Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

VIGTIGT Du bør anvende den Windows-sikkerhedsopdatering, der blev udgivet den 9. april 2024 eller derefter, som en del af din almindelige månedlige opdateringsproces.

Denne artikel gælder for de organisationer, der skal begynde at evaluere afhjælpninger for en offentligt tilgængelig Secure Boot-tilsidesættelse, der udnyttes af BlackLotus UEFI-bootkit. Desuden kan det være en god ide at tage en proaktiv sikkerhedsstilling eller begynde at forberede implementeringen. Bemærk, at denne malware kræver fysisk eller administrativ adgang til enheden.

FORSIGTIGHED Når afhjælpningen for dette problem er aktiveret på en enhed, hvilket betyder, at afhjælpningerne er blevet anvendt, kan den ikke gendannes, hvis du fortsætter med at bruge Sikker bootstart på den pågældende enhed. Selv omformatering af disken fjerner ikke tilbageførslerne, hvis de allerede er blevet anvendt. Vær opmærksom på alle mulige konsekvenser, og test grundigt, før du anvender de tilbageførsler, der er beskrevet i denne artikel, på din enhed.

I denne artikel

Sammendrag

I denne artikel beskrives beskyttelsen mod den offentligt tilgængelige sikkerhedsfunktion til sikker bootstart, der bruger BlackLotus UEFI-bootkit, der spores af CVE-2023-24932, hvordan du aktiverer afhjælpninger og vejledning på startmedier. En bootkit er et skadeligt program, der er udviklet til at blive indlæst så tidligt som muligt i en enheds startsekvens for at styre operativsystemets start.

Sikker bootstart anbefales af Microsoft for at oprette en sikker og pålidelig sti fra UEFI (Unified Extensible Firmware Interface) via windows-kernens pålidelige startsekvens. Sikker bootstart hjælper med at forhindre bootkitmalware i startsekvensen. Hvis du deaktiverer Sikker bootstart, risikerer du at blive inficeret med bootkitmalware. Rettelse af tilsidesættelse af sikker bootstart, der er beskrevet i CVE-2023-24932, kræver, at bootadministratorer tilbagekaldes. Dette kan medføre problemer for nogle konfigurationer af enhedsstart.

Afhjælpning af secure boot-tilsidesættelse, der er beskrevet i CVE-2023-24932 , er inkluderet i de Windows-sikkerhedsopdateringer, der blev udgivet den 9. april 2024 eller derefter. Disse afhjælpninger er dog ikke aktiveret som standard. Med disse opdateringer anbefaler vi, at du begynder at evaluere disse ændringer i dit miljø. Den komplette tidsplan er beskrevet i afsnittet Tidsindstillinger for opdateringer .

Før du aktiverer disse afhjælpninger, skal du gennemgå oplysningerne i denne artikel grundigt og afgøre, om du skal aktivere afhjælpningen eller vente på en fremtidig opdatering fra Microsoft. Hvis du vælger at aktivere afhjælpningerne, skal du kontrollere, at dine enheder er opdateret og klar, og forstå de risici, der er beskrevet i denne artikel. 

Gør noget 

I denne version skal du følge følgende trin:

Trin 1: Installér den Windows-sikkerhedsopdatering, der blev udgivet den 9. april 2024 eller derefter, på alle understøttede versioner.

Trin 2: Evaluer ændringerne, og hvordan de påvirker dit miljø.

Trin 3: Gennemtving ændringerne.

Omfanget af indvirkningen

Alle Windows-enheder, hvor beskyttelse mod sikker bootstart er aktiveret, påvirkes af BlackLotus-bootkit. Afhjælpninger er tilgængelige for understøttede versioner af Windows. Du kan se hele listen under CVE-2023-24932.

Forstå risiciene

Risiko for malware: For at den BlackLotus UEFI bootkit-udnyttelse, der er beskrevet i denne artikel, skal være mulig, skal en hacker opnå administrative rettigheder på en enhed eller få fysisk adgang til enheden. Dette kan gøres ved at få adgang til enheden fysisk eller eksternt, f.eks. ved at bruge en hypervisor til at få adgang til virtuelle maskiner/skyen. En hacker vil ofte bruge denne sårbarhed til at fortsætte med at kontrollere en enhed, som de allerede kan få adgang til og muligvis manipulere. Afhjælpninger i denne artikel er forebyggende og korrigerer ikke. Hvis enheden allerede er kompromitteret, skal du kontakte sikkerhedsudbyderen for at få hjælp.

Genoprettelsesmedie: Hvis du støder på et problem med enheden efter anvendelse af afhjælpningerne, og enheden ikke kan startes, kan du muligvis ikke starte eller genoprette enheden fra eksisterende medier. Genoprettelses- eller installationsmedier skal opdateres, så de fungerer sammen med en enhed, hvor afhjælpningerne er anvendt.

Firmwareproblemer: Når Windows anvender de afhjælpninger, der er beskrevet i denne artikel, skal det være afhængigt af enhedens UEFI-firmware for at opdatere værdierne for sikker bootstart (opdateringerne anvendes på databasenøglen (DB) og den forbudte signaturnøgle (DBX)). I nogle tilfælde har vi erfaring med enheder, der ikke kan opdateres. Vi arbejder sammen med enhedsproducenter om at teste disse vigtige opdateringer på så mange enheder som muligt.

BEMÆRK Test først disse afhjælpninger på en enkelt enhed pr. enhedsklasse i dit miljø for at registrere mulige firmwareproblemer. Udrul ikke bredt, før du bekræfter, at alle enhedsklasser i dit miljø er blevet evalueret.

BitLocker-genoprettelse: Nogle enheder kan gå i BitLocker-genoprettelse. Sørg for at bevare en kopi af BitLocker-genoprettelsesnøglen , før du aktiverer afhjælpningerne.

Kendte problemer

Firmwareproblemer:Ikke al enhedsfirmware kan opdatere Secure Boot DB eller DBX. I de tilfælde, vi er opmærksomme på, har vi rapporteret problemet til enhedsproducenten. Se KB5016061: Sikker bootstart DB- og DBX-variable opdateringshændelser for at få mere at vide om logførte hændelser. Kontakt enhedsproducenten for at få firmwareopdateringer. Hvis enheden ikke understøttes, anbefaler Microsoft, at du opgraderer enheden.

Kendte firmwareproblemer:

BEMÆRK Følgende kendte problemer har ingen indflydelse på og forhindrer ikke installationen af opdateringerne fra 9. april 2024. I de fleste tilfælde gælder afhjælpningerne ikke, hvis der findes kendte problemer. Se detaljer, der er angivet i hvert kendt problem.

  • HP: HP har identificeret et problem med installation af afhjælpning på HP Z4G4 Workstation-pc'er og frigiver en opdateret Z4G4 UEFI-firmware (BIOS) i de kommende uger. For at sikre en vellykket installation af afhjælpningen blokeres den på Desktop Workstations, indtil opdateringen er tilgængelig. Kunderne skal altid opdatere til den nyeste system-BIOS, før de anvender afhjælpningen.

  • HP-enheder med Sikker startsikkerhed: Disse enheder skal bruge de nyeste firmwareopdateringer fra HP for at installere afhjælpningerne. Afhjælpningerne blokeres, indtil firmwaren opdateres. Installér den seneste firmwareopdatering fra HP'ers supportside – Officielle HP-drivere og -softwaredownload | HP-support.

  • Arm64-baserede enheder: Afhjælpningerne er blokeret på grund af kendte problemer med UEFI-firmwaren med Qualcomm-baserede enheder. Microsoft arbejder sammen med Qualcomm for at løse dette problem. Qualcomm leverer rettelsen til enhedsproducenter. Kontakt enhedsproducenten for at finde ud af, om der findes en løsning på dette problem. Microsoft tilføjer registrering for at tillade, at afhjælpninger anvendes på enheder, når den faste firmware registreres. Hvis din Arm64-baserede enhed ikke har Qualcomm-firmware, skal du konfigurere følgende registreringsdatabasenøgle for at aktivere afhjælpningerne.

    Undernøgle i registreringsdatabasen

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Navn på nøgleværdi

    SkipDeviceCheck

    Datatype

    REG_DWORD

    Data

    1

  • Apple:Mac-computere, der har Apple T2-sikkerhedschippen, understøtter sikker bootstart. Opdatering af UEFI-sikkerhedsrelaterede variabler er dog kun tilgængelig som en del af macOS-opdateringer. Boot Camp-brugere forventes at se en hændelseslogpost for hændelses-id 1795 i Windows, der er relateret til disse variabler. Du kan finde flere oplysninger om denne logpost i KB5016061: Hændelser for sikker bootstart DB og variable DBX-opdateringshændelser.

  • Vmware:I VMware-baserede virtualiseringsmiljøer kan en VM, der bruger en x86-baseret processor med Sikker bootstart aktiveret, ikke starte efter anvendelse af afhjælpningerne. Microsoft koordinerer med VMware for at løse dette problem.

  • TPM 2.0-baserede systemer:  Disse systemer, der kører Windows Server 2012 og Windows Server 2012 R2, kan ikke installere de afhjælpninger, der blev udgivet i sikkerhedsopdatering 9. april 2024 på grund af kendte kompatibilitetsproblemer med TPM-målinger. Sikkerhedsopdateringerne fra 9. april 2024 blokerer afhjælpninger #2 (boot manager) og #3 (DBX-opdatering) på berørte systemer.

    Microsoft er opmærksom på problemet, og der frigives en opdatering i fremtiden for at fjerne blokeringen af TPM 2.0-baserede systemer.

    Hvis du vil kontrollere din TPM-version, skal du højreklikke på Start, klikke på Kør og derefter skrive tpm.msc. Nederst til højre i den midterste rude under Oplysninger om TPM-producent bør du se en værdi for Specifikationsversion.

  • Symantec-slutpunktkryptering: Afhjælpning af sikker bootstart kan ikke anvendes på systemer, der har installeret Symantec-slutpunktkryptering. Microsoft og Symantec er opmærksomme på problemet og vil blive behandlet i fremtidige opdateringer.

Retningslinjer for denne version

I denne version skal du følge disse to trin.

Trin 1: Installér Windows-sikkerhedsopdateringen

Installér den månedlige Windows-sikkerhedsopdatering, der er udgivet den 9. april 2024 eller derefter, på understøttede Windows-enheder. Disse opdateringer omfatter afhjælpninger for CVE-2023-24932, men er ikke aktiveret som standard. Alle Windows-enheder skal udføre dette trin, uanset om du planlægger at installere afhjælpningerne eller ej.

Trin 2: Evaluer ændringerne

Vi opfordrer dig til at gøre følgende:

  • Forstå de første to afhjælpninger, der tillader opdatering af Secure Boot DB og opdatering af Boot Manager.

  • Gennemse den opdaterede tidsplan.

  • Begynd at teste de første to afhjælpninger mod repræsentative enheder fra dit miljø.

  • Begynd planlægning af installationsfasen, der kommer d. 9. juli 2024.

Trin 3: Gennemtving ændringerne

Vi opfordrer dig til at forstå de risici, der er angivet i afsnittet Om risici.

  • Forstå virkningen på genoprettelsen og andre medier, der kan startes fra.

  • Begynd at teste den tredje afhjælpning, der ikke har tillid til det signeringscertifikat, der bruges til alle tidligere Windows-startadministratorer.

Retningslinjer for udrulning af afhjælpning

Før du følger disse trin for at anvende afhjælpningerne, skal du installere den månedlige Windows-tjenesteopdatering, der er udgivet den 9. april 2024 eller derefter, på understøttede Windows-enheder. Denne opdatering indeholder afhjælpninger for CVE-2023-24932, men de er ikke aktiveret som standard. Alle Windows-enheder skal udføre dette trin, uanset din plan for at aktivere afhjælpningerne.

BEMÆRK Hvis du bruger BitLocker, skal du kontrollere, at BitLocker-genoprettelsesnøglen er blevet sikkerhedskopieret. Du kan køre følgende kommando fra en administratorkommandoprompt og notere den 48-cifrede numeriske adgangskode:

manage-bde -protectors -get %systemdrive%

Hvis du vil installere opdateringen og anvende tilbageførslerne, skal du følge disse trin:

  1. Installér de opdaterede certifikatdefinitioner til DB.

    Dette trin føjer certifikatet "Windows UEFI CA 2023" til UEFI "Secure Boot Signature Database" (DB). Ved at føje dette certifikat til DB har enhedens firmware tillid til startprogrammer, der er signeret af dette certifikat.

    1. Åbn en administratorkommandoprompt, og angiv registreringsdatabasenøglen for at udføre opdateringen til DB ved at angive følgende kommando:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      VIGTIGT Sørg for at genstarte enheden to gange for at fuldføre installationen af opdateringen, før du fortsætter til trin 2 og 3.

    2. Kør følgende PowerShell-kommando som administrator, og kontrollér, at DB'en er blevet opdateret. Denne kommando bør returnere Sand.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Opdater Boot Manager på din enhed.

    Dette trin vil installere et boot manager-program på din enhed, som er signeret med certifikatet "'Windows UEFI CA 2023".

    1. Åbn en administratorkommandoprompt, og angiv registreringsdatabasenøglen for at installere den "'Windows UEFI CA 2023"-signerede boot manager:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Genstart enheden to gange.

    3. Som administrator skal du tilslutte EFI-partitionen for at gøre den klar til inspektion:

      mountvol s: /s

    4. Valider, at filen "s:\efi\microsoft\boot\bootmgfw.efi" er signeret af certifikatet "Windows UEFI CA 2023". Det kan du gøre, ved at følge disse trin:

      1. Klik på Start, skriv kommandoprompt i feltet Søg, og klik derefter på Kommandoprompt.

      2. Skriv følgende kommando i kommandolinjen , og tryk derefter på Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Højreklik på filen C:\bootmgfw_2023.efi i Filstyring, klik på Egenskaber, og vælg derefter fanen Digitale signaturer .

      4. listen Signatur skal du bekræfte, at certifikatkæden indeholder Windows UEFI CA 2023. Certifikatkæden skal svare til følgende skærmbillede:

        Certifikater

  3. Aktivér tilbagekaldelsen.

    Den forbudte UEFI-liste (DBX) bruges til at blokere UEFI-moduler, der ikke er tillid til, i at blive indlæst. I dette trin tilføjer opdatering af DBX certifikatet "Windows Production CA 2011" til DBX. Dette medfører, at der ikke længere er tillid til alle bootadministratorer, der er signeret af dette certifikat.

    ADVARSEL: Før du anvender den tredje afhjælpning, skal du oprette et flashdrev til genoprettelse, der kan bruges til at starte systemet. Du kan få mere at vide om, hvordan du gør dette, i afsnittet Opdatering af Windows-installationsmedier.

    Hvis systemet kommer i en tilstand, der ikke kan startes fra, skal du følge trinnene i afsnittet Genoprettelsesprocedure for at nulstille enheden til en tilstand, hvor enheden er tilbagekaldt.

    1. Føj certifikatet "Windows Production PCA 2011" til dbx (Secure Boot UEFI Forbidden List). Det gør du ved at åbne en kommandoprompt som administrator, skrive følgende kommando og derefter trykke på Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Genstart enheden to gange , og bekræft, at den er genstartet helt.

    3. Kontrollér, at installationen og listen over tilbagekaldte blev anvendt korrekt, ved at søge efter hændelse 1037 i hændelsesloggen.

      Du kan finde oplysninger om hændelse 1037 i KB5016061: Opdateringshændelser for sikker bootstart DB og variable DBX-hændelser. Eller kør følgende PowerShell-kommando som administrator, og sørg for, at den returnerer Sand:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Medie, der kan startes fra

Det er vigtigt at opdatere startmedier, når installationsfasen starter i dit miljø. Vejledning og værktøjer til opdatering af medier vil blive leveret i tide til installationsfasen. Installationsfasen er planlagt til at begynde d. 9. juli 2024.

Eksempler på medier, der kan startes fra, og genoprettelsesmedier, der er påvirket af dette problem:

  • Medier, der kan startes fra, og som er oprettet ved hjælp af Opret et genoprettelsesdrev.

  • Sikkerhedskopier af Windows, som blev vist, før afhjælpningerne blev anvendt. Disse kan ikke bruges direkte til at gendanne din Windows-installation, når tilbageførslerne er blevet aktiveret på din enhed.

  • Brugerdefineret cd/dvd eller genoprettelsespartition, der er oprettet af dig, producenten af enheden (OEM) eller virksomheder.

  • ISO (via download eller ved hjælp af ADK).

  • Netværksstart:

    • Windows Installationstjenester.

    • Preboot Execution Environment-starttjenester (PXE-starttjenester).

    • Microsoft Deployment Toolkit.

    • HTTPS-start.

  • OEM-installations- og genoprettelsesmedier.

  • Officielle Windows-medier fra Microsoft, herunder:

  • Windows PE.

  • Windows installeret på fysisk hardware eller virtuelle maskiner.

  • Valideringsoperativsystemet til Windows.

Hvis du bruger medier, der kan startes fra, med en personlig Windows-enhed, skal du muligvis gøre et eller flere af følgende, før du anvender tilbageførsler:

  • Hvis du bruger personlig sikkerhedskopieringssoftware til at gemme indholdet af din enhed, skal du sørge for at køre en komplet sikkerhedskopiering, når du har anvendt afhjælpningerne fra d. 9. april 2024.

  • Hvis du bruger en diskafbildning, der kan startes fra (ISO), en cd-rom eller et dvd-medie, skal du opdatere mediet ved at følge vejledningen, der skal leveres på et senere tidspunkt.

Enterprise

  • Se omfattende retningslinjer og scripting for Update Windows-installationsmedier med Dynamic Update.

  • Hvis du understøtter netværksstart eller genoprettelsesscenarier i dit miljø, skal du opdatere alle medier og afbildninger. Dette kan omfatte følgende start- eller genoprettelsesindstillinger:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Windows Installationstjenester.

    • PxE-start.

    • HTTPS-start og andre scenarier for netværksstart.

  • En måde at gøre dette på er ved at bruge DISM-offlinepakkeinstallationen på de afbildninger, der betjenes af disse scenarier. Dette omfatter opdatering af de startfiler, der tilbydes af disse tjenester.

  • Hvis du bruger sikkerhedskopieringssoftware til at gemme indholdet af din Windows-installation i en genoprettelsesafbildning, skal du sørge for at køre en komplet sikkerhedskopiering, når du har anvendt afhjælpningerne fra d. 9. april 2024. Sørg for at sikkerhedskopiere EFI-diskpartitionen ud over Windows-operativsystempartitionen. Identificer sikkerhedskopier, der er foretaget, før du anvender afhjælpningerne fra d. 9. april 2024 kontra dem, der er foretaget efter anvendelse af afhjælpningerne.

Windows-pc-OEM'er

Opdatering af Windows-installationsmedier

BEMÆRK Når du opretter et flashdrev, der kan startes fra, skal du sørge for at formatere drevet ved hjælp af FAT32-filsystemet.

Du kan bruge programmet Create Recovery Drive ved at følge disse trin. Dette medie kan bruges til at geninstallere en enhed, hvis der er et større problem, f.eks. en hardwarefejl, du vil kunne bruge genoprettelsesdrevet til at geninstallere Windows.

  1. Gå til en enhed, hvor opdateringerne fra 9. april 2024 og det første afhjælpningstrin (opdatering af Secure Boot DB) er blevet anvendt.

  2. I menuen Start skal du søge efter appletten "Create a Recovery Drive" i kontrolpanelet og følge vejledningen for at oprette et genoprettelsesdrev.

  3. Med det nyoprettede flashdrev tilsluttet (f.eks. som drev "D:"), skal du køre følgende kommandoer som administrator. Skriv hver af følgende kommandoer, og tryk derefter på Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Hvis du administrerer installerbare medier i dit miljø ved hjælp af Update Windows-installationsmediet med vejledning til Dynamisk opdatering , skal du følge disse trin. Disse yderligere trin opretter et flashdrev, der kan startes fra, og som bruger startfiler, der er signeret af signeringscertifikatet "Windows UEFI CA 2023".

  1. Gå til en enhed, hvor opdateringerne fra 9. april 2024 og det første afhjælpningstrin (opdatering af Secure Boot DB) er blevet anvendt.

  2. Følg trinnene i linket nedenfor for at oprette medier med opdateringerne fra 9. april 2024. Opdater Windows-installationsmedier med Dynamisk opdatering

  3. Placer indholdet af mediet på et USB-usb-drev, og tilslut usb-drevet som et drevbogstav. Du kan f.eks. tilslutte usb-drevet som "D:".

  4. Kør følgende kommandoer fra et kommandovindue som administrator. Skriv hver af følgende kommandoer, og tryk derefter på Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Hvis en enhed har nulstillet indstillingerne for sikker bootstart til standardindstillingerne efter anvendelse af afhjælpningerne, starter enheden ikke. For at løse dette problem er et reparationsprogram inkluderet i opdateringerne fra d. 9. april 2024, som kan bruges til at genanvende certifikatet "Windows UEFI CA 2023" på DB (mitigation #1).

  1. Gå til en enhed, hvor opdateringerne fra 9. april 2024 er blevet anvendt.

  2. Kopiér genoprettelsesappen til flashdrevet i et kommandovindue ved hjælp af følgende kommandoer (hvis flashdrevet er drevet "D:"). Skriv hver kommando separat, og tryk derefter på Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. På den enhed, hvor indstillingerne for sikker bootstart er nulstillet til standardindstillingerne, skal du indsætte flashdrevet, genstarte enheden og starte fra flashdrevet.

Tidsindstilling for opdateringer

Opdateringer frigives på følgende måde:

  • Indledende installation Denne fase startede med opdateringer, der blev udgivet d. 9. maj 2023, og gav grundlæggende afhjælpninger med manuelle trin til at aktivere disse afhjælpninger.

  • Anden installation Denne fase startede med opdateringer, der blev udgivet d. 11. juli 2023, og som tilføjede forenklede trin for at aktivere afhjælpning af problemet.

  • Evalueringsfase Denne fase starter den 9. april 2024 og tilføjer yderligere afhjælpninger af bootstyring.

  • Endelig udrulningsfase Det er på dette tidspunkt, at vi opfordrer alle kunder til at begynde at udrulle afhjælpninger og opdatere medier.

  • Håndhævelsesfase Håndhævelsesfasen, der gør afhjælpningerne permanente. Datoen for denne fase meddeles på et senere tidspunkt.

Bemærk! Udgivelsesplanen kan revideres efter behov.

Denne fase er blevet erstattet af udgivelsen af Windows-sikkerhedsopdateringer den 9. april 2024 eller derefter.

Denne fase er blevet erstattet af udgivelsen af Windows-sikkerhedsopdateringer den 9. april 2024 eller derefter.

Med denne fase beder vi dig teste disse ændringer i dit miljø for at sikre, at ændringerne fungerer korrekt med repræsentative eksempelenheder og for at få erfaring med ændringerne.

BEMÆRK I stedet for at forsøge at få en udtømmende liste over og ikke have tillid til sårbare bootstartadministratorer, som vi gjorde i de tidligere installationsfaser, føjer vi signeringscertifikatet "Windows Production PCA 2011" til dbx-listen (Secure Boot Disallow List) for at fjerne tillid til alle startadministratorer, der er signeret med dette certifikat. Dette er en mere pålidelig metode til at sikre, at alle tidligere bootadministratorer ikke er tillid til.

Opdateringer til Windows, der er udgivet den 9. april 2024 eller derefter, skal du tilføje følgende:

  • Tre nye afhjælpningskontrolelementer, der erstatter de afhjælpninger, der blev udgivet i 2023. De nye afhjælpningskontrolelementer er:

    • Et kontrolelement til installation af certifikatet "Windows UEFI CA 2023" til Secure Boot DB for at tilføje tillid til Windows-startadministratorer, der er signeret af dette certifikat. Bemærk, at certifikatet "Windows UEFI CA 2023" muligvis er installeret af en tidligere Windows-opdatering.

    • Et kontrolelement til installation af en boot manager, der er signeret af certifikatet "Windows UEFI CA 2023".

    • Et kontrolelement, der føjer "Windows Production PCA 2011" til Secure Boot DBX, som blokerer alle Windows-startadministratorer, der er signeret af dette certifikat.

  • Muligheden for at aktivere udrulning af afhjælpning i faser enkeltvis for at give mere kontrol med udrulning af afhjælpninger i dit miljø baseret på dine behov.

  • Afhjælpningerne er indbyrdes forbundne, så de ikke kan installeres i den forkerte rækkefølge.

  • Yderligere hændelser for at kende status for enheder, når de anvender afhjælpningerne. Se KB5016061: Sikker bootstart DB- og DBX-variable opdateringshændelser for at få flere oplysninger om hændelserne.

I denne fase opfordrer vi kunderne til at begynde at implementere afhjælpningerne og administrere eventuelle medieopdateringer. Opdateringerne tilføjer følgende ændringer:

  • Vejledning og værktøjer til at hjælpe med opdatering af medier.

  • DbX-blokeringen er opdateret for at tilbagekalde flere bootadministratorer.

Håndhævelsesfasen vil være mindst seks måneder efter udrulningsfasen. Når der frigives opdateringer til håndhævelsesfasen, omfatter de følgende:

  • Certifikatet "Windows Production PCA 2011" tilbagekaldes automatisk ved at blive føjet til sikker bootstart på DBX (Secure Boot UEFI Forbidden List) på kompatible enheder. Disse opdateringer gennemtvinges programmeringsmæssigt efter installation af opdateringer til Windows på alle berørte systemer uden mulighed for at blive deaktiveret.

Windows-hændelseslogfejl relateret til CVE-2023-24932

De Poster i Windows-hændelsesloggen, der er relateret til opdatering af DB og DBX, beskrives detaljeret i KB5016061: Hændelser for sikker bootstart DB og dbx-variable opdateringshændelser.

De "vellykkede" hændelser, der er relateret til anvendelse af afhjælpningerne, er angivet i følgende tabel.

Afhjælpningstrin

Hændelses-id

Bemærkninger

Anvendelse af DB-opdateringen

1036

Det PCA2023 certifikat blev føjet til DB'en.

Opdatering af Boot Manager

1799

Den PCA2023 signerede boot manager blev anvendt.

Anvendelse af DBX-opdateringen

1037

DBX-opdateringen, der ikke har tillid til det PCA2011 signeringscertifikat, blev anvendt.

Ofte stillede spørgsmål (ofte stillede spørgsmål)

Opdater alle Windows-operativsystemer med opdateringer, der er udgivet den 9. april 2024 eller derefter, før du anvender tilbageførslerne. Du kan muligvis ikke starte nogen version af Windows, der ikke er blevet opdateret til mindst de opdateringer, der er udgivet d. 9. april 2024, efter du har anvendt tilbageførslerne. Følg vejledningen i afsnittet Fejlfinding af startproblemer .

Fejlfinding af startproblemer

Når alle tre afhjælpninger er blevet anvendt, starter enhedens firmware ikke ved hjælp af en boot manager, der er signeret af Windows Production PCA 2011. De startfejl, der rapporteres af firmware, er enhedsspecifikke. Se afsnittet Genoprettelsesprocedure .

Genoprettelsesprocedure

Hvis noget går galt under anvendelse af afhjælpningerne, og du ikke kan starte enheden, eller du har brug for at starte fra eksterne medier (f.eks. et usb-drev eller en PXE-start), kan du prøve følgende forslag:

  1. Slå Sikker bootstart fra.

    Denne fremgangsmåde er forskellig fra enhedsproducent til model. Angiv UEFI BIOS-menuen på dine enheder, og gå til indstillingerne for sikker bootstart, og slå den fra. Se dokumentationen fra enhedsproducenten for at få mere at vide om denne proces. Du kan finde flere oplysninger i Deaktivere sikker bootstart.

  2. Nulstil nøgler til sikker bootstart til fabriksindstillingerne.

    Hvis enheden understøtter nulstilling af nøglerne til sikker bootstart til fabriksindstillingerne, skal du udføre denne handling nu.

    BEMÆRK Nogle enhedsproducenter har både indstillingen "Ryd" og "Nulstil" for variabler for sikker bootstart. I så fald skal "Nulstil" bruges. Målet er at sætte variablerne for sikker bootstart tilbage til producenternes standardværdier.

    Din enhed bør starte nu, men bemærk, at den er sårbar over for boot-kit-malware. Sørg for at fuldføre trin 5 i denne genoprettelsesproces for at genaktivere sikker bootstart.

  3. Prøv at starte Windows fra systemdisken.

    1. Log på Windows.

    2. Kør følgende kommandoer fra en administratorkommandoprompt for at gendanne startfilerne i EFI-systemstartpartitionen. Skriv hver kommando separat, og tryk derefter på Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Hvis du kører BCDBoot, returneres "Startfiler blev oprettet". Når denne meddelelse vises, skal du genstarte enheden tilbage til Windows.

  4. Hvis trin 3 ikke genopretter enheden, skal du geninstallere Windows.

    1. Start enheden fra eksisterende genoprettelsesmedier.

    2. Fortsæt med at installere Windows ved hjælp af genoprettelsesmediet.

    3. Log på Windows.

    4. Genstart Windows for at bekræfte, at enheden starter tilbage til Windows.

  5. Genaktiver sikker bootstart, og genstart enheden.

    Gå til enhedens UEFI-menu, og gå til indstillingerne for sikker bootstart, og slå den til. Se dokumentationen fra enhedsproducenten for at få mere at vide om denne proces. Du kan finde flere oplysninger i afsnittet "Genaktiver sikker bootstart".

Referencer

De tredjepartsprodukter, der beskrives i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Vi giver ingen garanti, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter.

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.

Ændringsdato

Beskrivelse af ændring

9. april 2024

  • Omfattende ændringer af procedurer, oplysninger, retningslinjer og datoer. Bemærk, at nogle tidligere ændringer er blevet fjernet som følge af de omfattende ændringer, der er foretaget på denne dato.

16. december 2023

  • Udgivelsesdatoerne for tredje installation og håndhævelse blev revideret i afsnittet "Timing of updates".

15. maj 2023

  • Fjernede ikke-understøttede Windows 10, version 21H1 fra afsnittet "Gælder for".

11. maj 2023

  • Der er føjet en ADVARSEL til trin 1 i afsnittet "Retningslinjer for installation" om opgradering til Windows 11, version 21H2 eller 22H2 eller nogle versioner af Windows 10.

10. maj 2023

  • Vi har tydeliggjort, at Windows-medier, der kan downloades, og som er opdateret med den seneste kumulative Opdateringer, snart vil være tilgængelige.

  • Rettede stavningen af ordet "Forbudt".

9. maj 2023

  • Der er føjet flere understøttede versioner til afsnittet "Gælder for".

  • Trin 1 i afsnittet "Benyt en handling" er opdateret.

  • Opdateret trin 1 i afsnittet "Retningslinjer for installation".

  • Rettede kommandoerne i trin 3a i afsnittet "Retningslinjer for afhjælpning".

  • Placeringen af Hyper-V UEFI-afbildninger er blevet rettet i afsnittet "Fejlfinding af startproblemer".

27. juni 2023

  • Fjernet bemærkning om opdatering fra Windows 10 til en nyere version af Windows 10, der bruger en aktiveringspakke under Trin 1:Installér i afsnittet "Retningslinjer for installation".

11. juli 2023

  • Opdateret forekomster af datoen for "9. maj 2023" til "11. juli 2023", "9. maj 2023 og 11. juli 2023" eller til "9. maj 2023 eller nyere".

  • I afsnittet "Retningslinjer for installation" bemærker vi, at alle dynamiske safeOS-opdateringer nu er tilgængelige til opdatering af WinRE-partitioner. Desuden blev feltet FORSIGTIG fjernet, fordi problemet er løst ved udgivelsen af de dynamiske SafeOS-opdateringer.

  • I "3. ANVENDE tilbageførselsafsnittet", er vejledningen blevet revideret.

  • I sektionen "Windows-hændelseslogfejl" tilføjes hændelses-id 276.

25. august 2023

  • Opdaterede forskellige afsnit til formulering og tilføjede oplysninger om 11. juli 2023-versionen og fremtidige udgivelsesoplysninger for 2024.

  • Omlejring af noget indhold fra afsnittet "Undgå problemer med dit startmedie" til afsnittet "Opdaterer medie, der kan startes fra".

  • Afsnittet "Timing of updates" er opdateret med reviderede installationsdatoer og oplysninger.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×