Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Modifier la date

Modifier la description

20 mars 2024

  • Ajout de la section « Résultats et commentaires »

21 mars 2024

  • Mise à jour de l’étape 4 dans la section « Étape 2 : Installer le gestionnaire de démarrage signé PCA2023 »

22 mars 2024

  • Mise à jour d’un e-mail d’informations de contact dans la section « Résultats et commentaires ».

  • Ajout de la section « Activer les données de diagnostic facultatives ».

Introduction

Cet article est un complément de l’article suivant qui sera mis à jour en avril 2024 :

  • KB5025885 : comment gérer les révocations du Gestionnaire de démarrage Windows pour modifier le démarrage sécurisé associées à CVE-2023-24932

Ce supplément décrit la procédure pas à pas de mise à jour pour déployer de nouvelles atténuations contre le kit de démarrage BlackLotus UEFI suivi par CVE-2023-24932 et inclut des conseils de test pour votre environnement.

Pour vous protéger contre les abus malveillants de gestionnaires de démarrage vulnérables, nous devons déployer un nouveau certificat de signature de démarrage sécurisé UEFI sur le microprogramme de l’appareil et révoquer l’approbation dans le microprogramme du certificat de signature actuel. Ainsi, tous les gestionnaires de démarrage vulnérables existants ne seront pas approuvés par les appareils avec démarrage sécurisé. Ce guide vous aidera dans cette démarche.

Les trois étapes d'atténuation décrites dans ce guide sont les suivantes :

  1. Mise à jour de la base de données : Un nouveau certificat PCA (PCA2023) sera ajouté à la base de données de démarrage sécurisé, ce qui permettra à un appareil de lancer un support signé par ce certificat.

  2. Installation du gestionnaire de démarrage: Le gestionnaire de démarrage actuel signé par PCA2011 sera remplacé par le gestionnaire de démarrage signé par PCA2023.Les deux gestionnaires de démarrage sont inclus dans les mises à jour de sécurité d'avril 2024.

  3. Révocation DBX de PCA2011 : Une entrée de refus sera ajoutée au DBX de démarrage sécurisé pour empêcher les gestionnaires de démarrage signés avec PCA2011 de démarrer.

Remarque Le logiciel de la pile de maintenance qui applique ces trois atténuations n’autorisera pas l’application des atténuations dans le désordre.

Cela s’applique-t-il à moi ?

Ce guide s’applique à tous les appareils pour lesquels le démarrage sécurisé est activé et à tous les supports de récupération existants pour ces appareils.

Si votre appareil exécute Windows Server 2012 ou Windows Server 2012 R2, veillez à lire la section « Problèmes connus » avant de continuer.

Avant de commencer

Activer les données de diagnostic facultatives

Activez le paramètre « Envoyer des données de diagnostic facultatives » en effectuant les étapes suivantes :

  1. Dans Windows 11, allez dans Démarrer > Paramètres > Confidentialité et sécurité > Diagnostics et commentaires.

  2. Activer l’option Envoyer les données de diagnostic facultatives.

    Commentaires et diagnostics

Pour plus d’informations, voir Diagnostics, commentaires et confidentialité dans Windows

REMARQUE Assurez-vous de disposer d’une connexion internet pendant et après la validation.

Effectuer un test de validation

Après avoir installé les mises à jour Windows d’avril 2024 et avant de suivre les étapes d’adhésion, veillez à effectuer une passe de test pour vérifier l’intégrité de votre système :

  1. VPN : Vérifiez que l'accès VPN aux ressources et au réseau de l'entreprise est fonctionnel.

  2. Windows Hello : Connectez-vous à l’appareil Windows à l’aide de votre procédure normale (visage/empreinte digitale/code confidentiel).

  3. BitLocker : Le système démarre normalement sur les systèmes compatibles BitLocker sans invite de récupération BitLocker au démarrage.

  4. Attestation d'intégrité de l'appareil : Vérifiez que les appareils qui s’appuient sur l’Attestation d'intégrité de l'appareil attestent correctement de leur état.

