Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

ВАЖНО Трябва да приложите актуализацията на защитата на Windows, издадена на или след 9 април 2024 г., като част от вашия редовен месечен процес на актуализация.

Тази статия се отнася за тези организации, които трябва да започнат да оценяват предпазни мерки за публично оповестено защитено стартиране, заобикаляно от BlackLotus UEFI bootkit. Освен това може да искате да се заемете с проактивна позиция на защитата или да започнете да се подготвяте за внедряването. Имайте предвид, че този злонамерен софтуер изисква физически или административен достъп до устройството.

ВНИМАНИЕ След като смекчаването за този проблем е разрешено на устройство, което означава, че смекчаванията са приложени, то не може да бъде върнато, ако продължите да използвате защитеното стартиране на това устройство. Дори преформатиране на диска няма да премахне анулираните файлове, ако вече са приложени. Имайте предвид всички възможни последствия и тествайте внимателно, преди да приложите анулиранията, които са описани в тази статия, към вашето устройство.

В тази статия

Резюме

Тази статия описва защитата срещу публично оповестената функция за защита на защитеното стартиране заобикаляне, която използва комплекта за стартиране BlackLotus UEFI, проследяван от CVE-2023-24932, как да разрешите предпазните мерки и указания за стартов носител. Bootkit е злонамерена програма, която е предназначена да се зарежда възможно най-рано в последователността за стартиране на устройства за управление на стартирането на операционната система.

Защитеното стартиране се препоръчва от Microsoft да направи безопасен и надежден път от унифициран разширяем интерфейс за фърмуер (UEFI) чрез последователността на надеждно стартиране на ядрото на Windows. Защитеното стартиране помага за предотвратяване на злонамерен софтуер bootkit в последователността на зареждане. Забраняването на защитеното стартиране поставя дадено устройство в риск от заразяване със злонамерен софтуер bootkit. Коригирането на заобикалянето на защитеното стартиране, описано в CVE-2023-24932, изисква анулиране на диспечерите за стартиране. Това може да доведе до проблеми при някои конфигурации за зареждане на устройството.

Предпазни мерки срещу заобикаляне на защитеното стартиране, подробно описани в CVE-2023-24932 , са включени в актуализациите на защитата на Windows, които са издадени на или след 9 април 2024 г. Въпреки това тези предпазни мерки не са разрешени по подразбиране. С тези актуализации ви препоръчваме да започнете да оценявате тези промени във вашата среда. Пълният график е описан в раздела Време на актуализациите .

Преди да разрешите тези смекчавания, трябва внимателно да прегледате подробностите в тази статия и да определите дали трябва да разрешите предпазните мерки, или да изчакате бъдеща актуализация от Microsoft. Ако изберете да разрешите предпазните мерки, трябва да се уверите, че вашите устройства са актуализирани и готови и да разберете рисковете, описани в тази статия. 

Предприемане на действие 

За това издание трябва да бъдат следвани следните стъпки:

Стъпка 1: Инсталирайте актуализацията на защитата на Windows, издадена на или след 9 април 2024 г., на всички поддържани версии.

Стъпка 2: Оценявайте промените и как те влияят върху вашата среда.

Стъпка 3: Прилагане на промените.

Обхват на въздействието

Всички устройства с Windows с активирани защити за защитено стартиране са засегнати от bootkit BlackLotus. Има смекчавания на последствията за поддържаните версии на Windows. За пълния списък вж. CVE-2023-24932.

Разбиране на рисковете

Риск от злонамерен софтуер: За да бъде възможен хакът blackLotus UEFI bootkit, описан в тази статия, атакуващият трябва да получи администраторски привилегии на устройство или да получи физически достъп до устройството. Това може да се направи чрез физически или отдалечен достъп до устройството, като например чрез използване на софтуер за управление за достъп до виртуални машини/облак. Хакерът обикновено ще използва тази уязвимост, за да продължи да управлява устройство, до което вече може да има достъп и да манипулира. Предпазните мерки в тази статия са превантивни и не коригиращи. Ако устройството ви вече е компрометирано, свържете се с вашия доставчик на защита за помощ.

