактивна позиция на защитата или да започнете да се подготвяте за внедряването. Обърнете внимание, че този злонамерен софтуер изисква физически или администраторски достъп до устройството.

ВНИМАНИЕ След като смекчаването за този проблем е разрешено на устройство, което означава, че смекчаванията са приложени, то не може да бъде върнато, ако продължите да използвате защитено зареждане на това устройство. Дори преформатирането на диска няма да премахне анулираните елементи, ако те вече са приложени. Бъдете наясно с всички възможни последици и тествайте задълбочено, преди да приложите анулираните решения, описани в тази статия, на вашето устройство.

В тази статия

Резюме

Тази статия описва защитата срещу публично оповестеното заобикаляне на функцията за защита на защитеното стартиране, което използва bootkit BlackLotus UEFI, проследяван от CVE-2023-24932, как да разрешите смекчаванията и указания за стартиращ носител. Bootkit е злонамерена програма, която е проектирана да се зарежда възможно най-рано в последователността на зареждане на устройството, за да се управлява стартирането на операционната система.

Защитеното стартиране се препоръчва от Microsoft, за да се направи безопасен и надежден път от унифицирания разширяем интерфейс за фърмуер (UEFI) през последователността на надеждно стартиране на ядрото на Windows. Защитеното стартиране помага за предотвратяване на злонамерен софтуер bootkit в последователността на стартиране. Забраняването на защитеното стартиране излага устройството на риск от заразяване със злонамерен софтуер bootkit. Коригирането на заобикалянето на защитеното стартиране, описано в CVE-2023-24932, изисква анулиране на диспечерите за зареждане. Това може да причини проблеми за някои конфигурации за стартиране на устройство.

Предпазните мерки срещу заобикалянето на защитеното зареждане, описани подробно в CVE-2023-24932 , са включени в актуализациите на защитата на Windows, които са издадени на 9 юли 2024 г., и по-новите актуализации. Тези смекчавания обаче не са разрешени по подразбиране. С тези актуализации ви препоръчваме да започнете да оценявате тези промени в рамките на вашата среда. Пълният график е описан в раздела "Времена на актуализациите ".

Преди да разрешите тези смекчавания, трябва внимателно да прегледате подробностите в тази статия и да определите дали трябва да разрешите смекчаванията, или да изчакате бъдеща актуализация от Microsoft. Ако изберете да разрешите смекчаванията, трябва да проверите дали вашите устройства са актуализирани и готови и да разберете рисковете, описани в тази статия. 

обратно към началото 

Предприемане на действие 

За това издание трябва да се следват следните стъпки:

Стъпка 1: Инсталирайте актуализацията на защитата на Windows, издадена на 8 юли 2025 г., или по-нова актуализация за всички поддържани версии.

Стъпка 2: Оценете промените и как те засягат вашата среда.

Стъпка 3: Приложете промените.

обратно към началото  

Обхват на въздействие

Всички устройства с Windows с разрешени защитени опции за стартиране са засегнати от комплекта за стартиране на BlackLotus. Предпазни мерки са налични за поддържаните версии на Windows. За пълен списък вж. CVE-2023-24932.

обратно към началото  

Разбиране на рисковете

Риск от злонамерен софтуер: За да бъде възможна използваната програма за стартиране на BlackLotus UEFI, описана в тази статия, атакуващият трябва да получи административни привилегии на дадено устройство или да получи физически достъп до устройството. Това може да се направи чрез физически или отдалечен достъп до устройството, като например чрез използване на софтуер за управление за достъп до виртуални машини/облак. Атакуващите често ще използват тази уязвимост, за да продължат да контролират устройство, до което вече имат достъп и което вероятно могат да манипулират. Смекчаванията в тази статия са превантивни, а не корективни. Ако вашето устройство вече е компрометирано, свържете се с вашия доставчик за защита за помощ.

Носител за възстановяване: Ако срещнете проблем с устройството след прилагане на мерките за смекчаване и то не може да се зареди, може да не успеете да стартирате или възстановите устройството от съществуващ носител. Носителят за възстановяване или инсталиране ще трябва да се актуализира, така че да работи с устройство, към което са приложени мерките за смекчаване.

Проблеми с фърмуера: Когато Windows прилага смекчаванията, описани в тази статия, операционната система трябва да разчита на фърмуера UEFI на устройството, за да актуализира стойностите на защитеното стартиране (актуализациите се прилагат към ключа на базата данни (DB) и забранения ключ за подпис (DBX)). В някои случаи имаме опит с устройства, които не успяват да преминат през актуализациите. Работим с производителите на устройства, за да тестваме тези ключови актуализации на възможно най-много устройства.

БЕЛЕЖКА Първо тествайте тези смекчавания на едно устройство за всеки клас устройства във вашата среда, за да откриете възможни проблеми с фърмуера. Не разполагайте широко, преди да потвърдите, че всички класове устройства във вашата среда са оценени.

Възстановяване на BitLocker: Някои устройства може да преминат в режим на възстановяване на BitLocker. Не забравяйте да запазите копие на вашия ключ за възстановяване на BitLocker , преди да разрешите смекчаванията.

обратно към началото  

Известни проблеми

Проблеми с фърмуера:Не всички фърмуери на устройството ще актуализират успешно базата данни за защитено стартиране или DBX. В известните ни случаи сме съобщили за проблема на производителя на устройството. Вижте KB5016061: Събития за актуализиране на променливи DB със защитено стартиране и DBX за подробности относно регистрираните събития. Свържете се с производителя на устройството за актуализации на фърмуера. Ако устройството не се поддържа, Microsoft препоръчва надстройване на устройството.

Известни проблеми с фърмуера:

БЕЛЕЖКА Следните известни проблеми не оказват влияние върху и няма да попречат на инсталирането на актуализациите от 8 юли 2025 г. или по-нови. В повечето случаи мерките няма да се прилагат, когато има известни проблеми. Вижте посочените подробности за всеки известен проблем.

  • Устройства на HP със сигурност "Сигурен старт": Тези устройства се нуждаят от най-новите актуализации на фърмуера от HP, за да инсталират смекчаванията. Смекчаванията са блокирани, докато фърмуерът не бъде актуализиран. Инсталирайте най-новата актуализация на фърмуера от страницата за поддръжка на HP — официално изтегляне на драйвери и софтуер на HP | Поддръжка на HP.

  • Устройства, базирани на Arm64: Мерките за смекчаване са блокирани поради известни проблеми с фърмуера на UEFI с устройства, базирани на Qualcomm. Microsoft работи с Qualcomm за разрешаването на този проблем. Qualcomm ще предостави корекцията на производителите на устройствата. Свържете се с производителя на устройството, за да определите дали има корекция за този проблем. Microsoft ще добави откриване, за да позволи смекчаването да се прилагат на устройства, когато е открит фиксираният фърмуер. Ако вашето устройство, базирано на Arm64, няма фърмуер Qualcomm, конфигурирайте следния ключ от системния регистър, за да разрешите смекчаванията.

    Подключ на системния регистър

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Име на стойност на ключ

    SkipDeviceCheck

    Тип данни

    REG_DWORD

    Данни

    1

  • Ябълка:Компютри Mac, които имат чип за защита Apple T2, поддържат защитено стартиране. Въпреки това актуализирането на променливи, свързани със защитата на UEFI, е налично само като част от актуализациите на macOS. От потребителите на Boot Camp се очаква да виждат запис в регистрационния файл на събитията с ИД на събитие 1795 в Windows, свързан с тези променливи. За повече информация относно този запис на регистрационен файл вижте KB5016061: Събития за актуализиране на променливи DB за защитено стартиране и DBX.

  • VMware:В среди за виртуализация, базирани на VMware, VM, използваща x86-базиран процесор с разрешено защитено зареждане, няма да успее да стартира след прилагането на смекчаващите мерки. Microsoft се координира с VMware за разрешаването на този проблем.

  • Системи, базирани на TPM 2.0:  Тези системи, които работят с Windows Server 2012 и Windows Server 2012 R2, не могат да разположат предпазните мерки, издадени в актуализацията на защитата от 9 юли 2024 г. или по-късна, поради известни проблеми със съвместимостта с TPM измервания. Актуализацията на защитата от 9 юли 2024 г. или по-нова актуализация ще блокира смекчавания на последствията #2 (диспечер за зареждане) и #3 (актуализация на DBX) на засегнатите системи.Microsoft е наясно с проблема и в бъдеще ще бъде издадена актуализация за деблокиране на системи, базирани на TPM 2.0.За да проверите своята версия на TPM, щракнете с десния бутон върху "Старт", щракнете върху "Изпълнение" и след това въведете tpm.msc. В долния десен ъгъл на централния екран под "Информация за производителя на TPM" трябва да видите стойност за "Версия на спецификацията".

  • Шифроване на крайна точка на Symantec: Смекчавания на защитеното стартиране не могат да се прилагат към системи, които имат инсталирано шифроване на крайна точка Symantec. Microsoft и Symantec са наясно с проблема и ще бъде обърнато внимание на него в бъдеща актуализация.

