Applies ToWindows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data di pubblicazione originale: 13 agosto 2024

ID KB: 5042562

Il supporto per Windows 10 terminerà a ottobre 2025

Dopo il 14 ottobre 2025, Microsoft non fornirà più aggiornamenti software gratuiti da Windows Update, assistenza tecnica o correzioni per la sicurezza per Windows 10. Il PC continuerà a funzionare, ma ti consigliamo di passare a Windows 11.

Altre informazioni

Modifica data

Descrizione

11/12/2024

  • Nella sezione "Misure di prevenzione disponibili", il supporto per i criteri SKUSIPolicy.p7b e VbsSI_Audit.p7b per Windows 10, versione 1507, Windows 10 Enterprise 2016 e Windows Server 2016 è stato aggiunto nell'ambito degli aggiornamenti di Windows rilasciati l'8 ottobre 2024 e successivamente.

  • Le date di rilascio di Windows sono state aggiornate dal 13 agosto 2024 al 12 novembre 2024.

Contenuto dell'articolo

Riassunto

Microsoft è stata informata di una vulnerabilità di Windows che consente a un utente malintenzionato con privilegi di amministratore di sostituire i file di sistema di Windows aggiornati con versioni precedenti, aprendo la porta a un utente malintenzionato per reintrodurre le vulnerabilità alla sicurezza basata sulla virtualizzazione (VBS).  Il rollback di questi file binari potrebbe consentire a un utente malintenzionato di aggirare le funzionalità di sicurezza di VBS ed esfiltrare i dati protetti da VBS. Questo problema è descritto in CVE-2024-21302 | Vulnerabilità dell'elevazione dei privilegi in modalità kernel sicuro di Windows.

Per risolvere questo problema, verranno revocati i file di sistema VBS vulnerabili non aggiornati. A causa del numero elevato di file correlati a VBS che devono essere bloccati, viene usato un approccio alternativo per bloccare le versioni dei file non aggiornate.

Ambito dell'impatto

Tutti i dispositivi Windows che supportano VBS sono interessati da questo problema. Sono inclusi i dispositivi fisici locali e le macchine virtuali (VM). VBS è supportato in Windows 10 e versioni successive di Windows e Windows Server 2016 e versioni successive di Windows Server.

Lo stato di VBS può essere controllato tramite lo strumento Microsoft System Information (Msinfo32.exe).The VBS state can be checked through the Microsoft System Information tool (Msinfo32.exe). Questo strumento raccoglie informazioni sul tuo dispositivo. Dopo aver iniziato Msinfo32.exe, scorri verso il basso fino alla riga Sicurezza basata sulla virtualizzazione . Se il valore di questa riga è In esecuzione, VBS è abilitato ed in esecuzione.

Finestra di dialogo System Information con la riga "Sicurezza basata sulla virtualizzazione" evidenziata

Lo stato di VBS può anche essere controllato con Windows PowerShell usando la classe WMI Win32_DeviceGuard. Per eseguire una query sullo stato di VBS da PowerShell, aprire una sessione di Windows PowerShell con privilegi elevati e quindi eseguire il comando seguente:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Dopo aver eseguito il comando di PowerShell precedente, lo stato di VBS deve essere uno dei seguenti.

Nome campo

Stato

VirtualizationBasedSecurityStatus

  • Se il campo è uguale a 0, VBS non è abilitato.

  • Se il campo è uguale a 1, VBS è abilitato ma non in esecuzione.

  • Se il campo è uguale a 2, VBS è abilitato ed in esecuzione.

Misure di prevenzione disponibili

Per tutte le versioni supportate di Windows 10, versione 1507 e versioni successive di Windows e Windows Server 2016 e versioni successive di Windows Server, gli amministratori possono distribuire criteri di revoca firmati da Microsoft (SkuSiPolicy.p7b). In questo modo verranno bloccate le versioni vulnerabili dei file di sistema VBS che non vengono aggiornati dal caricamento dal sistema operativo.