Носител за възстановяване: Ако срещнете проблем с устройството след прилагането на смекчаванията и устройството стане невъзстановимо, може да не можете да стартирате или възстановите вашето устройство от съществуващ носител. Носителят за възстановяване или инсталиране ще трябва да се актуализира, така че да работи с устройство, което има приложени смекчавания.

Проблеми с фърмуера: Когато Windows прилага предпазните мерки, описани в тази статия, той трябва да разчита на фърмуера UEFI на устройството, за да актуализира стойностите на защитеното стартиране (актуализациите се прилагат към ключа за база данни (DB) и ключа за подпис от забрана (DBX)). В някои случаи имаме опит с устройства, които не успяват да се актуализират. Работим с производители на устройства, за да тестваме тези ключови актуализации на възможно най-много устройства.

ЗАБЕЛЕЖКА Първо тествайте тези смекчавания на едно устройство на клас устройство във вашата среда, за да откриете възможни проблеми с фърмуера. Не разполагайте най-общо, преди да потвърдите, че всички класове устройства във вашата среда са оценени.

Възстановяване на BitLocker: Някои устройства може да влязат в възстановяване на BitLocker. Не забравяйте да запазите копие на вашия ключ за възстановяване на BitLocker , преди да разрешите предпазните мерки.

Известни проблеми

Проблеми с фърмуера:Не всички фърмуер на устройството ще актуализират успешно DB или DBX на защитеното стартиране. В случаите, за които сме наясно, съобщихме за проблема на производителя на устройството. Вижте KB5016061: Събития за актуализиране на DB и DBX променливи за защитено стартиране за подробности относно регистрирани събития. Свържете се с производителя на устройството за актуализации на фърмуера. Ако устройството не се поддържа, Microsoft препоръчва надстройване на устройството.

Известни проблеми с фърмуера:

ЗАБЕЛЕЖКА Следните известни проблеми не оказват влияние и няма да предотвратят инсталирането на актуализациите от 9 април 2024 г. В повечето случаи смекчаванията няма да се прилагат, когато съществуват известни проблеми. Вижте подробна информация за всеки известен проблем.

  • HP: HP идентифицира проблем с инсталирането на смекчаване на последствията на компютри HP Z4G4 Workstation и ще издаде актуализиран фърмуер Z4G4 UEFI (BIOS) в следващите седмици. За да се осигури успешно инсталиране на смекчаването, то ще бъде блокирано на работни станции за настолни компютри, докато актуализацията не стане налична. Клиентите винаги трябва да актуализират до най-новия BIOS на системата, преди да приложат смекчаването.

  • Устройства HP със сигурна защита "Старт": Тези устройства се нуждаят от най-новите актуализации на фърмуера от HP, за да инсталират смекчаванията. Смекчаванията се блокират, докато фърмуерът не се актуализира. Инсталирайте най-новата актуализация на фърмуера от страницата за поддръжка на HPs – Официални драйвери на HP и изтегляне на софтуер | Поддръжка на HP.

  • Устройства, базирани на Arm64: Предпазните мерки са блокирани поради известни проблеми с фърмуера на UEFI с устройства, базирани на Qualcomm. Microsoft работи с Qualcomm, за да разреши този проблем. Qualcomm ще предостави корекцията на производителите на устройства. Свържете се с производителя на устройството, за да разберете дали е налична корекция за този проблем. Microsoft ще добави откриване, за да позволи предпазните мерки да се прилагат на устройствата, когато е открит фиксираният фърмуер. Ако вашето устройство, базирано на Arm64, няма фърмуер Qualcomm, конфигурирайте следния ключ от системния регистър, за да разрешите предпазните мерки.

    Подключ от системния регистър

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Име на стойност на ключ

    SkipDeviceCheck

    Тип данни

    REG_DWORD

    Данни

    1

  • Apple:Компютри Mac, които имат Apple T2 Security Chip поддържат Защитено стартиране. Въпреки това актуализирането на променливи, свързани със защитата на UEFI, е налично само като част от актуализации на macOS. От потребителите на boot Camp се очаква да видят запис в регистъра на събитията на Event ID 1795 в Windows, свързан с тези променливи. За повече информация относно този запис в регистрационния файл вижте KB5016061: събития за актуализация на защитено стартиране на DB и DBX променливи.

