|
Промяна на датата |
Промяна на описанието |
|
20 март 2024 г. |
|
|
21 март 2024 г. |
|
|
22 март 2024 г. |
|
Въведение
Тази статия е допълнение към следната статия, която ще бъде актуализирана през април 2024 г.:
-
KB5025885: Как да управлявате анулиранията на диспечера за зареждане на Windows за промени в защитеното стартиране, свързани с CVE-2023-24932
Това допълнение описва актуализираната процедура "стъпка по стъпка" за разполагане на нови смекчавания срещу комплекта за стартиране на BlackLotus UEFI, проследяван от CVE-2023-24932 , и включва указания за тестване за вашата среда.
За да помогнем за защитата срещу злонамерената злоупотреба с уязвими диспечери за стартиране, трябва да разположим нов сертификат за подписване на защитено стартиране на UEFI във фърмуера на устройството и да анулираме доверието във фърмуера на текущия сертификат за подписване. Това ще доведе до това всички съществуващи, уязвими диспечери за стартиране да бъдат ненадеждни от устройства с разрешена функция за защитено стартиране. Това ръководство ще ви помогне с този процес.
Трите стъпки за смекчаване, описани в това ръководство, са както следва:
-
Актуализиране на базата данни: Нов PCA (PCA2023) сертификат ще бъде добавен към базата данни за защитено стартиране, който ще позволи на устройството да стартира носител, подписан с този сертификат.
-
Инсталиране на диспечера за зареждане: Съществуващият диспечер за стартиране, подписан с PCA2011, ще бъде заместен от диспечера за зареждане, подписан от PCA2023.И двата диспечера за стартиране са включени в актуализациите на защитата от април 2024 г.
-
DBX отмяна на PCA2011: Към DBX на защитеното стартиране ще бъде добавен отказан запис, който не позволява стартирането на диспечерите за стартиране, подписани с PCA2011.
Забележка Софтуерът Servicing Stack, който прилага тези три смекчавания, няма да позволи да се приложат предпазни мерки извън последователността.
Това отнася ли се за мен?
Това ръководство се отнася за всички устройства с разрешено защитено стартиране и всички съществуващи носители за възстановяване за тези устройства.
Ако вашето устройство работи с Windows Server 2012 или Windows Server 2012 R2, не забравяйте да прочетете раздела "Известни проблеми", преди да продължите.
Преди да започнете
Разрешаване на незадължителни диагностични данни
Включете настройката "Изпращане на незадължителни диагностични данни", като изпълните следните стъпки:
-
В Windows 11 отидете в Стартнастройки на > > обратна връзка относно защитата > диагностика & поверителност &.
-
Включете Изпращане на незадължителни диагностични данни.
За повече информация вж. Диагностика, обратна връзка и поверителност в Windows.
ЗАБЕЛЕЖКА Уверете се, че имате интернет връзка по време на и за известно време след проверката.
Направете тестов успешно
След инсталирането на актуализациите на Windows от април 2024 г. и преди да преминете през стъпките за записване, не забравяйте да направите тестов проход, за да проверите целостта на вашата система:
-
VPN: Уверете се, че VPN достъпът до корпоративните ресурси и мрежата функционира.
-
Windows Hello на 10000. Влезте в устройството с Windows с помощта на нормалната процедура (лице/пръстов отпечатък/ПИН).
-
Bitlocker: Системата се стартира нормално на системи с bitLocker без подкана за възстановяване на BitLocker по време на стартиране.
-
Удостоверяване на изправността на устройството: Уверете се, че устройствата, които разчитат на удостоверяване за изправност на устройството, удостоверяват правилно състоянието си.
Известни проблеми
Само за Windows Server 2012 и Windows Sever 2012 R2:
-
Базираните на TPM 2.0 системи не могат да разположат смекчаванията, издадени през април 2024 г., поради известни проблеми със съвместимостта с измерванията на TPM. Актуализациите от април 2024 г. ще блокират смекчаванията #2 (диспечер за зареждане) и #3 (актуализация DBX) на засегнатите системи.
