Tekintse meg a termékeket, amelyekre ez a cikk vonatkozik.

Összefoglalás

A Microsoft 2020. július 29-én közzétette a 200011-es biztonsági tanácsadót, amely ismerteti a Biztonságos rendszerindításhoz kapcsolódó új biztonsági rést. Azok az eszközök, amelyek megbízik a Microsoft külső, egyesített belső vezérlőprogram-felhasználói felületén (UEFI) található hitelesítésszolgáltatót a biztonságos rendszerindítási konfigurációban, érzékenyek lehetnek egy olyan támadóra, aki rendszergazdai jogosultsággal vagy fizikai hozzáféréssel rendelkezik az eszközhöz.

Ez a cikk útmutatást nyújt a biztonsági adatbázis-visszavonási lista legújabb verziójának alkalmazásához a sebezhető modulok érvénytelenítéséhez. A Microsoft 2021 2021 közepén Windows frissítéseket a biztonsági rés ellen.

A Biztonságos rendszerindítás frissítési bináris fájlok erre az UEFI-weblapra kerülnek.

A közzétett fájlok a következők:

  • UEFI visszavonási listafájl x86-hoz (32 bites)

  • UEFI visszavonási listafájl x64-hez (64 bites)

  • UEFI-visszavonási listafájl arm64-hez

Miután hozzáadta ezeket a hasheket az eszközén a Biztonságos rendszerindításos DBX-hez, ezek az alkalmazások már nem tölthetnek be. 

Fontos: Ez a webhely minden architektúrához tartalmaz fájlokat. Minden szolgáltatott fájl csak az adott architektúrára vonatkozó alkalmazásokat tartalmazza. Ezeket a fájlokat minden eszközre alkalmaznia kell, de győződjön meg arról, hogy az architektúrája szempontjából releváns fájlt alkalmaz. Bár technikailag lehetséges frissítést alkalmazni egy másik architektúrához, a megfelelő frissítés telepítése nélkül az eszköz nem lesz védett.

Figyelmeztetés: Mielőtt ezekkel a lépésekkel próbálkozik, olvassa el a biztonsági réssel kapcsolatos fő tanácsadó cikket. A DBX-frissítések helytelen alkalmazása megakadályozhatja az eszköz indítását.

Csak akkor hajtsa végre ezeket a lépéseket, ha az alábbi feltételek teljesülnek:

  • Ön igazolta, hogy az eszköz megbízik a külső UEFI-hitelesítésben a biztonságos rendszerindítási konfigurációban. Ehhez futtassa az alábbi PowerShell-sort egy rendszergazdai PowerShell-munkamenetből:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Nem kell elindulnia a frissítés által blokkolt indítási alkalmazások egyikének sem.

További információ

DBX-frissítés alkalmazása Windows

Miután elolvasta a figyelmeztetéseket, és ellenőrizte, hogy az eszköze kompatibilis-e, az alábbi lépéseket követve frissítse a Biztonságos rendszerindítási DBX adatbázis-kezelőt:

  1. Töltse le a platformhoz a megfelelő UEFI-visszavonási listafájlt (Dbxupdate.bin) erről az UEFI weblapról.

  2. Fel kell osztania a Dbxupdate.bin fájlt a szükséges összetevőkre ahhoz, hogy PowerShell-parancsmagokkal tudja alkalmazni őket. Ezt a következőképpen teheti meg:

    1. Töltse le a PowerShell-parancsprogramot erről a PowerShell-gyűjtemény weblapról.

    2. Futtassa az alábbi PowerShell-parancsprogramot a Dbxupdate.bin fájlon:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. Ellenőrizze, hogy a parancs hozta-e létre a következő fájlokat:

      "Applying" step 2c command output

      • Content.bin – tartalom frissítése

      • Signature.p7 – A frissítési folyamat aláírását készítő aláírás

  3. Rendszergazdai PowerShell-munkamenetben futtassa a Set-SecureBootUefi parancsmagot a DBX-frissítés

    telepítéséhez:Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Várható kimenet


    "Applying" step 3 command output

  4. A frissítés telepítésének befejezéséhez indítsa újra az eszközt.

A Biztonságos rendszerindítás beállítása parancsmagról és a DBX-frissítésekhez való használatának mikéntről a Biztonságos beállítási parancsmag nyújt tájékoztatást.

A frissítés sikeres voltának ellenőrzése  

Miután sikeresen befejezte az előző szakasz lépéseit, és újraindítja az eszközt, az alábbi lépéseket követve ellenőrizze, hogy a frissítés sikeresen történt-e. A sikeres ellenőrzés után az eszközt már nem fogja érinteni a KELLÉK biztonsági rés.

  1. Töltse le a DBX update verification scripts-eket erről GitHub Gist weblapról.

  2. Bontsa ki a parancsfájlokat és a bináris fájlokat a tömörített fájlból.

  3. Futtassa a következő PowerShell-parancsprogramot a kibontott parancsprogramokat és bináris fájlokat tartalmazó mappában a DBX-frissítés

    ellenőrzéséhez:Check-Dbx.ps1 .\dbx-2021-April.bin' 

    Megjegyzés: Ha a visszavont lista fájlarchívumából a 2020. júliusi vagy 2020. októberi verziónak megfelelő DBX-frissítést alkalmazott, futtassa a következő parancsot:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 .\dbx-2020-October.bin' 

  4. Ellenőrizze, hogy a kimenet megegyezik-e a várt "Ellenőrzés" step 4 command output

GYIK

1. kérdés: Mit jelent a "Get-SecureBootUEFI: A platformon nem támogatott parancsmagok" hibaüzenet?

A1: Ez a hibaüzenet azt jelzi, hogy a számítógépen nincs engedélyezve a Biztonságos rendszerindítás funkció. Ezért ezt az eszközt NEM érinti a STB biztonsági rés. Nincs szükség további beavatkozásra.

2. kérdés: Hogyan konfigurálható úgy az eszköz, hogy megbízik-e külső UEFI-hitelesítésszolgáltatóban, vagy ne bízzon meg benne? 

A2: Azt javasoljuk, hogy forduljon az OEM gyártójához. 

A Microsoft Surface esetén módosítsa a Biztonságos rendszerindítás beállítást "Csak Microsoft" beállításra, majd futtassa a következő PowerShell-parancsot (az eredmény "Hamis"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

A Microsoft Surface konfigurálásáról további információt A Surface UEFI beállításainak kezelése – Surface | Microsoft Docs .

3. kérdés: Érinti ez a probléma az Azure IaaS 1. és 2. generációs virtuális gépeket? 

A3: nem. A Gen1 és a Gen2 Azure-vendég virtuális gépek nem támogatják a Biztonságos rendszerindítás funkciót. Így a megbízhatósági láncolat nem érinti őket. 

4. kérdés: Az ADV200011 és a CVE-2020-0689 ugyanazt a biztonsági rést jelenti, amely a biztonságos rendszerindításhoz is kapcsolódik? 

A: nem. Ezek a biztonsági tanácsadók ismertetik a különböző biztonsági réseket. Az "ADV200011" a TOK (Linux) összetevő biztonsági résére utal, amely a Biztonságos rendszerindítás megkerülését okozhatja. A "CVE-2020-0689" a Biztonsági rendszerindítás funkció megkerülését lehetővé tő biztonsági résre utal. 

5. kérdés: Egyik PowerShell-parancsprogram sem futtatható. Mit tegyek?

A: A PowerShell végrehajtási házirendet a Get-ExecutionPolicy parancs futtatásával ellenőrizheti. A kimenettől függően előfordulhat, hogy frissítenie kell a végrehajtási házirendet:

A cikkben tárgyalt, külső féltől származó termékeket a Microsofttól független cégek gyártották. A Microsoft sem hallgatólagos, sem más módon nem vállal jótállást e termékek teljesítményére vagy megbízhatóságára vonatkozóan. 

A Microsoft külső kapcsolattartási adatokat biztosít, hogy további információkat talál a témáról. Ezek a kapcsolattartási adatok értesítés nélkül megváltozhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási információinak pontosságát. 

A következőre vonatkozik:

Windows 10 32 bites rendszerekhez
Windows 10 x64-es rendszerekhez
Windows 10 2004-es verzió 32 bites rendszerekhez
Windows 10 2004-es verzió ARM64-alapú rendszerekhez
Windows 10 2004-es verzió x64-es rendszerekhez
Windows 10 1909-es verzió 32 bites rendszerekhez
Windows 10 ARM64-alapú 1909-es verzió
X64-es rendszerek Windows 10 1909-es verziója
Windows 10 1903-as verzió 32 bites rendszerekhez
Windows 10
1903-as verzió ARM64-alapú rendszerekhez Windows 10 1903-as verzió x64-es rendszerekhez
Windows 10 1809-es verzió 32 bites rendszerekhez
Windows 10 1809-es verzió ARM64-alapú rendszerekhez Windows 10 Windows 10
1809-es verzió x64-es rendszerekhez
Windows 10 1803-as verzió 32 bites rendszerekhez
Windows 10 1803-as verzió ARM64-alapú rendszerekhez
Windows 10 1803-as verzió x64-es rendszerekhez
Windows 10 1709-es verzió 32 bites rendszerekhez
Windows 10 1709-es verzió ARM64-alapú rendszerekhez
Windows 10 1709 x64-es rendszerekhez
Windows 10 1607-es verzió a 32 bites rendszerekhez
Windows 10 1607-es verzió x64-es rendszerekhez

Windows 8.1 x64-alapú rendszerekhez Windows 8.1 x64-alapú Windows RT
8.1-es
Windows Server 2004-es verzióhoz (Server Core telepítés) Windows
Server, 1909-es verzió (Server Core installation)
Windows Server, 1903-as verzió (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2016 Windows Server 2016
(Server Core installation)
Windows Server 2012 R2 Windows Server 2012
R2 (Server) Alapvető telepítés)
Windows Server 2012
Windows Server 2012 (Server Core telepítés)

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Mennyire elégedett a fordítás minőségével?
Mi befolyásolta a felhasználói élményét?

Köszönjük visszajelzését!

×