Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Lihat produk yang dibahas artikel ini.

Ringkasan

Pada tanggal 29 Juli 2020, Microsoft menerbitkan 200011 penasihat keamanan yang menjelaskan kerentanan baru yang terkait dengan Secure Boot. Perangkat yang mempercayai Unified Extensible Firmware Interface (CA) pihak ketiga Microsoft dalam konfigurasi Boot Aman mereka mungkin rentan terhadap penyerang yang memiliki hak administratif atau akses fisik ke perangkat.

Artikel ini menyediakan panduan untuk menerapkan daftar pencabutan DBX Boot Aman terbaru untuk membatalkan modul rentan. Microsoft akan mendorong pembaruan ke Windows Update untuk mengatasi kerentanan ini pada Musim Semi 2022.

Biner pembaruan Boot Aman dihosting di halaman web UEFI ini.

File yang diposting adalah sebagai berikut:

  • File Daftar Pencabutan UEFI untuk x86 (32 bit)

  • File Daftar Pencabutan UEFI untuk x64 (64 bit)

  • File Daftar Pencabutan UEFI untuk arm64

Setelah hash ini ditambahkan ke Secure Boot DBX di perangkat Anda, aplikasi tersebut tidak lagi diizinkan untuk dimuat. 

Penting: Situs ini menghosting file untuk setiap arsitektur. Setiap file yang dihosting hanya menyertakan hash aplikasi yang berlaku untuk arsitektur tertentu. Anda harus menerapkan salah satu file ini ke setiap perangkat, tetapi pastikan anda menerapkan file yang relevan dengan arsitekturnya. Meskipun secara teknis dimungkinkan untuk menerapkan pembaruan untuk arsitektur yang berbeda, tidak menginstal pembaruan yang sesuai akan membuat perangkat tidak terlindungi.

Hati: Baca artikel konsultan utama tentang kerentanan ini sebelum Anda mencoba salah satu langkah ini. Menerapkan pembaruan DBX dengan tidak benar dapat mencegah perangkat Anda memulai.

Anda harus mengikuti langkah-langkah ini hanya jika kondisi berikut ini benar:

  • Anda tidak mengandalkan memulai aplikasi boot apa pun yang diblokir oleh pembaruan ini.

Informasi selengkapnya

Menerapkan pembaruan DBX di Windows

Setelah anda membaca peringatan di bagian sebelumnya dan memverifikasi bahwa perangkat Anda kompatibel, ikuti langkah-langkah ini untuk memperbarui Secure Boot DBX:

  1. Unduh File Daftar Pencabutan UEFI yang sesuai (Dbxupdate.bin) untuk platform Anda dari halaman web UEFI ini.

  2. Anda harus membagi file Dbxupdate.bin menjadi komponen yang diperlukan untuk menerapkannya menggunakan cmdlet PowerShell. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Unduh skrip PowerShell dari halaman web Galeri PowerShell ini.

    2. Untuk membantu menemukan skrip, jalankan cmdlet berikut:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstallDate, InstallLocation

    3. Verifikasi bahwa cmdlet berhasil mengunduh skrip dan menyediakan detail output, termasuk Nama, Versi, Penulis, PublishedDate, TanggalTerinstal, dan InstallLocation.

    4. Jalankan cmdlet berikut:

      • [string]$ScriptPath= @(Get-InstallScript -name SplitDbxContent | select-object -ExpandProperty InstallLocation)

      • $ScriptPath cd

      • Ls

    5. Verifikasi bahwa file SplitDbxContent.ps1 sekarang berada di folder Skrip.

    6. Jalankan skrip PowerShell berikut pada file Dbxupdate.bin:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. Verifikasi bahwa perintah membuat file berikut ini.

      Output perintah "Menerapkan" langkah 2c

      • Content.bin – memperbarui konten

      • Signature.p7 – tanda tangan yang mengotorisasi proses pembaruan

  3. Dalam sesi PowerShell administratif, jalankan cmdlet Set-SecureBootUefi untuk menerapkan pembaruan DBX:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Output

    yang diharapkan Output perintah "Menerapkan" langkah 3

  4. Untuk menyelesaikan proses penginstalan pembaruan, hidupkan ulang perangkat.

Untuk informasi selengkapnya tentang cmdlet konfigurasi Boot Aman dan cara menggunakannya untuk pembaruan DBX, lihat Set-Secure.

Memverifikasi bahwa pembaruan berhasil  

Setelah Anda berhasil menyelesaikan langkah-langkah di bagian sebelumnya dan memulai ulang perangkat, ikuti langkah-langkah ini untuk memverifikasi bahwa pembaruan berhasil diterapkan. Setelah verifikasi berhasil, perangkat Anda tidak akan lagi terpengaruh oleh kerentanan GRUB.

  1. Unduh skrip verifikasi pembaruan DBX dari halaman web GitHub Gist ini.

  2. Ekstrak skrip dan biner dari file yang dipadatkan.

  3. Jalankan skrip PowerShell berikut dalam folder yang berisi skrip dan biner yang diperluas untuk memverifikasi pembaruan DBX:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    Catatan: Jika pembaruan DBX yang cocok dengan versi Juli 2020 atau Oktober 2020 dari arsip file daftar pembatalan ini diterapkan, jalankan perintah yang sesuai berikut:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Verifikasi bahwa output cocok dengan hasil yang diharapkan.

    Output perintah "Memverifikasi" langkah 4

FAQ

T1: Apa arti pesan kesalahan "Get-SecureBootUEFI: Cmdlets tidak didukung di platform ini"?

A1: Pesan kesalahan ini menunjukkan bahwa fitur TANPA Boot Aman diaktifkan di komputer. Oleh karena itu, perangkat ini TIDAK terpengaruh oleh kerentanan GRUB. Tidak perlu tindakan lebih lanjut.

T2: Bagaimana cara mengonfigurasi perangkat agar mempercayai atau tidak mempercayai UEFI CA pihak ketiga? 

A2: Kami menyarankan Agar Anda berkonsultasi dengan vendor OEM Anda. 

Untuk Microsoft Surface, ubah pengaturan Boot Aman menjadi "Hanya Microsoft," lalu jalankan perintah PowerShell berikut ini (hasilnya harus "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Untuk informasi selengkapnya tentang cara mengonfigurasi Microsoft Surface, lihat Mengelola pengaturan Surface UEFI - Surface | Microsoft Docs.

T3: Apakah masalah ini memengaruhi mesin virtual Azure IaaS Generasi 1 dan Generasi 2? 

A3: Tidak. Mesin virtual tamu Azure Gen1 dan Gen2 tidak mendukung fitur Boot Aman. Oleh karena itu, mereka tidak terpengaruh oleh rantai serangan kepercayaan. 

T4: Apakah ADV200011 dan CVE-2020-0689 mengacu pada kerentanan yang sama yang terkait dengan Boot Aman? 

J: Tidak. Saran keamanan ini menjelaskan kerentanan yang berbeda. "ADV200011" merujuk pada kerentanan dalam GRUB (komponen Linux) yang dapat menyebabkan bypass Boot Aman. "CVE-2020-0689" merujuk pada kerentanan bypass fitur keamanan yang ada dalam Boot Aman. 

T5: Saya tidak bisa menjalankan salah satu skrip PowerShell. Apa yang harus saya lakukan?

J: Verifikasi kebijakan eksekusi PowerShell dengan menjalankan perintah Get-ExecutionPolicy . Bergantung pada output, Anda mungkin harus memperbarui kebijakan eksekusi:

Produk pihak ketiga yang dibahas dalam artikel ini diproduksi oleh perusahaan yang independen dari Microsoft. Microsoft tidak memberikan jaminan, tersirat atau tersurat, terkait kinerja atau keandalan produk ini. 

Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan informasi tambahan tentang topik ini. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Microsoft tidak menjamin keakuratan informasi kontak pihak ketiga. 

Berlaku untuk:

Windows 10 untuk Sistem
32-bit Windows 10 untuk Sistem
berbasis x64 Windows 10 Versi 2004 untuk Sistem
32-bit Windows 10 Versi 2004 untuk Sistem
berbasis ARM64 Windows 10 Versi 2004 untuk Sistem
berbasis x64 Windows 10 Versi 1909 untuk 32- Bit Systems
Windows 10 Versi 1909 untuk Sistem
berbasis ARM64 Windows 10 Versi 1909 untuk Sistem
berbasis x64 Windows 10 Versi 1903 untuk Sistem
32-bit Windows 10 Versi 1903 untuk Sistem
berbasis ARM64 Windows 10 Versi 1903 untuk Sistem
berbasis x64 Windows 10 Versi 1809 untuk Sistem
32-bit Windows 10 Versi 1809 untuk Sistem
berbasis ARM64 Windows 10 Versi 1809 untuk Sistem
berbasis x64 Windows 10 Versi 1803 untuk Sistem
32-bit Windows 10 Versi 1803 untuk Sistem
berbasis ARM64 Windows 10 Versi 1803 untuk Sistem
berbasis x64Windows 10 Versi 1709 untuk Sistem
32-bit Windows 10 Versi 1709 untuk Sistem
berbasis ARM64 Windows 10 Versi 1709 untuk Sistem
berbasis x64 Windows 10 Versi 1607 untuk Sistem
32-bit Windows 10 Versi 1607 untuk Sistem
berbasis x64 Windows 8.1 untuk sistem
32-bit Windows 8.1 untuk sistem
berbasis x64 Windows RT 8.1
Windows Server, versi 2004 (penginstalan Server Core)
Windows Server, versi 1909 (instalasi Server Core)
Windows Server, versi 1903 (instalasi Server Core)
Windows Server 2019
Windows Server 2019 (penginstalan Server Core)
Windows Server 2016
Windows Server 2016 (penginstalan Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (instalasi Server Core)
Windows Server 2012
Windows Server 2012 (penginstalan Server Core)

Facebook LinkedIn Email

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×