-
Microsoft е наясно с проблема и в бъдеще ще бъде издадена актуализация за деблокиране на системи, базирани на TPM 2.0.
-
За да проверите своята версия на TPM, щракнете с десния бутон върху Старт, щракнете върху Изпълнение и след това въведете tpm.msc. Долу вдясно на централния екран под Информация за производителя на TPM би трябвало да видите стойност за Версия на спецификацията.
Стъпки за проверка за включване
Останалата част от тази статия описва тестването за включване на устройства за смекчаване на последствията. Смекчаванията не са разрешени по подразбиране. Ако вашето предприятие планира да разреши тези смекчавания, изпълнете следните стъпки за проверка, за да проверите съвместимостта на устройството.
-
Разположете актуализацията на защитата от април 2024 г. преди издаването.
-
Отворете команден прозорец на администратор и задайте ключа от системния регистър, за да извършите актуализацията на базата данни, като въведете следната команда, след което натиснете Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
Рестартирайте устройството два пъти.
-
Уверете се, че базата данни е актуализирана успешно, като се уверите, че следната команда връща True. Изпълнете следната команда на PowerShell като администратор:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
Отворете команден прозорец "Администратор" и задайте ключа от системния регистър, за да изтеглите и инсталирате диспечера за зареждане, подписан от PCA2023:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Рестартирайте устройството два пъти.
-
Като администратор, монтирайте дяла EFI, за да го подготвите за проверка:
mountvol s: /s
-
Проверете дали "s:\efi\microsoft\boot\bootmgfw.efi" е подписано от PCA2023. За да направите това, следвайте тези стъпки:
-
Щракнете върху Старт, въведете команден прозорец в полето Търсене и след това щракнете върху Команден прозорец.
-
В прозореца Команден прозорец въведете следната команда и след това натиснете клавиша Enter.
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Във File Manager щракнете с десния бутон върху файла C:\bootmgfw_2023.efi, щракнете върху Свойства и след това изберете раздела Цифрови подписи.
-
В списъка Подпис потвърдете, че веригата от сертификати включва Windows UEFI 2023 CA.
-
ВНИМАНИЕ: Тази стъпка разполага DBX отмяната на ненадеждни стари, уязвими диспечери за стартиране, подписани с помощта на Windows Production PCA2011. Устройства с тази приложена отмяна вече няма да стартират от съществуващ носител за възстановяване и сървъри за стартиране на мрежата (PXE/HTTP), които нямат актуализирани компоненти на диспечера за стартиране.
Ако устройството ви попадне в състояние, което не е стартиращо, следвайте стъпките в раздела "Процедури за възстановяване и възстановяване", за да нулирате устройството до състояние на предварително анулиране.
След като приложите DBX, ако искате да върнете устройството до предишното му състояние на защитено стартиране, следвайте раздела "Процедури за възстановяване и възстановяване".
Приложете DBX смекчаване за ненадеждно инсталиране на сертификата за Windows Production PCA2011 в защитено стартиране:
-
Отворете команден прозорец на администратор и задайте ключа от системния регистър, за да поставите анулирането за PCA2011 в DBX:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Рестартирайте устройството два пъти и се уверете, че е рестартирано напълно.
-
Уверете се, че DBX смекчаването е приложено успешно. За да направите това, изпълнете следната команда на PowerShell като администратор и се уверете, че командата връща True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
Или потърсете следното събитие в Визуализатор на събития:
Регистър на събитията
Система
Източник на събитие
TPM –WMI
ИД на събитие
1037
Ниво
Информация
Текст на съобщение за събитие
Актуализацията на Dbx за защитено стартиране за анулиране на Microsoft Windows Production PCA 2011 е приложена успешно
-
Извършете тестовете от раздела "Преди да започнете" и се уверете, че всички системи работят нормално.