обратно към началото  

Указания за това издание

За това издание изпълнете следните стъпки.

Стъпка 1: Инсталирайте актуализацията на защитата на Windows Инсталирайте месечната актуализация на защитата на Windows, издадена на 8 юли 2025 г., или по-нова актуализация на поддържаните устройства с Windows. Тези актуализации включват смекчавания за CVE-2023-24932, но не са разрешени по подразбиране. Всички устройства с Windows трябва да изпълнят тази стъпка, независимо дали планирате да разположите смекчаванията.

Стъпка 2: Оценете промените Препоръчваме ви да направите следното:

  • Разберете първите две смекчавания, които позволяват актуализиране на базата данни за защитено стартиране и актуализиране на диспечера за зареждане.

  • Прегледайте актуализирания график.

  • Започнете да тествате първите две смекчавания спрямо представителни устройства от вашата среда.

  • Започнете да планирате разполагането.

Стъпка 3: Налагане на промените

Препоръчваме ви да разберете рисковете, посочени в раздела "Разбиране на рисковете".

  • Разберете въздействието върху възстановяването и други стартиращи носители.

  • Започнете тестването на третото смекчаване, което преструва на сертификата за подписване, използван за всички предишни диспечери за зареждане на Windows.

обратно към началото  

Указания за разполагане на смекчаване на последствията

Преди да изпълните тези стъпки за прилагане на смекчаващи мерки, инсталирайте месечната актуализация за обслужване на Windows, издадена на 8 юли 2025 г., или по-нова актуализация на поддържаните устройства с Windows. Тази актуализация включва смекчавания за CVE-2023-24932, но те не са разрешени по подразбиране. Всички устройства с Windows трябва да изпълнят тази стъпка, независимо от вашия план за разрешаване на смекчаванията.

БЕЛЕЖКА Ако използвате BitLocker, се уверете, че вашият ключ за възстановяване на BitLocker е архивиран. Можете да изпълните следната команда от административния команден прозорец и да обърнете внимание на 48-цифрената цифрова парола:

manage-bde -protectors -get %systemdrive%

За да разположите актуализацията и да приложите анулиранията, изпълнете следните стъпки:

  1. Инсталирайте сертификатите за защитено стартиране за 2023 г. в базата данни.

    Тази стъпка ще добави сертификатите за защитено стартиране от 2023 г. към "базата данни за подписи на защитеното стартиране" (DB) на UEFI и променливата ключ за ключ на Exchange. Освен това той ще актуализира диспечера за зареждане до подписания диспечер за зареждане от 2023 г.

    1. Задайте ключа от системния регистър за извършване на актуализацията на DB. За да направите това, отворете прозорец на командния прозорец на PowerShell като администратор, въведете всяка от следните команди поотделно и след това натиснете клавиша Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. Изпълнете следната команда на PowerShell като администратор и проверете дали базата данни е актуализирана успешно. Тази команда трябва да върне Истина.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

      Забележка Може да се наложи рестартиране, ако функцията за виртуален защитен режим е разрешена на устройството. Това включва функции като Credential Guard, Device Guard и Windows Hello.

  2. Проверете дали сертификатите за защитено стартиране за 2023 г. и диспечера за зареждане са актуализирани на вашето устройство.

    Тази стъпка ще провери дали сертификатите са приложени и диспечерът за зареждане е актуализиран до подписаната версия ""Windows UEFI CA 2023".

    Изпълнете следната команда на PowerShell като администратор и проверете дали актуализациите са приложени успешно. Тази команда трябва да върне актуализирана.

    (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing").UEFICA2023Status

  3. Разрешаване на анулирането.

    Списъкът за забраняване на UEFI (DBX) се използва за блокиране на зареждането на ненадеждни UEFI модули. В тази стъпка актуализирането на DBX ще добави сертификата "Windows Production CA 2011" към DBX. Това ще доведе до това всички диспечери за зареждане, подписани с този сертификат, да не са надеждни.

    ПРЕДУПРЕЖДЕНИЕ: Преди да приложите третото смекчаване, създайте флаш устройство за възстановяване, което може да се използва за стартиране на системата. За информация как да направите това, вижте раздела "Актуализиране на носител на Windows".

    Ако вашата система е в състояние, в което не може да се стартира, следвайте стъпките в раздела Процедура за възстановяване, за да нулирате устройството до състояние, преди анулирането.

    1. Добавете сертификата "Windows Production PCA 2011" към списъка със забранени UEFI (DBX) за защитено стартиране. За целта отворете прозорец на MS-DOS като администратор, въведете всяка от следните команди поотделно, след което натиснете клавиша Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. Проверете дали списъкът за инсталиране и анулиране е приложен успешно, като потърсите събитие 1037 в регистъра на събитията.За информация относно събитие 1037 вижте KB5016061: Събития за актуализиране на DB за защитено стартиране и променливи DBX. Или изпълнете следната команда на PowerShell като администратор и се уверете, че връща True:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. Приложете актуализацията на SVN към фърмуера. Диспечерът за зареждане, разположен в стъпка 2, разполага с нова вградена функция за самоанулиране. Когато диспечерът за зареждане започне да се изпълнява, той извършва самостоятелна проверка, като сравнява номера на защитената версия (SVN), съхранен във фърмуера, с SVN, вграден в диспечера за зареждане. Ако SVN на диспечера за зареждане е по-нисък от SVN, съхранен във фърмуера, диспечерът за зареждане ще откаже да се изпълнява. Тази функция не позволява на атакуващия да върне диспечера за зареждане до по-стара, неактуализирана версия.В бъдещи актуализации, когато бъде коригиран значителен проблем със защитата в диспечера за зареждане, SVN номерът ще се увеличава както в диспечера за зареждане, така и при актуализацията на фърмуера. И двете актуализации ще бъдат издадени в една и съща кумулативна актуализация, за да се гарантира, че коригираните устройства са защитени. При всяко актуализиране на SVN всеки стартов носител ще трябва да се актуализира.От актуализациите от 9 юли 2024 г. SVN се увеличава в диспечера за зареждане и с актуализацията на фърмуера. Актуализацията на фърмуера не е задължителна и може да бъде приложена посредством следната стъпка:

    1. Приложете актуализацията на SVN към фърмуера. За целта отворете прозорец на MS-DOS като администратор, въведете всяка от следните команди поотделно, след което натиснете клавиша Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

обратно към началото  

Актуализиране на инсталационен носител на Windows

БЕЛЕЖКА Когато създавате стартиращо USB флаш устройство, не забравяйте да форматирате устройството с помощта на файловата система FAT32.

Можете да използвате приложението "Създаване на устройство за възстановяване ", като следвате тези стъпки. Този носител може да се използва за преинсталиране на устройство в случай че има сериозен проблем, като например отказ на хардуера, ще можете да използвате устройството за възстановяване, за да преинсталирате Windows.

  1. Отидете на устройство, на което са приложени актуализацията от 8 юли 2025 г. или по-нова актуализация и първата стъпка за смекчаване (актуализиране на базата данни за защитено стартиране).

  2. От менюто "Старт " потърсете аплета на контролния панел "Създаване на устройство за възстановяване" и следвайте инструкциите, за да създадете устройство за възстановяване.

  3. При монтирано новосъздадено флаш устройство (например като устройство "D:"), изпълнете следните команди като администратор. Въведете всяка от следните команди и след това натиснете Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ако управлявате инсталационен носител във вашата среда, като използвате " Актуализиране на инсталационен носител на Windows" с указания за динамично актуализиране , следвайте тези стъпки. Тези допълнителни стъпки ще създадат стартиращо флаш устройство, което използва файлове за стартиране, подписани със сертификат за подписване "Windows UEFI CA 2023".

  1. Отидете на устройство, на което е приложена актуализацията от 8 юли 2025 г. или по-нова актуализация и първата стъпка за смекчаване (актуализиране на базата данни за защитено стартиране).

  2. Следвайте стъпките във връзката по-долу, за да създадете носител с актуализацията от 8 юли 2025 г. или по-нова актуализация: Актуализиране на инсталационен носител на Windows с динамична актуализация

  3. Поставете съдържанието на носителя върху USB флаш устройство и монтирайте преносимо устройство като буква на устройство. Например монтирайте флаш устройството като "D:".

  4. Изпълнете следните команди от командния прозорец като администратор. Въведете всяка от следващите команди и след това натиснете Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ако настройките за защитено стартиране на устройството са нулирани до стойностите по подразбиране след прилагане на мерките за смекчаване, устройството няма да се стартира. За да се разреши този проблем, в актуализациите от 9 юли 2024 г. е включено приложение за поправка, което може да се използва за повторно прилагане на сертификата "Windows UEFI CA 2023" към базата данни (смекчаване #1).

БЕЛЕЖКА Не използвайте това приложение за поправка на устройство или система, които са описани в раздела "Известни проблеми ".

  1. Отидете на устройство, на което е приложена актуализацията от 8 юли 2025 г. или по-нова.

