Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

OLULINE Regulaarse igakuise värskendamise käigus peaksite rakendama Windowsi turbevärskenduse, mis on välja antud 9. aprillil 2024 või hiljem.

See artikkel kehtib nende organisatsioonide kohta, kes peaksid hakkama hindama avalikult avaldatud Secure Booti möödumist, mida kasutab BlackLotus UEFI bootkit. Lisaks soovite võib-olla võtta ennetava turbehosti või alustada kasutuselevõtuks ettevalmistamist. Pange tähele, et see ründevara nõuab seadmele füüsilist või administraatori juurdepääsu.

ETTEVAATUST Kui seadmes on lubatud selle probleemi leevendus , mis tähendab, et leevendused on rakendatud, ei saa seda ennistada, kui jätkate selles seadmes secure Booti kasutamist. Isegi ketta ümbervormindamine ei eemalda tühistamisi, kui need on juba rakendatud. Enne selles artiklis kirjeldatud tühistamiste rakendamist oma seadmele pidage meeles kõiki võimalikke mõjusid ja testige neid põhjalikult.

Selle artikli teemad

Kokkuvõte

Selles artiklis kirjeldatakse kaitset avalikult avaldatud Secure Booti turbefunktsiooni möödumise eest, mis kasutab CVE-2023-24932 jälitatud BlackLotus UEFI bootkit, kuidas lubada leevendusi ja juhiseid algkäivitatava meediumi kohta. Algkäivituskomplekt on pahatahtlik programm, mis on loodud nii vara kui võimalik laadima seadmete algkäivitusjadas, et juhtida operatsioonisüsteemi käivitamist.

Microsoft soovitab turvalist algkäivitust, et luua turvaline ja usaldusväärne tee ühtsest laiendatavast püsivaraliidesest (UEFI) Windowsi tuuma usaldusväärse algkäivituse jada kaudu. Secure Boot aitab ära hoida algkäivituskomplekti ründevara algkäivitusjadas. Turvalise algkäivituse keelamine seab seadme ohtu, et algkäivituskomplekti ründevara nakatab. Jaotises CVE-2023-24932 kirjeldatud turvalise algkäivituse möödu parandamine nõuab käivitushaldurite tühistamist. See võib põhjustada probleeme mõne seadme algkäivituskonfiguratsiooniga.

Jaotises CVE-2023-24932 kirjeldatud secure Booti möödumise leevendused sisalduvad Windowsi turbevärskendustes, mis anti välja 9. aprillil 2024 või hiljem. Need leevendused pole vaikimisi lubatud. Nende värskendustega soovitame teil hakata neid muudatusi oma keskkonnas hindama. Täielikku ajakava kirjeldatakse jaotises Värskenduste ajastus .

Enne nende leevenduste lubamist peaksite selles artiklis toodud üksikasjad põhjalikult läbi vaatama ja otsustama, kas peate leevendused lubama või ootama Microsofti tulevast värskendust. Kui otsustate leevendused lubada, peate veenduma, et teie seadmed on värskendatud ja valmis, ning mõistma selles artiklis kirjeldatud riske. 

Toiming 

Selle väljaande puhul tuleb järgida järgmisi juhiseid.

1. toiming. Installige windowsi turbevärskendus, mis on välja antud 9. aprillil 2024 või hiljem, kõigisse toetatud versioonidesse.

2. toiming: hinnake muudatusi ja nende mõju teie keskkonnale.

3. toiming. Jõustage muudatused.

Mõju ulatus

BlackLotus bootkit mõjutab kõiki Lubatud turvalise algkäivituse kaitsega Windowsi seadmeid. Leevendused on saadaval Windowsi toetatud versioonide jaoks. Täieliku loendi leiate artiklist CVE-2023-24932.

Riskide mõistmine

Ründevararisk: Et selles artiklis kirjeldatud BlackLotus UEFI algkäivituskomplekti ekspluataator oleks võimalik, peab ründaja saama seadmes administraatoriõigused või seadmele füüsilise juurdepääsu. Seda saab teha, kui pääsete seadmele juurde füüsiliselt või kaugühenduse kaudu, näiteks kasutades virtuaalarvutitele/pilvele juurdepääsemiseks hüperviisorit. Ründaja kasutab seda haavatavust tavaliselt, et jätkata kontrolli seadme üle, millele nad saavad juba juurde pääseda ja mida võib-olla manipuleerida. Selle artikli leevendused on ennetavad ja mitte parandused. Kui teie seade on juba ohtu sattunud, pöörduge abi saamiseks oma turbeteenuse pakkuja poole.

