Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Keisti datą

Keisti aprašą

2024 m. kovo 20 d.

  • Pridėtas skyrius "Rezultatai ir atsiliepimai"

2024 m. kovo 21 d.

  • Updated Step 4 in the "Step 2: Install the PCA2023-signed boot manager" section

2024 m. kovo 22 d.

  • Atnaujinta el. pašto kontaktinė informacija skyriuje "Rezultatai ir atsiliepimai"

  • Pridėtas skyrius "Įgalinti pasirinktinius diagnostikos duomenis"

Įvadas

Šis straipsnis yra šio straipsnio, kuris bus atnaujintas 2024 m. balandžio mėn., priedas:

  • KB5025885: Kaip valdyti "Windows" įkrovos tvarkytuvo saugiosios įkrovos keitimų, susietų su CVE-2023-24932, atšaukimus

Šiame priede aprašoma atnaujinta nuosekli procedūra, skirta diegti naujas rizikos mažinimo priemones atsižvelgiant į "BlackLotus UEFI" įkrovos rinkinį, sekamą CVE-2023-24932 , ir apima bandymų nurodymus jūsų aplinkai.

Norėdami apsisaugoti nuo kenkėjiško piktnaudžiavimo pažeidžiamais paleidimo vadovais, turime įdiegti naują UEFI saugiosios įkrovos pasirašymo sertifikatą įrenginio programinei-aparatinei įrangai ir atšaukti pasitikėjimą dabartinio pasirašymo sertifikato programine-aparatine įranga. Tai padarius, visi esami, pažeidžiami įkrovos tvarkytuvai bus nepatikimi naudojant įrenginius, kuriuose įgalinta saugi įkrova. Šis vadovas padės atlikti šį procesą.

Trys rizikos mažinimo veiksmai, aprašyti šiame vadove, yra šie:

  1. Atnaujinama DB: Naujas PCA (PCA2023) sertifikatas bus įtrauktas į saugiosios įkrovos DB, kuri leis įrenginiui paleisti laikmeną, pasirašytą šiuo sertifikatu.

  2. Įkrovos tvarkytuvo diegimas: Esamą PCA2011 pasirašytą įkrovos tvarkytuvą pakeis PCA2023 pasirašytas įkrovos tvarkytuvas.Abu įkrovos tvarkytuvai įtraukti į 2024 m. balandžio mėn. saugos naujinimus.

  3. DBX PCA2011 atšaukimas: Į saugiosios įkrovos DBX bus įtrauktas neigimas įrašas, neleidžiantis paleisti įkrovos tvarkytuvų, pasirašytų su PCA2011.

Pastaba Priežiūros rietuvės programinė įranga, kuri taiko šiuos tris pažeidžiamumą mažinančias priemones, neleis taikyti mažinimų iš eilės.

Ar tai taikoma man?

Šis vadovas taikomas visiems įrenginiams, kuriuose įgalinta saugi įkrova, ir visoms esamoms šių įrenginių atkūrimo laikmenoms.

Jei jūsų įrenginyje veikia "Windows Server 2012" arba "Windows Server 2012 R2", prieš tęsdami būtinai perskaitykite skyrių "Žinomos problemos".

Prieš pradedant

Pasirinktinių diagnostikos duomenų įgalinimas

Įjunkite parametrą Siųsti pasirinktinius diagnostikos duomenis atlikdami šiuos veiksmus:

  1. "Windows 11" eikite į pradžios > parametrai > privatumas & saugos > diagnostikos & atsiliepimai.

  2. Įjunkite Siųsti pasirinktinius diagnostikos duomenis.

    Atsiliepimai apie diagnostiką &

Daugiau informacijos žr. Diagnostika, atsiliepimai ir privatumas sistemoje "Windows"

PASTABA Įsitikinkite, kad tikrinimo metu ir kurį laiką po patikrinimo yra interneto ryšys.

Atlikite testo testą

Įdiegę 2024 m. balandžio mėn. "Windows" naujinimus ir prieš atlikdami prisijungimo veiksmus, būtinai atlikite bandomąjį perdavimą, kad patikrintumėte sistemos vientisumą:

  1. VPN: Patikrinkite, ar veikia VPN prieiga prie įmonės išteklių ir tinklo.

  2. Windows Hello: Prisijungimas prie "Windows" įrenginio naudojant įprastą procedūrą (veido / piršto atspaudo / PIN).

  3. Bitlocker: "BitLocker" palaikančios sistemos paprastai paleidžiamos sistemoje be jokių "BitLocker" atkūrimo raginimų paleisties metu.

  4. Įrenginio sveikatos patvirtinimas: Patikrinkite, ar įrenginiai, kuriems būtina įrenginio sveikatos atestacija, tinkamai patvirtina jų būseną.