  2. В команден прозорец копирайте приложението за възстановяване на флаш устройството с помощта на следните команди (ако се приеме, че флаш устройството е устройството "D:"). Въведете всяка команда поотделно и след това натиснете Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi

  3. На устройството, чиито настройки за защитено стартиране са нулирани до стойностите по подразбиране, поставете флаш устройството, рестартирайте устройството и стартирайте от флаш устройството.

обратно към началото  

Време за актуализациите

Актуализации се издават, както следва:

  • Първоначално разполагане Тази фаза започна с актуализации, издадени на 9 май 2023 г., и предостави основни смекчавания с ръчни стъпки, за да разрешите тези смекчавания.

  • Второ разполагане Тази фаза започна с актуализации, издадени на 11 юли 2023 г., които добавиха опростени стъпки за разрешаване на смекчаването на проблема.

  • Етап на оценка Тази фаза започна на 9 април 2024 г. и добави допълнителни смекчавания на диспечера за зареждане.

  • Етап на внедряване Тази фаза започна през юли 2024 г. Клиентите трябва да започнат да прилагат смекчавания и да актуализират носителя сега.

  • Етап на изпълнение Етапът на прилагане, който ще направи смекчаванията постоянни. Датата за тази фаза ще бъде обявена на по-късна дата.

Забележка Графикът на издаване може да бъде преразгледан, ако е необходимо.

9 май 2023 г. – фаза на първоначално внедряване

Тази фаза е заменена от актуализациите на защитата на Windows, издадени на 9 април 2024 г., и по-нови актуализации.

11 юли 2023 г. – втора фаза на внедряване

Тази фаза е заменена от актуализациите на защитата на Windows, издадени на 9 април 2024 г., и по-нови актуализации.

9 април 2024 г. или по-късно – етап на оценка

На този етап ви молим да тествате тези промени във вашата среда, за да се уверите, че промените работят правилно с представителни примерни устройства и да придобиете опит с промените.

БЕЛЕЖКА Вместо да се опитваме изчерпателно да изброим и да се доверим на уязвимите диспечери за зареждане, както направихме в предишните фази на разполагане, добавяме сертификата за подписване "Windows Production PCA 2011" към списъка за забраняване на защитено стартиране (DBX), за да не се доверяваме на всички диспечери за зареждане, подписани с този сертификат. Това е по-надежден метод за гарантиране, че всички предишни диспечери за зареждане са ненадеждни.

Актуализации за Windows, издадени на 9 април 2024 г., и по-късните актуализации добавят следното:

  • Три нови контроли за смекчаване, които заместват мерките за смекчаване, публикувани през 2023 г. Новите контроли за смекчаване са:

    • Контрола за разполагане на сертификата "Windows UEFI CA 2023" в базата данни за защитено стартиране, за да се добави доверие за диспечерите за зареждане на Windows, подписани с този сертификат. Имайте предвид, че сертификатът "Windows UEFI CA 2023" може да е бил инсталиран от по-ранна актуализация на Windows.

    • Контрола за разполагане на диспечер за зареждане, подписан със сертификат "Windows UEFI CA 2023".

    • Контрола за добавяне на "Windows Production PCA 2011" към DBX за защитено стартиране, което ще блокира всички диспечери за зареждане на Windows, подписани с този сертификат.

  • Възможността за разрешаване на внедряването на смекчаването на последствията поетапно, независимо отдръпно, за да се даде по-голям контрол при разполагането на мерките за смекчаване във вашата среда въз основа на вашите нужди.

  • Мерките за смекчаване са блокирани помежду си, така че да не могат да бъдат разположени в неправилен ред.

  • Допълнителни събития, за да знаете състоянието на устройствата, докато прилагат мерките за смекчаване. Вижте KB5016061: Събития за актуализиране на DB със защитено стартиране и променливи DBX за повече подробности относно събитията.

9 юли 2024 г. или по-нова – фаза на разполагане

Тази фаза е моментът, в който насърчаваме клиентите да започнат да разполагат мерките за смекчаване на последствията и да управляват всички актуализации на мултимедия. Актуализациите включват следната промяна:

  • Добавена поддръжка за защитен номер на версия (SVN) и настройка на актуализирана SVN във фърмуера.

Следва кратък преглед на стъпките за разполагане в предприятие.

Забележка Допълнителни указания, които ще предоставят с по-късни актуализации на тази статия.

  • Разположете първото смекчаване на последствията на всички устройства в предприятието или на управлявана група от устройства в предприятието. Това включва:

    • Включване в първото смекчаване, което добавя сертификата за подписване "Windows UEFI CA 2023" към фърмуера на устройството.

    • Следене дали устройствата са добавили успешно сертификат за подписване "Windows UEFI CA 2023".