  • Vmware:В базирани на VMware среди за виртуализация VM, използващ процесор, базиран на x86, с разрешено защитено зареждане, няма да успее да стартира след прилагането на предпазните мерки. Microsoft се координира с VMware, за да се справи с този проблем.

  • Системи, базирани на TPM 2.0:  Тези системи, които работят с Windows Server 2012 и Windows Server 2012 R2, не могат да разположат предпазните мерки, издадени в актуализацията на защитата от 9 април 2024 г. поради известни проблеми със съвместимостта с измервания на TPM. Актуализациите на защитата от 9 април 2024 г. ще блокират смекчавания #2 (диспечер за зареждане) и #3 (DBX актуализация) на засегнатите системи.

    Microsoft е наясно с проблема и в бъдеще ще бъде издадена актуализация за деблокиране на системи, базирани на TPM 2.0.

    За да проверите своята версия на TPM, щракнете с десния бутон върху Старт, щракнете върху Изпълнение и след това въведете tpm.msc. Долу вдясно на централния екран под Информация за производителя на TPM би трябвало да видите стойност за Версия на спецификацията.

  • Шифроване на крайна точка на Symantec: Смекчаванията на защитеното стартиране не могат да бъдат приложени към системи, които са инсталирали шифроване на крайна точка на Symantec. Microsoft и Symantec са наясно с проблема и ще бъдат разгледани в бъдеща актуализация.

Указания за това издание

За това издание изпълнете следните две стъпки.

Стъпка 1: Инсталиране на актуализацията

на защитата на Windows Инсталирайте месечната актуализация на защитата на Windows, издадена на или след 9 април 2024 г., на поддържани устройства с Windows. Тези актуализации включват смекчавания за CVE-2023-24932, но не са разрешени по подразбиране. Всички устройства с Windows трябва да изпълнят тази стъпка независимо дали планирате да разположите предпазните мерки.

Стъпка 2: Изчисляване на промените

Препоръчваме ви да направите следното:

  • Разберете първите две смекчавания, които позволяват актуализиране на базата данни за защитено стартиране и актуализиране на диспечера за зареждане.

  • Прегледайте актуализирания график.

  • Започнете да тествате първите две смекчавания на последствията срещу представителни устройства от вашата среда.

  • Започнете планирането на фазата на разполагане, която ще бъде на 9 юли 2024 г.

Стъпка 3: Прилагане на промените

Препоръчваме ви да разберете рисковете, посочени в раздела Разбиране на рисковете.

  • Разберете въздействието върху възстановяването и друг стартов носител.

  • Започнете да тествате третото смекчаване, което ненадеждно издава сертификата за подписване, използван за всички предишни диспечери за стартиране на Windows.

Указания за разполагане на смекчаване

Преди да изпълните тези стъпки за прилагане на предпазни мерки, инсталирайте месечната актуализация за обслужване на Windows, издадена на или след 9 април 2024 г., на поддържани устройства с Windows. Тази актуализация включва смекчавания за CVE-2023-24932, но те не са разрешени по подразбиране. Всички устройства с Windows трябва да изпълнят тази стъпка независимо от вашия план за разрешаване на предпазните мерки.

ЗАБЕЛЕЖКА Ако използвате BitLocker, уверете се, че вашият ключ за възстановяване на BitLocker е архивиран. Можете да изпълните следната команда от команден прозорец администратор и обърнете внимание на 48-цифрената цифрова парола:

manage-bde -protectors -get %systemdrive%

За да разположите актуализацията и да приложите анулираните, изпълнете следните стъпки:

  1. Инсталирайте актуализираните дефиниции на сертификати на базата данни.

    Тази стъпка ще добави сертификата "Windows UEFI CA 2023" към UEFI "База данни за подпис на защитено стартиране" (DB). Чрез добавянето на този сертификат към базата данни фърмуерът на устройството ще се довери на приложенията за стартиране, подписани от този сертификат.

    1. Отворете команден прозорец на администратор и задайте regkey да извърши актуализацията на базата данни чрез въвеждане на следната команда:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      ВАЖНО Не забравяйте да рестартирате устройството два пъти, за да завършите инсталирането на актуализацията, преди да продължите със стъпки 2 и 3.

    2. Изпълнете следната команда на PowerShell като администратор и проверете дали базата данни е актуализирана успешно. Тази команда трябва да върне True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Актуализирайте диспечера за зареждане на вашето устройство.

    Тази стъпка ще инсталира приложение на диспечера за зареждане на вашето устройство, което е подписано със сертификата "Windows UEFI CA 2023".

    1. Отворете команден прозорец на администратор и задайте regkey за инсталиране на диспечера за зареждане, подписан с "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Рестартирайте устройството два пъти.

    3. Като администратор, монтирайте дяла EFI, за да го подготвите за проверка:

      mountvol s: /s

    4. Проверете дали файлът "s:\efi\microsoft\boot\bootmgfw.efi" е подписан от сертификата "Windows UEFI CA 2023". За да направите това, следвайте тези стъпки:

      1. Щракнете върху Старт, въведете команден прозорец в полето Search и след това щракнете върху Команден прозорец.

      2. В прозореца Команден прозорец въведете следната команда и след това натиснете Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Във File Manager щракнете с десния бутон върху файла C:\bootmgfw_2023.efi, щракнете върху Свойства и след това изберете раздела Цифрови подписи .

      4. В списъка Подпис потвърдете, че веригата от сертификати включва Windows UEFI CA 2023. Веригата от сертификати трябва да съответства на следната екранна снимка:

        Сертификати

  3. Разрешаване на анулирането.

    Списъкът от забранени UEFI (DBX) се използва за блокиране на зареждането на ненадеждни UEFI модули. В тази стъпка актуализирането на DBX ще добави сертификата "Windows Production CA 2011" към DBX. Това ще доведе до това всички диспечери за стартиране, подписани от този сертификат, вече да не са надеждни.

    ПРЕДУПРЕЖДЕНИЕ: Преди да приложите третото смекчаване, създайте флаш устройство за възстановяване, което може да се използва за зареждане на системата. За информация как да направите това, вижте раздела Актуализиране на носител за инсталиране на Windows.

    Ако системата ви попадне в състояние, което не е стартиращо, следвайте стъпките в раздела Процедура по възстановяване, за да нулирате устройството до състояние на предварително анулиране.

    1. Добавете сертификата "Windows Production PCA 2011" към списъка със забранени UEFI на защитено стартиране (DBX). За да направите това, отворете команден прозорец като администратор, въведете следната команда и след това натиснете Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Рестартирайте устройството два пъти и се уверете, че е рестартирано напълно.

    3. Проверете дали списъкът за инсталиране и анулиране е приложен успешно, като потърсите събитие 1037 в регистъра на събитията.

      За информация относно събитие 1037 вижте KB5016061: Събития за актуализация на защитено стартиране на DB и DBX променливи. Или изпълнете следната команда на PowerShell като администратор и се уверете, че връща True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Стартов носител

Ще бъде важно да актуализирате стартов носител, след като фазата на разполагане започне във вашата среда. Указания и инструменти за актуализиране на мултимедия ще бъдат предоставени навреме за фазата на разполагане. Планирано е фазата на разполагане да започне на 9 юли 2024 г.

Примери за стартов носител и носител за възстановяване, засегнати от този проблем:

  • Стартов носител, създаден с помощта на Създаване на устройство за възстановяване.

  • Архивни копия на Windows, които са били изображения преди прилагането на предпазните мерки. Те няма да могат да бъдат директно използваеми за възстановяване на вашата инсталация на Windows, след като анулиранията са разрешени на вашето устройство.

  • Персонализиран дял за CD/DVD или възстановяване, създаден от вас, производителя на вашето устройство (OEM) или предприятия.

