Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

DŮLEŽITÉ Aktualizaci zabezpečení Windows vydanou 9. dubna 2024 nebo později byste měli nainstalovat v rámci pravidelného měsíčního procesu aktualizací.

Tento článek se týká organizací, které by měly začít vyhodnocovat zmírnění rizik veřejně zveřejněného obejití zabezpečeného spouštění, které využívá bootkit BlackLotus UEFI. Kromě toho můžete chtít zaujmout proaktivní přístup k zabezpečení nebo se začít připravovat na zavedení. Upozorňujeme, že tento malware vyžaduje fyzický nebo administrativní přístup k zařízení.

POZOR Po povolení zmírnění tohoto problému na zařízení, což znamená, že se použilo zmírnění rizik, nebude možné ho vrátit, pokud na tomto zařízení budete dál používat zabezpečené spouštění. Ani přeformátování disku neodebere odvolání, pokud už byla použita. Než na zařízení použijete odvolání popsaná v tomto článku, mějte na paměti všechny možné důsledky a důkladně je otestujte.

V tomto článku

Shrnutí

Tento článek popisuje ochranu proti veřejně zveřejněné funkci zabezpečení zabezpečeného spouštění, která používá bootkit BlackLotus UEFI sledovaný cve-2023-24932, postup povolení zmírnění rizik a pokyny ke spouštěcím médiím. Bootkit je škodlivý program, který je navržen tak, aby se co nejdříve načetl do spouštěcí sekvence zařízení, aby bylo možné řídit spuštění operačního systému.

Zabezpečené spouštění doporučuje Microsoft, aby vytvořil bezpečnou a důvěryhodnou cestu z rozhraní UEFI (Unified Extensible Firmware Interface) přes důvěryhodnou spouštěcí sekvenci jádra Windows. Zabezpečené spouštění pomáhá zabránit malwaru bootkitu ve spouštěcí sekvenci. Zakázání zabezpečeného spouštění vystavuje zařízení riziku napadení malwarem bootkitu. Oprava obejití zabezpečeného spouštění popsaného v CVE-2023-24932 vyžaduje odvolání správců spouštění. To může způsobit problémy u některých konfigurací spouštění zařízení.

Zmírnění rizik souvisejících s obejití zabezpečeného spouštění podrobně popsané v cve-2023-24932 jsou součástí aktualizací zabezpečení systému Windows vydaných 9. dubna 2024 nebo později. Tato zmírnění rizik ale nejsou ve výchozím nastavení povolená. S těmito aktualizacemi doporučujeme začít vyhodnocovat tyto změny ve vašem prostředí. Úplný plán je popsaný v části Časování aktualizací .

Než povolíte tato zmírnění rizik, měli byste si důkladně projít podrobnosti v tomto článku a určit, jestli musíte povolit zmírnění rizik nebo počkat na budoucí aktualizaci od Microsoftu. Pokud se rozhodnete povolit zmírnění rizik, musíte ověřit, že jsou vaše zařízení aktualizovaná a připravená a pochopit rizika popsaná v tomto článku. 

Provedení akce 

Pro tuto verzi byste měli postupovat podle následujících kroků:

Krok 1: Nainstalujte aktualizaci zabezpečení Windows vydanou 9. dubna 2024 nebo později do všech podporovaných verzí.

Krok 2: Vyhodnoťte změny a jejich vliv na vaše prostředí.

Krok 3: Vynucení změn

Rozsah dopadu

Všechna zařízení s Windows s povolenou ochranou zabezpečeného spouštění jsou ovlivněna sadou BlackLotus bootkit. Zmírnění rizik jsou k dispozici pro podporované verze Windows. Úplný seznam najdete v cve-2023-24932.

Pochopení rizik

Riziko malwaru: Aby bylo možné zneužití bootkitu BlackLotus UEFI popsané v tomto článku, musí útočník získat oprávnění správce na zařízení nebo získat fyzický přístup k zařízení. To lze provést fyzickým nebo vzdáleným přístupem k zařízení, například pomocí hypervisoru pro přístup k virtuálním počítačům nebo cloudu. Útočník obvykle použije toto ohrožení zabezpečení k tomu, aby mohl dál řídit zařízení, ke kterému už může přistupovat a které může manipulovat. Zmírnění rizik v tomto článku jsou preventivní a nejsou opravná. Pokud už je vaše zařízení ohrožené, požádejte o pomoc poskytovatele zabezpečení.

