דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

ראה את המוצרים שמאמר זה חל עליהם.

סיכום

ב- 29 ביולי 2020, Microsoft פרסמה עדכוני אבטחה מייעצת 200011 שמתארת פגיעות חדשה הקשורה לאתחול מאובטח. מכשירים הנותנים אמון ברשות אישורים (CA) של ממשק קושחה מורחב מאוחד של Microsoft (UEFI) בתצורה של אתחול מאובטח עשויים להיות חשופים לתוקף בעל הרשאות ניהול או גישה פיזית למכשיר.

מאמר זה מספק הדרכה להחלת רשימת הביטול העדכנית ביותר של אתחול מאובטח של DBX כדי לבטל את התוקף של המודולים הפגיעים. Microsoft תדחוף עדכון כדי Windows Update לטפל בפגיעות זו באביב 2022.

קבצים בינאריים של עדכון אתחול מאובטח מתארח בדף אינטרנט זה של UEFI.

הקבצים שפורסמו הם כדלקמן:

  • קובץ רשימת ביטול UEFI עבור x86 (32 סיביות)

  • קובץ רשימת ביטול UEFI עבור x64 (64 סיביות)

  • קובץ רשימת ביטול UEFI עבור arm64

לאחר הוספת Hash אלה ל- DBX של האתחול המאובטח במכשיר שלך, יישומים אלה לא יורשו עוד להיטען. 

חשוב: אתר זה מארח קבצים עבור כל ארכיטקטורה. כל קובץ מתארח כולל רק את קוד ה- Hash של יישומים החלים על הארכיטקטורה הספציפית. עליך להחיל אחד מקבצים אלה על כל מכשיר, אך הקפד להחיל את הקובץ הרלוונטי לארכיטקטורה שלו. למרות שניתן מבחינה טכנית להחיל עדכון עבור ארכיטקטורה אחרת, לא התקנת העדכון המתאים תשאיר את המכשיר לא מוגן.

זהירות: קרא את המאמר המינורית הראשי אודות פגיעות זו לפני שתנסה אחד מהפעולות הבאות. החלת עדכוני DBX באופן שגוי עלולה למנוע את הפעלת המכשיר שלך.

עליך לבצע שלבים אלה רק אם התנאי הבא מתקיים:

  • אינך מסתכן בהפעלת אף אחד מיישומי האתחול שעדכון זה חסם.

מידע נוסף

החלת עדכון DBX ב- Windows

לאחר שתקרא את האזהרות בסעיף הקודם ותאמת שהמכשיר שלך תואם, בצע שלבים אלה כדי לעדכן את DBX של אתחול מאובטח:

  1. הורד את קובץ רשימת הביטוליות המתאים של UEFI (Dbxupdate.bin) עבור הפלטפורמה שלך מדף אינטרנט זה של UEFI.

  2. עליך לפצל את הקובץ Dbxupdate.bin לרכיבים הדרושים כדי להחיל אותם באמצעות רכיבי cmdlet של PowerShell. לשם כך, בצע את השלבים הבאים:

    1. הורד את קובץ ה- Script של PowerShell מדף אינטרנט זה של גלריית PowerShell.

    2. כדי לסייע באיור קובץ ה- Script, הפעל את ה- cmdlet הבא:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

    3. ודא שה- cmdlet מוריד בהצלחה את קובץ ה- Script ומספק פרטי פלט, כולל שם, גירסה, מחבר, PublishedDate, InstalledDate ו- InstalledLocation.

    4. הפעל את רכיבי ה- cmdlet הבאים:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • תקליטור $ScriptPath

      • אל ת

    5. ודא שהקובץ SplitDbxContent.ps1 נמצא כעת בתיקיה Scripts.

    6. הפעל את קובץ ה- Script הבא של PowerShell בקובץ Dbxupdate.bin:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. ודא שהפקודה יצרה את הקבצים הבאים.

      "Applying" step 2c command output

      • Content.bin – עדכון תוכן

      • Signature.p7 – חתימה המאשרת את תהליך העדכון

  3. בהפעלת PowerShell ניהולית, הפעל את ה- cmdlet Set-SecureBootUefi כדי להחיל את עדכון DBX:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    יציאות צפויות

    פלט פקודה של "החלת" שלב 3

  4. כדי להשלים את תהליך התקנת העדכון, הפעל מחדש את המכשיר.

לקבלת מידע נוסף אודות ה- cmdlet של תצורת אתחול מאובטח ואופן השימוש בו עבור עדכוני DBX, ראה Set-Secure.

מוודא שהעדכון בוצע בהצלחה  

לאחר שהשלמת בהצלחה את השלבים בסעיף הקודם והפעל מחדש את המכשיר, בצע שלבים אלה כדי לוודא שהעדכון הוחל בהצלחה. לאחר אימות מוצלח, המכשיר שלך לא יושפע עוד מפגיעות הפונקציה GRUB.

  1. הורד את קבצי ה- Script לאימות עדכון DBX מדף אינטרנט זה של GitHub Gist.

  2. חלץ את קבצי ה- Script והפריטים הבינאריים מהקובץ הדחוס.

  3. הפעל את קובץ ה- Script הבא של PowerShell בתוך התיקיה המכילה את קבצי ה- Script והפריטים הבינאריים המורחבים כדי לאמת את עדכון DBX:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    הערה: אם הוחל עדכון DBX התואם לגירסאות יולי 2020 או אוקטובר 2020 מארכיון קובץ זה של רשימת ביטולים, הפעל את הפקודה המתאימה הבאה במקום זאת:Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. ודא שהפלט תואם לתוצאה הצפויה.

