Указания за блокиране на връщане към стабилно състояние на актуализации на защитата, базирани на виртуализация (VBS),

Важна бележка за правилата SkuSiPolicy.p7b

За инструкции за прилагане на актуализираните правила вижте раздела Разполагане на правила за анулиране, подписани от Microsoft (SkuSiPolicy.p7b). 

В тази статия

• Резюме

• Обхват на въздействието

• Налични смекчавания

• Разбиране на рисковете от смекчаване

• Указания за разполагане на смекчаване

  • Разполагане на подписани от Microsoft правила за анулиране (SkuSiPolicy.p7b)

  • Актуализиране на мултимедия за външно стартиране

• Регистри на събитията в Windows

  • Събития за активиране на правила

  • Проверка и блокиране на събития

• Процедура за премахване и възстановяване на правила

• Промени, направени в тази статия

Резюме

Microsoft е уведомен за уязвимост в Windows, която позволява на атакуващ с администраторски права да замени актуализираните системни файлове на Windows, които имат по-стари версии, отваряйки вратата на атакуващ, за да въведе отново уязвимости към защита, базирана на виртуализация (VBS).  Връщането към стабилно състояние на тези изпълними файлове може да позволи на атакуващия да заобиколи функциите за защита на VBS и да exfiltrate данните, които са защитени с VBS. Този проблем е описан в CVE-2024-21302 | Увеличаване на уязвимостта в защитен режим на ядрото на Windows.

За да отстраним този проблем, ще анулираме уязвимите VBS системни файлове, които не са актуализирани. Поради големия брой файлове, свързани с VBS, които трябва да бъдат блокирани, използваме алтернативен подход за блокиране на версии на файлове, които не се актуализират.

Обхват на въздействието

Всички устройства с Windows, които поддържат VBS, са засегнати от този проблем. Това включва локални физически устройства и виртуални машини (VM). VBS се поддържа на Windows 10 и по-нови версии на Windows и Windows Server 2016 и по-нови Windows Server версии.

Състоянието на VBS може да бъде проверено чрез инструмента microsoft System Information (Msinfo32.exe). Този инструмент събира информация за вашето устройство. След като започнете Msinfo32.exe, превъртете надолу до реда за защита, базиран на виртуализация . Ако стойността на този ред се изпълнява, VBS е разрешена и се изпълнява.

Състоянието на VBS също може да се провери с Windows PowerShell с помощта на Win32_DeviceGuard WMI клас. За да повдигнете заявка към състоянието на VBS от PowerShell, отворете сесия с администраторски права Windows PowerShell и след това изпълнете следната команда:

След като изпълните горната команда на PowerShell, състоянието на състоянието на VBS трябва да бъде едно от следните.

Налични смекчавания

За всички поддържани версии на Windows 10, версия 1507 и по-нови версии на Windows и Windows Server 2016 и по-нови Windows Server версии администраторите могат да разположат правила за анулиране, подписани от Microsoft (SkuSiPolicy.p7b). Това ще блокира уязвимите версии на VBS системни файлове, които не са актуализирани да се зареждат от операционната система.  

Когато SkuSiPolicy.p7b се приложи към устройство с Windows, правилата също ще бъдат заключени на устройството чрез добавяне на променлива към фърмуера на UEFI. По време на стартиране правилата се зареждат и Windows блокира зареждането на изпълними файлове, които нарушават правилата. Ако е приложено заключването на UEFI и правилата бъдат премахнати или заменени с по-стара версия, диспечерът за зареждане на Windows няма да се стартира и устройството няма да се стартира. Тази грешка при стартиране няма да покаже грешка и системата ще премине към следващата налична опция за стартиране, която може да доведе до цикъл на зареждане.

Допълнителни ci правила, подписани от Microsoft, които са разрешени по подразбиране и не изискват допълнителни стъпки за разполагане, които не са обвързани с UEFI. Тези подписани CI правила ще бъдат заредени по време на зареждането и прилагането на тези правила ще предотврати връщането към стабилно състояние на VBS системни файлове по време на тази сесия на стартиране. За разлика от SkuSiPolicy.p7b, устройството може да продължи да се стартира, ако актуализацията е неинсталирани. Тези правила са включени във всички поддържани версии на Windows 10, версия 1507 и по-нови. SkuSkiPolicy.p7b все още може да се прилага от администраторите за предоставяне на допълнителна защита за връщане в предишно стабилно състояние на сесиите на стартиране.   

Регистрационните файлове за измерено стартиране на Windows, използвани за да се удостоверява изправността на зареждането на компютъра, включват информация за версията на правилата, която се зарежда по време на процеса на стартиране. Тези регистрационни файлове се поддържат защитено от TPM по време на зареждане и услугите за удостоверяване на Microsoft анализират тези регистрационни файлове, за да се уверят, че се зареждат правилните версии на правилата. Услугите за удостоверяване налагат правила, които гарантират, че се зарежда конкретна версия на правилата или по-нова версия; в противен случай системата няма да бъде удостоверяване като изправна.

За да работи смекчаването на правилата, правилата трябва да се актуализират с помощта на актуализацията на обслужването на Windows, тъй като компонентите на Windows и правилата трябва да бъдат от едно и също издание. Ако смекчаването на правилата се копира на устройството, устройството може да не се стартира, ако е приложена грешна версия на смекчаването или смекчаването може да не работи по очаквания начин. Освен това предпазните мерки, описани в KB5025885 , трябва да се приложат към вашето устройство.

На Windows 11, версия 24H2, Windows Server 2022 и Windows Server 23H2, dynamic Root of Trust for Measurement (DRTM) добавя допълнително смекчаване за уязвимостта при връщане в предишно стабилно състояние. Това смекчаване е разрешено по подразбиране. На тези системи ключовете за шифроване, защитени с VBS, са обвързани с правилата по подразбиране на сесията за стартиране VBS CI и ще се разпечатват само ако се прилага съответстващата версия на правилата за CI. За да се разреши връщане към стабилно състояние, инициирано от потребителя, е добавен гратисен период, за да се разреши безопасно връщане към стабилно състояние на 1 версия на пакета за актуализация на Windows, без да се губи възможността за разпечатване на главния ключ на VSM. Въпреки това връщането към стабилно състояние, инициирано от потребителя, е възможно само ако SkuSiPolicy.p7b не е приложено. Ci правилата на VBS налагат всички двоични файлове за стартиране да не са анулирани версии. Това означава, че ако атакуващ с права на администратор анулира уязвимите двоични файлове за стартиране, системата няма да се стартира. Ако правилата за CI и двоични файлове са анулирани до предишна версия, данните, защитени с VSM, няма да бъдат незапечатани.

Разбиране на рисковете от смекчаване

Трябва да сте наясно с потенциалните рискове, преди да приложите подписани от Microsoft правила за анулиране. Прегледайте тези рискове и направете необходимите актуализации на носителя за възстановяване , преди да приложите смекчаването.

Забележка Тези рискове са приложими само за правилата SkuSiPolicy.p7b и не са приложими за активираните по подразбиране защити.

• Актуализации за заключване и деинсталиране на UEFI. След прилагане на заключването на UEFI с правилата за анулиране, подписани от Microsoft на устройство, устройството не може да бъде върнато (чрез деинсталиране на актуализации на Windows, с помощта на точка на възстановяване или по друг начин), ако продължите да прилагате защитено стартиране. Дори преформатиране на диска няма да премахне заключването на UEFI на смекчаването, ако вече е приложено. Това означава, че ако се опитате да върнете операционната система Windows към по-ранно състояние, което няма приложено смекчаване, устройството няма да се стартира, няма да се покаже съобщение за грешка и UEFI ще премине към следващата налична опция за стартиране. Това може да доведе до цикъл на зареждане. Трябва да забраните защитеното стартиране, за да премахнете заключването на UEFI. Имайте предвид всички възможни последствия и тествайте внимателно, преди да приложите анулиранията, които са описани в тази статия, на вашето устройство.

• Мултимедия за външно зареждане. След като смекчаванията на UEFI заключването са приложени към устройство, външният носител за стартиране трябва да се актуализира с най-новата актуализация на Windows, инсталирана на устройството. Ако външният носител за зареждане не е актуализиран до същата версия на Windows Update, устройството може да не се стартира от този носител. Вижте инструкциите в раздела Актуализиране на външен носител за стартиране , преди да приложите предпазни мерки.

• Windows среда за възстановяване. Windows средата за възстановяване (WinRE) на устройството трябва да се актуализира с най-новата динамична актуализация на безопасна ос на Windows, издадена на 8 юли 2025 г. на устройството, преди SkuSipolicy.p7b да бъде приложен към устройството. Пропускането на тази стъпка може да попречи на WinRE да изпълнява функцията за нулиране на компютъра.  За повече информация вижте Добавяне на пакет за актуализация към Windows RE.

• Стартиране на среда за изпълнение преди стартиране (PXE). Ако смекчаването е разположено на устройство и се опитвате да използвате PXE стартиране, устройството няма да се стартира, освен ако най-новата актуализация на Windows също не се приложи към изображението за стартиране на PXE сървъра. Не препоръчваме разполагането на смекчавания на източниците за стартиране на мрежата, освен ако сървърът за стартиране на PXE не е актуализиран до най-новата актуализация на Windows, издадена на или след януари 2025 г., включително диспечера за стартиране на PXE.  

Указания за разполагане на смекчаване

За да отстраните проблемите, описани в тази статия, можете да разположите подписани от Microsoft правила за анулиране (SkuSiPolicy.p7b). Това смекчаване се поддържа само на Windows 10, версия 1507 и по-нови версии на Windows и Windows Server 2016.

Забележка Ако използвате BitLocker, уверете се, че вашият ключ за възстановяване на BitLocker е архивиран. Можете да изпълните следната команда от команден прозорец на администратор и да обърнете внимание на 48-цифрената цифрова парола:

Регистри на събитията в Windows

Windows регистрира събития, когато правилата за цялост на кода, включително SkuSiPolicy.p7b, се зареждат и когато даден файл е блокиран за зареждане поради прилагане на правилата. Можете да използвате тези събития, за да проверите дали смекчаването е приложено.

Регистрационните файлове за целостта на кода са налични в Windows Визуализатор на събития под Регистрационни файлове на приложенията и услугите > Регистрационни файлове на Microsoft > Windows > CodeIntegrity > оперативнирегистрационни файлове > приложения и услуги > услуги > регистрационни файлове на Microsoft > Windows > AppLocker > MSI и скрипт.

За повече информация относно събитията, свързана с целостта на кода, вж. ръководството за работа "Управление на приложения в Windows Defender".

Процедура за премахване и възстановяване на правила

Ако нещо се обърка след прилагането на смекчаването, можете да използвате следните стъпки, за да премахнете смекчаването:

1. Преустойчи BitLocker, ако е разрешен. Изпълнете следната команда от команден прозорец с администраторски права:

   Manager-bde -protectors -disable c: -rebootcount 3

2. Изключете защитеното стартиране от менюто на UEFI BIOS.
   
   Процедурата за изключване на защитеното стартиране се различава за различните производители и модели устройства. За помощ при намирането къде да изключите защитеното стартиране, консултирайте се с документацията от производителя на вашето устройство. Повече подробности можете да намерите в Забраняване на защитеното стартиране.

3. Премахнете правилата SkuSiPolicy.p7b.

   1. Стартирайте Windows нормално и след това влезте.
      
      Правилата skuSiPolicy.p7b трябва да бъдат премахнати от следното местоположение:

      • <EFI Системен дял>\Microsoft\Boot\SkuSiPolicy.p7b

   2. Изпълнете следните команди от сесия с администраторски права Windows PowerShell, за да изчистите правилата от тези местоположения:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b"
      $MountPoint = 's:'
      
      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"
      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot"
      mountvol $MountPoint /S
      if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
      
      if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }
      
      ​​​​​​​mountvol $MountPoint /D

4. Включете Защитено стартиране от BIOS.
   
   Консултирайте се с документацията от производителя на вашето устройство за намиране къде да включите защитеното стартиране.
   
   Ако сте изключили защитеното стартиране в стъпка 1 и устройството ви е защитено с BitLocker, преустановете защитата с BitLocker и след това включете Защитено стартиране от менюто на UEFI BIOS .

5. Включете BitLocker. Изпълнете следната команда от команден прозорец с администраторски права:

   Manager-bde -protectors -enable c:

6. Извършете рестартиране на устройството.