Změnit datum |
Změnit popis |
úterý 20. března 2024 |
|
úterý 21. března 2024 |
|
úterý 22. března 2024 |
|
Úvod
Tento článek je dodatek k následujícímu článku, který bude aktualizován v dubnu 2024:
-
KB5025885: Správa odvolání Správce spouštění systému Windows pro změny zabezpečeného spouštění spojené s CVE-2023-24932
Tento dodatek popisuje podrobný aktualizovaný postup nasazení nových zmírnění rizik u spouštěcí sady BlackLotus UEFI sledované cve-2023-24932 a obsahuje pokyny k testování pro vaše prostředí.
Abychom pomohli chránit před škodlivým zneužitím ohrožených správců spouštění, musíme nasadit nový podpisový certifikát zabezpečeného spouštění UEFI do firmwaru zařízení a odvolat důvěryhodnost ve firmwaru aktuálního podpisového certifikátu. To způsobí, že zařízení s povoleným zabezpečeným spouštěním nebudou důvěryhodní všichni stávající a zranitelní správci spouštění. Tento průvodce vám s tímto procesem pomůže.
Tři kroky pro zmírnění rizik popsané v tomto průvodci jsou následující:
-
Aktualizuje se databáze: Do databáze zabezpečeného spouštění se přidá nový certifikát PCA (PCA2023), který umožní zařízení spustit médium podepsané tímto certifikátem.
-
Instalace správce spouštění: Stávající správce spouštění podepsaný PCA2011 bude nahrazen správcem spouštění podepsaným PCA2023.Oba správci spouštění jsou součástí aktualizací zabezpečení z dubna 2024.
-
Odvolání PCA2011 DBX: Do zabezpečeného spouštění DBX se přidá položka zamítnutí, která brání správcům spouštění podepsaným PCA2011 ve spuštění.
Poznámka Software servicing stack, který používá tato tři zmírnění rizik, neumožňuje, aby se zmírnění rizik použila mimo pořadí.
Týká se mě to?
Tato příručka se vztahuje na všechna zařízení s povoleným zabezpečeným spouštěním a všechna existující média pro obnovení těchto zařízení.
Pokud na vašem zařízení běží Windows Server 2012 nebo Windows Server 2012 R2, nezapomeňte si před pokračováním přečíst část Známé problémy.
Než začnete
Povolení nepovinných diagnostických dat
Pomocí následujících kroků zapněte nastavení Odesílat volitelná diagnostická data:
-
V Windows 11 přejděte na Nastavení Start > > Ochrana osobních údajů & zabezpečení > Diagnostika & zpětná vazba.
-
Zapněte možnost Odesílat volitelná diagnostická data.
Další informace najdete v tématu Diagnostika, zpětná vazba a ochrana osobních údajů ve Windows.
POZNÁMKA Ujistěte se, že během ověření a po nějakou dobu po ověření máte připojení k internetu.
Projít testem
Po instalaci aktualizací Windows z dubna 2024 a před provedením kroků pro vyjádření souhlasu nezapomeňte provést testovací průchod a ověřit integritu systému:
-
VPN: Ověřte, že přístup VPN k podnikovým prostředkům a síti je funkční.
-
Windows Hello: Přihlaste se k zařízení s Windows pomocí normálního postupu (obličej, otisk prstu nebo PIN kódu).
-
Bitlocker: Systém se spustí normálně v systémech s podporou bitlockeru bez výzvy k obnovení nástroje BitLocker během spouštění.
-
Ověření stavu zařízení: Ověřte, že zařízení, která se spoléhají na ověření stavu zařízení, správně ověřují svůj stav.
Známé problémy
Pouze pro Windows Server 2012 a Windows Sever 2012 R2:
-
Systémy založené na čipu TPM 2.0 nemůžou nasadit zmírnění rizik vydaná v opravě zabezpečení z dubna 2024 kvůli známým problémům s kompatibilitou s měřením čipu TPM. Aktualizace z dubna 2024 budou blokovat zmírnění rizik č. 2 (správce spouštění) a #3 (aktualizace DBX) v ovlivněných systémech.
-
Microsoft o tomto problému ví a v budoucnu bude vydána aktualizace, která odblokuje systémy založené na čipu TPM 2.0.
-
Pokud chcete zkontrolovat verzi čipu TPM, klikněte pravým tlačítkem na Start, klikněte na Spustit a zadejte tpm.msc. V pravém dolním rohu prostředního podokna v části Informace o výrobci čipu TPM by se měla zobrazit hodnota Verze specifikace.
Postup ověření souhlasu
Zbytek tohoto článku popisuje testování pro přihlášení zařízení ke zmírnění rizik. Zmírnění rizik nejsou ve výchozím nastavení povolená. Pokud vaše organizace plánuje tato omezení rizik povolit, proveďte následující kroky ověření a ověřte kompatibilitu zařízení.
-
Nasaďte předběžnou aktualizaci zabezpečení z dubna 2024.
-
Otevřete příkazový řádek správce, nastavte klíč registru tak, aby provedl aktualizaci databáze zadáním následujícího příkazu a pak stiskněte Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
Restartujte zařízení dvakrát.
-
Ověřte, že se databáze úspěšně aktualizovala, a ujistěte se, že následující příkaz vrátí hodnotu True. Jako správce spusťte následující příkaz PowerShellu:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
Otevřete příkazový řádek správce a nastavte klíč registru na stažení a instalaci správce spouštění podepsaného PCA2023:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Restartujte zařízení dvakrát.
-
Jako správce připojte oddíl EFI, abyste ho připravili ke kontrole:
mountvol s: /s
-
Ověřte, že soubor s:\efi\microsoft\boot\boot\bootmgfw.efi je podepsaný PCA2023. Postupujte takto:
-
Klikněte na Start, do vyhledávacího pole zadejte příkazový řádek a potom klikněte na Příkazový řádek.
-
V okně příkazového řádku zadejte následující příkaz a stiskněte klávesu Enter.
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Ve Správci souborů klikněte pravým tlačítkem na soubor C:\bootmgfw_2023.efi, klikněte na Vlastnosti a pak vyberte kartu Digitální podpisy.
-
V seznamu Podpis ověřte, že řetěz certifikátů zahrnuje certifikační autoritu Windows UEFI 2023.
-
UPOZORNĚNÍ: Tento krok nasadí odvolání DBX nedůvěryhodným, ohroženým správcům spouštění podepsaným pomocí PCA2011 Windows Production. Zařízení s tímto odvoláním se už nebudou spouštět z existujícího média pro obnovení a serverů spouštění ze sítě (PXE/HTTP), které nemají aktualizované součásti správce spouštění.
Pokud se vaše zařízení dostane do nespouštětelného stavu, postupujte podle kroků v části Postupy obnovení a obnovení a obnovte ho do stavu předběžného odvolání.
Pokud chcete po použití dbX vrátit zařízení do předchozího stavu zabezpečeného spouštění, postupujte podle pokynů v části Postupy obnovení a obnovení.
Použijte omezení rizik DBX, pokud chcete nedůvěryhodný certifikát windows production PCA2011 při zabezpečeném spouštění:
-
Otevřete příkazový řádek správce a nastavte klíč registru tak, aby odvolaný PCA2011 v DBX:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Dvakrát restartujte zařízení a ověřte, že se zcela restartovalo.
-
Ověřte, že se zmírnění rizik DBX úspěšně použilo. Provedete to tak, že jako správce spustíte následující příkaz PowerShellu a ujistěte se, že příkaz vrátí hodnotu True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
Nebo v Prohlížeč událostí vyhledejte následující událost:
Protokol událostí
Systém
Zdroj události
TPM-WMI
ID události
1037
Úroveň
Informace
Text zprávy události
Aktualizace Dbx zabezpečeného spouštění pro odvolání microsoft Windows Production PCA 2011 se úspěšně použila.
-
Proveďte testovací předvedení položek z části "Než začnete" a ujistěte se, že se všechny systémy chovají normálně.
Referenční informace ke klíči registru
Příkaz |
Účel |
Komentáře |
|
Nainstaluje aktualizaci databáze, která povolí správce spouštění podepsaného PCA2023. |
Příkaz |
Účel |
Komentáře |
|
Nainstaluje spouštěcí nástroj podepsaný PCA2023. |
Hodnota se respektuje až po dokončení 0x40 kroku |
Příkaz |
Účel |
Komentáře |
|
Nainstaluje aktualizaci DBX, která odvolá PCA2011 |
Hodnota je respektována až po dokončení obou 0x40 & 0x100 kroků |
Výsledky a zpětná vazba
Pošlete suvp@microsoft.com e-mail s výsledky testování, otázkami a zpětnou vazbou.
Postupy obnovení a obnovení
Při provádění postupů obnovení sdílejte s Microsoftem následující data:
-
Snímek obrazovky se zjištěnou chybou spuštění
-
Provedené kroky, které vedly k tomu, že zařízení nebylo možné spustit.
-
Podrobnosti o konfiguraci zařízení
Při provádění procedury obnovení před zahájením této procedury pozastavte nástroj BitLocker.
Pokud se během tohoto procesu něco pokazí a zařízení nejde spustit nebo potřebujete spustit z externího média (například z jednotky s palcem nebo spuštění pomocí technologie PXE), vyzkoušejte následující postupy.
-
Vypnutí zabezpečeného spouštění
Tento postup se liší mezi výrobci počítačů a modely. Zadejte nabídku UEFI BIOS počítačů, přejděte do nastavení Zabezpečené spouštění a vypněte ho. Podrobnosti o tomto procesu najdete v dokumentaci od výrobce počítače. Další informace najdete v tématu Zakázání zabezpečeného spouštění. -
Vymazat klíče zabezpečeného spouštění
Pokud zařízení podporuje vymazání klíčů zabezpečeného spouštění nebo resetování klíčů zabezpečeného spouštění na výchozí hodnoty z výroby, proveďte tuto akci.
Zařízení by se mělo spustit hned, ale mějte na paměti, že je ohrožené malwarem spouštěcích sad. Nezapomeňte dokončit krok 5 na konci tohoto procesu obnovení, abyste znovu povolili zabezpečené spouštění. -
Zkuste spustit Systém Windows ze systémového disku.
-
Pokud je nástroj BitLocker povolený a přejde do obnovení, zadejte obnovovací klíč nástroje BitLocker.
-
Přihlaste se k Windows.
-
Spuštěním následujících příkazů z příkazového řádku správce obnovte spouštěcí soubory ve spouštěcím oddílu systému EFI:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
Spuštění příkazu BCDBoot by mělo vrátit informace o úspěšném vytvoření spouštěcích souborů.
-
Pokud je nástroj BitLocker povolený, pozastavte nástroj BitLocker.
-
Zařízení restartujte.
-
-
Pokud krok 3 úspěšně neobnoví zařízení, znovu nainstalujte Windows.
-
Začněte z existujícího média pro obnovení.
-
Pokračujte instalací Windows pomocí média pro obnovení.
-
Přihlaste se k Windows.
-
Restartováním ověřte, že se zařízení úspěšně spustí do Windows.
-
-
Znovu povolte zabezpečené spouštění a restartujte zařízení.
Zadejte nabídku UEFI pro vyřazení, přejděte do nastavení Zabezpečené spouštění a zapněte ho. Podrobnosti o tomto procesu najdete v dokumentaci od výrobce zařízení. Další informace najdete v tématu Opětovné povolení zabezpečeného spouštění. -
Pokud se systém Windows stále nedaří spustit, znovu zadejte systém UEFI BIOS a vypněte zabezpečené spouštění.
-
Spusťte Windows.
-
Obsah databáze a DBX můžete sdílet s Microsoftem.
-
Otevřete PowerShell v režimu správce.
-
Zachyťte databázi:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
Zachyťte DBX:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
Sdílejte soubory DBUpdateFw.bin a dbxUpdateFw.bin vygenerované v krocích 8b a 8c.
-