Nota Il supporto per i criteri SKUSIPolicy.p7b e VbsSI_Audit.p7b per Windows 10, versione 1507, Windows 10 Enterprise 2016 e Windows Server 2016 sono stati aggiunti nell'ambito degli ultimi aggiornamenti di Windows rilasciati in data 8 ottobre 2024 e successivamente. Le versioni più recenti di Windows e Windows Server hanno introdotto questi criteri negli aggiornamenti del 13 agosto 2024.

Quando questo criterio viene applicato a un dispositivo Windows, il criterio verrà bloccato anche al dispositivo aggiungendo una variabile al firmware UEFI. Durante l'avvio, i criteri vengono caricati e Windows blocca il caricamento dei file binari che violano i criteri. Se viene applicato il blocco UEFI e i criteri vengono rimossi o sostituiti con una versione precedente, Gestione avvio windows non si avvia e il dispositivo non si avvia. Questo errore di avvio non mostrerà un errore e il sistema procederà con la successiva opzione di avvio disponibile che potrebbe causare un ciclo di avvio.

Per il funzionamento della prevenzione dei criteri, i criteri devono essere aggiornati tramite l'aggiornamento della manutenzione di Windows perché i componenti di Windows e i criteri devono provenire dalla stessa versione. Se la prevenzione dei criteri viene copiata nel dispositivo, il dispositivo potrebbe non avviarsi se è applicata la versione errata della prevenzione o se la prevenzione potrebbe non funzionare come previsto. Inoltre, le misure di prevenzione descritte in KB5025885 devono essere applicate al dispositivo.

Informazioni sui rischi di mitigazione

È necessario essere a conoscenza dei potenziali rischi prima di applicare i criteri di revoca firmati da Microsoft. Esamina questi rischi e apporta gli eventuali aggiornamenti necessari al supporto di ripristino prima di applicare la prevenzione.

  • Integrità del codice in modalità utente (UMCI). Il criterio di revoca firmato da Microsoft abilita l'integrità del codice in modalità utente in modo che le regole nel criterio vengano applicate ai file binari in modalità utente. UMCI abilita anche La sicurezza del codice dinamico per impostazione predefinita. L'applicazione di queste funzionalità può introdurre problemi di compatibilità con applicazioni e script e potrebbe impedirne l'esecuzione e avere un impatto sulle prestazioni sui tempi di avvio. Prima di distribuire la prevenzione, seguire le istruzioni per distribuire i criteri della modalità di controllo per testare i potenziali problemi.

  • Aggiornamenti per il blocco e la disinstallazione della UEFI. Dopo aver applicato il blocco UEFI con i criteri di revoca firmati da Microsoft in un dispositivo, non è possibile ripristinare il dispositivo (disinstallando gli aggiornamenti di Windows, usando un punto di ripristino o con altri mezzi) se continui ad applicare l'avvio protetto. La riformattazione del disco non rimuove il blocco UEFI della prevenzione se è già stata applicata. Ciò significa che se provi a ripristinare il sistema operativo Windows a uno stato precedente a cui non è applicata la prevenzione, il dispositivo non si avvia, non viene visualizzato alcun messaggio di errore e l'interfaccia UEFI passa alla successiva opzione di avvio disponibile. Questo potrebbe causare un ciclo di avvio. È necessario disabilitare Avvio protetto per rimuovere il blocco UEFI. Si prega di essere consapevoli di tutte le possibili implicazioni e testare attentamente prima di applicare le revoche descritte in questo articolo al dispositivo.

  • Supporto di avvio esterno. Dopo che le misure di prevenzione del blocco UEFI sono state applicate a un dispositivo, il supporto di avvio esterno deve essere aggiornato con gli ultimi aggiornamenti di Windows installati nel dispositivo e con i criteri di revoca firmati da Microsoft (SkuSiPolicy.p7b). Se il supporto di avvio esterno non viene aggiornato, il dispositivo potrebbe non avviarsi da quel supporto. Vedi le istruzioni nella sezione Aggiornamento dei supporti di avvio esterno prima di applicare le misure di prevenzione.Il supporto di avvio aggiornato con i criteri di revoca firmati da Microsoft deve essere usato solo per avviare i dispositivi con la prevenzione già applicata.  Se viene usato con i dispositivi senza la prevenzione, il blocco UEFI verrà applicato durante l'avvio dal supporto di avvio. Gli avvii successivi dal disco non riusciranno, a meno che il dispositivo non venga aggiornato con la prevenzione o il blocco UEFI non venga rimosso.

  • Ambiente ripristino WindowsL'Ambiente ripristino Windows (WinRE) nel dispositivo deve essere aggiornato con gli aggiornamenti di Windows più recenti installati nel dispositivo prima che SkuSipolicy.p7b venga applicato al dispositivo. L'omessa esecuzione di questo passaggio potrebbe impedire a WinRE di eseguire la funzionalità Reimposta PC.  Per altre informazioni, vedi Aggiungere un pacchetto di aggiornamento a Windows RE.

  • Avvio PXE (Preboot Execution Environment). Se la prevenzione viene distribuita in un dispositivo e tenti di usare l'avvio PXE, il dispositivo non si avvia a meno che le misure di prevenzione non vengano applicate anche alle origini di avvio della rete (radice in cui è presente bootmgfw.efi). Se un dispositivo viene avviato da un'origine di avvio di rete con la mitigazione applicata, il blocco UEFI verrà applicato al dispositivo e avrà un impatto sull'avvio successivo. Non è consigliabile distribuire le misure di prevenzione nelle origini di avvio della rete, a meno che non siano state distribuite le misure di prevenzione in tutti i dispositivi dell'ambiente.  

Linee guida per la distribuzione delle misure di prevenzione

Per risolvere i problemi descritti in questo articolo, è possibile distribuire un criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b). Questa prevenzione è supportata solo in Windows 10, versione 1507 e versioni successive di Windows e Windows Server 2016. Prima di distribuire i criteri di revoca firmati da Microsoft (SkuSiPolicy.p7b), è consigliabile verificare la compatibilità usando un criterio della modalità di controllo.

Nota Se usi BitLocker, assicurati che sia stato eseguito il backup della chiave di ripristino di BitLocker. È possibile eseguire il comando seguente da un prompt dei comandi dell'amministratore e prendere nota della password numerica di 48 cifre:

manage-bde -protectors -get %systemdrive%

Distribuzione di criteri in modalità di controllo

Il criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b) applica l'integrità del codice in modalità utente (UMCI) e la sicurezza del codice dinamico. Queste funzionalità potrebbero presentare problemi di compatibilità con le applicazioni dei clienti. Prima di distribuire la prevenzione, è consigliabile distribuire un criterio di controllo per rilevare i problemi di compatibilità.

Sono disponibili due opzioni per i criteri di controllo:

  • Utilizzare il criterio di controllo SiPolicy.p7b fornito,

  • In alternativa, compilare il file binario dei criteri di controllo da un file XML fornito.

È consigliabile usare il binario dei criteri di controllo SiPolicy.p7b forniti, a meno che non sia già stato distribuito un criterio windows defender Application Guard (WDAC) esistente. Il binario dei criteri di controllo forniti non sarà bloccato dalla UEFI. Non è necessario aggiornare il supporto di avvio esterno e il supporto di ripristino prima di applicare i criteri di controllo.

Integrità del codice di Windows valuterà i file binari in modalità kernel e utente rispetto alle regole nei criteri di controllo. Se l'integrità del codice identifica un'applicazione o uno script in violazione dei criteri, verrà generato un evento del registro eventi di Windows con informazioni sull'applicazione o sullo script bloccato e informazioni sui criteri applicati. Questi eventi possono essere usati per determinare se nel dispositivo sono in uso applicazioni o script incompatibili. Per ulteriori informazioni, vedere la sezione Registri eventi di Windows .