  • Разположете второто смекчаване, което прилага актуализирания диспечер за зареждане на устройството.

  • Актуализирайте всички носители за възстановяване или външни стартиращи носители, използвани с тези устройства.

  • Разположете третото смекчаване, което разрешава анулирането на сертификата "Windows Production CA 2011", като го добавите към DBX във фърмуера.

  • Разположете четвъртото смекчаване, което актуализира номера на защитената версия (SVN) на фърмуера.

Дата, която предстои да бъде обявена – етап на изпълнение

Фазата на прилагане няма да започне преди януари 2026 г. и в тази статия ще дадем поне шест месеца предварително предупреждение, преди тази фаза да започне. Когато бъдат издадени актуализации за фазата на прилагане, те ще включват следното:

  • Сертификатът "Windows Production PCA 2011" ще бъде анулиран автоматично, като бъде добавен към списъка със забранени UEFI (DBX) за защитено стартиране на устройства, които могат да функционират. Тези актуализации ще бъдат приложени програмно след инсталиране на актуализации за Windows на всички засегнати системи без опция за дезактивиране.

обратно към началото  

Грешки в регистъра на събитията в Windows, свързани с CVE-2023-24932

Записите в регистъра на събитията на Windows, свързани с актуализирането на DB и DBX, са описани подробно в KB5016061: Събития за актуализиране на база данни със защитено стартиране и променливи DBX.

Събитията от тип "успех", свързани с прилагането на смекчаванията, са изброени в следващата таблица.

Стъпка за смекчаване

ИД на събитие

Бележки

Прилагане на актуализацията на базата данни

1036

Сертификатът за PCA2023 е добавен към базата данни.

Актуализиране на диспечера за зареждане

1799

Приложен е PCA2023 подписан диспечер за зареждане.

Прилагане на актуализацията на DBX

1037

Приложена е актуализацията на DBX, която не се доверява на сертификата за подписване на PCA2011.

Прилагане на SVN

1042

DBX се актуализира с най-новата SVN, за да блокира по-стария диспечер за зареждане

обратно към началото  

Често задавани въпроси (ЧЗВ)

  • Приложих анулиранията на моето устройство и трябва да го преинсталирам или възстановя. Защо не мога да стартирам устройството си чрез носител за възстановяване (CD/DVD, PXE зареждане, USB устройство)?

  • Моето устройство използва няколко операционни системи. Как да актуализирам моята система?

    Актуализирайте всички операционни системи Windows с актуализации, издадени на или след 9 юли 2024 г., преди да приложите анулиранията. Възможно е да не можете да стартирате никоя версия на Windows, която не е актуализирана поне до актуализациите, издадени на 9 юли 2024 г., след като приложите анулираните лицензии. Следвайте указанията в раздела "Отстраняване на проблеми при стартиране ".

  • Какви типове съобщения за грешки при стартиране може да са свързани с подсилването на защитата, описано в тази статия?

    Вижте раздела Отстраняване на проблеми при стартиране .

обратно към началото 

Отстраняване на проблеми със стартирането

След прилагането на трите смекчавания фърмуерът на устройството няма да се стартира с помощта на диспечера за зареждане, подписан от Windows Production PCA 2011. Неуспешните стартирания, докладвани от фърмуера, са специфични за конкретното устройство. Вижте раздела "Процедура по възстановяване ".

обратно към началото  

Процедура за възстановяване

Ако нещо се обърка при прилагането на мерките за смекчаване и не можете да стартирате вашето устройство или трябва да стартирате от външен носител (като например преносимо устройство или PXE стартиране), опитайте следните предложения:

  1. Изключете защитеното стартиране.Тази процедура се различава при различните производители на устройства и модели. Въведете менюто UEFI BIOS на вашите устройства, отидете до настройките на защитеното стартиране и го изключете. Проверете документацията от производителя на вашето устройство за подробности за този процес. Повече подробности можете да намерите в Забраняване на защитеното стартиране.

  2. Нулирайте ключовете на защитеното стартиране до фабричните настройки по подразбиране.

    Ако устройството поддържа нулиране на ключовете на защитеното стартиране до фабричните настройки по подразбиране, извършете това действие сега.

    БЕЛЕЖКА Някои производители на устройства имат опция както "Изчистване", така и "Нулиране" за променливи на защитеното стартиране, в който случай трябва да се използва "Нулиране". Целта е променливите на защитеното стартиране да бъдат върнати към стойностите по подразбиране на производителя.

