Първоначална дата на публикуване: 13 август 2024 г.
ИД на КБ: 5042562
Поддръжката за Windows 10 ще приключи през октомври 2025 г.
След 14 октомври 2025 г. Microsoft вече няма да предоставя безплатни актуализации на софтуера от Windows Update, техническа помощ или корекции на защитата за Windows 10. Вашият компютър все още ще работи, но ви препоръчваме да преминете към Windows 11.
Важна бележка за правилата SkuSiPolicy.p7b
Правилата SkuSiPolicy.p7b са актуализирани. Трябва да приложите актуализираните правила, като инсталирате най-новата актуализация на Windows, издадена на или след януари 2025 г. За инструкции за прилагане на актуализираните правила вижте раздела Разполагане на правила за анулиране, подписани от Microsoft (SkuSiPolicy.p7b).
В тази статия
Резюме
Microsoft е уведомен за уязвимост в Windows, която позволява на атакуващ с администраторски права да замени актуализираните системни файлове на Windows, които имат по-стари версии, отваряйки вратата на атакуващ, за да въведе отново уязвимости към защита, базирана на виртуализация (VBS). Връщането към стабилно състояние на тези изпълними файлове може да позволи на атакуващия да заобиколи функциите за защита на VBS и да exfiltrate данните, които са защитени с VBS. Този проблем е описан в CVE-2024-21302 | Увеличаване на уязвимостта в защитен режим на ядрото на Windows.
За да отстраним този проблем, ще анулираме уязвимите VBS системни файлове, които не са актуализирани. Поради големия брой файлове, свързани с VBS, които трябва да бъдат блокирани, използваме алтернативен подход за блокиране на версии на файлове, които не се актуализират.
Обхват на въздействието
Всички устройства с Windows, които поддържат VBS, са засегнати от този проблем. Това включва локални физически устройства и виртуални машини (VM). VBS се поддържа на Windows 10 и по-нови версии на Windows и Windows Server 2016 и по-нови Windows Server версии.
Състоянието на VBS може да бъде проверено чрез инструмента microsoft System Information (Msinfo32.exe). Този инструмент събира информация за вашето устройство. След като започнете Msinfo32.exe, превъртете надолу до реда за защита, базиран на виртуализация . Ако стойността на този ред се изпълнява, VBS е разрешена и се изпълнява.
Състоянието на VBS също може да се провери с Windows PowerShell с помощта на Win32_DeviceGuard WMI клас. За да повдигнете заявка към състоянието на VBS от PowerShell, отворете сесия с администраторски права Windows PowerShell и след това изпълнете следната команда:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
След като изпълните горната команда на PowerShell, състоянието на състоянието на VBS трябва да бъде едно от следните.
|
Име на поле |
Състояние |
|
VirtualizationBasedSecurityStatus |
|
Налични смекчавания
За всички поддържани версии на Windows 10, версия 1507 и по-нови версии на Windows и Windows Server 2016 и по-нови Windows Server версии администраторите могат да разположат правила за анулиране, подписани от Microsoft (SkuSiPolicy.p7b). Това ще блокира уязвимите версии на VBS системни файлове, които не са актуализирани да се зареждат от операционната система.
Когато тези правила се приложат към устройство с Windows, правилата също ще бъдат заключени за устройството чрез добавяне на променлива към фърмуера на UEFI. По време на стартиране правилата се зареждат и Windows блокира зареждането на изпълними файлове, които нарушават правилата. Ако е приложено заключването на UEFI и правилата бъдат премахнати или заменени с по-стара версия, диспечерът за зареждане на Windows няма да се стартира и устройството няма да се стартира. Тази грешка при стартиране няма да покаже грешка и системата ще премине към следващата налична опция за стартиране, която може да доведе до цикъл на зареждане.
За да работи смекчаването на правилата, правилата трябва да се актуализират с помощта на актуализацията на обслужването на Windows, тъй като компонентите на Windows и правилата трябва да бъдат от едно и също издание. Ако смекчаването на правилата се копира на устройството, устройството може да не се стартира, ако е приложена грешна версия на смекчаването или смекчаването може да не работи по очаквания начин. Освен това предпазните мерки, описани в KB5025885 , трябва да се приложат към вашето устройство.
