Alkuperäinen julkaisupäivä: 13. helmikuuta 2025
KB-tunnus: 5053946
Johdanto
Tässä asiakirjassa kuvataan suojausten käyttöönotto julkistetun suojauksen suojausominaisuuden ohitusta vastaan, joka käyttää CVE-2023-24932 :n yritysympäristöissä jäljittämää BlackLotus UEFI -käynnistyspakettia.
Häiriöiden välttämiseksi Microsoft ei aio ottaa näitä lievennyksiä käyttöön yrityksissä, mutta antaa nämä ohjeet auttaakseen yrityksiä soveltamaan lievennyksiä itse. Näin yritykset voivat hallita käyttöönottosuunnitelmaa ja käyttöönoton ajoitusta.
Käytön aloittaminen
Olemme jakaneet käyttöönoton useisiin vaiheisiin, jotka voidaan saavuttaa organisaatiollesi sopivalla aikajanalla. Tutustu näihin vaiheisiin. Kun olet ymmärtänyt vaiheet hyvin, mieti, miten ne toimivat ympäristössäsi, ja valmistele yrityksellesi sopivat käyttöönottosuunnitelmat aikajanallasi.
Uuden Windows UEFI CA 2023 -varmenteen lisääminen ja Microsoft Windows Production PCA 2011 -varmenteen epäluottaminen edellyttää laitteen laiteohjelmistoyhteistyötä. Koska laitelaitteistoja ja laiteohjelmistoja on paljon, eikä Microsoft pysty testaamaan kaikkia yhdistelmiä, suosittelemme testaamaan edustavia laitteita ympäristössäsi ennen käyttöönottoa laajasti. Suosittelemme, että testaat vähintään yhden laitteen kustakin organisaatiossa käytettävästä tyypistä. Jotkin tunnetut laiteongelmat, jotka estävät nämä lievennykset, on dokumentoitu osana KB5025885: CVE-2023-24932:een liittyvien suojatun käynnistyksen muutosten Windowsin käynnistyksen hallinnan peruutusten hallinta. Jos havaitset laitteen laiteohjelmisto-ongelman, jota ei ole mainittu Tunnetut ongelmat -osassa, korjaa ongelma yhdessä alkuperäisen laitevalmistajan toimittajan kanssa.
Koska tässä asiakirjassa viitataan useisiin eri varmenteisiin, ne esitetään seuraavassa taulukossa helpon viittauksen ja selkeyden vuoksi:
|
Vanhat vuoden 2011 CA:t |
Uudet 2023 -päivitykset (vanhenee vuonna 2038) |
Toiminto |
|
Microsoft Corporation KEK CA 2011 (päättyy heinäkuussa 2026) |
Microsoft Corporation KEK CA 2023 |
Allekirjoittaa DB- ja DBX-päivitykset |
|
Microsoft Windows Production PCA 2011 (PCA2011) (päättyy lokakuussa 2026) |
Windows UEFI CA 2023 (PCA2023) |
Allekirjoittaa Windowsin käynnistyslataimen |
|
Microsoft Corporation UEFI CA 2011 (päättyy heinäkuussa 2026) |
Microsoft UEFI CA 2023 ja Microsoft Option ROM UEFI CA 2023 |
Allekirjoittaa kolmannen osapuolen käynnistyslataajia ja vaihtoehtoisia romeja |
Tärkeää Muista ottaa uusimmat suojauspäivitykset käyttöön testikoneissa ennen kuin testaat laitteita lievennyksillä.
Huomautus Laitteen laiteohjelmistotestauksen aikana saattaa ilmetä ongelmia, jotka estävät suojatun käynnistyksen päivityksiä toimimasta oikein. Tämä saattaa edellyttää päivitetyn laiteohjelmiston hankkimista valmistajalta (OEM) ja laiteohjelmiston päivittämistä laitteissa, joita ongelma koskee, havaitsemiesi ongelmien lieventämiseksi.
CVE-2023-24932 -päivityksessä kuvattuja hyökkäyksiä vastaan on sovellettava neljää lievennystä:
-
Lievennys 1: Päivitetyn varmennemäärityksen (PCA2023) asentaminen DB:hen
-
Lievennys 2:Päivitä laitteesi käynnistyksen hallinta
-
Lievennys 3:Kumouksen ottaminen käyttöön (PCA2011)
-
Lievennys 4:SVN-päivityksen ottaminen käyttöön laiteohjelmistossa
Näitä neljää lievennystä voidaan soveltaa manuaalisesti kaikkiin testilaitteisiin noudattamalla KB5025885:n lievennysohjeissa kuvattuja ohjeita : CVE-2023-24932:een liittyvien suojatun käynnistyksen muutosten peruuttamisen hallinta tai noudattamalla tämän asiakirjan ohjeita. Kaikki neljä lievennystä edellyttävät, että laiteohjelmisto toimii oikein.
Seuraavien riskien ymmärtäminen auttaa sinua suunnitteluprosessin aikana.
Laiteohjelmisto-ongelmat:Jokaisessa laitteessa on laitteen valmistajan toimittama laiteohjelmisto. Tässä asiakirjassa kuvattujen käyttöönottotoimintojen osalta laiteohjelmiston on pystyttävä hyväksymään ja käsittelemään suojatun käynnistyksen DB (Signature Database) ja DBX:n (Kielletty allekirjoitus -tietokanta) päivityksiä. Lisäksi laiteohjelmisto on vastuussa allekirjoitus- tai käynnistyssovellusten vahvistamisesta, mukaan lukien Windowsin käynnistyksen hallinta. Laitteen laiteohjelmisto on ohjelmisto, ja siinä voi muiden ohjelmistojen tavoin olla vikoja, minkä vuoksi on tärkeää testata näitä toimintoja ennen käyttöönottoa laajalti.Microsoft testaa jatkuvasti monia laite- ja laiteohjelmistoyhdistelmiä Microsoftin laboratorioissa ja toimistoissa olevista laitteista alkaen, ja Microsoft testaa laitteitaan yhdessä alkuperäisten laitevalmistajien kanssa. Lähes kaikki testatut laitteet ovat läpäisseet ongelman. Joissakin tapauksissa olemme havainneet ongelmia, jotka liittyvät siihen, että laiteohjelmisto ei käsittele päivityksiä oikein, ja pyrimme yhdessä alkuperäisten laitevalmistajien kanssa ratkaisemaan ongelmat, joista olemme tietoisia.
Huomautus Jos havaitset laiteohjelmisto-ongelman laitetestauksen aikana, suosittelemme, että korjaat ongelman yhdessä laitteen valmistajan tai alkuperäisen laitevalmistajan kanssa. Etsi tapahtumatunnus 1795 tapahtumalokista. Lisätietoja suojatun käynnistyksen tapahtumista on artikkelissa KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat .
Asenna media:Käyttämällä jäljempänä tässä asiakirjassa kuvattuja Mitigation 3- ja Mitigation 4 -asetuksia, aiemmin luotua Windowsin asennustietovälinettä ei voi enää käynnistää, ennen kuin tietovälineellä on päivitetty käynnistyksen hallinta. Tässä asiakirjassa kuvatut lievennykset estävät vanhoja, haavoittuvia käynnistyspäälliköitä suorittamasta niitä luottamalla heihin laiteohjelmistossa. Tämä estää hyökkääjää peruuttamasta järjestelmän käynnistyksen hallintaa aiempaan versioon ja hyödyntämästä vanhemmissa versioissa olevia haavoittuvuuksia. Näiden haavoittuvassa asemassa olevien käynnistyspäälliköiden estämisellä ei pitäisi olla vaikutusta käynnissä olevaan järjestelmään. Se kuitenkin estää käynnistystietovälineen käynnistymisen, kunnes mediatiedostojen käynnistyspäälliköt on päivitetty. Tämä sisältää ISO-kuvat, käynnistettävät USB-asemat ja verkkokäynnistyksen (PxE- ja HTTP-käynnistys).
Päivitä PCA2023 ja uuteen käynnistyksen hallintaan
-
Mitigation 1: Päivitettyjen varmennemääritysten asentaminen DB :hen Lisää uuden Windows UEFI CA 2023 -varmenteen UEFI Secure Boot Signature Database (DB) -tietokantaan. Lisäämällä tämän varmenteen DB:hen laitteen laiteohjelmisto luottaa tämän varmenteen allekirjoittamiin Microsoft Windowsin käynnistyssovelluksiin.
-
Lievennys 2: Päivitä laitteen käynnistyksen hallinta Käyttää uutta Windowsin käynnistyksen hallintaa, joka on allekirjoitettu uudella Windows UEFI CA 2023 -varmenteella.
Nämä lievennykset ovat tärkeitä Windowsin pitkän aikavälin huollettavuuden kannalta näissä laitteissa. Koska laiteohjelmiston Microsoft Windows Production PCA 2011 -varmenne vanhenee lokakuussa 2026, laitteilla on oltava uusi Windows UEFI CA 2023 -varmenne laiteohjelmistossa ennen vanhenemista tai laite ei voi enää vastaanottaa Windows-päivityksiä, jolloin se on haavoittuvassa suojaustilassa.
Lisätietoja mitigation 1:n ja Mitigation 2:n oppaasta kahdessa erillisessä vaiheessa (jos haluat olla vähintään ensin varovaisempi) on artikkelissa KB5025885: CVE-2023-24932:een liittyvien suojatun käynnistyksen muutosten Windowsin käynnistyksen hallinnan peruutusten hallinta. Voit myös ottaa molemmat lievennykset käyttöön suorittamalla järjestelmänvalvojana seuraavan yksittäisen rekisteriavaintoiminnon:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Kun lievennykset pätevät, Käytettävissä olevat versiot -näppäimen bitit tyhjennetään. Kun olet määrittänyt sen 0x140 ja käynnistynyt uudelleen, arvo muuttuu 0x100 ja muuttuu sitten toisen uudelleenkäynnistyksen jälkeen 0x000.
Käynnistyksen hallinnan lievennystä ei käytetä, ennen kuin laiteohjelmisto ilmaisee, että 2023-varmenteen lievennys on otettu onnistuneesti käyttöön. Näitä toimintoja ei voi suorittaa järjestyksessä.
Kun molempia lievennyksiä käytetään, rekisteriavain määritetään osoittamaan, että järjestelmä on "2023-yhteensopiva", mikä tarkoittaa, että media voidaan päivittää ja Mitigation 3 ja Mitigation 4 voidaan käyttää.
Useimmissa tapauksissa Mitigation 1:n ja Mitigation 2:n suorittaminen edellyttää vähintään kahta uudelleenkäynnistystä, ennen kuin lievennykset otetaan kokonaan käyttöön. Uusien uudelleenkäynnistysten lisääminen ympäristöön auttaa varmistamaan, että lievennykset otetaan käyttöön aikaisemmin. Uusien uudelleenkäynnistysten lisääminen ei kuitenkaan välttämättä ole käytännöllistä, ja voi olla järkevää luottaa kuukausittaisiin uudelleenkäynnistyksiin, jotka tapahtuvat osana suojauspäivitysten soveltamista. Tämä tarkoittaa vähemmän häiriötä ympäristössäsi, mutta vaarassa kestää kauemmin suojauksen varmistamiseksi.
Kun olet ottanut Mitigation 1:n ja Mitigation 2:n käyttöön laitteissasi, sinun on valvottava laitteitasi varmistaaksesi, että niihin sovelletaan lievennyksiä ja että ne ovat nyt "2023-kyvykkäitä". Valvonta voidaan tehdä etsimällä seuraava rekisteriavain järjestelmästä. Jos avain on olemassa ja sen arvo on 1, järjestelmä on lisännyt vuoden 2023 varmenteen suojatun käynnistyksen DB-muuttujaan. Jos avain on olemassa ja sen arvo on 2, järjestelmällä on 2023-varmenne DB:ssä ja se alkaa vuoden 2023 allekirjoitetusta käynnistyksen hallinnasta.
|
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Näppäinarvon nimi |
WindowsUEFICA2023Capable |
|
|
Tietotyyppi |
REG_DWORD |
|
|
Tiedot |
0 – tai avainta ei ole – Windows UEFI CA 2023 -varmennetta ei ole DB:ssä 1 - Windows UEFI CA 2023 -varmenne on DB:ssä 2 - Windows UEFI CA 2023 -varmenne on DB:ssä ja järjestelmä alkaa vuoden 2023 allekirjoitetusta käynnistyksen hallinnasta. |
|
Päivitä käynnistystietoväline
Kun Lievennys 1 ja Mitigation 2 on otettu käyttöön laitteissasi, voit päivittää ympäristössäsi käyttämäsi käynnistystietovälineen. Käynnistystietovälineen päivittäminen tarkoittaa PCA2023 allekirjoitetun käynnistyksen hallintaa mediatiedostossa. Tämä sisältää verkkokäynnistyskuvien (kuten PxE ja HTTP), ISO-kuvien ja USB-asemien päivittämisen. Muussa tapauksessa laitteet, joissa on käytössä lievennyksiä, eivät käynnisty käynnistystietovälineestä, joka käyttää vanhempaa Windowsin käynnistyksen hallintaa ja 2011 CA:ta.
Työkalut ja ohjeet kunkin käynnistystietovälinetyypin päivittämiseen ovat saatavilla täällä:
|
Mediatyyppi |
Resurssi |
|
ISO, USB-asemat ja niin edelleen |
|
|
PXE-käynnistyspalvelin |
Myöhemmin toimitettavat asiakirjat |
Mediapäivitysprosessin aikana kannattaa testata mediaa laitteella, jossa on kaikki neljä lievennystä. Kaksi viimeistä lievennystä estävät vanhemmat, haavoittuvat käynnistyspäälliköt. Tietoväline, jossa on nykyiset käynnistyspäälliköt, on tärkeä osa tämän prosessin loppuunsaattamista.
Huomautus Koska käynnistyksen hallinnan takaisinvedon hyökkäykset ovat todellisuutta ja odotamme, että Windowsin käynnistyshallintaan päivitetään jatkuvasti päivityksiä tietoturvaongelmien ratkaisemiseksi, suosittelemme, että yritykset suunnittelevat puolittain säännöllisiä mediapäivityksiä ja että käytössä on prosesseja, jotka tekevät mediapäivityksistä helppoja ja vähemmän aikaa vieviä. Tavoitteenamme on rajoittaa mediakäynnistysten hallinnan päivitysten määrä enintään kahteen kertaan vuodessa, jos mahdollista.
Käynnistystietoväline ei sisällä laitteen järjestelmäasemaa, jossa Windows tavallisesti sijaitsee ja josta se käynnistyy automaattisesti. Käynnistystietovälinettä käytetään yleensä sellaisen laitteen käynnistämiseen, jossa ei ole Windowsin käynnistysversiota, ja laitteessa käytetään usein käynnistystietovälinettä Windowsin asentamiseen.
Suojatun UEFI-käynnistyksen asetukset määrittävät, mihin käynnistyspäälliköihin luotat, käyttämällä suojattua käynnistyksen DB:tä (allekirjoitustietokanta) ja DBX:tä (kielletty allekirjoitustietokanta). DB sisältää luotettujen ohjelmistojen hajautukset ja avaimet, ja DBX-kaupat on kumottu, vaarantunut ja ei-luotetut hajautukset ja avaimet, jotka estävät luvattomien tai haittaohjelmien suorittamisen käynnistyksen aikana.
On hyödyllistä miettiä eri tiloja, joissa laite voi olla, ja mitä käynnistystietovälinettä voidaan käyttää laitteen kanssa kaikissa näissä tiloissa. Kaikissa tapauksissa laiteohjelmisto määrittää, luottaako se käynnistyksen hallintaan, jonka kanssa se esitetään, ja kun se suorittaa käynnistyksen hallinnan, laiteohjelmisto ei enää ota yhteyttä DB: hen ja DBX: hen. Käynnistystietoväline voi käyttää joko 2011 CA:n allekirjoittamaa käynnistyksen hallintaa tai 2023 CA:n allekirjoittamaa käynnistyksen hallintaa, mutta ei molempia. Seuraavassa osassa kerrotaan, missä tiloissa laite voi olla, ja joissakin tapauksissa, mitä tietovälinettä laitteesta voidaan käynnistää.
Nämä laiteskenaariot voivat auttaa suunnitelmien tekemisessä lievennysten käyttöönottoa varten kaikissa laitteissasi.
Uudet laitteet
Jotkin uudet laitteet alkoivat toimittaa sekä 2011- että 2023-laiteohjelmistoihin esiasennetut laiteohjelmistot. Kaikki valmistajat eivät ole siirtyneet käyttämään molempia ja saattavat silti toimittaa laitteita, joissa on vain vuoden 2011 CA esiasennettuna.
-
Laitteet, joissa on sekä 2011- että 2023-asennus, voivat käynnistää mediatiedostoja, jotka sisältävät joko vuoden 2011 varmenteiden myöntäjän allekirjoittaman käynnistyksen hallinnan tai 2023 CA:n allekirjoittaman käynnistyksen hallinnan.
-
Laitteet, joihin on asennettu vain vuoden 2011 varmenteiden myöntäjä, voivat käynnistää mediatiedostoja vain 2011 CA:n allekirjoittaman käynnistyksen hallinnan avulla. Useimpiin vanhempiin tietovälineisiin kuuluu vuoden 2011 CA:n allekirjoittama käynnistysmies.
Laitteet, joissa on lievennykset 1 ja 2
Nämä laitteet oli esiasennettu vuoden 2011 VARMENNuksella, ja mitigation 1:n avulla on nyt asennettuna vuoden 2023 varmenteiden myöntäjä. Koska nämä laitteet luottavat molempiin CA:han, nämä laitteet voivat käynnistää sekä mediatiedoston 2011 CA:n että vuoden 2023 allekirjoitetun käynnistyksen hallinnan avulla.
