Οδηγίες για τον αποκλεισμό της επαναφοράς των ενημερώσεων ασφαλείας που σχετίζονται με την ασφάλεια βάσει αναπαράστασης (VBS)

Αρχική ημερομηνία δημοσίευσης: 13 Αυγούστου 2024

KB ID: 5042562

Η υποστήριξη για Windows 10 θα λήξει τον Οκτώβριο του 2025

Μετά τις 14 Οκτωβρίου 2025, η Microsoft δεν θα παρέχει πλέον δωρεάν ενημερώσεις λογισμικού από το Windows Update, τεχνική βοήθεια ή επιδιορθώσεις ασφαλείας για Windows 10. Ο υπολογιστής σας θα εξακολουθεί να λειτουργεί, αλλά σας συνιστούμε να μετακινηθείτε στα Windows 11.

Μάθετε περισσότερα

Σημαντική σημείωση σχετικά με την πολιτική SkuSiPolicy.p7b

Για οδηγίες σχετικά με την εφαρμογή της ενημερωμένης πολιτικής, ανατρέξτε στην ενότητα Ανάπτυξη πολιτικής ανάκλησης με υπογραφή Microsoft (SkuSiPolicy.p7b).

Σε αυτό το άρθρο

Σύνοψη
Πεδίο εφαρμογής επιπτώσεων
Διαθέσιμοι μετριασμούς
Κατανόηση των κινδύνων μετριασμού
Οδηγίες ανάπτυξης μετριασμού
- Ανάπτυξη μιας υπογεγραμμένης πολιτικής ανάκλησης της Microsoft (SkuSiPolicy.p7b)
- Ενημέρωση εξωτερικών πολυμέσων εκκίνησης
Αρχεία καταγραφής συμβάντων των Windows
- Συμβάντα ενεργοποίησης πολιτικής
- Έλεγχος και αποκλεισμός συμβάντων
Διαδικασία κατάργησης και αποκατάστασης πολιτικής
Αλλαγές που έγιναν σε αυτό το άρθρο

Σύνοψη

Η Microsoft ενημερώθηκε για μια ευπάθεια στα Windows που επιτρέπει σε έναν εισβολέα με δικαιώματα διαχειριστή να αντικαταστήσει ενημερωμένα αρχεία συστήματος των Windows που έχουν παλαιότερες εκδόσεις, ανοίγοντας την πόρτα για έναν εισβολέα να επαναφέρει ευπάθειες σε ασφάλεια που βασίζεται σε λειτουργία αναπαράστασης (VBS). Η επαναφορά αυτών των δυαδικών αρχείων μπορεί να επιτρέψει σε έναν εισβολέα να παρακάμψει τα χαρακτηριστικά ασφαλείας του VBS και να αποσπάσει δεδομένα που προστατεύονται από VBS. Αυτό το πρόβλημα περιγράφεται στο CVE-2024-21302 | Ευπάθεια ασφαλούς λειτουργίας πυρήνα των Windows.

Για να επιλύσουμε αυτό το πρόβλημα, θα ανακαλέσουμε τα ευάλωτα αρχεία συστήματος VBS που δεν έχουν ενημερωθεί. Λόγω του μεγάλου αριθμού αρχείων που σχετίζονται με VBS που πρέπει να αποκλειστούν, χρησιμοποιούμε μια εναλλακτική προσέγγιση για τον αποκλεισμό των εκδόσεων αρχείων που δεν ενημερώνονται.

Πεδίο εφαρμογής επιπτώσεων

Όλες οι συσκευές Windows που υποστηρίζουν VBS επηρεάζονται από αυτό το πρόβλημα. Σε αυτές περιλαμβάνονται οι φυσικές συσκευές και οι εικονικές μηχανές (VM) εσωτερικής εγκατάστασης. Η VBS υποστηρίζεται σε Windows 10 και νεότερες εκδόσεις των Windows και Windows Server 2016 και νεότερες Windows Server εκδόσεις.

Μπορείτε να ελέγξετε την κατάσταση VBS μέσω του εργαλείου πληροφοριών συστήματος της Microsoft (Msinfo32.exe). Αυτό το εργαλείο συλλέγει πληροφορίες σχετικά με τη συσκευή σας. Αφού ξεκινήσετε Msinfo32.exe, κάντε κύλιση προς τα κάτω στη γραμμή ασφαλείας που βασίζεται σε λειτουργία αναπαράστασης . Εάν η τιμή αυτής της γραμμής είναι Εκτελείται, η VBS είναι ενεργοποιημένη και εκτελείται.

Παράθυρο διαλόγου "Πληροφορίες συστήματος" με επισημασμένη τη γραμμή "Ασφάλεια βάσει αναπαράστασης"

Μπορείτε επίσης να ελέγξετε την κατάσταση VBS με Windows PowerShell χρησιμοποιώντας την κλάση WMI Win32_DeviceGuard. Για να υποβάλετε ερώτημα για την κατάσταση VBS από το PowerShell, ανοίξτε μια περίοδο λειτουργίας με αναβαθμισμένο Windows PowerShell και, στη συνέχεια, εκτελέστε την ακόλουθη εντολή:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Μετά την εκτέλεση της παραπάνω εντολής PowerShell, η κατάσταση της κατάστασης VBS πρέπει να είναι ένα από τα εξής.

Όνομα πεδίου	Κατάσταση
VirtualizationBasedSecurityStatus	Εάν το πεδίο ισούται με 0, η VBS δεν είναι ενεργοποιημένη. Εάν το πεδίο ισούται με 1, το VBS ενεργοποιείται αλλά δεν εκτελείται. Εάν το πεδίο ισούται με 2, η VBS ενεργοποιείται και εκτελείται.

Διαθέσιμοι μετριασμούς

Για όλες τις υποστηριζόμενες εκδόσεις του Windows 10, έκδοση 1507 και νεότερες εκδόσεις των Windows και Windows Server 2016 και νεότερες Windows Server εκδόσεις, οι διαχειριστές μπορούν να αναπτύξουν μια πολιτική ανάκλησης με υπογραφή Microsoft (SkuSiPolicy.p7b). Αυτό θα αποκλείσει τη φόρτωση ευάλωτων εκδόσεων αρχείων συστήματος VBS που δεν ενημερώνονται από το λειτουργικό σύστημα.

Όταν το SkuSiPolicy.p7b εφαρμοστεί σε μια συσκευή Windows, η πολιτική θα κλειδωθεί επίσης στη συσκευή, προσθέτοντας μια μεταβλητή στο υλικολογισμικό UEFI. Κατά την εκκίνηση, η πολιτική φορτώνει και τα Windows εμποδίζουν τη φόρτωση δυαδικών ημερολογίων που παραβιάζουν την πολιτική. Αν εφαρμοστεί το κλείδωμα UEFI και η πολιτική καταργηθεί ή αντικατασταθεί από μια παλαιότερη έκδοση, η διαχείριση εκκίνησης των Windows δεν θα εκκινηθεί και η συσκευή δεν θα εκκινηθεί. Αυτή η αποτυχία εκκίνησης δεν θα εμφανίσει σφάλμα και το σύστημα θα προχωρήσει στην επόμενη διαθέσιμη επιλογή εκκίνησης που μπορεί να οδηγήσει σε βρόχο εκκίνησης.

Μια πρόσθετη πολιτική CI με υπογραφή Microsoft, η οποία είναι ενεργοποιημένη από προεπιλογή και δεν απαιτεί πρόσθετα βήματα ανάπτυξης έχει προστεθεί, τα οποία δεν είναι συνδεδεμένα με το UEFI. Αυτή η υπογεγραμμένη πολιτική CI θα φορτωθεί κατά την εκκίνηση και η επιβολή αυτής της πολιτικής θα αποτρέψει την επαναφορά των αρχείων συστήματος VBS κατά τη διάρκεια αυτής της περιόδου λειτουργίας εκκίνησης. Σε αντίθεση με το SkuSiPolicy.p7b, μια συσκευή μπορεί να συνεχίσει να εκκινείται, αν η ενημέρωση δεν είναι εγκατεστημένη. Αυτή η πολιτική περιλαμβάνεται σε όλες τις υποστηριζόμενες εκδόσεις του Windows 10, έκδοση 1507 και νεότερες. Το SkuSkiPolicy.p7b εξακολουθεί να μπορεί να εφαρμοστεί από τους διαχειριστές για την παροχή πρόσθετης προστασίας για επαναφορά σε περιόδους λειτουργίας εκκίνησης.

Τα αρχεία καταγραφής μετρημένης εκκίνησης των Windows που χρησιμοποιούνται για την επιβεβαίωση της εύρυθμης λειτουργίας εκκίνησης του υπολογιστή περιλαμβάνουν πληροφορίες σχετικά με την έκδοση πολιτικής που φορτώνεται κατά τη διαδικασία εκκίνησης. Αυτά τα αρχεία καταγραφής διατηρούνται με ασφάλεια από την TPM κατά την εκκίνηση και οι υπηρεσίες επιβεβαίωσης της Microsoft αναλύουν αυτά τα αρχεία καταγραφής για να επαληθεύσουν ότι φορτώνονται οι σωστές εκδόσεις πολιτικής. Οι υπηρεσίες επιβεβαίωσης επιβάλλουν κανόνες που διασφαλίζουν τη φόρτωση μιας συγκεκριμένης έκδοσης πολιτικής ή νεότερης. Διαφορετικά, το σύστημα δεν θα θεωρείται υγιές.

Για να λειτουργήσει ο μετριασμός της πολιτικής, η πολιτική πρέπει να ενημερωθεί χρησιμοποιώντας την ενημέρωση συντήρησης των Windows, καθώς τα στοιχεία των Windows και η πολιτική πρέπει να προέρχονται από την ίδια έκδοση. Αν αντιγραφεί ο μετριασμός της πολιτικής στη συσκευή, η συσκευή ενδέχεται να μην εκκινηθεί αν εφαρμοστεί εσφαλμένη έκδοση του μετριασμού ή ο μετριασμός ενδέχεται να μην λειτουργεί κατά το αναμενόμενο. Επιπλέον, οι μετριασμούς που περιγράφονται στο KB5025885 θα πρέπει να εφαρμόζονται στη συσκευή σας.

Στις Windows 11, έκδοση 24H2, Windows Server 2022 και Windows Server 23H2, η δυναμική ρίζα αξιοπιστίας για μετρήσεις (DRTM) προσθέτει έναν πρόσθετο μετριασμό για την ευπάθεια επαναφοράς. Αυτός ο μετριασμός είναι ενεργοποιημένος από προεπιλογή. Σε αυτά τα συστήματα, τα κλειδιά κρυπτογράφησης με προστασία VBS είναι συνδεδεμένα με την πολιτική περιόδου λειτουργίας εκκίνησης VBS CI με δυνατότητα προεπιλογής και θα αποσφραγίζονται μόνο εάν επιβάλλεται η αντίστοιχη έκδοση πολιτικής CI. Για να ενεργοποιηθούν οι επαναφορές που ξεκινούν από τους χρήστες, έχει προστεθεί μια περίοδος χάριτος για την ασφαλή επαναφορά 1 έκδοσης του πακέτου ενημέρωσης των Windows, χωρίς να χάσετε τη δυνατότητα κατάργησης της αναγραφής του κύριου κλειδιού VSM. Ωστόσο, η επαναφορά που ξεκινά από το χρήστη είναι δυνατή μόνο εάν δεν έχει εφαρμοστεί το SkuSiPolicy.p7b. Η πολιτική της VBS CI επιβάλλει ότι όλα τα δυαδικά αρχεία εκκίνησης δεν έχουν ανακληθεί στις ανακλημένες εκδόσεις. Αυτό σημαίνει ότι εάν ένας εισβολέας με δικαιώματα διαχειριστή επαναφέρει τα ευάλωτα δυαδικά αρχεία εκκίνησης, το σύστημα δεν θα εκκινείται. Εάν η πολιτική CI και τα δυαδικά αρχεία επιστρέψουν και τα δύο σε προηγούμενη έκδοση, τα δεδομένα που προστατεύονται με VSM δεν θα αποσυσκευαστούν.

Κατανόηση των κινδύνων μετριασμού

Πρέπει να γνωρίζετε τους πιθανούς κινδύνους προτού εφαρμόσετε την υπογεγραμμένη από τη Microsoft πολιτική ανάκλησης. Εξετάστε αυτούς τους κινδύνους και πραγματοποιήστε τις απαραίτητες ενημερώσεις για τα μέσα αποκατάστασης προτού εφαρμόσετε τον μετριασμό.

Σημείωση Αυτοί οι κίνδυνοι ισχύουν μόνο για την πολιτική SkuSiPolicy.p7b και δεν ισχύουν για τα προεπιλεγμένα ενεργοποιημένα μέτρα προστασίας.

Ενημερώσεις UEFI Lock και Κατάργηση εγκατάστασης. Μετά την εφαρμογή του κλειδώματος UEFI με την υπογεγραμμένη από τη Microsoft πολιτική ανάκλησης σε μια συσκευή, δεν είναι δυνατή η επαναφορά της συσκευής (με κατάργηση της εγκατάστασης ενημερώσεων των Windows, με χρήση σημείου επαναφοράς ή με άλλα μέσα), αν συνεχίσετε να εφαρμόζετε την Ασφαλή εκκίνηση. Ακόμα και η επαναδιαμόρφωση του δίσκου δεν θα καταργήσει το κλείδωμα UEFI του μετριασμού, αν έχει ήδη εφαρμοστεί. Αυτό σημαίνει ότι αν επιχειρήσετε να επαναφέρετε το λειτουργικό σύστημα Windows σε προηγούμενη κατάσταση που δεν διαθέτει τον εφαρμοζόμενο μετριασμό, η συσκευή δεν θα εκκινηθεί, δεν θα εμφανιστεί μήνυμα σφάλματος και το UEFI θα προχωρήσει στην επόμενη διαθέσιμη επιλογή εκκίνησης. Αυτό μπορεί να έχει ως αποτέλεσμα έναν βρόχο εκκίνησης. Πρέπει να απενεργοποιήσετε την Ασφαλή εκκίνηση για να καταργήσετε το κλείδωμα UEFI. Λάβετε υπόψη όλες τις πιθανές επιπτώσεις και ελέγξτε διεξοδικά προτού εφαρμόσετε τις ανακλήσεις που περιγράφονται σε αυτό το άρθρο στη συσκευή σας.
Εξωτερικά μέσα εκκίνησης. Αφού εφαρμοστούν οι μετριασμούς UEFI lock σε μια συσκευή, τα εξωτερικά μέσα εκκίνησης πρέπει να ενημερωθούν με την πιο πρόσφατη ενημέρωση των Windows εγκατεστημένη στη συσκευή. Αν τα εξωτερικά μέσα εκκίνησης δεν ενημερωθούν στην ίδια έκδοση ενημέρωσης των Windows, η συσκευή ενδέχεται να μην εκκινείται από αυτό το μέσο. Ανατρέξτε στις οδηγίες στην ενότητα Ενημέρωση πολυμέσων εξωτερικής εκκίνησης πριν από την εφαρμογή των μετριασμάτων.
Περιβάλλον αποκατάστασης των Windows. Το Περιβάλλον αποκατάστασης των Windows (WinRE) στη συσκευή πρέπει να ενημερωθεί με την τελευταία δυναμική ενημέρωση ασφαλούς λειτουργικού συστήματος των Windows που κυκλοφόρησε στις 8 Ιουλίου 2025, στη συσκευή πριν από την εφαρμογή του SkuSipolicy.p7b στη συσκευή. Η παράλειψη αυτού του βήματος ενδέχεται να εμποδίσει την εκτέλεση της δυνατότητας Επαναφορά υπολογιστή από το WinRE. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Προσθήκη πακέτου ενημέρωσης στα Windows RE.
Εκκίνηση περιβάλλοντος εκτέλεσης πριν από την εκκίνηση (PXE). Αν ο μετριασμός αναπτυχθεί σε μια συσκευή και επιχειρήσετε να χρησιμοποιήσετε εκκίνηση PXE, η συσκευή δεν θα εκκινηθεί, εκτός αν εφαρμοστεί και η πιο πρόσφατη ενημέρωση των Windows στο είδωλο εκκίνησης του διακομιστή PXE. Δεν συνιστάται η ανάπτυξη μετριασμών σε προελεύσεις εκκίνησης δικτύου, εκτός εάν ο διακομιστής εκκίνησης PXE έχει ενημερωθεί στην τελευταία ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τον Ιανουάριο του 2025, συμπεριλαμβανομένης της διαχείρισης εκκίνησης PXE.

Οδηγίες ανάπτυξης μετριασμού

Για να αντιμετωπίσετε τα προβλήματα που περιγράφονται σε αυτό το άρθρο, μπορείτε να αναπτύξετε μια πολιτική ανάκλησης με υπογραφή της Microsoft (SkuSiPolicy.p7b). Αυτός ο μετριασμός υποστηρίζεται μόνο σε Windows 10, έκδοση 1507 και νεότερες εκδόσεις των Windows και Windows Server 2016.

Σημείωση Αν χρησιμοποιείτε το BitLocker, βεβαιωθείτε ότι έχει δημιουργηθεί αντίγραφο ασφαλείας για το κλειδί αποκατάστασης BitLocker. Μπορείτε να εκτελέσετε την ακόλουθη εντολή από μια γραμμή εντολών διαχειριστή και να λάβετε υπόψη τον 48ψήφιο αριθμητικό κωδικό πρόσβασης:

manage-bde -protectors -get %systemdrive%

Ανάπτυξη μιας υπογεγραμμένης πολιτικής ανάκλησης της Microsoft (SkuSiPolicy.p7b)

Η υπογεγραμμένη πολιτική ανάκλησης της Microsoft περιλαμβάνεται ως μέρος της τελευταίας ενημέρωσης των Windows. Αυτή η πολιτική θα πρέπει να εφαρμόζεται μόνο σε συσκευές με την εγκατάσταση της πιο πρόσφατης διαθέσιμης ενημέρωσης των Windows και, στη συνέχεια, ακολουθήστε τα παρακάτω βήματα:

Σημείωση Αν λείπουν ενημερώσεις, η συσκευή ενδέχεται να μην εκκινείται με την εφαρμογή του μετριασμού ή ο μετριασμός ενδέχεται να μην λειτουργεί κατά το αναμενόμενο. Φροντίστε να ενημερώσετε το windows media με δυνατότητα εκκίνησης με την πιο πρόσφατη διαθέσιμη ενημέρωση των Windows πριν αναπτύξετε την πολιτική. Για λεπτομέρειες σχετικά με τον τρόπο ενημέρωσης των μέσων με δυνατότητα εκκίνησης, ανατρέξτε στην ενότητα Ενημέρωση πολυμέσων εξωτερικής εκκίνησης .

Βεβαιωθείτε ότι είναι εγκατεστημένη η πιο πρόσφατη ενημέρωση των Windows που κυκλοφόρησε τον Ιανουάριο του 2025 ή μετά.
- Για Windows 11, έκδοση 22H2 και 23H2, εγκαταστήστε την ενημέρωση της 22ης Ιουλίου 2025 (KB5062663) ή μια νεότερη ενημέρωση πριν ακολουθήσετε αυτά τα βήματα.
- Για Windows 10, έκδοση 21H2, εγκαταστήστε την ενημέρωση των Windows που κυκλοφόρησε τον Αύγουστο του 2025 ή μια νεότερη ενημέρωση πριν ακολουθήσετε αυτά τα βήματα.
Εκτελέστε τις ακόλουθες εντολές σε μια γραμμή εντολών με αναβαθμισμένο Windows PowerShell:

$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Διαδρομή $EFIDestinationFolder -Τύπος καταλόγου -Force } Copy-Item -Διαδρομή $PolicyBinary -$EFIDestinationFolder Προορισμού -Δύναμη mountvol $MountPoint /D
Επανεκκινήστε τη συσκευή σας.
Επιβεβαιώστε ότι η πολιτική έχει φορτωθεί στο πρόγραμμα προβολής συμβάντων, χρησιμοποιώντας τις πληροφορίες στην ενότητα Αρχεία καταγραφής συμβάντων των Windows.

Σημειώσεις

Δεν πρέπει να καταργήσετε το αρχείο ανάκλησης (πολιτικής) SkuSiPolicy.p7b μετά την ανάπτυξη. Η συσκευή σας ενδέχεται να μην μπορεί πλέον να εκκινηθεί, αν καταργηθεί το αρχείο.
Αν η συσκευή σας δεν εκκινείται, ανατρέξτε στην ενότητα Διαδικασία αποκατάστασης.

Ενημέρωση εξωτερικών πολυμέσων εκκίνησης

Για να χρησιμοποιήσετε εξωτερικά μέσα εκκίνησης με μια συσκευή στην οποία έχει εφαρμοστεί πολιτική ανάκλησης με υπογραφή Microsoft, το εξωτερικό μέσο εκκίνησης πρέπει να ενημερωθεί με την πιο πρόσφατη ενημέρωση των Windows, συμπεριλαμβανομένης της Διαχείρισης εκκίνησης. Αν τα πολυμέσα δεν περιλαμβάνουν την πιο πρόσφατη ενημέρωση των Windows, τα πολυμέσα δεν θα εκκινηθούν.

Σημαντικό Συνιστάται να δημιουργήσετε μια μονάδα δίσκου αποκατάστασης προτού συνεχίσετε. Αυτό το μέσο μπορεί να χρησιμοποιηθεί για την επανεγκατάσταση μιας συσκευής σε περίπτωση που υπάρχει κάποιο σημαντικό πρόβλημα.

Ακολουθήστε τα παρακάτω βήματα για να ενημερώσετε το εξωτερικό μέσο εκκίνησης:

Μεταβείτε σε μια συσκευή στην οποία έχουν εγκατασταθεί οι πιο πρόσφατες ενημερώσεις των Windows.
Τοποθετήστε το εξωτερικό μέσο εκκίνησης ως γράμμα μονάδας δίσκου. Για παράδειγμα, μοντάρισμα μιας μονάδας δίσκου ως D:.
Κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε Δημιουργία μονάδας δίσκου αποκατάστασης στο πλαίσιο Αναζήτηση και, στη συνέχεια, κάντε κλικ στην επιλογή Δημιουργία μονάδας δίσκου αποκατάστασης πίνακα ελέγχου. Ακολουθήστε τις οδηγίες για να δημιουργήσετε μια μονάδα δίσκου αποκατάστασης χρησιμοποιώντας τη μονάδα δίσκου που είναι τοποθετημένη στον αντίχειρα.
Αφαιρέστε με ασφάλεια τη μονάδα δίσκου αντίχειρα που είναι τοποθετημένη.

Αν διαχειρίζεστε μέσα με δυνατότητα εγκατάστασης στο περιβάλλον σας χρησιμοποιώντας το μέσο εγκατάστασης Του Windows Update με οδηγίες για το Dynamic Update , ακολουθήστε τα εξής βήματα:

Μεταβείτε σε μια συσκευή στην οποία έχουν εγκατασταθεί οι πιο πρόσφατες ενημερώσεις των Windows.
Ακολουθήστε τα βήματα στο θέμα Ενημέρωση μέσου εγκατάστασης των Windows με τη Δυναμική ενημέρωση, για να δημιουργήσετε ένα μέσο στο οποίο είναι εγκατεστημένες οι πιο πρόσφατες ενημερώσεις των Windows.

Αρχεία καταγραφής συμβάντων των Windows

Τα Windows καταγράφουν συμβάντα όταν φορτώνονται οι πολιτικές ακεραιότητας κώδικα, συμπεριλαμβανομένου του SkuSiPolicy.p7b, και όταν ένα αρχείο αποκλείεται από τη φόρτωση λόγω επιβολής πολιτικής. Μπορείτε να χρησιμοποιήσετε αυτά τα συμβάντα για να επαληθεύσετε ότι έχει εφαρμοστεί ο μετριασμός.

Τα αρχεία καταγραφής ακεραιότητας κώδικα είναι διαθέσιμα στο Windows πρόγραμμα προβολής συμβάντων στην περιοχή Αρχεία καταγραφής εφαρμογών και υπηρεσιών > Microsoft > Windows > η ακεραιότητα κώδικα > αρχεία καταγραφής λειτουργικών > εφαρμογών και υπηρεσιών > Υπηρεσίες >Microsoft > Το AppLocker των Windows > > MSI και δέσμης ενεργειών.

Για περισσότερες πληροφορίες σχετικά με τα συμβάντα ακεραιότητας κώδικα, ανατρέξτε στον λειτουργικό οδηγό Έλεγχος εφαρμογών Windows Defender.

Συμβάντα ενεργοποίησης πολιτικής

Τα συμβάντα ενεργοποίησης πολιτικής είναι διαθέσιμα στο πρόγραμμα προβολής συμβάντων των Windows στην περιοχή Αρχεία καταγραφής εφαρμογών και υπηρεσιών > λειτουργικό το Microsoft > Windows > codeIntegr > ity.

PolicyNameBuffer – Πολιτική SKU SI των Microsoft Windows
GUID πολιτικής – {976d12c8-cb9f-4730-be52-54600843238e}
ΠολιτικήHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Πολιτική SKU SI των Microsoft Windows

Εάν έχετε εφαρμόσει την πολιτική ελέγχου ή τον μετριασμό στη συσκευή σας και το CodeIntegrity Event 3099 για την εφαρμοσμένη πολιτική δεν υπάρχει, η πολιτική δεν επιβάλλεται. Συμβουλευτείτε τις οδηγίες ανάπτυξης για να επαληθεύσετε ότι η πολιτική εγκαταστάθηκε σωστά.

Σημείωση Το συμβάν Ακεραιότητας κώδικα 3099 δεν υποστηρίζεται στις εκδόσεις του Windows 10 Enterprise 2016, Windows Server 2016 και Windows 10 Enterprise 2015 LTSB. Για να βεβαιωθείτε ότι η πολιτική έχει εφαρμοστεί (πολιτική ελέγχου ή ανάκλησης), πρέπει να μοντάρισμα του διαμερίσματος συστήματος EFI με χρήση της εντολής mountvol.exe και να ελέγξετε ότι η πολιτική έχει εφαρμοστεί στο διαμέρισμα EFI. Φροντίστε να καταργήσετε το μονταρίσματος του διαμερίσματος συστήματος EFI μετά την επαλήθευση.

SkuSiPolicy.p7b - Πολιτική ανάκλησης

Η πολιτική SkuSiPolicy.p7b έχει εφαρμοστεί

Έλεγχος και αποκλεισμός συμβάντων

Τα συμβάντα ελέγχου ακεραιότητας κώδικα και αποκλεισμού είναι διαθέσιμα στο πρόγραμμα προβολής συμβάντων των Windows στην περιοχή Αρχεία καταγραφής εφαρμογών και υπηρεσιών > microsoft > Windows > codeIntegrity > αρχεία καταγραφής επιχειρησιακώνεφαρμογών και υπηρεσιών > > Microsoft > Windows > AppLocker > MSI και δέσμης ενεργειών.

Η πρώην τοποθεσία καταγραφής περιλαμβάνει συμβάντα σχετικά με τον έλεγχο εκτελέσιμων αρχείων, dll και προγραμμάτων οδήγησης. Η τελευταία θέση καταγραφής περιλαμβάνει συμβάντα σχετικά με τον έλεγχο των προγράμματος εγκατάστασης MSI, των δεσμών ενεργειών και των αντικειμένων COM.

Το συμβάν codeIntegrity 3077 στο αρχείο καταγραφής "CodeIntegrity – Operational" υποδεικνύει ότι έχει αποκλειστεί η φόρτωση ενός εκτελέσιμου, .dll ή προγράμματος οδήγησης. Αυτό το συμβάν περιλαμβάνει πληροφορίες σχετικά με το αποκλεισμένο αρχείο και σχετικά με την ισχύουσα πολιτική. Για τα αρχεία που αποκλείονται από τον μετριασμό, οι πληροφορίες πολιτικής στο CodeIntegrity Event 3077 θα ταιριάζουν με τις πληροφορίες πολιτικής του SkuSiPolicy.p7b από το CodeIntegrity Event 3099. Το CodeIntegrity Event 3077 δεν θα είναι παρόν, αν δεν υπάρχουν εκτελέσιμα αρχεία, .dll ή προγράμματα οδήγησης που να παραβιάζουν την πολιτική ακεραιότητας κώδικα στη συσκευή σας.

Για άλλα συμβάντα ελέγχου ακεραιότητας κώδικα και αποκλεισμού, ανατρέξτε στο θέμα Κατανόηση συμβάντων ελέγχου εφαρμογών.

Διαδικασία κατάργησης και αποκατάστασης πολιτικής

Εάν κάτι δεν πάει καλά μετά την εφαρμογή της μετριασμού, μπορείτε να χρησιμοποιήσετε τα ακόλουθα βήματα για να καταργήσετε τη μετριασμό:

Αναστείλετε το BitLocker εάν είναι ενεργοποιημένο. Εκτελέστε την ακόλουθη εντολή από ένα αναβαθμισμένο παράθυρο γραμμής εντολών:

Manager-bde -protectors -disable c: -rebootcount 3
Απενεργοποιήστε την Ασφαλή εκκίνηση από το μενού του UEFI BIOS.Η διαδικασία απενεργοποίησης της Ασφαλούς εκκίνησης διαφέρει μεταξύ των κατασκευαστών και των μοντέλων της συσκευής. Για βοήθεια σχετικά με τον εντοπισμό του σημείου απενεργοποίησης της Ασφαλούς εκκίνησης, συμβουλευτείτε την τεκμηρίωση του κατασκευαστή της συσκευής σας. Μπορείτε να βρείτε περισσότερες λεπτομέρειες στην ενότητα Απενεργοποίηση ασφαλούς εκκίνησης.
Καταργήστε την πολιτική SkuSiPolicy.p7b.
1. Ξεκινήστε κανονικά τα Windows και, στη συνέχεια, πραγματοποιήστε είσοδο.Η πολιτική SkuSiPolicy.p7b πρέπει να καταργηθεί από την ακόλουθη θέση:
  - <διαμέρισμα συστήματος EFI>\Microsoft\Boot\SkuSiPolicy.p7b
2. Εκτελέστε τις ακόλουθες εντολές από μια περίοδο λειτουργίας αναβαθμισμένων Windows PowerShell για να εκκαθαρίζετε την πολιτική από αυτές τις θέσεις:
  
  $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } mountvol $MountPoint /D
Ενεργοποιήστε την Ασφαλή εκκίνηση από το BIOS.Συμβουλευτείτε την τεκμηρίωση του κατασκευαστή της συσκευής σας για τον εντοπισμό του σημείου ενεργοποίησης της Ασφαλούς εκκίνησης.Αν απενεργοποιήσατε την Ασφαλή εκκίνηση στο βήμα 1 και η μονάδα δίσκου προστατεύεται από το BitLocker, αναστείλετε την προστασία BitLocker και, στη συνέχεια, ενεργοποιήστε την Ασφαλή εκκίνηση από το μενού ΤΟΥ BIOS UEFI .
Ενεργοποιήστε το BitLocker. Εκτελέστε την ακόλουθη εντολή από ένα αναβαθμισμένο παράθυρο γραμμής εντολών:

Manager-bde -protectors -enable c:
Επανεκκινήστε τη συσκευή σας.

Αλλαγή ημερομηνίας	Περιγραφή
17 Δεκεμβρίου 2025	Ενημερώθηκαν οι εντολές στο Βήμα 2 της ενότητας "Ανάπτυξη πολιτικής ανάκλησης με υπογραφή Microsoft (SkuSiPolicy.p7b)", καθώς οι εντολές δεν λειτουργούσαν σωστά.Από: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x20 /f Start-ScheduledTask -Όνομα_εργασίας "\Microsoft\Windows\PI\Secure-Boot-Update" Να: $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Διαδρομή $EFIDestinationFolder -Τύπος καταλόγου -Force } Copy-Item -Διαδρομή $PolicyBinary -Προορισμός $EFIDestinationFolder -Δύναμη mountvol $MountPoint /D
22 Ιουλίου 2025	Ενημερώθηκε τα βήματα οδηγιών στην ενότητα "Ανάπτυξη πολιτικής ανάκλησης με υπογραφή Microsoft (SkuSiPolicy.p7b)".
10 Ιουλίου 2025	Καταργήθηκε η ενότητα "Ανάπτυξη πολιτικής λειτουργίας ελέγχου", καθώς η δυνατότητα έχει καταργηθεί μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 8 Ιουλίου 2025. Καταργήθηκε η ενότητα "Συμβάν codeIntegrity 3099", καθώς δεν ισχύει πλέον. Στην ενότητα "Κατανόηση των κινδύνων μετριασμού", ενημερώθηκε το θέμα "Περιβάλλον αποκατάστασης των Windows" Από: Περιβάλλον αποκατάστασης των Windows. Το Περιβάλλον αποκατάστασης των Windows (WinRE) στη συσκευή πρέπει να ενημερωθεί με τις τελευταίες ενημερώσεις των Windows εγκατεστημένες στη συσκευή, πριν από την εφαρμογή του SkuSipolicy.p7b στη συσκευή. Η παράλειψη αυτού του βήματος ενδέχεται να εμποδίσει την εκτέλεση της δυνατότητας Επαναφορά υπολογιστή από το WinRE. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Προσθήκη πακέτου ενημέρωσης στα Windows RE. Να: Περιβάλλον αποκατάστασης των Windows. Το Περιβάλλον αποκατάστασης των Windows (WinRE) στη συσκευή πρέπει να ενημερωθεί με το πιο πρόσφατο Windows Safe OS Dynamic που κυκλοφόρησε τον Ιούλιο του 2025 στη συσκευή ή μετά , πριν από την εφαρμογή του SkuSipolicy.p7b στη συσκευή. Η παράλειψη αυτού του βήματος ενδέχεται να εμποδίσει την εκτέλεση της δυνατότητας Επαναφορά υπολογιστή από το WinRE. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Προσθήκη πακέτου ενημέρωσης στα Windows RE. Αν δεν υπάρχουν διαθέσιμες ενημερώσεις ασφαλούς λειτουργικού συστήματος DU, αναπτύξτε την πιο πρόσφατη ενημέρωση Cumumulative. Στην ενότητα "Διαθέσιμοι μετριασμούς", αντικαταστήσατε την ακόλουθη παράγραφο: Μια πρόσθετη πολιτική CI με υπογραφή Microsoft, η οποία είναι ενεργοποιημένη από προεπιλογή και δεν απαιτεί πρόσθετα βήματα ανάπτυξης έχει προστεθεί, τα οποία δεν είναι συνδεδεμένα με το UEFI. Αυτή η υπογεγραμμένη πολιτική CI θα φορτωθεί κατά την εκκίνηση και η επιβολή αυτής της πολιτικής θα αποτρέψει την επαναφορά των αρχείων συστήματος VBS κατά τη διάρκεια αυτής της περιόδου λειτουργίας εκκίνησης. Σε αντίθεση με το SkuSiPolicy.p7b, μια συσκευή μπορεί να συνεχίσει να εκκινείται εάν η προεπιλεγμένη πολιτική ενεργοποίησης έχει αλλοιωθεί ή καταργηθεί. Αυτός ο μετριασμός είναι διαθέσιμος σε συσκευές με Windows 10 22H2 και νεότερες εκδόσεις. Το SkuSkiPolicy.p7b εξακολουθεί να μπορεί να εφαρμοστεί από τους διαχειριστές για την παροχή πρόσθετης προστασίας για επαναφορά σε περιόδους λειτουργίας εκκίνησης. Με την ακόλουθη παράγραφο: Μια πρόσθετη πολιτική CI με υπογραφή Microsoft, η οποία είναι ενεργοποιημένη από προεπιλογή και δεν απαιτεί πρόσθετα βήματα ανάπτυξης έχει προστεθεί, τα οποία δεν είναι συνδεδεμένα με το UEFI. Αυτή η υπογεγραμμένη πολιτική CI θα φορτωθεί κατά την εκκίνηση και η επιβολή αυτής της πολιτικής θα αποτρέψει την επαναφορά των αρχείων συστήματος VBS κατά τη διάρκεια αυτής της περιόδου λειτουργίας εκκίνησης. Σε αντίθεση με το SkuSiPolicy.p7b, μια συσκευή μπορεί να συνεχίσει να εκκινείται, αν η ενημέρωση δεν είναι εγκατεστημένη. Αυτή η πολιτική περιλαμβάνεται σε όλες τις υποστηριζόμενες εκδόσεις του Windows 10, έκδοση 1507 και νεότερες. Το SkuSkiPolicy.p7b εξακολουθεί να μπορεί να εφαρμοστεί από τους διαχειριστές για την παροχή πρόσθετης προστασίας για επαναφορά σε περιόδους λειτουργίας εκκίνησης. Στην ενότητα "Διαθέσιμοι μετριασμούς", προσθέσαμε τις ακόλουθες εκδόσεις των Windows στην πρώτη πρόταση της τελευταίας παραγράφου:Windows 11, έκδοση 24H2, Windows Server 2022 και Windows Server 23H2 Καταργήθηκε η εικόνα της καταχώρησης "SiPolicy.p7b - Πολιτική ελέγχου" στην ενότητα "Συμβάντα ενεργοποίησης πολιτικής".
8 Απριλίου 2025	Καταργήθηκε η πρώτη πρόταση της ενότητας "Σημαντική σημείωση σχετικά με την πολιτική SkuSiPolicy.p7b", καθώς η πιο πρόσφατη ενημέρωση δεν είναι προς το παρόν διαθέσιμη για όλες τις εκδόσεις των Windows. Ενημερώθηκε η ενότητα "Διαθέσιμοι μετριασμούς" προσθέτοντας πιο λεπτομερείς πληροφορίες. Προσθέσαμε προεπιλεγμένους μετριασμούς για την περίοδο λειτουργίας εκκίνησης, ώστε να αποτρέπεται η επαναφορά των δυαδικών για Windows 10, έκδοση 22H2 και νεότερες εκδόσεις και η προστασία δεδομένων VBS για ασφαλή εκκίνηση ή συσκευές που βασίζονται σε DRTM σε Windows 11, έκδοση 24H2.
24 Φεβρουαρίου 2025	Ενημερώθηκε η Σημείωση στην ενότητα "Συμβάντα ενεργοποίησης πολιτικής" και προστέθηκε ένα δεύτερο στιγμιότυπο οθόνης της καταχώρησης καταλόγου που εμφανίζει το αρχείο "SiPolicy.p7b - Πολιτική ελέγχου".
11 Φεβρουαρίου 2025	Ενημερώθηκε η δέσμη ενεργειών στο Βήμα 1 στην ενότητα "Ανάπτυξη πολιτικής ανάκλησης με υπογραφή Microsoft (SkuSiPolicy.p7b)". Προσθέσαμε μια σημείωση στο τέλος της ενότητας "Συμβάντα ενεργοποίησης πολιτικής" και προσθέσαμε ένα στιγμιότυπο οθόνης της καταχώρησης καταλόγου που εμφανίζει το αρχείο "SkuSiPolicy.p7b - Πολιτική ανάκλησης". Ενημερώθηκε η δέσμη ενεργειών στο Βήμα 3b στην ενότητα "Κατάργηση πολιτικής και διαδικασία αποκατάστασης".
14 Ιανουαρίου 2025	Προστέθηκε η σημείωση Σημαντικό σχετικά με την πολιτική SkuSiPolicy.p7b στο επάνω μέρος αυτού του άρθρου.* Καταργήθηκε η ακόλουθη Σημείωση (η οποία προστέθηκε στις 12 Νοεμβρίου 2024) από την ενότητα "Διαθέσιμοι μετριασμούς", όπως δεν χρειάζεται πλέον:"Σημείωση υποστήριξης για τις πολιτικές SKUSIPolicy.p7b και VbsSI_Audit.p7b για Windows 10, έκδοση 1507, Windows 10 Enterprise 2016 και Windows Server Το 2016 προστέθηκε ως μέρος των τελευταίων ενημερώσεων των Windows που κυκλοφόρησαν στις και μετά τις 8 Οκτωβρίου 2024. Οι νεότερες εκδόσεις των Windows και των Windows Server εισήγαγαν αυτές τις πολιτικές στις ενημερώσεις της 13ης Αυγούστου 2024". Προσθέσαμε περισσότερες πληροφορίες στη Σημείωση στην ενότητα "Ανάπτυξη πολιτικής ανάκλησης με υπογραφή Microsoft (SkuSiPolicy.p7b)". Το αρχικό κείμενο ήταν "Σημείωση Αν λείπουν ενημερώσεις, η συσκευή ενδέχεται να μην ξεκινά με την εφαρμογή μετριασμού ή ο μετριασμός ενδέχεται να μην λειτουργεί κατά το αναμενόμενο". * * Καταργήθηκε η δεύτερη παράγραφος της ενότητας "Ενημέρωση εξωτερικών μέσων εκκίνησης". Το αρχικό κείμενο που καταργήθηκε ήταν το "Boot media which updated with the Microsoft-signed revocation policy, must be used only to boot devices that have the mitigation already applied.  Αν χρησιμοποιείται με συσκευές χωρίς τον μετριασμό, το κλείδωμα UEFI θα εφαρμοστεί κατά την εκκίνηση από το μέσο εκκίνησης. Οι επόμενες εκκινήσεις από το δίσκο θα αποτύχουν, εκτός αν η συσκευή ενημερωθεί με τη μετριασμό ή αν καταργηθεί το κλείδωμα UEFI." * * Καταργήθηκε το βήμα "Με το πρόσφατα δημιουργημένο μέσο μοντάζ, αντιγράψτε το αρχείο SkuSiPolicy.p7b στο<MediaRoot>\EFI\Microsoft\Boot (για παράδειγμα, D:\EFI\Microsoft\Boot)" στη διαδικασία "βήματα για την ενημέρωση των εξωτερικών μέσων εκκίνησης" στην ενότητα "Ενημέρωση εξωτερικών μέσων εκκίνησης", καθώς αυτό το βήμα δεν είναι πλέον απαραίτητο.* Καταργήθηκε τα βήματα 3 έως 5 στη διαδικασία "Ενημέρωση μέσου εγκατάστασης των Windows με οδηγίες για το Dynamic Update " στην ενότητα "Ενημέρωση εξωτερικών μέσων εκκίνησης", καθώς τα βήματα δεν είναι πλέον απαραίτητα.* 3. Τοποθετήστε τα περιεχόμενα του μέσου σε μια μονάδα USB και τοποθετήστε τη μονάδα δίσκου ως γράμμα μονάδας δίσκου. Για παράδειγμα, μοντάρισμα της μονάδας δίσκου αντίχειρα ως D:. 4. Αντιγράψτε το SkuSiPolicy.p7b στο<MediaRoot>\EFI\Microsoft\Boot (για παράδειγμα, D:\EFI\Microsoft\Boot). 5. Αφαιρέστε με ασφάλεια τη μονάδα δίσκου αντίχειρα που είναι τοποθετημένη. Ενημερώθηκε η πρώτη παράγραφος του θέματος "Εξωτερικά μέσα εκκίνησης" στην ενότητα "Κατανόηση των κινδύνων μετριασμού". Το αρχικό κείμενο ήταν "Αφού εφαρμοστούν οι μετριασμούς UEFI κλειδώματος σε μια συσκευή, τα εξωτερικά μέσα εκκίνησης πρέπει να ενημερωθούν με τις πιο πρόσφατες ενημερώσεις των Windows που είναι εγκατεστημένες στη συσκευή και με την υπογεγραμμένη από τη Microsoft πολιτική ανάκλησης (SkuSiPolicy.p7b). Αν τα εξωτερικά μέσα εκκίνησης δεν ενημερωθούν, η συσκευή ενδέχεται να μην εκκινείται από αυτό το μέσο αποθήκευσης. Ανατρέξτε στις οδηγίες στην ενότητα Ενημέρωση πολυμέσων εξωτερικής εκκίνησης πριν από την εφαρμογή των μετριασμάτων.* Καταργήθηκε η δεύτερη παράγραφος του θέματος "Εξωτερικά μέσα εκκίνησης" στην ενότητα "Κατανόηση των κινδύνων μετριασμού". Το αρχικό κείμενο ήταν "Τα μέσα εκκίνησης που ενημερώνονται με την υπογεγραμμένη από τη Microsoft πολιτική ανάκλησης πρέπει να χρησιμοποιούνται μόνο για την εκκίνηση συσκευών στις οποίες έχει ήδη εφαρμοστεί ο μετριασμός.  Αν χρησιμοποιείται με συσκευές χωρίς τον μετριασμό, το κλείδωμα UEFI θα εφαρμοστεί κατά την εκκίνηση από το μέσο εκκίνησης. Οι επόμενες εκκινήσεις από το δίσκο θα αποτύχουν, εκτός αν η συσκευή ενημερωθεί με τη μετριασμό ή αν καταργηθεί το κλείδωμα UEFI." * * Ενημερώθηκε το θέμα "Εκκίνηση περιβάλλοντος εκτέλεσης πριν από την εκκίνηση (PXE) στην ενότητα "Κατανόηση των κινδύνων μετριασμού". Το αρχικό κείμενο ήταν "Εάν ο μετριασμός έχει αναπτυχθεί σε μια συσκευή και προσπαθήσετε να χρησιμοποιήσετε εκκίνηση PXE, η συσκευή δεν θα εκκινηθεί, εκτός εάν εφαρμοστούν επίσης οι μετριασμούς στις πηγές εκκίνησης δικτύου (ρίζα όπου υπάρχει bootmgfw.efi). Αν μια συσκευή εκκινείται από μια προέλευση εκκίνησης δικτύου στην οποία έχει εφαρμοστεί ο μετριασμός, τότε το κλείδωμα UEFI θα εφαρμοστεί στη συσκευή και θα επηρεάσει τις επόμενες εκκινήσεις. Δεν συνιστάται η ανάπτυξη μετριασμάτων σε προελεύσεις εκκίνησης δικτύου, εκτός εάν όλες οι συσκευές στο περιβάλλον σας έχουν αναπτύξει τους μετριασμούς. "*
12 Νοεμβρίου 2024	Στην ενότητα "Διαθέσιμοι μετριασμούς", προστέθηκε υποστήριξη για τις πολιτικές SkuSiPolicy.p7b και VbsSI_Audit.p7b για Windows 10, έκδοση 1507, Windows 10 Enterprise 2016 και Windows Server 2016, στο πλαίσιο των ενημερώσεων των Windows που κυκλοφόρησαν στις και μετά τις 8 Οκτωβρίου 2024. Ενημερώθηκε η ημερομηνία κυκλοφορίας των Windows από τις 13 Αυγούστου 2024 έως τις 12 Νοεμβρίου 2024 καθ' όλη τη διάρκεια.