Taastekandja: Kui teil tekib seadmega pärast leevendusmeetmete rakendamist probleem ja seade muutub mitteoodatavaks, ei pruugi seadme käivitamine või taastamine olla võimalik olemasoleval andmekandjal. Taaste- või installikandja tuleb värskendada, et see töötaks seadmega, millele on rakendatud leevendused.

Püsivara probleemid: Kui Windows rakendab selles artiklis kirjeldatud leevendusi, peab see secure Booti väärtuste värskendamiseks tuginema seadme UEFI püsivarale (värskendused rakendatakse andmebaasivõtmele (DB) ja keelatud allkirjavõtmele (DBX)). Mõnel juhul on meil kogemusi seadmetega, mis värskendusi ei suuda. Teeme koostööd seadmetootjatega, et testida neid võtmevärskendusi võimalikult paljudes seadmetes.

MÄRKUS Võimalike püsivaraprobleemide tuvastamiseks testige neid leevendusi esmalt ühes seadmes seadmeklassi kohta teie keskkonnas. Ärge juurutage laialdaselt enne, kui olete veendunud, et kõik teie keskkonna seadmeklassid on hinnatud.

BitLockeri taaste: Mõni seade võib minna BitLockeri taastese. Enne leevenduste lubamist säilitage kindlasti oma BitLockeri taastevõtme koopia.

Teadaolevad probleemid

Püsivara probleemid:Kõik seadme püsivara ei värskenda secure Boot DB-d või DBX-i. Juhtudel, millest oleme teadlikud, oleme probleemist teatanud seadme tootjale. Logitud sündmuste kohta leiate lisateavet teemast KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused . Püsivaravärskenduste saamiseks pöörduge seadme tootja poole. Kui seadet ei toetata, soovitab Microsoft seadme versiooni täiendada.

Teadaolevad püsivaraprobleemid:

MÄRKUS Järgmised teadaolevad probleemid ei mõjuta ega takista 9. aprilli 2024 värskenduste installimist. Enamikul juhtudel ei rakendata leevendusi teadaolevate probleemide korral. Vaadake üksikasju, mida on kirjeldatud igas teadaolevas probleemis.

  • HP: HP tuvastas HP Z4G4 workstationi arvutites leevendusinstalli probleemi ja annab tulevastel nädalatel välja värskendatud Z4G4 UEFI püsivara (BIOS). Leevenduse eduka installimise tagamiseks blokeeritakse see töölaua tööjaamades, kuni värskendus on saadaval. Kliendid peaksid enne leevenduse rakendamist alati üle võtma uusima süsteemi BIOS-i.

  • HP seadmed, millel on kindel käivitusturve: Nende seadmete leevendusmeetmete installimiseks on vaja HP uusimaid püsivaravärskendusi. Leevendused blokeeritakse seni, kuni püsivara värskendatakse. Installige HPde toe lehelt uusim püsivaravärskendus — HP ametlikud draiverid ja tarkvara allalaadimine | HP tugi.

  • Arm64-põhised seadmed: Leevendused on blokeeritud UEFI-liidese püsivara probleemide tõttu Qualcommi-põhistes seadmetes. Microsoft teeb selle probleemi lahendamiseks koostööd Qualcommiga. Qualcomm pakub parandust seadmetootjatele. Pöörduge oma seadme tootja poole ja uurige, kas selle probleemi jaoks on saadaval lahendus. Microsoft lisab tuvastamise, et lubada leevenduste rakendamist seadmetes püsivara tuvastamisel. Kui teie Arm64-põhisel seadmel pole Qualcommi püsivara, konfigureerige leevenduste lubamiseks järgmine registrivõti.

    Registri alamvõti

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Võtmeväärtuse nimi

    SkipDeviceCheck

    Andmetüüp

    REG_DWORD

    Andmed

    1

  • Apple:Apple T2 Turbekiibiga Mac-arvutid toetavad secure Booti. Siiski on UEFI-liidese turbega seotud muutujate värskendamine saadaval ainult macOS-i värskenduste osana. Boot Campi kasutajad peaksid nägema Nende muutujatega seotud Sündmuse ID 1795 sündmuselogi kirjet Windowsis. Lisateavet selle logikirje kohta leiate teemast KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused.

  • Vmware:VMware-põhistes virtualiseerimiskeskkondades ei käivitu X86-põhise protsessoriga VM pärast leevendusmeetmete rakendamist. Microsoft koordineerib selle probleemi lahendamiseks VMware'iga.

  • TPM 2.0-põhised süsteemid:  Need süsteemid, milles töötab Windows Server 2012 ja Windows Server 2012 R2, ei saa juurutada turbevärskenduse 9. aprillil 2024 välja antud leevendusi TPM-i mõõtmistega seotud teadaolevate ühilduvusprobleemide tõttu. 9. aprilli 2024 turbevärskendused blokeerivad mõjutatud süsteemides leevendused #2 (käivitushaldur) ja #3 (DBX-värskendus).

    Microsoft on probleemist teadlik ja tulevikus antakse välja värskendus TPM 2.0-põhiste süsteemide blokeeringu tühistamiseks.

    TPM-i versiooni kontrollimiseks paremklõpsake nuppu Start, klõpsake käsku Käivita ja tippige tpm.msc. Jaotise TPM Manufacturer Information (TPM-i tootjateave) keskmise paani paremas allnurgas peaksite nägema sätte Specification Version (Määrangu versioon) väärtust.

  • Symanteci lõpp-punkti krüptimine: Secure Booti leevendusi ei saa rakendada süsteemidele, mis on installinud Symantec lõpp-punkti krüptimise. Microsoft ja Symantec on probleemist teadlikud ja neid käsitletakse edaspidises värskenduses.

Selle väljaande juhised

Selle väljaande puhul järgige neid kahte juhist.

1. toiming: Windowsi turbevärskenduse

installimine Installige toetatud Windowsi seadmetesse Windowsi igakuine turbevärskendus, mis on välja antud 9. aprillil 2024 või hiljem. Need värskendused hõlmavad CVE-2023-24932 leevendusi, kuid need pole vaikimisi lubatud. Kõik Windowsi seadmed peaksid selle toimingu lõpule viima, olenemata sellest, kas kavatsete leevendused juurutada või mitte.

2. toiming: muudatuste

hindamine Soovitame teil teha järgmist.

  • Mõista kahte esimest leevendust, mis võimaldavad värskendada Secure Boot DB-d ja värskendada käivitushaldurit.

  • Vaadake värskendatud ajakava üle.

  • Hakake testima kahte esimest leevendust oma keskkonnast pärinevate representatiivsete seadmete suhtes.

  • Alustage juurutusetapi kavandamist 9. juulil 2024.

3. juhis: jõustage muudatused

Soovitame teil mõista riske, mida on kirjeldatud jaotises Riskide mõistmine.

  • Mõistke taaste ja muude algkäivitatavate meediumite mõju.

  • Hakake testima kolmandat leevendust, mis tühistab kõigi varasemate Windowsi käivitushaldurite jaoks kasutatud allkirjastamisserdi.

Leevendusjuhised

Enne nende leevendusmeetmete rakendamist installige toetatud Windowsi seadmetesse Windowsi igakuine hooldusvärskendus, mis on välja antud 9. aprillil 2024 või hiljem. See värskendus sisaldab CVE-2023-24932 leevendusi, kuid need pole vaikimisi lubatud. Kõik Windowsi seadmed peaksid selle toimingu lõpule viima olenemata teie plaanist leevendusmeetmete lubamiseks.

MÄRKUS Kui kasutate BitLockerit, veenduge, et teie BitLockeri taastevõti oleks varundatud. Administraatori käsuviiba kaudu saate käivitada järgmise käsu ja märkida üles 48-kohalise numbrilise parooli.

manage-bde -protectors -get %systemdrive%

Värskenduse juurutamiseks ja tühistuste rakendamiseks tehke järgmist.

  1. Installige värskendatud serdidefinitsioonid andmebaasi.

    See toiming lisab "Windows UEFI CA 2023" serdi UEFI -le "Secure Boot Signature Database" (DB). Kui lisate selle serdi andmebaasi, usaldab seadme püsivara selle serdi allkirjastatud algkäivitusrakendusi.

    1. Avage administraatori käsuviip ja määrake regkey, et värskendada DB-ks, sisestades järgmise käsu:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      OLULINE Enne 2. ja 3. toiminguga jätkamist taaskäivitage seade kindlasti kaks korda, et värskenduse installimine lõpule viia.

    2. Käivitage järgmine PowerShelli käsk administraatorina ja veenduge, et andmebaasi värskendamine õnnestus. See käsk peaks tagastama väärtuse True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Värskendage seadmes käivitushaldurit.

    Selle toiminguga installitakse teie seadmesse käivitushalduri rakendus, mis on allkirjastatud serdiga "Windows UEFI CA 2023".

    1. Avage administraatori käsuviip ja määrake regkey allkirjastatud käivitushalduri "Windows UEFI CA 2023" installimiseks:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Taaskäivitage seade kaks korda.

    3. Administraatorina ühendage EFI-sektsioon, et see kontrolliks valmis saada.

      mountvol s: /s

    4. Veenduge, et "s:\efi\microsoft\boot\bootmgfw.efi" oleks allkirjastatud serdil "Windows UEFI CA 2023". Selleks tehke järgmist.

      1. Klõpsake nuppu Start, tippige väljale Otsingkäsuviip ja seejärel klõpsake käsku Käsuviip.

      2. Tippige aknas Käsuviip järgmine käsk ja vajutage sisestusklahvi (Enter):

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Paremklõpsake failihalduris faili C:\bootmgfw_2023.efi, klõpsake käsku Atribuudid ja seejärel valige vahekaart Digitaalallkirjad .

      4. Kinnitage loendis Allkiri, et serdiahelasse oleks kaasatud Windows UEFI CA 2023. Serdiahel peaks vastama järgmisele kuvatõmmisele:

        Sertifikaadid

  3. Lubage tühistamine.

    UEFI keelatud failide loendit (DBX) kasutatakse UEFI-moodulite ebausaldusväärsete laadimise blokeerimiseks. Selles etapis lisab DBX-i värskendamine DBX-ile serdi "Windows Production CA 2011". Seetõttu ei usaldata enam kõiki selle serdi allkirjastatud käivitushaldureid.

    HOIATUS. Enne kolmanda leevenduse rakendamist looge taastemäluseade, mida saab kasutada süsteemi algkäivitamiseks. Lisateavet selle kohta leiate jaotisest Windowsi installikandja värskendamine.

    Kui teie süsteem satub algkäivitamatusse olekusse, järgige jaotises Taasteprotseduur toodud juhiseid, et lähtestada seade tühistuseelsesse olekusse.

    1. Lisage sert "Windows Production PCA 2011" secure Boot UEFI Keelatud loendisse (DBX). Selleks avage administraatorina käsuviibaaknad, tippige järgmine käsk ja vajutage sisestusklahvi (Enter):

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Taaskäivitage seade kaks korda ja veenduge, et see on täielikult taaskäivitatud.

    3. Veenduge, et installimise ja tühistamise loend oleks rakendatud, otsides sündmuselogist sündmust 1037.

      Sündmuse 1037 kohta leiate teavet artiklist KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused. Või käivitage järgmine PowerShelli käsk administraatorina ja veenduge, et see tagastaks väärtuse True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Algkäivitatavad meediumid

Kui juurutusetapp hakkab teie keskkonnas algkäivitama, on oluline värskendada algkäivitatavat kandjat. Juurutusetapi jaoks antakse õigel ajal juhiseid ja tööriistu kandja värskendamiseks. Juurutusetapp peaks algama 9. juulil 2024.

Selle probleemi mõjutavate algkäivitatavate meediumide ja taastekandjate näited:

  • Taasteketta loomise abil loodud algkäivitatav meedium.

  • Windowsi varukoopiad, mis kuvati enne leevendusmeetmete rakendamist. Pärast seda, kui tühistamised on teie seadmes lubatud, ei saa neid windowsi installi taastamiseks otse kasutada.

  • Teie, teie seadme tootja (OEM) või suurettevõtete loodud kohandatud CD/DVD või taastesektsioon.

  • ISO (allalaadimise või ADK kaudu).

  • Võrgu algkäivitus:

    • Windowsi juurutusteenused.

    • Preboot Execution Environment boot services (PXE boot services).

    • Microsofti juurutamise tööriistakomplekt.

    • HTTPS-i algkäivitus.

  • OEM-i installi- ja taastekandja.

  • Microsofti ametlik Windowsi meediumisisu, sealhulgas:

  • Windows PE.

  • Füüsilisse riistvarasse või virtuaalarvutisse installitud Windows.

  • Windowsi valideerimissüsteem.

Kui kasutate algkäivitatavat kandjat isiklikus Windows-seadmes, peate võib-olla enne tühistamiste rakendamist tegema ühte või mitut järgmistest toimingutest.

  • Kui kasutate seadme sisu salvestamiseks isiklikku varundustarkvara, käivitage kindlasti täielik varukoopia pärast 9. aprilli 2024 leevendusmeetmete rakendamist.

  • Kui kasutate algkäivitatavat kettatõmmist (ISO), CD-ROM-i või DVD-kandjat, värskendage kandjat, järgides hilisemal kuupäeval esitatavaid juhiseid.

Enterprise

  • Vaadake põhjalikke juhiseid ja skriptimist Windows installikandja värskendamiseks Dynamic Update'i abil.

  • Kui toetate oma keskkonnas võrgu algkäivitamise või taastamise stsenaariume, peate värskendama kõik meediumid ja pildid. See võib hõlmata järgmisi algkäivitus- või taastesuvandeid.

    • Microsofti juurutamise tööriistakomplekt.

    • Microsoft Endpoint Configuration Manager.

    • Windowsi juurutusteenused.

    • PxE Boot.

    • HTTPS-i algkäivitus ja muud võrgu algkäivituse stsenaariumid.

  • Üks võimalus seda teha on kasutada DISM-i ühenduseta paketi installimist piltidele, mida need stsenaariumid teenindavad. See hõlmab nende teenuste pakutavate käivitusfailide värskendamist.

  • Kui kasutate varundustarkvara Windowsi installi sisu salvestamiseks taastetõmmisesse, käivitage kindlasti pärast 9. aprilli 2024 leevendusmeetmete rakendamist täielik varukoopia. Varundage kindlasti lisaks Windowsi operatsioonisüsteemi sektsioonile ka EFI kettasektsioon. Teha selgelt kindlaks varud, mis tehakse enne 9. aprilli 2024 leevendusmeetmete rakendamist, võrreldes nendega, mis on tehtud pärast leevendusmeetmete rakendamist.

Windowsi arvuti OEM-id

Windowsi installikandja värskendamine

MÄRKUS Käivitatava mäluseadme loomisel vormindage draiv kindlasti FAT32-failisüsteemi abil.

Taasteketta loomise rakenduse kasutamiseks tehke järgmist. Seda kandjat saab kasutada seadme uuesti installimiseks juhul, kui esineb suur probleem (nt riistvaratõrge), saate taasteketta abil Windowsi uuesti installida.

  1. Avage seade, kus on rakendatud 9. aprilli 2024 värskendused ja esimene leevendustoiming (Secure Boot DB värskendamine).

  2. Otsige menüüs Start üles juhtpaneeli "Create a Recovery Drive" (Taasteketta loomine) aplett ja järgige taasteketta loomiseks juhiseid.

  3. Kui vastloodud mäluseade on ühendatud (nt draivina "D:"), käivitage administraatorina järgmised käsud. Tippige kõik järgmised käsud ja vajutage sisestusklahvi (Enter):

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Kui haldate oma keskkonnas installitavaid meediume, kasutades Juhiseid Windowsi installikandja värskendamiseks Dynamic Update'i abil, tehke järgmist. Need lisatoimingud loovad algkäivitatava mäluseadme, mis kasutab "Windows UEFI CA 2023" allkirjastatud algkäivitusfaile.

  1. Avage seade, kus on rakendatud 9. aprilli 2024 värskendused ja esimene leevendustoiming (Secure Boot DB värskendamine).

  2. 9. aprilli 2024 värskendustega meediumi loomiseks järgige alloleval lingil toodud juhiseid. Windowsi installikandja värskendamine dünaamilise värskendusega

  3. Asetage meediumisisu USB-mäluseadmele ja ühendage pöidlaketas draivi tähena. Näiteks ühendage pöidladraiv kujul "D:".

  4. Käivitage administraatorina käsuaknas järgmised käsud. Tippige kõik järgmised käsud ja vajutage sisestusklahvi (Enter).

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Kui seadme turbekäivituse sätted lähtestatakse pärast leevendusmeetmete rakendamist vaikesätetele, siis seade ei käivitu. Selle probleemi lahendamiseks on parandusrakendus kaasatud 9. aprilli 2024 värskendustesse, mida saab kasutada "Windows UEFI CA 2023" serdi uuesti rakendamiseks DB-le (leevendus #1).

MÄRKUS Ärge kasutage seda parandusrakendust seadmes või süsteemis, mida on kirjeldatud jaotises Teadaolevad probleemid .

  1. Avage seade, kus on rakendatud 9. aprilli 2024 värskendused.

  2. Kopeerige käsuaknas taasterakendus mäluseadmesse järgmiste käskude abil (eeldusel, et mäluseade on D:-draiv). Tippige iga käsk eraldi ja vajutage sisestusklahvi (Enter):

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Sisestage turvalise algkäivituse sätetega seadmesse vaikesätted, sisestage mäluseade, taaskäivitage seade ja käivitage see mäluseadmelt.

Värskenduste ajastus

Teabevärskendused antakse välja järgmiselt.

  • Algjuurutus See etapp algas värskendustega, mis anti välja 9. mail 2023, ja pakkusid nende leevenduste lubamiseks põhilist leevendust koos käsitoimingutega.

  • Teine juurutamine See etapp algas 11. juulil 2023 välja antud värskendustega, mis lisasid probleemile leevendusmeetmete lubamiseks lihtsustatud etappe.

  • Hindamisfaas See etapp algab 9. aprillil 2024 ja lisab täiendavaid käivitushalduri leevendusi.

  • Lõplik juurutamise etapp See on siis, kui julgustame kõiki kliente alustama leevendusmeetmete juurutamist ja meediumi värskendamist.

  • Jõustamisfaas Jõustamise etapp, mis muudab leevendused püsivaks. Selle faasi kuupäev loetakse ette hilisemal kuupäeval.

Märkus Väljalaske ajakava võib vastavalt vajadusele muuta.

Windowsi turbevärskenduste väljalase asendas selle etapi 9. aprillil 2024 või hiljem.

Windowsi turbevärskenduste väljalase asendas selle etapi 9. aprillil 2024 või hiljem.

Selles etapis palume teil neid muudatusi oma keskkonnas testida, et veenduda muudatuste õiges töötamises näidisseadmetega ja saada muudatustega kogemusi.

MÄRKUS Selle asemel, et proovida ammendavalt loetleda ja usaldada haavatavaid käivitushaldureid nagu eelmistes juurutamise etappides, lisame "Windows Production PCA 2011" allkirjastamisserdi turvalise algkäivituse keelamise loendisse (DBX), et tühistada kõik selle serdi allkirjastatud käivitushaldurid. See on usaldusväärsem meetod tagamaks, et kõik varasemad käivitushaldurid on ebausaldusväärsed.

Teabevärskendused Windowsi jaoks, mis on välja antud 9. aprillil 2024 või hiljem, lisage järgmine teave.

  • Kolm uut leevendusmeetmete juhtelementi, mis asendavad 2023. aastal välja antud leevendused. Uued leevendusmeetmed on järgmised.

    • Juhtelement, mis juurutab "Windows UEFI CA 2023" serdi Secure Boot DB-s, et lisada usaldust selle serdi allkirjastatud Windowsi käivitushaldurite jaoks. Pange tähele, et sert "Windows UEFI CA 2023" võib olla installitud varasema Windowsi värskendusega.

    • Juhtelement käivitushalduri juurutamiseks, mis on allkirjastatud serdiga "Windows UEFI CA 2023".

    • Juhtelement " Windows Production PCA 2011" lisamiseks secure Boot DBX-i, mis blokeerib kõik selle serdi allkirjastatud Windowsi käivitushaldurid.

  • Võimalus lubada leevendusjuurutus järk-järgult, et teie vajadustest lähtuvalt oleks võimalik oma keskkonnas leevendusmeetmete juurutamise üle suuremat kontrolli anda.

  • Leevendused on interlocked nii, et neid ei saa juurutada vales järjestuses.

  • Lisasündmused, mis annavad teada seadmete olekut leevendusmeetmete rakendamise ajal. Lisateavet sündmuste kohta leiate teemast KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused.

See etapp on siis, kui julgustame kliente alustama leevendusmeetmete juurutamist ja meediumivärskenduste haldamist. Värskendused lisavad järgmised muudatused.

  • Juhised ja vahendid, mis on abiks meedia värskendamisel.

  • DBX-plokk on värskendatud täiendavate algkäivitushaldurite tühistamiseks.

Jõustamisetapp on vähemalt kuus kuud pärast juurutamise etappi. Kui jõustamisetapi jaoks antakse välja värskendused, sisaldavad need järgmist.

  • Sert "Windows Production PCA 2011" tühistatakse automaatselt, lisades turvalist algkäivituse UEFI keelatud loendisse (DBX) toega seadmetes. Need värskendused jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigile mõjutatud süsteemidele, ilma et oleks võimalik neid keelata.

CVE-2023-24932 seotud Windowsi sündmuselogi tõrked

Windowsi sündmuselogi kirjeid, mis on seotud DB ja DBX värskendamisega, on üksikasjalikult kirjeldatud KB5016061: Secure Boot DB ja DBX muutuja värskendussündmused.

Leevendusmeetmete rakendamisega seotud õnnestumissündmused on loetletud järgmises tabelis.

Leevendussammud

Sündmuse ID

Märkused.

DB värskenduse rakendamine

1036

PCA2023 sert lisati andmebaasi.

Käivitushalduri värskendamine

1799

Rakendati allkirjastatud PCA2023 käivitushaldur.

DBX-värskenduse rakendamine

1037

Rakendati DBX-i värskendus, mis ei usalda PCA2011 allkirjaserti.

Korduma kippuvad küsimused (KKK)

Enne tühistamiste rakendamist värskendage kõiki Windowsi operatsioonisüsteeme värskendustega, mis on välja antud 9. aprillil 2024 või hiljem. Võimalik, et te ei saa pärast tühistamiste rakendamist käivitada ühtegi Windowsi versiooni, mida pole värskendatud vähemalt 9. aprillil 2024 välja antud värskendustele. Järgige jaotises Algkäivitusprobleemide tõrkeotsing toodud juhiseid.

Algkäivitusprobleemide tõrkeotsing

Pärast kõigi kolme leevendusmeetmete rakendamist ei käivitu seadme püsivara Windows Production PCA 2011 allkirjastatud käivitushalduri abil. Püsivara teatatud algkäivituse tõrked on seadmepõhised. Lugege jaotist Taasteprotseduur .

Taasteprotseduur

Kui leevendusmeetmete rakendamisel läheb midagi valesti ja te ei saa seadet käivitada või peate käivitama väliskandjalt (nt mälupulgalt või PXE algkäivituselt), proovige järgmisi soovitusi.

  1. Lülitage Secure Boot välja.

    See toiming erineb seadmetootjatest ja mudelitest. Sisestage oma seadmete UEFI BIOS-i menüü, liikuge secure Booti sätetele ja lülitage see välja. Lisateavet selle protsessi kohta leiate oma seadme tootja dokumentatsioonist. Lisateavet leiate artiklist Turvalise algkäivituse keelamine.

  2. Lähtestage Secure Booti võtmed tehase vaikesätetele.

    Kui seade toetab turvaliste algkäivitusvõtmete tehase vaikesätete lähtestamist, tehke see toiming kohe.

    MÄRKUS Mõnel seadme tootjal on secure Booti muutujate jaoks nii suvand "Tühjenda" kui ka "Lähtesta", misjuhul tuleks kasutada "Reset". Eesmärk on viia Secure Booti muutujad tagasi tootjate vaikeväärtuste hulka.

    Seade peaks käivituma kohe, kuid võtke arvesse, et see on algkäivituskomplekti ründevarale haavatav. Secure Booti uuesti lubamiseks viige kindlasti lõpule selle taasteprotsessi 5. toiming.

  3. Proovige Windows käivitada süsteemikettalt.

    1. Windowsi sisselogimine.

    2. Käivitage järgmised käsud administraatori käsuviiba kaudu, et taastada algkäivitusfailid EFI süsteemi algkäivitussektsioonis. Tippige iga käsk eraldi ja vajutage sisestusklahvi (Enter):

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. BCDBooti käitamine tagastab "Algkäivitusfailid on loodud". Pärast selle teate kuvamist taaskäivitage seade uuesti Windowsisse.

  4. Kui 3. juhis ei taasta seadet edukalt, installige Windows uuesti.

    1. Käivitage seade olemasoleva taastekandja abil.

    2. Jätkake Windowsi installimist taastekandja abil.

    3. Windowsi sisselogimine.

    4. Taaskäivitage Windows, et kontrollida, kas seade käivitatakse uuesti Windowsiga.

  5. Lubage Secure Boot uuesti ja taaskäivitage seade.

    Sisestage seadme UEFI-liidese menüü, liikuge secure Booti sätetele ja lülitage see sisse. Lisateavet selle protsessi kohta leiate oma seadme tootja dokumentatsioonist. Lisateavet leiate jaotisest "Secure Booti uuesti lubamine".

Viited

Artiklis käsitletava kolmanda osapoole toote lõi Microsoftist sõltumatu ettevõte. Me ei anna nende toodete jõudluse ega töökindluse osas mitte mingigi kaudset ega muud garantiid.

Pakume kolmanda osapoole kontaktteavet, mis aitab teil leida tehnilist tuge. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Me ei taga selle kolmanda osapoole kontaktteabe täpsust.

Muudatuse kuupäev

Muudatuse kirjeldus

9. aprill 2024

  • Protseduuride, teabe, juhiste ja kuupäevade ulatuslikud muudatused. Pange tähele, et sellel kuupäeval tehtud ulatuslike muudatuste tõttu on mõned varasemad muudatused eemaldatud.

16. detsember 2023

  • Muutsid jaotises "Värskenduste ajastus" kolmanda juurutuse ja jõustamise väljaandmiskuupäevasid.

15. mai 2023

  • Toetuseta OS-i Windows 10 versiooni 21H1 eemaldati jaotisest "Kehtib järgmiste jaoks".

11. mai 2023

  • Jaotise "Juurutusjuhised" jaotise "Juurutusjuhised" 1. juhisesse on lisatud märkus HOIATUS Windows 11 versioonile 21H2 või 22H2 või mõnele Windows 10 versioonile ülemineku kohta.

10. mai 2023

  • Selgitati, et allalaaditavad Windowsi meediumid on värskendatud uusima kumulatiivse Teabevärskendused peagi saadaval.

  • Parandati sõna "Keelatud" õigekirja.

9. mai 2023

  • Lisati jaotisesse "Kehtib järgmisele" täiendavad toetatud versioonid.

  • Värskendatud on jaotise "Toiming" 1. juhist.

  • Värskendatud on jaotise "Juurutusjuhised" 1. etappi.

  • Parandatud on jaotise "Deploment guidelines" (Deploment guidelines) juhise 3a käsud.

  • Hyper-V UEFI-liidese piltide parandatud paigutus jaotises "Algkäivitusprobleemide tõrkeotsing".

27. juuni 2023

  • Eemaldatud märkus Windows 10 värskendamise kohta uuemale Windows 10 versioonile, mis kasutab lubamispaketti jaotises "Juurutusjuhised" jaotises 1.Installimine.

11. juuli 2023

  • Värskendati kuupäeva "9. mai 2023" eksemplarid kuupäevaks "11. juuli 2023", "9. mai 2023 ja 11. juuli 2023" või "9. mai 2023 või uuem".

  • Jaotises "Juurutusjuhised" märgime, et kõik SafeOS-i dünaamilised värskendused on nüüd saadaval WinRE sektsioonide värskendamiseks. Lisaks eemaldati väli CAUTION, kuna selle probleemi lahendab SafeOS-i dünaamiliste värskenduste väljaandmine.

  • Väljal "3. RAKENDAge tühistamiste jaotis" ja juhised on muudetud.

  • Jaotises "Windowsi sündmuselogi tõrked" lisatakse sündmuse ID 276.

25. august 2023

  • Värskendatud on mitmeid sõnastuse jaotisi ning lisatud on 11. juuli 2023 väljalase ja tulevane 2024. aasta väljaannete teave.

  • Osa sisu ümberkorraldamine jaotisest "Algkäivitatava meediumiga seotud probleemide vältimine" jaotiseni "Algkäivitatava meediumi värskendamine".

  • Värskendati jaotist "Värskenduste ajastus" muudetud juurutuskuupäevade ja -teabega.
Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×