Laitteet, joissa on lievennykset 3 ja 4
Näissä laitteissa on DBX:n 2011 CA, eikä niihin enää luoteta 2011 CA:n allekirjoittaman käynnistyksen hallinnan kanssa. Laite, jossa on tämä määritys, käynnistää tietovälineen vain 2023 CA:n allekirjoittamalla käynnistyshallinnalla.
Suojatun käynnistyksen palauttaminen
Jos suojatun käynnistyksen asetukset on palautettu oletusarvoihin, DB:hen (vuoden 2023 varmenteiden myöntäjän lisääminen) ja DBX:een (ei luoteta 2011 CA:han) tehdyt lievennykset eivät ehkä ole enää käytössä. Toiminta määräytyy laiteohjelmiston oletusasetusten mukaan.
DBX
Jos Mitigations 3 ja/tai 4 on otettu käyttöön ja DBX tyhjennetään, vuoden 2011 varmenteiden myöntäjä ei ole DBX-luettelossa ja on edelleen luotettu. Jos näin tapahtuu, lievennykset 3 ja/tai 4 on otettava uudelleen käyttöön.
DB
Jos DB sisälsi 2023 CA:n ja se poistetaan palauttamalla suojatun käynnistyksen asetukset oletusasetuksiin, järjestelmä ei ehkä käynnisty, jos laite käyttää 2023 CA:n allekirjoittamaa käynnistyksen hallintaa. Jos laite ei käynnisty, palauta järjestelmä kohdassa KB5025885 kuvatulla securebootrecovery.efi-työkalulla : Windowsin käynnistyksen hallinnan kumousten hallinta CVE-2023-24932:een liittyvissä suojatun käynnistyksen muutoksissa .
Epäluotettava PCA2011 ja suojatun versionumeron käyttäminen DBX:lle
-
Mitigation 3: Peruutuksen ottaminen käyttöön Ei luota Microsoft Windows Production PCA 2011 -varmenteeseen lisäämällä se laiteohjelmistoihin Secure Boot DBX. Tämä aiheuttaa sen, että laiteohjelmisto ei luota kaikkiin 2011 CA:n allekirjoittaneisiin käynnistyspäälliköihin ja mediatietovälineisiin, jotka ovat riippuvaisia 2011 CA:n allekirjoittamasta käynnistyksen hallinnasta.
-
Mitigation 4: Suojatun versionumeron päivityksen käyttäminen laiteohjelmistossa Käyttää SVN (Secure Version Number) -päivitystä laiteohjelmistojen suojatun käynnistyksen DBX:lle. Kun 2023-allekirjoitettu käynnistyksen hallinta käynnistyy, se suorittaa itsetarkistuksen vertaamalla laiteohjelmistoon tallennettua SVN:ää käynnistyksen hallintaan sisältyvään SVN:iin. Jos käynnistyksen hallinnan SVN on pienempi kuin laiteohjelmiston SVN, käynnistyksen hallintaa ei suoriteta. Tämä toiminto estää hyökkääjää peruuttamasta käynnistyksen hallintaa vanhaan, päivittämattomaan versioon. Käynnistyksen hallinnan tulevia suojauspäivityksiä varten SVN-koodia lisätään ja Mitigation 4 on otettava uudelleen käyttöön.
Tärkeää Mitigation 1 ja Mitigation 2 on saatava valmiiksi ennen mitigation 3:n ja Mitigation 4:n soveltamista.
Lisätietoja mitigation 3:n ja Mitigation 4:n oppaasta kahdessa erillisessä vaiheessa (jos haluat olla varovaisempi, ainakin ensin) on artikkelissa KB5025885: Windowsin käynnistyksen hallinnan kumousten hallinta CVE-2023-24932:een liittyville suojatun käynnistyksen muutoksille Tai voit ottaa molemmat lievennykset käyttöön suorittamalla seuraavan yksittäisen rekisteriavaintoiminnon järjestelmänvalvojana:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Molempien lievennysten käyttäminen yhdessä edellyttää vain yhtä uudelleenkäynnistystä toiminnon loppuun saattamiseksi.
-
Lievennys 3: Voit tarkistaa, että peruutusluettelo on otettu onnistuneesti käyttöön, etsimällä tapahtumalokista tapahtumatunnus 1037KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumia kohden.Vaihtoehtoisesti voit suorittaa seuraavan PowerShell-komennon järjestelmänvalvojana ja varmistaa, että se palauttaa arvon Tosi:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Lievennys 4: Menetelmää, jolla vahvistetaan, että SVN-asetusta on käytetty, ei ole vielä olemassa. Tämä osa päivitetään, kun ratkaisu on saatavilla.
Lisätietoja
KB5016061: Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat
