Contenuto dell'articolo

Riassunto

Microsoft è stata informata di una vulnerabilità di Windows che consente a un utente malintenzionato con privilegi di amministratore di sostituire i file di sistema di Windows aggiornati con versioni precedenti, aprendo la porta a un utente malintenzionato per reintrodurre le vulnerabilità alla sicurezza basata sulla virtualizzazione (VBS).  Il rollback di questi file binari potrebbe consentire a un utente malintenzionato di aggirare le funzionalità di sicurezza di VBS ed esfiltrare i dati protetti da VBS. Questo problema è descritto in CVE-2024-21302 | Vulnerabilità dell'elevazione dei privilegi in modalità kernel sicuro di Windows.

Per risolvere questo problema, verranno revocati i file di sistema VBS vulnerabili non aggiornati. A causa del numero elevato di file correlati a VBS che devono essere bloccati, viene usato un approccio alternativo per bloccare le versioni dei file non aggiornate.

Ambito dell'impatto

Tutti i dispositivi Windows che supportano VBS sono interessati da questo problema. Sono inclusi i dispositivi fisici locali e le macchine virtuali (VM). VBS è supportato in Windows 10 e versioni successive di Windows e in Windows Server 2016 e versioni successive di Windows Server.

Lo stato di VBS può essere controllato tramite lo strumento Microsoft System Information (Msinfo32.exe).The VBS state can be checked through the Microsoft System Information tool (Msinfo32.exe). Questo strumento raccoglie informazioni sul tuo dispositivo. Dopo aver iniziato Msinfo32.exe, scorri verso il basso fino alla riga Sicurezza basata sulla virtualizzazione . Se il valore di questa riga è In esecuzione, VBS è abilitato ed in esecuzione.

Finestra di dialogo System Information con la riga "Sicurezza basata sulla virtualizzazione" evidenziata

Lo stato VBS può essere controllato anche con Windows PowerShell usando la classe WMI Win32_DeviceGuard. Per eseguire una query sullo stato VBS da PowerShell, aprire una sessione di Windows PowerShell con privilegi elevati e quindi eseguire il comando seguente:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Dopo aver eseguito il comando di PowerShell precedente, lo stato di VBS deve essere uno dei seguenti.

Nome campo

Stato

VirtualizationBasedSecurityStatus

  • Se il campo è uguale a 0, VBS non è abilitato.

  • Se il campo è uguale a 1, VBS è abilitato ma non in esecuzione.

  • Se il campo è uguale a 2, VBS è abilitato ed in esecuzione.

Misure di prevenzione disponibili

Per tutte le versioni supportate di Windows 10, versione 1809 e versioni successive di Windows e Windows Server 2019 e versioni successive di Windows Server, gli amministratori possono distribuire criteri di revoca firmati da Microsoft (SkuSiPolicy.p7b). In questo modo verranno bloccate le versioni vulnerabili dei file di sistema VBS che non vengono aggiornati dal caricamento dal sistema operativo.

Nota Sono previsti ulteriori misure di prevenzione e supporto per tutte le versioni supportate di Windows 10, versione 1507 e versioni precedenti di Windows e Windows Server 2016 e versioni precedenti di Windows Server per gli aggiornamenti futuri.

Quando questo criterio viene applicato a un dispositivo Windows, il criterio verrà bloccato anche al dispositivo aggiungendo una variabile al firmware UEFI. Durante l'avvio, i criteri vengono caricati e Windows blocca il caricamento dei file binari che violano i criteri. Se viene applicato il blocco UEFI e i criteri vengono rimossi o sostituiti con una versione precedente, Gestione avvio windows non si avvia e il dispositivo non si avvia. Questo errore di avvio non mostrerà un errore e il sistema procederà con la successiva opzione di avvio disponibile che potrebbe causare un ciclo di avvio.