Žinomos problemos

Tik "Windows Server 2012" ir "Windows Sever 2012 R2":

  • TPM 2.0 pagrindo sistemos negali diegti mažinimų, išleistų 2024 m. balandžio mėn. saugos pataisoje dėl žinomų suderinamumo problemų su TPM matavimais. 2024 m. balandžio naujinimai blokuos rizikos mažinimą #2 (įkrovos tvarkytuvas) ir #3 (DBX naujinimą) paveiktose sistemose.

  • "Microsoft" žino apie šią problemą ir ateityje bus išleistas naujinimas, kad būtų atblokuotos TPM 2.0 pagrindo sistemos.

  • Norėdami patikrinti TPM versiją, dešiniuoju pelės mygtuku spustelėkite Pradėti, Vykdyti, tada įveskite tpm.msc. Apatinėje dešiniojoje centrinės srities dalyje TPM gamintojo informacija turėtumėte matyti specifikacijos versijos reikšmę.

Sutikimo tikrinimo veiksmai

Likusioje šio straipsnio dalyje aptariamas pasirenkamų įrenginių bandymas siekiant sumažinti riziką. Pagal numatytuosius nustatymus rizikos mažinimai neįgalinti. Jei jūsų įmonė planuoja įgalinti šias priemones, atlikite šiuos tikrinimo veiksmus, kad patikrintumėte įrenginio suderinamumą.

  1. Įdiekite 2024 m. balandžio mėn. išankstinio leidimo saugos naujinimą.

  2. Atidarykite administratoriaus komandinę eilutę ir nustatykite registro raktą, kad atliktumėte db naujinimą, įvesdami šią komandą, tada paspauskite Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Iš naujo paleiskite įrenginį du kartus.

  4. Patikrinkite, ar DB sėkmingai atnaujinta, įsitikinkite, kad ši komanda pateikia True (teisinga). Paleiskite šią "PowerShell" komandą administratoriaus teisėmis:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Atidarykite administratoriaus komandinę eilutę ir nustatykite registro raktą, kad atsisiųstumėte ir įdiegtumėte PCA2023 pasirašytą įkrovos tvarkytuvą:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Iš naujo paleiskite įrenginį du kartus.

  3. Kaip administratorius, prijunkite EFI skaidinį, kad jis būtų paruoštas patikrinti:

    mountvol s: /s

  4. Patikrinkite, ar PCA2023 pasirašė "s:\efi\microsoft\boot\bootmgfw.efi". Norėdami tai padaryti, atlikite šiuos veiksmus:

    1. Spustelėkite Pradėti, įveskite komandinė eilutė lauke Ieška , tada spustelėkite Komandinė eilutė.

    2. Lange Komandinė eilutė įveskite šią komandą ir paspauskite "Enter".

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Failų tvarkytuve dešiniuoju pelės mygtuku spustelėkite failą C:\bootmgfw_2023.efi, spustelėkite Ypatybės, tada pasirinkite skirtuką Skaitmeniniai parašai.

    4. Sąraše Parašas patvirtinkite, kad sertifikatų grandinėje yra "Windows UEFI 2023 CA".

ĮSPĖJIMAS: šis veiksmas įdiegia DBX atšaukimą nepatikimiems seniems, pažeidžiamiems įkrovos tvarkytuvams, pasirašytiems naudojant "Windows" gamybos PCA2011. Įrenginiai, kuriems taikomas šis atšaukimas, nebebus paleidžiami iš esamų atkūrimo laikmenos ir tinklo įkrovos (PXE/HTTP) serverių, kuriuose nėra atnaujintų įkrovos tvarkytuvo komponentų.

Jei jūsų įrenginys patenka į nepakraunamą būseną, atlikite veiksmus, nurodytus skyriuje "Atkūrimo ir atkūrimo procedūros", kad iš naujo nustatytumėte įrenginio išankstinio atšaukimo būseną.

Jei pritaikę DBX norite grąžinti ankstesnę įrenginio saugiosios įkrovos būseną, vykdykite skyrių "Atkūrimo ir atkūrimo procedūros".

Pritaikykite DBX mažinimą, kad nepatikėtumėte "Windows" gamybos PCA2011 sertifikato saugiojoje įkrovoje:

  1. Atidarykite administratoriaus komandinę eilutę ir nustatykite registro raktą, kad atšauktumėte PCA2011 DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Paleiskite įrenginį iš naujo du kartus ir patvirtinkite, kad jis buvo visiškai paleistas iš naujo.