Médium pro obnovení: Pokud po použití zmírnění rizik narazíte na problém se zařízením a zařízení přestane být možné spustit, možná nebudete moct zařízení spustit nebo obnovit z existujícího média. Médium pro obnovení nebo instalaci bude potřeba aktualizovat tak, aby fungovalo se zařízením, které má použitá omezení rizik.

Problémy s firmwarem: Když systém Windows použije zmírnění rizik popsaná v tomto článku, musí při aktualizaci hodnot zabezpečeného spouštění spoléhat na firmware rozhraní UEFI zařízení (aktualizace se použijí pro klíč databáze a zakázaný podpisový klíč (DBX)). V některých případech máme zkušenosti se zařízeními, u kterých se aktualizace nezdaří. Ve spolupráci s výrobci zařízení tyto aktualizace klíčů otestujeme na co nejvíce zařízeních.

POZNÁMKA Nejprve otestujte tato omezení rizik na jednom zařízení na třídě zařízení ve vašem prostředí, abyste zjistili možné problémy s firmwarem. Před vyhodnocením všech tříd zařízení ve vašem prostředí nenasazujte obecně.

Obnovení nástroje BitLocker: Některá zařízení můžou přejít do obnovení nástrojem BitLocker. Před povolením zmírnění rizik nezapomeňte zachovat kopii obnovovacího klíče nástroje BitLocker .

Známé problémy

Problémy s firmwarem:Ne všechny firmware zařízení úspěšně aktualizují databázi zabezpečeného spouštění nebo DBX. V případech, o kterých víme, jsme problém nahlásili výrobci zařízení. Podrobnosti o protokolovaných událostech najdete v tématu KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX . Požádejte výrobce zařízení o aktualizace firmwaru. Pokud zařízení nepodporuje, microsoft doporučuje upgradovat zařízení.

Známé problémy s firmwarem:

POZNÁMKA Následující známé problémy nemají žádný vliv na instalaci aktualizací z 9. dubna 2024 a nebudou bránit. Ve většině případů se zmírnění rizik nepoužije, pokud existují známé problémy. Podívejte se na podrobnosti uvedené v jednotlivých známých potížích.

  • HP: Společnost HP zjistila problém s instalací zmírnění rizik na počítačích HP Z4G4 Workstation a v nadcházejících týdnech vydá aktualizovaný firmware UEFI (BIOS) Z4G4. Aby se zajistila úspěšná instalace zmírnění rizik, bude na stolních pracovních stanicích blokována, dokud nebude aktualizace k dispozici. Zákazníci by měli před použitím zmírnění rizik vždy aktualizovat na nejnovější systém BIOS.

  • Zařízení HP s funkcí Sure Start Security: Tato zařízení potřebují k instalaci zmírnění rizik nejnovější aktualizace firmwaru od společnosti HP. Omezení rizik se zablokují, dokud se firmware neaktualizuje. Nainstalujte si nejnovější aktualizaci firmwaru ze stránky podpory HPs – Oficiální ovladače HP a stažení softwaru | Podpora HP.

  • Zařízení založená na ARM64: Zmírnění rizik jsou blokovaná kvůli známým problémům s firmwarem rozhraní UEFI u zařízení založených na Qualcommu. Microsoft spolupracuje s Qualcommem na řešení tohoto problému. Qualcomm poskytne opravu výrobcům zařízení. Obraťte se na výrobce zařízení a zjistěte, jestli je k dispozici oprava tohoto problému. Společnost Microsoft přidá detekci, která umožní použití zmírnění rizik na zařízeních při zjištění pevného firmwaru. Pokud vaše zařízení založené na Arm64 nemá firmware Qualcomm, nakonfigurujte následující klíč registru, aby se povolilo zmírnění rizik.

    Podklíč registru

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Název hodnoty klíče

    SkipDeviceCheck

    Datový typ

    REG_DWORD

    Data

    1

  • Apple:Počítače Mac s čipem Apple T2 Security Chip podporují zabezpečené spouštění. Aktualizace proměnných souvisejících se zabezpečením rozhraní UEFI je ale dostupná jenom jako součást aktualizací macOS. Očekává se, že uživatelům boot campu se ve Windows zobrazí položka protokolu událostí s ID události 1795 související s těmito proměnnými. Další informace o této položce protokolu najdete v tématu KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX.

  • Vmware:Ve virtualizačních prostředích založených na VMware se virtuální počítač s procesorem založeným na platformě x86 s povoleným zabezpečeným spouštěním po uplatnění zmírnění rizik nepodaří spustit. Společnost Microsoft spolupracuje s VMware, aby tento problém vyřešila.

  • Systémy založené na čipu TPM 2.0:  Tyto systémy, které používají Windows Server 2012 a Windows Server 2012 R2, nemůžou nasadit zmírnění rizik vydaná v aktualizaci zabezpečení z 9. dubna 2024 kvůli známým problémům s kompatibilitou s měřeními TPM. Aktualizace zabezpečení z 9. dubna 2024 budou blokovat zmírnění rizik č. 2 (správce spouštění) a č. 3 (aktualizace DBX) v ovlivněných systémech.

    Microsoft o tomto problému ví a v budoucnu bude vydána aktualizace, která odblokuje systémy založené na čipu TPM 2.0.

    Pokud chcete zkontrolovat verzi čipu TPM, klikněte pravým tlačítkem na Start, klikněte na Spustit a zadejte tpm.msc. V pravém dolním rohu prostředního podokna v části Informace o výrobci čipu TPM by se měla zobrazit hodnota Verze specifikace.

  • Šifrování koncového bodu Symantec: Zmírnění rizik zabezpečeného spouštění nelze použít u systémů, které mají nainstalované symantec endpoint Encryption. Společnosti Microsoft a Symantec o tomto problému vědí a budou se řešit v budoucí aktualizaci.

Pokyny pro tuto verzi

Pro tuto verzi postupujte podle těchto dvou kroků.

Krok 1: Instalace aktualizace

zabezpečení Windows Nainstalujte měsíční aktualizaci zabezpečení Windows vydanou 9. dubna 2024 nebo později na podporovaná zařízení s Windows. Tyto aktualizace zahrnují zmírnění rizik pro CVE-2023-24932, ale ve výchozím nastavení nejsou povolené. Tento krok by měla dokončit všechna zařízení s Windows bez ohledu na to, jestli plánujete nasadit zmírnění rizik.

Krok 2: Vyhodnocení změn

Doporučujeme vám postupovat následovně:

  • Seznamte se s prvními dvěma omezeními rizik, která umožňují aktualizaci databáze zabezpečeného spouštění a správce spouštění.

  • Zkontrolujte aktualizovaný plán.

  • Začněte testovat první dvě zmírnění rizik na reprezentativních zařízeních z vašeho prostředí.

  • Zahájení plánování fáze nasazení bude 9. července 2024.

Krok 3: Vynucení změn

Doporučujeme, abyste porozuměli rizikům, která jsou popsána v části Vysvětlení rizik.

  • Seznamte se s dopadem na obnovení a další spouštěcí média.

  • Začněte testovat třetí zmírnění rizik, které nedůvěřuje podpisovým certifikátům používaným pro všechny předchozí správce spouštění Systému Windows.

Pokyny pro nasazení zmírnění rizik

Než budete postupovat podle těchto kroků pro zmírnění rizik, nainstalujte na podporovaná zařízení s Windows měsíční servisní aktualizaci Windows vydanou 9. dubna 2024 nebo později. Tato aktualizace zahrnuje zmírnění rizik pro CVE-2023-24932, ale ve výchozím nastavení nejsou povolené. Tento krok by měla dokončit všechna zařízení s Windows bez ohledu na to, co plánujete, aby se zmírnění rizik povolilo.

POZNÁMKA Pokud používáte nástroj BitLocker, ujistěte se, že je váš obnovovací klíč nástroje BitLocker zálohovaný. Z příkazového řádku správce můžete spustit následující příkaz a poznamenejte si 48místné číselné heslo:

manage-bde -protectors -get %systemdrive%

Pokud chcete nasadit aktualizaci a použít odvolání, postupujte takto:

  1. Nainstalujte aktualizované definice certifikátů do databáze.

    Tento krok přidá certifikát "Windows UEFI CA 2023" do databáze podpisů zabezpečeného spouštění rozhraní UEFI. Po přidání tohoto certifikátu do databáze bude firmware zařízení důvěřovat spouštěcím aplikacím podepsaným tímto certifikátem.

    1. Otevřete příkazový řádek správce a zadáním následujícího příkazu nastavte klíč registru tak, aby provedl aktualizaci databáze:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      DŮLEŽITÉ Než budete pokračovat kroky 2 a 3, nezapomeňte zařízení dvakrát restartovat, abyste dokončili instalaci aktualizace.

    2. Jako správce spusťte následující příkaz PowerShellu a ověřte, že se databáze úspěšně aktualizovala. Tento příkaz by měl vrátit hodnotu True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Aktualizujte na svém zařízení Správce spouštění.

    Tento krok nainstaluje na vaše zařízení aplikaci správce spouštění, která je podepsaná certifikátem "Windows UEFI CA 2023".

    1. Otevřete příkazový řádek správce a nastavte klíč registru tak, aby nainstaloval správce spouštění podepsaného rozhraním Ca UEFI systému Windows 2023:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Restartujte zařízení dvakrát.

    3. Jako správce připojte oddíl EFI, abyste ho připravili ke kontrole:

      mountvol s: /s

    4. Ověřte, že je soubor s:\efi\microsoft\boot\bootmgfw.efi podepsaný certifikátem "Windows UEFI CA 2023". Postupujte takto:

      1. Klikněte na Start, do pole Search zadejte příkazový řádek a potom klikněte na Příkazový řádek.

      2. V okně příkazového řádku zadejte následující příkaz a stiskněte klávesu Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Ve Správci souborů klikněte pravým tlačítkem na soubor C:\bootmgfw_2023.efi, klikněte na Vlastnosti a pak vyberte kartu Digitální podpisy .

      4. V seznamu Podpis ověřte, že řetěz certifikátů zahrnuje certifikační autoritu UEFI 2023 systému Windows. Řetěz certifikátů by měl odpovídat následujícímu snímku obrazovky:

        Certifikáty

  3. Povolte odvolání.

    Seznam zakázaných rozhraní UEFI (DBX) se používá k blokování načítání nedůvěryhodných modulů UEFI. V tomto kroku aktualizace DBX přidá do DBX certifikát "Windows Production CA 2011". To způsobí, že všichni správci spouštění podepsaní tímto certifikátem už nebudou důvěryhodní.

    UPOZORNĚNÍ: Před použitím třetího zmírnění vytvořte flash disk pro obnovení, který lze použít ke spuštění systému. Informace o tom, jak to udělat, najdete v části Aktualizace instalačního média systému Windows.

    Pokud se váš systém dostane do nespouštětelného stavu, postupujte podle kroků v části Postup obnovení a obnovte zařízení do stavu před odvoláním.

    1. Přidejte certifikát Windows Production PCA 2011 do seznamu zakázaných rozhraní UEFI (DBX) zabezpečeného spouštění. Chcete-li to provést, otevřete okna příkazového řádku jako správce, zadejte následující příkaz a stiskněte klávesu Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Dvakrát restartujte zařízení a ověřte, že se zcela restartovalo.

    3. Ověřte, že se instalace a seznam odvolaných certifikátů úspěšně použily, a to vyhledáním události 1037 v protokolu událostí.

      Informace o události 1037 najdete v tématu KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX. Nebo jako správce spusťte následující příkaz PowerShellu a ujistěte se, že vrátí hodnotu True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Spouštěcí médium

Jakmile ve vašem prostředí začne fáze nasazení, bude důležité aktualizovat spouštěcí médium. Pokyny a nástroje pro aktualizaci médií budou k dispozici včas pro fázi nasazení. Zahájení fáze nasazení je naplánováno na 9. července 2024.

Příklady spouštěcích médií a médií pro obnovení ovlivněných tímto problémem:

  • Spouštěcí médium vytvořené pomocí příkazu Vytvořit jednotku pro obnovení.

  • Zálohy Windows, které byly na obrázku před uplatněním zmírnění rizik. Po povolení odvolání na vašem zařízení nebudou přímo použitelné k obnovení instalace Systému Windows.

  • Vlastní disk CD/DVD nebo oddíl pro obnovení vytvořený vámi, výrobcem vašeho zařízení (OEM) nebo podniky.

  • ISO (stažením nebo pomocí sady ADK).

  • Spuštění ze sítě:

    • Služba pro nasazení systému Windows.

    • Před spuštěním spouštěcího prostředí (služby spouštění PXE)

    • Microsoft Deployment Toolkit.

    • Spuštění protokolu HTTPS.

  • Instalace A média pro obnovení výrobce OEM.

  • Oficiální média Windows od Microsoftu, včetně:

  • Windows PE.

  • Systém Windows nainstalovaný na fyzickém hardwaru nebo virtuálních počítačích

  • Windows Validation OS.

Pokud používáte spouštěcí médium s osobním zařízením s Windows, možná budete muset před uplatněním odvolání provést jednu nebo více z následujících akcí:

  • Pokud k ukládání obsahu zařízení používáte osobní zálohovací software, nezapomeňte po použití zmírnění rizik z 9. dubna 2024 spustit úplné zálohování.

  • Pokud používáte spouštěcí bitovou kopii disku (ISO), disk CD-ROM nebo médium DVD, aktualizujte médium podle pokynů k pozdějšímu datu.

Enterprise

  • Projděte si komplexní pokyny a skriptování pro aktualizaci instalačního média Windows pomocí dynamické aktualizace.

  • Pokud ve svém prostředí podporujete scénáře spuštění nebo obnovení ze sítě, budete muset aktualizovat všechna média a image. To může zahrnovat následující možnosti spuštění nebo obnovení:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Služba pro nasazení systému Windows.

    • Spuštění pxE.

    • Spouštění pomocí protokolu HTTPS a další scénáře spouštění ze sítě

  • Jedním ze způsobů, jak to udělat, je použití offline instalace balíčku DISM na image, které jsou obsluhovány těmito scénáři. To zahrnuje aktualizaci spouštěcích souborů, které tyto služby nabízejí.

  • Pokud k uložení obsahu instalace Systému Windows do bitové kopie pro obnovení používáte zálohovací software, nezapomeňte po použití zmírnění rizik z 9. dubna 2024 spustit úplné zálohování. Nezapomeňte kromě oddílu operačního systému Windows zálohovat také oddíl disku EFI. Jasně identifikujte zálohy vytvořené před použitím zmírnění rizik z 9. dubna 2024 v porovnání se zálohami vytvořenými po použití zmírnění rizik.

OEM počítače s Windows

Aktualizace instalačního média systému Windows

POZNÁMKA Při vytváření spouštěcího flash disku nezapomeňte jednotku naformátovat pomocí systému souborů FAT32.

Pomocí následujícího postupu můžete použít aplikaci Vytvořit jednotku pro obnovení . Toto médium můžete použít k přeinstalaci zařízení v případě závažného problému, jako je selhání hardwaru, budete moct k přeinstalaci Windows použít jednotku pro obnovení.

  1. Přejděte na zařízení, na kterém byly použity aktualizace z 9. dubna 2024 a první krok pro zmírnění rizik (aktualizace databáze zabezpečeného spouštění).

  2. V nabídce Start vyhledejte aplet ovládacího panelu "Vytvořit jednotku pro obnovení" a podle pokynů vytvořte jednotku pro obnovení.

  3. S připojeným nově vytvořeným flash diskem (například jako jednotka D:) spusťte jako správce následující příkazy. Zadejte každý z následujících příkazů a stiskněte klávesu Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Pokud spravujete instalovatelná média ve svém prostředí pomocí pokynů Aktualizace instalačního média Windows pomocí dynamické aktualizace , postupujte podle těchto kroků. Tyto další kroky vytvoří spouštěcí flash disk, který používá spouštěcí soubory podepsané podpisovým certifikátem "Windows UEFI CA 2023".

  1. Přejděte na zařízení, na kterém byly použity aktualizace z 9. dubna 2024 a první krok pro zmírnění rizik (aktualizace databáze zabezpečeného spouštění).

