Pokyny pro podnikové nasazení pro CVE-2023-24932

Rozdělili jsme nasazení do několika kroků, kterých lze dosáhnout na časové ose, která bude vyhovovat vaší organizaci. S těmito kroky byste se měli seznámit. Jakmile budete těmto krokům dobře rozumět, měli byste zvážit, jak budou fungovat ve vašem prostředí, a připravit plány nasazení, které budou pro váš podnik fungovat na časové ose.

Přidání nového certifikátu CA 2023 Windows UEFI a zrušení důvěryhodnosti certifikátu PCA 2011 Microsoft Windows Production vyžaduje spolupráci na firmwaru zařízení. Vzhledem k tomu, že existuje velká kombinace hardwaru a firmwaru zařízení a společnost Microsoft nemůže testovat všechny kombinace, doporučujeme vám, abyste před nasazením ve velkém rozsahu otestovali reprezentativní zařízení ve vašem prostředí. Doporučujeme, abyste otestovali aspoň jedno zařízení od každého typu, které se ve vaší organizaci používá. Některé známé problémy se zařízeními, které zablokují tato zmírnění rizik, jsou popsané v KB5025885: Správa odvolání správce spouštění systému Windows pro změny zabezpečeného spouštění související s CVE-2023-24932. Pokud zjistíte problém s firmwarem zařízení, který není uvedený v části Známé problémy , obraťte se na dodavatele OEM a problém vyřešte.

Protože tento dokument odkazuje na několik různých certifikátů, jsou pro snadnou referenci a přehlednost uvedeny v následující tabulce:

Staré certifikační autority z roku 2011	Nové certifikační autority pro rok 2023 (platnost vyprší v roce 2038)	Funkce
Microsoft Corporation KEK CA 2011 (platnost vyprší v červenci 2026)	Microsoft Corporation KEK CA 2023	Podepisuje aktualizace DB a DBX
Microsoft Windows Production PCA 2011 (PCA2011) (platnost vyprší v říjnu 2026)	Windows UEFI CA 2023 (PCA2023)	Podepisuje zavaděč Windows
Microsoft Corporation UEFI CA 2011 (platnost vyprší v červenci 2026)	Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023	Podepisuje bootloadery třetích stran a volitelné ROM

K ochraně před útoky popsanými v CVE-2023-24932 je nutné použít čtyři zmírnění rizik:

• Omezení rizik 1: Nainstalujte aktualizovanou definici certifikátu (PCA2023) do databáze

• Omezení rizik 2:Aktualizace správce spouštění na vašem zařízení

• Omezení rizik 3:Povolení odvolání (PCA2011)

• Omezení rizik 4:Použijte aktualizaci SVN na firmware

Tato čtyři zmírnění rizik je možné ručně použít na každé z testovacích zařízení podle pokynů popsaných v pokynech pro nasazení zmírnění rizik na webu KB5025885: Jak spravovat odvolání správce spouštění systému Windows pro změny zabezpečeného spouštění související s CVE-2023-24932 nebo podle pokynů v tomto dokumentu. Všechna čtyři zmírnění rizik závisí na správném fungování firmwaru.

Pochopení následujících rizik vám pomůže během procesu plánování.

Problémy s firmwarem:Každé zařízení má firmware poskytnutý výrobcem zařízení. Pro operace nasazení popsané v tomto dokumentu musí být firmware schopen přijímat a zpracovávat aktualizace databází zabezpečeného spouštění (Signature Database) a DBX (Forbidden Signature Database). Kromě toho je firmware zodpovědný za ověřování podpisových nebo spouštěcích aplikací, včetně správce spouštění systému Windows. Firmware zařízení je software a jako každý software může mít vady, a proto je důležité tyto operace otestovat před jejich širokým nasazením.

Microsoft průběžně testuje mnoho kombinací zařízení a firmwaru, počínaje zařízeními v laboratořích a kancelářích Microsoftu, a spolupracuje s výrobci OEM na testování jejich zařízení. Téměř všechna testovaná zařízení prošla bez problémů. V několika případech jsme zaznamenali problémy s firmwarem, který nesprávně zpracovává aktualizace, a spolupracujeme s výrobci OEM na řešení problémů, o kterých víme.

Instalační médium:Po použití řešení Mitigation 3 a Mitigation 4 popsaných dále v tomto dokumentu nebude možné spustit žádná existující instalační média Windows, dokud nebudou mít aktualizovaného správce spouštění. Omezení rizik popsaná v tomto dokumentu zabraňují spuštění starých, zranitelných správců spouštění tím, že jim nedůvěřují ve firmwaru. To zabraňuje útočníkovi vrátit správce spouštění systému zpět na předchozí verzi a zneužít chyby zabezpečení přítomné ve starších verzích. Blokování těchto zranitelných spouštěcích manažerů by nemělo mít žádný dopad na běžící systém. Zabrání však spuštění jakéhokoli zaváděcího média, dokud nebudou správci spouštění na médiu aktualizováni. To zahrnuje obrazy ISO, spouštěcí jednotky USB a spouštění ze sítě (spouštění pomocí PxE a HTTP).

• Omezení rizik 1: Nainstalujte aktualizované definice certifikátů do databáze
  
  Přidá nový certifikát CA 2023 rozhraní Windows UEFI do databáze signatur zabezpečeného spouštění UEFI. Po přidání tohoto certifikátu do databáze bude firmware zařízení důvěřovat spouštěcím aplikacím Microsoft Windows podepsaným tímto certifikátem.

• Omezení rizik 2: Aktualizujte správce spouštění na vašem zařízení
  
  Použije nového správce spouštění systému Windows podepsaného novým certifikátem CA 2023 rozhraní Windows UEFI.

Tato zmírnění rizik jsou důležitá pro dlouhodobou provozuschopnost Windows na těchto zařízeních. Vzhledem k tomu, že platnost certifikátu PCA 2011 pro Microsoft Windows Production ve firmwaru vyprší v říjnu 2026, musí mít zařízení před vypršením platnosti ve firmwaru nový certifikát CA 2023 rozhraní Windows UEFI, jinak už zařízení nebude moct přijímat aktualizace Windows, čímž se dostane do zranitelného stavu zabezpečení.

Pokud chcete použít všechna zmírnění rizik společně, spusťte jako správce následující příkaz:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Při použití omezení rizik se bity v hodnotě AvailableUpdates vymažou. To může vyžadovat několik restartování.

Zmírnění rizik správce spouštění se použije až poté, co firmware oznámí, že omezení rizik u certifikátu je dokončeno. Tyto kroky nelze provést v nesprávném pořadí.

Po dokončení se UEFICA2023Status nastaví na "Aktualizováno".

Některá zařízení už můžou být aktualizovaná, pokud jsou klasifikována jako zařízení s vysokou spolehlivostí. Podrobnosti najdete v pokynech k zabezpečenému spouštění.

Po nasazení zmírnění rizik do zařízení byste měli zařízení monitorovat, abyste se ujistili, že mají použitá omezení rizik a jsou teď "aktualizovaná". Monitorování lze provést vyhledáním následujícího klíče registru v systému. Pokud klíč existuje a je nastavený na hodnotu InProgress, systém začal systém aktualizovat. Pokud klíč existuje a je nastavený na Aktualizováno, má systém potřebné certifikáty 2023 v databázi a KEK a začíná správcem spouštění podepsaným 2023.

Podklíč registru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Název klíčové hodnoty	UEFICA2023Stav
Datový typ	REG_SZ (řetězec)
Data	Odráží aktuální stav aktualizace klíče zabezpečeného spouštění na zařízení. Nastaví se na jednu z následujících textových hodnot: NotStarted: Aktualizace se ještě nespustila. InProgress: Aktualizace aktivně probíhá. Aktualizováno: Aktualizace byla úspěšně dokončena. Zpočátku je stav NotStarted. Po zahájení aktualizace se změní na InProgress a nakonec na Updated jakmile nasadíte všechny nové klíče a nového správce spouštění. Pokud dojde k chybě, je hodnota registru UEFICA2023Error nastavená na nenulový kód.

Po použití omezení rizik 1 a 2 na vašich zařízeních můžete aktualizovat všechna spouštěcí média, která používáte ve svém prostředí. Aktualizace spouštěcího média znamená použití PCA2023 podepsaného spouštěcího správce na médium. To zahrnuje aktualizaci spouštěcích bitových kopií sítě (například PxE a HTTP), bitových kopií ISO a USB flash disků. V opačném případě se zařízení s použitými omezeními rizik nebudou spouštět ze spouštěcího média, které používá starší správce spouštění systému Windows a certifikační autoritu 2011. ​​​​

Nástroje a pokyny k aktualizaci jednotlivých typů spouštěcích médií jsou k dispozici zde:

Typ média	Zdroj
ISO, USB flash disky a tak dále	KB5053484: Aktualizace spouštěcího média systému Windows tak, aby používal správce spouštění podepsaný pomocí PCA2023
Spouštěcí server PXE	Dokumentace, která bude poskytnuta později

Během procesu aktualizace média byste měli médium otestovat pomocí zařízení, které má zavedená všechna čtyři omezení rizik. Poslední dvě zmírnění rizik zablokují starší správce spouštění se zranitelnými místy. Důležitou součástí dokončení tohoto procesu je mít k dispozici média se současnými správci spouštění.

Zaváděcí médium neobsahuje systémovou jednotku zařízení, kde se obvykle nachází systém Windows a odkud se automaticky spouští. Spouštěcí médium se běžně používá ke spuštění zařízení, které nemá spouštěcí verzi systému Windows, a spouštěcí médium se často používá k instalaci systému Windows do zařízení.

Nastavení zabezpečeného spouštění UEFI určuje, kterým správcům spouštění se má důvěřovat pomocí databáze zabezpečeného spouštění (databáze podpisů) a databáze zakázaných podpisů (DBX). DB obsahuje hashe a klíče pro důvěryhodný software a DBX ukládá odvolané, kompromitované a nedůvěryhodné hashe a klíče, aby se zabránilo spuštění neoprávněného nebo škodlivého softwaru během procesu spouštění.

Je užitečné zamyslet se nad různými stavy, ve kterých může zařízení být, a o tom, jaké zaváděcí médium lze se zařízením v každém z těchto stavů používat. Ve všech případech firmware určí, zda má důvěřovat boot manageru, který je mu prezentován, a jakmile spustí boot manager, DB a DBX již nejsou firmwarem konzultovány. Zaváděcí médium může používat správce spouštění podepsaný certifikační autoritou CA 2011 nebo správce spouštění podepsaný CA 2023, ale ne obojí. Následující část popisuje, ve kterých stavech může zařízení být a jaká média lze ze zařízení spustit.

Tyto scénáře zařízení vám můžou pomoct při plánování nasazení zmírnění rizik na vašich zařízeních.

Nová zařízení

Některá nová zařízení se začala dodávat s předinstalovanými certifikačními autoritami z let 2011 i 2023 ve firmwaru zařízení. Ne všichni výrobci přešli na oba, a mohou stále dodávat zařízení pouze s předinstalovanou CA 2011.

• Zařízení s certifikačními autoritami CA 2011 i 2023 můžou spouštět média, která zahrnují správce spouštění podepsaný certifikační autoritou CA 2011 nebo správce spouštění podepsaný CA 2023.

• Zařízení, na kterých je nainstalovaná jenom CA 2011, můžou spouštět jenom média se správcem spouštění podepsaným CA 2011. Většina starších médií obsahuje 2011 CA podepsaný boot manger.

Zařízení se zmírněním rizik 1 a 2

Tato zařízení byla předinstalovaná s CA 2011 a po použití Mitigation 1 mají nyní nainstalovanou CA 2023. Vzhledem k tomu, že tato zařízení důvěřují oběma certifikačním autoritám, můžou tato zařízení spouštět médium s certifikační autoritou 2011 i správcem spouštění podepsaným v roce 2023.

Zařízení se zmírněním rizik 3 a 4

Tato zařízení mají certifikační autoritu 2011 zahrnutou v DBX a už nebudou důvěřovat médiím se spouštěcím správcem podepsaným certifikační autoritou 2011. Zařízení s touto konfigurací spustí pouze médium se správcem spouštění podepsaným certifikační autoritou 2023.

Obnovení zabezpečeného spouštění do továrního nastavení

Pokud se nastavení zabezpečeného spouštění resetovalo na výchozí hodnoty, nemusí už platit žádná zmírnění rizik, která byla použita u databáze (přidání certifikační autority 2023) a databáze DBX (nedůvěřující certifikační autoritě 2011). Chování bude záviset na výchozím nastavení firmwaru.

Funkce DBX

Pokud byla použita omezení rizik 3 nebo 4 a DBX je vymazáno, certifikační autorita 2011 nebude v seznamu DBX a bude stále důvěryhodná. Pokud k tomu dojde, bude nutné znovu použít zmírnění rizik 3 a/nebo 4.

DB

Pokud databáze obsahovala CA 2023 a odstraní se obnovením nastavení zabezpečeného spouštění na výchozí hodnoty, systém se nemusí spustit, pokud zařízení spoléhá na správce spouštění podepsaný CA 2023. Pokud se zařízení nespustí, použijte nástroj securebootrecovery.efi popsaný v KB5025885: Jak spravovat odvolání správce spouštění systému Windows pro změny zabezpečeného spouštění související s CVE-2023-24932 k obnovení systému.

• Omezení rizik 3: Povolte odvolání
  
  Zruší důvěryhodnost certifikátu Microsoft Windows Production PCA 2011 tím, že jej přidá do firmwaru Secure Boot DBX. To způsobí, že firmware nebude důvěřovat všem správcům spouštění podepsaným certifikační autoritou 2011 a všem médiím, která se spoléhají na správce spouštění podepsaný certifikační autoritou 2011.

• Omezení rizik 4: Použijte aktualizaci zabezpečeného čísla verze firmwaru.
  
  Použije aktualizaci zabezpečeného čísla verze (SVN) na firmware Secure Boot DBX. Když se spustí správce spouštění podepsaný v roce 2023, provede vlastní kontrolu porovnáním SVN uloženého ve firmwaru se SVN integrovaným ve správci spouštění. Pokud je SVN správce spouštění nižší než SVN firmwaru, správce spouštění se nespustí. Tato funkce zabraňuje útočníkovi vrátit správce spouštění zpět na starší, neaktualizovanou verzi. U budoucích aktualizací zabezpečení správce spouštění se zvýší číslo SVN a bude nutné znovu použít zmírnění rizik 4.

Důležité Před použitím omezení rizik 3 a Zmírnění 4 je nutné dokončit zmírnění rizik 1 a zmírnění 2.

Informace o tom, jak použít zmírnění rizik 3 a zmírnění 4 ve dvou samostatných krocích (pokud chcete být alespoň zpočátku opatrnější), najdete v tématu KB5025885: Jak spravovat odvolání správce spouštění systému Windows pro změny zabezpečeného spouštění přidružené k CVE-2023-24932 Nebo můžete použít obě zmírnění rizik spuštěním následující operace s jedním klíčem registru jako správce:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

K dokončení operace budete potřebovat jenom jedno restartování současně.

• Omezení rizik 3: Můžete ověřit, jestli byl seznam odvolání úspěšně použit, a to tak, že v protokolu událostí vyhledáte událost s ID 1037 podle událostí KB5016061: Secure Boot DB a DBX variables update events.
  
  Případně můžete spustit následující příkaz PowerShellu jako správce a ujistit se, že vrací hodnotu True:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Omezení rizik 4: Metoda, která by potvrdila, že nastavení SVN bylo použito, dosud neexistuje. Tato část bude aktualizována, jakmile bude k dispozici řešení.