KB5037167: Turbevärskenduste valideerimisprogrammi juhend CVE-2023-24932 testimiseks PCA2011 tühistamiseks

Sissejuhatus

See artikkel täiendab järgmist artiklit, mida värskendatakse 2024. aasta aprillis:

• KB5025885: Kuidas hallata Windowsi käivitushalduri tühistusi CVE-2023-24932 seotud turvalise algkäivituse muudatuste jaoks

See lisa kirjeldab värskendatud samm-sammulist protseduuri, et juurutada uusi leevendusi BlackLotus UEFI algkäivituskomplekti suhtes, mida jälitab CVE-2023-24932 , ja sisaldab teie keskkonna testimisjuhiseid.

Kaitsemaks haavatavate käivitushaldurite pahatahtliku kuritarvitamise eest, peame juurutama seadme püsivarale uue UEFI turvalise algkäivituse allkirjastamise serdi ja tühistama usalduse praeguse allkirjaserdi püsivara vastu. Nii muutuvad kõik olemasolevad haavatavad käivitushaldurid turvalise algkäivituse toega seadmete jaoks ebausaldusväärseteks. See juhend aitab teid selles protsessis.

Selles juhendis kirjeldatud leevendusetapid on järgmised.

1. Andmebaasi värskendamine: Secure Boot DB-le lisatakse uus PCA (PCA2023) sert, mis lubab seadmel selle serdi allkirjastatud kandjat algkäivitada.

2. Käivitushalduri installimine: Olemasolev PCA2011 allkirjastatud käivitushaldur asendatakse PCA2023 allkirjastatud käivitushalduriga.Mõlemad käivitushaldurid sisalduvad 2024. aasta aprilli turbevärskendustes.

3. DBX tühistab PCA2011: Secure Boot DBX-ile lisatakse keelav kirje, mis takistab PCA2011 allkirjastatud algkäivitushalduritel algkäivitamist.

Kas see kehtib minu kohta?

See juhend kehtib kõigi seadmete kohta, kus turvaline algkäivitus on lubatud, ja nende seadmete kõigi olemasolevate taastekandjate kohta.

Kui teie seadmes töötab Windows Server 2012 või Windows Server 2012 R2, lugege enne jätkamist kindlasti jaotist "Teadaolevad probleemid".

Enne alustamist

Teadaolevad probleemid

Ainult Windows Server 2012 ja Windows Sever 2012 R2 korral tehke järgmist.

• TPM 2.0-põhised süsteemid ei saa juurutada 2024. aasta aprilli turbepaigas välja antud leevendusi teadaolevate TPM-i mõõtmistega seotud ühilduvusprobleemide tõttu. 2024. aasta aprilli värskendused blokeerivad mõjutatud süsteemides leevendused #2 (käivitushaldur) ja #3 (DBX-i värskendus).

• Microsoft on probleemist teadlik ja tulevikus antakse välja värskendus TPM 2.0 põhiste süsteemide blokeeringu tühistamiseks.

• TPM-i versiooni kontrollimiseks paremklõpsake nuppu Start, klõpsake käsku Käivita ja tippige tpm.msc. Jaotise TPM Manufacturer Information (TPM-i tootjateave) keskmise paani paremas allnurgas peaksite nägema sätte Specification Version (Määrangu versioon) väärtust.

Nõustumise valideerimistoimingud

Ülejäänud artiklis käsitletakse seadmete leevendusmeetmetega nõustumise testimist. Leevendused pole vaikimisi lubatud. Kui teie ettevõte plaanib need leevendused lubada, tehke seadme ühilduvuse kontrollimiseks järgmised valideerimistoimingud.

Registrivõtme viide

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Tulemused ja tagasiside

Saatke suvp@microsoft.com meilisõnum testimistulemuste, küsimuste ja tagasisidega.

Taaste- ja taastetoimingud

Taastetoimingute tegemisel jagage Microsoftiga järgmisi andmeid.

• Ilmnenud algkäivituse nurjumise kuvatõmmis.

• Toimingud, mis viisid seadme algkäivitamiseni.

• Seadme konfiguratsiooni üksikasjad.

Taastetoimingu tegemisel peatage BitLocker enne toimingu alustamist.

Kui selle protsessi käigus läheb midagi valesti ja te ei saa seadet käivitada või peate käivitama väliskandjalt (nt mälupulk või PXE algkäivitus), proovige järgmisi toiminguid.

1. Secure Booti
   
   väljalülitamine See toiming erineb arvutitootjatest ja mudelitest. Sisestage arvutite UEFI BIOS-i menüü, liikuge Secure Booti sättele ja lülitage see välja. Täpsemat teavet selle protsessi kohta leiate oma arvuti tootja dokumentatsioonist. Lisateavet leiate teemast Turvalise algkäivituse keelamine.

2. Secure Booti võtmete
   
   eemaldamine Kui seade toetab Secure Booti võtmete eemaldamist või Secure Booti võtmete tehase vaikesätete lähtestamist, tehke see toiming kohe.  
   
   Seade peaks käivituma kohe, kuid võtke arvesse, et see on algkäivituskomplektide ründevarale haavatav. Secure Booti uuesti lubamiseks täitke selle taasteprotsessi lõpus kindlasti 5. juhis.

3. Proovige Windows käivitada süsteemikettalt.

   1. Kui BitLocker on lubatud ja läheb taastese, sisestage oma BitLockeri taastevõti.

   2. Windowsi sisselogimine.

   3. Käivitage järgmised käsud administraatori käsuviiba kaudu, et taastada algkäivitusfailid EFI süsteemi algkäivitussektsioonis:

      Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:

   4. BCDBooti käitamine peaks tagastama "Algkäivitusfailid on loodud".

   5. Kui BitLocker on lubatud, peatage BitLocker.

   6. Taaskäivitage seade.

4. Kui 3. juhis ei taasta seadet edukalt, installige Windows uuesti.

   1. Alustage olemasolevast taastekandjast.

   2. Jätkake Windowsi installimist taastekandja abil.

   3. Windowsi sisselogimine.

   4. Taaskäivitage, et kontrollida, kas seade käivitatakse edukalt Windowsiga.

5. Lubage Secure Boot ja taaskäivitage seade uuesti.
   
   Sisestage oma devicce UEFI menüü, liikuge Secure Booti sättele ja lülitage see sisse. Lisateavet selle protsessi kohta leiate oma seadme tootja dokumentatsioonist. Lisateavet leiate teemast Secure Booti uuesti lubamine.

6. Kui Windowsi käivitamine endiselt nurjub, sisestage UEFI BIOS uuesti ja lülitage secure Boot välja.

7. Käivitage Windows.

8. Jagage DB, DBX sisu Microsoftiga.

   1. Avage PowerShell administraatorirežiimis.

   2. Jäädvusta DB:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

   3. Jäädvustage DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

   4. Jagage faile , DBUpdateFw.bin ja dbxUpdateFw.bin genereerida toimingus 8b ja 8c.