  2. Podle pokynů na následujícím odkazu vytvořte multimédia s aktualizacemi z 9. dubna 2024. Aktualizace instalačního média windows pomocí dynamické aktualizace

  3. Obsah média umístěte na usb flash disk a připojte ho jako písmeno jednotky. Připojte například jednotku s palcem jako "D:".

  4. Jako správce spusťte z příkazového okna následující příkazy. Zadejte každý z následujících příkazů a stiskněte klávesu Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Pokud má zařízení po použití zmírnění rizik resetování nastavení zabezpečeného spouštění na výchozí hodnoty, zařízení se nespustí. Pokud chcete tento problém vyřešit, je součástí aktualizací z 9. dubna 2024 aplikace pro opravu, která se dá použít k opětovnému použití certifikátu "Windows UEFI CA 2023" na databázi (zmírnění č. 1).

POZNÁMKA Tuto aplikaci pro opravu nepoužívejte na zařízení nebo systému popsaném v části Známé problémy .

  1. Přejděte na zařízení, na kterém byly použity aktualizace z 9. dubna 2024.

  2. V příkazovém okně zkopírujte aplikaci pro obnovení na flash disk pomocí následujících příkazů (za předpokladu, že flash disk je jednotka "D:"). Zadejte každý příkaz samostatně a stiskněte Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Na zařízení, které má nastavení zabezpečeného spouštění obnovené na výchozí hodnoty, vložte flash disk, restartujte zařízení a spusťte ho z flash disku.

Načasování aktualizací

Aktualizace se vydávají následujícím způsobem:

  • Počáteční nasazení Tato fáze začala aktualizacemi vydanými 9. května 2023 a poskytovala základní zmírnění rizik s ručními kroky pro povolení těchto zmírnění.

  • Druhé nasazení Tato fáze začala aktualizacemi vydanými 11. července 2023, které přidaly zjednodušené kroky pro zmírnění tohoto problému.

  • Fáze vyhodnocení Tato fáze začne 9. dubna 2024 a přidá další zmírnění rizik správce spouštění.

  • Konečná fáze nasazení V tomto případě budeme všem zákazníkům doporučovat, aby začali nasazovat zmírnění rizik a aktualizovat média.

  • Fáze vynucení Fáze vynucení, díky které bude zmírnění rizik trvalá. Datum pro tuto fázi bude oznámeno později.

Poznámka Plán vydávání verzí se může podle potřeby upravit.

Tato fáze byla nahrazena vydáním aktualizací zabezpečení systému Windows 9. dubna 2024 nebo později.

Tato fáze byla nahrazena vydáním aktualizací zabezpečení systému Windows 9. dubna 2024 nebo později.

V této fázi vás žádáme, abyste tyto změny otestují ve svém prostředí, abyste se ujistili, že změny fungují správně s reprezentativními ukázkovými zařízeními, a získali zkušenosti se změnami.

POZNÁMKA Místo toho, abychom se pokusili vyčerpávajícím způsobem vypsat a oddělovat nedůvěryhodné správce spouštění, jako jsme to udělali v předchozích fázích nasazení, přidáváme podpisový certifikát "Windows Production PCA 2011" do seznamu DBX (Secure Boot Disallow List), aby všichni správci spouštění podepsaní tímto certifikátem nedůvěřovali. Jedná se o spolehlivější metodu, která zajistí, že všichni předchozí správci spouštění budou nedůvěryhodní.

Aktualizace pro Windows vydané 9. dubna 2024 nebo později přidejte následující:

  • Tři nové ovládací prvky pro zmírnění rizik, které nahrazují zmírnění rizik vydaná v roce 2023. Nové ovládací prvky pro zmírnění rizik:

    • Ovládací prvek pro nasazení certifikátu "Windows UEFI CA 2023" do databáze zabezpečeného spouštění, aby se přidala důvěryhodnost pro správce spouštění Systému Windows podepsané tímto certifikátem. Všimněte si, že certifikát Windows UEFI CA 2023 mohl být nainstalován dřívější aktualizací systému Windows.

    • Ovládací prvek pro nasazení správce spouštění podepsaného certifikátem "Windows UEFI CA 2023".

