Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

Dátum módosítása

Leírás módosítása

2024. március 20.

  • Az "Eredmények és visszajelzés" szakasz hozzá van adva

2024. március 21.

  • Frissült a "2. lépés: Az PCA2023 aláírt rendszerindítás-kezelő telepítése" című szakasz 4. lépése

2024. március 22.

  • Frissítettük az e-mail kapcsolattartási adatait az "Eredmények és visszajelzés" szakaszban

  • A "Választható diagnosztikai adatok engedélyezése" szakasz hozzá van adva

Ismertető

Ez a cikk a következő cikk kiegészítése, amely 2024 áprilisában frissül:

  • KB5025885: A CVE-2023-24932-höz társított biztonságos rendszerindítási módosítások Windows Boot Manager-visszavonásainak kezelése

Ez a kiegészítés a CVE-2023-24932 által nyomon követett BlackLotus UEFI rendszerindító készleten végzett új kockázatcsökkentések üzembe helyezésének frissített lépésenkénti eljárását ismerteti, és a környezet tesztelési útmutatóját is tartalmazza.

A sebezhető rendszerindítás-kezelőkkel való rosszindulatú visszaélések elleni védelem érdekében új UEFI biztonságos rendszerindítási aláíró tanúsítványt kell üzembe helyeznünk az eszköz belső vezérlőprogramjában, és meg kell vonnunk az aktuális aláíró tanúsítvány belső vezérlőprogramjában való bizalmát. Ha így tesz, az összes meglévő, sebezhető rendszerindítás-kezelő nem lesz megbízható a biztonságos rendszerindításra képes eszközök számára. Ez az útmutató segítséget nyújt ehhez a folyamathoz.

Az útmutatóban ismertetett három megoldási lépés a következő:

  1. Adatbázis frissítése: A rendszer hozzáad egy új PCA-(PCA2023) tanúsítványt a biztonságos rendszerindítási adatbázishoz, amely lehetővé teszi az eszköz számára a tanúsítvány által aláírt adathordozó rendszerindítását.

  2. A rendszerindítás-kezelő telepítése: A meglévő PCA2011 aláírt rendszerindítás-kezelőt a PCA2023 aláírt rendszerindítás-kezelő váltja fel.A 2024. áprilisi biztonsági frissítések mindkét rendszerindítás-kezelőt tartalmazzák.

  3. A PCA2011 DBX-visszavonása: A rendszer megtagadási bejegyzést ad hozzá a Secure Boot DBX-hez, amely megakadályozza a PCA2011-nal aláírt rendszerindítás-kezelők rendszerindítását.

Megjegyzés A három kockázatcsökkentést alkalmazó Karbantartási verem szoftver nem teszi lehetővé a kockázatcsökkentések sorrenden kívüli alkalmazását.

Ez rám is vonatkozik?

Ez az útmutató minden olyan eszközre vonatkozik, amelyen engedélyezve van a biztonságos rendszerindítás, és az összes meglévő helyreállítási adathordozó ezeken az eszközökön.

Ha az eszköz Windows Server 2012 vagy Windows Server 2012 R2-t futtat, a folytatás előtt olvassa el az "Ismert problémák" című szakaszt.

Előkészületek

Nem kötelező diagnosztikai adatok engedélyezése

Az alábbi lépések végrehajtásával kapcsolja be az "Opcionális diagnosztikai adatok küldése" beállítást:

  1. A Windows 11 nyissa meg a Start > Settings > Privacy & security >Diagnostics & feedback (Adatvédelmi & biztonsági & visszajelzés) című témakört.

  2. Kapcsolja be a Nem kötelező diagnosztikai adatok küldése beállítást.

    Diagnosztika & visszajelzés

További információ: Diagnosztika, visszajelzés és adatvédelem a Windowsban

MEGJEGYZÉS Ellenőrizze, hogy van-e internetkapcsolat az ellenőrzés alatt és egy ideig az ellenőrzés után.

Teszt sikeres letétele

A 2024. áprilisi Windows-frissítések telepítése után, és mielőtt végighalad a jóváhagyási lépéseken, győződjön meg arról, hogy elvégez egy teszteredményt a rendszer integritásának ellenőrzéséhez:

  1. VPN: Ellenőrizze, hogy a vállalati erőforrásokhoz és a hálózathoz való VPN-hozzáférés működik-e.

  2. Windows Hello: Jelentkezzen be a Windows-eszközre a szokásos eljárással (arc/ujjlenyomat/PIN-kód).

  3. Bitlocker: A rendszer normál módon indul el a BitLocker-kompatibilis rendszereken anélkül, hogy a BitLocker helyreállítási kérése az indítás során megkezdődik.

  4. Eszközállapot-igazolás: Ellenőrizze, hogy az eszközállapot-igazolásra támaszkodó eszközök helyesen igazolják-e az állapotukat.

Ismert problémák

Csak Windows Server 2012 és Windows Sever 2012 R2 esetén:

  • A TPM 2.0-alapú rendszerek nem tudják üzembe helyezni a 2024. áprilisi biztonsági javításban megjelent kockázatcsökkentéseket a TPM-mérések ismert kompatibilitási problémái miatt. A 2024. áprilisi frissítések blokkolják a 2. (rendszerindítás-kezelő) és a 3. (DBX-frissítés) kockázatcsökkentést az érintett rendszereken.

  • A Microsoft tud a problémáról, és a jövőben kiadunk egy frissítést a TPM 2.0-alapú rendszerek blokkolásának feloldásához.

  • A TPM verziójának ellenőrzéséhez kattintson a jobb gombbal a Start gombra, kattintson a Futtatás parancsra, majd írja be a tpm.msc parancsot. A középső panel jobb alsó részén, a TPM gyártói információi alatt a Specifikáció verziója értéknek kell megjelennie.

Jóváhagyási érvényesítési lépések

A cikk további része a kockázatcsökkentést engedélyező eszközök tesztelését ismerteti. A kockázatcsökkentések alapértelmezés szerint nincsenek engedélyezve. Ha a nagyvállalat ezeket a kockázatcsökkentéseket szeretné engedélyezni, futtassa az alábbi ellenőrzési lépéseket az eszközkompatibilitás ellenőrzéséhez.

  1. Telepítse a 2024. áprilisi előzetes biztonsági frissítést.

  2. Nyisson meg egy rendszergazdai parancssort, és állítsa be a beállításkulcsot az adatbázis frissítéséhez a következő parancs beírásával, majd nyomja le az Enter billentyűt:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Indítsa újra az eszközt kétszer.

  4. Az adatbázis sikeres frissítésének ellenőrzéséhez győződjön meg arról, hogy a következő parancs true (igaz) értéket ad vissza. Futtassa a következő PowerShell-parancsot rendszergazdaként:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Nyisson meg egy rendszergazdai parancssort, és állítsa be a beállításkulcsot a PCA2023 aláírt rendszerindítás-kezelő letöltéséhez és telepítéséhez:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Indítsa újra az eszközt kétszer.

  3. Rendszergazdaként csatlakoztassa az EFI-partíciót, hogy készen álljon a vizsgálatra:

    mountvol s: /s

  4. Ellenőrizze, hogy az "s:\efi\microsoft\boot\bootmgfw.efi" alá van-e írva a PCA2023. Ehhez kövesse a következő lépéseket:

    1. Kattintson a Start gombra, írja be a parancssor kifejezést a Keresés mezőbe, majd kattintson a Parancssor elemre.

    2. A Parancssor ablakban írja be a következő parancsot, majd nyomja le az Enter billentyűt.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. A Fájlkezelőben kattintson a jobb gombbal a C:\bootmgfw_2023.efi fájlra, kattintson a Tulajdonságok elemre, majd válassza a Digitális aláírások lapot.

    4. Az Aláírás listában ellenőrizze, hogy a tanúsítványlánc tartalmazza-e a Windows UEFI 2023 hitelesítésszolgáltatót.

FIGYELEM: Ez a lépés telepíti a DBX-visszavonást a Windows Production PCA2011 által aláírt nem megbízható, sebezhető rendszerindítás-kezelők számára. Az ilyen visszavonással rendelkező eszközök a továbbiakban nem indulnak el a meglévő helyreállítási adathordozókról és hálózati rendszerindítási (PXE/HTTP) kiszolgálókról, amelyek nem rendelkeznek frissített rendszerindítás-kezelő összetevőkkel.

Ha az eszköz nem indítható állapotba kerül, a "Helyreállítási és visszaállítási eljárások" szakaszban található lépéseket követve állítsa vissza az eszközt visszavonás előtti állapotra.

Ha a DBX alkalmazása után vissza szeretné állítani az eszközt a korábbi Biztonságos rendszerindítási állapotba, kövesse a "Helyreállítási és visszaállítási eljárások" szakaszt.

Alkalmazza a DBX-kockázatcsökkentést, hogy ne legyen megbízható a Windows éles PCA2011 tanúsítványa a biztonságos rendszerindításban:

  1. Nyisson meg egy rendszergazdai parancssort, és állítsa be a beállításkulcsot úgy, hogy az PCA2011 visszavonása a DBX-ben legyen:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Indítsa újra az eszközt kétszer , és győződjön meg arról, hogy teljesen újraindult.

  3. Ellenőrizze, hogy a DBX-kockázatcsökkentés sikeresen alkalmazva lett-e. Ehhez futtassa a következő PowerShell-parancsot rendszergazdaként, és győződjön meg arról, hogy a parancs True (Igaz) értéket ad vissza:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Vagy keresse meg a következő eseményt a eseménymegtekintő:

    Eseménynapló

    Rendszer

    Esemény forrása

    TPM-WMI

    Eseményazonosító

    1037

    Szint

    Információ

    Eseményüzenet szövege

    A Microsoft Windows Production PCA 2011 visszavonására vonatkozó Biztonságos rendszerindítási dbx-frissítés alkalmazása sikeresen megtörtént

  4. A "Kezdés előtt" szakaszban végezze el a tesztátadási elemeket, és győződjön meg arról, hogy minden rendszer a szokásos módon viselkedik.

Beállításkulcs referenciája

Jóváhagyási ellenőrzés – 1. lépésJóváhagyási ellenőrzés – 2. lépésJóváhagyási ellenőrzés – 3. lépés

Parancs

Célja

Hozzászólások 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Az adatbázis-frissítés telepítése a PCA2023 aláírt rendszerindítás-kezelő engedélyezéséhez

Parancs

Célja

Hozzászólások 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

A PCA2023-signed bootmgr telepítése

Az érték csak 0x40 lépés befejezése után lesz figyelembevéve

Parancs

Célja

Hozzászólások 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Telepíti a DBX-frissítést, amely visszavonja PCA2011

Az érték csak akkor lesz figyelembevéve, ha mindkét 0x40 & 0x100 lépés befejeződött

Eredmények és visszajelzés

Küldjön e-mailt suvp@microsoft.com a tesztelési eredményekről, kérdésekről és visszajelzésről.

Helyreállítási és visszaállítási eljárások

Helyreállítási eljárások végrehajtásakor ossza meg a következő adatokat a Microsofttal:

  • Képernyőkép a megfigyelt rendszerindítási hibáról.

  • Olyan lépések, amelyek miatt az eszköz nem indítható el.

  • Az eszközkonfiguráció részletei.

Visszaállítási eljárás végrehajtásakor az eljárás megkezdése előtt függessze fel a BitLockert.

Ha a folyamat során hiba lép fel, és nem tudja elindítani az eszközt, vagy külső adathordozóról (például pendrive-ról vagy PXE-rendszerindításról) kell indulnia, próbálkozzon az alábbi eljárásokkal.

  1. A biztonságos rendszerindítás

    kikapcsolása Ez az eljárás különbözik a pc-gyártóktól és a modellektől. Adja meg a pc-k UEFI BIOS menüjét, lépjen a Biztonságos rendszerindítás beállításhoz, és kapcsolja ki. A folyamatra vonatkozó részletekért tekintse meg a számítógép gyártójának dokumentációját. További információ: A biztonságos rendszerindítás letiltása.

  2. Biztonságos rendszerindítási kulcsok

    törlése Ha az eszköz támogatja a biztonságos rendszerindítási kulcsok törlését vagy a biztonságos rendszerindítási kulcsok gyári alapértelmezett értékre állítását, most hajtsa végre ezt a műveletet.  

    Az eszköznek most kell elindulnia, de vegye figyelembe, hogy sebezhető a boot-kits kártevők ellen. A biztonságos rendszerindítás újbóli engedélyezéséhez végezze el az 5. lépést a helyreállítási folyamat végén.

  3. Próbálja meg elindítani a Windowst a rendszerlemezről.

    1. Ha a BitLocker engedélyezve van, és helyreállításra kerül, adja meg a BitLocker helyreállítási kulcsát.

    2. Bejelentkezés a Windowsba.

    3. Futtassa az alábbi parancsokat a rendszergazdai parancssorból a rendszerindító fájlok visszaállításához az EFI rendszerindítási partíciójában:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. A BCDBoot futtatásának "A rendszerindító fájlok sikeresen létrehozva" értéket kell visszaadnia.

    5. Ha a BitLocker engedélyezve van, függessze fel a BitLockert.

    6. Indítsa újra az eszközt.

  4. Ha a 3. lépés nem tudja helyreállítani az eszközt, telepítse újra a Windowst.

    1. Kezdje a meglévő helyreállítási adathordozóról.

    2. Folytassa a Windows telepítésével a helyreállítási adathordozó használatával.

    3. Bejelentkezés a Windowsba.

    4. Indítsa újra az eszközt annak ellenőrzéséhez, hogy az eszköz sikeresen elindul-e a Windowsra.

  5. Engedélyezze újra a Biztonságos rendszerindítást, és indítsa újra az eszközt.

    Adja meg a devicce UEFI menüt, lépjen a Biztonságos rendszerindítás beállításhoz, és kapcsolja be. A folyamatra vonatkozó részletekért tekintse meg az eszköz gyártójának dokumentációját. További információ: Biztonságos rendszerindítás újbóli engedélyezése.

  6. Ha a Windows indítása továbbra is sikertelen, adja meg újra az UEFI BIOS-t, és kapcsolja ki a Biztonságos rendszerindítást.

  7. Indítsa el a Windowst.

  8. Ossza meg a DB, DBX tartalmát a Microsofttal.

    1. Nyissa meg a PowerShellt rendszergazdai módban.

    2. Rögzítse az adatbázist:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Rögzítse a DBX-et:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Ossza meg a 8b. és a 8c. lépésben létrehozott fájlokat DBUpdateFw.bin és dbxUpdateFw.bin .

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?
Ha elküldi a visszajelzést, a Microsoft felhasználja azt a termékei és szolgáltatásai továbbfejlesztéséhez. Az informatikai rendszergazda képes lesz ezeket az adatokat összegyűjteni. Adatvédelmi nyilatkozat.

Köszönjük a visszajelzését!

×