Αρχική ημερομηνία δημοσίευσης: 13 Φεβρουαρίου 2025
KB ID: 5053946
Εισαγωγή
Αυτό το έγγραφο περιγράφει την ανάπτυξη των προστατευμένων έναντι της δημόσιας παράκαμψης δυνατοτήτων ασφάλειας ασφαλούς εκκίνησης που χρησιμοποιεί το blackLotus UEFI bootkit που παρακολουθείται από το CVE-2023-24932 για εταιρικά περιβάλλοντα.
Για την αποφυγή διακοπών, η Microsoft δεν σκοπεύει να αναπτύξει αυτούς τους μετριασμούς στις επιχειρήσεις, αλλά παρέχει αυτές τις οδηγίες για να βοηθήσει τις επιχειρήσεις να εφαρμόσουν οι ίδιοι τους μετριασμούς. Αυτό παρέχει στις επιχειρήσεις τον έλεγχο του σχεδίου ανάπτυξης και του χρονισμού των αναπτύξεων.
Γρήγορα αποτελέσματα
Έχουμε διαιρέσει την ανάπτυξη σε πολλά βήματα που μπορούν να επιτευχθούν σε μια λωρίδα χρόνου που λειτουργεί για τον οργανισμό σας. Θα πρέπει να εξοικειωθείτε με αυτά τα βήματα. Αφού κατανοήσετε καλά τα βήματα, θα πρέπει να σκεφτείτε πώς θα λειτουργούν στο περιβάλλον σας και να προετοιμάσετε σχέδια ανάπτυξης που λειτουργούν για την επιχείρησή σας στη λωρίδα χρόνου σας.
Η προσθήκη του νέου πιστοποιητικού Windows UEFI CA 2023 και η μη εμπιστοσύνη του πιστοποιητικού Microsoft Windows Production PCA 2011 απαιτεί συνεργασία από το υλικολογισμικό της συσκευής. Δεδομένου ότι υπάρχει ένας μεγάλος συνδυασμός υλικού και υλικολογισμικού συσκευής και η Microsoft δεν μπορεί να ελέγξει όλους τους συνδυασμούς, σας ενθαρρύνουμε να δοκιμάσετε αντιπροσωπευτικές συσκευές στο περιβάλλον σας πριν από την ευρεία ανάπτυξη. Συνιστάται να ελέγξετε τουλάχιστον μία συσκευή κάθε τύπου που χρησιμοποιείται στον οργανισμό σας. Ορισμένα γνωστά προβλήματα συσκευών που θα αποκλείσουν αυτούς τους μετριασμούς τεκμηριώνονται ως μέρος του KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932. Αν εντοπίσετε ένα πρόβλημα υλικολογισμικού συσκευής που δεν αναφέρεται στην ενότητα " Γνωστά θέματα", συνεργαστείτε με τον προμηθευτή του OEM για να αντιμετωπίσετε το πρόβλημα.
Επειδή αυτό το έγγραφο αναφέρεται σε πολλά διαφορετικά πιστοποιητικά, παρουσιάζονται στον παρακάτω πίνακα για εύκολη αναφορά και σαφήνεια:
|
Παλιές CAs του 2011 |
Νέες CAs για το 2023 (λήγει το 2038) |
Λειτουργία |
|
Microsoft Corporation KEK CA 2011 (λήγει τον Ιούλιο του 2026) |
Microsoft Corporation KEK CA 2023 |
Υπογραφή ενημερώσεων DB και DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (λήγει τον Οκτώβριο του 2026) |
Windows UEFI CA 2023 (PCA2023) |
Υπογραφή του προγράμματος φόρτωσης εκκίνησης των Windows |
|
Microsoft Corporation UEFI CA 2011 (λήγει τον Ιούλιο του 2026) |
Microsoft UEFI CA 2023 και Microsoft Option ROM UEFI CA 2023 |
Υπογράφει προγράμματα φόρτωσης εκκίνησης τρίτων κατασκευαστών και ROM επιλογών |
Σημαντικό Φροντίστε να εφαρμόσετε τις πιο πρόσφατες ενημερώσεις ασφαλείας στους δοκιμαστικούς υπολογιστές πριν από τη δοκιμή συσκευών με τους μετριασμούς.
