KB5037167: Οδηγός προγράμματος επικύρωσης ενημερώσεων ασφαλείας για τον έλεγχο PCA2011 ανάκλησης για την αντιμετώπιση του CVE-2023-24932

Εισαγωγή

Αυτό το άρθρο αποτελεί συμπλήρωμα στο ακόλουθο άρθρο, το οποίο θα ενημερωθεί τον Απρίλιο του 2024:

• KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις της Διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932

Αυτό το συμπλήρωμα περιγράφει την ενημερωμένη διαδικασία βήμα προς βήμα για την ανάπτυξη νέων μετριασμάτων έναντι του κιτ εκκίνησης BlackLotus UEFI που παρακολουθείται από το CVE-2023-24932 και περιλαμβάνει οδηγίες δοκιμής για το περιβάλλον σας.

Για να προστατεύσουμε από την κακόβουλη κατάχρηση των ευάλωτων διαχειριστών εκκίνησης, πρέπει να αναπτύξουμε ένα νέο πιστοποιητικό υπογραφής ασφαλούς εκκίνησης UEFI στο υλικολογισμικό της συσκευής και να ανακαλέσουμε την αξιοπιστία του υλικολογισμικού του τρέχοντος πιστοποιητικού υπογραφής. Αυτή η ενέργεια θα έχει ως αποτέλεσμα όλοι οι υπάρχοντες, ευάλωτοι διαχειριστές εκκίνησης να μην είναι αξιόπιστοι από τις συσκευές με δυνατότητα Ασφαλούς εκκίνησης. Αυτός ο οδηγός θα σας βοηθήσει με αυτήν τη διαδικασία.

Τα τρία βήματα μετριασμού που περιγράφονται σε αυτόν τον οδηγό είναι τα εξής:

1. Ενημέρωση DB: Ένα νέο πιστοποιητικό PCA (PCA2023) θα προστεθεί στο DB ασφαλούς εκκίνησης, το οποίο θα επιτρέψει σε μια συσκευή να εκκινεί μέσα που είναι υπογεγραμμένα από αυτό το πιστοποιητικό.

2. Εγκατάσταση του προγράμματος διαχείρισης εκκίνησης: Η υπάρχουσα διαχείριση εκκίνησης με υπογραφή PCA2011 θα αντικατασταθεί από τη διαχείριση εκκίνησης με υπογραφή PCA2023.Και οι δύο διαχειριστές εκκίνησης περιλαμβάνονται στις ενημερώσεις ασφαλείας του Απριλίου 2024.

3. Ανάκληση PCA2011 από την DBX: Θα προστεθεί μια καταχώρηση απόρριψης στο Secure Boot DBX που αποτρέπει την εκκίνηση διαχειριστών εκκίνησης που έχουν υπογραφεί με PCA2011.

Ισχύει για εμένα αυτό;

Αυτός ο οδηγός ισχύει για όλες τις συσκευές με ενεργοποιημένη την Ασφαλή εκκίνηση και όλα τα υπάρχοντα μέσα αποκατάστασης για αυτές τις συσκευές.

Εάν η συσκευή σας εκτελεί Windows Server 2012 ή Windows Server 2012 R2, φροντίστε να διαβάσετε την ενότητα "Γνωστά θέματα" πριν συνεχίσετε.

Προτού ξεκινήσετε

Γνωστά προβλήματα

Μόνο για τον Windows Server 2012 και τα Windows Sever 2012 R2:

• Τα συστήματα που βασίζονται στην TPM 2.0 δεν μπορούν να αναπτύξουν τους μετριασμούς που κυκλοφόρησαν στην ενημέρωση κώδικα ασφαλείας απριλίου 2024 λόγω γνωστών ζητημάτων συμβατότητας με μετρήσεις TPM. Οι ενημερώσεις απριλίου 2024 θα αποκλείσουν τους μετριασμούς #2 (διαχείριση εκκίνησης) και #3 (ενημέρωση DBX) στα επηρεαζόμενα συστήματα.

• Η Microsoft γνωρίζει το πρόβλημα και στο μέλλον θα κυκλοφορήσει μια ενημέρωση για την άρση αποκλεισμού των συστημάτων που βασίζονται στην TPM 2.0.

• Για να ελέγξετε την έκδοση TPM, κάντε δεξί κλικ στην Έναρξη, κάντε κλικ στην επιλογή Εκτέλεση και, στη συνέχεια, πληκτρολογήστε tpm.msc. Στην κάτω δεξιά γωνία του κεντρικού παραθύρου στην περιοχή Πληροφορίες κατασκευαστή TPM, θα πρέπει να δείτε μια τιμή για την Έκδοση προδιαγραφής.

Βήματα επικύρωσης συγκατάθεσης

Το υπόλοιπο αυτού του άρθρου περιγράφει τις δοκιμές για συσκευές που επιλέγουν να συμμετάσχουν στους μετριασμούς. Οι μετριασμούς δεν είναι ενεργοποιημένα από προεπιλογή. Εάν η επιχείρησή σας σχεδιάζει να ενεργοποιήσει αυτούς τους μετριασμούς, εκτελέστε τα παρακάτω βήματα επικύρωσης για να επαληθεύσετε τη συμβατότητα της συσκευής.

Αναφορά κλειδιού μητρώου

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Αποτελέσματα και σχόλια

Στείλτε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε suvp@microsoft.com με αποτελέσματα δοκιμής, ερωτήσεις και σχόλια.

Διαδικασίες αποκατάστασης και επαναφοράς

Κατά την εκτέλεση διαδικασιών ανάκτησης, μοιραστείτε τα ακόλουθα δεδομένα με τη Microsoft:

• Στιγμιότυπο οθόνης της παρατηρούμενης αποτυχίας εκκίνησης.

• Πραγματοποιήθηκαν βήματα που οδήγησαν στο να μην είναι δυνατή η εκκίνηση της συσκευής.

• Λεπτομέρειες για τη ρύθμιση παραμέτρων της συσκευής.

Κατά την εκτέλεση μιας διαδικασίας επαναφοράς, αναστείλετε το BitLocker πριν ξεκινήσετε τη διαδικασία.

Αν κάτι δεν πάει καλά κατά τη διάρκεια αυτής της διαδικασίας και δεν μπορείτε να εκκινήσετε τη συσκευή σας ή πρέπει να ξεκινήσετε από εξωτερικά μέσα (για παράδειγμα, μονάδα flash ή εκκίνηση PXE), δοκιμάστε τις ακόλουθες διαδικασίες.

1. Απενεργοποίηση Ασφαλούς εκκίνησης
   
   Αυτή η διαδικασία διαφέρει μεταξύ των κατασκευαστών υπολογιστών και των μοντέλων. Εισαγάγετε το μενού UEFI BIOS των υπολογιστών σας, μεταβείτε στη ρύθμιση Ασφαλούς εκκίνησης και απενεργοποιήστε την. Ελέγξτε την τεκμηρίωση από τον κατασκευαστή του υπολογιστή σας για λεπτομέρειες σχετικά με αυτήν τη διαδικασία. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Απενεργοποίηση ασφαλούς εκκίνησης.

2. Απαλοιφή κλειδιών ασφαλούς εκκίνησης
   
   Αν η συσκευή υποστηρίζει την εκκαθάριση των πλήκτρων Ασφαλούς εκκίνησης ή την επαναφορά των πλήκτρων Ασφαλούς εκκίνησης στις εργοστασιακές προεπιλογές, εκτελέστε αυτήν την ενέργεια τώρα.  
   
   Η συσκευή σας θα πρέπει να εκκινείται τώρα, αλλά λάβετε υπόψη ότι είναι ευάλωτη σε λογισμικό κακόβουλης λειτουργίας για κιτ εκκίνησης. Φροντίστε να ολοκληρώσετε το βήμα 5 στο τέλος αυτής της διαδικασίας αποκατάστασης για να ενεργοποιήσετε ξανά την Ασφαλή εκκίνηση.

3. Δοκιμάστε να εκκινήσετε τα Windows από το δίσκο συστήματος.

   1. Αν το BitLocker είναι ενεργοποιημένο και μεταβαίνει σε αποκατάσταση, πληκτρολογήστε το κλειδί αποκατάστασης BitLocker.

   2. Συνδεθείτε στα Windows.

   3. Εκτελέστε τις ακόλουθες εντολές από τη γραμμή εντολών διαχειριστή για να επαναφέρετε τα αρχεία εκκίνησης στο διαμέρισμα εκκίνησης συστήματος EFI:

      Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:

   4. Η εκτέλεση του BCDBoot θα πρέπει να επιστρέψει "Τα αρχεία εκκίνησης δημιουργήθηκαν με επιτυχία".

   5. Εάν είναι ενεργοποιημένο το BitLocker, αναστείλετε το BitLocker.

   6. Επανεκκινήστε τη συσκευή.

4. Αν το βήμα 3 δεν ανακτήσει με επιτυχία τη συσκευή, εγκαταστήστε ξανά τα Windows.

   1. Ξεκινήστε από τα υπάρχοντα μέσα αποκατάστασης.

   2. Προχωρήστε στην εγκατάσταση των Windows χρησιμοποιώντας το μέσο αποκατάστασης.

   3. Συνδεθείτε στα Windows.

   4. Επανεκκινήστε για να επαληθεύσετε ότι η συσκευή ξεκινά με επιτυχία στα Windows.

5. Ενεργοποιήστε ξανά την Ασφαλή εκκίνηση και επανεκκινήστε τη συσκευή.
   
   Πληκτρολογήστε το μενού UEFI για τη συντήρηση, μεταβείτε στη ρύθμιση Ασφαλούς εκκίνησης και ενεργοποιήστε την. Ελέγξτε την τεκμηρίωση από τον κατασκευαστή της συσκευής σας για λεπτομέρειες σχετικά με αυτήν τη διαδικασία. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Επανενεργή ασφαλής εκκίνηση.

6. Αν η εκκίνηση των Windows συνεχίσει να αποτυγχάνει, πληκτρολογήστε ξανά το UEFI BIOS και απενεργοποιήστε την Ασφαλή εκκίνηση.

7. Εκκινήστε τα Windows.

8. Κοινή χρήση περιεχομένων της DB, DBX με τη Microsoft.

   1. Ανοίξτε το PowerShell σε λειτουργία διαχειριστή.

   2. Αποτυπώστε το DB:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

   3. Καταγράψτε το DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

   4. Κάντε κοινή χρήση των αρχείων DBUpdateFw.bin και dbxUpdateFw.bin που δημιουργούνται στα βήματα 8b και 8c.