Microsoftove smjernice za primjenu dbx ažuriranja za sigurno pokretanje

Pogledajte proizvode na koje se ovaj članak odnosi.

Sažetak

29. srpnja 2020. Microsoft je objavio sigurnosno savjetovanje 200011 u okviru koje se opisuje nova ranjivost povezana sa sigurnim pokretanjem. Uređaji koji u konfiguraciji sigurnog pokretanja mogu biti podložni napadaču s administratorskim ovlastima ili fizičkim pristupom uređaju.

U ovom su članku navedeni smjernice za primjenu najnovijeg popisa opoziva DBX-a za sigurno pokretanje da bi se ugroženi moduli poništavali. Microsoft će u sredini 2021. Windows ažurirati ažuriranje radi rješavanja te slabe točke.

Binarne datoteke ažuriranja sigurnog pokretanja hostirane su na ovoj web-stranici UEFI-ja.

Objavljene datoteke su sljedeće:

  • Datoteka popisa opoziva UEFI-ja za x86 (32-bitno)

  • Datoteka popisa opoziva UEFI-ja za x64 (64-bitno)

  • UEFI Datoteka popisa opoziva za arm64

Nakon dodavanja tih hashova u DBX za sigurno pokretanje na uređaju te aplikacije više neće biti dopuštene za učitavanje. 

Važno: Ovo web-mjesto hosta datoteke za svaku arhitekturu. Svaka hostirana datoteka obuhvaća samo hashove aplikacija koje se odnose na određenu arhitekturu. Morate primijeniti jednu od tih datoteka na svaki uređaj, ali provjerite jeste li primijenili datoteku koja je relevantna za njegovu arhitekturu. Premda je tehnički moguće primijeniti ažuriranje za drugu arhitekturu, ako ne instalirate odgovarajuće ažuriranje, uređaj će biti nezaštićeni.

Oprez: Pročitajte glavni savjetodavni članak o ovoj slaboj točke prije nego što isprobate bilo koji od ovih koraka. Nepravilna primjena DBX ažuriranja može spriječiti pokretanje uređaja.

Slijedite ove korake samo ako su ispunjeni sljedeći uvjeti:

  • Potvrdili ste da vaš uređaj u konfiguraciji sigurnog pokretanja vjeruje UEFI CA treće strane. Da biste to učinite, pokrenite sljedeći redak komponente PowerShell iz administratorske sesije komponente PowerShell:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Ne pouzmite se na pokretanje bilo koje aplikacije za pokretanje koje blokira ovo ažuriranje.

Dodatne informacije

Primjena DBX ažuriranja na Windows

Kada pročitate upozorenja i provjerite je li uređaj kompatibilan, slijedite ove korake da biste ažurirali DBX za sigurno pokretanje:

  1. Preuzmite odgovarajuću datoteku popisa za opoziv UEFI-ja (Dbxupdate.bin) za platformu s ove web-stranice UEFI-ja.

  2. Datoteku Dbxupdate.bin morate podijeliti na potrebne komponente da biste ih primijenili pomoću cmdleta komponente PowerShell. Da biste to učinili, slijedite ove korake:

    1. Preuzmite skriptu komponente PowerShell s web-stranice galerije ljuske PowerShell.

    2. Pokrenite sljedeću skriptu komponente PowerShell u datoteci Dbxupdate.bin:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. Provjerite je li naredba stvorila sljedeće datoteke:

      "Applying" step 2c command output

      • Content.bin – sadržaj ažuriranja

      • Signature.p7 – potpis koji je autorizirao postupak ažuriranja

  3. U administratorskim sesijama komponente PowerShell pokrenite cmdlet Set-SecureBootUefi da biste primijenili DBX ažuriranje:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Očekivani izlazni


    Izlaz naredbe "Primjena" 3. korak

  4. Ponovno pokrenite uređaj da biste dovršili postupak instalacije ažuriranja.

Dodatne informacije o cmdletu za konfiguraciju sigurnog pokretanja i kako ga koristiti za DBX ažuriranja potražite u članku Postavljanje sigurnosti.

Provjera uspješnog ažuriranja  

Kada uspješno dovršite korake u prethodnom odjeljku i ponovno pokrenete uređaj, slijedite ove korake da biste provjerili je li ažuriranje uspješno primijenjeno. Nakon uspješne provjere valjanosti na vaš uređaj više neće utjecati ranjivost GRUB-a.

  1. Preuzmite skripte za provjeru valjanosti DBX ažuriranja s ove web-GitHub Gist.

  2. Izdvojite skripte i binarne datoteke iz komprimirane datoteke.

  3. Pokrenite sljedeću skriptu komponente PowerShell u mapi koja sadrži proširene skripte i binarne datoteke da biste potvrdili AŽURIRANJE DBX-a:

    Check-Dbx.ps1 .\dbx-2021-April.bin' 

    Napomena: Ako je primijenjeno ažuriranje DBX-a koje odgovara verzijama iz arhive datoteka popisa opoziva iz srpnja 2020. ili listopada 2020., pokrenite sljedeću odgovarajuću

    naredbu:Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Provjerite odgovara li izlaz očekivanom rezultatu:

    Izlaz naredbe "Potvrda" 4. korak

Najčešća pitanja

P1: Što znači poruka o pogrešci "Get-SecureBootUEFI: Cmdleti nisu podržani na ovoj platformi"?

A1: Ova poruka o pogrešci upućuje na to da je na računalu omogućena značajka bez sigurnog pokretanja. Stoga na ovaj uređaj ne utječe gruba slaba točka. Nije potrebno daljnje akcije.

P2: Kako konfigurirati uređaj tako da pouzdan ili ne vjeruje UEFI CA treće strane? 

A2: Preporučujemo da se obratite proizvođaču OEM-a. 

Za Microsoft Surface promijenite postavku sigurnog pokretanja u "Microsoft Only", a zatim pokrenite sljedeću naredbu komponente PowerShell (rezultat bi trebao biti "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Dodatne informacije o konfiguriranju za Microsoft Surface potražite u članku Upravljanje postavkama UEFI-ja za Surface – Surface | Microsoft Docs.

P3: Utječe li taj problem na virtualna računala Azure IaaS Generation 1 i Generation 2? 

A3: ne. Virtualna računala za goste servisa Azure Gen1 i Gen2 ne podržavaju značajku sigurnog pokretanja. Stoga im lanac napada pouzdanosti ne utječe na to. 

P4: Odnose li se ADV200011 i CVE-2020-0689 na istu ranjivost povezanu sa sigurnim pokretanjem? 

A: ne. Ti sigurnosni savjetnici opisuju različite slabe točke. "ADV200011" odnosi se na slabe točke u komponenti GRUB (Komponenta Linux) koja može uzrokovati zaobilaženje sigurnog pokretanja. "CVE-2020-0689" odnosi se na slabe točke zaobilaženje sigurnosnih značajki koje postoje u sigurnom pokretanju. 

P5: ne mogu pokrenuti skripte komponente PowerShell. Što da radim?

A: Provjerite pravilnik izvršavanja komponente PowerShell pokretanjem naredbe Get-ExecutionPolicy. Ovisno o izlazu, možda ćete morati ažurirati pravilnik izvršavanja:

Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs
 

Proizvode drugih proizvođača o kojima se govori u ovom članku proizvode tvrtke koje su neovisne o Microsoftu. Microsoft ne daje nikakvo jamstvo, podrazumijevano ni na neki drugi način, vezano uz performanse ili pouzdanost tih proizvoda. 

Microsoft nudi podatke za kontakt drugih proizvođača koji će vam pomoći da pronađete dodatne informacije o ovoj temi. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Microsoft ne jamči točnost podataka za kontakt drugih proizvođača. 

Odnosi se na:

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×