Eredeti közzétételi dátum: Február 13, 2025
Tudásbáziscikk azonosítója: 5053946
Ismertető
Ez a dokumentum a CVE-2023-24932 által nyomon követett BlackLotus UEFI rendszerindító készletet használó nyilvánosan közzétett biztonságos rendszerindítási funkció megkerülése elleni védelem üzembe helyezését írja le vállalati környezetekhez.
A fennakadások elkerülése érdekében a Microsoft nem tervezi ilyen megoldások bevezetését a vállalatoknál, de az útmutatással segíteni próbálja a vállalkozásokat saját maguk a megoldások alkalmazásában. Ezzel a vállalatok szabályozhatják a telepítési tervet és a telepítések időzítését.
Első lépések
A bevezetést több lépésre osztottuk, amelyek a szervezetének megfelelő ütemterv szerint valósíthatók meg. Érdemes megismerkednie az alábbi lépésekkel. Miután alaposan megismerte a lépéseket, gondolja át, hogyan fognak azok működni a környezetében, és az ütemterven készítse el a vállalat számára megfelelő telepítési terveket.
Az új Windows UEFI CA 2023 tanúsítvány hozzáadásához és a Microsoft Windows Production PCA 2011 tanúsítvány megbízhatóságának megszüntetéséhez az eszköz belső vezérlőprogramjának együttműködésére van szükség. Mivel eszközhardver és belső vezérlőprogram kombinációja létezik, és a Microsoft nem képes tesztelni az összes kombinációt, javasoljuk, hogy tesztelje a környezetéhez tartozó eszközöket a széles körű üzembe helyezés előtt. Azt javasoljuk, hogy teszteljen legalább egy eszközt a szervezetében használt minden egyes eszköztípusból. Néhány ismert eszközprobléma, amely blokkolja ezeket a kockázatcsökkentéseket, a következő KB5025885 részeként van dokumentálva : A CVE-2023-24932-höz társított biztonságos rendszerindítási módosítások Windows rendszerindítás-vezérlő-visszavonásainak kezelése. Ha olyan belső vezérlőprogram-problémát észlel, amely nem szerepel az Ismert problémák szakaszban, lépjen kapcsolatba az OEM-szállítóval a probléma megoldása érdekében.
Mivel ez a dokumentum több különböző tanúsítványra hivatkozik, az áttekinthetőség és az érthetőség kedvéért az alábbi táblázatban mutatjuk be őket:
|
Régi 2011-es hitelesítésszolgáltatók |
Új 2023-as hitelesítésszolgáltatók (2038-ban lejár) |
Funkció |
|
Microsoft Corporation KEK CA 2011 (2026 júliusában lejár) |
Microsoft Corporation KEK CA 2023 |
DB- és DBX-frissítések aláírása |
|
Microsoft Windows Production PCA 2011 (PCA2011) (2026 októberében lejár) |
Windows UEFI CA 2023 (PCA2023) |
Jelek Windows rendszerbetöltő |
|
Microsoft Corporation UEFI CA 2011 (2026 júliusában lejár) |
Microsoft UEFI CA 2023 és Microsoft Option ROM UEFI CA 2023 |
Aláírja a harmadik féltől származó rendszerbetöltőket és az opciós ROM-okat |
Fontos Mielőtt tesztelné az eszközöket a kockázatcsökkentő megoldásokkal, mindenképpen alkalmazza a legújabb biztonsági frissítéseket.
Megjegyzés Az eszköz belső vezérlőprogramjának tesztelése során olyan problémákat fedezhet fel, amelyek megakadályozzák a biztonságos rendszerindítás frissítéseinek megfelelő működését. Előfordulhat, hogy ehhez frissített belső vezérlőprogramot kell beszerezni a gyártótól (OEM), és frissítenie kell a belső vezérlőprogramot az érintett eszközökön a felfedezett problémák megoldása érdekében.
Négy enyhítést kell alkalmazni a CVE-2023-24932-ben ismertetett támadások elleni védekezéshez:
-
1. megoldás: Telepítse a frissített tanúsítványdefiníciót (PCA2023) az adatbázisba
-
2. megoldás:A rendszerindítás-kezelő frissítése az eszközön
-
3. megoldás:A visszavonás engedélyezése (PCA2011)
-
4. megoldás:Alkalmazza az SVN-frissítést a belső vezérlőprogramra
Ez a négy kockázatcsökkentés manuálisan alkalmazható az egyes teszteszközökre a KB5025885 Kockázatcsökkentés központi telepítési irányelveiben leírt útmutatást követve : A CVE-2023-24932-höz társított biztonságos rendszerindítási módosítások Windows rendszertöltés-vezérlő-visszavonásainak kezelése vagy az ebben a dokumentumban található útmutatást követve. Mind a négy megoldás működése a belső vezérlőprogramon múlik.
