Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Promjena datuma

Promjena opisa

20. ožujka 2024.

  • Dodan odjeljak "Rezultati i povratne informacije"

21. ožujka 2024.

  • Ažuriran 4. korak u odjeljku "Drugi korak: instalacija PCA2023-potpisanog upravitelja pokretanja"

Ožujak 22, 2024

  • Ažurirani su podaci za kontakt e-pošte u odjeljku "Rezultati i povratne informacije"

  • Dodan odjeljak "Omogući neobavezne dijagnostičke podatke"

Uvod

Ovaj je članak dopuna sljedećem članku koji će se ažurirati u travnju 2024.:

  • KB5025885: Upravljanje opomenom upravitelja pokretanja sustava Windows za promjene sigurnog pokretanja povezane s CVE-2023-24932

Ovaj dodatak opisuje ažurirani detaljni postupak implementacije novih ublažavanja protiv blackLotus UEFI kompleta za pokretanje koji prati CVE-2023-24932 i obuhvaća smjernice za testiranje za vaše okruženje.

Da bismo se zaštitili od zlonamjerne zloupotrebe ranjivih upravitelja pokretanja, moramo implementirati novi certifikat za potpisivanje sigurnog pokretanja UEFI-ja na opremu uređaja i opozvati pouzdanost u firmveru trenutnog certifikata za potpisivanje. Na taj će način svi postojeći, ranjivi upravitelji pokretanja biti nepouzdani na uređajima s omogućenim sigurnosnim pokretanjem. Ovaj će vam vodič pomoći s tim postupkom.

Tri koraka ublažavanja opisana u ovom vodiču sljedeća su:

  1. Ažuriranje baze podataka: Novi PCA (PCA2023) certifikat dodat će se u db za sigurno pokretanje koji će uređaju omogućiti pokretanje medija potpisanih ovim certifikatom.

  2. Instalacija upravitelja pokretanja: Postojeći upravitelj PCA2011-potpisanog pokretanja zamijenit će upravitelj PCA2023-potpisanog pokretanja.Oba upravitelja pokretanja obuhvaćena su sigurnosnim ažuriranjima iz travnja 2024.

  3. DBX opoziv PCA2011: Unos za odbijanje dodat će se u DBX sigurnog pokretanja koji onemogući upravitelje pokretanja potpisane PCA2011 pokretanje sustava.

Napomena Softver servisnog stoga koji primjenjuje ta tri ublažavanja neće dopustiti da se ublažavanja primjenjuju izvan redoslijeda.

Odnosi li se to na mene?

Ovaj se vodič odnosi na sve uređaje s omogućenim sigurnim pokretanjem i svim postojećim medijima za oporavak za te uređaje.

Ako je na vašem uređaju instaliran Windows Server 2012 ili Windows Server 2012 R2, obavezno pročitajte odjeljak "Poznati problemi" prije nastavka.

Prije početka

Omogući neobavezne dijagnostičke podatke

Uključite postavku "Slanje neobaveznih dijagnostičkih podataka" izvođenjem sljedećih koraka:

  1. U Windows 11, idite na Start > Postavke > Privatnost & sigurnost > dijagnostiku & povratnim informacijama.

  2. Uključite slanje neobaveznih dijagnostičkih podataka.

    Dijagnostika & povratnih informacija

Dodatne informacije potražite u članku Dijagnostika, povratne informacije i zaštita privatnosti u sustavu Windows

NAPOMENA Provjerite imate li internetsku vezu tijekom i neko vrijeme nakon provjere valjanosti.

Testna propusnica

Nakon instalacije ažuriranja za Windows iz travnja 2024. i prije nego što prođete kroz korake za uključivanje, provjerite jeste li prošli testnu provjeru integriteta sustava:

  1. VPN: Provjerite je li VPN pristup poslovnim resursima i mreži funkcionalan.

  2. Windows Hello: Prijava na uređaj sa sustavom Windows pomoću uobičajenog postupka (lica/otiska prsta/PIN-a).

  3. Bitlocker: Sustav se normalno pokreće na sustavima s omogućenim Značajkom BitLocker bez BitLocker upita za oporavak tijekom pokretanja.

  4. Potvrda stanja uređaja: Provjerite jesu li uređaji koji se koriste potvrđivanjem stanja uređaja pravilno potvrdili svoj status.

