Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Se de produkter, som denne artikel gælder for.

Oversigt

Den 29. juli 2020 udgav Microsoft security advisory-200011 , der beskriver en ny sårbarhed, der er relateret til Sikker bootstart. Enheder, der har tillid til Microsoft UEFI-nøglecenteret (Unified Extensible Firmware Interface) fra Microsoft i deres konfiguration af sikker bootstart, kan være modtagelige for en hacker, der har administrative rettigheder eller fysisk adgang til enheden.

Denne artikel indeholder vejledning til at anvende den nyeste sikker bootstart-DBX-tilbagekaldelsesliste til at ugyldiggøre de sårbare moduler. Microsoft vil sende en opdatering til Windows Update for at afhjælpe denne sårbarhed i foråret 2022.

Binære filer for sikker bootstart er hostet på denne UEFI-webside.

De opslåede filer er som følger:

  • UEFI-fil med listen over tilbagekaldte filer for x86 (32 bit)

  • UEFI-tilbagekaldelseslistefil til x64 (64 bit)

  • UEFI-fil med liste over tilbagekaldte filer for arm64

Når disse hashes er føjet til Secure Boot DBX på din enhed, kan disse programmer ikke længere indlæses. 

Vigtigt!: Dette websted hoster filer for hver arkitektur. Hver hostet fil indeholder kun hashes for programmer, der gælder for den specifikke arkitektur. Du skal anvende en af disse filer på hver enhed, men sørg for at anvende den fil, der er relevant for dens arkitektur. Selvom det er teknisk muligt at anvende en opdatering til en anden arkitektur, vil enheden være ubeskyttet, hvis du ikke installerer den relevante opdatering.

Forsigtighed: Læs den vigtigste rådgivningsartikel om denne sårbarhed, før du prøver disse trin. Forkert anvendelse af DBX-opdateringer kan forhindre enheden i at starte.

Du skal kun følge disse trin, hvis følgende betingelse er sand:

  • Du er ikke afhængig af at starte nogen af de startprogrammer, der blokeres af denne opdatering.

Flere oplysninger

Anvendelse af en DBX-opdatering på Windows

Når du har læst advarslerne i forrige afsnit og kontrolleret, at enheden er kompatibel, skal du følge disse trin for at opdatere Sikker bootstart DBX:

  1. Download den relevante UEFI-listefil (Dbxupdate.bin) til din platform fra denne UEFI-webside.

  2. Du skal opdele filen Dbxupdate.bin i de nødvendige komponenter for at anvende dem ved hjælp af PowerShell-cmdlet'er. Det kan du gøre ved at følge disse trin:

    1. Download PowerShell-scriptet fra denne PowerShell Gallery-webside.

    2. Kør følgende cmdlet for at finde scriptet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

    3. Kontrollér, at cmdlet'en henter scriptet og leverer outputoplysninger, herunder Navn, Version, Forfatter, PublicDate, InstalledDate og InstalledLocation.

    4. Kør følgende cmdlet'er:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd-$ScriptPath

      • Ls

    5. Kontrollér, at den SplitDbxContent.ps1 fil nu findes i mappen Scripts.

    6. Kør følgende PowerShell-script på filen Dbxupdate.bin:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. Kontrollér, at kommandoen har oprettet følgende filer.

      "Anvender" trin 2c-kommandooutput

      • Content.bin – opdater indhold

      • Signature.p7 – signatur, der giver tilladelse til opdateringsprocessen

  3. Kør Set-SecureBootUefi-cmdletten i en administrativ PowerShell-session for at anvende DBX-opdateringen:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Forventet output

    "Anvender" trin 3-kommandooutput

  4. Genstart enheden for at fuldføre installationen af opdateringen.

Du kan få mere at vide om cmdlet'en til konfiguration af sikker bootstart, og hvordan den bruges til DBX-opdateringer, under Set-Secure.

Kontrollerer, at opdateringen blev gennemført  

Når du har fuldført trinnene i forrige afsnit og genstartet enheden, skal du følge disse trin for at kontrollere, at opdateringen blev installeret korrekt. Når bekræftelsen er fuldført, påvirkes enheden ikke længere af GRUB-sårbarheden.

  1. Download scripts til dbx-opdateringsbekræftelse fra denne GitHub Gist-webside.

  2. Udpak scripts og binære filer fra den komprimerede fil.

  3. Kør følgende PowerShell-script i den mappe, der indeholder de udvidede scripts og binære filer, for at bekræfte DBX-opdateringen:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    Bemærk: Hvis en DBX-opdatering, der svarer til juli 2020- eller oktober 2020-versionerne fra dette arkiv med lister over tilbagekaldte filer , blev anvendt, skal du køre følgende relevante kommando i stedet:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Kontrollér, at outputtet svarer til det forventede resultat.

    "Verifying" step 4 command output

FAQ

Sp1: Hvad betyder fejlmeddelelsen "Get-SecureBootUEFI: Cmdlets understøttes ikke på denne platform"?

A1: Denne fejlmeddelelse angiver, at funktionen INGEN sikker bootstart er aktiveret på computeren. Derfor påvirkes denne enhed IKKE af GRUB-sårbarheden. Det er ikke nødvendigt at gøre yderligere.

Sp2: Hvordan gør jeg konfigurere enheden til at have tillid til eller ikke have tillid til tredjeparts UEFI CA? 

A2: Vi anbefaler, at du kontakter din OEM-leverandør. 

For Microsoft Surface skal du ændre indstillingen Sikker bootstart til "Kun Microsoft" og derefter køre følgende PowerShell-kommando (resultatet skal være "Falsk"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Du kan få mere at vide om, hvordan du konfigurerer til Microsoft Surface, under Administrer Surface UEFI-indstillinger – Surface | Microsoft Docs.

Sp3: Påvirker dette problem virtuelle maskiner til Azure IaaS Generation 1 og Generation 2? 

A3: Nej. Virtuelle Azure-gæstemaskiner Gen1 og Gen2 understøtter ikke funktionen Sikker bootstart. Derfor påvirkes de ikke af tillidsangrebet. 

Sp4: Refererer ADV200011 og CVE-2020-0689 til den samme sårbarhed, der er relateret til sikker bootstart? 

A: Nej. Disse sikkerhedsrådgivere beskriver forskellige sårbarheder. "ADV200011" refererer til en sårbarhed i GRUB (Linux-komponent), der kan medføre en sikker bootstarttilsidesættelse. "CVE-2020-0689" henviser til en sikkerhedsfunktions tilsidesættelsessårbarhed, der findes i Sikker bootstart. 

Sp5: Jeg kan ikke køre nogen af PowerShell-scripts. Hvad skal jeg gøre?

A: Kontrollér PowerShell-eksekveringspolitikken ved at køre kommandoen Get-ExecutionPolicy . Afhængigt af outputtet skal du muligvis opdatere eksekveringspolitikken:

De tredjepartsprodukter, der beskrives i denne artikel, er fremstillet af virksomheder, der er uafhængige af Microsoft. Microsoft påtager sig intet ansvar, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter. 

Microsoft leverer kontaktoplysninger fra tredjepart for at hjælpe dig med at finde flere oplysninger om dette emne. Disse kontaktoplysninger kan ændres uden varsel. Microsoft garanterer ikke for nøjagtigheden af tredjeparts kontaktoplysninger. 

Gælder for:

Windows 10 til 32-bit systemer
Windows 10 til x64-baserede systemer
Windows 10 version 2004 til 32-bit systemer
Windows 10 version 2004 til ARM64-baserede systemer
Windows 10 version 2004 til x64-baserede systemer
Windows 10 version 1909 til 32- bit-systemer
Windows 10 version 1909 til ARM64-baserede systemer
Windows 10 version 1909 til x64-baserede systemer
Windows 10 version 1903 til 32-bit systemer
Windows 10 Version 1903 til ARM64-baserede systemer
Windows 10 Version 1903 til x64-baserede systemer
Windows 10 Version 1809 til 32-bit systemer
Windows 10 version 1809 til ARM64-baserede systemer
Windows 10 version 1809 til x64-baserede systemer
Windows 10 version 1803 til 32-bit systemer
Windows 10 version 1803 til ARM64-baserede systemer
Windows 10 Version 1803 til x64-baserede systemer
Windows 10 version 1709 til 32-bit systemer
Windows 10 version 1709 til ARM64-baserede systemer
Windows 10 version 1709 til x64-baserede systemer
Windows 10 version 1607 til 32-bit systemer
Windows 10 version 1607 til x64-baserede systemer
Windows 8.1 til 32-bit systemer
Windows 8.1 til x64-baserede systemer
Windows RT 8.1
Windows Server, version 2004 (Server Core-installation)
Windows Server, version 1909 (Server Core-installation)
Windows Server, version 1903 (Server Core-installation)
Windows Server 2019
Windows Server 2019 (Server Core-installation)
Windows Server 2016
Windows Server 2016 (Server Core-installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core-installation)
Windows Server 2012
Windows Server 2012 (Server Core-installation)

Facebook LinkedIn E-mail

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×