Az alábbi kockázatok ismerete segítséget nyújt a tervezési folyamat során.
Belső vezérlőprogrammal kapcsolatos problémák:Minden eszköz rendelkezik az eszköz gyártója által biztosított belső vezérlőprogrammal. A jelen dokumentumban ismertetett központi telepítési műveletekhez a belső vezérlőprogramnak képesnek kell lennie a biztonságos rendszerindítási adatbázis (aláírás-adatbázis) és a DBX (tiltott aláírási adatbázis) frissítéseinek elfogadására és feldolgozására. Ezenkívül a belső vezérlőprogram felelős az aláírás vagy a rendszerindító alkalmazások ellenőrzéséért, beleértve a Windows rendszerindítókezelőjét is. Az eszköz belső vezérlőprogramja szoftver, és mint minden szoftver, tartalmazhatnak hibákat, ezért fontos tesztelni ezeket a műveleteket a széles körű üzembe helyezés előtt.A Microsoft számos eszköz/belső vezérlőprogram kombinációt tesztel, kezdve a Microsoft laboratóriumaiban és irodáiban használt eszközökkel, és a Microsoft az OEM-ekkel együttműködve teszteli az eszközöket. Szinte az összes vizsgált eszköz probléma nélkül megfelelt. Néhány esetben olyan problémákat tapasztaltunk, amelyekben a belső vezérlőprogram nem kezelte megfelelően a frissítéseket, és az OEM-ekkel együttműködve dolgozunk a tisztában lévő problémák megoldásán.
Megjegyzés Ha az eszköz tesztelése során a belső vezérlőprogrammal kapcsolatos problémát észlel, javasoljuk, hogy lépjen kapcsolatba az eszköz gyártójával/eredeti hardvergyártójával a probléma megoldása érdekében. Keresse meg az 1795-ös eseményazonosítót az eseménynaplóban. A biztonságos rendszerindítási eseményekkel kapcsolatos további részletekért lásd: KB5016061: Biztonságos rendszerindítási DB és DBX változófrissítési események.
Adathordozó telepítése:A dokumentum későbbi részében ismertetett 3. és 4. kockázatcsökkentés alkalmazásával a meglévő Windows telepítési adathordozók többé nem lesznek indíthatók, amíg az adathordozó nem rendelkezik frissített rendszerindítás-kezelővel. A jelen dokumentumban ismertetett megoldások megakadályozzák a régi, sebezhető rendszerindítás-kezelők futtatását, mert nem bíznak meg bennük a belső vezérlőprogramban. Ez megakadályozza, hogy a támadó visszaállítsa a rendszerindító-kezelőt egy korábbi verzióra, és kihasználja a régebbi verziókban meglévő biztonsági réseket. A sebezhető rendszerindítás-kezelők letiltása nem lehet hatással a futó rendszerre. Ez azonban megakadályozza a rendszerindító adathordozók elindulását, amíg az adathordozón lévő rendszerindítás-kezelők nincs frissítve. Ez magában foglalja az ISO-lemezképeket, a rendszerindításra alkalmas USB-meghajtókat és a hálózati rendszerindítást (PxE és HTTP rendszerindítás).
Frissítés PCA2023-re és az új rendszerindítás-kezelőre
-
1. megoldás: Telepítse a frissített tanúsítványdefiníciókat az adatbázisba Hozzáadja az új Windows UEFI CA 2023 tanúsítványt az UEFI biztonságos rendszerindítási aláírási adatbázishoz (DB). A tanúsítványnak az adatbázisba történő felvételével az eszköz belső vezérlőprogramja megbízhatóvá válik a tanúsítvánnyal aláírt Microsoft Windows rendszerindító alkalmazásokban.
-
2. megoldás: Frissítse a rendszerindítás-kezelőt az eszközön . Alkalmazza az új Windows UEFI CA 2023 tanúsítvánnyal aláírt új Windows rendszerindítás-kezelőt.