  • ISO (чрез изтегляне или с помощта на ADK).

  • Стартиране на мрежата:

    • Услуги за разполагане на Windows.

    • Услуги за стартиране на среда за изпълнение на предварително стартиране (услуги за стартиране на PXE).

    • Microsoft Deployment Toolkit.

    • Стартиране на HTTPS.

  • OEM инсталационен носител и носител за възстановяване.

  • Официална мултимедия на Windows от Microsoft, включително:

  • Windows PE.

  • Windows е инсталиран на физически хардуерни или виртуални машини.

  • Ос за проверка на Windows.

Ако използвате стартов носител с лично устройство с Windows, може да се наложи да направите едно или няколко от следните неща, преди да приложите анулираните файлове:

  • Ако използвате личен софтуер за архивиране, за да запишете съдържанието на вашето устройство, не забравяйте да изпълните пълно архивиране след прилагане на предпазни мерки от 9 април 2024 г.

  • Ако използвате образ на стартиращ диск (ISO), CD-ROM или DVD носител, актуализирайте носителя, като следвате инструкциите, които трябва да бъдат предоставени на по-късна дата.

Корпоративни

  • Вижте подробни указания и скриптове за актуализиране на инсталационен носител на Windows с динамична актуализация.

  • Ако поддържате сценарии за стартиране или възстановяване на мрежата във вашата среда, ще трябва да актуализирате всички мултимедийни файлове и изображения. Това може да включва следните опции за стартиране или възстановяване:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Услуги за разполагане на Windows.

    • PxE Boot.

    • Стартиране на HTTPS и други сценарии за стартиране на мрежата.

  • Един от начините да направите това е да използвате инсталирането на DISM офлайн пакет на изображенията, които се обслужват от тези сценарии. Това включва актуализиране на файловете за стартиране, които се предлагат от тези услуги.

  • Ако използвате софтуер за архивиране, за да запишете съдържанието на вашата инсталация на Windows в системен образ за възстановяване, не забравяйте да изпълните пълно архивиране след прилагане на предпазни мерки от 9 април 2024 г. Не забравяйте да архивирате дяла на EFI диска в допълнение към дяла на операционната система Windows. Ясно идентифицирайте архивните копия, направени преди прилагането на предпазни мерки от 9 април 2024 г., в сравнение с тези, направени след прилагането на предпазните мерки.

OEM за компютри с Windows

Актуализиране на носител за инсталиране на Windows

ЗАБЕЛЕЖКА Когато създавате стартово флаш устройство, не забравяйте да форматирате устройството с помощта на файловата система FAT32.

Можете да използвате приложението "Създаване на устройство за възстановяване" , като следвате тези стъпки. Този носител може да се използва за преинсталиране на устройство, в случай че има сериозен проблем, като например отказ на хардуера, ще можете да използвате устройството за възстановяване, за да преинсталирате Windows.

  1. Отидете на устройство, където са приложени актуализациите от 9 април 2024 г. и първата стъпка за смекчаване (актуализиране на базата данни за защитено стартиране).

  2. От менюто "Старт" потърсете аплета на контролния панел "Създаване на устройство за възстановяване" и следвайте инструкциите, за да създадете устройство за възстановяване.

  3. С новосъздаденото флаш устройство, монтирано (например като устройство "D:"), изпълнете следните команди като администратор. Въведете всяка от следните команди и след това натиснете клавиша Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ако управлявате инсталационен носител във вашата среда с помощта на инсталационния носител за Актуализиране на Windows с указания за динамична актуализация , следвайте тези стъпки. Тези допълнителни стъпки ще създадат стартово флаш устройство, което използва файлове за стартиране, подписани от сертификата за подписване на "Windows UEFI CA 2023".

  1. Отидете на устройство, където е приложена актуализацията от 9 април 2024 г. и първата стъпка за смекчаване (актуализиране на базата данни за защитено стартиране).