    Устройството трябва да стартира сега, но имайте предвид, че е уязвимо на злонамерен софтуер за стартиране. Не забравяйте да изпълните стъпка 5 от този процес на възстановяване, за да активирате отново защитеното стартиране.

  3. Опитайте да стартирате Windows от системния диск.

    1. Влезте в Windows.

    2. Изпълнете следните команди от командния прозорец на администратора, за да възстановите файловете за стартиране в дяла за стартиране на системата EFI. Въведете всяка команда поотделно и след това натиснете Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Изпълнението на BCDBoot връща съобщение "Файловете за стартиране са създадени успешно." След като това съобщение бъде изведено, рестартирайте устройството обратно в Windows.

  4. Ако стъпка 3 не успее да възстанови устройството, преинсталирайте Windows.

    1. Стартирайте устройството от съществуващ носител за възстановяване.

    2. Продължете да инсталирате Windows с помощта на носителя за възстановяване.

    3. Влезте в Windows.

    4. Рестартирайте Windows, за да проверите дали устройството се стартира обратно в Windows.

  5. Разрешете отново защитеното стартиране и рестартирайте устройството.Влезте в менюто за UEFI на устройството, отидете в настройките на защитеното стартиране и го включете. Проверете документацията от производителя на вашето устройство за подробности за този процес. Повече информация можете да намерите в раздела "Повторно активиране на защитеното стартиране".

обратно към началото

Справочни материали

Отказ от отговорност за информация от трети лица

Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не даваме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка на трети лица.

обратно към началото

Регистър на промените

Дата на промяната

Описание на промяната

2 юни 2026 г.

  • Добавен е ИД на събитие 1042 към таблицата с регистрационния файл на събитията

2 април 2026 г.

  • В раздела "Указания за разполагане на смекчаване":

    • Преформулирана стъпка 2 за използване на команда на PowerShell за проверка дали сертификатите за защитено стартиране за 2023 г. и диспечерът за зареждане са актуализирани.

1 април 2026 г.

  • В раздела "Указания за разполагане на смекчаване":

    • Преформулирана е стъпка 1 с цел пояснение, че това се отнася за сертификатите за защитено стартиране.

    • Преформулирана е стъпка 1а, за да се поясни, че командата се изпълнява в команден прозорец на PowerShell.

    • Преформулирана стъпка 2, за да покаже, че проверяваме дали диспечерът за зареждане е подписан.

    • Премахната предишна стъпка 2а, тъй като вече не е приложима: Задайте ключа от системния регистър за инсталиране на подписания диспечер за зареждане "'Windows UEFI CA 2023". За целта отворете прозорец на MS-DOS като администратор, въведете всяка от следните команди поотделно, след което натиснете клавиша Enter: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

21 октомври 2025 г.

  • Премахната е секцията "Стартиращ носител".Стартиращ носител Ще бъде важно да актуализирате стартовия носител, след като фазата на разполагане започне във вашата среда.Указания за актуализиране на стартов носител се предоставят с бъдещи актуализации към тази статия. Вижте следващия раздел за

8 септември 2025 г.

  • Премахнато следното от раздела "Известни проблеми с фърмуера", тъй като е разрешено:HP: HP идентифицира проблем с инсталирането за смекчаване на последствията на компютрите HP Z4G4 Workstation и ще пусне актуализиран Z4G4 UEFI фърмуер (BIOS) през следващите седмици. За да се осигури успешно инсталиране на смекчаването, то ще бъде блокирано на настолните работни станции, докато актуализацията не стане налична. Клиентите винаги трябва да актуализират до най-новия системен BIOS, преди да приложат смекчаването.

10 юли 2025 г.

  • Актуализирано е датата от 9 юли 2024 г. до 8 юли 2025 г. в повечето случаи в тази статия.

24 юни 2025 г.

  • Добавена е следната бележка към стъпка 1b в раздела "Указания за разполагане на смекчаване":Забележка Може да се наложи рестартиране, ако функцията "Виртуален защитен режим" е разрешена на устройството. Това включва функции като Credential Guard, Device Guard и Windows Hello.

5 май 2025 г.

  • Премахната е следната важна забележка в стъпка 1a в раздела "Указания за разполагане на смекчаване":ВАЖНО Не забравяйте да рестартирате устройството два пъти, за да завършите инсталирането на актуализацията, преди да продължите към стъпки 2 и 3.

  • Добавена втора команда към стъпка 1a в раздела "Указания за разполагане на смекчаване": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Добавена втора команда към стъпка 3а в раздела "Указания за разполагане на смекчаване": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Премахната е следната стъпка (предишна стъпка 3b) в раздела "Указания за разполагане на смекчаване": Рестартирайте устройството два пъти и потвърдете, че е рестартирано напълно.