Problèmes connus

Pour Windows Server 2012 et Windows Sever 2012 R2 uniquement :

  • Les systèmes basés sur TPM 2.0 ne peuvent pas déployer les atténuations publiées dans le correctif de sécurité d’avril 2024 en raison de problèmes de compatibilité connus avec les mesures du module de plateforme sécurisée (TPM). Les mises à jour d’avril 2024 bloqueront les atténuations #2 (gestionnaire de démarrage) et #3 (mise à jour DBX) sur les systèmes affectés.

  • Microsoft est conscient du problème et une mise à jour sera publiée à l’avenir pour débloquer les systèmes basés sur TPM 2.0.

  • Pour vérifier votre version du module de plateforme sécurisée (TPM) cliquez avec le bouton droit sur Démarrer, cliquez sur Exécuter, puis tapez tpm.msc. En bas à droite du volet central, sous Informations sur le fabricant du module de plateforme sécurisée (TPM), vous devez afficher une valeur pour la version de spécification.

Étapes de validation d’adhésion

Le reste de l'article traite des tests de conformité des dispositifs aux mesures d'atténuation. Les atténuations ne sont pas activées par défaut. Si votre entreprise prévoit activer ces atténuations, veuillez suivre les étapes de validation suivantes pour vérifier la compatibilité de l’appareil.

  1. Déployez le correctif de sécurité préliminaire d’avril 2024.

  2. Ouvrez une invite de commandes Administrateur et définissez la clé de Registre pour effectuer la mise à jour de la base de données en tapant la commande suivante, puis en appuyant sur Entrée:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Redémarrez l’appareil deux fois.

  4. Vérifiez que la base de données est correctement mise à jour en veillant à ce que la commande suivante retourne sur True. Exécutez la commande PowerShell suivante en tant qu’administrateur :

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Ouvrez une invite de commandes Administrateur et définissez la clé de Registre pour télécharger et installer le gestionnaire de démarrage signé par PCA2023 :

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Redémarrez l’appareil deux fois.

  3. En tant qu’administrateur, montez la partition EFI pour la préparer à l’inspection :

    mountvol s: /s

  4. Vérifiez que « s :\efi\microsoft\boot\bootmgfw.efi » est signé par PCA2023. Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, tapez invite de commandes dans la zone Rechercher , puis cliquez sur Invite de commandes.

    2. Dans la fenêtre d’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Dans le Gestionnaire de fichiers, cliquez avec le bouton droit sur le fichier C :\bootmgfw_2023.efi, cliquez sur Propriétés, puis sélectionnez l’onglet Signatures numériques.

    4. Dans la liste Signature, vérifiez que la chaîne de certificats inclut l’autorité de certification Windows UEFI 2023.

ATTENTION :  cette étape déploie la révocation DBX pour annuler la confiance des anciens gestionnaires de démarrage vulnérables signés à l’aide du PCA2011 de production Windows. Les appareils auxquels cette révocation est appliquée ne démarrent plus à partir de serveurs de support de récupération et de démarrage réseau (PXE/HTTP) existants qui n’ont pas de composants de gestionnaire de démarrage mis à jour.

Si votre appareil passe à un état non démarrable, suivez les étapes de la section « Procédures de récupération et de restauration » pour réinitialiser l’appareil à un état de pré-révocation.

Après avoir appliqué le DBX, si vous souhaitez rétablir l’état de démarrage sécurisé de l’appareil, suivez la section « Procédures de récupération et de restauration ».

Appliquer l'atténuation DBX pour annuler la confiance du certificat Windows Production PCA2011 dans le démarrage sécurisé :

  1. Ouvrez une invite de commandes Administrateur et définissez la clé de Registre pour placer la révocation de PCA2011 dans DBX :

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Redémarrez votre appareil deux fois et vérifiez qu’il a entièrement redémarré.

  3. Vérifiez que l’atténuation DBX a été correctement appliquée. Pour ce faire, exécutez la commande PowerShell suivante en tant qu’administrateur et vérifiez que la commande retourne True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Vous pouvez également rechercher l’événement suivant dans le observateur d'événements :

    Journal des événements

    Système

    Source de l’événement

    TPM-WMI

    ID d’événement

    1037

    Niveau

    Informations

    Texte du message d’événement

    La mise à jour Dbx de démarrage sécurisé pour révoquer Microsoft Windows Production PCA 2011 a été appliquée

  4. Effectuez les éléments de réussite de test de la section « Avant de commencer » et assurez-vous que tous les systèmes se comportent normalement.

Référence sur les clés de Registre

Étape 1 de validation du consentementÉtape 2 de validation du consentementÉtape 3 de validation du consentement

Commande

Fonction

Commentaires 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Installe la mise à jour de base de données pour autoriser le gestionnaire de démarrage signé par PCA2023

Commande

Fonction

Commentaires 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Installe le gestionnaire de démarrage signé PCA2023

La valeur n'est honorée qu'après l'achèvement de l'étape 0x40

Commande

Fonction

Commentaires 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Installe la mise à jour DBX qui révoque PCA2011

Valeur honorée uniquement lorsque les deux étapes 0x40 et 0x100 terminées

Résultats et commentaires

Envoyez un e-mail à suvp@microsoft.com avec les résultats des tests, des questions et des commentaires.

Procédures de récupération et de restauration

Lorsque vous effectuez des procédures de récupération, partagez les données suivantes avec Microsoft :

  • Capture d’écran de l’échec de démarrage observé.

  • Étapes effectuées qui ont conduit à ce que l’appareil ne soit plus démarrable.

  • Détails de la configuration de l’appareil.

Lors de l’exécution d’une procédure de restauration, suspendez BitLocker avant de commencer la procédure.

Si un problème se produit pendant ce processus et que vous ne parvenez pas à démarrer votre appareil ou que vous devez démarrer à partir d’un média externe (par exemple, lecteur de disque ou de démarrage PXE), essayez les procédures suivantes.

  1. Désactiver le démarrage sécurisé

    Cette procédure diffère entre les fabricants de PC et les modèles. Entrez dans le menu UEFI BIOS de votre PC, naviguez jusqu'au paramètre de démarrage sécurisé et désactivez-le. Consultez la documentation du fabricant de votre PC pour plus d’informations sur ce processus. Pour plus d’informations, consultez Désactivation du démarrage sécurisé.

  2. Effacer les clés de démarrage sécurisé

    Si l’appareil prend en charge l’effacement des clés de démarrage sécurisé ou la réinitialisation des clés de démarrage sécurisé aux valeurs d’usine par défaut effectuez cette action maintenant.  

    Votre appareil doit démarrer maintenant, mais notez qu’il est vulnérable aux programmes malveillants des kits de démarrage. Veillez à effectuer l’étape 5 à la fin de ce processus de récupération pour réactiver le démarrage sécurisé.

  3. Essayez de démarrer Windows à partir du disque système.

    1. Si BitLocker est activé et passe à la récupération, entrez votre clé de récupération BitLocker.

    2. Connexion à Windows.

    3. Exécutez les commandes suivantes à partir de l’invite de commandes Administrateur pour restaurer les fichiers de démarrage dans la partition de démarrage système EFI :

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. L’exécution de BCDBoot doit retourner les « Fichiers de démarrage correctement créés ».

    5. Si BitLocker est activé, suspendez BitLocker.

    6. Redémarrez lʼappareil.

  4. Si l’étape 3 ne parvient pas à récupérer l’appareil, réinstallez Windows.

    1. Démarrez à partir d’un support de récupération existant.

    2. Procédez à l’installation de Windows à l’aide du support de récupération.

    3. Connexion à Windows.

    4. Redémarrez pour vérifier que l’appareil démarre correctement vers Windows.

  5. Réactivez le démarrage sécurisé et redémarrez l’appareil.

    Entrez dans le menu UEFI de votre appareil, naviguez jusqu'au paramètre du démarrage sécurisé et activez-le. Consultez la documentation du fabricant de votre appareil pour plus de précisions sur ce processus. Pour plus d’informations, consultez Réactiver le démarrage sécurisé.

  6. Si le démarrage de Windows continue d’échouer, entrez à nouveau le BIOS UEFI et désactivez le démarrage sécurisé.

  7. Démarrez Windows.

  8. Partagez le contenu de DB, DBX avec Microsoft.

    1. Ouvrez PowerShell en mode Administrateur.

    2. Capturer la DB :

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Capturer la DBX :

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Partagez les fichiers DBUpdateFw.bin et dbxUpdateFw.bin générés aux étapes 8b et 8c.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×