Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

TÄRKEÄÄ Ota käyttöön 9. huhtikuuta 2024 tai sen jälkeen julkaistu Windowsin suojauspäivitys osana tavallista kuukausittaista päivitysprosessia.

Tämä artikkeli koskee niitä organisaatioita, joiden tulisi alkaa arvioida julkistetun suojatun käynnistyksen ohituksen lievennyksiä BlackLotus UEFI -käynnistyspaketin avulla. Lisäksi kannattaa ottaa ennakoiva suojausasenne tai valmistautua käyttöönottoon. Huomaa, että tämä haittaohjelma edellyttää laitteen fyysistä tai hallinnollista käyttöoikeutta.

VAROITUS Kun tämän ongelman lieventäminen on otettu käyttöön laitteessa, eli lievennyksiä on käytetty, sitä ei voi palauttaa, jos jatkat suojatun käynnistyksen käyttöä kyseisessä laitteessa. Edes levyn uudelleenmuotoilu ei poista peruutuksia, jos ne on jo otettu käyttöön. Huomioi mahdolliset seuraukset ja testaa ne huolellisesti, ennen kuin otat tässä artikkelissa kuvatut peruutukset käyttöön laitteessasi.

Tässä artikkelissa

Yhteenveto

Tässä artikkelissa kuvataan suojaus julkistetun suojatun käynnistyksen suojausominaisuuden ohitusta vastaan, joka käyttää CVE-2023-24932:n jäljittämää BlackLotus UEFI -käynnistyspakettia, miten lievennykset otetaan käyttöön, ja ohjeita käynnistystietovälineisiin. Bootkit on haittaohjelma, joka on suunniteltu lataamaan mahdollisimman aikaisin laitteiden käynnistysjärjestyksessä käyttöjärjestelmän käynnistyksen hallitsemiseksi.

Microsoft suosittelee suojattua käynnistystä turvallisen ja luotetun polun luottamiseen Unified Extensible Firmware Interface (UEFI) -liittymästä Windows-ytimen luotetun käynnistyssarjan kautta. Suojattu käynnistys auttaa estämään käynnistysohjelman haittaohjelmia käynnistysjärjestyksessä. Jos poistat suojatun käynnistyksen käytöstä, laite on vaarassa saada bootkit-haittaohjelman tartunnan. CVE-2023-24932 -päivityksessä kuvatun suojatun käynnistyksen ohituksen korjaaminen edellyttää käynnistyspäälliköiden peruuttamista. Tämä voi aiheuttaa ongelmia joissakin laitteen käynnistysmäärityksissä.

CVE-2023-24932:ssa yksityiskohtaiset suojatun käynnistyksen ohitussuojauksen lievennykset sisältyvät Windowsin suojauspäivityksiin, jotka julkaistiin 9. huhtikuuta 2024 tai sen jälkeen. Nämä lievennykset eivät kuitenkaan ole oletusarvoisesti käytössä. Näiden päivitysten avulla suosittelemme, että alat arvioida näitä muutoksia ympäristössäsi. Täydellinen aikataulu on kuvattu Päivitysten ajoitus - osassa.

Ennen kuin otat nämä lievennykset käyttöön, tarkista tämän artikkelin tiedot perusteellisesti ja määritä, onko sinun otettava lievennykset käyttöön vai odotettava Microsoftin tulevaa päivitystä. Jos otat lievennykset käyttöön, sinun on varmistettava, että laitteesi ovat päivitettyjä ja valmiita, ja ymmärrettävä tässä artikkelissa kuvatut riskit. 

Toimi 

Tässä versiossa on noudatettava seuraavia ohjeita:

Vaihe 1: Asenna 9. huhtikuuta 2024 tai sen jälkeen julkaistu Windowsin suojauspäivitys kaikkiin tuettuihin versioihin.

Vaihe 2: Arvioi muutokset ja niiden vaikutus ympäristöön.

Vaihe 3: Pakota muutokset.

Vaikutusalue

BlackLotus-käynnistyspaketti vaikuttaa kaikkiin Windows-laitteisiin, joissa suojatun käynnistyksen suojaus on käytössä. Lievennykset ovat käytettävissä tuetuissa Windows-versioissa. Täydellinen luettelo on artikkelissa CVE-2023-24932.

Riskien ymmärtäminen

Haittaohjelmariski: Jotta tässä artikkelissa kuvattu BlackLotus UEFI -bootkit-hyökkäys on mahdollinen, hyökkääjän on hankittava järjestelmänvalvojan oikeudet laitteessa tai saatava fyysinen pääsy laitteeseen. Tämän voi tehdä käyttämällä laitetta fyysisesti tai etäyhteyden kautta, esimerkiksi käyttämällä hypervisoria virtuaalikoneiden/pilvipalveluiden käyttämiseen. Hyökkääjä käyttää usein tätä haavoittuvuutta jatkaakseen sellaisen laitteen hallintaa, jota hän voi jo käyttää ja mahdollisesti käsitellä. Tämän artikkelin lievennykset ovat ehkäiseviä eivätkä korjaavia. Jos laitteeseesi on jo murtauduttu, pyydä apua suojauspalveluntarjoajaltasi.