  2. Следвайте стъпките във връзката по-долу, за да създадете мултимедия с актуализациите от 9 април 2024 г. Актуализиране на инсталационен носител на Windows с динамична актуализация

  3. Поставете съдържанието на мултимедията на USB флаш устройство и монтирайте преносимото устройство като буква на устройство. Например монтирайте преносимото устройство като "D:".

  4. Изпълнете следните команди от команден прозорец като администратор. Въведете всяка от следните команди и след това натиснете клавиша Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ако дадено устройство има настройки за защитено стартиране, които се нулират до настройките по подразбиране след прилагането на смекчаванията, устройството няма да се стартира. За да разрешите този проблем, приложението за поправка е включено в актуализациите от 9 април 2024 г., които могат да се използват за повторно прилагане на сертификата "Windows UEFI CA 2023" към базата данни за защита (смекчаване #1).

ЗАБЕЛЕЖКА Не използвайте това приложение за поправка на устройство или система, описани в раздела "Известни проблеми ".

  1. Отидете на устройство, където са приложени актуализациите от 9 април 2024 г.

  2. В команден прозорец копирайте приложението за възстановяване на флаш устройството с помощта на следните команди (ако флаш устройството е устройството D:). Въведете всяка команда поотделно и след това натиснете Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. На устройството, което има настройките на защитеното стартиране, се нулира до настройките по подразбиране, поставете флаш устройството, рестартирайте устройството и стартирайте от флаш устройството.

Време на актуализациите

Актуализации се издават по следния начин:

  • Първоначално разполагане Тази фаза започна с актуализации, издадени на 9 май 2023 г., и предостави основни смекчавания с ръчни стъпки за разрешаване на тези смекчавания.

  • Второ разполагане Тази фаза започна с актуализации, издадени на 11 юли 2023 г., които добавиха опростени стъпки за разрешаване на предпазни мерки за проблема.

  • Фаза на оценка Тази фаза ще стартира на 9 април 2024 г. и ще добави допълнителни смекчавания на последствията за диспечера за стартиране.

  • Крайна фаза на разполагане Това е моментът, в който ще насърчим всички клиенти да започнат да разполагат предпазни мерки и да актуализират мултимедията.

  • Етап на прилагане Етапът на прилагане, който ще направи предпазните мерки постоянни. Датата за тази фаза ще бъде обявена на по-късна дата.

Забележка Графикът за издаване може да бъде коригиран, ако е необходимо.

Тази фаза е заместена от изданието за актуализации на защитата на Windows на или след 9 април 2024 г.

Тази фаза е заместена от изданието за актуализации на защитата на Windows на или след 9 април 2024 г.

С тази фаза ви молим да тествате тези промени във вашата среда, за да се уверите, че промените работят правилно с представителни примерни устройства и да се запознаете с промените.

ЗАБЕЛЕЖКА Вместо да се опитваме да изброим изчерпателно и ненадеждно уязвимите диспечери за стартиране, както направихме в предишните фази на разполагане, добавяме сертификата за подписване "Windows Production PCA 2011" към списъка за забраняване на защитено стартиране (DBX), за да ненадеждно всички диспечери за стартиране, подписани от този сертификат. Това е по-надежден метод, за да се гарантира, че всички предишни диспечери за стартиране са ненадеждни.

Актуализации за Windows, издаден на или след 9 април 2024 г., добавете следното:

  • Три нови контроли за смекчаване, които заместват смекчаванията, издадени през 2023 г. Новите контроли за смекчаване са:

    • Контрола за разполагане на сертификата "Windows UEFI CA 2023" в базата данни за защитено стартиране, за да добавите доверие за диспечерите за стартиране на Windows, подписани от този сертификат. Имайте предвид, че сертификатът "Windows UEFI CA 2023" може да е инсталиран от по-стара актуализация на Windows.

    • Контрола за разполагане на диспечер за зареждане, подписан от сертификата "Windows UEFI CA 2023".

    • Контрола за добавяне на "Windows Production PCA 2011" към DBX на защитеното стартиране, която ще блокира всички диспечери за стартиране на Windows, подписани от този сертификат.

  • Възможността за разрешаване на внедряването на смекчаване на последствията на етапи независимо, за да се позволи по-добър контрол при разполагането на предпазни мерки във вашата среда въз основа на вашите нужди.