Препратка към ключ от системния регистър
|
Команда |
Цел |
Коментари |
|
Инсталира актуализацията на базата данни, за да позволи на диспечера за зареждане, подписан от PCA2023 |
|
Команда |
Цел |
Коментари |
|
Инсталира PCA2023 подписан bootmgr |
Стойността е зачетена само след приключване на 0x40 стъпка |
|
Команда |
Цел |
Коментари |
|
Инсталира актуализацията на DBX, която анулира PCA2011 |
Стойността е зачетена само след приключване на двете стъпки 0x40 & 0x100 |
Резултати и обратна връзка
Изпращайте имейли до suvp@microsoft.com с тестови резултати, въпроси и обратна връзка.
Процедури за възстановяване и възстановяване
Когато извършвате процедури по възстановяване, споделете следните данни с Microsoft:
-
Екранна снимка на наблюдаваната грешка при стартиране.
-
Стъпките, извършени, които са довели до това устройството да не стане стартиращ.
-
Подробни данни за конфигурацията на устройството.
При изпълнение на процедура за възстановяване преустановявайте BitLocker, преди да започнете процедурата.
Ако нещо се обърка по време на този процес и не можете да стартирате вашето устройство или трябва да стартирате от външен носител (например преносимо устройство или PXE зареждане), опитайте следните процедури.
-
Изключване на защитеното стартиране
Тази процедура се различава между производителите и моделите на компютрите. Въведете менюто на BIOS за UEFI на вашите компютри и отидете на настройката за защитено стартиране и я изключете. Проверете документацията от производителя на вашия компютър за подробности за този процес. За повече информация вижте Забраняване на защитеното стартиране. -
Изчистване на ключовете за
защитено стартиране Ако устройството поддържа изчистване на ключовете на защитеното стартиране или нулиране на ключовете на защитеното стартиране до фабричните настройки по подразбиране, извършете това действие сега.
Вашето устройство трябва да се стартира сега, но имайте предвид, че е уязвимо за злонамерен софтуер за стартиране на комплекти. Не забравяйте да изпълните стъпка 5 в края на този процес на възстановяване, за да активирате отново защитеното стартиране. -
Опитайте да стартирате Windows от системния диск.
-
Ако BitLocker е разрешен и преминава в възстановяване, въведете вашия ключ за възстановяване на BitLocker.
-
Влизане в Windows.
-
Изпълнете следните команди от командния прозорец на администратора, за да възстановите файловете за зареждане в дяла за зареждане на EFI системата:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
Изпълнението на BCDBoot трябва да върне "Успешно създадени файлове за зареждане".
-
Ако BitLocker е разрешен, преустановявайте BitLocker.
-
Извършете рестартиране на устройството.
-
-
Ако стъпка 3 не възстанови успешно устройството, инсталирайте отново Windows.
-
Стартирайте от съществуващ носител за възстановяване.
-
Продължете да инсталирате Windows с помощта на носителя за възстановяване.
-
Влизане в Windows.
-
Рестартирайте, за да проверите дали устройството се стартира успешно към Windows.
-
-
Разрешете отново защитеното стартиране и рестартирайте устройството.
Въведете вашето меню devicce UEFI и се придвижете до настройката за защитено стартиране и я включете. Проверете документацията от производителя на вашето устройство за подробности за този процес. За повече информация вижте Повторно разрешаване на защитеното стартиране. -
Ако windows стартът продължава да е неуспешен, въведете отново UEFI BIOS и изключете защитеното стартиране.
-
Стартирайте Windows.
-
Споделяне на съдържание на DB, DBX с Microsoft.
-
Отворете PowerShell в режим на администратор.
-
Заснемане на базата данни:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
Заснемане на DBX:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
Споделете файловете DBUpdateFw.bin и dbxUpdateFw.bin генерирани в стъпки 8b и 8c.
-
