Avaldamise algne kuupäev: 13. veebruar 2025
KB ID: 5053946
Sissejuhatus
Selles dokumendis kirjeldatakse turbemeetmete juurutamist avalikustatud Secure Booti turbefunktsioonide möödumise eest, mis kasutab ettevõttekeskkondades CVE-2023-24932 jälgitavat BlackLotus UEFI algkäivituskomplekti.
Häirete vältimiseks ei plaani Microsoft neid leevendusi ettevõtetes kasutusele võtta, vaid pakub neid juhiseid, et aidata ettevõtetel leevendusi ise rakendada. See annab ettevõtetele kontrolli juurutusplaani ja juurutuste ajastuse üle.
Alustamine
Oleme juurutuse jaotanud mitmeks etapiks, mida on võimalik saavutada teie ettevõtte jaoks sobival ajaskaalal. Peaksite nende toimingutega tutvuma. Kui olete juhistest hästi aru saanud, peaksite kaaluma, kuidas need teie keskkonnas toimivad, ja valmistama ajaskaalal ette juurutuskavad, mis töötavad teie ettevõtte jaoks.
Uue Windows UEFI CA 2023 serdi lisamine ja Microsoft Windows Production PCA 2011 serdi usaldamise tühistamine nõuab koostööd seadme püsivara kaudu. Kuna seadme riistvara ja püsivara kombineerimine on suur ja Microsoft ei saa kõiki kombinatsioone testida, soovitame teil enne laialt juurutamist katsetada oma keskkonnas representatiivseid seadmeid. Soovitame testida vähemalt ühte oma organisatsioonis kasutatavat seadet. Mõned teadaolevad seadmeprobleemid, mis neid leevendusi blokeerivad, on dokumenteeritud KB5025885 osana: CVE-2023-24932 seotud Windowsi käivitushalduri tühistuste haldamine. Kui tuvastate seadme püsivara probleemi, mida pole jaotises Teadaolevad probleemid loetletud, tehke probleemi lahendamiseks koostööd oma OEM-i tarnijaga.
Kuna see dokument viitab mitmele eri serdile, on need hõlpsaks viitamiseks ja selguseks esitatud järgmises tabelis:
|
Vanad 2011 CAd |
Uued 2023. aasta CAd (aegub 2038. aastal) |
Funktsioon |
|
Microsoft Corporation KEK CA 2011 (aegub juulis 2026) |
Microsoft Corporation KEK CA 2023 |
Allkirjastab DB ja DBX-i värskendused |
|
Microsoft Windows Production PCA 2011 (PCA2011) (aegub oktoobris 2026) |
Windows UEFI CA 2023 (PCA2023) |
Sildid Windowsi alglaadijale |
|
Microsoft Corporation UEFI CA 2011 (aegub juulis 2026) |
Microsoft UEFI CA 2023 ja Microsoft Option ROM UEFI CA 2023 |
Allkirjastab kolmanda osapoole käivituslaadurid ja suvandi ROM-id |
Tähtis Enne seadmete leevendusmeetmetega testimist rakendage kindlasti testimasinatele uusimad turbevärskendused.
Märkus Seadme püsivara testimise ajal võite avastada probleeme, mis takistavad turvalise algkäivituse värskenduste õiget töötamist. See võib vajada värskendatud püsivara hankimist tootjalt (OEM) ja mõjutatud seadmete püsivara värskendamist, et leevendada avastatud probleeme.
CVE-2023-24932 kirjeldatud rünnete eest kaitsmiseks tuleb rakendada nelja leevendust.
-
Leevendus 1: Värskendatud serdi (PCA2023) definitsiooni installimine andmebaasi
-
Leevendus 2:Seadme käivitushalduri värskendamine
-
Leevendus 3:Tühistamine (PCA2011)
-
Leevendus 4:SVN-i värskenduse rakendamine püsivarale
Neid nelja leevendusviisi saab käsitsi rakendada igale testseadmele, järgides juhiseid, mida on kirjeldatud KB5025885 leevendusjuhistes: Kuidas hallata Windowsi käivitushalduri tühistusi CVE-2023-24932-ga seotud Secure Booti muudatuste jaoks või järgige selles dokumendis toodud juhiseid. Kõik neli leevendust sõltuvad püsivarast, et korralikult töötada.
Kavandamisprotsessi käigus aitab teid järgmiste riskide mõistmine.
Püsivara probleemid:Igal seadmel on seadme tootja pakutav püsivara. Selles dokumendis kirjeldatud juurutustoimingute puhul peab püsivara saama aktsepteerida ja töödelda Secure Boot DB (Signature Database) ja DBX (Keelatud allkirjaandmebaas) värskendusi. Lisaks vastutab püsivara allkirja või algkäivitusrakenduste, sealhulgas Windowsi käivitushalduri valideerimise eest. Seadme püsivara on tarkvara ja sarnaselt mis tahes tarkvaraga võib esineda defekte, mistõttu on oluline neid toiminguid enne laialdast juurutamist testida.Microsoft testib pidevalt paljusid seadme/ püsivara kombinatsioone, alustades seadmetest Microsofti laborites ja kontorites, ning Microsoft teeb OEM-idega oma seadmete testimiseks koostööd. Peaaegu kõik testitud seadmed on läbinud probleemita. Mõnel juhul oleme näinud probleeme püsivaraga, mis ei käitle värskendusi õigesti, ja me töötame OEM-idega, et lahendada probleeme, millest oleme teadlikud.
Märkus Kui tuvastate seadme testimise ajal püsivara probleemi, soovitame probleemi lahendamiseks teha koostööd seadme tootja/OEM-iga. Otsige sündmuselogist üles sündmuse ID 1795 . Vaadake KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused , et saada lisateavet Secure Booti sündmuste kohta.
Installikandja:Selles dokumendis allpool kirjeldatud mitigation 3 ja Mitigation 4 rakendamisega ei saa ühtegi olemasolevat Windowsi installikandjat käivitada enne, kui meediumil on värskendatud algkäivitushaldur. Selles dokumendis kirjeldatud leevendused takistavad vanadel haavatavatel käivitushalduritel töötamast, andes neile püsivara usaldamatuse. See takistab ründajal süsteemi algkäivitushalduri varasemale versioonile tagasipööramist ja vanemates versioonides esinevate nõrkuste ärakasutamist. Nende haavatavate käivitushaldurite blokeerimine ei tohiks töötavat süsteemi mõjutada. Kuid see takistab algkäivitatavate meediumite käivitumist kuni kandja käivitushaldurite värskendamiseni. See hõlmab ISO-pilte, algkäivitatavaid USB-draive ja võrgu algkäivitamist (PxE ja HTTP algkäivitus).
Üleminek PCA2023 ja uuele algkäivitushaldurile
-
Mitigation 1: Install the updated certificate definitions to the DB Lisab UEFI turvalise algkäivituse andmebaasi (DB) uue Windows UEFI CA 2023 serdi. Kui lisate selle serdi andmebaasi, usaldab seadme püsivara Microsoft Windowsi selle serdi allkirjastatud algkäivitusrakendusi.
-
Mitigation 2: Värskendage seadmes käivitushaldurit Rakendab uue Windows UEFI CA 2023 serdiga allkirjastatud uue Windowsi käivitushalduri.
Need leevendused on olulised Windowsi pikaajaliseks teenindamiseks nendes seadmetes. Kuna püsivara Microsoft Windows Production PCA 2011 sert aegub 2026. aasta oktoobris, peab seadmetel enne aegumist olema püsivara sees uus Windows UEFI CA 2023 sert või seade ei saa enam Windowsi värskendusi vastu võtta, paigutades selle haavatavasse turbeolekusse.
Teavet selle kohta, kuidas rakendada mitigation 1 ja Mitigation 2 kahes eraldi etapis (kui soovite olla vähemalt alguses ettevaatlikum), vaadake teemat KB5025885: Kuidas hallata Windowsi käivitushalduri tühistusi CVE-2023-24932-ga seotud secure Booti muudatuste osas. Samuti saate rakendada mõlemad leevendused, käivitades administraatorina järgmise ühe registrivõtme toimingu:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Kui leevendused kehtivad, eemaldatakse AvailableUpdatesi võtme bitid . Pärast 0x140 ja taaskäivitamist muutub väärtus 0x100 ja seejärel pärast teist taaskäivitamist muutub väärtus 0x000.
Algkäivitushalduri leevendust ei rakendata enne, kui püsivara osutab, et 2023. aasta serdi leevendus on edukalt rakendatud. Neid toiminguid ei saa teha järjestusest väljas.
Kui mõlemad leevendused on rakendatud, seatakse registrivõti näitamaks, et süsteem on "2023 võimekas", mis tähendab, et meediume saab värskendada ja mitigation 3 ja Mitigation 4 saab rakendada.
Enamikul juhtudel nõuab mitigation 1 ja Mitigation 2 lõpuleviimine vähemalt kahte taaskäivitamist, enne kui leevendused on täielikult rakendatud. Keskkonnas täiendavate taaskäivitamiste lisamine aitab tagada leevendusmeetmete rakendamise varem. Siiski ei pruugi olla praktiline süstida kunstlikult täiendavaid taaskäivitamisi ja võib olla mõttekas toetuda igakuistele taaskäivitamistele, mis on osa turbevärskenduste rakendamisest. See tähendab, et teie keskkonnas on vähem häireid, kuid turvalisuse tagamiseks võib see kauem aega võtta.
Pärast mitigation 1 ja Mitigation 2 juurutamist oma seadmetes peaksite oma seadmeid jälgima, et tagada nende rakendatud leevendused ja on nüüd "2023 toega". Jälgimiseks otsige süsteemist järgmist registrivõtit. Kui võti on olemas ja selle väärtuseks on seatud 1, siis on süsteem lisanud Secure Boot DB muutujale 2023 serdi. Kui võti on olemas ja selle väärtuseks on seatud 2, on süsteemil andmebaasis sert 2023 ja see algab 2023 allkirjastatud käivitushalduriga.
|
Registri alamvõti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Võtmeväärtuse nimi |
WindowsUEFICA2023Capable |
|
|
Andmetüüp |
REG_DWORD |
|
|
Andmed |
0 – või võtit pole olemas - "Windows UEFI CA 2023" sert ei ole DB 1 - "Windows UEFI CA 2023" sert on DB 2 - "Windows UEFI CA 2023" sert on andmebaasis ja süsteem algab 2023 allkirjastatud käivitushaldurist. |
|
Värskenda algkäivitatav meedium
Kui mitigation 1 ja Mitigation 2 on teie seadmetele rakendatud, saate värskendada kõiki algkäivitatavaid meediume, mida oma keskkonnas kasutate. Algkäivitatava meediumi värskendamine tähendab allkirjastatud PCA2023 käivitushalduri rakendamist kandjale. See hõlmab võrgukäivituse tõmmiste (nt PxE ja HTTP), ISO-tõmmiste ja USB-draivide värskendamist. Vastasel juhul ei käivitu rakendatud leevendusmeetmetega seadmed algkäivituskandjalt, mis kasutab vanemat Windowsi käivitushaldurit ja 2011 CA-t.
Tööriistad ja juhised igat tüüpi algkäivitatavate kandjate värskendamiseks on saadaval siin:
|
Kandja tüüp |
Ressurss |
|
ISO, USB-draivid jm |
|
|
PXE-käivitusserver |
Hiljem esitatav dokumentatsioon |
Kandja värskendamise käigus peaksite kindlasti testima kandjat seadmega, millel on olemas kõik neli leevendusfunktsiooni. Viimased kaks leevendust blokeerivad vanemad haavatavad käivitushaldurid. Meediumi kasutamine praeguste käivitushalduritega on selle protsessi lõpuleviimise oluline osa.
Märkus Kuna käivitushalduri tagasipööramise rünnakud on tegelikkus ja me eeldame, et Windowsi käivitushalduri pidevad värskendused lahendavad turbeprobleeme, soovitame ettevõtetel kavandada poolkorralisi meediumivärskendusi ja omada protsesse, et muuta meediumivärskendused lihtsamaks ja vähem aeganõudvaks. Meie eesmärk on piirata meediumi algkäivituse halduri värskenduste arvu võimaluse korral kuni kaks korda aastas.
Algkäivitatav andmekandja ei hõlma seadme süsteemidraivi, kus Windows tavaliselt asub ja käivitub automaatselt. Algkäivitatavat kandjat kasutatakse tavaliselt seadme käivitamiseks, millel ei ole Windowsi algkäivitatavat versiooni, ja algkäivitatavat kandjat kasutatakse sageli Windowsi installimiseks seadmesse.
UEFI turvalise käivitamise sätted määravad, milliseid algkäivituse haldureid usaldada, kasutades Secure Boot DB-d (Signature Database) ja DBX-i (Keelatud allkirjaandmebaas). DB sisaldab usaldusväärse tarkvara räsi- ja võtmeid ning DBX talletab tühistatud, ohtu sattunud ja mitteusaldusväärsed räsimärgid ja võtmed, et takistada volitamata või pahatahtliku tarkvara käivitumist algkäivitusprotsessi ajal.
Kasulik on mõelda erinevatele olekutele, kus seade võib olla ja millist algkäivitatavat kandjat saab igas olekus seadmega kasutada. Kõigil juhtudel määrab püsivara, kas see peaks usaldama käivitushaldurit, millega see esitatakse, ja kui see käivitab käivitushalduri, ei konsulteeri püsivara enam DB ja DBX-iga. Algkäivitatav meedium võib kasutada kas 2011 CA allkirjastatud käivitushaldurit või 2023 CA allkirjastatud käivitushaldurit, kuid mitte mõlemat. Järgmises jaotises kirjeldatakse, millistes olekutes seade võib olla, ja mõnel juhul, millist kandjat saab seadmest algkäivitada.
Need seadmestsenaariumid võivad aidata teil plaanida leevendusmeetmete juurutamist kõigis teie seadmetes.
Uued seadmed
Mõned uued seadmed hakkasid tarnima nii 2011. kui ka 2023. aasta CAd, mis on seadme püsivarasse eelinstallitud. Kõik tootjad pole mõlemat üle vahetanud ja võivad siiski olla saatmisseadmed, millesse on eelinstallitud ainult 2011 CA.
-
Nii 2011 kui ka 2023 CAdega seadmed saavad käivitada meediumi, mis sisaldab kas 2011 CA allkirjastatud käivitushaldurit või 2023 CA allkirjastatud käivitushaldurit.
-
Seadmed, kuhu on installitud ainult 2011 CA, saavad algkäivitada ainult 2011 CA allkirjastatud käivitushalduriga. Enamik vanemaid meediume on 2011 CA allkirjastatud boot manger.
Seadmed leevendustega 1 ja 2
Need seadmed on eelinstallitud 2011 CA ja leevendus 1 rakendamisega on nüüd installitud 2023 CA. Kuna need seadmed usaldavad mõlemat CAd, saavad need seadmed käivitada nii 2011 CA kui ka 2023 allkirjastatud algkäivitushalduri.
Mitigations 3 ja 4-ga seadmed
Nendes seadmetes on DBX-is sisalduv 2011 CA ja need seadmed ei usalda enam 2011 CA allkirjastatud algkäivitushalduriga meediume. Selle konfiguratsiooniga seade käivitab meediumi ainult 2023 CA allkirjastatud käivitushalduriga.
Turvaline algkäivituse lähtestamine
Kui secure Booti sätted on lähtestatud vaikeväärtusteks, ei pruugi DB-le rakendatud leevendused (2023 CA lisamine) ja DBX (2011 CA usaldamatus) enam kehtida. Käitumine sõltub püsivara vaikesätetest.
DBX
Kui leevendused 3 ja/või 4 on rakendatud ja DBX on tühjendatud, siis 2011 CA ei ole DBX-i loendis ja jääb endiselt usaldusväärseks. Sel juhul tuleb leevendusmeetmed 3 ja/või 4 uuesti rakendada.
DB
Kui DB sisaldas 2023 CA-d ja see eemaldatakse, lähtestades Secure Booti sätted vaikesäteteks, ei pruugi süsteem algkäivitada, kui seade tugineb 2023 CA allkirjastatud algkäivitushaldurile. Kui seade ei käivitu, kasutage süsteemi taastamiseks tööriista securebootrecovery.efi, mida kirjeldatakse KB5025885: Kuidas hallata Windowsi käivitushalduri tühistusi CVE-2023-24932-ga seotud Secure Booti muudatuste jaoks .
Untrust PCA2011 and apply Secure Version Number to DBX
-
Leevendus 3: tühistamise lubamine Tühistab Microsoft Windows Production PCA 2011 serdi, lisades selle püsivarale Secure Boot DBX. See põhjustab püsivara ei usalda kõiki 2011 CA allkirjastatud käivitushaldureid ja mis tahes meediumisisu, mis tugineb 2011 CA allkirjastatud käivitushaldurile.
-
Mitigation 4: Apply the Secure Version Number update to the firmware Rakendab secure Version Number (SVN) värskenduse püsivarale Secure Boot DBX. Kui 2023 allkirjastatud käivitushaldur käivitub, teeb see enesekontrolli, võrreldes püsivara salvestatud SVN-i käivitushaldurisse sisseehitatud SVN-iga. Kui käivitushalduri SVN on väiksem kui püsivara SVN, ei käivitu käivitushaldur. See funktsioon takistab ründajal käivitushalduri varasemale värskendamata versioonile tagasipööramist. Käivitushalduri tulevaste turbevärskenduste jaoks on SVN astmeline ja Mitigation 4 tuleb uuesti rakendada.
Tähtis Leevendus 1 ja Leevendus 2 tuleb lõpetada enne leevendus 3 ja Leevenduse 4 rakendamist.
Teavet selle kohta, kuidas rakendada mitigation 3 ja Mitigation 4 kahes eraldi etapis (kui soovite olla vähemalt alguses ettevaatlikum), vaadake teemat KB5025885: Kuidas hallata Windowsi käivitushalduri tühistusi turvalise algkäivituse muudatuste jaoks, mis on seotud CVE-2023-24932 , või saate rakendada mõlemad leevendused, käivitades administraatorina järgmise ühe registrivõtme toimingu:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Mõlema leevenduse koos rakendamine nõuab toimingu lõpuleviimiseks ainult ühte taaskäivitamist.
-
Leevendus 3: Saate kontrollida, kas tühistamisloend on rakendatud, otsides sündmuselogist sündmuse ID-d: 1037KB5016061 kohta: Secure Boot DB ja DBX muutuja värskendussündmused.Teine võimalus on käivitada järgmine PowerShelli käsk administraatorina ja veenduda, et see tagastaks tõese väärtuse:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Leevendus 4: Meetodit, mis kinnitab, et SVN-sätet on rakendatud, pole veel olemas. Seda jaotist värskendatakse, kui lahendus on saadaval.
Viited
KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused
