|
שנה תאריך |
שינוי תיאור |
|
(יום שלישי 20 מרץ 2024) |
|
|
(יום שלישי 21 מרץ 2024) |
|
|
(יום שלישי 22 מרץ 2024) |
|
מבוא
מאמר זה הוא תוספת למאמר הבא אשר יעודכן באפריל 2024:
-
KB5025885: כיצד לנהל את ביטולי מנהל האתחול של Windows עבור שינויים באתחול מאובטח המשויכים ל- CVE-2023-24932
תוספת זו מתארת את ההליך המפורט המעודכן לפריסת צמצום סיכונים חדש כנגד ערכת האתחול של BlackLotus UEFI ש- CVE-2023-24932 עוקב אחריה וכולל הדרכה לבדיקת הסביבה שלך.
כדי לסייע בהגנה מפני שימוש לרעה זדוני במנהלי אתחול פגיעים, עלינו לפרוס אישור חדש של חתימת אתחול מאובטח של UEFI בקושחת המכשיר ולבטל את האמון בקושחה של אישור החתימה הנוכחי. פעולה זו תגרום לכך שכל מנהלי האתחול הקיימים הפגיעים לא יהיו מהימנה על-ידי מכשירים מותאמי אתחול מאובטח. מדריך זה יעזור לך בתהליך זה.
שלושת שלבי צמצום הסיכונים המתוארים במדריך זה הם:
-
מעדכן מסד נתונים: אישור PCA חדש (PCA2023) יתווסף אל מסד הנתונים של האתחול המאובטח, אשר יאפשר למכשיר לאתחל מדיה החתימה על-ידי אישור זה.
-
התקנת מנהל האתחול: מנהל האתחול PCA2011 החתום בחתימה הקיימת יוחלף על-ידי מנהל PCA2023 האתחול החתום.שני מנהלי האתחול כלולים בעדכוני האבטחה של אפריל 2024.
-
ביטול DBX של PCA2011: תתווסף ערך 'מנע' ל- DBX של האתחול המאובטח, הימנע ממנהלי אתחול PCA2011 לבצע אתחול.
הערה The Servicing Stack software that applies these three mitigations will not allow for theitigations be applied out of order.
האם זה חל עליי?
מדריך זה חל על כל המכשירים שאתחול מאובטח זמין בהם ועל כל מדיית השחזור הקיימת עבור מכשירים אלה.
אם במכשיר שלך פועל Windows Server 2012 או Windows Server 2012 R2, הקפד לקרוא את הסעיף "בעיות ידועות" לפני שתמשיך.
לפני שתתחיל
הפוך נתוני אבחון אופציונליים לזמינים
הפעל את ההגדרה 'שלח נתוני אבחון אופציונליים' על-ידי ביצוע השלבים הבאים:
-
ב- Windows 11, עבור אל התחל > הגדרות > פרטיות & אבטחה > האבחון & משוב.
-
הפעל את שלח נתוני אבחון אופציונליים.
לקבלת מידע נוסף, ראה אבחון, משוב ופרטיות ב- Windows.
הערה ודא שיש לך קישוריות לאינטרנט במהלך ולאחר זמן מה לאחר האימות.
בצע מעבר בדיקה
לאחר התקנת העדכונים של Windows מאפריל 2024, ולפני ביצוע השלבים להצטרפות, הקפד לבצע בדיקת מעבר כדי לאמת את תקינות המערכת:
-
Vpn: ודא שהגישה ל- VPN למשאבים ולרשת של החברה מתפקדת.
-
Windows Hello: כניסה למכשיר Windows באמצעות ההליך הרגיל שלך (פנים/טביעת אצבע/PIN).
-
Bitlocker: המערכת מופעלת כרגיל במערכות המותאמות לשימוש ב- BitLocker ללא בקשת שחזור של BitLocker במהלך האתחול.
-
בדיקת תקינות מכשיר: ודא שהמכשירים שמכשירים מסת האישורים על תקינות המכשיר מאמתים כראוי את מצבם.
בעיות מוכרות
עבור Windows Server 2012 ו- Windows Sever 2012 R2 בלבד:
-
מערכות מבוססות TPM 2.0 אינן יכולות לפרוס את צמצום הסיכונים שפורסם בתיקון האבטחה של אפריל 2024 עקב בעיות תאימות ידועות במידות TPM. העדכונים של אפריל 2024 תחסום צמצום סיכונים #2 (מנהל אתחול) ו- #3 (עדכון DBX) במערכות המושפעות.
-
Microsoft מודעת לבעיה, ועדכון יופץ בעתיד כדי לבטל את החסימה של מערכות מבוססות TPM 2.0.
-
כדי לבדוק את גירסת ה- TPM שלך, לחץ באמצעות לחצן העכבר הימני על התחל, לחץ על הפעל ולאחר מכן הקלד tpm.msc. בפינה השמאלית התחתונה של החלונית המרכזית תחת מידע אודות יצרן TPM, אתה אמור לראות ערך עבור גירסת מפרט.
שלבי אימות הסכמת הצטרפות
שאר המאמר דן בבדיקות עבור צמצום סיכונים במכשירי הסכמת הצטרפות. צמצום הסיכונים אינו זמין כברירת מחדל. אם הארגון שלך מנסה להפוך צמצום סיכונים אלה לזמין, בצע את שלבי האימות הבאים כדי לאמת את תאימות המכשיר.
-
פרוס את עדכון האבטחה של קדם-הפצה באפריל 2024.
-
פתח שורת פקודה של מנהל מערכת והגדר את מפתח הרישום לביצוע העדכון של מסד הנתונים על-ידי הקלדת הפקודה הבאה ולאחר מכן הקש Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
הפעל מחדש את המכשיר פעמיים.
-
ודא ש- DB מתעדכן בהצלחה על-ידי בדיקה שהפקודה הבאה מחזירה True. הפעל את הפקודה הבאה של PowerShell כמנהל מערכת:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
פתח שורת פקודה של מנהל מערכת והגדר את מפתח הרישום כדי להוריד ולהתקין את מנהל PCA2023 האתחול החתום:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
הפעל מחדש את המכשיר פעמיים.
-
כמנהל מערכת, לטעון את מחיצת ה- EFI כדי להתכונן לבדיקה:
mountvol s: /s
-
אמת כי "s:\efi\microsoft\boot\bootmgfw.efi" נחתם על-ידי PCA2023. לשם כך, בצע שלבים אלה:
-
לחץ על התחל, הקלד שורת פקודה בתיבת החיפוש ולאחר מכן לחץ על שורת הפקודה.
-
בחלון שורת הפקודה, הקלד את הפקודה הבאה ולאחר מכן הקש Enter.
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
במנהל הקבצים, לחץ באמצעות לחצן העכבר הימני על הקובץ C:\bootmgfw_2023.efi, לחץ על מאפיינים ולאחר מכן בחר בכרטיסיה חתימות דיגיטליות.
-
ברשימה חתימה, ודא ששרשרת האישורים כוללת את Windows UEFI 2023 CA.
-
זהירות: שלב זה פורס את הביטול של DBX למנהלי אתחול ישנים ופגיעים לא מהיחסנים החתימים באמצעות מנהל הייצור של Windows PCA2011. מכשירים עם ביטול זה שהוחלו לא יותחלו עוד משרתים קיימים של מדיית שחזור ואתחול רשת (PXE/HTTP) שאינם כוללים רכיבים מעודכנים של מנהל האתחול.
אם המכשיר שלך נכנס למצב שאינו ניתן לאתחול, בצע את השלבים בסעיף "הליכי שחזור ושחזור" כדי לאפס את המכשיר למצב קדם-ביטול.
לאחר החלת ה- DBX, אם ברצונך להחזיר את המכשיר למצב האתחול המאובטח הקודם שלו, בצע את הסעיף "הליכי שחזור ושחזור".
החל את צמצום הסיכונים של DBX כדי לא להוסיף אמון באישור PCA2011 של Windows באתחול מאובטח:
-
פתח שורת פקודה של מנהל מערכת והגדר את מפתח הרישום כדי לבצע ביטול PCA2011 ב- DBX:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
הפעל מחדש את המכשיר פעמיים וודא שהוא הופעל מחדש באופן מלא.
-
ודא שהפחתת הסיכונים של DBX הוחלה בהצלחה. לשם כך, הפעל את הפקודה הבאה של PowerShell כמנהל מערכת וודא שהפקודה מחזירה True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
לחלופין, חפש את האירוע הבא מציג האירועים:
יומן אירועים
מערכת
מקור האירוע
TPM-WMI
מזהה האירוע
1037
רמה
סמל מידע
טקסט הודעת אירוע
עדכון Dbx לאתחול מאובטח כדי לבטל את תוקף Microsoft Windows Production PCA 2011 הוחל בהצלחה
-
בצע את הפריטים של מעבר הבדיקה מהסעיף "לפני שתתחיל" וודא שכל המערכות פועלות כרגיל.
חומר עזר למפתח רישום
|
הפקודה |
מטרה |
הערות |
|
התקנת עדכון מסד הנתונים כדי לאפשר למנהל PCA2023 האתחול החתום |
|
הפקודה |
מטרה |
הערות |
|
התקנת PCA2023 bootmgr החתום |
הערך צוין רק לאחר 0x40 השלב הושלם |
|
הפקודה |
מטרה |
הערות |
|
התקנת עדכון DBX אשר מפעיל מחדש PCA2011 |
הערך צוין רק לאחר ששני השלבים 0x40 & 0x100 הושלמו |
תוצאות ומשוב
שלח דואר אלקטרוני suvp@microsoft.com באמצעות תוצאות בדיקות, שאלות ומשוב.
הליכי שחזור ושחזור
בעת ביצוע הליכי שחזור, שתף את הנתונים הבאים עם Microsoft:
-
צילום מסך של כשל האתחול שנצפה.
-
השלבים שבוצעו שהובילו למכשיר הפכו ללא ניתנים לאתחול.
-
פרטי תצורת המכשיר.
בעת ביצוע הליך שחזור, השעה את BitLocker לפני שתתחיל בהליך.
אם משהו משתבש במהלך תהליך זה ולא ניתן להפעיל את המכשיר או אם עליך להתחיל ממדיה חיצונית (לדוגמה, כונן אצבע או אתחול PXE), נסה את ההליכים הבאים.
-
ביטול אתחול מאובטח
הליך זה שונה בין יצרני מחשבים ומודלים. הזן את תפריט ה- BIOS של UEFI למחשבים ונווט אל ההגדרה אתחול מאובטח וכבה אותה. עיין בתיעוד של יצרן המחשב לקבלת פרטים ספציפיים על תהליך זה. לקבלת מידע נוסף, ראה ביטול אתחול מאובטח. -
נקה מקשי אתחול מאובטחים
אם ההתקן תומך לנקות את מקשי האתחול המאובטח או לאפס את מקשי האתחול המאובטח להגדרות ברירת המחדל של היצרן, בצע פעולה זו כעת.
המכשיר שלך אמור להתחיל עכשיו, אך שים לב שהוא פגיע לתוכנות זדוניות של ערכות אתחול. הקפד להשלים את שלב 5 בסוף תהליך שחזור זה כדי להפעיל מחדש אתחול מאובטח. -
נסה להפעיל את Windows מדיסק המערכת.
-
אם BitLocker זמין והוא עובר לשחזור, הזן את מפתח השחזור של BitLocker.
-
כניסה ל- Windows.
-
הפעל את הפקודות הבאות משורת הפקודה 'מנהל' כדי לשחזר את קבצי האתחול במחיצת אתחול המערכת של EFI:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
הפעלת BCDBoot אמורה להחזיר את ההודעה "קבצי אתחול נוצרו בהצלחה".
-
אם BitLocker זמין, השעה את BitLocker.
-
הפעל מחדש את המכשיר.
-
-
אם שלב 3 אינו משחזר בהצלחה את המכשיר, התקן מחדש את Windows.
-
התחל מדיית שחזור קיימת.
-
המשך להתקין את Windows באמצעות מדיית השחזור.
-
כניסה ל- Windows.
-
הפעל מחדש כדי לוודא שהמכשיר מופעל בהצלחה ל- Windows.
-
-
הפעל מחדש אתחול מאובטח והפעל מחדש את המכשיר.
הזן את תפריט Devicce UEFI ונווט אל ההגדרה אתחול מאובטח והפעל אותה. עיין בתיעוד של יצרן המכשיר לקבלת פרטים ספציפיים על תהליך זה. לקבלת מידע נוסף, ראה הפיכת אתחול מאובטח לזמין מחדש. -
אם הפעלת Windows ממשיכה להיכשל, הזן שוב את ה- UEFI BIOS וכבה אתחול מאובטח.
-
הפעל את Windows.
-
שתף תוכן של DB, DBX עם Microsoft.
-
פתח את PowerShell במצב מנהל מערכת.
-
לכוד את מסד הנתונים:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
לכוד את ה- DBX:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
שתף את DBUpdateFw.bin ואת dbxUpdateFw.bin שנוצרו בשלבים 8b ו- 8c.
-
