Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Päivämäärän muuttaminen

Muuta kuvausta

20. maaliskuuta 2024

  • Lisätty Tulokset ja palaute -osa

21. maaliskuuta 2024

  • Päivitetty vaihe 4 vaiheessa "Vaihe 2: Asenna PCA2023 allekirjoitettu käynnistyksen hallinta" -osassa

22. maaliskuuta 2024

  • Sähköpostin yhteystietojen päivittäminen Tulokset ja palaute -osassa

  • Lisätty Valinnaisten diagnostiikkatietojen ottaminen käyttöön -osa

Johdanto

Tämä artikkeli on täydennys seuraavaan artikkeliin, joka päivitetään huhtikuussa 2024:

  • KB5025885: CVE-2023-24932-päivitykseen liittyvien suojatun käynnistyksen muutosten Windows boot Manager -peruutusten hallinta

Tässä täydennysosassa kuvataan päivitetty vaiheittaiset ohjeet uusien lievennysten ottamiseksi käyttöön CVE-2023-24932 :n seuraamaa BlackLotus UEFI -käynnistyspakettia vastaan, ja se sisältää ympäristösi testausohjeet.

Jotta voimme suojautua haavoittuvassa asemassa olevien käynnistyspäälliköiden vahingolta, meidän on otettava käyttöön uusi suojatun UEFI-käynnistyksen allekirjoitusvarmenne laitteen laiteohjelmistossa ja kumottava luottamus nykyisen allekirjoitusvarmenteen laiteohjelmistoon. Tämä aiheuttaa sen, että suojatun käynnistyksen käyttöön otetut laitteet eivät luota kaikkiin olemassa oleviin, haavoittuviin käynnistyspäälliköihin. Tämä opas auttaa sinua tässä prosessissa.

Tässä oppaassa kuvatut kolme lieventämisvaihetta ovat seuraavat:

  1. DB:n päivittäminen: Suojatun käynnistyksen DB-ruutuun lisätään uusi PCA (PCA2023) -varmenne, jonka avulla laite voi käynnistää tämän varmenteen allekirjoittaman tietovälineen.

  2. Käynnistyksen hallinnan asennus: Nykyinen PCA2011 allekirjoitettu käynnistyksen hallinta korvataan PCA2023 allekirjoitetulla käynnistyshallinnalla.Molemmat käynnistyspäälliköt sisältyvät huhtikuun 2024 suojauspäivityksiin.

  3. PCA2011 DBX-kumoaminen: Estetty-merkintä lisätään suojatun käynnistyksen DBX-määritykseen, joka estää PCA2011 allekirjoitetun käynnistyksen.

Huomautus Näitä kolmea lievennystä soveltava Ylläpitopino-ohjelmisto ei salli lievennysten soveltamista järjestyksessä.

Koskeeko tämä minua?

Tämä opas koskee kaikkia laitteita, joissa on käytössä suojattu käynnistys, ja kaikkia olemassa olevia palautustietovälineitä näille laitteille.

Jos laitteessasi on Windows Server 2012 tai Windows Server 2012 R2, lue "Tunnetut ongelmat" -osa ennen jatkamista.

Ennen kuin aloitat

Valinnaisten diagnostiikkatietojen ottaminen käyttöön

Ota lähetä valinnaiset diagnostiikkatiedot -asetus käyttöön seuraavasti:

  1. Siirry Windows 11 kohtaan Aloitus > Asetukset > Tietosuoja & suojaus > diagnostiikka & palaute.

  2. Ota käyttöön Lähetä valinnaiset diagnostiikkatiedot.

    Diagnostiikka & palaute

Lisätietoja on ohjeaiheessa Windowsin diagnostiikka, palaute ja tietosuoja

HUOMAUTUS Varmista, että Internet-yhteys on käytettävissä vahvistuksen aikana ja jonkin aikaa sen jälkeen.

Testin läpäiseminen

Kun olet asentanut huhtikuun 2024 Windows-päivitykset ja ennen kuin suoritat käyttöönottovaiheet, varmista järjestelmäsi eheys suorittamalla testivaihe:

  1. VPN: Varmista, että VPN-yhteys yrityksen resursseihin ja verkkoon toimii.

  2. Windows Hello: Kirjaudu Sisään Windows-laitteeseen normaalilla toimenpiteellä (kasvot/sormenjälki/PIN-koodi).

  3. Bitlocker: Järjestelmä käynnistyy normaalisti BitLocker-järjestelmissä ilman BitLocker-palautuskehotetta käynnistyksen aikana.

  4. Laitteen kunnon todentaminen: Varmista, että Laitteen kunto -todistukseen perustuvat laitteet todistavat niiden tilan oikein.

Tunnetut ongelmat

Vain Windows Server 2012 ja Windows Sever 2012 R2:

  • TPM 2.0 -pohjaiset järjestelmät eivät voi ottaa käyttöön huhtikuun 2024 suojauskorjauksessa julkaistuja lievennyksiä TPM-mittauksiin liittyvien tunnettujen yhteensopivuusongelmien vuoksi. Huhtikuun 2024 päivitykset estävät lievennykset #2 (käynnistyksen hallinta) ja #3 (DBX-päivitys) järjestelmissä, joihin ongelma vaikuttaa.

  • Microsoft on tietoinen ongelmasta, ja myöhemmin julkaistaan päivitys TPM 2.0 -pohjaisten järjestelmien eston poistamiseksi.

  • Voit tarkistaa TPM-versiosi napsauttamalla käynnistä-painiketta hiiren kakkospainikkeella, valitsemalla Suorita ja kirjoittamalla sitten tpm.msc. Keskiruudun oikeassa alakulmassa TPM-turvapiirin valmistajan tiedot -kohdassa pitäisi näkyä määrityksen version arvo.

Kelpoisuustarkistusvaiheet

Tämän artikkelin loppuosassa käsitellään laitteiden opt-in-testauksen testausta lievennyksiin. Lievennykset eivät ole oletusarvoisesti käytössä. Jos yrityksesi aikoo ottaa nämä lievennykset käyttöön, tarkista laitteen yhteensopivuus suorittamalla seuraavat vahvistusvaiheet.

  1. Ota käyttöön huhtikuun 2024 ennen julkaistua suojauspäivitystä.

  2. Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain suorittamaan DB-päivitys kirjoittamalla seuraava komento ja painamalla sitten Enter-näppäintä:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Käynnistä laite uudelleen kaksi kertaa.

  4. Varmista, että DB on päivitetty onnistuneesti, varmistamalla, että seuraava komento palauttaa arvon Tosi. Suorita seuraava PowerShell-komento järjestelmänvalvojana:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain PCA2023 allekirjoitetun käynnistyksen hallintaohjelman lataamista ja asentamista varten:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Käynnistä laite uudelleen kaksi kertaa.

  3. Järjestelmänvalvojana ota EFI-osio käyttöön ja valmistele se tarkastusta varten:

    mountvol s: /s

  4. Tarkista, että "s:\efi\microsoft\boot\bootmgfw.efi" on PCA2023 allekirjoittama. Voit tehdä tämän seuraavasti:

    1. Valitse Käynnistä, kirjoita hakuruutuun komentokehote ja valitse sitten Komentokehote.

    2. Kirjoita Komentokehote-ikkunaan seuraava komento ja paina sitten Enter-näppäintä.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Napsauta Tiedostonhallinnassa hiiren kakkospainikkeella tiedostoa C:\bootmgfw_2023.efi, valitse Ominaisuudet ja valitse sitten Digitaaliset allekirjoitukset -välilehti.

    4. Vahvista Allekirjoitus-luettelossa, että varmenneketju sisältää Windows UEFI 2023 CA:n.

VAROITUS: Tämä vaihe ottaa DBX-peruutuksen käyttöön epäluotettamattomista vanhoista, haavoittuvista käynnistyspäälliköistä, jotka on allekirjoitettu Windowsin tuotanto -PCA2011. Laitteet, joissa tätä peruutusta käytetään, eivät enää käynnisty olemassa olevista palautustietovälineistä ja verkkokäynnistyspalvelimista (PXE/HTTP), joissa ei ole päivitettyjä käynnistyksen hallinnan osia.

Jos laitteesi käynnistys ei ole käynnistystilassa, palauta laite peruuttamista edeltävään tilaan noudattamalla palautus- ja palautustoimintoja -osion ohjeita.

Kun olet käyttänyt DBX-tiedostoa ja haluat palauttaa laitteen aiempaan suojatun käynnistyksen tilaan, noudata Palautus- ja palautustoimintoja -osiota.

Käytä DBX-lievennystä, jos et luota Windowsin tuotannon PCA2011 varmennetta suojatussa käynnistyksessä:

  1. Avaa Järjestelmänvalvoja-komentokehote ja määritä rekisteriavain, jotta PCA2011 kumous DBX:ssä:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Käynnistä laite uudelleen kaksi kertaa ja varmista, että se on täysin käynnistynyt uudelleen.

  3. Varmista, että DBX-lievennys on otettu onnistuneesti käyttöön. Voit tehdä tämän suorittamalla seuraavan PowerShell-komennon järjestelmänvalvojana ja varmistamalla, että komento palauttaa arvon Tosi:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Voit myös etsiä seuraavan tapahtuman Tapahtumienvalvonta:

    Tapahtumaloki

    Järjestelmä

    Tapahtumalähde

    TPM-WMI

    Tapahtumatunnus

    1037

    Taso

    Info-painike

    Tapahtumaviestin teksti

    Suojatun käynnistyksen Dbx-päivitys Microsoft Windows Production PCA 2011:n kumoamiseksi on otettu käyttöön onnistuneesti

  4. Suorita testi läpäisytapahtumat Ennen aloittamista -osasta ja varmista, että kaikki järjestelmät käyttäytyvät normaalisti.

Rekisteriavaimen viite

Kelpoisuustarkistuksen vaihe 1Kelpoisuustarkistuksen vaihe 2Kelpoisuustarkistuksen vaihe 3

Komento

Tarkoitus

Kommentit 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Asentaa DB-päivityksen salliakseen PCA2023 allekirjoitetun käynnistyksen hallinnan

Komento

Tarkoitus

Kommentit 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Asentaa PCA2023 allekirjoitetun bootmgr:n

Arvo kunnioitettu vasta, kun 0x40 vaihe on suoritettu

Komento

Tarkoitus

Kommentit 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Asentaa DBX-päivityksen, joka kumoaa PCA2011

Arvo kunnioitettu vasta, kun molemmat 0x40 & 0x100 vaiheet on suoritettu

Tulokset ja palaute

Lähetä sähköpostia suvp@microsoft.com testaamalla tuloksia, kysymyksiä ja palautetta.

Palautus- ja palautustoiminnot

Kun suoritat palautustoimenpiteitä, jaa seuraavat tiedot Microsoftin kanssa:

  • Näyttökuva havaitusta käynnistysvirheestä.

  • Suoritetut vaiheet johtivat siihen, että laite ei käynnistynyt.

  • Laitteen määrityksen tiedot.

Kun suoritat palautustoimintosarjan, keskeytä BitLocker ennen toimenpiteen aloittamista.

Jos jokin menee vikaan tämän prosessin aikana etkä pysty käynnistämään laitetta tai sinun on aloitettava ulkoisesta tietovälineestä (esimerkiksi muistitikku tai PXE-käynnistys), kokeile seuraavia toimia.

  1. Suojatun käynnistyksen

    poistaminen käytöstä Tämä menettely eroaa tietokonevalmistajien ja -mallien välillä. Kirjoita tietokoneiden UEFI BIOS -valikko, siirry Suojatun käynnistyksen asetukseen ja poista se käytöstä. Lisätietoja tästä prosessista on tietokoneen valmistajan ohjeissa. Lisätietoja on artikkelissa Suojatun käynnistyksen poistaminen käytöstä.

  2. Poista suojatun käynnistyksen näppäimet

    Jos laite tukee suojatun käynnistyksen näppäinten poistamista tai suojatun käynnistyksen näppäimien palauttamista tehdasasetuksiin, suorita tämä toiminto nyt.  

    Laitteesi pitäisi käynnistyä nyt, mutta huomaa, että se on altis käynnistyspaketteille. Varmista, että suoritat tämän palautusprosessin lopussa vaiheen 5 ottaaksesi suojatun käynnistyksen uudelleen käyttöön.

  3. Yritä käynnistää Windows järjestelmälevyltä.

    1. Jos BitLocker on käytössä ja siirtyy palautukseen, anna BitLocker-palautusavain.

    2. Kirjaudu Sisään Windowsiin.

    3. Palauta käynnistystiedostot EFI-järjestelmän käynnistysosiossa suorittamalla seuraavat komennot Järjestelmänvalvojan komentokehotteesta:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. BCDBoot-komennon suorittamisen pitäisi palauttaa "Käynnistystiedostojen luominen onnistui".

    5. Jos BitLocker on käytössä, keskeytä BitLocker.

    6. Käynnistä laite uudelleen.

  4. Jos vaihe 3 ei palauta laitetta onnistuneesti, asenna Windows uudelleen.

    1. Aloita olemassa olevista palautustietovälineistä.

    2. Jatka Windowsin asentamista palautustietovälineen avulla.

    3. Kirjaudu Sisään Windowsiin.

    4. Käynnistä laite uudelleen varmistaaksesi, että laite käynnistyy onnistuneesti Windowsiin.

  5. Ota suojattu käynnistys uudelleen käyttöön ja käynnistä laite uudelleen.

    Kirjoita devicce UEFI -valikko, siirry Suojatun käynnistyksen asetukseen ja ota se käyttöön. Lisätietoja tästä prosessista on laitteen valmistajan ohjeissa. Lisätietoja on artikkelissa Suojatun käynnistyksen ottaminen uudelleen käyttöön.

  6. Jos Windowsin käynnistys epäonnistuu edelleen, kirjoita UEFI BIOS uudelleen ja poista suojattu käynnistys käytöstä.

  7. Käynnistä Windows.

  8. Jaa DB:n ja DBX:n sisältö Microsoftin kanssa.

    1. Avaa PowerShell järjestelmänvalvojatilassa.

    2. Sieppaa DB:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Sieppaa DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Jaa vaiheissa 8b ja 8c luodut tiedostot DBUpdateFw.bin ja dbxUpdateFw.bin .

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×