Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Změnit datum

Změnit popis

úterý 20. března 2024

  • Přidání části Výsledky a zpětná vazba

úterý 21. března 2024

  • Aktualizace kroku 4 v části Krok 2: Instalace správce spouštění podepsaného PCA2023

úterý 22. března 2024

  • Aktualizace e-mailových kontaktních informací v části Výsledky a zpětná vazba

  • Přidání části Povolení nepovinných diagnostických dat

Úvod

Tento článek je dodatek k následujícímu článku, který bude aktualizován v dubnu 2024:

  • KB5025885: Správa odvolání Správce spouštění systému Windows pro změny zabezpečeného spouštění spojené s CVE-2023-24932

Tento dodatek popisuje podrobný aktualizovaný postup nasazení nových zmírnění rizik u spouštěcí sady BlackLotus UEFI sledované cve-2023-24932 a obsahuje pokyny k testování pro vaše prostředí.

Abychom pomohli chránit před škodlivým zneužitím ohrožených správců spouštění, musíme nasadit nový podpisový certifikát zabezpečeného spouštění UEFI do firmwaru zařízení a odvolat důvěryhodnost ve firmwaru aktuálního podpisového certifikátu. To způsobí, že zařízení s povoleným zabezpečeným spouštěním nebudou důvěryhodní všichni stávající a zranitelní správci spouštění. Tento průvodce vám s tímto procesem pomůže.

Tři kroky pro zmírnění rizik popsané v tomto průvodci jsou následující:

  1. Aktualizuje se databáze: Do databáze zabezpečeného spouštění se přidá nový certifikát PCA (PCA2023), který umožní zařízení spustit médium podepsané tímto certifikátem.

  2. Instalace správce spouštění: Stávající správce spouštění podepsaný PCA2011 bude nahrazen správcem spouštění podepsaným PCA2023.Oba správci spouštění jsou součástí aktualizací zabezpečení z dubna 2024.

  3. Odvolání PCA2011 DBX: Do zabezpečeného spouštění DBX se přidá položka zamítnutí, která brání správcům spouštění podepsaným PCA2011 ve spuštění.

Poznámka Software servicing stack, který používá tato tři zmírnění rizik, neumožňuje, aby se zmírnění rizik použila mimo pořadí.

Týká se mě to?

Tato příručka se vztahuje na všechna zařízení s povoleným zabezpečeným spouštěním a všechna existující média pro obnovení těchto zařízení.

Pokud na vašem zařízení běží Windows Server 2012 nebo Windows Server 2012 R2, nezapomeňte si před pokračováním přečíst část Známé problémy.

Než začnete

Povolení nepovinných diagnostických dat

Pomocí následujících kroků zapněte nastavení Odesílat volitelná diagnostická data:

  1. V Windows 11 přejděte na Nastavení Start > > Ochrana osobních údajů & zabezpečení > Diagnostika & zpětná vazba.

  2. Zapněte možnost Odesílat volitelná diagnostická data.

    Zpětná vazba & diagnostiky

Další informace najdete v tématu Diagnostika, zpětná vazba a ochrana osobních údajů ve Windows

POZNÁMKA Ujistěte se, že během ověření a po nějakou dobu po ověření máte připojení k internetu.

Projít testem

Po instalaci aktualizací Windows z dubna 2024 a před provedením kroků pro vyjádření souhlasu nezapomeňte provést testovací průchod a ověřit integritu systému:

  1. VPN: Ověřte, že přístup VPN k podnikovým prostředkům a síti je funkční.

  2. Windows Hello: Přihlaste se k zařízení s Windows pomocí normálního postupu (obličej, otisk prstu nebo PIN kódu).

  3. Bitlocker: Systém se spustí normálně v systémech s podporou bitlockeru bez výzvy k obnovení nástroje BitLocker během spouštění.

  4. Ověření stavu zařízení: Ověřte, že zařízení, která se spoléhají na ověření stavu zařízení, správně ověřují svůj stav.

Známé problémy

Pouze pro Windows Server 2012 a Windows Sever 2012 R2:

  • Systémy založené na čipu TPM 2.0 nemůžou nasadit zmírnění rizik vydaná v opravě zabezpečení z dubna 2024 kvůli známým problémům s kompatibilitou s měřením čipu TPM. Aktualizace z dubna 2024 budou blokovat zmírnění rizik č. 2 (správce spouštění) a #3 (aktualizace DBX) v ovlivněných systémech.