  • Смекчаванията са взаимно блокирани, така че те не могат да бъдат разположени в неправилен ред.

  • Допълнителни събития, за да знаят състоянието на устройствата, когато прилагат предпазни мерки. Вижте KB5016061: Събития за актуализиране на DB и DBX променливи за защитено стартиране за повече подробности относно събитията.

Тази фаза е, когато насърчаваме клиентите да започнат да разполагат смекчаванията и да управляват всички актуализации на мултимедията. Актуализациите ще добавят следните промени:

  • Указания и инструменти за подпомагане на актуализирането на носителите.

  • Актуализиран DBX блок за анулиране на допълнителни диспечери за стартиране.

Фазата на изпълнение ще бъде най-малко шест месеца след фазата на разполагане. Когато актуализациите бъдат издадени за фазата на изпълнение, те ще включват следното:

  • Сертификатът "Windows Production PCA 2011" автоматично ще бъде анулиран, като бъде добавен към списъка от забранени елементи на Secure Boot UEFI (DBX) на поддържащи устройства. Тези актуализации ще бъдат приложени програмно след инсталирането на актуализации за Windows на всички засегнати системи без опция за забраняване.

Грешки в регистъра на събитията на Windows, свързани с CVE-2023-24932

Записите в регистъра на събитията на Windows, свързани с актуализирането на базата данни и DBX, са описани подробно в KB5016061: Събития за актуализация на защитено стартиране на база данни и променлива DBX.

Събитията "успех", свързани с прилагането на смекчаванията, са изброени в следващата таблица.

Стъпка за смекчаване

ИД на събитие

Бележки

Прилагане на актуализацията на базата данни

1036

Сертификатът PCA2023 е добавен към базата данни.

Актуализиране на диспечера за зареждане

1799

Беше приложен диспечерът за първоначално стартиране на PCA2023.

Прилагане на актуализацията на DBX

1037

Актуализацията на DBX, която ненадеждно е приложена PCA2011 сертификат за подписване.

Често задавани въпроси (ЧЗВ)

Актуализирайте всички операционни системи Windows с актуализации, издадени на или след 9 април 2024 г., преди да приложите анулираните актуализации. Възможно е да не можете да стартирате никоя версия на Windows, която не е актуализирана до най-малко актуализации, издадени на 9 април 2024 г., след като сте приложили анулираните актуализации. Следвайте указанията в раздела Отстраняване на проблеми при стартиране .

Отстраняване на проблеми при стартиране

След като са приложени и трите смекчавания, фърмуерът на устройството няма да се стартира с помощта на диспечер за зареждане, подписан от Windows Production PCA 2011. Грешките при стартиране, съобщени от фърмуера, са специфични за устройството. Вижте раздела Процедура по възстановяване .

Процедура по възстановяване

Ако нещо се обърка при прилагането на смекчаванията и не можете да стартирате вашето устройство или трябва да стартирате от външен носител (като например преносимо устройство или PXE зареждане), опитайте следните предложения:

  1. Изключете защитеното стартиране.

    Тази процедура се различава между производителите и моделите на устройствата. Въведете вашите устройства UEFI BIOS меню и отидете до настройките на защитеното стартиране и го изключете. Проверете документацията от производителя на вашето устройство за подробности за този процес. Повече подробности можете да намерите в Забраняване на защитеното стартиране.

  2. Нулиране на ключовете на защитеното стартиране до фабричните настройки по подразбиране.

    Ако устройството поддържа нулиране на ключовете за защитено стартиране до фабричните настройки по подразбиране, извършете това действие сега.

    ЗАБЕЛЕЖКА Някои производители на устройства имат както опция "Изчистване", така и опция "Нулиране" за променливи на защитеното стартиране, в който случай трябва да се използва "Нулиране". Целта е да се върнат променливите на защитеното стартиране обратно към стойностите по подразбиране на производителя.