Palautustietoväline: Jos kohtaat laitteen kanssa ongelman lievennysten käyttöönoton jälkeen ja laite muuttuu käynnistymättömäksi, et ehkä pysty käynnistämään tai palauttamaan laitetta aiemmin luodusta tietovälineestä. Palautus- tai asennustietoväline on päivitettävä niin, että se toimii laitteessa, jossa lievennykset ovat käytössä.

Laiteohjelmisto-ongelmat: Kun Windows käyttää tässä artikkelissa kuvattuja lievennyksiä, sen on käytettävä laitteen UEFI-laiteohjelmistoa suojatun käynnistyksen arvojen päivittämiseen (päivityksiä käytetään tietokantaavaimeen (DB) ja kiellettyyn allekirjoitusavaimeen (DBX).) Joissakin tapauksissa meillä on kokemusta laitteista, jotka epäonnistuvat päivityksissä. Teemme yhteistyötä laitevalmistajien kanssa näiden tärkeiden päivitysten testaamiseksi mahdollisimman monessa laitteessa.

HUOMAUTUS Testaa ensin nämä lievennykset yhdellä laitteella laiteluokkaa kohti ympäristössäsi mahdollisten laiteohjelmisto-ongelmien havaitsemiseksi. Älä ota käyttöön laajasti ennen kuin varmistat, että kaikki ympäristösi laiteluokat on arvioitu.

BitLocker-palautus: Jotkin laitteet saattavat siirtyä BitLocker-palautukseen. Muista säilyttää BitLocker-palautusavaimen kopio, ennen kuin otat lievennykset käyttöön.

Tunnetut ongelmat

Laiteohjelmisto-ongelmat:Kaikki laitteen laiteohjelmistot eivät päivitä suojattua käynnistystä DB tai DBX. Olemme ilmoittaneet ongelmasta laitteen valmistajalle, jos olemme tietoisia siitä. Katso lokiin kirjattujen tapahtumien tiedot artikkelista KB5016061: Suojattu käynnistys DB ja DBX-muuttujapäivitystapahtumat . Pyydä laiteohjelmistopäivityksiä laitteen valmistajalta. Jos laitetta ei tueta, Microsoft suosittelee laitteen päivittämistä.

Tunnetut laiteohjelmisto-ongelmat:

HUOMAUTUS Seuraavilla tunnetuilla ongelmilla ei ole vaikutusta, eivätkä ne estä 9. huhtikuuta 2024 julkaistujen päivitysten asentamista. Useimmissa tapauksissa lievennyksiä ei sovelleta silloin, kun tunnettuja ongelmia on olemassa. Katso kunkin tunnetun ongelman tiedot.

  • HP: HP havaitsi ongelman HP Z4G4 Workstation -tietokoneiden lievennysasennuksessa ja julkaisee päivitetyn Z4G4 UEFI -laiteohjelmiston (BIOS) tulevina viikkoina. Lievennyksen onnistuneen asennuksen varmistamiseksi se estetään työasemien työasemilla, kunnes päivitys on saatavilla. Asiakkaiden tulee aina päivittää uusimpaan bios-järjestelmään ennen lievennyksen soveltamista.

  • HP-laitteet, joissa on Varma aloitussuojaus: Nämä laitteet tarvitsevat HP:n uusimmat laiteohjelmistopäivitykset lievennysten asentamista varten. Lievennykset estetään, kunnes laiteohjelmisto päivitetään. Asenna uusin laiteohjelmistopäivitys HPs-tukisivulta – Viralliset HP-ohjaimet ja ohjelmistolataukset | HP-tuki.

  • Arm64-pohjaiset laitteet: Lievennykset estetään Qualcomm-pohjaisten laitteiden tunnettujen UEFI-laiteohjelmisto-ongelmien vuoksi. Microsoft työskentelee Qualcommin kanssa tämän ongelman ratkaisemiseksi. Qualcomm tarjoaa korjauksen laitevalmistajille. Ota yhteyttä laitteen valmistajaan ja selvitä, onko ongelmaan saatavilla korjausta. Microsoft lisää tunnistuksen, jotta lievennyksiä voidaan käyttää laitteissa, kun kiinteä laiteohjelmisto havaitaan. Jos Arm64-pohjaisessa laitteessasi ei ole Qualcomm-laiteohjelmistoa, ota lievennykset käyttöön määrittämällä seuraava rekisteriavain.

