ΣΗΜΑΝΤΙΚΌ Θα πρέπει να εφαρμόσετε την ενημέρωση ασφαλείας των Windows που κυκλοφόρησε στις ή μετά τις 9 Απριλίου 2024, στο πλαίσιο της τακτικής διαδικασίας μηνιαίας ενημέρωσης.
Αυτό το άρθρο ισχύει για τους οργανισμούς που θα πρέπει να αρχίσουν να αξιολογούν μετριασμούς για μια παράκαμψη Ασφαλούς εκκίνησης που γνωστοποιείται δημόσια και αξιοποιείται από το BlackLotus UEFI bootkit. Επιπλέον, μπορεί να θέλετε να πάρετε μια προληπτική στάση ασφαλείας ή να αρχίσετε να προετοιμάζεστε για την κυκλοφορία. Λάβετε υπόψη ότι αυτό το λογισμικό κακόβουλης λειτουργίας απαιτεί φυσική ή διαχειριστική πρόσβαση στη συσκευή.
ΠΡΟΣΟΧΉ Μετά την ενεργοποίηση του μετριασμού για αυτό το πρόβλημα σε μια συσκευή, που σημαίνει ότι έχουν εφαρμοστεί οι μετριασμούς, δεν είναι δυνατή η επαναφορά του, αν συνεχίσετε να χρησιμοποιείτε την Ασφαλή εκκίνηση σε αυτήν τη συσκευή. Ακόμα και η εκ νέου διαμόρφωση του δίσκου δεν θα καταργήσει τις ανακλήσεις, εάν έχουν ήδη εφαρμοστεί. Λάβετε υπόψη όλες τις πιθανές επιπτώσεις και ελέγξτε διεξοδικά προτού εφαρμόσετε τις ανακλήσεις που περιγράφονται σε αυτό το άρθρο στη συσκευή σας.
Σε αυτό το άρθρο
Σύνοψη
Αυτό το άρθρο περιγράφει την προστασία από την παράκαμψη δυνατοτήτων ασφαλείας Ασφαλούς εκκίνησης που γνωστοποιείται δημόσια και χρησιμοποιεί το bootkit BlackLotus UEFI που παρακολουθείται από το CVE-2023-24932, τον τρόπο ενεργοποίησης των μετριασμάτων και τις οδηγίες για μέσα με δυνατότητα εκκίνησης. Το bootkit είναι ένα κακόβουλο πρόγραμμα που έχει σχεδιαστεί για φόρτωση όσο το δυνατόν νωρίτερα σε μια ακολουθία εκκίνησης συσκευών για τον έλεγχο της εκκίνησης του λειτουργικού συστήματος.
Η Ασφαλής εκκίνηση συνιστάται από τη Microsoft να κάνει μια ασφαλή και αξιόπιστη διαδρομή από την Ενοποιημένη επεκτάσιμη διασύνδεση υλικολογισμικού (UEFI) μέσω της ακολουθίας Αξιόπιστης εκκίνησης πυρήνα των Windows. Η Ασφαλής εκκίνηση βοηθά στην αποτροπή λογισμικού κακόβουλης λειτουργίας bootkit στη σειρά εκκίνησης. Η απενεργοποίηση της Ασφαλούς εκκίνησης θέτει μια συσκευή σε κίνδυνο να μολυνθεί από λογισμικό κακόβουλης λειτουργίας bootkit. Η επιδιόρθωση της παράκαμψης Ασφαλούς εκκίνησης που περιγράφεται στο CVE-2023-24932 απαιτεί την ανάκληση των διαχειριστών εκκίνησης. Αυτό θα μπορούσε να προκαλέσει προβλήματα για ορισμένες ρυθμίσεις παραμέτρων εκκίνησης συσκευών.
Οι μετριασμούς κατά της παράκαμψης Ασφαλούς εκκίνησης που περιγράφονται λεπτομερώς στο CVE-2023-24932 περιλαμβάνονται στις ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024. Ωστόσο, αυτοί οι μετριασμούς δεν είναι ενεργοποιημένος από προεπιλογή. Με αυτές τις ενημερώσεις, συνιστάται να ξεκινήσετε την αξιολόγηση αυτών των αλλαγών στο περιβάλλον σας. Το πλήρες χρονοδιάγραμμα περιγράφεται στην ενότητα Χρονισμός ενημερώσεων .
Πριν ενεργοποιήσετε αυτούς τους μετριασμούς, θα πρέπει να εξετάσετε διεξοδικά τις λεπτομέρειες σε αυτό το άρθρο και να προσδιορίσετε αν πρέπει να ενεργοποιήσετε τους μετριασμούς ή να περιμένετε μια μελλοντική ενημέρωση από τη Microsoft. Εάν επιλέξετε να ενεργοποιήσετε τους μετριασμούς, πρέπει να επαληθεύσετε ότι οι συσκευές σας είναι ενημερωμένες και έτοιμες, καθώς και να κατανοήσετε τους κινδύνους που περιγράφονται σε αυτό το άρθρο.
Ανάληψη δράσης
|
Για αυτήν την έκδοση, θα πρέπει να ακολουθήσετε τα παρακάτω βήματα: Βήμα 1: Εγκαταστήστε την ενημέρωση ασφαλείας των Windows που κυκλοφόρησε στις ή μετά τις 9 Απριλίου 2024, σε όλες τις υποστηριζόμενες εκδόσεις. Βήμα 2: Αξιολογήστε τις αλλαγές και τον τρόπο με τον οποίο επηρεάζουν το περιβάλλον σας. Βήμα 3: Επιβολή των αλλαγών. |
Πεδίο εφαρμογής επιπτώσεων
Όλες οι συσκευές Windows με ενεργοποιημένη την προστασία ασφαλούς εκκίνησης επηρεάζονται από το BlackLotus bootkit. Διατίθενται μετριασμούς για τις υποστηριζόμενες εκδόσεις των Windows. Για την πλήρη λίστα, ανατρέξτε στο CVE-2023-24932.