Poznati problemi

Samo za Windows Server 2012 i Windows Sever 2012 R2:

  • Sustavi utemeljeni na TPM-u 2.0 ne mogu implementirati ublažavanja objavljena u sigurnosnoj zakrpi za travanj 2024. zbog poznatih problema s kompatibilnošću s TPM mjerama. Ažuriranja za travanj 2024. blokirat će ublažavanja #2 (upravitelj pokretanja) i #3 (ažuriranje DBX-a) na zahvaćenim sustavima.

  • Microsoft je upoznat s problemom i u budućnosti će se objaviti ažuriranje za deblokiranje sustava utemeljenih na TPM-u 2.0.

  • Da biste provjerili TPM verziju, desnom tipkom miša kliknite Start, kliknite Pokreni, a zatim upišite tpm.msc. U donjem desnom kutu središnjog okna u odjeljku Informacije o proizvođaču TPM-a trebali biste vidjeti vrijednost za verziju specifikacije.

Koraci provjere valjanosti za uključivanje

Ostatak ovog članka opisuje testiranje za uključivanje uređaja za ublažavanje. Ublažavanja po zadanom nisu omogućena. Ako vaša tvrtka planira omogućiti ta ublažavanja, prođite kroz sljedeće korake provjere valjanosti da biste potvrdili kompatibilnost uređaja.

  1. Implementirajte sigurnosno ažuriranje prije izdanja iz travnja 2024.

  2. Otvorite administratorski naredbeni redak i postavite ključ registra tako da ažurira bazu podataka tako da upišete sljedeću naredbu, a zatim pritisnite Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Dva puta ponovno pokrenite uređaj.

  4. Provjerite je li baza podataka uspješno ažurirana tako da provjerite vraća li sljedeća naredba True. Pokrenite sljedeću naredbu komponente PowerShell kao administrator:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Otvorite administratorski naredbeni redak i postavite ključ registra da biste preuzeli i instalirali upravitelj PCA2023-potpisanog pokretanja:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Dva puta ponovno pokrenite uređaj.

  3. Kao administrator montirajte EFI particiju da biste je pripremili za pregled:

    mountvol s: /s

  4. Provjerite je li "s:\efi\microsoft\boot\bootmgfw.efi" potpisao PCA2023. Da biste to učinili, učinite sljedeće:

    1. Kliknite Start, u okvir Za pretraživanje upišitenaredbeni redak, a zatim kliknite Naredbeni redak.

    2. U prozor naredbenog retka upišite sljedeću naredbu, a zatim pritisnite Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. U upravitelju datoteka desnom tipkom miša kliknite datoteku C:\bootmgfw_2023.efi, kliknite Svojstva, a zatim odaberite karticu Digitalni potpisi.

    4. Na popisu Potpis provjerite obuhvaća li lanac certifikata Windows UEFI 2023 CA.

OPREZ: ovim se korakom dbx opoziv implementira na nepouzdane stare, ranjive upravitelje pokretanja potpisane pomoću programa Windows Production PCA2011. Uređaji s primijenjenim opozivom više se neće pokrenuti s postojećih poslužitelja za oporavak medija i pokretanja mreže (PXE/HTTP) koji nemaju ažurirane komponente upravitelja pokretanja.

Ako vaš uređaj prijeđe u stanje koje nije moguće pokrenuti, slijedite korake u odjeljku "Postupci oporavka i vraćanja" da biste uređaj vratili u stanje prije opoziva.

Ako nakon primjene DBX-a želite vratiti uređaj u prethodno stanje sigurnog pokretanja, slijedite odjeljak "Postupci oporavka i vraćanja".

Primijenite ublažavanje DBX-a da biste poništili pouzdanost certifikata windows production PCA2011 u sigurnom pokretanju:

  1. Otvorite administratorski naredbeni redak i postavite ključ registra tako da opoziv za PCA2011 u DBX- u:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Dva puta ponovno pokrenite uređaj i provjerite je li se u potpunosti ponovno pokrenuo.