    • Ovládací prvek pro přidání "Windows Production PCA 2011" do dbX zabezpečeného spouštění, který zablokuje všechny správce spouštění Windows podepsané tímto certifikátem.

  • Možnost nezávisle povolit nasazení zmírnění rizik ve fázích, abyste umožnili větší kontrolu při nasazování zmírnění rizik ve vašem prostředí na základě vašich potřeb.

  • Zmírnění rizik jsou vzájemně propojená, takže je nelze nasadit v nesprávném pořadí.

  • Další události, které znají stav zařízení, když používají zmírnění rizik. Další podrobnosti o událostech najdete v tématu KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX.

V této fázi doporučujeme zákazníkům, aby začali nasazovat zmírnění rizik a spravovat aktualizace médií. Aktualizace přidají následující změny:

  • Pokyny a nástroje, které vám pomůžou při aktualizaci médií

  • Aktualizace bloku DBX pro odvolání dalších správců spouštění.

Fáze vynucení bude nejméně šest měsíců po fázi nasazení. Při vydání aktualizací pro fázi vynucení budou zahrnovat následující:

  • Certifikát "Windows Production PCA 2011" se automaticky odvolá přidáním do seznamu zakázaných rozhraní UEFI pro zabezpečené spouštění (DBX) na zařízeních s podporou. Tyto aktualizace budou programově vynucovány po instalaci aktualizací pro Windows do všech ovlivněných systémů bez možnosti zakázání.

Chyby protokolu událostí systému Windows související s CVE-2023-24932

Položky protokolu událostí systému Windows související s aktualizací databází a DBX jsou podrobně popsány v KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX.

Události "úspěchu" související s použitím zmírnění rizik jsou uvedeny v následující tabulce.

Krok omezení rizik

ID události

Poznámky

Instalace aktualizace databáze

1036

Certifikát PCA2023 byl přidán do databáze.

Aktualizace správce spouštění

1799

Použil se správce spouštění podepsaný PCA2023.

Instalace aktualizace DBX

1037

Byla použita aktualizace DBX, která nedůvěřuje PCA2011 podpisový certifikát.

Nejčastější dotazy

Než použijete odvolání, aktualizujte všechny operační systémy Windows aktualizacemi vydanými 9. dubna 2024 nebo později. Po uplatnění odvolání nemusí být možné spustit žádnou verzi Windows, která nebyla aktualizována alespoň na aktualizace vydané 9. dubna 2024. Postupujte podle pokynů v části Řešení potíží se spouštěním .

Projděte si část Řešení potíží se spouštěním .

Řešení potíží se spouštěním

Po použití všech tří zmírnění rizik se firmware zařízení nespustí pomocí správce spouštění podepsaného windows production PCA 2011. Selhání spouštění hlášená firmwarem jsou specifická pro zařízení. Projděte si část Postup obnovení .

Postup obnovení

Pokud se při uplatňování zmírnění rizik něco pokazí a zařízení se vám nedaří spustit nebo potřebujete spustit z externího média (například z jednotky s palcem nebo spuštění pomocí technologie PXE), vyzkoušejte následující návrhy:

  1. Vypněte zabezpečené spouštění.

    Tento postup se liší mezi výrobci zařízení a modely. Zadejte nabídku UEFI BIOS zařízení, přejděte do nastavení zabezpečeného spouštění a vypněte ho. Podrobnosti o tomto procesu najdete v dokumentaci od výrobce zařízení. Další podrobnosti najdete v tématu Zakázání zabezpečeného spouštění.

  2. Obnovte klíče zabezpečeného spouštění na výchozí tovární nastavení.

    Pokud zařízení podporuje resetování zabezpečených spouštěcích klíčů na výchozí tovární nastavení, proveďte tuto akci.

    POZNÁMKA Někteří výrobci zařízení mají pro proměnné zabezpečeného spouštění možnost Vymazat i Obnovit. V tomto případě by se mělo použít resetování. Cílem je vrátit proměnné zabezpečeného spouštění zpět na výchozí hodnoty výrobce.

    Vaše zařízení by se mělo spustit hned, ale mějte na paměti, že je ohrožené malwarem spouštěcí sady. Nezapomeňte dokončit krok 5 tohoto procesu obnovení, abyste znovu povolili zabezpečené spouštění.

