Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Ubah tanggal

Ubah deskripsi

20 Maret 2024

  • Menambahkan bagian "Hasil dan Umpan Balik"

21 Maret 2024

  • Diperbarui Langkah 4 di bagian "Langkah 2: Instal manajer boot yang ditandatangani PCA2023"

22 Maret 2024

  • Memperbarui informasi kontak email di bagian "Hasil dan Umpan Balik"

  • Menambahkan bagian "Aktifkan Data Diagnostik Opsional"

Pendahuluan

Artikel ini merupakan suplemen untuk artikel berikut ini yang akan diperbarui pada bulan April 2024:

  • KB5025885: Cara mengelola pencabutan Windows Boot Manager untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932

Suplemen ini menjelaskan prosedur langkah demi langkah yang diperbarui untuk menyebarkan mitigasi baru terhadap boot-kit BlackLotus UEFI yang dilacak oleh CVE-2023-24932 dan menyertakan panduan pengujian untuk lingkungan Anda.

Untuk membantu melindungi dari penyalahgunaan berbahaya manajer boot yang rentan, kita harus menggunakan sertifikat penandatanganan Boot Aman UEFI baru ke firmware perangkat dan untuk mencabut kepercayaan pada firmware sertifikat penandatanganan saat ini. Melakukan hal ini akan menyebabkan semua manajer boot yang sudah ada dan rentan tidak tepercaya oleh perangkat berkemampuan Secure Boot. Panduan ini akan membantu Anda dengan proses tersebut.

Tiga langkah mitigasi yang diuraikan dalam panduan ini adalah sebagai berikut:

  1. Memperbarui DB: Sertifikat PCA (PCA2023) baru akan ditambahkan ke Secure Boot DB yang akan memungkinkan perangkat untuk boot media yang ditandatangani oleh sertifikat ini.

  2. Penginstalan boot manager: Manajer boot bertanda tangan PCA2011 yang sudah ada akan digantikan oleh manajer boot yang ditandatangani PCA2023.Kedua manajer boot disertakan dalam pembaruan keamanan April 2024.

  3. Pencabutan PCA2011 DBX: Entri tolak akan ditambahkan ke Secure Boot DBX mencegah pengelola boot yang ditandatangani dengan PCA2011 melakukan booting.

Catatan Perangkat lunak Servicing Stack yang menerapkan tiga mitigasi ini tidak akan memungkinkan mitigasi diterapkan di luar urutan.

Apakah ini berlaku untuk saya?

Panduan ini berlaku untuk perangkat apa pun dengan Boot Aman diaktifkan dan semua media pemulihan yang sudah ada untuk perangkat ini.

Jika perangkat Anda menjalankan Windows Server 2012 atau Windows Server 2012 R2, pastikan untuk membaca bagian "Masalah Umum" sebelum melanjutkan.

Sebelum memulai

Aktifkan Data Diagnostik Opsional

Aktifkan pengaturan "Kirim data diagnostik opsional" dengan melakukan langkah-langkah berikut:

  1. Di Windows 11, buka MulaiPengaturan > > Privasi & keamanan > Diagnostik & umpan balik.

  2. Aktifkan Kirim data diagnostik opsional.

    Diagnostik & umpan balik

Untuk informasi selengkapnya, lihat Diagnostik, umpan balik, dan privasi di Windows. 

CATATAN Pastikan Anda memiliki konektivitas internet selama dan untuk beberapa waktu setelah validasi.

Melakukan ujian lulus

Setelah menginstal pembaruan Windows April 2024, dan sebelum melalui langkah-langkah untuk ikut serta, pastikan untuk melakukan uji lulus untuk memverifikasi integritas sistem Anda:

  1. VPN: Verifikasi bahwa akses VPN ke sumber daya perusahaan dan jaringan berfungsi.

  2. Windows Hello: Masuk ke perangkat Windows menggunakan prosedur normal Anda (wajah/sidik jari/PIN).

  3. Bitlocker: Sistem dimulai secara normal pada sistem yang diaktifkan BitLocker tanpa perintah pemulihan BitLocker selama startup.

  4. Atestasi Kesehatan Perangkat: Pastikan bahwa perangkat yang mengandalkan Pengesahan Kesehatan Perangkat dengan benar membuktikan statusnya.

Masalah yang Diketahui

Hanya untuk Windows Server 2012 dan Windows Sever 2012 R2:

  • Sistem berbasis TPM 2.0 tidak dapat menyebarkan mitigasi yang dirilis dalam patch keamanan April 2024 karena masalah kompatibilitas yang diketahui dengan pengukuran TPM. Pembaruan April 2024 akan memblokir mitigasi #2 (pengelola boot) dan #3 (pembaruan DBX) pada sistem yang terpengaruh.

  • Microsoft menyadari masalah ini dan pembaruan akan dirilis di masa mendatang untuk membuka blokir sistem berbasis TPM 2.0.

  • Untuk memeriksa versi TPM Anda, klik kanan Mulai, klik Jalankan, lalu ketik tpm.msc. Di bagian kanan bawah panel tengah di bawah Informasi Produsen TPM, Anda akan melihat nilai untuk Versi Spesifikasi.

Langkah Validasi Opt-in

Sisa artikel ini membahas pengujian untuk memilih perangkat untuk mitigasi. Mitigasi tidak diaktifkan secara default. Jika perusahaan Anda berencana untuk mengaktifkan mitigasi ini, silakan jalankan langkah-langkah validasi berikut ini untuk memverifikasi kompatibilitas perangkat.

  1. Sebarkan pembaruan keamanan prarilis April 2024.

  2. Buka prompt perintah Administrator dan atur kunci registri untuk melakukan pembaruan ke DB dengan mengetikkan perintah berikut, lalu tekan Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Hidupkan ulang perangkat dua kali.

  4. Verifikasi bahwa DB berhasil diperbarui dengan memastikan perintah berikut mengembalikan True. Jalankan perintah PowerShell berikut ini sebagai Administrator:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Buka prompt perintah Administrator dan atur kunci registri untuk mengunduh dan menginstal manajer boot yang ditandatangani PCA2023:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Hidupkan ulang perangkat dua kali.

  3. Sebagai Administrator, pasang partisi EFI agar siap untuk diperiksa:

    mountvol s: /s

  4. Validasi bahwa "s:\efi\microsoft\boot\bootmgfw.efi" ditandatangani oleh PCA2023. Untuk melakukannya, ikuti langkah-langkah ini:

    1. Klik Mulai, ketikkan prompt perintah dalam kotak Pencarian , lalu klik Prompt Perintah.

    2. Di jendela Prompt Perintah, ketikkan perintah berikut, lalu tekan Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Di Manajer File, klik kanan file C:\bootmgfw_2023.efi, klik Properti, lalu pilih tab Tanda Tangan Digital.

    4. Dalam daftar Tanda Tangan, konfirmasi bahwa rantai sertifikat menyertakan Windows UEFI 2023 CA.

PERHATIAN: Langkah ini menyebarkan pencabutan DBX untuk tidak mempercayai manajer boot lama dan rentan yang ditandatangani dengan menggunakan PCA2011 Produksi Windows. Perangkat dengan pencabutan ini diterapkan tidak akan lagi boot dari server media pemulihan dan boot jaringan (PXE/HTTP) yang tidak telah memperbarui komponen boot manager.

Jika perangkat Anda masuk ke status yang tidak dapat di-boot, ikuti langkah-langkah di bagian "Prosedur Pemulihan dan Pemulihan" untuk mengatur ulang perangkat ke status pra-pembatalan.

Setelah menerapkan DBX, jika Anda ingin mengembalikan perangkat ke status Boot Aman sebelumnya, ikuti bagian "Prosedur Pemulihan dan Pemulihan".

Terapkan mitigasi DBX untuk tidak mempercayai sertifikat PCA2011 Produksi Windows di Boot Aman:

  1. Buka prompt perintah Administrator dan atur kunci registri untuk menempatkan pembatalan untuk PCA2011 di DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Hidupkan ulang perangkat Anda dua kali dan konfirmasi bahwa perangkat telah dimulai ulang sepenuhnya.

  3. Verifikasi bahwa mitigasi DBX berhasil diterapkan. Untuk melakukan ini, jalankan perintah PowerShell berikut ini sebagai Administrator dan pastikan perintah mengembalikan True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Atau, cari acara berikut di Pemantau Peristiwa:

    Log kejadian

    Sistem

    Sumber kejadian

    TPM-WMI

    ID Kejadian

    1037

    Level

    Informasi

    Teks pesan acara

    Pembaruan Secure Boot Dbx untuk mencabut Microsoft Windows Production PCA 2011 berhasil diterapkan

  4. Lakukan item uji lulus dari bagian "Sebelum Memulai" dan pastikan semua sistem berperilaku normal.

Referensi kunci registri

Validasi opt-in Langkah 1Validasi opt-in Langkah 2Validasi opt-in Langkah 3

Perintah

Tujuan

Komentar 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Menginstal pembaruan DB untuk memungkinkan pengelola boot yang ditandatangani PCA2023

Perintah

Tujuan

Komentar 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Menginstal bootmgr yang ditandatangani PCA2023

Nilai hanya dihormati setelah langkah 0x40 selesai

Perintah

Tujuan

Komentar 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Menginstal pembaruan DBX yang mencabut PCA2011

Nilai hanya dihormati setelah kedua langkah 0x40 & 0x100 selesai

Hasil dan Umpan Balik

Kirim email ke suvp@microsoft.com dengan hasil pengujian, pertanyaan, dan umpan balik.

Prosedur Pemulihan dan Pemulihan

Saat melakukan prosedur pemulihan, bagikan data berikut ini dengan Microsoft:

  • Cuplikan layar kegagalan boot diamati.

  • Langkah-langkah yang dilakukan yang menyebabkan perangkat menjadi tidak dapat di-boot.

  • Detail konfigurasi perangkat.

Saat melakukan prosedur pemulihan, tangguhkan BitLocker sebelum memulai prosedur.

Jika terjadi kesalahan selama proses ini dan Anda tidak dapat memulai perangkat atau Anda perlu memulai dari media eksternal (misalnya, thumb drive atau boot PXE), cobalah prosedur berikut ini.

  1. Nonaktifkan Boot Aman

    Prosedur ini berbeda antara produsen PC dan model. Masukkan menu BIOS PC UEFI Anda dan navigasikan ke pengaturan Boot Aman dan nonaktifkan. Periksa dokumentasi dari produsen PC Anda untuk informasi spesifik tentang proses ini. Untuk informasi selengkapnya, lihat Menonaktifkan Boot Aman.

  2. Hapus Tombol

    Boot Aman Jika perangkat mendukung pengosongan tombol Boot Aman atau mengatur ulang tombol Boot Aman ke default pabrik, lakukan tindakan ini sekarang.  

    Perangkat Anda harus dimulai sekarang tetapi perhatikan bahwa perangkat rentan terhadap malware boot-kit. Pastikan untuk menyelesaikan langkah 5 di akhir proses pemulihan ini untuk mengaktifkan kembali Boot Aman.

  3. Cobalah untuk memulai Windows dari disk sistem.

    1. Jika BitLocker diaktifkan dan masuk ke pemulihan, masukkan kunci pemulihan BitLocker Anda.

    2. Masuk ke Windows.

    3. Jalankan perintah berikut dari prompt perintah Administrator untuk memulihkan file boot di Partisi boot sistem EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Menjalankan BCDBoot akan mengembalikan "Boot file berhasil dibuat."

    5. Jika BitLocker diaktifkan, tangguhkan BitLocker.

    6. Hidupkan ulang perangkat.

  4. Jika langkah 3 tidak berhasil memulihkan perangkat, instal ulang Windows.

    1. Mulai dari media pemulihan yang sudah ada.

    2. Lanjutkan untuk menginstal Windows menggunakan media pemulihan.

    3. Masuk ke Windows.

    4. Mulai ulang untuk memverifikasi bahwa perangkat berhasil dimulai ke Windows.

  5. Aktifkan kembali Boot Aman dan Hidupkan ulang perangkat.

    Masukkan menu devicce UEFI Anda dan navigasikan ke pengaturan Secure Boot dan aktifkan. Periksa dokumentasi dari produsen perangkat Anda untuk informasi spesifik tentang proses ini. Untuk informasi selengkapnya, lihat Mengaktifkan kembali Boot Aman.

  6. Jika Windows mulai gagal, masukkan bios UEFI lagi dan nonaktifkan Secure Boot.

  7. Mulai Windows.

  8. Bagikan konten DB, DBX dengan Microsoft.

    1. Buka PowerShell dalam mode Administrator.

    2. Ambil gambar DB:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Ambil gambar DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Bagikan file DBUpdateFw.bin dan dbxUpdateFw.bin yang dihasilkan dalam Langkah 8b dan 8c.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×