  3. Provjerite je li ublažavanje DBX-a uspješno primijenjeno. Da biste to učinili, kao administrator pokrenite sljedeću naredbu komponente PowerShell i provjerite vraća li naredba True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Možete i potražiti sljedeći događaj u Preglednik događaja:

    Zapisnik događaja

    Sustav

    Izvor događaja

    TPM-WMI

    ID događaja

    1037

    Razina

    Informacije

    Tekst poruke događaja

    Secure Boot Dbx update to revoke Microsoft Windows Production PCA 2011 is successfully applied

  4. Provedite probne prolazne stavke iz odjeljka "Prije početka" i provjerite ponašaju li se svi sustavi normalno.

Referenca ključa registra

1. korak provjere valjanosti prijave2. korak provjere valjanosti prijave3. korak provjere valjanosti prijave

Naredba

Svrhu

Komentari 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Instalira ažuriranje baze podataka da bi se omogućilo PCA2023-potpisanog upravitelja pokretanja

Naredba

Svrhu

Komentari 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Instalira PCA2023 bootmgr

Vrijednost počašćena tek nakon 0x40 dovršenog koraka

Naredba

Svrhu

Komentari 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Instalira DBX ažuriranje koje opoziva PCA2011

Vrijednost je počašćena tek nakon 0x40 & 0x100 dovršenih koraka

Rezultati i povratne informacije

Pošaljite poruku e-pošte suvp@microsoft.com s rezultatima testiranja, pitanjima i povratnim informacijama.

Postupci oporavka i vraćanja

Prilikom izvođenja postupaka oporavka microsoftu omogućite zajedničko korištenje sljedećih podataka:

  • Snimka zaslona opaženog neuspjeha pokretanja.

  • Koraci koji su doveli do toga da se uređaj ne može pokrenuti.

  • Pojedinosti o konfiguraciji uređaja.

Prilikom izvođenja postupka vraćanja obustavite BitLocker prije pokretanja postupka.

Ako nešto pođe po zlu tijekom tog postupka i ne možete pokrenuti uređaj ili morate početi s vanjskog medija (npr. palca ili PXE pokretanja), isprobajte sljedeće postupke.

  1. Isključivanje sigurnog pokretanja

    Taj se postupak razlikuje od proizvođača PC-ja do modela. Unesite izbornik BIOS-a UEFI-ja za PC-je i pomaknite se do postavke sigurnog pokretanja i isključite je. U dokumentaciji proizvođača PC-ja potražite specifične informacije o tom postupku. Dodatne informacije potražite u članku Onemogućivanje sigurnog pokretanja.

  2. Očisti ključeve sigurnog pokretanja

    Ako uređaj podržava brisanje ključeva sigurnog pokretanja ili vraćanje tipki sigurnog pokretanja na tvorničke postavke, izvršite tu akciju odmah.  

    Uređaj bi trebao početi odmah, ali imajte na umu da je izložen zlonamjernom softveru za pokretanje kompleta za pokretanje. Obavezno dovršite peti korak na kraju ovog postupka oporavka da biste ponovno omogućili sigurno pokretanje.

  3. Pokušajte pokrenuti Windows s sistemskog diska.

    1. Ako je BitLocker omogućen i prelazi u oporavak, unesite BitLocker ključ oporavka.

    2. Prijava u Sustav Windows.

    3. Pokrenite sljedeće naredbe iz naredbenog retka administratora da biste vratili datoteke za pokretanje u particiji za pokretanje EFI sustava:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Pokretanje BCDBoot-a trebalo bi vratiti "Boot files successfully created" (Datoteke za pokretanje uspješno stvorene).

    5. Ako je Omogućen BitLocker, obustavite BitLocker.

    6. Ponovno pokrenite uređaj.

  4. Ako treći korak ne uspije oporaviti uređaj, ponovno instalirajte Windows.

    1. Počnite od postojećeg medija za oporavak.

    2. Nastavite s instalacijom sustava Windows pomoću medija za oporavak.

    3. Prijava u Sustav Windows.

    4. Ponovno pokrenite da biste potvrdili da se uređaj uspješno pokreće sa sustavom Windows.

  5. Ponovno omogućite sigurno pokretanje i ponovno pokrenite uređaj.

    Unesite izbornik UEFI za devicce i pomaknite se do postavke sigurnog pokretanja i uključite ga. U dokumentaciji proizvođača uređaja potražite specifične informacije o tom postupku. Dodatne informacije potražite u članku Ponovno omogućivanje sigurnog pokretanja.

  6. Ako se Sustav Windows pokrene i dalje ne uspijeva, ponovno unesite UEFI BIOS i isključite sigurno pokretanje.

  7. Pokrenite Windows.

  8. Zajednički koristite sadržaj baze podataka, DBX-a s Microsoftom.

    1. Otvorite PowerShell u administratorskom načinu.

    2. Snimanje baze podataka:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. SnimiTE DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Zajednički koristite datoteke koje DBUpdateFw.bin i dbxUpdateFw.bin u koracima 8b i 8c.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×