Κατανόηση των κινδύνων
Κίνδυνος λογισμικού κακόβουλης λειτουργίας: Για να είναι δυνατή η εκμετάλλευση εκμετάλλευσης blackLotus UEFI bootkit που περιγράφεται σε αυτό το άρθρο, ένας εισβολέας πρέπει να αποκτήσει δικαιώματα διαχείρισης σε μια συσκευή ή να αποκτήσει φυσική πρόσβαση στη συσκευή. Αυτό μπορεί να γίνει με πρόσβαση στη συσκευή φυσικά ή απομακρυσμένα, όπως χρησιμοποιώντας έναν υπερεπόπτη για πρόσβαση σε εικονικές συσκευές/cloud. Ένας εισβολέας συνήθως χρησιμοποιεί αυτή την ευπάθεια για να συνεχίσει να ελέγχει μια συσκευή στην οποία μπορεί ήδη να έχει πρόσβαση και ενδεχομένως να χειρίζεται. Οι μετριασμούς σε αυτό το άρθρο είναι προληπτικοί και όχι διορθωτικοί. Αν η συσκευή σας έχει ήδη παραβιαστεί, επικοινωνήστε με τον πάροχο ασφάλειας για βοήθεια.
Μέσα αποκατάστασης: Αν αντιμετωπίσετε πρόβλημα με τη συσκευή μετά την εφαρμογή των μετριασμών και η συσκευή γίνει μη εκκίνηση, ενδέχεται να μην μπορείτε να εκκινήσετε ή να ανακτήσετε τη συσκευή σας από υπάρχον μέσο. Η αποκατάσταση ή η εγκατάσταση μέσου θα πρέπει να ενημερωθεί, ώστε να λειτουργεί με μια συσκευή στην οποία εφαρμόζονται οι μετριασμούς.
Προβλήματα υλικολογισμικού: Όταν τα Windows εφαρμόζουν τους μετριασμούς που περιγράφονται σε αυτό το άρθρο, πρέπει να βασίζονται στο υλικολογισμικό UEFI της συσκευής για την ενημέρωση των τιμών ασφαλούς εκκίνησης (οι ενημερώσεις εφαρμόζονται στο κλειδί βάσης δεδομένων (DB) και το κλειδί απαγορευμένης υπογραφής (DBX)). Σε ορισμένες περιπτώσεις, έχουμε εμπειρία με συσκευές που αποτυγχάνουν στις ενημερώσεις. Συνεργαζόμαστε με κατασκευαστές συσκευών, για να δοκιμάσουμε αυτές τις βασικές ενημερώσεις σε όσο το δυνατόν περισσότερες συσκευές.
ΣΗΜΕΊΩΣΗ Δοκιμάστε πρώτα αυτούς τους μετριασμούς σε μία μόνο συσκευή ανά κλάση συσκευής στο περιβάλλον σας, για να εντοπίσετε πιθανά προβλήματα υλικολογισμικού. Μην αναπτύσσετε ευρέως προτού επιβεβαιώσετε ότι αξιολογήθηκαν όλες οι κατηγορίες συσκευών στο περιβάλλον σας.
Αποκατάσταση BitLocker: Ορισμένες συσκευές ενδέχεται να μεταβούν σε αποκατάσταση BitLocker. Φροντίστε να διατηρήσετε ένα αντίγραφο του κλειδιού αποκατάστασης BitLocker προτού ενεργοποιήσετε τους μετριασμούς.
Γνωστά προβλήματα
Προβλήματα υλικολογισμικού:Το υλικολογισμικό της συσκευής δεν θα ενημερώσει με επιτυχία το Secure Boot DB ή το DBX. Στις περιπτώσεις που γνωρίζουμε, έχουμε αναφέρει το πρόβλημα στον κατασκευαστή της συσκευής. Ανατρέξτε στο θέμα KB5016061: Συμβάντα μεταβλητής ενημέρωσης Ασφαλούς εκκίνησης DB και DBX για λεπτομέρειες σχετικά με τα καταγεγραμμένα συμβάντα. Επικοινωνήστε με τον κατασκευαστή της συσκευής για ενημερώσεις υλικολογισμικού. Αν η συσκευή δεν υποστηρίζεται, η Microsoft συνιστά την αναβάθμιση της συσκευής.
Γνωστά προβλήματα υλικολογισμικού:
ΣΗΜΕΊΩΣΗ Τα ακόλουθα γνωστά ζητήματα δεν επηρεάζουν και δεν θα αποτρέψουν την εγκατάσταση των ενημερώσεων της 9ης Απριλίου 2024. Στις περισσότερες περιπτώσεις, οι μετριασμούς δεν θα ισχύουν όταν υπάρχουν γνωστά ζητήματα. Δείτε λεπτομέρειες που εμφανίζονται σε κάθε γνωστό πρόβλημα.
-
HP: Η HP εντόπισε ένα πρόβλημα με την εγκατάσταση μετριασμού σε υπολογιστές HP Z4G4 Workstation και θα κυκλοφορήσει ένα ενημερωμένο υλικολογισμικό Z4G4 UEFI (BIOS) τις επόμενες εβδομάδες. Για να διασφαλιστεί η επιτυχής εγκατάσταση του μετριασμού, θα αποκλειστεί σε σταθμούς εργασίας desktop μέχρι να γίνει διαθέσιμη η ενημέρωση. Οι πελάτες θα πρέπει πάντα να κάνουν ενημέρωση στο πιο πρόσφατο BIOS συστήματος πριν να εφαρμόσουν τον μετριασμό.
-
Συσκευές HP με ασφάλεια Sure Start: Αυτές οι συσκευές χρειάζονται τις πιο πρόσφατες ενημερώσεις υλικολογισμικού από την HP για την εγκατάσταση των μετριασμών. Οι μετριασμούς αποκλείονται μέχρι να ενημερωθεί το υλικολογισμικό. Εγκαταστήστε την πιο πρόσφατη ενημέρωση υλικολογισμικού από τη σελίδα υποστήριξης των HP — Επίσημη λήψη προγραμμάτων οδήγησης και λογισμικού HP | Υποστήριξη της HP.
-
Συσκευές που βασίζονται σε Arm64: Οι μετριασμούς αποκλείονται λόγω γνωστών προβλημάτων υλικολογισμικού UEFI με συσκευές που βασίζονται στην Qualcomm. Η Microsoft συνεργάζεται με την Qualcomm για την αντιμετώπιση αυτού του προβλήματος. Η Qualcomm θα παρέχει την επιδιόρθωση στους κατασκευαστές συσκευών. Επικοινωνήστε με τον κατασκευαστή της συσκευής σας, για να προσδιορίσετε αν υπάρχει διαθέσιμη κάποια επιδιόρθωση για αυτό το πρόβλημα. Η Microsoft θα προσθέσει εντοπισμό για να επιτρέψει την εφαρμογή των μετριασμών σε συσκευές, όταν εντοπιστεί το σταθερό υλικολογισμικό. Αν η συσκευή σας που βασίζεται σε Arm64 δεν διαθέτει υλικολογισμικό Qualcomm, ρυθμίστε τις παραμέτρους του παρακάτω κλειδιού μητρώου για να ενεργοποιήσετε τους μετριασμούς.
Δευτερεύον κλειδί μητρώου
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Όνομα τιμής κλειδιού
SkipDeviceCheck
Τύπος δεδομένων
REG_DWORD
Δεδομένα
1
-
Apple:Υπολογιστές Mac με chip ασφαλείας Apple T2 υποστηρίζουν ασφαλή εκκίνηση. Ωστόσο, η ενημέρωση των μεταβλητών που σχετίζονται με την ασφάλεια UEFI είναι διαθέσιμη μόνο ως μέρος των ενημερώσεων του macOS. Οι χρήστες του Boot Camp αναμένεται να δουν μια καταχώρηση αρχείου καταγραφής συμβάντων του Αναγνωριστικού συμβάντος 1795 στα Windows που σχετίζεται με αυτές τις μεταβλητές. Για περισσότερες πληροφορίες σχετικά με αυτή την καταχώρηση αρχείου καταγραφής, ανατρέξτε στο θέμα KB5016061: Ασφαλής εκκίνηση DB και συμβάντα μεταβλητής ενημέρωσης DBX.
-
Vmware:Σε περιβάλλοντα αναπαράστασης που βασίζονται σε VMware, μια εικονική μηχανή που χρησιμοποιεί επεξεργαστή x86 με ενεργοποιημένη την Ασφαλή εκκίνηση δεν εκκινείται μετά την εφαρμογή των μετριασμών. Η Microsoft συνεργάζεται με την VMware για την αντιμετώπιση αυτού του προβλήματος.
-
Συστήματα που βασίζονται σε TPM 2.0: Αυτά τα συστήματα που εκτελούν windows server 2012 και Windows Server 2012 R2 δεν μπορούν να αναπτύξουν τους μετριασμούς που κυκλοφόρησαν στην ενημέρωση ασφαλείας της 9ης Απριλίου 2024 λόγω γνωστών ζητημάτων συμβατότητας με μετρήσεις TPM. Οι ενημερώσεις ασφαλείας της 9ης Απριλίου 2024 θα αποκλείσουν τους μετριασμούς #2 (διαχείριση εκκίνησης) και #3 (ενημέρωση DBX) στα επηρεαζόμενα συστήματα.
Η Microsoft γνωρίζει το πρόβλημα και στο μέλλον θα κυκλοφορήσει μια ενημέρωση για την άρση αποκλεισμού των συστημάτων που βασίζονται στην TPM 2.0.
Για να ελέγξετε την έκδοση TPM, κάντε δεξί κλικ στην Έναρξη, κάντε κλικ στην επιλογή Εκτέλεση και, στη συνέχεια, πληκτρολογήστε tpm.msc. Στην κάτω δεξιά γωνία του κεντρικού παραθύρου στην περιοχή Πληροφορίες κατασκευαστή TPM, θα πρέπει να δείτε μια τιμή για την Έκδοση προδιαγραφής. -
Κρυπτογράφηση τελικού σημείου Symantec: Οι μετριασμούς ασφαλούς εκκίνησης δεν μπορούν να εφαρμοστούν σε συστήματα που έχουν εγκαταστήσει την κρυπτογράφηση τελικού σημείου Symantec. Η Microsoft και η Symantec γνωρίζουν το πρόβλημα και θα αντιμετωπιστούν σε μελλοντική ενημέρωση.
Οδηγίες για αυτήν την έκδοση
Για αυτήν την έκδοση, ακολουθήστε αυτά τα δύο βήματα.
Βήμα 1: Εγκατάσταση της ενημέρωσης
ασφαλείας των Windows
Εγκαταστήστε τη μηνιαία ενημέρωση ασφαλείας των Windows που κυκλοφόρησε στις ή μετά τις 9 Απριλίου 2024, σε υποστηριζόμενες συσκευές Windows. Αυτές οι ενημερώσεις περιλαμβάνουν μετριασμούς για το CVE-2023-24932, αλλά δεν είναι ενεργοποιημένα από προεπιλογή. Όλες οι συσκευές Windows θα πρέπει να ολοκληρώσουν αυτό το βήμα είτε σκοπεύετε να αναπτύξετε τους μετριασμούς είτε όχι.
Βήμα 2: Αξιολόγηση των αλλαγών
Σας ενθαρρύνουμε να κάνετε τα εξής:
-
Κατανοήστε τους δύο πρώτους μετριασμούς που επιτρέπουν την ενημέρωση του Secure Boot DB και την ενημέρωση του προγράμματος διαχείρισης εκκίνησης.
-
Ελέγξτε το ενημερωμένο χρονοδιάγραμμα.
-
Ξεκινήστε τη δοκιμή των δύο πρώτων μετριασμάτων σε αντιπροσωπευτικές συσκευές από το περιβάλλον σας.
-
Ξεκινήστε τον σχεδιασμό για τη φάση ανάπτυξης στις 9 Ιουλίου 2024.
Βήμα 3: Επιβολή των αλλαγών
Σας ενθαρρύνουμε να κατανοήσετε τους κινδύνους που αναφέρονται στην ενότητα Κατανόηση των κινδύνων.
-
Κατανοήστε τις επιπτώσεις στην αποκατάσταση και άλλα μέσα με δυνατότητα εκκίνησης.
-
Ξεκινήστε τη δοκιμή του τρίτου μετριασμού που δεν εμπιστεύεται το πιστοποιητικό υπογραφής που χρησιμοποιείται για όλους τους προηγούμενους διαχειριστές εκκίνησης των Windows.
Οδηγίες ανάπτυξης μετριασμού
Πριν ακολουθήσετε αυτά τα βήματα για την εφαρμογή των μετριασμών, εγκαταστήστε τη μηνιαία ενημέρωση συντήρησης των Windows που κυκλοφόρησε στις ή μετά τις 9 Απριλίου 2024 σε υποστηριζόμενες συσκευές Windows. Αυτή η ενημέρωση περιλαμβάνει μετριασμούς για το CVE-2023-24932, αλλά δεν είναι ενεργοποιημένα από προεπιλογή. Όλες οι συσκευές Windows θα πρέπει να ολοκληρώσουν αυτό το βήμα ανεξάρτητα από το σχέδιό σας για την ενεργοποίηση των μετριασμάτων.
ΣΗΜΕΊΩΣΗ Αν χρησιμοποιείτε το BitLocker, βεβαιωθείτε ότι έχει δημιουργηθεί αντίγραφο ασφαλείας για το κλειδί αποκατάστασης BitLocker. Μπορείτε να εκτελέσετε την ακόλουθη εντολή από μια γραμμή εντολών διαχειριστή και να σημειώσετε τον αριθμητικό κωδικό πρόσβασης 48 ψηφίων:
manage-bde -protectors -get %systemdrive%
Για να αναπτύξετε την ενημέρωση και να εφαρμόσετε τις ανακλήσεις, ακολουθήστε τα παρακάτω βήματα:
-
Εγκαταστήστε τους ενημερωμένους ορισμούς πιστοποιητικών στο DB.
Αυτό το βήμα θα προσθέσει το πιστοποιητικό "Windows UEFI CA 2023" στη "Βάση δεδομένων υπογραφής ασφαλούς εκκίνησης" (DB) του UEFI. Με την προσθήκη αυτού του πιστοποιητικού στο DB, το υλικολογισμικό της συσκευής θα θεωρεί αξιόπιστες τις εφαρμογές εκκίνησης που είναι υπογεγραμμένες από αυτό το πιστοποιητικό.
-
Ανοίξτε μια γραμμή εντολών διαχειριστή και ορίστε το κλειδί μητρώου για την εκτέλεση της ενημέρωσης σε DB, πληκτρολογώντας την ακόλουθη εντολή:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
ΣΗΜΑΝΤΙΚΌ Επανεκκινήστε τη συσκευή δύο φορές για να ολοκληρώσετε την εγκατάσταση της ενημέρωσης προτού προχωρήσετε στα βήματα 2 και 3.
-
Εκτελέστε την ακόλουθη εντολή του PowerShell ως διαχειριστής και βεβαιωθείτε ότι το DB έχει ενημερωθεί με επιτυχία. Αυτή η εντολή θα πρέπει να επιστρέψει την τιμή True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Ενημερώστε τη Διαχείριση εκκίνησης στη συσκευή σας.
Αυτό το βήμα θα εγκαταστήσει μια εφαρμογή διαχείρισης εκκίνησης στη συσκευή σας, η οποία είναι υπογεγραμμένη με το πιστοποιητικό "Windows UEFI CA 2023".
-
Ανοίξτε μια γραμμή εντολών διαχειριστή και ορίστε το κλειδί μητρώου για να εγκαταστήσετε τη διαχείριση εκκίνησης με υπογραφή "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Επανεκκινήστε τη συσκευή δύο φορές.
-
Ως διαχειριστής, τοποθετήστε το διαμέρισμα EFI για να το προετοιμάσετε για έλεγχο:
mountvol s: /s
-
Επαληθεύστε ότι το αρχείο "s:\efi\microsoft\boot\bootmgfw.efi" είναι υπογεγραμμένο από το πιστοποιητικό "Windows UEFI CA 2023". Για να το κάνετε αυτό, ακολουθήστε αυτά τα βήματα:
-
Κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστεγραμμή εντολών στο πλαίσιο Αναζήτηση και, στη συνέχεια, κάντε κλικ στην επιλογή Γραμμή εντολών.
-
Στο παράθυρο γραμμής εντολών , πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πατήστε το πλήκτρο Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Στη Διαχείριση αρχείων, κάντε δεξί κλικ στο αρχείο C:\bootmgfw_2023.efi, κάντε κλικ στην επιλογή Ιδιότητες και, στη συνέχεια, επιλέξτε την καρτέλα Ψηφιακές υπογραφές .
-
Στη λίστα Υπογραφή, επιβεβαιώστε ότι η αλυσίδα πιστοποιητικών περιλαμβάνει το Windows UEFI CA 2023. Η αλυσίδα πιστοποιητικών θα πρέπει να συμφωνεί με το ακόλουθο στιγμιότυπο οθόνης:
-
-
-
Ενεργοποιήστε την ανάκληση.
Η Απαγορευμένη λίστα UEFI (DBX) χρησιμοποιείται για τον αποκλεισμό μη αξιόπιστων λειτουργικών μονάδων UEFI από τη φόρτωση. Σε αυτό το βήμα, η ενημέρωση του DBX θα προσθέσει το πιστοποιητικό "Windows Production CA 2011" στο DBX. Αυτό θα έχει ως αποτέλεσμα όλοι οι διαχειριστές εκκίνησης που έχουν υπογραφεί από αυτό το πιστοποιητικό να μην θεωρούνται πλέον αξιόπιστοι.
ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Πριν από την εφαρμογή της τρίτης λύσης, δημιουργήστε μια μονάδα flash αποκατάστασης που μπορεί να χρησιμοποιηθεί για την εκκίνηση του συστήματος. Για πληροφορίες σχετικά με το πώς να το κάνετε αυτό, ανατρέξτε στην ενότητα Ενημέρωση πολυμέσων εγκατάστασης των Windows.
Αν το σύστημά σας μεταβεί σε κατάσταση μη εκκίνησης, ακολουθήστε τα βήματα στην ενότητα Διαδικασία αποκατάστασης για να επαναφέρετε τη συσκευή σε κατάσταση προ-ανάκλησης.
-
Προσθέστε το πιστοποιητικό "Windows Production PCA 2011" στη Λίστα απαγορευμένων δικαιωμάτων Ασφαλούς εκκίνησης UEFI (DBX). Για να το κάνετε αυτό, ανοίξτε ένα παράθυρο γραμμής εντολών ως διαχειριστής, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πατήστε το πλήκτρο Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Επανεκκινήστε τη συσκευή δύο φορές και επιβεβαιώστε ότι έχει επανεκκινηθεί πλήρως.
-
Επαληθεύστε ότι η λίστα εγκατάστασης και ανάκλησης εφαρμόστηκε με επιτυχία αναζητώντας το συμβάν 1037 στο αρχείο καταγραφής συμβάντων.
Για πληροφορίες σχετικά με το Συμβάν 1037, ανατρέξτε στο θέμα KB5016061: Ασφαλής εκκίνηση DB και συμβάντα μεταβλητής ενημέρωσης DBX. Εναλλακτικά, εκτελέστε την ακόλουθη εντολή PowerShell ως Διαχειριστής και βεβαιωθείτε ότι επιστρέφει την τιμή True:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Πολυμέσα με δυνατότητα εκκίνησης
Θα είναι σημαντικό να ενημερώσετε τα μέσα με δυνατότητα εκκίνησης μόλις ξεκινήσει η φάση ανάπτυξης στο περιβάλλον σας. Οδηγίες και εργαλεία για την ενημέρωση των πολυμέσων θα παρασχεθούν εγκαίρως για τη φάση ανάπτυξης. Η φάση ανάπτυξης έχει προγραμματιστεί να ξεκινήσει στις 9 Ιουλίου 2024.
Παραδείγματα μέσων με δυνατότητα εκκίνησης και μέσων αποκατάστασης που επηρεάζονται από αυτό το πρόβλημα:
-
Μέσο με δυνατότητα εκκίνησης που δημιουργήθηκε με χρήση της δυνατότητας Δημιουργία μονάδας δίσκου αποκατάστασης.
-
Αντίγραφα ασφαλείας των Windows τα οποία έχουν εικονιστεί πριν από την εφαρμογή των μετριασμάτων. Δεν θα είναι δυνατή η απευθείας χρήση τους για την επαναφορά της εγκατάστασης των Windows μετά την ενεργοποίηση των ανάκλησης στη συσκευή σας.
-
Προσαρμοσμένο CD/DVD ή διαμέρισμα αποκατάστασης που δημιουργήθηκε από εσάς, τον κατασκευαστή της συσκευής σας (OEM) ή τις επιχειρήσεις.
-
ISO (μέσω λήψης ή με χρήση του ADK).
-
Εκκίνηση δικτύου:
-
Υπηρεσίες ανάπτυξης των Windows.
-
Υπηρεσίες εκκίνησης περιβάλλοντος εκτέλεσης πριν από την εκκίνηση (υπηρεσίες εκκίνησης PXE).
-
Κιτ εργαλείων ανάπτυξης της Microsoft.
-
Εκκίνηση HTTPS.
-
-
Μέσα εγκατάστασης και αποκατάστασης OEM.
-
Επίσημα πολυμέσα windows από τη Microsoft, συμπεριλαμβανομένων των εξής:
-
Μέσα λιανικής πώλησης.
-
Εργαλείο δημιουργίας μέσου (μονάδα δίσκου ISO ή USB).
-
μονάδα USB.
-
-
Windows PE.
-
Windows εγκατεστημένα σε φυσικό υλικό ή εικονικές μηχανές.
Αν χρησιμοποιείτε ένα μέσο με δυνατότητα εκκίνησης με μια προσωπική συσκευή Windows, ίσως χρειαστεί να κάνετε ένα ή περισσότερα από τα εξής πριν να εφαρμόσετε ανακλήσεις:
-
Αν χρησιμοποιείτε προσωπικό λογισμικό δημιουργίας αντιγράφων ασφαλείας για να αποθηκεύσετε τα περιεχόμενα της συσκευής σας, φροντίστε να εκτελέσετε ένα πλήρες αντίγραφο ασφαλείας μετά την εφαρμογή των μετριασμάτων της 9ης Απριλίου 2024.
-
Αν χρησιμοποιείτε ένα είδωλο δίσκου (ISO) με δυνατότητα εκκίνησης, cd-ROM ή μέσο DVD, ενημερώστε το μέσο ακολουθώντας τις οδηγίες που παρέχονται σε μεταγενέστερη ημερομηνία.
Εταιρεία
-
Δείτε ολοκληρωμένες οδηγίες και δέσμες ενεργειών για την Ενημέρωση μέσου εγκατάστασης των Windows με το Dynamic Update.
-
Αν υποστηρίζετε σενάρια εκκίνησης ή αποκατάστασης δικτύου στο περιβάλλον σας, θα πρέπει να ενημερώσετε όλα τα πολυμέσα και τα είδωλα. Αυτό μπορεί να περιλαμβάνει τις ακόλουθες επιλογές εκκίνησης ή αποκατάστασης:
-
Κιτ εργαλείων ανάπτυξης της Microsoft.
-
Microsoft Endpoint Configuration Manager.
-
Υπηρεσίες ανάπτυξης των Windows.
-
PxE Boot.
-
Σενάρια εκκίνησης HTTPS και άλλα σενάρια εκκίνησης δικτύου.
-
-
Ένας τρόπος για να το κάνετε αυτό είναι να χρησιμοποιήσετε την εγκατάσταση πακέτων χωρίς σύνδεση DISM στις εικόνες που εξυπηρετούνται από αυτά τα σενάρια. Αυτό περιλαμβάνει την ενημέρωση των αρχείων εκκίνησης που προσφέρονται από αυτές τις υπηρεσίες.
-
Αν χρησιμοποιείτε λογισμικό δημιουργίας αντιγράφων ασφαλείας για να αποθηκεύσετε τα περιεχόμενα της εγκατάστασης των Windows σε ένα είδωλο αποκατάστασης, φροντίστε να εκτελέσετε ένα πλήρες αντίγραφο ασφαλείας μετά την εφαρμογή των μετριασμάτων της 9ης Απριλίου 2024. Φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας του διαμερίσματος δίσκου EFI εκτός από το διαμέρισμα του λειτουργικού συστήματος Windows. Προσδιορίστε με σαφήνεια τα αντίγραφα ασφαλείας που έγιναν πριν από την εφαρμογή των μετριασμάτων της 9ης Απριλίου 2024 έναντι εκείνων που πραγματοποιήθηκαν μετά την εφαρμογή των μετριασμάτων.
OEM υπολογιστή Windows
-
Δείτε ολοκληρωμένες οδηγίες και δέσμες ενεργειών για την Ενημέρωση μέσου εγκατάστασης των Windows με το Dynamic Update.
Ενημέρωση μέσου εγκατάστασης των Windows
ΣΗΜΕΊΩΣΗ Κατά τη δημιουργία μιας μονάδας flash με δυνατότητα εκκίνησης, φροντίστε να μορφοποιήσετε τη μονάδα δίσκου χρησιμοποιώντας το σύστημα αρχείων FAT32.
Μπορείτε να χρησιμοποιήσετε την εφαρμογή Create Recovery Drive ακολουθώντας αυτά τα βήματα. Αυτό το μέσο μπορεί να χρησιμοποιηθεί για την επανεγκατάσταση μιας συσκευής σε περίπτωση που υπάρχει κάποιο σημαντικό πρόβλημα, όπως μια αποτυχία υλικού, θα μπορείτε να χρησιμοποιήσετε τη μονάδα δίσκου αποκατάστασης για να επανεγκαταστήσετε τα Windows.
-
Μεταβείτε σε μια συσκευή όπου έχουν εφαρμοστεί οι ενημερώσεις της 9ης Απριλίου 2024 και το πρώτο βήμα μετριασμού (ενημέρωση της Ασφαλούς εκκίνησης DB).
-
Από το μενού "Έναρξη", κάντε αναζήτηση για βοηθητική εφαρμογή του πίνακα ελέγχου "Δημιουργία μονάδας δίσκου αποκατάστασης" και ακολουθήστε τις οδηγίες για να δημιουργήσετε μια μονάδα δίσκου αποκατάστασης.
-
Με τη μονάδα flash που μόλις δημιουργήσατε τοποθετημένη (για παράδειγμα, ως μονάδα δίσκου "D:"), εκτελέστε τις ακόλουθες εντολές ως διαχειριστής. Πληκτρολογήστε καθεμία από τις ακόλουθες εντολές και, στη συνέχεια, πατήστε το πλήκτρο Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Αν διαχειρίζεστε μέσα με δυνατότητα εγκατάστασης στο περιβάλλον σας χρησιμοποιώντας το μέσο εγκατάστασης του Update των Windows με οδηγίες για το Dynamic Update , ακολουθήστε τα παρακάτω βήματα. Αυτά τα πρόσθετα βήματα θα δημιουργήσουν μια μονάδα flash με δυνατότητα εκκίνησης που χρησιμοποιεί αρχεία εκκίνησης υπογεγραμμένα από το πιστοποιητικό υπογραφής "Windows UEFI CA 2023".
-
Μεταβείτε σε μια συσκευή όπου έχει εφαρμοστεί η ενημέρωση της 9ης Απριλίου 2024 και το πρώτο βήμα μετριασμού (ενημέρωση της Ασφαλούς εκκίνησης DB).
-
Ακολουθήστε τα βήματα στην παρακάτω σύνδεση για να δημιουργήσετε πολυμέσα με ενημερώσεις της 9ης Απριλίου 2024. Ενημέρωση μέσου εγκατάστασης των Windows με τη Δυναμική ενημέρωση
-
Τοποθετήστε τα περιεχόμενα του μέσου σε μια μονάδα USB και τοποθετήστε τη μονάδα δίσκου ως γράμμα μονάδας δίσκου. Για παράδειγμα, μοντάρισμα της μονάδας δίσκου ως "D:".
-
Εκτελέστε τις ακόλουθες εντολές από ένα παράθυρο εντολών ως διαχειριστής. Πληκτρολογήστε καθεμία από τις ακόλουθες εντολές και, στη συνέχεια, πατήστε το πλήκτρο Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Αν στις προεπιλεγμένες ρυθμίσεις έχει γίνει επαναφορά των ρυθμίσεων Ασφαλούς εκκίνησης σε μια συσκευή μετά την εφαρμογή των μετριασμάτων, η συσκευή δεν θα εκκινείται. Για την επίλυση αυτού του προβλήματος, περιλαμβάνεται μια εφαρμογή επιδιόρθωσης με τις ενημερώσεις της 9ης Απριλίου 2024 που μπορούν να χρησιμοποιηθούν για την εκ νέου εφαρμογή του πιστοποιητικού "Windows UEFI CA 2023" στο DB (μετριασμός #1).
ΣΗΜΕΊΩΣΗ Μην χρησιμοποιείτε αυτήν την εφαρμογή επιδιόρθωσης σε μια συσκευή ή σύστημα που περιγράφεται στην ενότητα "Γνωστά ζητήματα" .
-
Μεταβείτε σε μια συσκευή όπου έχουν εφαρμοστεί οι ενημερώσεις της 9ης Απριλίου 2024.
-
Σε ένα παράθυρο εντολών, αντιγράψτε την εφαρμογή αποκατάστασης στη μονάδα flash χρησιμοποιώντας τις ακόλουθες εντολές (με την προϋπόθεση ότι η μονάδα flash είναι η μονάδα δίσκου "D:"). Πληκτρολογήστε κάθε εντολή ξεχωριστά και, στη συνέχεια, πατήστε το πλήκτρο Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
Στη συσκευή στην οποία έχουν γίνει επαναφορά των ρυθμίσεων Ασφαλούς εκκίνησης στις προεπιλογές, εισαγάγετε τη μονάδα flash, επανεκκινήστε τη συσκευή και εκκινήστε τη από τη μονάδα flash.
Χρονισμός ενημερώσεων
Ενημερώσεις κυκλοφορούν ως εξής:
-
Αρχική ανάπτυξη Αυτή η φάση ξεκίνησε με ενημερώσεις που κυκλοφόρησαν στις 9 Μαΐου 2023 και παρείχε βασικούς μετριασμούς με μη αυτόματα βήματα για την ενεργοποίηση αυτών των μετριασμών.
-
Δεύτερη ανάπτυξη Αυτή η φάση ξεκίνησε με ενημερώσεις που κυκλοφόρησαν στις 11 Ιουλίου 2023, οι οποίες πρόσθεσαν απλοποιημένα βήματα για την ενεργοποίηση των μετριασμών για το πρόβλημα.
-
Φάση αξιολόγησης Αυτή η φάση θα ξεκινήσει στις 9 Απριλίου 2024 και θα προσθέσει επιπλέον μετριασμούς διαχείρισης εκκίνησης.
-
Φάση τελικής ανάπτυξης Τότε θα ενθαρρύνουμε όλους τους πελάτες να αρχίσουν να αναπτύσσουν τους μετριασμούς και να ενημερώνουν τα μέσα ενημέρωσης.
-
Φάση επιβολής Η φάση επιβολής που θα καταστήσει μόνιμους τους μετριασμούς. Η ημερομηνία για αυτή τη φάση θα ανακοινωθεί σε μεταγενέστερη ημερομηνία.
Σημείωση Το χρονοδιάγραμμα κυκλοφορίας μπορεί να αναθεωρηθεί ανάλογα με τις ανάγκες.
Αυτή η φάση έχει αντικατασταθεί από τις ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024.
Αυτή η φάση έχει αντικατασταθεί από τις ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024.
Με αυτήν τη φάση, σας ζητούμε να ελέγξετε αυτές τις αλλαγές στο περιβάλλον σας για να βεβαιωθείτε ότι οι αλλαγές λειτουργούν σωστά με αντιπροσωπευτικά δείγματα συσκευών και για να έχετε εμπειρία με τις αλλαγές.
ΣΗΜΕΊΩΣΗ Αντί να προσπαθούμε να παραθέτουμε εξαντλητικά και να μην εμπιστευόμαστε τους ευάλωτους διαχειριστές εκκίνησης όπως κάναμε στις προηγούμενες φάσεις ανάπτυξης, προσθέτουμε το πιστοποιητικό υπογραφής "Windows Production PCA 2011" στη λίστα ασφαλούς εκκίνησης disallow list (DBX) για να μην θεωρούνται αξιόπιστοι όλοι οι διαχειριστές εκκίνησης που έχουν υπογραφεί από αυτό το πιστοποιητικό. Αυτή είναι μια πιο αξιόπιστη μέθοδος για να εξασφαλίσετε ότι όλοι οι προηγούμενοι διαχειριστές εκκίνησης δεν είναι αξιόπιστοι.
Ενημερώσεις για τα Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024, προσθέστε τα εξής:
-
Τρεις νέοι έλεγχοι μετριασμού που αντικαθιστούν τους μετριασμούς που κυκλοφόρησαν το 2023. Οι νέοι έλεγχοι μετριασμού είναι οι εξής:
-
Ένα στοιχείο ελέγχου για την ανάπτυξη του πιστοποιητικού "Windows UEFI CA 2023" στο Secure Boot DB για την προσθήκη αξιοπιστίας για διαχειριστές εκκίνησης των Windows που έχουν υπογραφεί από αυτό το πιστοποιητικό. Λάβετε υπόψη ότι το πιστοποιητικό "Windows UEFI CA 2023" ενδέχεται να έχει εγκατασταθεί από προηγούμενη ενημέρωση των Windows.
-
Ένα στοιχείο ελέγχου για την ανάπτυξη μιας διαχείρισης εκκίνησης υπογεγραμμένη από το πιστοποιητικό "Windows UEFI CA 2023".
-
Ένα στοιχείο ελέγχου για να προσθέσετε το "Windows Production PCA 2011" στην Ασφαλή εκκίνηση DBX, το οποίο θα αποκλείσει όλους τους διαχειριστές εκκίνησης των Windows που είναι υπογεγραμμένοι από αυτό το πιστοποιητικό.
-
-
Η δυνατότητα να ενεργοποιήσετε την ανάπτυξη μετριασμού σε στάδια ανεξάρτητα για να επιτρέψετε μεγαλύτερο έλεγχο στην ανάπτυξη των μετριασμάτων στο περιβάλλον σας με βάση τις ανάγκες σας.
-
Οι μετριασμούς ενσωματώνονται έτσι ώστε να μην μπορούν να αναπτυχθούν με εσφαλμένη σειρά.
-
Πρόσθετα συμβάντα για να γνωρίζετε την κατάσταση των συσκευών καθώς εφαρμόζουν τους μετριασμούς. Ανατρέξτε στο θέμα KB5016061: Συμβάντα ενημέρωσης μεταβλητών DB και DBX Ασφαλούς εκκίνησης για περισσότερες λεπτομέρειες σχετικά με τα συμβάντα.
Αυτή η φάση είναι η στιγμή που ενθαρρύνουμε τους πελάτες να αρχίσουν να αναπτύσσουν τους μετριασμούς και να διαχειρίζονται τυχόν ενημερώσεις πολυμέσων. Οι ενημερώσεις θα προσθέσουν τις ακόλουθες αλλαγές:
-
Οδηγίες και εργαλεία που θα βοηθήσουν στην ενημέρωση των μέσων ενημέρωσης.
-
Ενημερώθηκε ο αποκλεισμός DBX για την ανάκληση πρόσθετων διαχειριστών εκκίνησης.
Η φάση επιβολής θα είναι τουλάχιστον έξι μήνες μετά τη φάση ανάπτυξης. Όταν κυκλοφορήσουν ενημερώσεις για τη φάση επιβολής κυρώσεων, θα περιλαμβάνουν τα εξής:
-
Το πιστοποιητικό "Windows Production PCA 2011" θα ανακληθεί αυτόματα με την προσθήκη του στη Λίστα απαγορευμένων δικαιωμάτων Ασφαλούς εκκίνησης UEFI (DBX) σε συσκευές με δυνατότητα. Αυτές οι ενημερώσεις θα επιβάλλονται μέσω προγραμματισμού μετά την εγκατάσταση ενημερώσεων για τα Windows σε όλα τα συστήματα που επηρεάζονται χωρίς επιλογή απενεργοποίησης.
Σφάλματα αρχείου καταγραφής συμβάντων των Windows που σχετίζονται με το CVE-2023-24932
Οι καταχωρήσεις του αρχείου καταγραφής συμβάντων των Windows που σχετίζονται με την ενημέρωση των DB και DBX περιγράφονται λεπτομερώς στο KB5016061: Συμβάντα ασφαλούς εκκίνησης DB και μεταβλητής ενημέρωσης DBX.
Τα συμβάντα "επιτυχίας" που σχετίζονται με την εφαρμογή των μετριασμάτων παρατίθενται στον παρακάτω πίνακα.
|
Βήμα μετριασμού |
Αναγνωριστικό συμβάντος |
Σημειώσεις |
|
Εφαρμογή της ενημέρωσης DB |
1036 |
Το πιστοποιητικό PCA2023 προστέθηκε στο DB. |
|
Ενημέρωση της διαχείρισης εκκίνησης |
1799 |
Εφαρμόστηκε η PCA2023 διαχείρισης εκκίνησης με υπογραφή. |
|
Εφαρμογή της ενημέρωσης DBX |
1037 |
Η ενημέρωση DBX που δεν εμπιστεύεται το πιστοποιητικό υπογραφής PCA2011 εφαρμόστηκε. |
Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)
-
Ανατρέξτε στην ενότητα Διαδικασία αποκατάστασης για να ανακτήσετε τη συσκευή.
-
Ακολουθήστε τις οδηγίες στην ενότητα Αντιμετώπιση προβλημάτων εκκίνησης .
Ενημερώστε όλα τα λειτουργικά συστήματα Windows με ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024, πριν να εφαρμόσετε τις ανακλήσεις. Ενδέχεται να μην είναι δυνατή η εκκίνηση οποιασδήποτε έκδοσης των Windows που δεν έχει ενημερωθεί σε τουλάχιστον ενημερώσεις που κυκλοφόρησαν στις 9 Απριλίου 2024 μετά την εφαρμογή των ανάκλησης. Ακολουθήστε τις οδηγίες στην ενότητα Αντιμετώπιση προβλημάτων εκκίνησης .
Ανατρέξτε στην ενότητα Αντιμετώπιση προβλημάτων εκκίνησης .
Αντιμετώπιση προβλημάτων εκκίνησης
Μετά την εφαρμογή και των τριών μετριασμών, το υλικολογισμικό της συσκευής δεν θα εκκινείται χρησιμοποιώντας μια διαχείριση εκκίνησης υπογεγραμμένη από το Windows Production PCA 2011. Οι αποτυχίες εκκίνησης που αναφέρονται από το υλικολογισμικό αφορούν συγκεκριμένες συσκευές. Ανατρέξτε στην ενότητα Διαδικασία αποκατάστασης .
Διαδικασία αποκατάστασης
Αν κάτι δεν πάει καλά κατά την εφαρμογή των μετριασμάτων και δεν μπορείτε να εκκινήσετε τη συσκευή σας ή πρέπει να ξεκινήσετε από εξωτερικά μέσα (όπως μια μονάδα flash ή μια εκκίνηση PXE), δοκιμάστε τις ακόλουθες προτάσεις:
-
Απενεργοποιήστε την Ασφαλή εκκίνηση.
Αυτή η διαδικασία διαφέρει μεταξύ των κατασκευαστών συσκευών και των μοντέλων. Εισαγάγετε το μενού UEFI BIOS των συσκευών σας, μεταβείτε στις ρυθμίσεις Ασφαλούς εκκίνησης και απενεργοποιήστε το. Ελέγξτε την τεκμηρίωση από τον κατασκευαστή της συσκευής σας για λεπτομέρειες σχετικά με αυτήν τη διαδικασία. Μπορείτε να βρείτε περισσότερες λεπτομέρειες στην ενότητα Απενεργοποίηση ασφαλούς εκκίνησης. -
Επαναφέρετε τα κλειδιά ασφαλούς εκκίνησης στις εργοστασιακές προεπιλογές.
Αν η συσκευή υποστηρίζει επαναφορά των κλειδιών ασφαλούς εκκίνησης στις εργοστασιακές προεπιλογές, εκτελέστε αυτήν την ενέργεια τώρα.
ΣΗΜΕΊΩΣΗ Ορισμένοι κατασκευαστές συσκευών έχουν και την επιλογή "Απαλοιφή" και την επιλογή "Επαναφορά" για τις μεταβλητές Ασφαλούς εκκίνησης, οπότε θα πρέπει να χρησιμοποιείται η επιλογή "Επαναφορά". Ο στόχος είναι να επαναφέρετε τις μεταβλητές Ασφαλούς εκκίνησης στις προεπιλεγμένες τιμές των κατασκευαστών.
Η συσκευή σας θα πρέπει να εκκινείται τώρα, αλλά λάβετε υπόψη ότι είναι ευάλωτη σε λογισμικό κακόβουλης λειτουργίας boot-kit. Φροντίστε να ολοκληρώσετε το βήμα 5 αυτής της διαδικασίας αποκατάστασης για να ενεργοποιήσετε ξανά την Ασφαλή εκκίνηση.
-
Δοκιμάστε να εκκινήσετε τα Windows από το δίσκο συστήματος.
-
Συνδεθείτε στα Windows.
-
Εκτελέστε τις ακόλουθες εντολές από μια γραμμή εντολών διαχειριστή για να επαναφέρετε τα αρχεία εκκίνησης στο διαμέρισμα εκκίνησης συστήματος EFI. Πληκτρολογήστε κάθε εντολή ξεχωριστά και, στη συνέχεια, πατήστε το πλήκτρο Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
Η εκτέλεση του BCDBoot επιστρέφει "Τα αρχεία εκκίνησης δημιουργήθηκαν με επιτυχία". Αφού εμφανιστεί αυτό το μήνυμα, επανεκκινήστε τη συσκευή ξανά στα Windows.
-
-
Αν το Βήμα 3 δεν ανακτήσει με επιτυχία τη συσκευή, επανεγκαταστήστε τα Windows.
-
Εκκινήστε τη συσκευή από το υπάρχον μέσο αποκατάστασης.
-
Προχωρήστε στην εγκατάσταση των Windows χρησιμοποιώντας το μέσο αποκατάστασης.
-
Συνδεθείτε στα Windows.
-
Επανεκκινήστε τα Windows, για να βεβαιωθείτε ότι η συσκευή θα επανεκκινηθεί στα Windows.
-
-
Ενεργοποιήστε ξανά την Ασφαλή εκκίνηση και επανεκκινήστε τη συσκευή.
Πληκτρολογήστε το μενού UEFI της συσκευής, μεταβείτε στις ρυθμίσεις Ασφαλούς εκκίνησης και ενεργοποιήστε την. Ελέγξτε την τεκμηρίωση από τον κατασκευαστή της συσκευής σας για λεπτομέρειες σχετικά με αυτήν τη διαδικασία. Μπορείτε να βρείτε περισσότερες πληροφορίες στην ενότητα "Επανενεργή ασφαλής εκκίνηση".
Αναφορές
-
Οδηγίες για τη διερεύνηση επιθέσεων με χρήση του CVE-2022-21894: Η εκστρατεία του BlackLotus
-
Ενεργοποίηση ασφαλούς εκκίνησης σε εγγεγραμμένες συσκευές Windows
-
Για τα συμβάντα που δημιουργούνται κατά την εφαρμογή ενημερώσεων DBX, ανατρέξτε στο θέμα KB5016061: Αντιμετώπιση ευάλωτων και ανακλημένων διαχειριστών εκκίνησης.
Τα προϊόντα τρίτων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες από τη Microsoft. Δεν παρεχόμαστε καμία εγγύηση, έμμεση ή άλλη, σχετικά με την απόδοση ή την αξιοπιστία αυτών των προϊόντων.
Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.
|
Ημερομηνία αλλαγής |
Περιγραφή αλλαγής |
|
9 Απριλίου 2024 |
|
|
16 Δεκεμβρίου 2023 |
|
|
15 Μαΐου 2023 |
|
|
11 Μαΐου 2023 |
|
|
10 Μαΐου 2023 |
|
|
9 Μαΐου 2023 |
|
|
27 Ιουνίου 2023 |
|
|
11 Ιουλίου 2023 |
|
|
25 Αυγούστου 2023 |
|