    Rekisterin aliavain

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Näppäinarvon nimi

    SkipDeviceCheck

    Tietotyyppi

    REG_DWORD

    Tiedot

    1

  • Apple:Mac-tietokoneet, joissa on Apple T2 Security Chip -siru, tukevat suojattua käynnistystä. UEFI-suojaukseen liittyvien muuttujien päivittäminen on kuitenkin käytettävissä vain macOS-päivitysten osana. Boot Camp -käyttäjien odotetaan näkevän näihin muuttujiin liittyvän tapahtumalokimerkinnän Tapahtumatunnus 1795 Windowsissa. Lisätietoja tästä lokimerkinnästä on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.

  • Vmware:VMware-pohjaisissa virtualisointiympäristöissä virtuaalikone, joka käyttää x86-pohjaista suoritinta ja suojattu käynnistys on käytössä, ei käynnisty lievennysten käyttöönoton jälkeen. Microsoft koordinoi VMwaren kanssa tämän ongelman ratkaisemiseksi.

  • TPM 2.0 -pohjaiset järjestelmät:  Nämä järjestelmät, joissa käytetään Windows Server 2012:a ja Windows Server 2012 R2:a, eivät voi ottaa käyttöön 9. huhtikuuta 2024 julkaistuja lievennyksiä TPM-mittojen tunnettujen yhteensopivuusongelmien vuoksi. 9. huhtikuuta 2024 julkaistut suojauspäivitykset estävät lievennykset #2 (käynnistyksen hallinta) ja #3 (DBX-päivitys) järjestelmissä, joihin ongelma vaikuttaa.

    Microsoft on tietoinen ongelmasta, ja myöhemmin julkaistaan päivitys TPM 2.0 -pohjaisten järjestelmien eston poistamiseksi.

    Voit tarkistaa TPM-versiosi napsauttamalla käynnistä-painiketta hiiren kakkospainikkeella, valitsemalla Suorita ja kirjoittamalla sitten tpm.msc. Keskiruudun oikeassa alakulmassa TPM-turvapiirin valmistajan tiedot -kohdassa pitäisi näkyä määrityksen version arvo.

  • Symantecin päätepisteen salaus: Suojatun käynnistyksen lievennyksiä ei voi käyttää järjestelmissä, jotka ovat asentaneet Symantecin päätepisteen salauksen. Microsoft ja Symantec ovat tietoisia ongelmasta, ja ne korjataan tulevassa päivityksessä.

Tämän julkaisun ohjeet

Noudata tässä versiossa näitä kahta vaihetta.

Vaihe 1: Asenna Windowsin suojauspäivitys

Asenna 9. huhtikuuta 2024 tai sen jälkeen julkaistu Windowsin kuukausittainen suojauspäivitys tuettuihin Windows-laitteisiin. Nämä päivitykset sisältävät CVE-2023-24932:n lievennyksiä, mutta ne eivät ole oletusarvoisesti käytössä. Kaikkien Windows-laitteiden on suoritettava tämä vaihe riippumatta siitä, aiotko ottaa lievennykset käyttöön.

Vaihe 2: Muutosten

arvioiminen Suosittelemme, että toimit seuraavasti:

  • Tutustu kahteen ensimmäiseen lievennykseen, jotka sallivat suojatun käynnistyksen DB:n päivittämisen ja käynnistyksen hallinnan päivittämisen.

  • Tarkista päivitetty aikataulu.

  • Aloita kahden ensimmäisen lievennysympäristösi edustavien laitteiden testaaminen.

  • Aloita käyttöönottovaiheen suunnittelu 9. heinäkuuta 2024.

Vaihe 3: Muutosten pakottaminen

Kehotamme sinua ymmärtämään riskit, jotka on kutsuttu Riskien ymmärtäminen -osiossa.

  • Tutustu palautuksen ja muiden käynnistystietovälineiden vaikutuksiin.

  • Aloita kolmannen lievennyksen testaaminen, joka ei luota kaikkien aiempien Windows-käynnistysten valvojien allekirjoitusvarmenteeseen.

Lievennyksen käyttöönoton ohjeet

Asenna 9. huhtikuuta 2024 tai sen jälkeen julkaistu Windowsin kuukausittainen ylläpitopäivitys tuettuihin Windows-laitteisiin ennen näiden ohjeiden noudattamista. Tämä päivitys sisältää CVE-2023-24932-lievennyksiä, mutta ne eivät ole oletusarvoisesti käytössä. Kaikkien Windows-laitteiden tulee suorittaa tämä vaihe riippumatta suunnitelmastasi, jotta lievennykset voidaan ottaa käyttöön.

HUOMAUTUS Jos käytät BitLockeria, varmista, että BitLocker-palautusavain on varmuuskopioitu. Voit suorittaa seuraavan komennon järjestelmänvalvojan komentokehotteesta ja merkitä 48-numeroisen numerosalasanamerkin:

manage-bde -protectors -get %systemdrive%

Ota päivitys käyttöön ja ota peruutukset käyttöön seuraavasti:

  1. Asenna päivitetyt varmennemääritykset DB:hen.

    Tämä vaihe lisää "Windows UEFI CA 2023" -varmenteen UEFI "Secure Boot Signature Database" (DB) -tietokantaan. Lisäämällä tämän varmenteen DB:hen laitteen laiteohjelmisto luottaa tämän varmenteen allekirjoittamiin käynnistyssovelluksiin.

    1. Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain suorittamaan DB-päivitys kirjoittamalla seuraava komento:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      TÄRKEÄÄ Varmista, että laite käynnistetään uudelleen kaksi kertaa päivityksen asennuksen viimeistelemiseksi, ennen kuin siirryt vaiheisiin 2 ja 3.

    2. Suorita seuraava PowerShell-komento järjestelmänvalvojana ja varmista, että DB on päivitetty onnistuneesti. Tämän komennon pitäisi palauttaa arvo Tosi.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Päivitä laitteesi käynnistyksen hallinta.

    Tämä vaihe asentaa laitteeseesi käynnistyksen hallintasovelluksen, joka on allekirjoitettu Windows UEFI CA 2023 -varmenteella.

    1. Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain asentamaan "'Windows UEFI CA 2023" allekirjoitettu käynnistyksen hallinta:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Käynnistä laite uudelleen kaksi kertaa.

    3. Järjestelmänvalvojana ota EFI-osio käyttöön ja valmistele se tarkastusta varten:

      mountvol s: /s

    4. Tarkista, että "s:\efi\microsoft\boot\bootmgfw.efi" -tiedosto on allekirjoitettu Windows UEFI CA 2023 -varmenteella. Voit tehdä tämän seuraavasti:

      1. Valitse Käynnistä, kirjoita komentokehoteHaku-ruutuun ja valitse sitten Komentokehote.

      2. Kirjoita Komentokehote-ikkunaan seuraava komento ja paina sitten Enter-näppäintä:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Napsauta Tiedostonhallinnassa hiiren kakkospainikkeella tiedostoa C:\bootmgfw_2023.efi, valitse Ominaisuudet ja valitse sitten Digitaaliset allekirjoitukset -välilehti.

      4. Vahvista Allekirjoitus-luettelossa, että varmenneketju sisältää Windows UEFI CA 2023:n. Varmenneketjun pitäisi vastata seuraavaa näyttökuvaa:

        Todistukset

  3. Ota kumous käyttöön.

    UEFI Forbidden List (DBX) -luetteloa käytetään estämään ei-luotettujen UEFI-moduulien lataaminen. Tässä vaiheessa DBX:n päivittäminen lisää "Windows Production CA 2011" -varmenteen DBX:een. Tämä aiheuttaa sen, että kaikkia tämän varmenteen allekirjoittamia käynnistyspäälliköitä ei enää luoteta.

    VAROITUS: Ennen kuin otat käyttöön kolmannen lievennyksen, luo palautus flash-asema, jota voidaan käyttää järjestelmän käynnistämiseen. Lisätietoja tästä on Ohjeaiheessa Windowsin asennustietovälineen päivittäminen.

    Jos järjestelmäsi on käynnistymättömässä tilassa, palauta laite peruuttamista edeltävään tilaan noudattamalla palautustoimintosarjan osion ohjeita.

    1. Lisää Windows Production PCA 2011 -varmenne suojatun käynnistyksen UEFI-kiellettyjen luetteloon (DBX). Voit tehdä tämän avaamalla komentokehoteikkunan järjestelmänvalvojana, kirjoittamalla seuraavan komennon ja painamalla sitten Enter-näppäintä:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Käynnistä laite uudelleen kaksi kertaa ja varmista, että se on täysin käynnistynyt uudelleen.

    3. Tarkista, että asennus- ja peruutusluettelo on otettu käyttöön, etsimällä tapahtumalokista tapahtuma 1037.

      Lisätietoja tapahtumasta 1037 on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat. Voit myös suorittaa seuraavan PowerShell-komennon järjestelmänvalvojana ja varmistaa, että se palauttaa arvon Tosi:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Käynnistystietoväline

Käynnistystietovälineen päivittäminen on tärkeää, kun käyttöönottovaihe alkaa ympäristössäsi. Ohjeita ja työkaluja mediatiedostojen päivittämiseen tarjotaan ajoissa käyttöönottovaihetta varten. Käyttöönottovaiheen on määrä alkaa 9. heinäkuuta 2024.

Esimerkkejä käynnistystietovälineistä ja palautustietovälineistä, joihin tämä ongelma vaikuttaa:

  • Luo palautusasema -toiminnolla luotu käynnistystietoväline.

  • Windowsin varmuuskopiot, jotka on näköistiedostossa ennen lievennysten käyttämistä. Niitä ei voi suoraan käyttää Windows-asennuksen palauttamiseen sen jälkeen, kun peruutukset on otettu käyttöön laitteessasi.

  • Mukautettu CD-/DVD-levy tai palautusosio, jonka sinä, laitteen valmistaja (OEM) tai yritykset olet luonut.

  • ISO (lataamalla tai ADK:n avulla).

  • Verkon käynnistys:

    • Windowsin käyttöönottopalvelut.

    • Preboot Execution Environment boot services (PXE boot services).

    • Microsoft Deployment Toolkit.

    • HTTPS-käynnistys.

  • OEM-laitevalmistajan asennus- ja palautustietoväline.

  • Microsoftin viralliset Windows-tiedotusvälineet, mukaan lukien:

  • Windows PE.

  • Windows asennettu fyysiseen laitteistoon tai virtuaalikoneisiin.

  • Windowsin kelpoisuustarkistuskäyttöjärjestelmä.

Jos käytät käynnistystietovälinettä henkilökohtaisessa Windows-laitteessa, sinun on ehkä tehtävä vähintään yksi seuraavista toimista, ennen kuin otat kumouksia käyttöön:

  • Jos käytät henkilökohtaista varmuuskopiointiohjelmistoa laitteesi sisällön tallentamiseen, suorita täydellinen varmuuskopio 9. huhtikuuta 2024 tehtyjen lievennysten käyttöönoton jälkeen.

  • Jos käytät käynnistyslevyn näköistiedostoa (ISO), CD-levyä tai DVD-levyä, päivitä tietoväline noudattamalla myöhemmin annettavia ohjeita.

Suuryritys

  • Katso kattavat ohjeet ja komentosarjat Windowsin asennustietovälineen päivittämisestä dynaamisella päivityksellä.

  • Jos tuet verkon käynnistys- tai palautusskenaarioja ympäristössäsi, sinun on päivitettävä kaikki mediatiedostot ja kuvat. Tämä voi sisältää seuraavat käynnistys- tai palautusvaihtoehdot:

    • Microsoft Deployment Toolkit.

    • Microsoftin päätepiste Configuration Manager.

    • Windowsin käyttöönottopalvelut.

    • PxE-käynnistys.

    • HTTPS-käynnistys ja muut verkon käynnistysskenaariot.

  • Yksi tapa tehdä tämä on käyttää DISM-offline-paketin asennusta kuviin, joita nämä skenaariot palvelevat. Tähän sisältyy näiden palveluiden tarjoamien käynnistystiedostojen päivittäminen.

  • Jos käytät varmuuskopiointiohjelmistoa Windows-asennuksen sisällön tallentamiseen palautusnäköistiedostoon, varmista, että suoritat täydellisen varmuuskopion 9. huhtikuuta 2024 tehtyjen lievennysten käyttöönoton jälkeen. Muista varmuuskopioida EFI-levyosio Windows-käyttöjärjestelmäosion lisäksi. Tunnista selvästi varmuuskopiot, jotka on tehty ennen 9.4.2024 tehtyjen lievennysten soveltamista, verrattuna lievennysten soveltamisen jälkeen tehtyihin varmuuskopioihin.

Windows-tietokoneen alkuperäiset laitevalmistajat

Windowsin asennustietovälineen päivittäminen

HUOMAUTUS Kun luot käynnistysasemaa, varmista, että alustat aseman FAT32-tiedostojärjestelmän avulla.

Voit käyttää Luo palautusasema -sovellusta seuraavasti. Tämän tietovälineen avulla voit asentaa laitteen uudelleen siltä varalta, että ilmenee suuri ongelma, kuten laitteistovirhe, voit käyttää palautusasemaa Windowsin uudelleenasentamiseen.

  1. Siirry laitteeseen, jossa on otettu käyttöön 9. huhtikuuta 2024 julkaistut päivitykset ja ensimmäinen lievennysvaihe (suojatun käynnistyksen DB:n päivittäminen).

  2. Etsi käynnistä-valikosta Ohjauspaneelin Luo palautusasema -sovelmalla ja luo palautusasema noudattamalla ohjeita.

  3. Kun juuri luotu muistitikku on otettu käyttöön (esimerkiksi asemalla "D:"), suorita seuraavat komennot järjestelmänvalvojana. Kirjoita kukin seuraavista komennoista ja paina sitten Enter-näppäintä:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jos hallitset asennettavia tietovälineitä ympäristössäsi käyttämällä Windowsin päivitystietovälinettä dynaamisen päivityksen ohjeiden avulla , toimi seuraavasti. Nämä lisävaiheet luovat käynnistysaseman, joka käyttää Windows UEFI CA 2023 -allekirjoitusvarmenteen allekirjoittamia käynnistystiedostoja.

  1. Siirry laitteeseen, jossa on otettu käyttöön 9. huhtikuuta 2024 päivitykset ja ensimmäinen lievennysvaihe (suojatun käynnistyksen DB:n päivittäminen).