Per il funzionamento della prevenzione dei criteri, il dispositivo deve essere aggiornato con l'aggiornamento di Windows rilasciato dopo il 13 agosto 2024 incluso. Se mancano aggiornamenti, il dispositivo potrebbe non avviarsi con la mitigazione applicata o la prevenzione potrebbe non funzionare come previsto. Inoltre, le misure di prevenzione descritte in KB5025885 devono essere applicate al dispositivo.

Importante Non applicare questa prevenzione alle versioni di Windows precedenti a Windows 10, versione 1809 o alle versioni di Windows Server precedenti a Windows Server 2019. Se la prevenzione viene applicata ai dispositivi non supportati, i dispositivi non si avviano e viene visualizzato un 0xc0000428 di errore. Per ripristinare, dovrai seguire le istruzioni nella sezione Rimozione dei criteri e procedura di ripristino .

Finestra di dialogo Ripristino che indica che il dispositivo deve essere riparato

Informazioni sui rischi di mitigazione

È necessario essere a conoscenza dei potenziali rischi prima di applicare i criteri di revoca firmati da Microsoft. Esamina questi rischi e apporta gli eventuali aggiornamenti necessari al supporto di ripristino prima di applicare la prevenzione.

  • Integrità del codice in modalità utente (UMCI). Il criterio di revoca firmato da Microsoft abilita l'integrità del codice in modalità utente in modo che le regole nel criterio vengano applicate ai file binari in modalità utente. UMCI abilita anche La sicurezza del codice dinamico per impostazione predefinita. L'applicazione di queste funzionalità può introdurre problemi di compatibilità con applicazioni e script e potrebbe impedirne l'esecuzione e avere un impatto sulle prestazioni sui tempi di avvio. Prima di distribuire la prevenzione, seguire le istruzioni per distribuire i criteri della modalità di controllo per testare i potenziali problemi.

  • Aggiornamenti per il blocco e la disinstallazione della UEFI. Dopo aver applicato il blocco UEFI con i criteri di revoca firmati da Microsoft in un dispositivo, non è possibile ripristinare il dispositivo (disinstallando gli aggiornamenti di Windows, usando un punto di ripristino o con altri mezzi) se continui ad applicare l'avvio protetto. La riformattazione del disco non rimuove il blocco UEFI della prevenzione se è già stata applicata. Ciò significa che se provi a ripristinare il sistema operativo Windows a uno stato precedente a cui non è applicata la prevenzione, il dispositivo non si avvia, non viene visualizzato alcun messaggio di errore e l'interfaccia UEFI passa alla successiva opzione di avvio disponibile. Questo potrebbe causare un ciclo di avvio. È necessario disabilitare Avvio protetto per rimuovere il blocco UEFI. Si prega di essere consapevoli di tutte le possibili implicazioni e testare attentamente prima di applicare le revoche descritte in questo articolo al dispositivo.

  • Supporto di avvio esterno. Dopo l'applicazione delle misure di prevenzione del blocco UEFI a un dispositivo, è necessario aggiornare il supporto di avvio esterno con gli aggiornamenti di Windows datati 13 agosto 2024 o successivi e con i criteri di revoca firmati da Microsoft (SkuSiPolicy.p7b). Se il supporto di avvio esterno non viene aggiornato, il dispositivo potrebbe non avviarsi da quel supporto. Vedi le istruzioni nella sezione Aggiornamento dei supporti di avvio esterno prima di applicare le misure di prevenzione.Il supporto di avvio aggiornato con i criteri di revoca firmati da Microsoft deve essere usato solo per avviare i dispositivi con la prevenzione già applicata.  Se viene usato con i dispositivi senza la prevenzione, il blocco UEFI verrà applicato durante l'avvio dal supporto di avvio. Gli avvii successivi dal disco non riusciranno, a meno che il dispositivo non venga aggiornato con la prevenzione o il blocco UEFI non venga rimosso.

  • Ambiente ripristino WindowsL'Ambiente ripristino Windows (WinRE) nel dispositivo deve essere aggiornato con gli aggiornamenti di Windows datati 13 agosto 2024 o successivamente prima dell'applicazione di SkuSipolicy.p7b al dispositivo. L'omessa esecuzione di questo passaggio potrebbe impedire a WinRE di eseguire la funzionalità Reimposta PC.  Per altre informazioni, vedi Aggiungere un pacchetto di aggiornamento a Windows RE.

  • Avvio PXE (Preboot Execution Environment). Se la prevenzione viene distribuita in un dispositivo e tenti di usare l'avvio PXE, il dispositivo non si avvia a meno che le misure di prevenzione non vengano applicate anche alle origini di avvio della rete (radice in cui è presente bootmgfw.efi). Se un dispositivo viene avviato da un'origine di avvio di rete con la mitigazione applicata, il blocco UEFI verrà applicato al dispositivo e avrà un impatto sull'avvio successivo. Non è consigliabile distribuire le misure di prevenzione nelle origini di avvio della rete, a meno che non siano state distribuite le misure di prevenzione in tutti i dispositivi dell'ambiente.  

Linee guida per la distribuzione delle misure di prevenzione

Per risolvere i problemi descritti in questo articolo, è possibile distribuire un criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b). Questa prevenzione è supportata solo in Windows 10, versione 1809 e versioni successive di Windows e Windows Server 2019 e versioni successive di Windows Server. Prima di distribuire i criteri di revoca firmati da Microsoft (SkuSiPolicy.p7b), è consigliabile verificare la compatibilità usando un criterio della modalità di controllo.

Nota Se usi BitLocker, assicurati che sia stato eseguito il backup della chiave di ripristino di BitLocker. È possibile eseguire il comando seguente da un prompt dei comandi dell'amministratore e prendere nota della password numerica di 48 cifre:

manage-bde -protectors -get %systemdrive%

Distribuzione di criteri in modalità di controllo

Il criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b) applica l'integrità del codice in modalità utente (UMCI) e la sicurezza del codice dinamico. Queste funzionalità potrebbero presentare problemi di compatibilità con le applicazioni dei clienti. Prima di distribuire la prevenzione, è consigliabile distribuire un criterio di controllo per rilevare i problemi di compatibilità.

Sono disponibili due opzioni per i criteri di controllo:

  • Utilizzare il criterio di controllo SiPolicy.p7b fornito,

  • In alternativa, compilare il file binario dei criteri di controllo da un file XML fornito.

È consigliabile usare il binario dei criteri di controllo SiPolicy.p7b forniti a meno che non sia già stato distribuito un criterio Windows Defender Application Guard (WDAC) esistente. Il binario dei criteri di controllo forniti non sarà bloccato dalla UEFI. Non è necessario aggiornare il supporto di avvio esterno e il supporto di ripristino prima di applicare i criteri di controllo.

Integrità del codice di Windows valuterà i file binari in modalità kernel e utente rispetto alle regole nei criteri di controllo. Se l'integrità del codice identifica un'applicazione o uno script in violazione dei criteri, verrà generato un evento del registro eventi di Windows con informazioni sull'applicazione o sullo script bloccato e informazioni sui criteri applicati. Questi eventi possono essere usati per determinare se nel dispositivo sono in uso applicazioni o script incompatibili. Per ulteriori informazioni, vedere la sezione Registri eventi di Windows .

Usare il criterio di controllo SiPolicy.p7bUsare un criterio di controllo XML

Il criterio di controllo SiPolicy.p7b è incluso nell'aggiornamento di Windows datato 13 agosto 2024 incluso per tutti i sistemi operativi Windows supportati di Windows 10, versione 1809 e versioni successive di Windows e Windows Server 2019 e versioni successive di Windows Server. Questo criterio di controllo deve essere applicato solo ai dispositivi in cui è installato l'aggiornamento di Windows del 13 agosto 2024 o versione successiva oppure i criteri di controllo potrebbero non funzionare come previsto.

Per distribuire il criterio di controllo SiPolicy.p7b fornito, seguire questa procedura:

  1. Eseguire i comandi seguenti da un prompt con privilegi elevati di Windows PowerShell:

    # Inizializza la posizione e la destinazione dei criteri

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Copiare il file binario dei criteri di controllo

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Riavvia il dispositivo.

  3. Verificare che il criterio sia caricato nel Visualizzatore eventi usando le informazioni nella sezione Eventi di attivazione dei criteri.

  4. Eseguire il test usando applicazioni e script mentre i criteri vengono applicati per identificare i problemi di compatibilità.

Per disinstallare il criterio di controllo SiPolicy.p7b, attenersi alla seguente procedura:

  1. Eseguire i comandi seguenti da un prompt con privilegi elevati di Windows PowerShell:

    # Posizione dei criteri di inizializzazione

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Riavvia il dispositivo.

  3. Verificare che il criterio di controllo non sia caricato nel Visualizzatore eventi usando le informazioni nella sezione Eventi di attivazione dei criteri.

Se si utilizza WDAC per gestire le applicazioni e i driver consentiti per l'esecuzione nei dispositivi, è possibile che si stia già usando un criterio denominato "SiPolicy.p7b". Per tutti i sistemi operativi Windows supportati di Windows 10, versione 1903 e versioni successive di Windows e Windows Server 2022 e versioni successive di Windows Server, è possibile usare il file XML fornito per creare e distribuire un criterio di controllo usando il formato di criteri multiplo WDAC. Per istruzioni su come creare e distribuire il codice binario dei criteri di controllo, vedi Distribuzione dei criteri di controllo delle applicazioni di Windows Defender (WDAC).For instructions to build and deploy the audit policy binary, see Deploying Windows Defender Application Control (WDAC) policies.

Un file XML con le regole dei criteri di controllo è disponibile nei dispositivi in cui è installato l'aggiornamento di Windows con data 13 agosto 2024 o successiva. Il file XML si trova in "%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml".

Se si usano i criteri WDAC in Windows 10, versione 1809 e versioni precedenti di Windows oppure in Windows Server 2016 e versioni precedenti di Windows Server, sarà necessario sostituire i criteri WDAC esistenti con i criteri di controllo per testare la compatibilità con la prevenzione.

Distribuzione di un criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b)

I criteri di revoca firmati da Microsoft sono inclusi nell'aggiornamento di Windows datato 13 agosto 2024 incluso. Questo criterio deve essere applicato solo ai dispositivi in cui è installato l'aggiornamento del 13 agosto 2024 o versione successiva. Se mancano aggiornamenti, il dispositivo potrebbe non avviarsi con la mitigazione applicata o la prevenzione potrebbe non funzionare come previsto.

Per distribuire i criteri di revoca firmati da Microsoft (SkuSiPolicy.p7b), seguire questa procedura:

  1. Eseguire i comandi seguenti in un prompt di Windows PowerShell con privilegi elevati:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } $MountPoint $EFIPartition mountvol if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. Riavvia il dispositivo.

  3. Verificare che il criterio sia caricato nel Visualizzatore eventi usando le informazioni nella sezione Registri eventi di Windows .

Note

  • Non rimuovere il file di revoca (criteri) SkuSiPolicy.p7b dopo la distribuzione. Il dispositivo potrebbe non essere più in grado di avviarsi se il file viene rimosso.

  • Se il dispositivo non si avvia, vedi la sezione Procedura di ripristino.

Aggiornamento del supporto di avvio esterno

Per usare un supporto di avvio esterno con un dispositivo a cui è applicato un criterio di revoca firmato da Microsoft, il supporto di avvio esterno deve essere aggiornato con il file di criteri applicato. Inoltre, deve includere gli aggiornamenti di Windows datati 13 agosto 2024 o successivi. Se il supporto non include gli aggiornamenti, il supporto non verrà avviato.

Il supporto di avvio aggiornato con i criteri di revoca firmati da Microsoft deve essere usato solo per avviare i dispositivi con la prevenzione già applicata.  Se viene usato con i dispositivi senza la prevenzione, il blocco UEFI verrà applicato durante l'avvio dal supporto di avvio. Gli avvii successivi dal disco non riusciranno, a meno che il dispositivo non venga aggiornato con la prevenzione o il blocco UEFI non venga rimosso.

Importante È consigliabile creare un'unità di ripristino prima di procedere. Questo supporto può essere usato per reinstallare un dispositivo nel caso in cui si sia verificato un problema importante.

Utilizza la procedura seguente per aggiornare il supporto di avvio esterno:

  1. Passa a un dispositivo in cui sono stati installati gli aggiornamenti di Windows rilasciati dopo il 13 agosto 2024 o successivamente.

  2. Monta il supporto di avvio esterno come lettera di unità. Ad esempio, montare una chiavetta usb come D:.

  3. Fai clic su Start, digita Crea un'unità di ripristino nella casella di ricerca e quindi fai clic su Crea pannello di controllo dell'unità di ripristino. Segui le istruzioni per creare un'unità di ripristino utilizzando la chiavetta usb montata.

  4. Dopo aver montato il supporto appena creato, copia il file SkuSiPolicy.p7b in<MediaRoot>\EFI\Microsoft\Boot (ad esempio , D:\EFI\Microsoft\Boot).

  5. Rimuovi in modo sicuro la chiavetta usb montata.

Se gestisci i supporti installabili nel tuo ambiente usando il supporto di installazione di Windows Update con le indicazioni sull'aggiornamento dinamico , segui questi passaggi:

  1. Passa a un dispositivo in cui sono stati installati gli aggiornamenti di Windows rilasciati dopo il 13 agosto 2024 o successivamente.

  2. Segui i passaggi descritti in Aggiornare i supporti di installazione di Windows con l'aggiornamento dinamico per creare supporti in cui sono installati gli aggiornamenti di Windows rilasciati dopo il 13 agosto 2024 o successivamente.

  3. Posiziona il contenuto del supporto su una chiavetta USB e monta la chiavetta usb come lettera di unità. Ad esempio, montare la chiavetta usb come D:.

  4. Copiare SkuSiPolicy.p7b in<MediaRoot>\EFI\Microsoft\Boot, ad esempio D:\EFI\Microsoft\Boot.

  5. Rimuovi in modo sicuro la chiavetta usb montata.

Registri eventi di Windows

Windows registra gli eventi quando vengono caricati criteri di integrità del codice, tra cui SkuSiPolicy.p7b, e quando un file viene bloccato dal caricamento a causa dell'applicazione dei criteri. Puoi usare questi eventi per verificare che la prevenzione sia stata applicata.

I log di integrità del codice sono disponibili nel Visualizzatore eventi di Windows nei registri di applicazioni e servizi > registri di Microsoft > Windows > CodeIntegrity > log di applicazioni e servizioperativi > > i log di Servizi > Microsoft > Windows > AppLocker > MSI e Script.

Per altre informazioni sugli eventi di integrità del codice, vedi la Guida operativa di Controllo di applicazioni di Windows Defender.

Eventi di attivazione dei criteri

Gli eventi di attivazione dei criteri sono disponibili nel Visualizzatore eventi di Windows nei registri di Applicazioni e servizi > Microsoft > Windows > CodeIntegrity > Operativi.

CodeIntegrity Evento 3099 indica che un criterio è stato caricato e include dettagli sul criterio caricato. Le informazioni contenute nell'evento includono il nome descrittivo del criterio, un identificatore univoco globale (GUID) e un hash del criterio. Più eventi CodeIntegrity Evento 3099 saranno presenti se sono applicati più criteri di integrità del codice al dispositivo.

Quando vengono applicati i criteri di controllo forniti, si verificherà un evento con le informazioni seguenti:

  • PolicyNameBuffer - Criteri di controllo di sicurezza basati sulla virtualizzazione di Microsoft Windows

  • PolicyGUID - {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash - 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Criteri di controllo di sicurezza basati sulla virtualizzazione Microsoft

Quando viene applicato il criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b), verrà visualizzato un evento con le informazioni seguenti (vedi lo screenshot dell'evento CodeIntegrity 3099 di seguito):

  • PolicyNameBuffer - Criteri SI SKU di Microsoft Windows

  • PolicyGUID - {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash - 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Criteri SI SKU di Microsoft Windows

Se sono stati applicati i criteri di controllo o la prevenzione al dispositivo e l'evento CodeIntegrity 3099 per il criterio applicato non è presente, il criterio non viene applicato. Consulta le istruzioni di distribuzione per verificare che i criteri sono stati installati correttamente.

Controllare e bloccare gli eventi

Gli eventi di controllo e blocco dell'integrità del codice sono disponibili nel Visualizzatore eventi di Windows nei log di applicazioni e servizi > registri di Microsoft > Windows > CodeIntegrity > log di applicazioni e servizi > operativi > Microsoft > Windows > AppLocker > MSI e Script.

Il percorso di registrazione precedente include eventi relativi al controllo di eseguibili, DLL e driver. Quest'ultima posizione di registrazione include eventi relativi al controllo di programmi di installazione, script e oggetti COM MSI.

CodeIntegrity Evento 3076 nel log "CodeIntegrity - Operational" è l'evento di blocco principale per i criteri di modalità di controllo e indica che un file sarebbe stato bloccato se fosse stato applicato un criterio. Questo evento include informazioni sul file bloccato e sui criteri applicati. Per i file che verranno bloccati dalla prevenzione, le informazioni sui criteri nell'evento 3077 corrisponderanno alle informazioni sui criteri dei criteri di controllo dell'evento 3099.

L'evento CodeIntegrity 3077 nel log "CodeIntegrity - Operational" indica che il caricamento di un file eseguibile, .dll o di un driver è stato bloccato. Questo evento include informazioni sul file bloccato e sui criteri applicati. Per i file bloccati dalla prevenzione, le informazioni sui criteri in CodeIntegrity Evento 3077 corrisponderanno alle informazioni sui criteri di SkuSiPolicy.p7b dall'evento CodeIntegrity 3099. CodeIntegrity Evento 3077 non sarà presente se non sono presenti file eseguibili, .dll o driver in violazione dei criteri di integrità del codice nel dispositivo.

Per altri eventi di controllo e blocco dell'integrità del codice, vedere Informazioni sugli eventi di Controllo applicazione.

Procedura di rimozione e ripristino dei criteri

Se si verificano problemi dopo aver applicato la prevenzione, puoi usare i passaggi seguenti per rimuovere la prevenzione:

  1. Sospendi BitLocker se è abilitato. Esegui il comando seguente da una finestra del prompt dei comandi con privilegi elevati:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Disattiva Avvio protetto dal menu BIOS UEFI.La procedura per disattivare Avvio protetto varia a seconda del produttore e del modello di dispositivo. Per informazioni sull'individuazione della posizione in cui disattivare Avvio protetto, consulta la documentazione del produttore del dispositivo. Ulteriori dettagli sono disponibili in Disabilitazione dell'avvio protetto.

  3. Rimuovere il criterio SkuSiPolicy.p7b.

    1. Avvia Windows normalmente e quindi accedi.Il criterio SkuSiPolicy.p7b deve essere rimosso dal percorso seguente:

      • <Partizione di sistema EFI>\Microsoft\Boot\SKUSiPolicy.p7b

    2. Eseguire lo script seguente da una sessione di Windows PowerShell con privilegi elevati per pulire i criteri da tali posizioni:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } $MountPoint $EFIPartition mountvol if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      if (Test-Path $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. Attiva Avvio protetto dal BIOS.Consulta la documentazione del produttore del dispositivo per l'individuazione della posizione in cui attivare l'avvio protetto.Se hai disattivato Avvio protetto al passaggio 1 e l'unità è protetta da BitLocker, sospendi la protezione BitLocker e quindi attiva Avvio protetto dal menu DEL BIOS UEFI .

  5. Attiva BitLocker. Esegui il comando seguente da una finestra del prompt dei comandi con privilegi elevati:

    Manager-bde -protectors -enable c:

  6. Riavvia il dispositivo.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365