Il criterio di controllo SiPolicy.p7b è incluso nell'aggiornamento di Windows rilasciato dopo l'8 ottobre 2024 incluso per tutti i sistemi operativi Windows supportati di Windows 10, versione 1507, Windows 10 Enterprise 2016 e Windows Server 2016. Questo criterio di controllo deve essere applicato solo ai dispositivi installando l'ultimo aggiornamento di manutenzione e quindi segui questi passaggi:

  1. Eseguire i comandi seguenti da una richiesta di Windows PowerShell con privilegi elevati:

    # Inizializza la posizione e la destinazione dei criteri

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Copiare il file binario dei criteri di controllo

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Riavvia il dispositivo.

  3. Verificare che il criterio sia caricato nel Visualizzatore eventi usando le informazioni nella sezione Eventi di attivazione dei criteri.

  4. Eseguire il test usando applicazioni e script mentre i criteri vengono applicati per identificare i problemi di compatibilità.

Per disinstallare il criterio di controllo SiPolicy.p7b, attenersi alla seguente procedura:

  1. Eseguire i comandi seguenti da una richiesta di Windows PowerShell con privilegi elevati:

    # Posizione dei criteri di inizializzazione

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Riavvia il dispositivo.

  3. Verificare che il criterio di controllo non sia caricato nel Visualizzatore eventi usando le informazioni nella sezione Eventi di attivazione dei criteri.

Se si utilizza WDAC per gestire le applicazioni e i driver consentiti per l'esecuzione nei dispositivi, è possibile che si stia già usando un criterio denominato "SiPolicy.p7b". Per tutti i sistemi operativi Windows supportati di Windows 10, versione 21H2 e versioni successive di Windows e Windows Server 2022 e versioni successive di Windows Server, è possibile usare il file XML fornito per creare e distribuire un criterio di controllo usando il formato di criteri multiplo WDAC. Per istruzioni su come creare e distribuire il codice binario dei criteri di controllo, vedi Distribuzione dei criteri di controllo delle applicazioni di Windows Defender (WDAC).For instructions to build and deploy the audit policy binary, see Deploying Windows Defender Application Control (WDAC) policies.

Un file XML con le regole dei criteri di controllo è disponibile nei dispositivi in cui è installato l'aggiornamento di Windows rilasciato dopo il 12 novembre 2024 incluso. Il file XML si trova in "%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml".

Distribuzione di un criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b)

I criteri di revoca firmati da Microsoft sono inclusi nell'ultimo aggiornamento di Windows. Questo criterio deve essere applicato solo ai dispositivi installando l'aggiornamento di manutenzione più recente e quindi segui questi passaggi:

Nota: Se mancano aggiornamenti, il dispositivo potrebbe non avviarsi con la mitigazione applicata o la prevenzione potrebbe non funzionare come previsto.

  1. Esegui i comandi seguenti in un prompt con privilegi elevati Windows PowerShell:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } $MountPoint $EFIPartition mountvol if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. Riavvia il dispositivo.

  3. Verificare che il criterio sia caricato nel Visualizzatore eventi usando le informazioni nella sezione Registri eventi di Windows.

Note

  • Non rimuovere il file di revoca (criteri) SkuSiPolicy.p7b dopo la distribuzione. Il dispositivo potrebbe non essere più in grado di avviarsi se il file viene rimosso.

  • Se il dispositivo non si avvia, vedi la sezione Procedura di ripristino.

Aggiornamento del supporto di avvio esterno

Per usare un supporto di avvio esterno con un dispositivo a cui è applicato un criterio di revoca firmato da Microsoft, il supporto di avvio esterno deve essere aggiornato con il file di criteri applicato. Inoltre, deve includere gli aggiornamenti di Windows più recenti installati nel dispositivo. Se il supporto non include gli aggiornamenti, il supporto non verrà avviato.

Il supporto di avvio aggiornato con i criteri di revoca firmati da Microsoft deve essere usato solo per avviare i dispositivi con la prevenzione già applicata.  Se viene usato con i dispositivi senza la prevenzione, il blocco UEFI verrà applicato durante l'avvio dal supporto di avvio. Gli avvii successivi dal disco non riusciranno, a meno che il dispositivo non venga aggiornato con la prevenzione o il blocco UEFI non venga rimosso.

Importante È consigliabile creare un'unità di ripristino prima di procedere. Questo supporto può essere usato per reinstallare un dispositivo nel caso in cui si sia verificato un problema importante.

Utilizza la procedura seguente per aggiornare il supporto di avvio esterno:

  1. Passa a un dispositivo in cui sono stati installati gli aggiornamenti di Windows rilasciati dopo il 12 novembre 2024 o successivamente.

  2. Monta il supporto di avvio esterno come lettera di unità. Ad esempio, montare una chiavetta usb come D:.

  3. Fai clic su Start, digita Crea un'unità di ripristino nella casella di ricerca e quindi fai clic su Crea pannello di controllo dell'unità di ripristino. Segui le istruzioni per creare un'unità di ripristino utilizzando la chiavetta usb montata.

  4. Dopo aver montato il supporto appena creato, copia il file SkuSiPolicy.p7b in<MediaRoot>\EFI\Microsoft\Boot (ad esempio , D:\EFI\Microsoft\Boot).

  5. Rimuovi in modo sicuro la chiavetta usb montata.

Se gestisci i supporti installabili nel tuo ambiente usando il supporto di installazione di Windows Update con le indicazioni sull'aggiornamento dinamico , segui questi passaggi:

  1. Passa a un dispositivo in cui sono stati installati gli aggiornamenti di Windows rilasciati dopo il 12 novembre 2024 o successivamente.

  2. Segui i passaggi descritti in Aggiornare il supporto di installazione di Windows con Aggiornamento dinamico per creare supporti in cui sono installati gli aggiornamenti di Windows rilasciati dopo il 12 novembre 2024 o successivamente.

  3. Posiziona il contenuto del supporto su una chiavetta USB e monta la chiavetta usb come lettera di unità. Ad esempio, montare la chiavetta usb come D:.

  4. Copiare SkuSiPolicy.p7b in<MediaRoot>\EFI\Microsoft\Boot, ad esempio D:\EFI\Microsoft\Boot.

  5. Rimuovi in modo sicuro la chiavetta usb montata.

Registri eventi di Windows

Windows registra gli eventi quando vengono caricati criteri di integrità del codice, tra cui SkuSiPolicy.p7b, e quando un file viene bloccato dal caricamento a causa dell'applicazione dei criteri. Puoi usare questi eventi per verificare che la prevenzione sia stata applicata.

I log di integrità del codice sono disponibili nei registri di Windows Visualizzatore eventi applicazioni e servizi > log di Microsoft > Windows > CodeIntegrity > log di applicazioni e servizioperativi > > services > i log di Microsoft > Windows > AppLocker > MSI e Script.

Per altre informazioni sugli eventi di integrità del codice, vedi la Guida operativa di Controllo di applicazioni di Windows Defender.

Eventi di attivazione dei criteri

Gli eventi di attivazione dei criteri sono disponibili nei Visualizzatore eventi Windows nei registri di applicazioni e servizi > Microsoft > Windows > CodeIntegrity > Operativi.

CodeIntegrity Evento 3099 indica che un criterio è stato caricato e include dettagli sul criterio caricato. Le informazioni contenute nell'evento includono il nome descrittivo del criterio, un identificatore univoco globale (GUID) e un hash del criterio. Più eventi CodeIntegrity Evento 3099 saranno presenti se sono applicati più criteri di integrità del codice al dispositivo.

Quando vengono applicati i criteri di controllo forniti, si verificherà un evento con le informazioni seguenti:

  • PolicyNameBuffer - Criteri di controllo di sicurezza basati sulla virtualizzazione di Microsoft Windows

  • PolicyGUID - {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash - 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Criteri di controllo di sicurezza basati sulla virtualizzazione Microsoft

Quando viene applicato il criterio di revoca firmato da Microsoft (SkuSiPolicy.p7b), verrà visualizzato un evento con le informazioni seguenti (vedi lo screenshot dell'evento CodeIntegrity 3099 di seguito):

  • PolicyNameBuffer - Criteri SI SKU di Microsoft Windows

  • PolicyGUID - {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash - 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Criteri SI SKU di Microsoft Windows

Se sono stati applicati i criteri di controllo o la prevenzione al dispositivo e l'evento CodeIntegrity 3099 per il criterio applicato non è presente, il criterio non viene applicato. Consulta le istruzioni di distribuzione per verificare che i criteri sono stati installati correttamente.

Controllare e bloccare gli eventi

Gli eventi di controllo e blocco dell'integrità del codice sono disponibili nei Visualizzatore eventi di Windows nei log di applicazioni e servizi > i log di Microsoft > CodeIntegrity > Windows > i log di Applicazioni e servizi > operativi > Microsoft > Windows > AppLocker > MSI e Script.

Il percorso di registrazione precedente include eventi relativi al controllo di eseguibili, DLL e driver. Quest'ultima posizione di registrazione include eventi relativi al controllo di programmi di installazione, script e oggetti COM MSI.

CodeIntegrity Evento 3076 nel log "CodeIntegrity - Operational" è l'evento di blocco principale per i criteri di modalità di controllo e indica che un file sarebbe stato bloccato se fosse stato applicato un criterio. Questo evento include informazioni sul file bloccato e sui criteri applicati. Per i file che verranno bloccati dalla prevenzione, le informazioni sui criteri nell'evento 3077 corrisponderanno alle informazioni sui criteri dei criteri di controllo dell'evento 3099.

L'evento CodeIntegrity 3077 nel log "CodeIntegrity - Operational" indica che il caricamento di un file eseguibile, .dll o di un driver è stato bloccato. Questo evento include informazioni sul file bloccato e sui criteri applicati. Per i file bloccati dalla prevenzione, le informazioni sui criteri in CodeIntegrity Evento 3077 corrisponderanno alle informazioni sui criteri di SkuSiPolicy.p7b dall'evento CodeIntegrity 3099. CodeIntegrity Evento 3077 non sarà presente se non sono presenti file eseguibili, .dll o driver in violazione dei criteri di integrità del codice nel dispositivo.

Per altri eventi di controllo e blocco dell'integrità del codice, vedere Informazioni sugli eventi di Controllo applicazione.

Procedura di rimozione e ripristino dei criteri

Se si verificano problemi dopo aver applicato la prevenzione, puoi usare i passaggi seguenti per rimuovere la prevenzione:

  1. Sospendi BitLocker se è abilitato. Esegui il comando seguente da una finestra del prompt dei comandi con privilegi elevati:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Disattiva Avvio protetto dal menu BIOS UEFI.La procedura per disattivare Avvio protetto varia a seconda del produttore e del modello di dispositivo. Per informazioni sull'individuazione della posizione in cui disattivare Avvio protetto, consulta la documentazione del produttore del dispositivo. Ulteriori dettagli sono disponibili in Disabilitazione dell'avvio protetto.

  3. Rimuovere il criterio SkuSiPolicy.p7b.

    1. Avvia Windows normalmente e quindi accedi.Il criterio SkuSiPolicy.p7b deve essere rimosso dal percorso seguente:

      • <Partizione di sistema EFI>\Microsoft\Boot\SKUSiPolicy.p7b

    2. Eseguire lo script seguente da una sessione di Windows PowerShell con privilegi elevati per eliminare i criteri da tali posizioni:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } $MountPoint $EFIPartition mountvol if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      if (Test-Path $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. Attiva Avvio protetto dal BIOS.Consulta la documentazione del produttore del dispositivo per l'individuazione della posizione in cui attivare l'avvio protetto.Se hai disattivato Avvio protetto al passaggio 1 e l'unità è protetta da BitLocker, sospendi la protezione BitLocker e quindi attiva Avvio protetto dal menu DEL BIOS UEFI .

  5. Attiva BitLocker. Esegui il comando seguente da una finestra del prompt dei comandi con privilegi elevati:

    Manager-bde -protectors -enable c:

  6. Riavvia il dispositivo.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.