Разбиране на рисковете от смекчаване
Трябва да сте наясно с потенциалните рискове, преди да приложите подписани от Microsoft правила за анулиране. Прегледайте тези рискове и направете необходимите актуализации на носителя за възстановяване , преди да приложите смекчаването.
-
Цялост на кода за потребителски режим (UMCI). Правилата за анулиране, подписани от Microsoft, позволяват цялост на кода за потребителски режим, така че правилата в правилата да се прилагат към двоични файлове в потребителски режим. UMCI също така разрешава защитата на динамичния код по подразбиране. Прилагането на тези функции може да доведе до проблеми със съвместимостта с приложения и скриптове и може да им попречи да се изпълняват и да окажат влияние върху производителността при стартиране. Преди да разположите смекчаването, следвайте инструкциите, за да разположите правила за режима на проверка , за да тествате за потенциални проблеми.
-
Актуализации за заключване и деинсталиране на UEFI. След прилагане на заключването на UEFI с правилата за анулиране, подписани от Microsoft на устройство, устройството не може да бъде върнато (чрез деинсталиране на актуализации на Windows, с помощта на точка на възстановяване или по друг начин), ако продължите да прилагате защитено стартиране. Дори преформатиране на диска няма да премахне заключването на UEFI на смекчаването, ако вече е приложено. Това означава, че ако се опитате да върнете операционната система Windows към по-ранно състояние, което няма приложено смекчаване, устройството няма да се стартира, няма да се покаже съобщение за грешка и UEFI ще премине към следващата налична опция за стартиране. Това може да доведе до цикъл на зареждане. Трябва да забраните защитеното стартиране, за да премахнете заключването на UEFI. Имайте предвид всички възможни последствия и тествайте внимателно, преди да приложите анулиранията, които са описани в тази статия, на вашето устройство.
-
Мултимедия за външно зареждане. След като смекчаванията на UEFI заключването са приложени към устройство, външният носител за стартиране трябва да се актуализира с най-новата актуализация на Windows, инсталирана на устройството. Ако външният носител за зареждане не е актуализиран до същата версия на Windows Update, устройството може да не се стартира от този носител. Вижте инструкциите в раздела Актуализиране на външен носител за стартиране , преди да приложите предпазни мерки.
-
Windows среда за възстановяване. Windows средата за възстановяване (WinRE) на устройството трябва да се актуализира с най-новите актуализации на Windows, инсталирани на устройството, преди SkuSipolicy.p7b да се приложи към устройството. Пропускането на тази стъпка може да попречи на WinRE да изпълнява функцията за нулиране на компютъра. За повече информация вижте Добавяне на пакет за актуализация към Windows RE.
-
Стартиране на среда за изпълнение преди стартиране (PXE). Ако смекчаването е разположено на устройство и се опитвате да използвате PXE стартиране, устройството няма да се стартира, освен ако най-новата актуализация на Windows също не се приложи към изображението за стартиране на PXE сървъра. Не препоръчваме разполагането на смекчавания на източниците за стартиране на мрежата, освен ако сървърът за стартиране на PXE не е актуализиран до най-новата актуализация на Windows, издадена на или след януари 2025 г., включително диспечера за стартиране на PXE.
Указания за разполагане на смекчаване
За да отстраните проблемите, описани в тази статия, можете да разположите подписани от Microsoft правила за анулиране (SkuSiPolicy.p7b). Това смекчаване се поддържа само на Windows 10, версия 1507 и по-нови версии на Windows и Windows Server 2016. Преди да разположите подписани от Microsoft правила за анулиране (SkuSiPolicy.p7b), трябва да тествате за проблеми със съвместимостта, като използвате правила за режим на проверка.
Забележка Ако използвате BitLocker, уверете се, че вашият ключ за възстановяване на BitLocker е архивиран. Можете да изпълните следната команда от команден прозорец на администратор и да обърнете внимание на 48-цифрената цифрова парола:
manage-bde -protectors -get %systemdrive%
Разполагане на правила за режим на проверка
Правилата за анулиране, подписани от Microsoft (SkuSiPolicy.p7b), налагат целостта на кода за потребителски режим (UMCI) и защитата на динамичния код. Тези функции може да имат проблеми със съвместимостта с клиентските приложения. Преди да разположите смекчаването, трябва да разположите правила за проверка, за да откриете проблеми със съвместимостта.
Имате две опции за правила за проверка:
-
Използвайте предоставените правила за проверка на SiPolicy.p7b,
-
Или компилирайте свой собствен двоичен код на правилата за проверка от предоставения XML файл.
Препоръчваме да използвате предоставените двоични правила за проверка на SiPolicy.p7b, освен ако вече не сте разположили съществуващи правила за управление на приложения (WDAC) на Windows Defender. Предоставеният двоичен код на правилата за проверка няма да бъде заключен за UEFI. Не е необходимо да се актуализират външен носител за зареждане и носител за възстановяване, преди да се приложат правилата за проверка.
Целостта на кода на Windows ще оцени двоични файлове за режим на потребител и ядро спрямо правилата в правилата за проверка. Ако целостта на кода идентифицира приложение или скрипт в нарушение на правилата, ще бъде генерирано събитие в регистъра на събитията на Windows с информация за блокираното приложение или скрипт и информация за наложените правила. Тези събития могат да се използват, за да се определи дали има несъвместими приложения или скриптове, които се използват на вашето устройство. За повече информация вж. раздела Регистри на събитията в Windows .
Правилата за проверка на SiPolicy.p7b са включени в най-новите актуализации на Windows за всички поддържани операционни системи Windows. Тези правила за проверка трябва да се прилагат само за устройства чрез инсталиране на най-новата актуализация на обслужването и след това изпълнете следните стъпки:
-
Изпълнете следните команди от команден Windows PowerShell с администраторски права:
# Initialize policy location and destination
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"
$DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"
# Copy the audit policy binary
Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force
-
Извършете рестартиране на устройството.
-
Потвърдете, че правилата са заредени в Визуализатор на събития с помощта на информацията в раздела Събития за активиране на правила.
-
Тествайте с помощта на приложения и скриптове, докато правилата се прилагат за идентифициране на проблеми със съвместимостта.
За да деинсталирате правилата за проверка на SiPolicy.p7b, изпълнете следните стъпки:
-
Изпълнете следните команди от команден Windows PowerShell с администраторски права:
# Initialize policy location
$PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"
# Remove SiPolicy.p7b
Remove-Item -Path $PolicyBinary -force
-
Извършете рестартиране на устройството.
-
Уверете се, че правилата за проверка не са заредени в Визуализатор на събития с помощта на информацията в раздела събития за активиране на правила.
Ако използвате WDAC за управление на приложения и драйвери, на които е разрешено да се изпълняват на вашите устройства, е възможно вече да използвате правила с име "SiPolicy.p7b". За всички поддържани операционни системи Windows на Windows 10, версия 21H2 и по-нови версии на Windows и Windows Server 2022 и по-нови Windows Server версии, можете да използвате предоставения XML файл, за да съставите и разположите правила за проверка, като използвате няколко формата на правилата на WDAC. За инструкции за създаване и разполагане на двоичния файл на правилата за проверка вижте Разполагане на правила за управление на приложения в Windows Defender (WDAC).
XML файл с правилата за проверка е наличен на устройства, на които е инсталирана най-новата актуализация на Windows. XML файлът се намира под "%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml".
Разполагане на подписани от Microsoft правила за анулиране (SkuSiPolicy.p7b)
Правилата за анулиране, подписани от Microsoft, са включени като част от най-новата актуализация на Windows. Тези правила трябва да се прилагат само за устройства, като инсталирате най-новата налична актуализация на Windows, издадена на или след януари 2025 г., и след това изпълнете следните стъпки:
Забележка Ако липсват актуализации, устройството може да не се стартира с приложено смекчаване или смекчаването може да не работи по очаквания начин. Не забравяйте да актуализирате стартов носител на Windows с най-новата налична актуализация на Windows, преди да разположите правилата. За подробности как да актуализирате стартов носител вижте раздела Актуализиране на външен носител за стартиране .
-
Изпълнете следните команди в команден Windows PowerShell с администраторски права:
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force mountvol $MountPoint /D
-
Извършете рестартиране на устройството.
-
Потвърдете, че правилата са заредени в Визуализатор на събития с помощта на информацията в раздела Регистри на събитията на Windows.
Бележки
-
Не трябва да премахвате файла на SkuSiPolicy.p7b за анулиране (правила), след като е разположен. Вашето устройство може вече да не може да стартира, ако файлът е премахнат.
-
Ако устройството не се стартира, вижте раздела Процедура по възстановяване.
Актуализиране на мултимедия за външно стартиране
За да използвате външен носител за зареждане на устройство, към което са приложени правила за анулиране, подписани от Microsoft, външният носител за стартиране трябва да се актуализира с най-новата актуализация на Windows, включително диспечера за зареждане. Ако мултимедията не включва най-новата актуализация на Windows, мултимедията няма да се стартира.
Важно Препоръчваме ви да създадете устройство за възстановяване, преди да продължите. Този носител може да се използва за преинсталиране на устройство, в случай че има сериозен проблем.
Използвайте следните стъпки, за да актуализирате носителя за външно стартиране:
-
Отидете на устройство, на което са инсталирани най-новите актуализации на Windows.
-
Монтирайте външния носител за зареждане като буква на устройство. Например монтирайте преносимо устройство като D:.
-
Щракнете върху Старт, въведете Създаване на устройство за възстановяване в полето за търсене , след което щракнете върху Създаване на контролен панел на устройство за възстановяване. Следвайте инструкциите, за да създадете устройство за възстановяване, като използвате монтираното флаш устройство.
-
Безопасно премахване на монтираното преносимо устройство.
Ако управлявате инсталационен носител във вашата среда с помощта на инсталационния носител за Актуализиране на Windows с указания за динамична актуализация , изпълнете следните стъпки:
-
Отидете на устройство, на което са инсталирани най-новите актуализации на Windows.
-
Следвайте стъпките в Актуализиране на инсталационен носител на Windows с динамична актуализация за създаване на носител с инсталирани най-новите актуализации на Windows.
Регистри на събитията в Windows
Windows регистрира събития, когато правилата за цялост на кода, включително SkuSiPolicy.p7b, се зареждат и когато даден файл е блокиран за зареждане поради прилагане на правилата. Можете да използвате тези събития, за да проверите дали смекчаването е приложено.
Регистрационните файлове за целостта на кода са налични в Windows Визуализатор на събития под Регистрационни файлове на приложенията и услугите > Регистрационни файлове на Microsoft > Windows > CodeIntegrity > оперативнирегистрационни файлове > приложения и услуги > услуги > регистрационни файлове на Microsoft > Windows > AppLocker > MSI и скрипт.
За повече информация относно събитията, свързана с целостта на кода, вж. ръководството за работа "Управление на приложения в Windows Defender".
Събития за активиране на правила
Събитията по активиране на правила са налични в Windows Визуализатор на събития под Регистрационни файлове за приложения и услуги > Microsoft > Windows > CodeIntegrity > оперативни.
CodeIntegrity Събитие 3099 в регистрационния файл на събитията "CodeIntegrity - Operational" показва, че правилата са заредени и включват подробни данни за заредените правила. Информацията в събитието включва истинското име на правилата, глобален еднозначен идентификатор (GUID) и хеш на правилата. Ще има няколко събития на CodeIntegrity Event 3099, ако към устройството са приложени няколко правила за цялост на кода.
Когато се прилага предоставената политика за одит, ще има събитие със следната информация:
-
PolicyNameBuffer – Правила за проверка на защитата, базирани на виртуализация на Microsoft Windows
-
PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}
-
PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387
Когато са приложени правилата за анулиране, подписани от Microsoft (SkuSiPolicy.p7b), ще има събитие със следната информация (вижте екранната снимка на codeIntegrity събитие 3099 по-долу):
-
PolicyNameBuffer – Правила за SI на Microsoft за ИЕ на Windows
-
PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}
-
PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D
Ако сте приложили правилата за проверка или смекчаването на вашето устройство и CodeIntegrity Event 3099 за приложените правила не са налични, правилата не се прилагат. Прегледайте инструкциите за разполагане , за да проверите дали правилата са инсталирани правилно.
Забележка Събитието "Цялост на кода" 3099 не се поддържа във версии на Windows 10 Enterprise 2016, Windows Server 2016 г. и Windows 10 Enterprise 2015 LTSB. За да се уверите, че правилата са приложени (правила за проверка или анулиране), трябва да монтирате системния дял на EFI с помощта на командата mountvol.exe и да видите, че правилата са приложени към дяла EFI. Не забравяйте да премахнете системния дял на EFI след проверката.
SkuSiPolicy.p7b – правила за анулиране
SiPolicy.p7b – Одитна политика
Проверка и блокиране на събития
Събитията за проверка и блокиране на целостта на кода са налични в Windows Визуализатор на събития под Регистрационни файлове на приложенията и услугите > Microsoft > Windows > CodeIntegrity > оперативни регистрационни файлове > приложения и услуги > Microsoft > Windows > AppLocker > MSI и скрипт.
Предишното местоположение на регистриране включва събития за управлението на изпълними файлове, DLL файлове и драйвери. Последното местоположение за регистриране включва събития за контролата на MSI инсталиращи програми, скриптове и COM обекти.
CodeIntegrity Събитие 3076 в регистрационния файл "CodeIntegrity – оперативни" е основното блокирано събитие за правилата за режим на проверка и показва, че файл би бил блокиран, ако правилата бяха наложени. Това събитие включва информация за блокирания файл и за наложените правила. За файлове, които ще бъдат блокирани от смекчаването, информацията за правилата в събитие 3077 ще съответства на информацията за правилата на правилата за проверка от събитие 3099.
CodeIntegrity Събитие 3077 в регистрационния файл "CodeIntegrity – operational" показва, че зареждането на изпълним файл, .dll или драйвер е блокиран. Това събитие включва информация за блокирания файл и за наложените правила. За файлове, блокирани от смекчаването, информацията за правилата в CodeIntegrity Event 3077 ще съответства на информацията за правилата на SkuSiPolicy.p7b от CodeIntegrity Event 3099. CodeIntegrity Event 3077 няма да присъства, ако няма изпълним файл, .dll или драйвери в нарушение на правилата за цялост на кода на вашето устройство.
За други събития за проверка на целостта на кода и блокиране на събития вижте Разбиране на събитията за управление на приложения.
Процедура за премахване и възстановяване на правила
Ако нещо се обърка след прилагането на смекчаването, можете да използвате следните стъпки, за да премахнете смекчаването:
-
Преустойчи BitLocker, ако е разрешен. Изпълнете следната команда от команден прозорец с администраторски права:
Manager-bde -protectors -disable c: -rebootcount 3
-
Изключете защитеното стартиране от менюто на UEFI BIOS.Процедурата за изключване на защитеното стартиране се различава за различните производители и модели устройства. За помощ при намирането къде да изключите защитеното стартиране, консултирайте се с документацията от производителя на вашето устройство. Повече подробности можете да намерите в Забраняване на защитеното стартиране.
-
Премахнете правилата SkuSiPolicy.p7b.
-
Стартирайте Windows нормално и след това влезте.Правилата skuSiPolicy.p7b трябва да бъдат премахнати от следното местоположение:
-
<EFI Системен дял>\Microsoft\Boot\SkuSiPolicy.p7b
-
-
Изпълнете следните команди от сесия с администраторски права Windows PowerShell, за да изчистите правилата от тези местоположения:
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } mountvol $MountPoint /D
-
-
Включете Защитено стартиране от BIOS.Консултирайте се с документацията от производителя на вашето устройство за намиране къде да включите защитеното стартиране.Ако сте изключили защитеното стартиране в стъпка 1 и устройството ви е защитено с BitLocker, преустановете защитата с BitLocker и след това включете Защитено стартиране от менюто на UEFI BIOS .
-
Включете BitLocker. Изпълнете следната команда от команден прозорец с администраторски права:
Manager-bde -protectors -enable c:
-
Извършете рестартиране на устройството.
|
Промяна на датата |
Описание |
|
24 февруари 2025 г. |
|
|
11 февруари 2025 г. |
|
|
14 януари 2025 г. |
|
|
12 ноември 2024 г. |
|
