Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Pogledajte proizvode na koje se ovaj članak odnosi.

Sažetak

29. srpnja 2020. Microsoft je objavio savjetnik za sigurnost 200011 koji opisuje novu ranjivost povezanu sa sigurnim pokretanjem. Uređaji koji microsoftovu ustanovu za izdavanje certifikata za sjedinjenu opremu (UEFI) (UEFI) u konfiguraciji sigurnog pokretanja (UEFI) smatraju pouzdanima u konfiguraciji sigurnog pokretanja možda su osjetljivi na napadača s administrativnim ovlastima ili fizičkim pristupom uređaju.

Ovaj članak sadrži smjernice za primjenu najnovijeg popisa opoziva dbx-a sigurnog pokretanja radi nevaljavanja ranjivih modula. Microsoft će proslijediti ažuriranje servisa Windows Update radi rješavanja te ranjivosti u proljeće 2022.

Binarne datoteke ažuriranja sigurnog pokretanja hostiraju se na ovoj web-stranici UEFI-ja.

Objavljene datoteke su sljedeće:

  • Datoteka popisa opo pozivanja UEFI-ja za x86 (32-bitno)

  • Datoteka popisa opo pozivanja UEFI-ja za x64 (64-bitni)

  • UEFI datoteka popisa opoziva za arm64

Nakon dodavanja tih raspršivanja u DBX sigurnog pokretanja na uređaju te aplikacije više neće biti dopuštene za učitavanje. 

Važno: Ovo web-mjesto hostira datoteke za svaku arhitekturu. Svaka hostirana datoteka obuhvaća samo raspršivanja aplikacija koje se odnose na određenu arhitekturu. Jednu od tih datoteka morate primijeniti na svaki uređaj, ali provjerite jeste li primijenili datoteku relevantnu za njegovu arhitekturu. Iako je tehnički moguće primijeniti ažuriranje za drugu arhitekturu, ako ne instalirate odgovarajuće ažuriranje, uređaj će biti nezaštićen.

Oprez: Pročitajte glavni savjetodavni članak o ovoj ranjivosti prije nego što isprobate bilo koji od ovih koraka. Nepravilna primjena DBX ažuriranja mogla bi spriječiti pokretanje uređaja.

Slijedite ove korake samo ako je zadovoljen sljedeći uvjet:

  • Ne imajte na umu da pokretanje nijedne aplikacije za pokretanje koje ovo ažuriranje blokira.

Dodatne informacije

Primjena DBX ažuriranja u sustavu Windows

Kada pročitate upozorenja u prethodnom odjeljku i provjerite je li uređaj kompatibilan, slijedite ove korake da biste ažurirali DBX sigurnog pokretanja:

  1. S ove web-stranice UEFI-ja preuzmite odgovarajuću datoteku popisa pozivanja UEFI-ja (Dbxupdate.bin) za svoju platformu.

  2. Datoteku Dbxupdate.bin morate podijeliti na potrebne komponente da biste ih primijenili pomoću cmdleta komponente PowerShell. Da biste to učinili, slijedite ove korake:

    1. Preuzmite skriptu komponente PowerShell s ove web-stranice galerije powershell.

    2. Da biste lakše pronašli skriptu, pokrenite sljedeći cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

    3. Provjerite je li cmdlet uspješno preuzet i sadrži li izlazne pojedinosti, uključujući naziv, verziju, autora, PublishedDate, InstalledDate i InstalledLocation.

    4. Pokrenite sljedeće cmdlete:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Li

    5. Provjerite je SplitDbxContent.ps1 datoteka sada u mapi Skripte.

    6. Pokrenite sljedeću skriptu komponente PowerShell u datoteci Dbxupdate.bin:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. Provjerite je li naredba stvorila sljedeće datoteke.

      "Applying" step 2c command output

      • Content.bin – sadržaj ažuriranja

      • Signature.p7 – potpis koji autorizira postupak ažuriranja

  3. U administrativnoj sesiji ljuske PowerShell pokrenite cmdlet Set-SecureBootUefi da biste primijenili DBX ažuriranje:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Očekivani izlazni

    Izlaz naredbe "Primjena" 3. koraka

  4. Da biste dovršili postupak instalacije ažuriranja, ponovno pokrenite uređaj.

Dodatne informacije o cmdletu konfiguracije sigurnog pokretanja i načinu korištenja za DBX ažuriranja potražite u članku Set-Secure.

Provjera je li ažuriranje uspjelo  

Kada uspješno dovršite korake u prethodnom odjeljku i ponovno pokrenete uređaj, slijedite ove korake da biste provjerili je li ažuriranje uspješno primijenjeno. Nakon uspješne provjere, ranjivost GRUB-a više neće utjecati na vaš uređaj.

  1. Preuzmite skripte za provjeru valjanosti DBX ažuriranja s ove GitHub Gist web-stranice.

  2. Izdvojite skripte i binarne datoteke iz komprimirane datoteke.

  3. Pokrenite sljedeću skriptu komponente PowerShell u mapi koja sadrži proširene skripte i binarne datoteke da biste provjerili AŽURIRANJE DBX-a:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    Napomena: Ako je ažuriranje DBX-a koje se podudara s verzijama iz arhive datoteka popisa opomenom iz srpnja 2020. ili listopada 2020., pokrenite sljedeću odgovarajuću naredbu:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Provjerite odgovara li izlaz očekivanom rezultatu.

    Izlaz naredbe "Verifying" 4. korak

FAQ

P1: Što znači poruka o pogrešci "Get-SecureBootUEFI: Cmdlets not supported on this platform" (Get-SecureBootUEFI: Cmdlets not supported on this platform" (Get-SecureBootUEFI: Cmdlets not supported on this platform" (Get-SecureBootUEFI: Cmdlets not supported on this platform) znači?

A1: Ova poruka o pogrešci označava da je značajka BEZ sigurnog pokretanja omogućena na računalu. Stoga na ovaj uređaj NE utječe gruba ranjivost. Nije potrebno ništa poduzeti.

P2: Kako konfigurirati uređaj tako da smatra UEFI CA pouzdanim ili ne? 

A2: Preporučujemo da se obratite dobavljaču OEM-a. 

Za Microsoft Surface promijenite postavku sigurnog pokretanja u "Samo Microsoft", a zatim pokrenite sljedeću naredbu komponente PowerShell (rezultat bi trebao biti "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Dodatne informacije o konfiguriranju za Microsoft Surface potražite u članku Upravljanje postavkama UEFI-ja za Surface - Surface | Microsoftova dokumentacija.

P3: Utječe li taj problem na virtualna računala Azure IaaS Generation 1 i Generation 2? 

A3: Ne. Virtualna računala gosta na platformi Azure Gen1 i Gen2 ne podržavaju značajku sigurnog pokretanja. Stoga, oni nisu zahvaćeni lanca pouzdanih napada. 

P4: Odnose li se ADV200011 i CVE-2020-0689 na istu ranjivost povezanu sa sigurnim pokretanjem? 

A: Ne. Ta sigurnosna upozorenja opisuju različite slabe točke. "ADV200011" se odnosi na ranjivost u KOMPONENTI GRUB (Linux) koja može uzrokovati zaobilaženje sigurnog pokretanja. "CVE-2020-0689" odnosi se na ranjivost zaobilaženje sigurnosnih značajki koja postoji u sigurnom pokretanju. 

P5: Ne mogu pokrenuti skripte komponente PowerShell. Što da radim?

A: Provjerite pravilnik o izvršavanju komponente PowerShell pokretanjem naredbe Get-ExecutionPolicy . Ovisno o izlazu, možda ćete morati ažurirati pravilnik izvršenja:

Proizvode treće strane o kojima se raspravlja u ovom članku proizvode tvrtke koje su neovisne o Microsoftu. Microsoft ne daje nikakva jamstva, implicirana ni na neki drugi način, vezana uz performanse ili pouzdanost tih proizvoda. 

Microsoft pruža podatke za kontakt drugih proizvođača da biste lakše pronašli dodatne informacije o ovoj temi. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Microsoft ne jamči točnost podataka za kontakt treće strane. 

Odnosi se na:

Windows 10 za 32-bitne
sustave Windows 10 za 64-bitne
sustave Windows 10 verziju 2004 za 32-bitne
sustave Windows 10 verziju 2004 za sustave utemeljene na ARM64
Windows 10 verziju 2004 za sustave utemeljene na procesoru x64
Windows 10 verzija 1909 za 32- bitni sustavi
Windows 10 verzija 1909 za sustave utemeljene na ARM64 Windows 10 verzija 1909 za sustave utemeljene na procesoru x64

Windows 10 verzija 1903 za 32-bitne
sustave Windows 10 verzija 1903 za arm64 sustave Windows 10 verzija 1903 za sustave utemeljena na procesoru x64

Windows 10 Verzija 1809 za 32-bitne
sustave Windows 10 verzija 1809 za sustave utemeljene na ARM64
Windows 10 verzija 1809 za sustave utemeljene na procesoru x64
Windows 10 verzija 1803 za 32-bitne
sustave Windows 10 verzija 1803 za sustave utemeljene na ARM64
Windows 10 verzija 1803 za sustave utemeljene na procesoru x64
Windows 10 verzija 1709 za 32-bitne
sustave Windows 10 verzija 1709 za sustave utemeljene na ARM64
Windows 10 verzija 1709 za sustave utemeljene na x64
Windows 10 verzija 1607 za 32-bitne
sustave Windows 10 verzija 1607 za sustave s procesorom x64
Windows 8.1 za 32-bitne sustave
Windows 8.1 za sustave s procesorom x64
Windows RT 8.1
Windows Server, verzija 2004 (instalacija serverske jezgre)
Windows Server, verzija 1909 (instalacija serverske jezgre)
Windows Server, verzija 1903 (instalacija serverske jezgre)
Windows Server 2019
Windows Server 2019 (instalacija serverske jezgre)
Windows Server 2016
Windows Server 2016 (instalacija serverske jezgre)
Windows Server 2012 R2
Windows Server 2012 R2 (instalacija serverske jezgre)
Windows Server 2012
Windows Server 2012 (instalacija serverske jezgre)

Facebook LinkedIn E-pošta

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×