Ezek a megoldások fontosak a Windows hosszú távú működőképessége szempontjából ezeken az eszközökön. Mivel a belső vezérlőprogramban található Microsoft Windows éles PCA 2011 tanúsítvány 2026 októberében lejár, az eszközöknek a lejárat előtt tartalmazniuk kell az új Windows UEFI CA 2023 tanúsítványt a belső vezérlőprogramban, különben az eszköz nem fogja tudni megkapni a Windows-frissítéseket, így sebezhető biztonsági állapotba kerül.
Az összes kockázatcsökkentés együttes alkalmazásához futtassa a következő parancsot rendszergazdaként:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f |
A kockázatcsökkentő intézkedések alkalmazásakor az AvailableUpdates érték bitjei törlődnek. Ez több újraindítást is igényelhet.
A rendszertöltés-kezelő kockázatcsökkentő megoldása csak azután kerül alkalmazásra, hogy a belső vezérlőprogram jelentette a tanúsítvány kockázatcsökkentésének befejeződését. Ezek a lépések nem hajthatók végre hibásan sorrendben.
Ha befejeződött, az UEFICA2023Status "Frissítve" értékre van állítva.
Előfordulhat, hogy egyes eszközök már frissülnek, ha magas megbízhatóságúként vannak besorolva. Részletekért tekintse meg a biztonságos rendszerindítással kapcsolatos útmutatót.
Miután telepítette a kockázatcsökkentő intézkedéseket az eszközökön, figyelje az eszközöket, és győződjön meg arról, hogy alkalmazva vannak-e a kockázatcsökkentő intézkedések, és hogy most már "frissítve vannak". A figyelés a következő beállításkulcsot megkeresve végezhető a rendszeren. Ha a kulcs létezik és Folyamatban értékre van állítva, akkor a rendszer megkezdte a rendszer frissítését. Ha a kulcs létezik és Frissítve értékre van állítva, akkor a rendszer rendelkezik a szükséges 2023-as tanúsítványokkal a DB-ben és a KEK-ben, és a 2023-as aláírt rendszerindítás-kezelővel indul.
|
Beállításjegyzékbeli alkulcs |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Kulcsérték neve |
UEFICA2023Állapot |
|
|
Adattípus |
REG_SZ (karakterlánc) |
|
|
Adat |
A biztonságos rendszerindítási kulcs frissítésének aktuális állapotát tükrözi az eszközön. A következő szöveges értékek egyikére lesz beállítva:
Kezdetben az állapot Nemindult. A frissítés elindulása után Folyamatban lévőre, végül Frissítve értékre változik, amikor az összes új kulcsot és az új rendszerindítás-kezelőt telepítette. Hiba esetén az UEFICA2023Error beállításazonosító nem nulla kódra van állítva. |
|
Rendszerindító adathordozó frissítése
Miután az 1. és a 2. kockázatcsökkentést alkalmazta az eszközein, frissítheti a környezetében használt bármely rendszerindításra alkalmas adathordozót. A rendszerindító adathordozó frissítése azt jelenti, hogy a PCA2023 aláírt rendszerindítás-kezelőt kell alkalmazni az adathordozóra. Ez magában foglalja a hálózati rendszerindító lemezképek (például PxE és HTTP), az ISO-lemezképek és az USB-meghajtók frissítését. Ellenkező esetben azok az eszközök, amelyeknél alkalmazott kockázatcsökkentő megoldást alkalmaznak, nem indulnak majd a régebbi Windows rendszertöltés-kezelőt és 2011-es hitelesítésszolgáltatót használó rendszerindító adathordozóról.
Az egyes típusú rendszerindító adathordozók frissítéséhez szükséges eszközök és útmutatás itt érhetők el:
|
Médiatípus |
Erőforrás |
|
ISO, USB-meghajtók stb. |
|
|
PXE rendszerindító kiszolgáló |
Később benyújtandó dokumentáció |
A médiafrissítési folyamat során mindenképpen olyan eszközön tesztelje az adathordozót, amelyen mind a négy kockázatcsökkentő intézkedés telepítve van. Az utolsó két kockázatcsökkentés letiltja a régebbi, sebezhető rendszerindítás-kezelőket. A jelenlegi rendszerindítás-kezelőkkel rendelkező adathordozók fontos része a folyamat befejezésének.
Megjegyzés Mivel a rendszertöltés-visszaállítási támadások valósággá váltak, és a Windows rendszertöltő-vezérlő folyamatos frissítéseitől elvárjuk a biztonsági problémák megoldását, javasoljuk, hogy a vállalatok tervezzenek félig rendszeres médiafrissítéseket, és vezessenek be olyan folyamatokat, amelyek megkönnyítik és időigényessé teszik a médiafájlok frissítését. Célunk, hogy a médiarendszertöltő frissítéseinek számát lehetőleg évente legfeljebb két alkalomra korlátozzuk.
A rendszerindító adathordozó nem tartalmazza azt az eszköz rendszermeghajtóját, amelyen a Windows általában található, és amelyből az automatikusan elindul. A rendszerindító adathordozót általában olyan eszközök rendszerindításához használják, amelyeken nem fut a Windows rendszerindításra alkalmas verziója, és gyakran használják a rendszerindító adathordozót a Windows telepítéséhez az eszközön.
Az UEFI biztonságos rendszerindítási beállításai határozzák meg, hogy mely rendszerindítás-kezelőkben bízik meg a biztonságos rendszerindítási adatbázis (aláírás-adatbázis) és a DBX (tiltott aláírás-adatbázis) használatával. Az adatbázis tartalmazza a megbízható szoftverek kivonatait és kulcsait, és a DBX tárolja a visszavont, feltört és nem megbízható kivonatokat és kulcsokat, hogy megakadályozza a jogosulatlan vagy kártékony szoftverek futtatását a rendszerindítási folyamat során.
Hasznos átgondolni, hogy egy eszköz milyen különböző állapotokban lehet, és hogy milyen rendszerindító adathordozó használható az eszközzel ezekben az állapotokban. A belső vezérlőprogram minden esetben megállapítja, hogy megbízhatónak kell-e tekintenie a megjelenített rendszertöltés-kezelőben, és miután futtatta a rendszertöltés-vezérlőt, a belső vezérlőprogram nem olvassa be az adatbázist és a DBX-et. A rendszerindító adathordozók használhatnak 2011-es hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt vagy 2023-as hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt, de mindkettőt nem. A következő szakasz ismerteti, hogy milyen állapotokban lehet az eszköz, és bizonyos esetekben milyen adathordozóról lehet indítani.
Ezek az eszközforgatókönyvek segíthetnek, amikor megtervezi a kockázatcsökkentés központi telepítését az eszközein.
Új eszközök
Egyes új eszközök szállítása úgy kezdődött, hogy a 2011-es és a 2023-as hitelesítésszolgáltató is előre telepítve van az eszköz belső vezérlőprogramjában. Nem minden gyártó váltott át mindkettőre, és előfordulhat, hogy továbbra is szállítanak olyan eszközöket, amelyeken csak a 2011-es előzetes hitelesítésszolgáltató van telepítve.
-
A 2011-es és a 2023-as hitelesítésszolgáltatóval rendelkező eszközök elindíthatnak olyan adathordozót, amely tartalmazza a 2011-es hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt vagy a 2023-as hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt.
-
Azok az eszközök, amelyeknél csak a 2011-es hitelesítésszolgáltató van telepítve, csak a 2011-es hitelesítésszolgáltató által aláírt rendszerindítás-kezelővel indíthatók adathordozók. A legtöbb régebbi adathordozó tartalmazza a 2011-es hitelesítésszolgáltató által aláírt rendszerindító kezelőt.
Eszközök az 1. és 2. kockázatcsökkentéssel
Ezeket az eszközöket előre telepítették a 2011-es feltételes hozzáférési szolgáltatással, és az 1. kockázatcsökkentés alkalmazásával most a 2023-as hitelesítésszolgáltató van telepítve. Mivel ezek az eszközök mindkét hitelesítésszolgáltatóban megbíznak, ezek az eszközök a 2011-es hitelesítésszolgáltatóval és a 2023-as aláírt rendszerindítás-kezelővel is elindíthatják az adathordozót.
A 3. és 4. kockázatcsökkentéssel rendelkező eszközök
Ezeken az eszközökön megtalálható a 2011-es hitelesítésszolgáltató a DBX-ben, és ezek a továbbiakban nem bíznak meg a 2011-es hitelesítésszolgáltató által aláírt rendszerindító-kezelővel rendelkező adathordozókra. Az ilyen konfigurációjú eszközök csak egy 2023-as hitelesítésszolgáltató által aláírt rendszerindítás-kezelővel indítják el a médiát.
Biztonságos rendszerindítás alaphelyzetbe állítása
Ha a biztonságos rendszerindítás beállításait visszaállította az alapértelmezett értékekre, előfordulhat, hogy az adatbázisra (a 2023-as hitelesítésszolgáltató hozzáadására) és a DBX-re (a 2011-es hitelesítésszolgáltatóval való megbízás megszüntetése) alkalmazott kockázatcsökkentések már nem lesznek érvényben. A működés attól függ, hogy mik a belső vezérlőprogram alapértelmezett beállításai.
DBX
Ha a 3. és/vagy a 4. kockázatcsökkentést alkalmazta a DBX törlése után, akkor a 2011-es feltételes hozzáférési feltétel nem lesz a DBX listáján, és továbbra is megbízható lesz. Ha ez történik, a 3. és/vagy 4. kockázatcsökkentés újbóli alkalmazására lesz szükség.
Adatbázis
Ha az adatbázis tartalmazta a 2023-as hitelesítésszolgáltatót, és a biztonságos rendszerindítás beállításainak alapértelmezett visszaállításával eltávolítják, előfordulhat, hogy a rendszer nem indul el, ha az eszköz a 2023-as hitelesítésszolgáltató által aláírt rendszerindítás-kezelőre támaszkodik. Ha az eszköz nem indul el, használja a securebootrecovery.efi eszközt a KB5025885: A CVE-2023-24932-höz kapcsolódó biztonságos rendszerindítási módosítások Windows rendszerindítás-vezérlő visszavonásainak kezelése a rendszer helyreállításához.
Megbízható PCA2011 megjelölése és biztonságos verziószám alkalmazása a DBX-re
-
3. megoldás: A visszavonás engedélyezése A belső vezérlőprogramhoz hozzáadva megszüntette a Microsoft Windows Production PCA 2011 tanúsítvány megbízhatóságát. Ennek következtében a belső vezérlőprogram nem bízik meg minden 2011-es hitelesítésszolgáltatóval aláírt rendszerindítás-kezelőben, illetve minden olyan adathordozóban, amely a 2011-es hitelesítésszolgáltató által aláírt rendszerindítás-kezelőre támaszkodik.
-
4. megoldás: Alkalmazza a biztonságos verziószám frissítést a belső vezérlőprogramra A biztonságos verziószám (SVN) frissítését alkalmazza a Secure Boot DBX belső vezérlőprogramra. Amikor egy 2023-ban aláírt rendszerindítás-kezelő elindul, önellenőrzést hajt végre a belső vezérlőprogramban tárolt SVN-t a rendszerindítás-kezelőbe beépített SVN-nel. Ha a rendszerindító-vezérlő SVN-je alacsonyabb, mint a belső vezérlőprogram SVN-je, akkor a rendszerindítás-vezérlő nem fog működni. Ez a funkció megakadályozza, hogy a támadók visszaállítsák a rendszertöltés-vezérlőt egy régebbi, nem frissített verzióra. A rendszertöltés-vezérlő jövőbeli biztonsági frissítéseihez az SVN meg fog növekedni, és újra alkalmazni kell a 4. kockázatcsökkentést.
Fontos Az 1. és a 2. megoldást be kell fejezni a 3. és a 4. kockázatcsökkentés alkalmazása előtt.
A 3. és a 4. kockázatcsökkentés két külön lépésben történő alkalmazásával kapcsolatos információkért (ha legalábbis eleinte óvatosabb szeretne lenni), tekintse meg a KB5025885: A CVE-2023-24932-höz társított biztonságos rendszerindítási módosítások Windows rendszertöltés-vezérlő visszavonásainak kezelése Vagy mindkét kockázatcsökkentést alkalmazhatja a következő egyetlen beállításkulcs-művelet rendszergazdaként történő futtatásával:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
A két kockázatcsökkentés együttes alkalmazásához csak egy újraindításra van szükség a művelet befejezéséhez.
-
3. megoldás: A visszavonási lista sikeres alkalmazásának ellenőrzéséhez keresse meg az eseménynaplóban az 1037-es eseményazonosítót a KB5016061: Secure Boot DB és DBX változófrissítési események szerint.Másik lehetőségként futtathatja rendszergazdaként a következő PowerShell-parancsot, és ellenőrizheti, hogy az Igaz értéket adja-e vissza:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
4. megoldás: Az SVN-beállítás alkalmazásának megerősítésére szolgáló módszer még nem létezik. Ezt a szakaszt frissítjük, amint elérhető a megoldás.
Referenciák
KB5016061: Secure Boot DB és DBX változófrissítési események
|
Módosítás dátuma |
A változás leírása |
|---|---|
|
2026. június 10. |
|