  2. Luo mediasisältö 9. huhtikuuta 2024 julkaistujen päivitysten avulla noudattamalla alla olevan linkin ohjeita. Windowsin asennustietovälineen päivittäminen dynaamisella päivityksellä

  3. Aseta tietovälineen sisältö USB-muistitikulle ja asenna muistitikku asemakirjainna. Ota esimerkiksi muistitikku käyttöön muodossa "D:".

  4. Suorita seuraavat komennot komentoikkunasta järjestelmänvalvojana. Kirjoita kukin seuraavista komennoista ja paina sitten Enter-näppäintä.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jos laitteen suojatun käynnistyksen asetukset palautetaan oletusarvoon lievennysten käyttöönoton jälkeen, laite ei käynnisty. Ongelman ratkaisemiseksi 9. huhtikuuta 2024 julkaistuihin päivityksiin sisältyy korjaussovellus, jonka avulla voidaan ottaa uudelleen käyttöön Windows UEFI CA 2023 -varmenne DB:hen (lievennys #1).

HUOMAUTUS Älä käytä tätä korjaussovellusta laitteessa tai järjestelmässä, joka on kuvattu Tunnetut ongelmat -osassa.

  1. Siirry laitteeseen, jossa on otettu käyttöön 9. huhtikuuta 2024 julkaistut päivitykset.

  2. Kopioi palautussovellus komentoikkunassa muistitikkuun seuraavien komentojen avulla (olettaen, että muistitikku on D:-asema). Kirjoita kukin komento erikseen ja paina sitten Enter-näppäintä:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Aseta muistitikku oletusasetuksiin laitteessa, jossa suojatun käynnistyksen asetukset on palautettu oletusasetuksiin, käynnistä laite uudelleen ja käynnistä se muistitikusta.

Päivitysten ajoitus

Päivitykset julkaistaan seuraavasti:

  • Ensimmäinen käyttöönotto Tämä vaihe alkoi 9.5.2023 julkaistuilla päivityksillä, ja se tarjosi perusvähennyksiä manuaalisin vaihein näiden lievennysten mahdollistamiseksi.

  • Toinen käyttöönotto Tämä vaihe alkoi 11. heinäkuuta 2023 julkaistuilla päivityksillä, jotka lisäsivät yksinkertaistettuja vaiheita ongelman lieventämiseksi.

  • Arviointivaihe Tämä vaihe alkaa 9. huhtikuuta 2024 ja lisää käynnistyksen hallinnan lievennyksiä.

  • Lopullinen käyttöönottovaihe Tässä yhteydessä kannustamme kaikkia asiakkaita aloittamaan lievennysten käyttöönoton ja mediatietojen päivittämisen.

  • Pakotusvaihe Täytäntöönpanovaihe, joka tekee lievennyksistä pysyviä. Tämän vaiheen päivämäärä ilmoitetaan myöhemmin.

Huomautus Julkaisuaikataulua voidaan tarvittaessa muuttaa.

Tämä vaihe on korvattu Windowsin suojauspäivitysten julkaisulla 9. huhtikuuta 2024 tai sen jälkeen.

Tämä vaihe on korvattu Windowsin suojauspäivitysten julkaisulla 9. huhtikuuta 2024 tai sen jälkeen.

Tässä vaiheessa pyydämme testaamaan nämä muutokset ympäristössäsi varmistaaksesi, että muutokset toimivat oikein edustavien mallilaitteiden kanssa ja jotta saat käyttökokemusta muutoksista.

HUOMAUTUS Sen sijaan, että yrittäisimme luetteloita perusteellisesti ja olla luottamatta haavoittuviin käynnistyspäälliköihin, kuten edellisessä käyttöönottovaiheessa, lisäämme "Windows Production PCA 2011" -allekirjoitusvarmenteen DBX (Secure Boot Disallow List) -luetteloon, jotta emme luota kaikkiin tämän varmenteen allekirjoittamiin käynnistyspäälliköihin. Tämä on luotettavampi tapa varmistaa, että kaikkiin aiempiin käynnistyspäälliköihin ei luoteta.

Päivitykset Windowsille, joka on julkaistu 9. huhtikuuta 2024 tai sen jälkeen, lisää seuraavat:

  • Kolme uutta lievennysvalvontaa, jotka korvaavat vuonna 2023 julkaistut lievennykset. Uudet lievennysvalvontakeinot ovat seuraavat:

    • Windows UEFI CA 2023 -varmenteen käyttöönotto suojatun käynnistyksen DB:ssä ohjausobjekti, joka lisää tällä varmenteella allekirjoitettujen Windows-käynnistyspäälliköiden luottamuksen. Huomaa, että Windows UEFI CA 2023 -varmenne on saatettu asentaa aiemmassa Windows-päivityksessä.

    • Windows UEFI CA 2023 -varmenteen allekirjoittaman käynnistyshallinnan käyttöönottoohjausobjekti.

    • Ohjausobjekti, joka lisää "Windows Production PCA 2011" suojatun käynnistyksen DBX:een, joka estää kaikki tällä varmenteella allekirjoitetut Windowsin käynnistyksen valvojat.

  • Mahdollisuus ottaa lievennyksen käyttöönotto käyttöön vaiheittain itsenäisesti, jotta voit hallita ympäristön lievennyksiä paremmin tarpeittesi mukaan.

  • Lievennykset on yhdistetty siten, että niitä ei voi ottaa käyttöön väärässä järjestyksessä.

  • Muita tapahtumia, jotka tietävät laitteiden tilan, kun ne soveltavat lievennyksiä. Lisätietoja tapahtumista on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.

Tässä vaiheessa kehotamme asiakkaita ottamaan lievennykset käyttöön ja hallitsemaan mediapäivityksiä. Päivitykset lisäävät seuraavat muutokset:

  • Ohjeita ja työkaluja mediatietojen päivittämiseen.

  • Päivitetty DBX-lohko, jotta muut käynnistyksen valvojat voidaan kumota.

Käyttöönottovaihe on vähintään kuusi kuukautta käyttöönottovaiheen jälkeen. Kun pakotusvaiheeseen julkaistaan päivityksiä, ne sisältävät seuraavat:

  • Windows Production PCA 2011 -varmenne kumotaan automaattisesti lisäämällä se suojatun käynnistyksen UEFI-kiellettyjen luetteloon (DBX) kyvykkäissä laitteissa. Nämä päivitykset otetaan käyttöön ohjelmallisesti sen jälkeen, kun Windows-päivitykset on asennettu kaikkiin järjestelmiin, joihin päivitys vaikuttaa, eikä niitä voi poistaa käytöstä.

Windowsin tapahtumalokivirheet, jotka liittyvät CVE-2023-24932:een

DB: n ja DBX: n päivittämiseen liittyvät Windowsin tapahtumalokimerkinnät on kuvattu yksityiskohtaisesti KB5016061 : Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.

Lievennysten soveltamiseen liittyvät onnistumistapahtumat on lueteltu seuraavassa taulukossa.

Lievennysvaihe

Tapahtumatunnus

Huomautukset

DB-päivityksen käyttäminen

1036

PCA2023 varmenne lisättiin DB:hen.

Käynnistyksen hallinnan päivittäminen

1799

PCA2023 allekirjoitetun käynnistyksen hallinta otettiin käyttöön.

DBX-päivityksen käyttäminen

1037

Käytettiin DBX-päivitystä, joka ei luota PCA2011 allekirjoitusvarmenteeseen.

Usein kysytyt kysymykset (usein kysytyt kysymykset)

Päivitä kaikki Windows-käyttöjärjestelmät 9. huhtikuuta 2024 tai sen jälkeen julkaistuilla päivityksillä ennen peruutusten käyttöönottoa. Et ehkä pysty käynnistämään mitään Windows-versiota, jota ei ole päivitetty vähintään 9. huhtikuuta 2024 julkaistuihin päivityksiin peruuttamisen jälkeen. Noudata Käynnistysongelmien vianmääritys -osion ohjeita.

Käynnistysongelmien vianmääritys

Kun kaikki kolme lievennystä on otettu käyttöön, laitteen laiteohjelmisto ei käynnisty Windows Production PCA 2011:n allekirjoittamalla käynnistyshallinnalla. Laiteohjelmiston ilmoittamat käynnistysvirheet ovat laitekohtaisia. Katso Palautusmenettely-osio .

Palautusmenettely

Jos jokin menee vikaan lievennysten käyttöönoton aikana etkä pysty käynnistämään laitetta tai sinun on aloitettava ulkoisesta tietovälineestä (kuten muistitikusta tai PXE-käynnistys), kokeile seuraavia ehdotuksia:

  1. Poista suojattu käynnistys käytöstä.

    Tämä toimenpide eroaa laitevalmistajien ja -mallien välillä. Kirjoita laitteisiisi UEFI BIOS -valikko, siirry Suojatun käynnistyksen asetuksiin ja poista se käytöstä. Lisätietoja tästä prosessista on laitteen valmistajan ohjeissa. Lisätietoja on artikkelissa Suojatun käynnistyksen poistaminen käytöstä.

  2. Palauta suojatun käynnistyksen näppäimet tehdasasetuksiin.

    Jos laite tukee suojattujen käynnistysnäppäinten oletusasetusten palauttamista, suorita tämä toiminto nyt.

    HUOMAUTUS Joillakin laitevalmistajilla on sekä "Tyhjennä" että "Palauta" -vaihtoehto suojatun käynnistyksen muuttujille, jolloin "Palauta" on käytettävä. Tavoitteena on palauttaa suojatun käynnistyksen muuttujat valmistajien oletusarvoihin.

    Laitteesi pitäisi käynnistyä nyt, mutta huomaa, että se on altis käynnistysohjelman haittaohjelmille. Varmista, että suoritat tämän palautusprosessin vaiheen 5 ottaaksesi suojatun käynnistyksen uudelleen käyttöön.

  3. Yritä käynnistää Windows järjestelmälevyltä.

    1. Kirjaudu Sisään Windowsiin.

    2. Suorita seuraavat komennot järjestelmänvalvojan komentokehotteesta, jotta voit palauttaa käynnistystiedostot EFI-järjestelmän käynnistysosiossa. Kirjoita kukin komento erikseen ja paina sitten Enter-näppäintä:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. BCDBoot-komennon suorittaminen palauttaa "Käynnistystiedostojen luominen onnistui". Kun tämä viesti on näkyvissä, käynnistä laite uudelleen Windowsiin.

  4. Jos vaihe 3 ei palauta laitetta onnistuneesti, asenna Windows uudelleen.

    1. Käynnistä laite olemassa olevasta palautustietovälineestä.

    2. Jatka Windowsin asentamista palautustietovälineen avulla.

    3. Kirjaudu Sisään Windowsiin.

    4. Käynnistä Windows uudelleen varmistaaksesi, että laite käynnistyy takaisin Windowsiin.

  5. Ota suojattu käynnistys uudelleen käyttöön ja käynnistä laite uudelleen.

    Kirjoita laitteen UEFI-valikko, siirry suojatun käynnistyksen asetuksiin ja ota se käyttöön. Lisätietoja tästä prosessista on laitteen valmistajan ohjeissa. Lisätietoja on Ota suojattu käynnistys uudelleen käyttöön -osassa.

Lisätietoja

Tässä artikkelissa mainitut kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita näiden tuotteiden suorituskyvystä tai luotettavuudesta.

Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.

Muutoksen päivämäärä

Muutoksen kuvaus

9. huhtikuuta 2024

  • Menettelyihin, tietoihin, ohjeisiin ja päivämääriin tehdyt laajat muutokset. Huomaa, että joitakin aiempia muutoksia on poistettu tänä päivänä tehtyjen laajojen muutosten vuoksi.

16. joulukuuta 2023

  • Korjasi kolmannen käyttöönoton ja toimeenpanon julkaisupäivät Päivitysten ajoitus -osassa.

15. toukokuuta 2023

  • Poistettu käyttöjärjestelmän Windows 10 versio 21H1 Koskee seuraavia -osiosta.

11. toukokuuta 2023

  • Lisätty VAROITUS-huomautus vaiheeseen 1 käyttöönoton ohjeet -osassa päivittämisestä Windows 11, versioon 21H2 tai 22H2 tai joihinkin Windows 10 versioihin.

10. toukokuuta 2023

  • Selvennettynä, että ladattavissa olevat Windows-mediatiedostot, joihin on päivitetty uusin kumulatiivinen Päivitykset, ovat pian saatavilla.

  • Korjattu sanan "Kielletty" oikeinkirjoitus.

9. toukokuuta 2023

  • Lisätty muita tuettuja versioita "Koskee"-osaan.

  • Päivitetty Toimenpide-osan vaihe 1.

  • Päivitetty käyttöönotto-ohjeosion vaihe1.

  • Korjattu "Deploment guidelines" -osion vaiheen 3a komennot.

  • Hyper-V UEFI -kuvien korjattu sijainti Käynnistysongelmien vianmääritys -osassa.

27. kesäkuuta 2023

  • Poistettu huomautus päivittämisestä Windows 10 uudempaan Windows 10 versioon, joka käyttää käyttöönottopakettia kohdassa Vaihe 1:Asenna Käyttöönoton ohjeet -osassa.

11. heinäkuuta 2023

  • Päivitetty 9.5.2023 päivämäärän esiintymät 11. heinäkuuta 2023, 9. toukokuuta 2023 ja 11. heinäkuuta 2023 tai 9. toukokuuta 2023 tai uudemman version esiintymiksi.

  • Käyttöönoton ohjeet -osassa huomaamme, että kaikki SafeOS:n dynaamiset päivitykset ovat nyt saatavilla WinRE-osioiden päivittämiseen. Lisäksi VAROITUS-ruutu poistettiin, koska ongelma on ratkaistu SafeOS:n dynaamisten päivitysten julkaisun myötä.

  • Kirjoita "3. KÄYTÄ peruutukset-osiota, ohjeita on muokattu.

  • Windowsin tapahtumalokivirheet -osioon lisätään Tapahtumatunnus 276.

25. elokuuta 2023

  • Päivitetty sanamuotojen eri osioita ja lisätty 11. heinäkuuta 2023 julkaistut tiedot ja tulevat vuoden 2024 julkaisutiedot.

  • Joidenkin sisältöjen järjestäminen uudelleen Käynnistystietovälineen ongelmien välttäminen -osasta Käynnistystietovälineen päivittäminen -osaan.

  • Päivitti Päivitysten ajoitus -osioon päivitetyt käyttöönottopäivämäärät ja -tiedot.
Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×