Enterprise Deployment Guidance for CVE-2023-24932

Vi har opdelt installationen i flere trin, der kan opnås på en tidslinje, der fungerer for din organisation. Du bør gøre dig bekendt med disse trin. Når du har en god forståelse af trinnene, bør du overveje, hvordan de fungerer i dit miljø, og forberede installationsplaner, der fungerer for din virksomhed på tidslinjen.

Tilføjelse af det nye Windows UEFI CA 2023-certifikat og upålidelige Microsoft Windows Production PCA 2011-certifikat kræver samarbejde fra enhedens firmware. Da der findes en stor kombination af enhedshardware og firmware, og Microsoft ikke kan teste alle kombinationer, opfordrer vi dig til at teste repræsentative enheder i dit miljø, før du implementerer bredt. Vi anbefaler, at du tester mindst én enhed af hver type, der bruges i organisationen. Nogle kendte enhedsproblemer, der blokerer disse afhjælpninger, er dokumenteret som en del af KB5025885: Sådan administrerer du Windows Boot Manager-tilbageførsler for ændringer i sikker bootstart, der er knyttet til CVE-2023-24932. Hvis du registrerer et problem med enhedsfirmware, der ikke er angivet i afsnittet Kendte problemer , skal du samarbejde med din OEM-leverandør om at løse problemet.

Da dette dokument refererer til flere forskellige certifikater, vises de i følgende tabel, så det er nemt at henvise til og tydeliggør:

Gamle 2011-CAs	Nye 2023-CAs (udløber i 2038)	Funktion
Microsoft Corporation KEK CA 2011 (udløber i juli 2026)	Microsoft Corporation KEK CA 2023	Signerer DB- og DBX-opdateringer
Microsoft Windows Production PCA 2011 (PCA2011) (udløber i oktober 2026)	Windows UEFI CA 2023 (PCA2023)	Logger Windows bootloader
Microsoft Corporation UEFI CA 2011 (udløber i juli 2026)	Microsoft UEFI CA 2023 og Microsoft Option ROM UEFI CA 2023	Signerer bootloadere fra tredjepart og muligheds-ROM'er

Der er fire afhjælpninger, der skal anvendes for at beskytte mod angrebene beskrevet i CVE-2023-24932:

• Afhjælpning 1: Installér den opdaterede certifikatdefinition (PCA2023) på DB

• Afhjælpning 2:Opdater Boot Manager på din enhed

• Afhjælpning 3:Aktivere tilbagekaldelsen (PCA2011)

• Afhjælpning 4:Anvend SVN-opdateringen på firmwaren

Disse fire afhjælpninger kan anvendes manuelt på hver af testenhederne ved at følge den vejledning, der er beskrevet i retningslinjerne for udrulning af afhjælpningi KB5025885: Sådan administreres Windows Boot Manager-tilbageførsler for sikker bootstart-ændringer, der er knyttet til CVE-2023-24932, eller ved at følge vejledningen i dette dokument. Alle fire afhjælpninger er afhængige af firmwaren for at fungere korrekt.

Hvis du forstår følgende risici, kan det hjælpe dig under planlægningsprocessen.

Firmwareproblemer:Hver enhed har firmware leveret af producenten af enheden. For de installationshandlinger, der er beskrevet i dette dokument, skal firmwaren kunne acceptere og behandle opdateringer til Secure Boot DB (Signaturdatabase) og DBX (Forbudt signaturdatabase). Desuden er firmwaren ansvarlig for at validere signatur- eller startprogrammerne, herunder Windows Boot Manager. Enhedens firmware er software og kan som enhver anden software have fejl, hvilket er grunden til, at det er vigtigt at teste disse handlinger, før de implementeres bredt.

Microsoft har løbende test af mange kombinationer af enheder/firmware, startende med enhederne i Microsofts øvelser og kontorer, og Microsoft arbejder sammen med OEM'er på at teste deres enheder. Næsten alle de testede enheder er gået uden problemer. I nogle få tilfælde har vi oplevet problemer med firmwaren, der ikke håndteres korrekt, og vi arbejder sammen med OEM'erne på at løse de problemer, som vi er opmærksomme på.

Installér medier:Ved at anvende Afhjælpning 3 og Afhjælpning 4, der er beskrevet senere i dette dokument, vil alle eksisterende Windows-installationsmedier ikke længere kunne startes, før mediet har en opdateret startstyring. De afhjælpninger, der er beskrevet i dette dokument, forhindrer gamle, sårbare bootadministratorer i at køre ved ikke at have tillid til dem i firmwaren. Dette forhindrer en hacker i at annullere systemstartstyringen til en tidligere version og udnytte sårbarheder, der findes i ældre versioner. Blokering af disse sårbare bootadministratorer bør ikke have nogen indflydelse på det kørende system. Det vil dog forhindre, at eventuelle startmedier starter, indtil startadministratorerne på mediet opdateres. Dette omfatter ISO-afbildninger, USB-drev, der kan startes fra, og netværksstart (PxE og HTTP-start).

• Afhjælpning 1: Installér de opdaterede certifikatdefinitioner til DB
  
  Føjer det nye Windows UEFI CA 2023-certifikat til UEFI DB (Secure Boot Signature Database). Når du føjer dette certifikat til DB, har enhedens firmware tillid til Microsoft Windows-startprogrammer, der er signeret af dette certifikat.

• Afhjælpning 2: Opdater startstyringen på din enhed
  
  Anvender den nye Windows Boot Manager, der er signeret med det nye Windows UEFI CA 2023-certifikat.

Disse afhjælpninger er vigtige for den langsigtede brugbarhed af Windows på disse enheder. Da Microsoft Windows Production PCA 2011-certifikatet i firmwaren udløber i oktober 2026, skal enheder have det nye Windows UEFI CA 2023-certifikat i firmwaren, før udløb, ellers vil enheden ikke længere kunne modtage Windows-opdateringer, hvilket sætter det i en sårbar sikkerhedstilstand.

Du kan finde oplysninger om, hvordan du anvender Afhjælpning 1 og Afhjælpning 2 i to separate trin (hvis du vil være mere forsigtig, i det mindste i starten) under KB5025885: Sådan administrerer du tilbagekaldelser af Windows Boot Manager for ændringer i sikker bootstart, der er knyttet til CVE-2023-24932. Eller du kan anvende begge afhjælpninger ved at køre følgende handling med en enkelt registreringsdatabasenøgle som administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f

Efterhånden som afhjælpningerne anvendes, ryddes bit i nøglen AvailableUpdates . Når du har indstillet den til 0x140 og genstartet, ændres værdien til 0x100 , og efter en anden genstart ændres den derefter til 0x000.

Afhjælpning af startstyring anvendes ikke, før firmwaren angiver, at 2023-certifikatafhjælpning er blevet anvendt. Disse handlinger kan ikke udføres i ude af rækkefølge.

Når begge afhjælpninger anvendes, indstilles en registreringsdatabasenøgle til at angive, at systemet er "2023 kompatibel", hvilket betyder, at mediet kan opdateres, og Afhjælpning 3 og Afhjælpning 4 kan anvendes.

I de fleste tilfælde kræver fuldførelse af Afhjælpning 1 og Afhjælpning 2 mindst to genstarter, før afhjælpningerne anvendes fuldt ud. Hvis du tilføjer flere genstarter i dit miljø, sikrer du, at afhjælpningerne anvendes tidligere. Det er dog muligvis ikke praktisk at tilføje yderligere genstarter kunstigt og kan give mening at stole på de månedlige genstarter, der forekommer som en del af anvendelsen af sikkerhedsopdateringerne. Hvis du gør det, betyder det mindre forstyrrelser i dit miljø, men der er risiko for, at det tager længere tid at blive sikker.

Når du har installeret Afhjælpning 1 og Afhjælpning 2 på dine enheder, skal du overvåge dine enheder for at sikre, at de har de anvendte afhjælpninger og nu er "2023-kompatible". Overvågning kan udføres ved at kigge efter følgende registreringsdatabasenøgle på systemet. Hvis nøglen findes og er angivet til 1, har systemet føjet 2023-certifikatet til variablen Secure Boot DB. Hvis nøglen findes og er indstillet til 2, har systemet 2023-certifikatet i DB og starter med den 2023-signerede startstyring.

Undernøgle i registreringsdatabasen	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Navn på nøgleværdi	WindowsUEFICA2023 Ude af stand
Datatype	REG_DWORD
Data	0 – eller nøglen findes ikke – certifikatet "Windows UEFI CA 2023" findes ikke i DB 1 - Certifikatet "Windows UEFI CA 2023" findes i DB 2 – Certifikatet "Windows UEFI CA 2023" findes i DB, og systemet starter fra det 2023-signerede boot manager.

Når Afhjælpning 1 og Afhjælpning 2 er anvendt på dine enheder, kan du opdatere alle startmedier, du bruger i dit miljø. Opdatering af det startmedie betyder anvendelse af den PCA2023 signerede boot manager på mediet. Dette omfatter opdatering af netværksstartafbildninger (f.eks. PxE og HTTP), ISO-afbildninger og USB-drev. Ellers vil enheder med de anvendte afhjælpninger ikke starte fra startmedier, der bruger den ældre Windows Boot Manager og 2011 CA. ​​​​

Værktøjer og vejledning til, hvordan du opdaterer hver type startmedie, er tilgængelige her:

Medietype	Ressource
ISO, USB-drev osv.	KB5053484: Opdatering af Windows-mediet, der kan startes fra, så det bruger det PCA2023 signerede startstyring
PXE-startserver	Dokumentation, der skal leveres senere

Under medieopdateringsprocessen skal du sørge for at teste mediet med en enhed, der har alle fire afhjælpninger på plads. De sidste to afhjælpninger vil blokere ældre, sårbare bootadministratorer. At have medier med aktuelle bootadministratorer på plads er en vigtig del af at fuldføre denne proces.

Medier, der kan startes fra, omfatter ikke det enhedssystemdrev, hvor Windows typisk er placeret og starter automatisk. Medier, der kan startes fra, bruges ofte til at starte en enhed, der ikke har en version af Windows, der kan startes fra, og medier, der kan startes fra, bruges ofte til at installere Windows på enheden.

Indstillingerne for sikker UEFI-bootstart afgør, hvilke startadministratorer der skal have tillid til, ved hjælp af Databasen til sikker bootstart (signaturdatabase) og DBX (forbudt signaturdatabase). DB'en indeholder hashes og nøgler til software, der er tillid til, og DBX gemmer tilbagekaldte, kompromitterede og ikke-pålidelige hashes og nøgler for at forhindre uautoriseret eller skadelig software i at køre under startprocessen.

Det er nyttigt at tænke på de forskellige tilstande, som en enhed kan være i, og hvilke startmedier der kan bruges sammen med enheden i hver af disse tilstande. I alle tilfælde bestemmer firmwaren, om den skal have tillid til startstyringen, den præsenteres for, og når den kører startstyringen, høres DB og DBX ikke længere af firmwaren. Startmedier kan enten bruge en 2011 CA-signeret boot manager eller en 2023 CA-signeret boot manager, men ikke begge dele. I næste afsnit beskrives det, hvilke tilstande enheden kan være i, og i nogle tilfælde hvilke medier der kan startes fra enheden.

Disse enhedsscenarier kan hjælpe, når du planlægger implementering af afhjælpninger på tværs af dine enheder.

Nye enheder

Nogle nye enheder begyndte at blive leveret med både 2011- og 2023-CAs forudinstalleret i enhedens firmware. Ikke alle producenter har skiftet til at have begge og kan stadig være forsendelsesenheder med kun 2011 CA forudinstalleret.

• Enheder med både 2011- og 2023-nøglecentre kan starte medier, der indeholder enten 2011 CA-signeret boot manager eller 2023 CA-signeret boot manager.

• Enheder, hvor kun 2011 CA er installeret, kan kun starte medier med 2011 CA-signeret startstyring. De fleste ældre medier omfatter den 2011 CA-signerede boot-leder.

Enheder med afhjælpning 1 og 2

Disse enheder var forudinstalleret med nøglecenteret i 2011 og har nu installeret 2023 CA ved at anvende Afhjælpning 1. Da disse enheder har tillid til begge nøglecentre, kan disse enheder starte både mediet med 2011 CA og 2023-signeret boot manager.

Enheder med afhjælpning 3 og 4

Disse enheder har 2011 CA inkluderet i DBX og har ikke længere tillid til medier med en 2011 CA-signeret boot manager. En enhed med denne konfiguration vil kun starte medier med en 2023 CA-signeret boot manager.

Nulstilling af sikker bootstart

Hvis indstillingerne for sikker bootstart er blevet nulstillet til standardværdierne, er eventuelle afhjælpninger, der er blevet anvendt på DB (tilføjelse af 2023 CA) og DBX (upålidelige 2011 CA) muligvis ikke længere på plads. Funktionsmåden afhænger af standardindstillingerne for firmwaren.

DBX

Hvis Afhjælpning 3 og/eller 4 er blevet anvendt, og DBX ryddes, vil 2011 CA ikke være på DBX-listen og vil stadig være pålidelig. Hvis dette sker, er det nødvendigt at genanvende afhjælpninger 3 og/eller 4.

DB

Hvis DB indeholdt 2023-nøglecenteret, og det fjernes ved at nulstille indstillingerne for sikker bootstart til standardindstillingerne, starter systemet muligvis ikke, hvis enheden er afhængig af den 2023 CA-signerede startstyring. Hvis enheden ikke starter, skal du bruge værktøjet securebootrecovery.efi, der er beskrevet i KB5025885: Sådan administreres Windows Boot Manager-tilbageførsler for ændringer af sikker bootstart, der er knyttet til CVE-2023-24932, for at gendanne systemet.

• Afhjælpning 3: Aktivér tilbagekaldelsen
  
  Upålidelige Microsoft Windows Production PCA 2011-certifikatet ved at føje det til firmwaren Secure Boot DBX. Dette medfører, at firmwaren ikke har tillid til alle 2011 CA-signerede startadministratorer og alle medier, der er afhængige af 2011 CA-signeret boot manager.

• Afhjælpning 4: Anvend opdateringen af sikker versionsnummer på firmwaren
  
  Anvender SVN-opdateringen (Secure Version Number) på firmwaren Secure Boot DBX. Når en 2023-signeret bootstyring starter med at køre, udfører den en selvkontrol ved at sammenligne det SVN, der er gemt i firmwaren, med det SVN, der er indbygget i startstyringen. Hvis boot manager SVN er lavere end firmwaren SVN, kører startstyringen ikke. Denne funktion forhindrer en hacker i at annullere boot manager til en ældre, ikke-opdateret version. Ved fremtidige sikkerhedsopdateringer til startstyringen øges SVN'et, og Afhjælpning 4 skal genanvendes.

Vigtigt! Afhjælpning 1 og Afhjælpning 2 skal fuldføres, før du anvender Afhjælpning 3 og Afhjælpning 4.

Du kan finde oplysninger om, hvordan du anvender Afhjælpning 3 og Afhjælpning 4 i to separate trin (hvis du vil være mere forsigtig, i det mindste i starten) under KB5025885: Sådan administrerer du tilbagekaldelser af Windows Boot Manager for ændringer af sikker bootstart, der er knyttet til CVE-2023-24932 . Du kan også anvende begge afhjælpninger ved at køre følgende enkelt handling i registreringsdatabasen som administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Hvis begge afhjælpninger anvendes sammen, kræver det kun én genstart for at fuldføre handlingen.

• Afhjælpning 3: Du kan kontrollere, at listen over tilbagekaldte blev anvendt ved at søge efter hændelses-id: 1037 i hændelsesloggen, pr. KB5016061: Secure Boot DB- og DBX-variable opdateringshændelser.
  
  Du kan også køre følgende PowerShell-kommando som administrator og sørge for, at den returnerer Sand:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Afhjælpning 4: En metode til at bekræfte, at SVN-indstillingen er blevet anvendt, findes endnu ikke. Dette afsnit opdateres, når der findes en løsning.