Σημείωση Κατά τη διάρκεια των δοκιμών υλικολογισμικού της συσκευής σας, ενδέχεται να ανακαλύψετε προβλήματα που εμποδίζουν τη σωστή λειτουργία των ενημερώσεων Ασφαλούς εκκίνησης. Αυτό μπορεί να απαιτεί τη λήψη ενημερωμένου υλικολογισμικού από τον κατασκευαστή (OEM) και την ενημέρωση του υλικολογισμικού στις συσκευές που επηρεάζονται, μετριάζοντας τα προβλήματα που ανακαλύπτετε.
Υπάρχουν τέσσερις μετριασμούς που πρέπει να εφαρμοστούν για την προστασία από τις επιθέσεις που περιγράφονται στο CVE-2023-24932:
-
Μετριασμός 1: Εγκατάσταση του ενημερωμένου ορισμού πιστοποιητικού (PCA2023) στο DB
-
Μετριασμός 2:Ενημέρωση της διαχείρισης εκκίνησης στη συσκευή σας
-
Μετριασμός 3:Ενεργοποίηση της ανάκλησης (PCA2011)
-
Μετριασμός 4:Εφαρμογή της ενημέρωσης SVN στο υλικολογισμικό
Αυτοί οι τέσσερις μετριασμούς μπορούν να εφαρμοστούν με μη αυτόματο τρόπο σε κάθε συσκευή δοκιμής, ακολουθώντας τις οδηγίες που περιγράφονται στις οδηγίες ανάπτυξης μετριασμού του KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932 ή ακολουθώντας τις οδηγίες σε αυτό το έγγραφο. Και οι τέσσερις μετριασμούς βασίζονται στο υλικολογισμικό για να λειτουργούν σωστά.
Η κατανόηση των ακόλουθων κινδύνων θα σας βοηθήσει κατά τη διάρκεια της διαδικασίας σχεδιασμού σας.
Προβλήματα υλικολογισμικού:Κάθε συσκευή διαθέτει υλικολογισμικό που παρέχεται από τον κατασκευαστή της συσκευής. Για τις λειτουργίες ανάπτυξης που περιγράφονται σε αυτό το έγγραφο, το υλικολογισμικό πρέπει να μπορεί να αποδέχεται και να επεξεργάζεται ενημερώσεις για την Ασφαλή εκκίνηση DB (Βάση δεδομένων υπογραφής) και το DBX (Απαγορευμένη βάση δεδομένων υπογραφής). Επιπλέον, το υλικολογισμικό είναι υπεύθυνο για την επικύρωση των εφαρμογών υπογραφής ή εκκίνησης, συμπεριλαμβανομένης της διαχείρισης εκκίνησης των Windows. Το υλικολογισμικό της συσκευής είναι λογισμικό και, όπως και οποιοδήποτε λογισμικό, μπορεί να έχει ελαττώματα, γι 'αυτό είναι σημαντικό να δοκιμάσετε αυτές τις λειτουργίες πριν από την ανάπτυξη ευρέως.Η Microsoft εκτελεί συνεχείς δοκιμές πολλών συνδυασμών συσκευών/υλικολογισμικού, ξεκινώντας από τις συσκευές στα εργαστήρια και τα γραφεία της Microsoft, και η Microsoft συνεργάζεται με OEM για να ελέγξει τις συσκευές τους. Σχεδόν όλες οι συσκευές που δοκιμάστηκαν έχουν περάσει χωρίς πρόβλημα. Σε ορισμένες περιπτώσεις, αντιμετωπίσαμε προβλήματα με το υλικολογισμικό που δεν χειρίζεται σωστά τις ενημερώσεις και συνεργαζόμαστε με τους OEM για να αντιμετωπίσουμε τα ζητήματα των οποίων γνωρίζουμε.
Σημείωση Κατά τη διάρκεια της δοκιμής της συσκευής σας, αν εντοπίσετε ένα πρόβλημα υλικολογισμικού, σας συνιστούμε να συνεργαστείτε με τον κατασκευαστή/OEM της συσκευής σας για να επιλύσετε το πρόβλημα. Αναζητήστε το αναγνωριστικό συμβάντος 1795 στο αρχείο καταγραφής συμβάντων. Ανατρέξτε στο θέμα KB5016061: Συμβάντα ενημέρωσης μεταβλητής εκκίνησης Ασφαλούς εκκίνησης DB και DBX για περισσότερες λεπτομέρειες σχετικά με τα συμβάντα Ασφαλούς εκκίνησης.
Εγκατάσταση πολυμέσων:Με την εφαρμογή των μετριασμού 3 και μετριασμού 4 που περιγράφονται παρακάτω σε αυτό το έγγραφο, δεν θα είναι πλέον δυνατή η εκκίνηση οποιουδήποτε υπάρχοντος μέσου εγκατάστασης των Windows, μέχρι τα πολυμέσα να διαθέτουν ενημερωμένη διαχείριση εκκίνησης. Οι μετριασμούς που περιγράφονται σε αυτό το έγγραφο αποτρέπουν την εκτέλεση παλιών, ευάλωτων διαχειριστών εκκίνησης, χωρίς να τους εμπιστεύονται στο υλικολογισμικό. Αυτό αποτρέπει την επαναφορά της διαχείρισης εκκίνησης συστήματος από έναν εισβολέα σε μια προηγούμενη έκδοση και την εκμετάλλευση ευπαθειών που υπάρχουν σε παλαιότερες εκδόσεις. Ο αποκλεισμός αυτών των ευάλωτων διαχειριστών εκκίνησης δεν θα πρέπει να έχει καμία επίδραση στο τρέχον σύστημα. Αυτό, ωστόσο, θα αποτρέψει την εκκίνηση τυχόν μέσων με δυνατότητα εκκίνησης μέχρι να ενημερωθούν οι διαχειριστές εκκίνησης στα μέσα ενημέρωσης. Αυτό περιλαμβάνει είδωλα ISO, μονάδες USB με δυνατότητα εκκίνησης και εκκίνηση δικτύου (εκκίνηση PxE και HTTP).
Ενημέρωση στο PCA2023 και στη νέα διαχείριση εκκίνησης
-
Μετριασμός 1: Εγκατάσταση των ενημερωμένων ορισμών πιστοποιητικών στην DB Προσθέτει το νέο πιστοποιητικό Windows UEFI CA 2023 στη βάση δεδομένων υπογραφών ασφαλούς εκκίνησης (DB) UEFI. Με την προσθήκη αυτού του πιστοποιητικού στο DB, το υλικολογισμικό της συσκευής θα εμπιστεύεται τις εφαρμογές εκκίνησης των Microsoft Windows που έχουν υπογραφεί από αυτό το πιστοποιητικό.
-
Μετριασμός 2: Ενημερώστε τη διαχείριση εκκίνησης στη συσκευή σας Εφαρμόζει τη νέα διαχείριση εκκίνησης των Windows που είναι υπογεγραμμένη με το νέο πιστοποιητικό Windows UEFI CA 2023.
Αυτοί οι μετριασμούς είναι σημαντικοί για τη μακροπρόθεσμη δυνατότητα συντήρησης των Windows σε αυτές τις συσκευές. Επειδή το πιστοποιητικό Microsoft Windows Production PCA 2011 στο υλικολογισμικό θα λήξει τον Οκτώβριο του 2026, οι συσκευές πρέπει να έχουν το νέο πιστοποιητικό Windows UEFI CA 2023 στο υλικολογισμικό πριν από τη λήξη, διαφορετικά η συσκευή δεν θα μπορεί πλέον να λαμβάνει ενημερώσεις των Windows, θέτοντάς το σε ευάλωτη κατάσταση ασφάλειας.
Για πληροφορίες σχετικά με τον τρόπο εφαρμογής του μετριασμού 1 και του μετριασμού 2 σε δύο ξεχωριστά βήματα (αν θέλετε να είστε πιο προσεκτικοί, τουλάχιστον στην αρχή), ανατρέξτε στο KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932. Εναλλακτικά, μπορείτε να εφαρμόσετε και τους δύο μετριασμούς εκτελώντας την ακόλουθη λειτουργία μεμονωμένου κλειδιού μητρώου ως διαχειριστής:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Καθώς ισχύουν οι μετριασμούς, τα bit στο κλειδί AvailableUpdates θα εκκαθαριστούν. Μετά τη ρύθμιση σε 0x140 και την επανεκκίνηση, η τιμή θα αλλάξει σε 0x100 και, στη συνέχεια, μετά από μια άλλη επανεκκίνηση, θα αλλάξει σε 0x000.
Ο μετριασμός διαχείρισης εκκίνησης δεν θα εφαρμοστεί μέχρι το υλικολογισμικό να υποδείξει ότι ο μετριασμός του πιστοποιητικού 2023 εφαρμόστηκε με επιτυχία. Αυτές οι λειτουργίες δεν μπορούν να εκτελεστούν εκτός σειράς.
Όταν εφαρμόζονται και οι δύο μετριασμούς, θα οριστεί ένα κλειδί μητρώου που θα υποδεικνύει ότι το σύστημα έχει δυνατότητα "2023", που σημαίνει ότι τα πολυμέσα μπορούν να ενημερωθούν και να εφαρμοστεί ο μετριασμός 3 και ο μετριασμός 4.
Στις περισσότερες περιπτώσεις, για να ολοκληρωθεί η μετριασμός 1 και μετριασμός 2 απαιτούνται τουλάχιστον δύο επανεκκινήσεις προτού εφαρμοστούν πλήρως οι μετριασμούς. Η προσθήκη επιπλέον επανεκκινήσεων στο περιβάλλον σας θα σας βοηθήσει να διασφαλίσετε ότι οι μετριασμούς θα εφαρμοστούν νωρίτερα. Ωστόσο, ενδέχεται να μην είναι πρακτικό να κάνετε τεχνητή εισαγωγή πρόσθετων επανεκκινήσεων και μπορεί να έχει νόημα να βασίζεστε στις μηνιαίες επανεκκινήσεις που γίνονται στο πλαίσιο της εφαρμογής των ενημερώσεων ασφαλείας. Αυτό σημαίνει λιγότερη αναστάτωση στο περιβάλλον σας, αλλά κινδυνεύει να διαρκέσει περισσότερο για να ασφαλίσει.
Μετά την ανάπτυξη των μετριασμάτων 1 και Μετριασμού 2 στις συσκευές σας, θα πρέπει να παρακολουθείτε τις συσκευές σας για να διασφαλίσετε ότι έχουν εφαρμοστεί οι μετριασμούς και ότι έχουν πλέον "δυνατότητα 2023". Η παρακολούθηση μπορεί να γίνει αναζητώντας το ακόλουθο κλειδί μητρώου στο σύστημα. Εάν το κλειδί υπάρχει και έχει οριστεί σε 1, τότε το σύστημα έχει προσθέσει το πιστοποιητικό 2023 στη μεταβλητή Secure Boot DB. Αν το κλειδί υπάρχει και έχει οριστεί σε 2, τότε το σύστημα έχει το πιστοποιητικό 2023 στο DB και ξεκινά με το 2023 υπογεγραμμένο πρόγραμμα διαχείρισης εκκίνησης.
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Όνομα τιμής κλειδιού |
WindowsUEFICA2023Capable |
|
|
Τύπος δεδομένων |
REG_DWORD |
|
|
Δεδομένα |
0 – ή το κλειδί δεν υπάρχει - Το πιστοποιητικό "Windows UEFI CA 2023" δεν βρίσκεται στο DB 1 - Το πιστοποιητικό "Windows UEFI CA 2023" βρίσκεται στο DB 2 - Το πιστοποιητικό "Windows UEFI CA 2023" βρίσκεται στο DB και το σύστημα ξεκινά από τη διαχείριση εκκίνησης με υπογραφή 2023. |
|
Ενημέρωση πολυμέσων με δυνατότητα εκκίνησης
Αφού εφαρμοστούν οι μετριασμού 1 και μετριασμού 2 στις συσκευές σας, μπορείτε να ενημερώσετε οποιοδήποτε μέσο με δυνατότητα εκκίνησης που χρησιμοποιείτε στο περιβάλλον σας. Η ενημέρωση του μέσου με δυνατότητα εκκίνησης σημαίνει την εφαρμογή του PCA2023 υπογεγραμμένη διαχείριση εκκίνησης στα πολυμέσα. Αυτό περιλαμβάνει την ενημέρωση των ειδωλουργιών εκκίνησης δικτύου (όπως PxE και HTTP), εικόνων ISO και μονάδων δίσκου USB. Διαφορετικά, οι συσκευές στις οποίες εφαρμόζονται οι μετριασμούς δεν θα εκκινούνται από μέσα εκκίνησης που χρησιμοποιούν την παλαιότερη διαχείριση εκκίνησης των Windows και ca του 2011.
Εργαλεία και οδηγίες σχετικά με τον τρόπο ενημέρωσης κάθε τύπου μέσων με δυνατότητα εκκίνησης είναι διαθέσιμα εδώ:
|
Τύπος πολυμέσων |
Πόρος |
|
ISO, μονάδες USB κ.ο.κ. |
|
|
Διακομιστής εκκίνησης PXE |
Τεκμηρίωση που θα παρασχεθεί αργότερα |
Κατά τη διάρκεια της διαδικασίας ενημέρωσης πολυμέσων, θα πρέπει να δοκιμάσετε τα πολυμέσα με μια συσκευή που διαθέτει και τους τέσσερις μετριασμούς. Οι δύο τελευταίοι μετριασμούς θα αποκλείσουν παλαιότερους, ευάλωτους διαχειριστές εκκίνησης. Η ύπαρξη πολυμέσων με τους τρέχοντες διαχειριστές εκκίνησης αποτελεί σημαντικό μέρος της ολοκλήρωσης αυτής της διαδικασίας.
Σημείωση Επειδή οι επιθέσεις επαναφοράς από τη διαχείριση εκκίνησης αποτελούν πραγματικότητα και αναμένουμε συνεχείς ενημερώσεις στη διαχείριση εκκίνησης των Windows για την αντιμετώπιση προβλημάτων ασφαλείας, συνιστούμε στις επιχειρήσεις να σχεδιάζουν εξαμηνιαίες ενημερώσεις πολυμέσων και να διαθέτουν διαδικασίες που θα κάνουν τις ενημερώσεις πολυμέσων εύκολες και λιγότερο χρονοβόρες. Στόχος μας είναι να περιορίσουμε τον αριθμό των ανανεώσεων διαχείρισης εκκίνησης πολυμέσων το πολύ δύο φορές το χρόνο, αν είναι δυνατό.
Τα μέσα με δυνατότητα εκκίνησης δεν περιλαμβάνουν τη μονάδα δίσκου συστήματος της συσκευής όπου συνήθως βρίσκονται τα Windows και από την οποία γίνεται αυτόματη εκκίνηση. Τα μέσα με δυνατότητα εκκίνησης χρησιμοποιούνται συνήθως για την εκκίνηση μιας συσκευής που δεν διαθέτει έκδοση των Windows με δυνατότητα εκκίνησης και συχνά χρησιμοποιείται μέσο με δυνατότητα εκκίνησης για την εγκατάσταση των Windows στη συσκευή.
Οι ρυθμίσεις ασφαλούς εκκίνησης UEFI καθορίζουν τους διαχειριστές εκκίνησης που πρέπει να εμπιστευτούν, χρησιμοποιώντας το Secure Boot DB (Βάση δεδομένων υπογραφής) και το DBX (Απαγορευμένη βάση δεδομένων υπογραφής). Η μονάδα DB περιέχει τους κατακερματισμένους χώρους και τα κλειδιά για αξιόπιστο λογισμικό και τα καταστήματα DBX έχουν ανακληθεί, παραβιαστεί και δεν θεωρούνται αξιόπιστα κατακερματίσματα και κλειδιά, ώστε να αποτραπεί η εκτέλεση μη εξουσιοδοτημένου ή κακόβουλου λογισμικού κατά τη διαδικασία εκκίνησης.
Είναι χρήσιμο να σκεφτείτε τις διάφορες καταστάσεις στις οποίες μπορεί να βρίσκεται μια συσκευή και σε ποια μέσα με δυνατότητα εκκίνησης μπορούν να χρησιμοποιηθούν με τη συσκευή σε κάθε μία από αυτές τις καταστάσεις. Σε όλες τις περιπτώσεις, το υλικολογισμικό καθορίζει αν πρέπει να εμπιστευτεί τη διαχείριση εκκίνησης στην οποία παρουσιάζεται και, αφού εκτελέσει τη διαχείριση εκκίνησης, το υλικολογισμικό DB και DBX δεν συμβουλεύονται πλέον το υλικολογισμικό. Τα μέσα με δυνατότητα εκκίνησης μπορούν είτε να χρησιμοποιήσουν μια διαχείριση εκκίνησης με υπογραφή CA του 2011 είτε έναν διαχειριστή εκκίνησης με υπογραφή CA του 2023, αλλά όχι και τα δύο. Η επόμενη ενότητα περιγράφει σε ποιες καταστάσεις μπορεί να βρίσκεται η συσκευή και, σε ορισμένες περιπτώσεις, σε ποια μέσα μπορεί να γίνει εκκίνηση από τη συσκευή.
Αυτά τα σενάρια συσκευών μπορεί να σας βοηθήσουν κατά τη δημιουργία σχεδίων για την ανάπτυξη των μετριασμάτων σε όλες τις συσκευές σας.
Νέες συσκευές
Ορισμένες νέες συσκευές άρχισαν να αποστέλλονται με προεγκατεστημένες τις CAs του 2011 και του 2023 στο υλικολογισμικό της συσκευής. Δεν έχουν αλλάξει όλοι οι κατασκευαστές για να έχουν και τις δύο και μπορεί να εξακολουθούν να στέλνουν συσκευές με προεγκατεστημένη μόνο την CA του 2011.
-
Οι συσκευές με τις CAs του 2011 και του 2023 μπορούν να εκκινήσουν μέσα που περιλαμβάνουν είτε τη διαχείριση εκκίνησης με υπογραφή CA του 2011 είτε τη διαχείριση εκκίνησης με υπογραφή CA του 2023.
-
Οι συσκευές στις οποίες είναι εγκατεστημένη μόνο η CA του 2011 μπορούν να εκκινούν πολυμέσα μόνο με τη διαχείριση εκκίνησης με υπογραφή CA 2011. Τα περισσότερα παλαιότερα πολυμέσα περιλαμβάνουν τη φάτνη εκκίνησης με υπογραφή CA 2011.
Συσκευές με μετριασμού 1 και 2
Αυτές οι συσκευές ήταν προεγκατεστημένες με την CA του 2011 και, εφαρμόζοντας μετριασμός 1, έχουν πλέον εγκατεστημένη την CA του 2023. Δεδομένου ότι αυτές οι συσκευές εμπιστεύονται και τις δύο CAs, αυτές οι συσκευές μπορούν να ξεκινήσουν τόσο τα πολυμέσα με την CA του 2011 όσο και τη διαχείριση εκκίνησης με υπογραφή του 2023.
Συσκευές με μετριασμούς 3 και 4
Αυτές οι συσκευές έχουν την CA του 2011 που περιλαμβάνεται στο DBX και δεν θα εμπιστεύονται πλέον τα πολυμέσα με μια διαχείριση εκκίνησης με υπογραφή CA του 2011. Μια συσκευή με αυτήν τη ρύθμιση παραμέτρων θα εκκινεί πολυμέσα μόνο με μια διαχείριση εκκίνησης με υπογραφή CA 2023.
Επαναφορά ασφαλούς εκκίνησης
Εάν έχουν γίνει επαναφορά των ρυθμίσεων Ασφαλούς εκκίνησης στις προεπιλεγμένες τιμές, τυχόν μετριασμούς που έχουν εφαρμοστεί στην DB (προσθέτοντας την CA του 2023) και την DBX (μη αξιόπιστη CA του 2011) ενδέχεται να μην ισχύουν πλέον. Η συμπεριφορά θα εξαρτηθεί από τις προεπιλογές υλικολογισμικού.
DBX
Εάν έχουν εφαρμοστεί μετριασμούς 3 ή/και 4 και το DBX εκκαθαριστεί, τότε η CA του 2011 δεν θα βρίσκεται στη λίστα DBX και θα εξακολουθεί να είναι αξιόπιστη. Εάν συμβεί αυτό, θα χρειαστεί να εφαρμόσετε ξανά τους μετριασμούς 3 ή/και 4.
DB
Αν το DB περιείχε τον ca του 2023 και καταργηθεί επαναφέροντας τις ρυθμίσεις Ασφαλούς εκκίνησης στις προεπιλογές, το σύστημα ενδέχεται να μην εκκινηθεί αν η συσκευή βασίζεται στη διαχείριση εκκίνησης με υπογραφή CA του 2023. Αν η συσκευή δεν εκκινείται, χρησιμοποιήστε το εργαλείο securebootrecovery.efi που περιγράφεται στο KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932 για να ανακτήσετε το σύστημα.
Μη αξιόπιστη PCA2011 και εφαρμογή αριθμού ασφαλούς έκδοσης στο DBX
-
Μετριασμός 3: Ενεργοποίηση της ανάκλησης Δεν εμπιστεύεται το πιστοποιητικό Microsoft Windows Production PCA 2011, προσθέτοντάς το στα υλικολογισμικά Secure Boot DBX. Αυτό θα έχει ως αποτέλεσμα το υλικολογισμικό να μην εμπιστεύεται όλους τους διαχειριστές εκκίνησης με υπογραφή CA του 2011 και τα μέσα που βασίζονται στη διαχείριση εκκίνησης με υπογραφή CA του 2011.
-
Μετριασμός 4: Εφαρμογή της ενημέρωσης αριθμού ασφαλούς έκδοσης στο υλικολογισμικό Εφαρμόζει την ενημέρωση Αριθμού ασφαλούς έκδοσης (SVN) στα υλικολογισμικά Secure Boot DBX. Όταν ξεκινά να λειτουργεί μια διαχείριση εκκίνησης με υπογραφή 2023, εκτελεί αυτοέλεγχο συγκρίνοντας το SVN που είναι αποθηκευμένο στο υλικολογισμικό με το SVN ενσωματωμένο στη διαχείριση εκκίνησης. Αν η διαχείριση εκκίνησης SVN είναι χαμηλότερη από το SVN υλικολογισμικού, η διαχείριση εκκίνησης δεν θα εκτελείται. Αυτή η δυνατότητα εμποδίζει έναν εισβολέα να επαναφέρει τη διαχείριση εκκίνησης σε μια παλαιότερη, μη ενημερωμένη έκδοση. Για μελλοντικές ενημερώσεις ασφαλείας στη διαχείριση εκκίνησης, το SVN θα αυξάνεται και θα πρέπει να εφαρμοστούν ξανά οι μετριασμούς 4.
Σημαντικό Ο μετριασμός 1 και ο μετριασμός 2 πρέπει να ολοκληρωθούν πριν από την εφαρμογή των μετριασμού 3 και μετριασμού 4.
Για πληροφορίες σχετικά με τον τρόπο εφαρμογής των μετριασμού 3 και μετριασμού 4 σε δύο ξεχωριστά βήματα (αν θέλετε να είστε πιο προσεκτικοί, τουλάχιστον στην αρχή) ανατρέξτε στο KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932 Ή μπορείτε να εφαρμόσετε και τους δύο μετριασμούς εκτελώντας την ακόλουθη λειτουργία μεμονωμένου κλειδιού μητρώου ως διαχειριστής:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Η ταυτόχρονη εφαρμογή και των δύο μετριασμάτων απαιτεί μόνο μία επανεκκίνηση για την ολοκλήρωση της λειτουργίας.
-
Μετριασμός 3: Μπορείτε να επαληθεύσετε ότι η λίστα ανάκλησης εφαρμόστηκε με επιτυχία αναζητώντας το αναγνωριστικό συμβάντος: 1037 στο αρχείο καταγραφής συμβάντων, ανά KB5016061: Συμβάντα μεταβλητής ενημέρωσης Ασφαλούς εκκίνησης DB και DBX.Εναλλακτικά, μπορείτε να εκτελέσετε την ακόλουθη εντολή PowerShell ως διαχειριστής και να βεβαιωθείτε ότι επιστρέφει την τιμή True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Μετριασμός 4: Μια μέθοδος για να επιβεβαιώσετε ότι η ρύθμιση SVN έχει εφαρμοστεί δεν υπάρχει ακόμη. Αυτή η ενότητα θα ενημερωθεί όταν μια λύση είναι διαθέσιμη.
Αναφορές
KB5016061: Συμβάντα μεταβλητής ενημέρωσης DB και DBX Ασφαλούς εκκίνησης