  • Microsoft o tomto problému ví a v budoucnu bude vydána aktualizace, která odblokuje systémy založené na čipu TPM 2.0.

  • Pokud chcete zkontrolovat verzi čipu TPM, klikněte pravým tlačítkem na Start, klikněte na Spustit a zadejte tpm.msc. V pravém dolním rohu prostředního podokna v části Informace o výrobci čipu TPM by se měla zobrazit hodnota Verze specifikace.

Postup ověření souhlasu

Zbytek tohoto článku popisuje testování pro přihlášení zařízení ke zmírnění rizik. Zmírnění rizik nejsou ve výchozím nastavení povolená. Pokud vaše organizace plánuje tato omezení rizik povolit, proveďte následující kroky ověření a ověřte kompatibilitu zařízení.

  1. Nasaďte předběžnou aktualizaci zabezpečení z dubna 2024.

  2. Otevřete příkazový řádek správce, nastavte klíč registru tak, aby provedl aktualizaci databáze zadáním následujícího příkazu a pak stiskněte Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Restartujte zařízení dvakrát.

  4. Ověřte, že se databáze úspěšně aktualizovala, a ujistěte se, že následující příkaz vrátí hodnotu True. Jako správce spusťte následující příkaz PowerShellu:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Otevřete příkazový řádek správce a nastavte klíč registru na stažení a instalaci správce spouštění podepsaného PCA2023:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Restartujte zařízení dvakrát.

  3. Jako správce připojte oddíl EFI, abyste ho připravili ke kontrole:

    mountvol s: /s

  4. Ověřte, že soubor s:\efi\microsoft\boot\boot\bootmgfw.efi je podepsaný PCA2023. Postupujte takto:

    1. Klikněte na Start, do vyhledávacího pole zadejte příkazový řádek a potom klikněte na Příkazový řádek.

    2. V okně příkazového řádku zadejte následující příkaz a stiskněte klávesu Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Ve Správci souborů klikněte pravým tlačítkem na soubor C:\bootmgfw_2023.efi, klikněte na Vlastnosti a pak vyberte kartu Digitální podpisy.

    4. V seznamu Podpis ověřte, že řetěz certifikátů zahrnuje certifikační autoritu Windows UEFI 2023.

UPOZORNĚNÍ: Tento krok nasadí odvolání DBX nedůvěryhodným, ohroženým správcům spouštění podepsaným pomocí PCA2011 Windows Production. Zařízení s tímto odvoláním se už nebudou spouštět z existujícího média pro obnovení a serverů spouštění ze sítě (PXE/HTTP), které nemají aktualizované součásti správce spouštění.

Pokud se vaše zařízení dostane do nespouštětelného stavu, postupujte podle kroků v části Postupy obnovení a obnovení a obnovte ho do stavu předběžného odvolání.

Pokud chcete po použití dbX vrátit zařízení do předchozího stavu zabezpečeného spouštění, postupujte podle pokynů v části Postupy obnovení a obnovení.

Použijte omezení rizik DBX, pokud chcete nedůvěryhodný certifikát windows production PCA2011 při zabezpečeném spouštění:

  1. Otevřete příkazový řádek správce a nastavte klíč registru tak, aby odvolaný PCA2011 v DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Dvakrát restartujte zařízení a ověřte, že se zcela restartovalo.

  3. Ověřte, že se zmírnění rizik DBX úspěšně použilo. Provedete to tak, že jako správce spustíte následující příkaz PowerShellu a ujistěte se, že příkaz vrátí hodnotu True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Nebo v Prohlížeč událostí vyhledejte následující událost:

    Protokol událostí

    Systém

    Zdroj události

    TPM-WMI

    ID události

    1037

    Úroveň

    Informace

    Text zprávy události

    Aktualizace Dbx zabezpečeného spouštění pro odvolání microsoft Windows Production PCA 2011 se úspěšně použila.

