Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Zobrazit produkty, kterých se tento článek týká.

Shrnutí

29. července 2020 společnost Microsoft zveřejnila informační 200011 zabezpečení , která popisuje novou chybu zabezpečení související se zabezpečeným spouštěním. Zařízení, která v konfiguraci zabezpečeného spouštění důvěřují certifikační autoritě (CA) rozhraní UEFI (Unified Extensible Firmware Interface) od microsoftu třetí strany, můžou být náchylná k útočníkovi, který má oprávnění správce nebo fyzický přístup k zařízení.

Tento článek obsahuje pokyny k použití nejnovějšího seznamu odvolaných certifikátů zabezpečeného spouštění DBX k zneplatnění ohrožených modulů. Microsoft na jaře 2022 nabídne aktualizaci služba Windows Update, aby se tato chyba zabezpečení vyřešila.

Binární soubory aktualizace zabezpečeného spouštění jsou hostované na této webové stránce rozhraní UEFI.

Publikované soubory jsou následující:

  • Soubor seznamu odvolaných certifikátů UEFI pro x86 (32bitová verze)

  • Soubor seznamu odvolání UEFI pro x64 (64bitová verze)

  • Soubor seznamu odvolaných certifikátů UEFI pro arm64

Po přidání těchto hodnot hash do zabezpečeného spouštění DBX na vašem zařízení už tyto aplikace nebudou moct načítat. 

Důležité informace: Tento web hostuje soubory pro každou architekturu. Každý hostovaný soubor obsahuje pouze hodnoty hash aplikací, které se vztahují na konkrétní architekturu. Jeden z těchto souborů musíte použít na každé zařízení, ale ujistěte se, že používáte soubor, který je relevantní pro jeho architekturu. I když je technicky možné použít aktualizaci pro jinou architekturu, nenainstalování příslušné aktualizace ponechá zařízení bez ochrany.

Upozornění: Než vyzkoušíte některý z těchto kroků, přečtěte si hlavní článek s doporučeními k tomuto ohrožení zabezpečení. Nesprávné použití aktualizací DBX může bránit spuštění zařízení.

Tyto kroky byste měli postupovat pouze v případě, že platí následující podmínka:

  • Nespoléháte na spuštění žádné spouštěcí aplikace, které tato aktualizace blokuje.

Více informací

Instalace aktualizace DBX ve Windows

Po přečtení upozornění v předchozí části a ověření, že je vaše zařízení kompatibilní, aktualizujte databázi DBX zabezpečeného spouštění následujícím postupem:

  1. Z této webové stránky rozhraní UEFI si stáhněte příslušný soubor seznamu odvolaných certifikátů UEFI (Dbxupdate.bin) pro vaši platformu.

  2. Abyste je mohli použít pomocí rutin PowerShellu, musíte soubor Dbxupdate.bin rozdělit na nezbytné součásti. Postupujte takto:

    1. Stáhněte si skript PowerShellu z této Galerie prostředí PowerShell webové stránky.

    2. Pokud chcete skript najít, spusťte následující rutinu:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

    3. Ověřte, že rutina úspěšně stáhne skript a poskytuje podrobnosti výstupu, včetně názvu, verze, autora, publikovaného data, nainstalovaného a nainstalovaného umístění.

    4. Spusťte následující rutiny:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

    5. Ověřte, že se soubor SplitDbxContent.ps1 nachází ve složce Scripts.

    6. V souboru Dbxupdate.bin spusťte následující skript PowerShellu:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. Ověřte, že příkaz vytvořil následující soubory.

      Výstup příkazu "Použití" kroku 2c

      • Content.bin – aktualizace obsahu

      • Signature.p7 – podpis autorizující proces aktualizace

  3. V relaci PowerShellu pro správu použijte aktualizaci DBX spuštěním rutiny Set-SecureBootUefi :

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Očekávaný výstup

    Výstup příkazu "Použití" kroku 3

  4. Pokud chcete dokončit proces instalace aktualizace, restartujte zařízení.

Další informace o rutině konfigurace zabezpečeného spouštění a jejím použití pro aktualizace DBX najdete v tématu Set-Secure.

Ověření úspěšné aktualizace  

Po úspěšném dokončení kroků v předchozí části a restartování zařízení postupujte podle těchto kroků a ověřte, že se aktualizace úspěšně nainstalovala. Po úspěšném ověření již nebude vaše zařízení ovlivněno chybou zabezpečení GRUB.

  1. Stáhněte si ověřovací skripty aktualizací DBX z této webové stránky GitHub Gist.

  2. Extrahujte skripty a binární soubory z komprimovaného souboru.

  3. Spuštěním následujícího skriptu PowerShellu ve složce, která obsahuje rozbalené skripty a binární soubory, ověřte aktualizaci DBX:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    Poznámka: Pokud byla použita aktualizace DBX, která odpovídá verzím z července 2020 nebo října 2020 z tohoto archivu souborů seznamu odvolání , spusťte místo toho následující příslušný příkaz:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 .\dbx-2020-October.bin 

  4. Ověřte, že výstup odpovídá očekávanému výsledku.

    "Ověření" krok 4 výstup příkazu

Nejčastější dotazy

Otázka 1: Co znamená chybová zpráva Get-SecureBootUEFI: Rutiny nepodporované na této platformě?

A1: Tato chybová zpráva značí, že v počítači není povolená žádná funkce zabezpečeného spouštění. Proto toto zařízení NENÍ ovlivněno chybou zabezpečení GRUB. Není nutná žádná další akce.

Otázka 2: Návody nakonfigurovat zařízení tak, aby důvěřovaly nebo nedůvěřily certifikační autoritě UEFI třetí strany? 

A2: Doporučujeme, abyste se poradil s dodavatelem výrobce OEM. 

U zařízení Microsoft Surface změňte nastavení zabezpečeného spouštění na "Pouze Microsoft" a pak spusťte následující příkaz PowerShellu (výsledek by měl být Nepravda): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Další informace o tom, jak nakonfigurovat microsoft Surface, najdete v tématu Správa nastavení rozhraní Surface UEFI – Surface | Microsoft Docs.

Otázka 3: Týká se tento problém virtuálních počítačů Azure IaaS 1. generace a 2. generace? 

A3: Ne. Virtuální počítače Azure Host Gen1 a Gen2 nepodporují funkci zabezpečeného spouštění. Proto nejsou ovlivněny řetězem útoků na důvěryhodnost. 

Otázka 4: Odkazují ADV200011 a CVE-2020-0689 na stejné ohrožení zabezpečení, které souvisí se zabezpečeným spouštěním? 

A: Ne. Tyto informační zpravodaje zabezpečení popisují různá ohrožení zabezpečení. "ADV200011" označuje chybu zabezpečení v GRUB (součást Linuxu), která by mohla způsobit obejití zabezpečeného spouštění. CVE-2020-0689 odkazuje na chybu zabezpečení spočívající v obejití funkce zabezpečení, která existuje v zabezpečeném spouštění. 

Otázka 5: Nemůžu spustit ani jeden ze skriptů PowerShellu. Co mám dělat?

A: Ověřte zásady spouštění PowerShellu spuštěním příkazu Get-ExecutionPolicy . V závislosti na výstupu možná budete muset aktualizovat zásady spouštění:

Produkty třetích stran, které jsou popsány v tomto článku, jsou vyráběny společnostmi, které jsou nezávislé na Microsoftu. Společnost Microsoft neposkytuje žádnou záruku, ať už předpokládanou nebo jinou, týkající se výkonu nebo spolehlivosti těchto produktů. 

Společnost Microsoft poskytuje kontaktní informace třetích stran, které vám pomůžou najít další informace o tomto tématu. Tyto informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací třetích stran. 

Platí pro:

Windows 10 pro 32bitové systémy
Windows 10 pro systémy
s procesorem x64 Windows 10 verze 2004 pro 32bitové systémy
Windows 10 verze 2004 pro systémy
s procesorem ARM64 Windows 10 verze 2004 pro systémy
s procesorem x64 Windows 10 verze 1909 pro 32- bit Systems
Windows 10 verze 1909 pro systémy
s procesorem ARM64 Windows 10 verze 1909 pro systémy
s procesorem x64 Windows 10 verze 1903 pro 32bitové systémy
Windows 10 verze 1903 pro systémy
s procesorem ARM64 Windows 10 verze 1903 pro systémy
s procesorem x64 Windows 10 Verze 1809 pro 32bitové systémy
Windows 10 verze 1809 pro systémy
s procesorem ARM64 Windows 10 verze 1809 pro systémy
s procesorem x64 Windows 10 verze 1803 pro 32bitové systémy
Windows 10 verze 1803 pro systémy
s procesorem ARM64 Windows 10 verze 1803 pro systémy
s procesorem x64Windows 10 verze 1709 pro 32bitové systémy
Windows 10 verze 1709 pro systémy
s procesorem ARM64 Windows 10 verze 1709 pro systémy
s procesorem x64 Windows 10 verze 1607 pro 32bitové systémy
Windows 10 verze 1607 pro systémy
s procesorem x64 Windows 8.1 pro 32bitové systémy
Windows 8.1 pro systémy
založené na platformě x64 Windows RT 8.1
Windows Server verze 2004 (instalace jádra serveru)
Windows Server verze 1909 (instalace jádra serveru)
Windows Server verze 1903 (instalace jádra serveru)
Windows Server 2019
Windows Server 2019 (instalace jádra serveru)
Windows Server 2016
Windows Server 2016 (instalace jádra serveru)
Windows Server 2012 R2
Windows Server 2012 R2 (instalace jádra serveru)
Windows Server 2012
Windows Server 2012 (instalace jádra serveru)

Facebook LinkedIn E-mail

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×