See artikkel kehtib nendele toodetele.

Kokkuvõte

29. juulil 2020 avaldas Microsoft turbebülletääni 200011, mis kirjeldab uut turvakäivitusega seotud haavatavust. Seadmed, mis usaldavad Microsofti kolmanda osapoole Unified Extensible'i püsivaraliidese (UEFI) sertimiskeskuse (CA) turvaliste algkäivituskonfiguratsioone, võivad olla tundlikud ründajale, kellel on administraatoriõigused või füüsiline juurdepääs seadmele.

Selles artiklis antakse juhised kaitsetute moodulite kehtetuks tunnistamiseks uusima Secure Boot DBX-i tühistamisloendi rakendamiseks. Microsoft lükkab värskenduse Windows update'i, et lahendada see haavatavus 2021. aasta keskel.

Secure Boot update'i kahendfaile majutatakse sellel UEFI veebilehel.

Postitatud failid on järgmised.

  • UEFI tühistamisloendi fail x86 jaoks (32-bitine)

  • UEFI-tühistamisloendi fail x64-le (64-bitine)

  • UEFI tühistamisloendi fail arm64 jaoks

Pärast seda, kui need hashes on teie seadmes secure Boot DBX-i lisatud, ei lubata neid rakendusi enam laadida. 

NB!: See sait majutab faile iga arhitektuuri jaoks. Iga majutatud fail sisaldab ainult konkreetsele arhitektuurile rakenduvad rakenduste hashes. Iga seadme jaoks tuleb rakendada üks neist failidest, kuid veenduge, et rakendate faili, mis on selle arhitektuuri jaoks oluline. Kuigi tehniliselt on võimalik rakendada värskendust muu arhitektuuri jaoks, jätab asjakohase värskenduse installimine seadme kaitseta.

Ettevaatust! Enne nende juhiste proovimist lugege selle haavatavuse kohta peamist nõuandvat artiklit. DBX-i värskenduste valesti rakendamine võib takistada teie seadme käivitumist.

Järgige neid juhiseid ainult juhul, kui täidetud on järgmised tingimused.

  • Olete kontrollinud, kas teie seade usaldab teie Secure Booti konfiguratsioonis kolmanda osapoole UEFI CA-d. Selleks käivitage PowerShelli haldusseansi kaudu järgmine PowerShelli rida:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Te ei lootma ühegi selle värskendusega blokeeritud algkäivitusrakenduse käivitamist.

Lisateave

DBX-i värskenduse rakendamine Windows

Pärast hoiatuste lugemist ja seadme ühilduvuse kontrollimist tehke secure Boot DBX-i värskendamiseks järgmist.

  1. Laadige oma platvormi jaoks alla sobiv UEFI-tühistamisloendi fail (Dbxupdate.bin) sellelt UEFI veebilehelt.

  2. Nende rakendamiseks PowerShelli cmdlet-käskude abil peate faili Dbxupdate.bin tükeldama vajalikeks komponentideks. Selleks toimige järgmiselt.

    1. Laadige PowerShelli skript alla powerShelli galerii veebilehelt.

    2. Käivitage dbxupdate.bin failis järgmine PowerShelli skript:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. Veenduge, et käsk oleks loonud järgmised failid:

      "Rakendamine" juhis 2c käsuväljund

      • Content.bin – sisu värskendamine

      • Signature.p7 – värskendusprotsessi autoriks andmine allkirjaga

  3. PowerShelli haldusseansis käivitage DBX-i värskenduse rakendamiseks cmdlet-käsk Set-SecureBootUefi:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Eeldatav


    väljundi 3. juhise "Rakendamine" käsuväljund

  4. Värskenduse installimise lõpuleviimiseks taaskäivitage seade.

Lisateavet cmdlet-käsu Secure Boot configuration kohta ja selle kasutamise kohta DBX-i värskenduste jaoks leiate teemast Set-Secure.

Värskenduse õnnestumise kontrollimine  

Kui olete eelmises jaotises toodud juhised edukalt lõpule jõudnud ja seadme taaskäivitanud, järgige neid juhiseid, et veenduda, kas värskendus on rakendatud. Pärast edukat kontrollimist ei mõjuta GRUB-i haavatavus enam teie seadet.

  1. Laadige DBX-i värskenduskontrolli skriptid alla sellelt GitHub Gist veebilehelt.

  2. Ekstraktige tihendatud failist skriptid ja kahendfailid.

  3. Käivitage järgmine PowerShelli skript kaustas, mis sisaldab laiendatud skripte ja kahendfaile DBX-i värskenduse

    kontrollimiseks:Check-Dbx.ps1 .\dbx-2021-April.bin' 

    Märkus. Kui rakendati DBX-i värskendus, mis vastab selle tühistamisloendi failiarhiivi 2020. või 2020Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Veenduge, et väljund vastaks eeldatud tulemile:

    "Verifying" step 4 command output

KKK

1. Küsimus. Mida tähendab tõrketeade "Get-SecureBootUEFI: Cmdlet-käsud, mida sellel platvormil ei toetata"?

A1: See tõrketeade näitab, et arvutis on lubatud NO Secure Booti funktsioon. Seetõttu ei mõjuta SEDA seadet GRUB-i haavatavus. Edasisi tegevusi pole vaja teha.

2. küsimus. Kuidas konfigureerida seade kolmanda osapoole UEFI CA-d usaldama või mitte usaldama? 

A2: Soovitame teil oma OEM-i tarnijaga nõu pidada. 

Microsoft Surface'i puhul muutke sätte Secure Boot sätteks "Microsoft Only" (Microsoft Only) ja seejärel käivitage järgmine PowerShelli käsk (tulem peaks olema "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Lisateavet Microsoft Surface'i konfigureerimise kohta leiate teemast Surface'i UEFI sätete haldamine – Surface'i | Microsoft Docs.

Küsimus 3. Kas see probleem mõjutab Azure IaaS-i põlvkonna 1 ja 2 põlvkonna virtuaalarvutiid? 

A3: Ei. Azure'i külalis virtuaalarvutid Gen1 ja Gen2 ei toeta Secure Booti funktsiooni. Seetõttu ei mõjuta usaldusrünnak neid. 

K4. Kas ADV200011 ja CVE-2020-0689 viitavad samale turvakäivitusega seotud haavatavusele? 

A. Ei. Need turbenõustajad kirjeldavad erinevaid haavatavusi. "ADV200011" viitab GRUB-i (Linuxi komponendi) haavatavusele, mis võib põhjustada turvalise algkäivituse möödasõidu. "CVE-2020-0689" viitab turbefunktsioonile, mis eirab Turvakäivitusfunktsiooni haavatavust. 

Küsimus5. Ma ei saa käitada kumbagi PowerShelli skripti. Mida peaksin tegema?

A. PowerShelli käivitamispoliitika kontrollimiseks käivitage käsk Get-ExecutionPolicy. Olenevalt väljunditest peate võib-olla värskendama käivitamispoliitikat.

Selles artiklis käsitletud muude tootjate tooteid toodab Microsoftist sõltumatud ettevõtted. Microsoft ei garanteeri nende toodete jõudlust ega töökindlust ega kaudset ega muud garantiid. 

Microsoft pakub kolmanda osapoole kontaktteavet, mis aitab teil selle teema kohta lisateavet leida. Seda kontaktteavet võidakse ette teatamata muuta. Microsoft ei taga kolmanda osapoole kontaktteabe täpsust. 

Kehtib järgmiste toodete kohta:

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te tõlkekvaliteediga olete?
Mis mõjutas teie kasutuskogemust?

Täname tagasiside eest!

×