  4. Proveďte testovací předvedení položek z části "Než začnete" a ujistěte se, že se všechny systémy chovají normálně.

Referenční informace ke klíči registru

Ověření souhlasu – krok 12. krok ověření souhlasuOvěření souhlasu – krok 3

Příkaz

Účel

Komentáře 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Nainstaluje aktualizaci databáze, která povolí správce spouštění podepsaného PCA2023.

Příkaz

Účel

Komentáře 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Nainstaluje spouštěcí nástroj podepsaný PCA2023.

Hodnota se respektuje až po dokončení 0x40 kroku

Příkaz

Účel

Komentáře 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Nainstaluje aktualizaci DBX, která odvolá PCA2011

Hodnota je respektována až po dokončení obou 0x40 & 0x100 kroků

Výsledky a zpětná vazba

Pošlete suvp@microsoft.com e-mail s výsledky testování, otázkami a zpětnou vazbou.

Postupy obnovení a obnovení

Při provádění postupů obnovení sdílejte s Microsoftem následující data:

  • Snímek obrazovky se zjištěnou chybou spuštění

  • Provedené kroky, které vedly k tomu, že zařízení nebylo možné spustit.

  • Podrobnosti o konfiguraci zařízení

Při provádění procedury obnovení před zahájením této procedury pozastavte nástroj BitLocker.

Pokud se během tohoto procesu něco pokazí a zařízení nejde spustit nebo potřebujete spustit z externího média (například z jednotky s palcem nebo spuštění pomocí technologie PXE), vyzkoušejte následující postupy.

  1. Vypnutí zabezpečeného spouštění

    Tento postup se liší mezi výrobci počítačů a modely. Zadejte nabídku UEFI BIOS počítačů, přejděte do nastavení Zabezpečené spouštění a vypněte ho. Podrobnosti o tomto procesu najdete v dokumentaci od výrobce počítače. Další informace najdete v tématu Zakázání zabezpečeného spouštění.

  2. Vymazat klíče zabezpečeného spouštění

    Pokud zařízení podporuje vymazání klíčů zabezpečeného spouštění nebo resetování klíčů zabezpečeného spouštění na výchozí hodnoty z výroby, proveďte tuto akci.  

    Zařízení by se mělo spustit hned, ale mějte na paměti, že je ohrožené malwarem spouštěcích sad. Nezapomeňte dokončit krok 5 na konci tohoto procesu obnovení, abyste znovu povolili zabezpečené spouštění.

  3. Zkuste spustit Systém Windows ze systémového disku.

    1. Pokud je nástroj BitLocker povolený a přejde do obnovení, zadejte obnovovací klíč nástroje BitLocker.

    2. Přihlaste se k Windows.

    3. Spuštěním následujících příkazů z příkazového řádku správce obnovte spouštěcí soubory ve spouštěcím oddílu systému EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Spuštění příkazu BCDBoot by mělo vrátit informace o úspěšném vytvoření spouštěcích souborů.

    5. Pokud je nástroj BitLocker povolený, pozastavte nástroj BitLocker.

    6. Zařízení restartujte.

  4. Pokud krok 3 úspěšně neobnoví zařízení, znovu nainstalujte Windows.

    1. Začněte z existujícího média pro obnovení.

    2. Pokračujte instalací Windows pomocí média pro obnovení.

    3. Přihlaste se k Windows.

    4. Restartováním ověřte, že se zařízení úspěšně spustí do Windows.

  5. Znovu povolte zabezpečené spouštění a restartujte zařízení.

    Zadejte nabídku UEFI pro vyřazení, přejděte do nastavení Zabezpečené spouštění a zapněte ho. Podrobnosti o tomto procesu najdete v dokumentaci od výrobce zařízení. Další informace najdete v tématu Opětovné povolení zabezpečeného spouštění.

  6. Pokud se systém Windows stále nedaří spustit, znovu zadejte systém UEFI BIOS a vypněte zabezpečené spouštění.

  7. Spusťte Windows.

  8. Obsah databáze a DBX můžete sdílet s Microsoftem.

    1. Otevřete PowerShell v režimu správce.

    2. Zachyťte databázi:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Zachyťte DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Sdílejte soubory DBUpdateFw.bin a dbxUpdateFw.bin vygenerované v krocích 8b a 8c.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×