Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Skift dato

Skift beskrivelse

20. marts 2024

  • Afsnittet "Resultater og feedback" er tilføjet

21. marts 2024

  • Opdateret trin 4 i afsnittet "Trin 2: Installér den PCA2023-signerede boot manager"

22. marts 2024

  • Mailkontaktoplysningerne er opdateret i afsnittet "Resultater og feedback"

  • Afsnittet "Aktivér valgfrie diagnosticeringsdata" er tilføjet

Introduktion

Denne artikel er et tillæg til følgende artikel, som opdateres i april 2024:

  • KB5025885: Sådan administrerer du Windows Boot Manager-tilbageførsler for ændringer af sikker bootstart, der er knyttet til CVE-2023-24932

Dette tillæg beskriver den opdaterede trinvise procedure til installation af nye afhjælpninger mod BlackLotus UEFI boot-kit, der spores af CVE-2023-24932 , og omfatter testvejledning til dit miljø.

For at beskytte mod skadeligt misbrug af sårbare startadministratorer skal vi installere et nyt UEFI Secure Boot-signeringscertifikat til enhedens firmware og tilbagekalde tillid til firmwaren for det aktuelle signeringscertifikat. Hvis du gør dette, medfører det, at alle eksisterende, sårbare bootadministratorer ikke er tillid til af enheder, der er aktiveret til Sikker bootstart. Denne vejledning hjælper dig med denne proces.

De tre afhjælpningstrin, der er beskrevet i denne vejledning, er følgende:

  1. Opdatering af DB: Et nyt pca-certifikat (PCA2023) føjes til sikker bootstart-DB, som gør det muligt for en enhed at starte medier, der er signeret af dette certifikat.

  2. Installation af Boot Manager: Den eksisterende PCA2011-signerede boot manager erstattes af den PCA2023-signerede boot manager.Begge startadministratorer er inkluderet i sikkerhedsopdateringerne for april 2024.

  3. DBX-tilbagekaldelse af PCA2011: Der føjes en afvisningspost til Secure Boot DBX, der forhindrer startadministratorer, der er signeret med PCA2011 i at starte.

Bemærk! Den Servicing Stack-software, der anvender disse tre afhjælpninger, tillader ikke, at afhjælpningerne anvendes ude af rækkefølge.

Gælder det for mig?

Denne vejledning gælder for alle enheder, hvor Sikker bootstart er aktiveret, og alle eksisterende genoprettelsesmedier til disse enheder.

Hvis din enhed kører Windows Server 2012 eller Windows Server 2012 R2, skal du læse afsnittet "Kendte problemer", før du fortsætter.

Før du starter

Aktivér valgfrie diagnosticeringsdata

Slå indstillingen "Send valgfrie diagnosticeringsdata" til ved at udføre følgende trin:

  1. I Windows 11 skal du gå til Start > Indstillinger > Beskyttelse af personlige oplysninger & sikkerhed > Diagnosticering & feedback.

  2. Slå Send valgfrie diagnosticeringsdata til.

    Diagnosticering & feedback

Du kan få mere at vide under Diagnosticering, feedback og beskyttelse af personlige oplysninger i Windows

BEMÆRK Sørg for, at du har forbindelse til internettet under og i et stykke tid efter valideringen.

Udfør et test pass

Når du har installeret Windows-opdateringerne for april 2024, og før du går gennem trinnene til at tilmelde dig, skal du sørge for at udføre et test pass for at bekræfte integriteten af dit system:

  1. VPN: Kontrollér, at VPN-adgang til virksomhedens ressourcer og netværk fungerer.

  2. Windows Hello: Log på Windows-enheden ved hjælp af din normale procedure (ansigt/fingeraftryk/pinkode).

  3. Bitlocker: Systemet starter normalt på BitLocker-aktiverede systemer uden nogen BitLocker-genoprettelsesprompt under start.

  4. Attestation af enhedstilstand: Kontrollér, at enheder, der er afhængige af attestation for enhedstilstand, bekræfter deres status korrekt.

Kendte problemer

Kun for Windows Server 2012 og Windows Sever 2012 R2:

  • TPM 2.0-baserede systemer kan ikke installere de afhjælpninger, der blev udgivet i sikkerhedsrettelsen for april 2024 på grund af kendte kompatibilitetsproblemer med TPM-målinger. April 2024-opdateringerne blokerer afhjælpninger #2 (boot manager) og #3 (DBX-opdatering) på berørte systemer.

  • Microsoft er opmærksom på problemet, og der frigives en opdatering i fremtiden for at fjerne blokeringen af TPM 2.0-baserede systemer.

  • Hvis du vil kontrollere din TPM-version, skal du højreklikke på Start, klikke på Kør og derefter skrive tpm.msc. Nederst til højre i den midterste rude under Oplysninger om TPM-producent bør du se en værdi for Specifikationsversion.

Trin til validering af tilmelding

I resten af denne artikel beskrives testen af tilvalgsenheder til afhjælpningerne. Afhjælpningerne er ikke aktiveret som standard. Hvis din virksomhed har planer om at aktivere disse afhjælpninger, skal du køre gennem følgende valideringstrin for at bekræfte enhedens kompatibilitet.

  1. Installér den foreløbige sikkerhedsopdatering for april 2024.

  2. Åbn en administratorkommandoprompt, og angiv registreringsdatabasenøglen for at udføre opdateringen til DB ved at skrive følgende kommando, og tryk derefter på Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Genstart enheden to gange.

  4. Kontrollér, at DB er opdateret, ved at kontrollere, at følgende kommando returnerer Sand. Kør følgende PowerShell-kommando som administrator:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Åbn en administratorkommandoprompt, og angiv registreringsdatabasenøglen for at downloade og installere den PCA2023-signerede boot manager:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Genstart enheden to gange.

  3. Som administrator skal du tilslutte EFI-partitionen for at gøre den klar til inspektion:

    mountvol s: /s

  4. Valider, at "s:\efi\microsoft\boot\bootmgfw.efi" er signeret af PCA2023. Det kan du gøre, ved at følge disse trin:

    1. Klik på Start, skriv kommandoprompt i feltet Søg , og klik derefter på Kommandoprompt.

    2. Skriv følgende kommando i kommandolinjen, og tryk derefter på Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Højreklik på filen C:\bootmgfw_2023.efi i Filstyring, klik på Egenskaber, og vælg derefter fanen Digitale signaturer.

    4. På listen Signatur skal du bekræfte, at certifikatkæden indeholder Windows UEFI 2023 CA.

FORSIGTIG: Dette trin installerer DBX-tilbagekaldelsen til gamle, sårbare bootstartadministratorer, der ikke er tillid til, og som er signeret ved hjælp af Windows Production PCA2011. Enheder, hvor denne tilbagekaldelse er anvendt, vil ikke længere starte fra eksisterende genoprettelsesmedier og PXE/HTTP-servere (network boot), der ikke har opdaterede boot manager-komponenter.

Hvis enheden kommer i en tilstand, der ikke kan startes fra, skal du følge trinnene i afsnittet "Genoprettelses- og gendannelsesprocedurer" for at nulstille enheden til en tilstand, hvor enheden er tilbagekaldt.

Når DBX er blevet anvendt, og du vil returnere enheden til dens tidligere tilstand for sikker bootstart, skal du følge afsnittet "Procedurer for genoprettelse og gendannelse".

Anvend DBX-afhjælpningen for at upålidelige Windows Production PCA2011-certifikatet i sikker bootstart:

  1. Åbn en administratorkommandoprompt, og angiv registreringsdatabasenøglen for at placere tilbagekaldelsen for PCA2011 i DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Genstart enheden to gange , og bekræft, at den er genstartet helt.

  3. Kontrollér, at DBX-afhjælpningen er blevet anvendt korrekt. For at gøre dette skal du køre følgende PowerShell-kommando som administrator og sørge for, at kommandoen returnerer Sand:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Eller se efter følgende hændelse i Logbog:

    Hændelseslog

    System

    Hændelseskilde

    TPM-WMI

    Hændelses-id

    1037

    Niveau

    Oplysninger

    Hændelsesmeddelelsestekst

    Sikker bootstart Dbx-opdatering til at tilbagekalde Microsoft Windows Production PCA 2011 anvendes korrekt

  4. Udfør testpasselementerne fra afsnittet "Før du starter", og sørg for, at alle systemer opfører sig normalt.

Reference til registreringsdatabasenøgle

Tilmeldingsvalidering trin 1Tilmeldingsvalidering Trin 2Tilmeldingsvalidering Trin 3

Kommando

Formål

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Installerer DB-opdateringen for at tillade den PCA2023-signerede bootstyring

Kommando

Formål

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Installerer den PCA2023-signerede bootmgr

Værdi kun opfyldt, når 0x40 trin er fuldført

Kommando

Formål

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Installerer DBX-opdateringen, som tilbagekalder PCA2011

Værdi kun accepteret, når begge 0x40 & 0x100 trin er fuldført

Resultater og feedback

Send mail til suvp@microsoft.com med testresultater, spørgsmål og feedback.

Genoprettelses- og gendannelsesprocedurer

Når du udfører genoprettelsesprocedurer, skal du dele følgende data med Microsoft:

  • Skærmbillede af den observerede startfejl.

  • Der blev udført trin, der førte til, at enheden ikke kunne startes.

  • Oplysninger om enhedskonfigurationen.

Når du udfører en gendannelsesprocedure, skal du afbryde BitLocker midlertidigt, før du starter proceduren.

Hvis noget går galt under denne proces, og du ikke kan starte enheden, eller du skal starte fra eksterne medier (f.eks. usb-drev eller PXE-start), kan du prøve følgende procedurer.

  1. Slå sikker bootstart

    fra Denne procedure adskiller sig fra pc-producenter til modeller. Angiv din pc's UEFI BIOS-menu, og gå til indstillingen Sikker bootstart, og slå den fra. Du kan finde oplysninger om denne proces i dokumentationen fra pc-producenten. Du kan få mere at vide under Deaktiver sikker bootstart.

  2. Ryd nøgler til

    sikker bootstart Hvis enheden understøtter rydning af nøglerne til sikker bootstart eller nulstilling af sikker bootstart til fabriksindstillingerne, skal du udføre denne handling nu.  

    Din enhed bør starte nu, men bemærk, at den er sårbar over for boot-kits malware. Sørg for at fuldføre trin 5 i slutningen af denne genoprettelsesproces for at genaktivere sikker bootstart.

  3. Prøv at starte Windows fra systemdisken.

    1. Hvis BitLocker er aktiveret og går i genoprettelse, skal du angive bitLocker-genoprettelsesnøglen.

    2. Log på Windows.

    3. Kør følgende kommandoer fra administratorkommandoprompten for at gendanne startfilerne i EFI-systemstartpartitionen:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Hvis du kører BCDBoot, returneres "Startfiler blev oprettet".

    5. Hvis BitLocker er aktiveret, skal du afbryde BitLocker midlertidigt.

    6. Genstart enheden.

  4. Hvis trin 3 ikke genopretter enheden, skal du geninstallere Windows.

    1. Start fra eksisterende genoprettelsesmedier.

    2. Fortsæt med at installere Windows ved hjælp af genoprettelsesmediet.

    3. Log på Windows.

    4. Genstart for at bekræfte, at enheden starter korrekt i Windows.

  5. Genaktiver sikker bootstart, og genstart enheden.

    Angiv din UEFI-menu, og gå til indstillingen Sikker bootstart, og slå den til. Se dokumentationen fra enhedsproducenten for at få mere at vide om denne proces. Du kan få mere at vide under Genaktiver sikker bootstart.

  6. Hvis Windows starter igen, skal du angive UEFI BIOS igen og slå Sikker bootstart fra.

  7. Start Windows.

  8. Del indholdet af DB, DBX med Microsoft.

    1. Åbn PowerShell i administratortilstand.

    2. Hent DB'en:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Hent DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Del de filer DBUpdateFw.bin og dbxUpdateFw.bin genereret i trin 8b og 8c.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×