  3. Patikrinkite, ar pavyko pritaikyti DBX mažinimą. Norėdami tai padaryti, paleiskite šią "PowerShell" komandą kaip administratorius ir įsitikinkite, kad komanda pateikia True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Arba Įvykių peržiūros programa ieškokite šio įvykio:

    Įvykių žurnalas

    Sistema

    Įvykio šaltinis

    TPM-WMI

    Įvykio ID

    1037

    Lygis

    Informacija

    Įvykio pranešimo tekstas

    Secure Boot Dbx update to revoke Microsoft Windows Production PCA 2011 is applied successfully

  4. Atlikite testo prieigos elementus iš sekcijos "Prieš pradėdami" ir įsitikinkite, kad visos sistemos veikia įprastai.

Registro rakto nuoroda

Sutikimo patvirtinimo 1 veiksmasSutikimo patvirtinimo 2 veiksmasSutikimo patvirtinimo 3 veiksmas

Komandą

Tikslas

Komentarai 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Įdiegia DB naujinimą, kad būtų leidžiamas PCA2023 pasirašytas įkrovos tvarkytuvas

Komandą

Tikslas

Komentarai 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Įdiegia PCA2023 pasirašytą "bootmgr"

Reikšmė, pagerbta atlikus 0x40 veiksmą

Komandą

Tikslas

Komentarai 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Įdiegia DBX naujinimą, kuris atšaukia PCA2011

Reikšmė, pagerbta atlikus abu 0x40 & 0x100 veiksmus

Rezultatai ir atsiliepimai

Siųskite el. laišką suvp@microsoft.com su tikrinimo rezultatais, klausimais ir atsiliepimais.

Atkūrimo ir atkūrimo procedūros

Atlikdami atkūrimo procedūras, bendrinkite šiuos duomenis su "Microsoft":

  • Pastebėta paleidimo trikties ekrano kopija.

  • Atlikti veiksmai, dėl kurių įrenginys tampa nepakrautas.

  • Išsami informacija apie įrenginio konfigūraciją.

Atlikdami atkūrimo procedūrą, sustabdykite "BitLocker" prieš pradėdami procedūrą.

Jei šio proceso metu kažkas nutiko ir negalite paleisti įrenginio arba jums reikia paleisti iš išorinės laikmenos (pvz., atmintinės arba PXE įkrovos), pabandykite atlikti toliau nurodytas procedūras.

  1. Saugiosios įkrovos

    išjungimas Ši procedūra skiriasi kompiuterių gamintojais ir modeliais. Įveskite savo kompiuterių UEFI BIOS meniu ir pereikite prie saugiosios įkrovos parametro ir jį išjunkite. Jei reikia konkrečios šio proceso informacijos, žr. kompiuterio gamintojo instrukcijoje. Daugiau informacijos žr. Saugiosios įkrovos išjungimas.

  2. Valyti saugiosios įkrovos kodus

    Jei įrenginys palaiko saugiosios įkrovos raktų išvalymą arba saugiosios įkrovos raktų gamyklinių parametrų nustatymą iš naujo, atlikite šį veiksmą dabar.  

    Jūsų įrenginys turėtų būti paleistas dabar, bet atkreipkite dėmesį, kad jis pažeidžiamas paleidimo rinkinių kenkėjiškų programų. Šio atkūrimo proceso pabaigoje būtinai atlikite 5 veiksmą, kad iš naujo įjungtumėte saugiąją įkrovą.

  3. Pabandykite paleisti "Windows" sistemos diske.

    1. Jei "BitLocker" įjungta ir pradeda atgauti, įveskite "BitLocker" atkūrimo raktą.

    2. Prisijungimas prie Windows.

    3. Vykdykite šias administratoriaus komandinės eilutės komandas, kad atkurtumėte paleidimo failus EFI sistemos įkrovos skaidinyje:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Paleidus "BCDBoot" turėtų būti pateikta "Paleidimo failai sėkmingai sukurti".

    5. Jei "BitLocker" įjungta, sustabdykite "BitLocker".

    6. Iš naujo paleiskite įrenginį.

  4. Jei atlikus 3 veiksmą nepavyksta sėkmingai atkurti įrenginio, iš naujo įdiekite "Windows".

    1. Pradėkite nuo esamos atkūrimo laikmenos.

    2. Pereikite prie "Windows" diegimo naudodami atkūrimo laikmeną.

    3. Prisijungimas prie Windows.

    4. Paleiskite įrenginį iš naujo, kad patikrintumėte, ar įrenginys sėkmingai paleidžiamas sistemoje "Windows".

  5. Iš naujo įjunkite saugiąją įkrovą ir iš naujo paleiskite įrenginį.

    Įveskite devicce UEFI meniu ir pereikite prie saugiosios įkrovos parametro ir jį įjunkite. Informacijos apie šį procesą ieškokite įrenginio gamintojo dokumentuose. Daugiau informacijos žr. Saugiosios įkrovos įjungimas iš naujo.

  6. Jei "Windows" paleisti nepavyksta, dar kartą įveskite UEFI BIOS ir išjunkite saugiąją įkrovą.

  7. Paleiskite "Windows".

  8. Bendrinkite DB, DBX turinį su "Microsoft".

    1. Atidarykite "PowerShell" administratoriaus režimu.

    2. Užfiksuokite DB:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Užfiksuokite DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Bendrinkite DBUpdateFw.bin ir dbxUpdateFw.bin sugeneruotus failus atlikdami 8b ir 8c veiksmus.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×