  3. Zkuste spustit Systém Windows ze systémového disku.

    1. Přihlaste se k Windows.

    2. Spuštěním následujících příkazů z příkazového řádku správce obnovte spouštěcí soubory ve spouštěcím oddílu systému EFI. Zadejte každý příkaz samostatně a stiskněte Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Spuštění příkazu BCDBoot vrátí zprávu o úspěšném vytvoření spouštěcích souborů. Po zobrazení této zprávy restartujte zařízení zpět do Windows.

  4. Pokud krok 3 úspěšně neobnoví zařízení, přeinstalujte systém Windows.

    1. Spusťte zařízení z existujícího média pro obnovení.

    2. Pokračujte instalací Windows pomocí média pro obnovení.

    3. Přihlaste se k Windows.

    4. Restartujte Windows a ověřte, že se zařízení spustí zpátky do Windows.

  5. Znovu povolte zabezpečené spouštění a restartujte zařízení.

    Zadejte nabídku UEFI zařízení, přejděte do nastavení zabezpečeného spouštění a zapněte ho. Podrobnosti o tomto procesu najdete v dokumentaci od výrobce zařízení. Další informace najdete v části Opětovné povolení zabezpečeného spouštění.

Reference

Produkty třetích stran, které tento článek popisuje, pocházejí od společností, které jsou nezávislé na společnosti Microsoft. Neposkytujeme žádnou záruku, předpokládanou ani jinou, týkající se výkonu nebo spolehlivosti těchto produktů.

Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme přesnost těchto kontaktních informací třetích stran.

Datum změny

Popis změny

9. dubna 2024

  • Rozsáhlé změny postupů, informací, pokynů a dat Všimněte si, že některé předchozí změny byly odebrány v důsledku rozsáhlých změn provedených k tomuto datu.

úterý 16. prosince 2023

  • Upravili jsme data vydání pro třetí nasazení a vynucování v části Časování aktualizací.

15. května 2023

  • Odebrání nepodporovaného operačního systému Windows 10 verze 21H1 z části Platí pro.

11. května 2023

  • Přidání upozornění ke kroku 1 v části Pokyny pro nasazení týkající se upgradu na Windows 11, verzi 21H2 nebo 22H2 nebo některé verze Windows 10.

10. května 2023

  • Objasnilo se, že média windows ke stažení aktualizovaná o nejnovější kumulativní Aktualizace budou brzy k dispozici.

  • Opravili jsme pravopis slova Zakázáno.

9. května 2023

  • Přidání dalších podporovaných verzí do části Platí pro

  • Byl aktualizován krok 1 v části Provést akci.

  • Byl aktualizován krok 1 části Pokyny pro nasazení.

  • Opravili jsme příkazy v kroku 3a v části "Pokyny pro vyřazení".

  • Opravili jsme umístění imagí rozhraní UEFI Hyper-V v části Řešení potíží se spouštěním.

úterý 27. června 2023

  • Odebrání poznámky o aktualizaci z Windows 10 na novější verzi Windows 10, která používá balíček povolení v části Pokyny pro nasazení v kroku 1:Instalace.

11. července 2023

  • Aktualizovali jsme výskyty data 9. května 2023 na 11. července 2023, 9. května 2023 a 11. července 2023 nebo na 9. května 2023 nebo novější.

  • V části Pokyny pro nasazení si všimněte, že všechny dynamické aktualizace SafeOS jsou teď k dispozici pro aktualizaci oddílů WinRE. Kromě toho bylo pole UPOZORNĚNÍ odebráno, protože problém je vyřešen vydáním dynamických aktualizací SafeOS.

  • V "3. ODDÍL APPLY the revocations" (POUŽÍT odvolání), pokyny byly revidovány.

  • V části Chyby protokolu událostí systému Windows se přidá ID události 276.

úterý 25. srpna 2023

  • Aktualizovali jsme různé části pro formulace a přidali jsme informace o verzi z 11. července 2023 a budoucí verzi 2024.

  • Uspořádání některého obsahu z části "Vyhněte se problémům se spouštěcím médium" na část "Aktualizace spouštěcího média".

  • Část Časování aktualizací byla aktualizována upravenými daty nasazení a informacemi.
Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×