    Вашето устройство трябва да се стартира сега, но имайте предвид, че е уязвимо за злонамерен софтуер за стартиране на комплекта. Не забравяйте да изпълните стъпка 5 от този процес на възстановяване, за да активирате отново защитеното стартиране.

  3. Опитайте да стартирате Windows от системния диск.

    1. Влизане в Windows.

    2. Изпълнете следните команди от команден прозорец на администратора, за да възстановите файловете за стартиране на дяла за стартиране на EFI системата. Въведете всяка команда поотделно и след това натиснете Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Изпълнението на BCDBoot връща "Успешно създадени файлове за стартиране". След като се покаже това съобщение, рестартирайте устройството обратно към Windows.

  4. Ако стъпка 3 не възстанови успешно устройството, преинсталирайте Windows.

    1. Стартирайте устройството от съществуващ носител за възстановяване.

    2. Продължете да инсталирате Windows с помощта на носителя за възстановяване.

    3. Влизане в Windows.

    4. Рестартирайте Windows, за да проверите дали устройството се стартира обратно към Windows.

  5. Разрешете отново защитеното стартиране и рестартирайте устройството.

    Въведете менюто за UEFI на устройството, отидете до настройките за защитено стартиране и го включете. Проверете документацията от производителя на вашето устройство за подробности за този процес. Повече информация можете да намерите в раздела "Повторно разрешаване на защитеното стартиране".

Справочни материали

Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не предоставяме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.

Дата на промяна

Описание на промяната

9 април 2024 г.

  • Обширни промени в процедурите, информацията, указанията и датите. Имайте предвид, че някои предишни промени са премахнати в резултат на значителните промени, направени на тази дата.

16 декември 2023 г.

  • Променени са датите на издаване за трето разполагане и прилагане в раздела "Времена на актуализациите".

15 май 2023 г.

  • Премахнати са неподдържани Windows 10 на ОС, версия 21H1, от раздела "Отнася се за".

11 май 2023 г.

  • Добавена бележка ВНИМАНИЕ към стъпка 1 в раздела "Указания за разполагане" за надстройване до Windows 11, версия 21H2 или 22H2 или някои версии на Windows 10.

10 май 2023 г.

  • Пояснено е, че носител на Windows за изтегляне, актуализиран с най-новата кумулативна Актуализации, скоро ще бъде наличен.

  • Коригиран е правописът на думата "Забранено".

9 май 2023 г.

  • Добавихме допълнителни поддържани версии към раздела "Отнася се за".

  • Актуализирана е стъпка 1 на секцията "Предприемане на действие".

  • Актуализирана стъпка1 на раздела "Указания за разполагане".

  • Коригирани са командите в стъпка 3a на раздела "Насоки за депломент".

  • Коригирано разположение на Hyper-V UEFI изображения в раздела "Отстраняване на проблеми при стартиране".

27 юни 2023 г.

  • Премахната бележка за актуализиране от Windows 10 до по-нова версия на Windows 10 която използва пакет за разрешаване под Стъпка 1:Инсталиране в раздела "Указания за разполагане".

11 юли 2023 г.

  • Актуализирани са екземплярите на датата "9 май 2023 г." до "11 юли 2023 г.", "9 май 2023 г. и 11 юли 2023 г." или "9 май 2023 г. или по-нова версия".

  • В раздела "Указания за разполагане" отбелязваме, че всички динамични актуализации на SafeOS вече са налични за актуализиране на дялове на WinRE. Освен това полето ВНИМАНИЕ е премахнато, тъй като проблемът е решен чрез издаването на динамични актуализации на SafeOS.

  • В "3. APPLY the revocations" section, the instructions been revised.

  • В секцията "Грешки в регистъра на събитията на Windows" се добавя ИД на събитие 276.

25 август 2023 г.

  • Актуализирани са различните раздели за формулировки и е добавено изданието от 11 юли 2023 г. и бъдещата информация за изданието от 2024 г.

  • Пренареждане на част от съдържанието от раздела "Избягване на проблеми с вашия стартов носител" в раздела "Актуализиране на стартов носител".

  • Актуализиран е разделът "Време на актуализациите" с коригирани дати на разполагане и информация.
Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×