  • Добавена втора команда към стъпка 2а в раздела "Актуализиране на диспечера за зареждане на вашето устройство": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Премахната е следната стъпка (предишна стъпка 2b) в раздела "Актуализиране на диспечера за зареждане на вашето устройство": Рестартирайте устройството два пъти.

  • Добавена втора команда към стъпка 4а в раздела "Прилагане на актуализацията на SVN към фърмуера": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Премахната е следната стъпка (предишна стъпка 4b) в раздела "Прилагане на актуализацията на SVN към фърмуера": Рестартирайте устройството два пъти.

13 февруари 2025 г.

  • Променена стъпка 4a от раздела "Указания за разполагане на смекчаване" от "Отворете командния прозорец на администратор и изпълнете следната команда, за да инсталирате ""Windows UEFI CA 2023" подписан диспечер за зареждане" на "Отворете командния прозорец на администратор и изпълнете следната команда, за да приложите актуализацията на SVN към фърмуера".

24 януари 2025 г.

  • Актуализирана е информацията за датата в раздела "Дата за обявяване – фаза на прилагане".

9 юли 2024 г.

  • Актуализирана "Стъпка 2: Оценете промените" с цел премахване на датата 9 юли 2024 г.

  • Актуализирани всички повторения от датата от 9 април 2024 г. до 9 юли 2024 г. с изключение на раздела "Време на актуализациите".

  • Разделът "стартиращ носител" е актуализиран и заменен съдържание с "Указания за актуализиране на стартиращ носител се предоставят при бъдещи актуализации."

  • Актуализирано "9 юли 2024 г. или по-късно – фазата на внедряване започва" в раздела "Време на актуализациите".

  • Добавена стъпка 4 "Прилагане на актуализацията на SVN към фърмуера" в раздела "Указания за разполагане на смекчаване".

9 април 2024 г.

  • Обширни промени в процедурите, информацията, указанията и датите. Имайте предвид, че някои предишни промени са премахнати в резултат на големи промени, направени на тази дата.

16 декември 2023 г.

  • Преразгледани са датите на издаване за трето внедряване и прилагане в раздела "Срокове на актуализациите".

15 май 2023 г.

  • Премахната неподдържана ОС Windows 10, версия 21H1 от раздела "Важи за".

11 май 2023 г.

  • Добавена бележка ВНИМАНИЕ към стъпка 1 в раздела "Указания за разполагане" относно надстройване до Windows 11, версия 21H2 или 22H2 или някои версии на Windows 10.

10 май 2023 г.

  • Пояснено, че носител на Windows за изтегляне, актуализиран с най-новите кумулативни Актуализации, скоро ще бъде наличен.

  • Коригиран е правописът на думата "Забранено".

9 май 2023 г.

  • Добавени допълнителни поддържани версии към секцията "Важи за".

  • Актуализирана стъпка 1 на раздела "Предприемане на действие".

  • Актуализирана стъпка 1 на раздела "Указания за разполагане".

  • Коригирани са командите в стъпка 3а от раздела "Указания за изчистване".

  • Коригирано е поставянето на Hyper-V UEFI изображения в раздела "Отстраняване на проблеми при стартиране".

27 юни 2023 г.

  • Премахната бележка относно актуализиране от Windows 10 до по-нова версия на Windows 10, която използва пакет за активиране под Стъпка 1: Инсталирайте в раздела "Указания за разполагане".

11 юли 2023 г.

  • Актуализирани са екземплярите на датата "9 май 2023 г." на "11 юли 2023 г.", "9 май 2023 г. и 11 юли 2023 г." или на "9 май 2023 г." или по-късно".

  • В раздела "Указания за разполагане" отбелязваме, че всички динамични актуализации на SafeOS вече са налични за актуализиране на дялове на WinRE. Освен това полето ВНИМАНИЕ е премахнато, тъй като проблемът е разрешен с издаването на динамичните актуализации на SafeOS.

  • В раздела "3. APPLY the rewitchs" section, инструкциите са преработени.

  • В секцията "Грешки в регистъра на събитията на Windows" се добавя ИД на събитие 276.

25 август 2023 г.

  • Актуализирани различни раздели за формулировка и добавена информация за изданието от 11 юли 2023 г. и бъдещото издание от 2024 г.

  • Пренареждане на част от съдържанието от раздела "Избягване на проблеми със стартиращия носител" в раздела "Актуализиране на стартиращ носител".

  • Актуализиран раздел "Времена на актуализациите" с променени дати и информация за внедряване.

обратно към началото  

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност