Αρχική ημερομηνία δημοσίευσης: 13 Φεβρουαρίου 2025
Αναγνωριστικό KB: 5053946
Εισαγωγή
Αυτό το έγγραφο περιγράφει την ανάπτυξη της προστασίας έναντι της δημόσιας γνωστοποίησης της δυνατότητας ασφαλείας Secure Boot που χρησιμοποιεί το κιτ εκκίνησης BlackLotus UEFI που παρακολουθείται από το CVE-2023-24932 για εταιρικά περιβάλλοντα.
Για να αποφευχθούν οι διακοπές, η Microsoft δεν σχεδιάζει να αναπτύξει αυτούς τους μετριασμούς σε επιχειρήσεις, αλλά παρέχει αυτές τις οδηγίες για να βοηθήσει τις επιχειρήσεις να εφαρμόσουν οι ίδιες τους μετριασμούς. Αυτό δίνει στις επιχειρήσεις τον έλεγχο του σχεδίου ανάπτυξης και του χρονοδιαγράμματος των αναπτύξεων.
Γρήγορα αποτελέσματα
Έχουμε διαιρέσει την ανάπτυξη σε πολλά βήματα που μπορούν να επιτευχθούν σε μια λωρίδα χρόνου που λειτουργεί για τον οργανισμό σας. Θα πρέπει να εξοικειωθείτε με αυτά τα βήματα. Αφού κατανοήσετε καλά τα βήματα, θα πρέπει να εξετάσετε πώς θα λειτουργήσουν στο περιβάλλον σας και να προετοιμάσετε σχέδια ανάπτυξης που λειτουργούν για την επιχείρησή σας στη λωρίδα χρόνου.
Η προσθήκη του νέου πιστοποιητικού Windows UEFI CA 2023 και η μη αξιοπιστία του πιστοποιητικού Microsoft Windows Production PCA 2011 απαιτεί τη συνεργασία του υλικολογισμικού της συσκευής. Δεδομένου ότι υπάρχει ένας μεγάλος συνδυασμός υλικού συσκευών και υλικολογισμικού και η Microsoft δεν είναι σε θέση να ελέγξει όλους τους συνδυασμούς, σας συνιστούμε να ελέγξετε αντιπροσωπευτικές συσκευές στο περιβάλλον σας πριν από την ευρεία ανάπτυξη. Συνιστάται να δοκιμάσετε τουλάχιστον μία συσκευή από κάθε τύπο που χρησιμοποιείται στον οργανισμό σας. Ορισμένα γνωστά προβλήματα συσκευών που θα αποκλείσουν αυτούς τους μετριασμούς τεκμηριώνονται στο πλαίσιο της KB5025885: Πώς να διαχειριστείτε τις ανακλήσεις της διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932. Εάν εντοπίσετε ένα ζήτημα υλικολογισμικού συσκευής που δεν αναφέρεται στην ενότητα " Γνωστά ζητήματα ", συνεργαστείτε με τον προμηθευτή OEM για να αντιμετωπίσετε το πρόβλημα.
Επειδή αυτό το έγγραφο αναφέρεται σε αρκετά διαφορετικά πιστοποιητικά, παρουσιάζονται στον παρακάτω πίνακα για εύκολη αναφορά και σαφήνεια:
|
Παλιά CA 2011 |
Νέες ΑΠ 2023 (λήγουν το 2038) |
Λειτουργία |
|
Microsoft Corporation KEK CA 2011 (λήγει τον Ιούλιο του 2026) |
Microsoft Corporation KEK CA 2023 |
Υπογράφει ενημερώσεις DB και DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (λήγει τον Οκτώβριο του 2026) |
Windows UEFI CA 2023 (PCA2023) |
Υπογράφει το bootloader των Windows |
|
Microsoft Corporation UEFI CA 2011 (λήγει τον Ιούλιο του 2026) |
Microsoft UEFI CA 2023 και Microsoft Option ROM UEFI CA 2023 |
Υπογράφει bootloaders τρίτων και ROM επιλογών |
Σημαντικό Φροντίστε να εφαρμόσετε τις πιο πρόσφατες ενημερώσεις ασφαλείας στους υπολογιστές δοκιμής πριν από τη δοκιμή συσκευών με μετριασμούς.
Σημείωση Κατά τη διάρκεια της δοκιμής υλικολογισμικού της συσκευής σας, ενδέχεται να ανακαλύψετε προβλήματα που εμποδίζουν τη σωστή λειτουργία των ενημερώσεων της Ασφαλούς εκκίνησης. Αυτό μπορεί να απαιτεί τη λήψη ενημερωμένου υλικολογισμικού από τον κατασκευαστή (OEM) και ενημέρωση του υλικολογισμικού στις συσκευές που επηρεάζονται για τον μετριασμό των προβλημάτων που θα εντοπίσετε.
Υπάρχουν τέσσερις μετριασμοί που πρέπει να εφαρμοστούν για προστασία από τις επιθέσεις που περιγράφονται στο CVE-2023-24932:
-
Μετριασμός 1: Εγκαταστήστε τον ενημερωμένο ορισμό πιστοποιητικού (PCA2023) στη βάση δεδομένων
-
Μετριασμός 2:Ενημερώστε τη διαχείριση εκκίνησης στη συσκευή σας
-
Μετριασμός 3:Ενεργοποίηση της ανάκλησης (PCA2011)
-
Μετριασμός 4:Εφαρμογή της ενημέρωσης SVN στο υλικολογισμικό
Αυτοί οι τέσσερις μετριασμοί μπορούν να εφαρμοστούν με μη αυτόματο τρόπο σε καθεμία από τις συσκευές δοκιμής σύμφωνα με τις οδηγίες που περιγράφονται στις Οδηγίες ανάπτυξης μετριασμού του KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις της διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932 ή ακολουθώντας τις οδηγίες σε αυτό το έγγραφο. Και οι τέσσερις μετριασμοί βασίζονται στο υλικολογισμικό για να λειτουργήσουν σωστά.
Η κατανόηση των ακόλουθων κινδύνων θα σας βοηθήσει κατά τη διαδικασία σχεδιασμού σας.
Προβλήματα υλικολογισμικού:Κάθε συσκευή διαθέτει υλικολογισμικό που παρέχεται από τον κατασκευαστή της συσκευής. Για τις λειτουργίες ανάπτυξης που περιγράφονται σε αυτό το έγγραφο, το υλικολογισμικό πρέπει να είναι σε θέση να δέχεται και να επεξεργάζεται ενημερώσεις για την ασφαλή εκκίνηση DB (βάση δεδομένων υπογραφής) και DBX (βάση δεδομένων απαγορευμένης υπογραφής). Επιπλέον, το υλικολογισμικό είναι υπεύθυνο για την επικύρωση της υπογραφής ή των εφαρμογών εκκίνησης, συμπεριλαμβανομένου του διαχειριστή εκκίνησης των Windows. Το υλικολογισμικό της συσκευής είναι λογισμικό και, όπως οποιοδήποτε λογισμικό, ενδέχεται να παρουσιάζει ελαττώματα, γι' αυτό είναι σημαντικό να ελέγξετε αυτές τις λειτουργίες προτού αναπτυχθεί ευρέως.Η Microsoft πραγματοποιεί συνεχείς δοκιμές πολλών συνδυασμών συσκευών/υλικολογισμικού, ξεκινώντας από τις συσκευές στα εργαστήρια και τα γραφεία της Microsoft, ενώ η Microsoft συνεργάζεται με τους OEM για τη δοκιμή των συσκευών τους. Σχεδόν όλες οι συσκευές που δοκιμάστηκαν έχουν περάσει χωρίς πρόβλημα. Σε ορισμένες περιπτώσεις, έχουμε δει προβλήματα με το υλικολογισμικό που δεν χειρίζεται σωστά τις ενημερώσεις και συνεργαζόμαστε με τους OEM για να αντιμετωπίσουμε τα ζητήματα που γνωρίζουμε.
Σημείωση Κατά τη διάρκεια της δοκιμής της συσκευής σας, αν εντοπίσετε κάποιο πρόβλημα υλικολογισμικού, συνιστάται να συνεργαστείτε με τον κατασκευαστή/OEM της συσκευής σας για να επιλύσετε το πρόβλημα. Αναζητήστε το αναγνωριστικό συμβάντος 1795 στο αρχείο καταγραφής συμβάντων. Ανατρέξτε KB5016061: Συμβάντα μεταβλητών ενημέρωσης Secure Boot DB και DBX για περισσότερες λεπτομέρειες σχετικά με τα συμβάντα Secure Boot.
Εγκατάσταση μέσου:Εφαρμόζοντας τον Μετριασμό 3 και τον Μετριασμό 4 που περιγράφονται παρακάτω σε αυτό το έγγραφο, δεν θα είναι πλέον δυνατή η εκκίνηση οποιουδήποτε υπάρχοντος μέσου εγκατάστασης των Windows μέχρι το μέσο να αποκτήσει έναν ενημερωμένο διαχειριστή εκκίνησης. Οι μετριασμοί που περιγράφονται σε αυτό το έγγραφο αποτρέπουν την εκτέλεση παλιών, ευάλωτων διαχειριστών εκκίνησης χωρίς να τους εμπιστεύονται στο υλικολογισμικό. Αυτό εμποδίζει έναν εισβολέα από το να επαναφέρει τη διαχείριση εκκίνησης συστήματος σε μια προηγούμενη έκδοση και να εκμεταλλευτεί ευπάθειες που υπάρχουν σε παλαιότερες εκδόσεις. Ο αποκλεισμός αυτών των ευάλωτων διαχειριστών εκκίνησης δεν θα πρέπει να έχει καμία επίδραση στο σύστημα που εκτελείται. Ωστόσο, θα εμποδίσει την εκκίνηση οποιουδήποτε μέσου εκκίνησης μέχρι να ενημερωθούν οι διαχειριστές εκκίνησης στα μέσα. Αυτό περιλαμβάνει εικόνες ISO, μονάδες USB με δυνατότητα εκκίνησης και εκκίνηση δικτύου (εκκίνηση PxE και HTTP).
Ενημέρωση στο PCA2023 και τη νέα "Διαχείριση εκκίνησης"
-
Μετριασμός 1: Εγκαταστήστε τους ενημερωμένους ορισμούς πιστοποιητικών στη βάση δεδομένων Προσθέτει το νέο πιστοποιητικό Windows UEFI CA 2023 στη βάση δεδομένων υπογραφής ασφαλούς εκκίνησης UEFI (DB). Προσθέτοντας αυτό το πιστοποιητικό στη βάση δεδομένων, το υλικολογισμικό της συσκευής θα θεωρεί αξιόπιστες τις εφαρμογές εκκίνησης των Microsoft Windows που έχουν υπογραφεί από αυτό το πιστοποιητικό.
-
Μετριασμός 2: Ενημερώστε τη διαχείριση εκκίνησης στη συσκευή σας Εφαρμόζει τη νέα διαχείριση εκκίνησης των Windows που έχει υπογραφεί με το νέο πιστοποιητικό Windows UEFI CA 2023.
Αυτοί οι μετριασμοί είναι σημαντικοί για τη μακροπρόθεσμη δυνατότητα συντήρησης των Windows σε αυτές τις συσκευές. Επειδή το πιστοποιητικό PCA 2011 παραγωγής των Microsoft Windows στο υλικολογισμικό θα λήξει τον Οκτώβριο του 2026, οι συσκευές πρέπει να έχουν το νέο πιστοποιητικό Windows UEFI CA 2023 στο υλικολογισμικό πριν από τη λήξη τους, διαφορετικά η συσκευή δεν θα μπορεί πλέον να λαμβάνει ενημερώσεις των Windows, θέτοντάς την σε ευάλωτη κατάσταση ασφαλείας.
Για να εφαρμόσετε όλους τους μετριασμούς μαζί, εκτελέστε την ακόλουθη εντολή ως διαχειριστής:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f |
Καθώς ισχύουν οι μετριασμοί, τα bit της τιμής AvailableUpdates απαλείφονται. Αυτό μπορεί να απαιτεί πολλές επανεκκινήσεις.
Ο μετριασμός της διαχείρισης εκκίνησης εφαρμόζεται μόνο αφού το υλικολογισμικό αναφέρει ότι ο μετριασμός πιστοποιητικού έχει ολοκληρωθεί. Αυτά τα βήματα δεν μπορούν να εκτελεστούν εκτός σειράς.
Όταν ολοκληρωθεί, το UEFICA2023Status έχει οριστεί σε "Ενημερώθηκε".
Ορισμένες συσκευές μπορεί να είναι ήδη ενημερωμένες, αν ταξινομούνται ως Υψηλής εμπιστοσύνης. Για λεπτομέρειες, ανατρέξτε στο θέμα Οδηγίες ασφαλούς εκκίνησης.
Αφού αναπτύξετε τους μετριασμούς στις συσκευές σας, θα πρέπει να παρακολουθείτε τις συσκευές σας για να διασφαλίσετε ότι έχουν εφαρμοστεί οι μετριασμοί και ότι τώρα είναι "Ενημερωμένες". Η παρακολούθηση μπορεί να γίνει αναζητώντας το ακόλουθο κλειδί μητρώου στο σύστημα. Αν το κλειδί υπάρχει και έχει οριστεί σε InProgress, τότε το σύστημα έχει ξεκινήσει την ενημέρωση του συστήματος. Εάν το κλειδί υπάρχει και έχει οριστεί σε Ενημερωμένο, τότε το σύστημα διαθέτει τα απαραίτητα πιστοποιητικά 2023 στο DB και το KEK και ξεκινά με τον υπογεγραμμένο διαχειριστή εκκίνησης του 2023.
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Όνομα τιμής κλειδιού |
UEFICA2023Κατάσταση |
|
|
Τύπος δεδομένων |
REG_SZ (συμβολοσειρά) |
|
|
Δεδομένα |
Απεικονίζει την τρέχουσα κατάσταση της ενημέρωσης κλειδιού Ασφαλούς εκκίνησης στη συσκευή. Θα οριστεί σε μία από τις ακόλουθες τιμές κειμένου:
Αρχικά, η κατάσταση είναι NotStarted. Αλλάζει σε InProgress μόλις ξεκινήσει η ενημέρωση και τελικά σε Ενημέρωση όταν έχουν αναπτυχθεί όλα τα νέα κλειδιά και η νέα διαχείριση εκκίνησης. Αν υπάρχει σφάλμα, τότε η τιμή μητρώου UEFICA2023Error έχει οριστεί σε μη μηδενικό κωδικό. |
|
Ενημέρωση μέσων με δυνατότητα εκκίνησης
Μετά την εφαρμογή των μετριασμών 1 και 2 στις συσκευές σας, μπορείτε να ενημερώσετε όλα τα μέσα εκκίνησης που χρησιμοποιείτε στο περιβάλλον σας. Η ενημέρωση του μέσου εκκίνησης σημαίνει εφαρμογή του PCA2023 υπογεγραμμένου διαχειριστή εκκίνησης στο μέσο. Αυτό περιλαμβάνει την ενημέρωση των ειδώλων εκκίνησης δικτύου (όπως PxE και HTTP), των ειδώλων ISO και των μονάδων USB. Διαφορετικά, οι συσκευές στις οποίες εφαρμόζονται οι μετριασμοί δεν θα ξεκινούν από μέσα εκκίνησης που χρησιμοποιούν την παλαιότερη διαχείριση εκκίνησης των Windows και την αρχή έκδοσης πιστοποιητικών 2011.
Εργαλεία και οδηγίες σχετικά με τον τρόπο ενημέρωσης κάθε τύπου μέσων εκκίνησης είναι διαθέσιμα εδώ:
|
Τύπος μέσου |
Πόρος |
|
ISO, μονάδες USB και ούτω καθεξής |
|
|
Διακομιστής εκκίνησης PXE |
Η τεκμηρίωση θα παρασχεθεί αργότερα |
Κατά τη διαδικασία ενημέρωσης πολυμέσων, θα πρέπει να ελέγξετε τα πολυμέσα με μια συσκευή που διαθέτει και τους τέσσερις μετριασμούς. Οι δύο τελευταίοι μετριασμοί θα αποκλείσουν τους παλαιότερους, ευάλωτους διαχειριστές εκκίνησης. Η ύπαρξη πολυμέσων με τρέχοντες διαχειριστές εκκίνησης είναι ένα σημαντικό μέρος της ολοκλήρωσης αυτής της διαδικασίας.
Σημείωση Επειδή οι επιθέσεις επαναφοράς της διαχείρισης εκκίνησης είναι μια πραγματικότητα και αναμένουμε συνεχείς ενημερώσεις στη διαχείριση εκκίνησης των Windows για την αντιμετώπιση προβλημάτων ασφαλείας, συνιστούμε στις επιχειρήσεις να σχεδιάζουν ημι-τακτικές ενημερώσεις πολυμέσων και να εφαρμόζουν διαδικασίες για να κάνουν τις ενημερώσεις πολυμέσων εύκολες και λιγότερο χρονοβόρες. Στόχος μας είναι να περιορίσουμε τον αριθμό των ανανεώσεων του διαχειριστή εκκίνησης πολυμέσων το πολύ σε δύο φορές το χρόνο, αν είναι δυνατόν.
Τα μέσα με δυνατότητα εκκίνησης δεν περιλαμβάνουν τη μονάδα δίσκου συστήματος της συσκευής στην οποία βρίσκονται συνήθως τα Windows και από την οποία ξεκινούν αυτόματα. Τα μέσα με δυνατότητα εκκίνησης χρησιμοποιούνται συνήθως για την εκκίνηση μιας συσκευής που δεν διαθέτει έκδοση των Windows με δυνατότητα εκκίνησης και συχνά χρησιμοποιούνται μέσα με δυνατότητα εκκίνησης για την εγκατάσταση των Windows στη συσκευή.
Οι ρυθμίσεις UEFI Secure Boot καθορίζουν ποιους διαχειριστές εκκίνησης θα θεωρήσουν αξιόπιστους χρησιμοποιώντας το Secure Boot DB (Signature Database) και το DBX (Forbidden Signature Database). Η βάση δεδομένων περιέχει τους κατακερματισμούς και τα κλειδιά για αξιόπιστο λογισμικό και το DBX αποθηκεύει ανακλημένους, παραβιασμένους και μη αξιόπιστους κατακερματισμούς και κλειδιά για να αποτρέψει την εκτέλεση μη εξουσιοδοτημένου ή κακόβουλου λογισμικού κατά τη διαδικασία εκκίνησης.
Είναι χρήσιμο να σκεφτείτε τις διαφορετικές καταστάσεις στις οποίες μπορεί να βρίσκεται μια συσκευή και ποια μέσα εκκίνησης μπορούν να χρησιμοποιηθούν με τη συσκευή σε καθεμία από αυτές τις καταστάσεις. Σε όλες τις περιπτώσεις, το υλικολογισμικό καθορίζει εάν πρέπει να εμπιστευτεί τον διαχειριστή εκκίνησης με τον οποίο παρουσιάζεται και, μόλις εκτελέσει τον διαχειριστή εκκίνησης, το υλικολογισμικό δεν συμβουλεύεται πλέον το υλικολογισμικό DB και DBX. Τα μέσα εκκίνησης μπορούν είτε να χρησιμοποιήσουν έναν υπογεγραμμένο διαχειριστή εκκίνησης CA 2011 είτε έναν υπογεγραμμένο διαχειριστή εκκίνησης CA 2023, αλλά όχι και τα δύο. Η επόμενη ενότητα περιγράφει τις καταστάσεις στις οποίες μπορεί να βρίσκεται η συσκευή και, σε ορισμένες περιπτώσεις, τα μέσα που μπορούν να εκκινηθούν από τη συσκευή.
Αυτά τα σενάρια συσκευών μπορεί να σας βοηθήσουν όταν σχεδιάζετε την ανάπτυξη μετριασμών σε όλες τις συσκευές σας.
Νέες συσκευές
Ορισμένες νέες συσκευές άρχισαν να αποστέλλονται με τις αρχές έκδοσης πιστοποιητικών του 2011 και του 2023 προεγκατεστημένες στο υλικολογισμικό της συσκευής. Δεν έχουν αλλάξει όλοι οι κατασκευαστές για να έχουν και τα δύο και ενδέχεται να εξακολουθούν να στέλνουν συσκευές με μόνο την αρχή έκδοσης πιστοποιητικών του 2011 προεγκατεστημένη.
-
Οι συσκευές με CA 2011 και 2023 μπορούν να ξεκινήσουν μέσα που περιλαμβάνουν είτε τον υπογεγραμμένο διαχειριστή εκκίνησης CA 2011 είτε τον υπογεγραμμένο διαχειριστή εκκίνησης CA 2023.
-
Οι συσκευές που έχουν εγκατεστημένη μόνο την αρχή έκδοσης πιστοποιητικών του 2011 μπορούν να εκκινήσουν μέσα μόνο με τη διαχείριση εκκίνησης υπογεγραμμένη από την αρχή έκδοσης πιστοποιητικών του 2011. Τα περισσότερα παλαιότερα μέσα περιλαμβάνουν την υπογεγραμμένη φάτνη εκκίνησης CA του 2011.
Συσκευές με μετριασμούς 1 και 2
Αυτές οι συσκευές ήταν προεγκατεστημένες με την CA του 2011 και, εφαρμόζοντας τον Μετριασμό 1, τώρα έχουν εγκατεστημένη την CA του 2023. Δεδομένου ότι αυτές οι συσκευές εμπιστεύονται και τις δύο CA, αυτές οι συσκευές μπορούν να ξεκινήσουν τόσο τα μέσα με την CA του 2011 όσο και με τον υπογεγραμμένο διαχειριστή εκκίνησης του 2023.
Συσκευές με μετριασμούς 3 και 4
Αυτές οι συσκευές έχουν την CA 2011 που περιλαμβάνεται στο DBX και δεν θα εμπιστεύονται πλέον μέσα με υπογεγραμμένο διαχειριστή εκκίνησης CA 2011. Μια συσκευή με αυτήν τη ρύθμιση παραμέτρων θα εκκινήσει μέσα μόνο με υπογεγραμμένο διαχειριστή εκκίνησης CA 2023.
Επαναφορά ασφαλούς εκκίνησης
Εάν οι ρυθμίσεις ασφαλούς εκκίνησης έχουν επαναφερθεί στις προεπιλεγμένες τιμές, τυχόν μετριασμοί που έχουν εφαρμοστεί στη βάση δεδομένων (προσθέτοντας την αρχή έκδοσης πιστοποιητικών του 2023) και στο DBX (μη αξιόπιστη αρχή έκδοσης πιστοποιητικών του 2011) ενδέχεται να μην ισχύουν πλέον. Η συμπεριφορά θα εξαρτηθεί από τις προεπιλογές υλικολογισμικού.
DBX
Εάν έχουν εφαρμοστεί μετριασμοί 3 ή/και 4 και το DBX έχει εκκαθαριστεί, τότε η CA του 2011 δεν θα περιλαμβάνεται στη λίστα DBX και θα εξακολουθεί να θεωρείται αξιόπιστη. Εάν συμβεί αυτό, θα χρειαστεί εκ νέου εφαρμογή των μετριασμών 3 ή/και 4.
ΣΠ
Εάν η βάση δεδομένων περιείχε την CA 2023 και καταργηθεί επαναφέροντας τις ρυθμίσεις ασφαλούς εκκίνησης στις προεπιλογές, το σύστημα ενδέχεται να μην εκκινήσει εάν η συσκευή βασίζεται στην υπογεγραμμένη διαχείριση εκκίνησης CA 2023. Αν η συσκευή δεν εκκινείται, χρησιμοποιήστε το εργαλείο securebootrecovery.efi που περιγράφεται στο KB5025885: Πώς να διαχειριστείτε τις ανακλήσεις της διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932 για να ανακτήσετε το σύστημα.
Μη αξιόπιστο PCA2011 και εφαρμογή αριθμού ασφαλούς έκδοσης σε DBX
-
Μετριασμός 3: Ενεργοποίηση της ανάκλησης Καταργεί την αξιοπιστία του πιστοποιητικού Microsoft Windows Production PCA 2011 προσθέτοντάς το στο Secure Boot DBX του υλικολογισμικού. Αυτό θα έχει ως αποτέλεσμα το υλικολογισμικό να μην εμπιστεύεται όλους τους διαχειριστές εκκίνησης με υπογραφή CA του 2011 και οποιοδήποτε μέσο που βασίζεται στον υπογεγραμμένο διαχειριστή εκκίνησης της έκδοσης CA του 2011.
-
Μετριασμός 4: Εφαρμόστε την ενημέρωση αριθμού ασφαλούς έκδοσης στο υλικολογισμικό Εφαρμόζει την ενημέρωση Secure Version Number (SVN) στο Secure Boot DBX του υλικολογισμικού. Όταν αρχίζει να εκτελείται ένας διαχειριστής εκκίνησης με υπογραφή 2023, εκτελεί αυτοέλεγχο συγκρίνοντας το SVN που είναι αποθηκευμένο στο υλικολογισμικό με το SVN που είναι ενσωματωμένο στον διαχειριστή εκκίνησης. Εάν το SVN διαχείρισης εκκίνησης είναι χαμηλότερο από το SVN υλικολογισμικού, η διαχείριση εκκίνησης δεν θα εκτελεστεί. Αυτή η δυνατότητα εμποδίζει έναν εισβολέα από την επαναφορά της διαχείρισης εκκίνησης σε μια παλαιότερη, μη ενημερωμένη έκδοση. Για μελλοντικές ενημερώσεις ασφαλείας στη διαχείριση εκκίνησης, το SVN θα αυξηθεί και ο μετριασμός 4 θα πρέπει να εφαρμοστεί ξανά.
Σημαντικό Ο μετριασμός 1 και ο μετριασμός 2 πρέπει να συμπληρωθούν πριν από την εφαρμογή του μετριασμού 3 και του μετριασμού 4.
Για πληροφορίες σχετικά με τον τρόπο εφαρμογής του μετριασμού 3 και του μετριασμού 4 σε δύο ξεχωριστά βήματα (εάν θέλετε να είστε πιο προσεκτικοί, τουλάχιστον στην αρχή) δείτε KB5025885: Τρόπος διαχείρισης των ανακλήσεων της διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932 Εναλλακτικά, μπορείτε να εφαρμόσετε και τους δύο μετριασμούς, εκτελώντας την ακόλουθη λειτουργία μεμονωμένου κλειδιού μητρώου ως διαχειριστής:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Για την εφαρμογή και των δύο μετριασμών μαζί απαιτείται μόνο μία επανεκκίνηση για την ολοκλήρωση της λειτουργίας.
-
Μετριασμός 3: Μπορείτε να επαληθεύσετε ότι η λίστα ανάκλησης εφαρμόστηκε με επιτυχία αναζητώντας το Αναγνωριστικό συμβάντος: 1037 στο αρχείο καταγραφής συμβάντων, ανά KB5016061: Συμβάντα μεταβλητών ενημέρωσης Secure Boot DB και DBX.Εναλλακτικά, μπορείτε να εκτελέσετε την παρακάτω εντολή του PowerShell ως Διαχειριστής και να βεβαιωθείτε ότι επιστρέφει True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Μετριασμός 4: Δεν υπάρχει ακόμη μέθοδος επιβεβαίωσης ότι η ρύθμιση SVN έχει εφαρμοστεί. Αυτή η ενότητα θα ενημερωθεί όταν μια λύση είναι διαθέσιμη.
Αναφορές
KB5016061: Συμβάντα μεταβλητών ενημέρωσης Secure Boot DB και DBX
|
Ημερομηνία αλλαγής |
Περιγραφή αλλαγής |
|---|---|
|
10 Ιουνίου 2026 |
|