    פלט פקודה של "מאמת" שלב 4

שאלות נפוצות

ש1: מה פירוש הודעת השגיאה "Get-SecureBootUEFI: רכיבי Cmdlet שאינם נתמכים בפלטפורמה זו"?

A1: הודעת שגיאה זו מציינת שתכונת האתחול המאובטח ללא זמינה במחשב. לכן, התקן זה אינו מושפע מהפגיעות של הפונקציה GRUB. אין צורך בפעולה נוספת.

ש2: כיצד ניתן לבצע להגדיר את המכשיר לתת אמון או לא לתת אמון ב- UEFI CA של ספק חיצוני? 

A2: מומלץ להתייעץ עם ספק OEM. 

עבור Microsoft Surface, שנה את הגדרת האתחול המאובטח ל- "Microsoft Only" ולאחר מכן הפעל את הפקודה הבאה של PowerShell (התוצאה צריכה להיות "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

לקבלת מידע נוסף על אופן קביעת התצורה עבור Microsoft Surface, ראה ניהול הגדרות Surface UEFI - Surface | Microsoft Docs.

ש3: האם בעיה זו משפיעה על מחשבים וירטואליים מדור 1 ו- Azure IaaS מדור 2? 

A3: לא. מחשבים וירטואליים של אורח Azure Gen1 ו- Gen2 אינם תומכים בתכונת האתחול המאובטח. לכן, הם אינם מושפעים מהתקיפה של שרשרת האמון. 

ש4: האם ADV200011 ו- CVE-2020-0689 מתייחסים לאותה פגיעות הקשורה לאתחול מאובטח? 

A: לא. בעיות מינורית אלה מתארות פגיעויות שונות. "ADV200011" מתייחס לפגיעות ב- GRUB (רכיב Linux) שעלולה לגרום לעקיפת אתחול מאובטח. "CVE-2020-0689" מתייחס לפגיעות של עקיפת תכונת אבטחה קיימת באתחול מאובטח. 

ש5: איני מצליח להפעיל את קבצי ה- Script של PowerShell. מה עליי לעשות?

A: אמת את מדיניות הביצוע של PowerShell על-ידי הפעלת הפקודה Get-ExecutionPolicy . בהתאם לפלט, ייתכן שיהיה עליך לעדכן את מדיניות הביצוע:

המוצרים של ספקים חיצוניים הנדון במאמר זה מיוצרים על-ידי חברות שאינן תלויות ב- Microsoft. Microsoft אינה מעניקה אחריות, משתמעת או אחרת, בנוגע לביצועים או למהימנות של מוצרים אלה. 

Microsoft מספקת פרטי קשר של ספקים חיצוניים כדי לעזור לך למצוא מידע נוסף אודות נושא זה. פרטי קשר אלו עשויים להשתנות ללא הודעה. Microsoft אינה ערבה לדיוק של פרטי קשר של ספקים חיצוניים. 

חל על:

Windows 10 עבור מערכות של 32 סיביות Windows 10 עבור מערכות מבוססות x64
Windows 10 גירסה 2004 עבור מערכות של 32

סיביות Windows 10 גירסה 2004 עבור מערכות מבוססות ARM64
Windows 10 גירסה 2004 עבור מערכות מבוססות x64
Windows 10 גירסה 1909 עבור 32- bit Systems
Windows 10 גירסה 1909 עבור מערכות מבוססות ARM64
Windows 10 גירסה 1909 עבור מערכות מבוססות x64
Windows 10 גירסה 1903 עבור מערכות מבוססות 32 סיביות
Windows 10 גירסה 1903 עבור מערכות מבוססות ARM64 Windows 10 גירסה 1903 עבור מערכות מבוססות x64

Windows 10 גירסה 1809 עבור מערכות של 32
סיביות Windows 10 גירסה 1809 עבור מערכות מבוססות ARM64
Windows 10 גירסה 1809 עבור מערכות מבוססות x64
Windows 10 גירסה 1803 עבור מערכות 32
סיביות Windows 10 גירסה 1803 עבור מערכות מבוססות ARM64
Windows 10 גירסה 1803 עבור מערכות מבוססות x64
Windows 10 גירסה 1709 עבור מערכות של 32
סיביות Windows 10 גירסה 1709 עבור מערכות מבוססות ARM64
Windows 10 גירסה 1709 עבור מערכות מבוססות x64
Windows 10 גירסה 1607 עבור מערכות 32
סיביות Windows 10 גירסה 1607 עבור מערכות מבוססות x64
Windows 8.1 עבור מערכות של 32 סיביות
Windows 8.1 עבור מערכות מבוססות x64
Windows RT 8.1
Windows Server, גירסה 2004 (התקנת Server Core)
Windows Server, גירסה 1909 (התקנת שרת ליבה)
Windows Server, גירסה 1903 (התקנת שרת ליבה)
Windows Server 2019
Windows Server 2019 (התקנת ליבת שרת)
Windows Server 2016
Windows Server 2016 (התקנת ליבת שרת)
Windows Server 2012 R2
Windows Server 2012 R2 (התקנת ליבת שרת)
Windows Server 2012
Windows Server 2012 (התקנת ליבת שרת)

Facebook LinkedIn דואר אלקטרוני

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×