See artikkel kehtib nendele toodetele.

Kokkuvõte

29. juulil 2020 avaldas Microsoft turbenõuandla 200011 , mis kirjeldab turbe algkäivitusega seotud uut haavatavust. Seadmed, mis usaldavad oma turvalise algkäivituse konfiguratsioonis Microsofti kolmanda osapoole ühtse püsivaraliidese (UEFI) sertimiskeskust (CA), võivad olla vastuvõtlikud ründajale, kellel on administraatoriõigused või füüsiline juurdepääs seadmele.

Sellest artiklist leiate juhised uusima secure Boot DBX-i tühistusloendi rakendamiseks haavatavate moodulite kehtetuks tunnistamiseks. 2022. aasta kevadel saadab Microsoft värskenduse Windows Update selle nõrkusega tegelemiseks.

Secure Booti värskenduse kahendandmed on majutatud sellel UEFI veebilehel.

Postitatud failid on järgmised.

  • UEFI tühistusloendi fail x86 jaoks (32-bitine)

  • UEFI tühistusloendi fail x64 jaoks (64-bitine)

  • UEFI tühistusloendi fail arm64 jaoks

Pärast nende räsiväärtuste lisamist teie seadme secure Boot DBX-ile pole nende rakenduste laadimine enam lubatud. 

NB!: See sait majutab faile iga arhitektuuri jaoks. Iga majutatud fail sisaldab ainult konkreetse arhitektuuri jaoks kehtivaid rakenduste räsifaile. Üks neist failidest tuleb rakendada igale seadmele, kuid veenduge, et rakendaksite selle arhitektuuri jaoks asjakohase faili. Kuigi tehniliselt on võimalik rakendada värskendust mõnele muule arhitektuurile, jätab sobiva värskenduse mitte installimine seadme kaitseta.

Ettevaatust! Enne nende juhiste proovimist lugege selle nõrkuse kohta peamist nõuandvat artiklit. DBX-värskenduste vale rakendamine võib takistada teie seadme käivitumist.

Järgige neid juhiseid ainult juhul, kui täidetud on järgmised tingimused.

  • Olete veendunud, et teie seade usaldab turvalise algkäivituse konfiguratsioonis kolmanda osapoole UEFI CA-d. Selleks käivitage PowerShelli administratiivse seansi ajal järgmine PowerShelli rida:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Te ei toetu ühegi selle värskenduse poolt blokeeritud algkäivitusrakenduse käivitamisel.

Lisateave

DBX-värskenduse rakendamine Windows

Pärast hoiatuste lugemist ja veendumist, et teie seade ühildub, tehke Secure Boot DBX-i värskendamiseks järgmist.

  1. Laadige sellelt UEFI-liidese veebilehelt alla oma platvormi jaoks sobiv UEFI tühistusloendi fail (Dbxupdate.bin).

  2. Nende rakendamiseks PowerShelli cmdlet-käskude abil peate faili Dbxupdate.bin tükeldama vajalikeks komponentideks. Selleks toimige järgmiselt.

    1. Laadige PowerShelli skript sellelt PowerShelli galerii veebilehelt alla.

    2. Käivitage failis Dbxupdate.bin järgmine PowerShelli skript:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. Veenduge, et käsk oleks loonud järgmised failid:

      "Applying" step 2c command output

      • Content.bin – sisu värskendamine

      • Signature.p7 – signatuuride autoriseerimine värskendusprotsessis

  3. Käivitage PowerShelli haldusseansis DBX-värskenduse rakendamiseks cmdlet-käsk Set-SecureBootUefi :

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Oodatav väljundi


    "Applying" step 3 command output

  4. Värskenduse installimise lõpuleviimiseks taaskäivitage seade.

Secure Booti konfiguratsiooni cmdlet-käsu ja selle DBX-värskenduste jaoks kasutamise kohta leiate lisateavet teemast Set-Secure.

Värskenduse õnnestumise kontrollimine  

Kui olete eelmises jaotises toodud juhised edukalt lõpule viinud ja seadme taaskäivitanud, järgige neid juhiseid, et kontrollida, kas värskendus on edukalt rakendatud. Pärast edukat kontrollimist ei mõjuta GRUB haavatavus enam teie seadet.

  1. Laadige sellelt GitHub Gisti veebisaidilt alla DBX-i värskenduste kontrollimise skriptid.

  2. Ekstraktige tihendatud failist skriptid ja kahendfailid.

  3. DBX-i värskenduse kontrollimiseks käivitage järgmine PowerShelli skript kaustas, mis sisaldab laiendatud skripte ja kahendfaile:

    Check-Dbx.ps1 .\dbx-2021-April.bin' 

    Märkus. Kui selle tühistatud loendi failiarhiivi 2020. aasta juuli või oktoobri 2020 versioonile vastav DBX-värskendus on rakendatud, käivitage selle asemel järgmine sobiv käsk:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Kontrollige, kas väljund vastab oodatud tulemile:

    "Verifying" step 4 command output

KKK

K1: Mida tähendab tõrketeade "Get-SecureBootUEFI: cmdlet-käsud, mida sellel platvormil ei toetata"?

A1: See tõrketeade näitab, et arvutis on lubatud turvalise käivitamise funktsioon NO. Seetõttu ei mõjuta seda seadet GRUB haavatavus. Rohkem pole vaja midagi ette võtta.

K2: Kuidas konfigureerida seadet usaldama või mitte usaldama kolmanda osapoole UEFI CA-d? 

A2: Soovitame teil konsulteerida oma OEM-i tarnijaga. 

Microsoft Surface'i korral määrake sätte Secure Boot väärtuseks "Ainult Microsoft" ja seejärel käivitage järgmine PowerShelli käsk (tulem peaks olema "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Lisateavet Microsoft Surface'i jaoks konfigureerimise kohta leiate teemast Surface'i UEFI-liidese sätete haldamine – Surface | Microsoft Docs.

Küsimus. Kas see probleem mõjutab Azure IaaS-i põlvkonna 1. ja 2. põlvkonna virtuaalarvutiid? 

A3: Ei. Azure'i külalisvirtuaalarvutid Gen1 ja Gen2 ei toeta turvalise algkäivituse funktsiooni. Seetõttu ei mõjuta usaldusrünne neid. 

Kv4: Kas ADV200011 ja CVE-2020-0689 viitavad samale nõrkusele, mis on seotud Secure Bootiga? 

A: Ei. Need turbenõustajad kirjeldavad erinevaid nõrkusi. "ADV200011" viitab GRUB -i nõrkusele (Linuxi komponent), mis võib põhjustada Secure Booti möödumise. "CVE-2020-0689" viitab turbefunktsiooni möödumise nõrkusele, mis on secure Bootis olemas. 

K5: Ma ei saa käitada ühtegi PowerShelli skripti. Mida peaksin tegema?

A: PowerShelli käivituspoliitika kontrollimiseks käivitage käsk Get-ExecutionPolicy . Olenevalt väljundist peate võib-olla käivituspoliitikat värskendama.

Muude tootjate tooted, mida selles artiklis käsitletakse, on valmistatud ettevõtete poolt, kes ei ole Microsoftiga seotud. Microsoft ei anna nende toodete jõudluse ega töökindluse osas mitte mingigi kaudset ega muud garantiid. 

Microsoft pakub kolmanda osapoole kontaktteavet, mis aitab teil selle teema kohta lisateavet leida. Seda kontaktteavet võidakse ette teatamata muuta. Microsoft ei taga kolmanda osapoole kontaktteabe täpsust. 

Kehtib järgmise jaoks:

Windows 10 32-bitiste süsteemide
jaoks Windows 10 x64-põhistele süsteemidele
Windows 10 versioon 2004 32-bitiste süsteemide
jaoks Windows 10 versioon 2004 ARM64-põhistele süsteemidele
Windows 10 versioon 2004 x64-põhistele süsteemidele
Windows 10 versioon 1909 32- bit Systems
Windows 10 versioon 1909 ARM64-põhistele süsteemidele
Windows 10 versioon 1909 x64-põhistele süsteemidele
Windows 10 versioon 1903 32-bitiste süsteemide
jaoks Windows 10 versioon 1903 ARM64-põhistele süsteemidele
Windows 10 versioon 1903 x64-põhistele süsteemidele
Windows 10 Versioon 1809 32-bitiste süsteemide
jaoks Windows 10 versioon 1809 ARM64-põhistele süsteemidele
Windows 10 versioon 1809 x64-põhistele süsteemidele
Windows 10 versioon 1803 32-bitiste süsteemide
jaoks Windows 10 versioon 1803 ARM64-põhistele süsteemidele
Windows 10 versioon 1803 x64-põhistele süsteemidele
Windows 10 versioon 1709 32-bitiste süsteemide
jaoks Windows 10 versioon 1709 ARM64-põhistele süsteemidele
Windows 10 versioon 1709 x64-põhistele süsteemidele
Windows 10 versioon 1607 32-bitiste süsteemide
jaoks Windows 10 versioon 1607 x64-põhistele süsteemidele
Windows 8 .1 x64-põhiste süsteemide 32-bitiste süsteemide
Windows 8.1 jaoks Windows RT 8.1
Windows Server, versioon 2004 (Server Core'i installimine)
Windows Server, versioon 1909 (Serveri tuuma install)
Windows Server, versioon 1903 (Server Core'i installimine)
Windows
Server 2019
Windows Server 2019 (Server Core'i install)
Windows Server 2016 Windows Server 2016
(Server Core'i installimine)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core'i installimine)
Windows Server 2012
Windows Server 2012 (Serveri tuuma installimine)

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×