Sākotnējais publicēšanas datums: 2025. gada 13. februāris
KB ID: 5053946
Ievads
Šajā dokumentā ir aprakstīta aizsardzības izvietošana pret publiski atklāto drošās palaišanas drošības līdzekļa apeju, kas izmanto BlackLotus UEFI sāknēšanas komplektu, ko izseko CVE-2023-24932 uzņēmumu vidēm.
Lai izvairītos no traucējumiem, Microsoft neplāno izvietot šos mazināšanas pasākumus uzņēmumos, bet nodrošina šos norādījumus, lai palīdzētu uzņēmumiem pašiem piemērot šos risku mazināšanas pasākumus. Tādējādi uzņēmumiem tiek sniegta iespēja kontrolēt izvietošanas plānu un izvietošanas laiku.
Darba sākšana
Mēs esam sadalījuši izvietošanu vairākos posmos, kurus var īstenot jūsu organizācijai piemērotā laika grafikā. Jums vajadzētu iepazīties ar šīm darbībām. Kad esat labi izpratis darbības, apsveriet, kā tās darbosies jūsu vidē, un sagatavojiet izvietošanas plānus, kas ir piemēroti jūsu uzņēmumam jūsu laika grafikā.
Lai pievienotu jauno Windows UEFI CA 2023 sertifikātu un neuzticētos Microsoft Windows Production PCA 2011 sertifikātam, ir nepieciešama sadarbība ar ierīces aparātprogrammatūru. Tā kā pastāv plaša ierīču aparatūras un aparātprogrammatūras kombinācija un Microsoft nevar testēt visas kombinācijas, pirms plašas izvietošanas ieteicams testēt reprezentatīvas ierīces savā vidē. Ieteicams testēt vismaz vienu katra tipa ierīci, kas tiek izmantota jūsu organizācijā. Dažas zināmās ierīču problēmas, kas bloķēs šos mazināšanas pasākumus, ir dokumentētas kā daļa no KB5025885: Kā pārvaldīt Windows palaišanas pārvaldnieka atsaukumus drošās palaišanas izmaiņām, kas saistītas ar CVE-2023-24932. Ja konstatējat ierīces aparātprogrammatūras problēmu, kas nav norādīta sadaļā Zināmās problēmas , sazinieties ar OEM piegādātāju, lai novērstu šo problēmu.
Tā kā šajā dokumentā ir atsauces uz vairākiem dažādiem sertifikātiem, tie ir norādīti šajā tabulā, lai nodrošinātu ērtu atsauci un skaidrību:
|
Vecās 2011. gada CA |
Jaunas 2023. gada CA (derīgums beidzas 2038. gadā) |
Funkcija |
|
Microsoft Corporation KEK CA 2011 (derīgums beidzas 2026. gada jūlijā) |
Microsoft Corporation KEK CA 2023 |
Paraksta DB un DBX atjauninājumus |
|
Microsoft Windows Production PCA 2011 (PCA2011) (derīgums beidzas 2026. gada oktobrī) |
Windows UEFI CA 2023 (PCA2023) |
Pazīmes Windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (derīgums beidzas 2026. gada jūlijā) |
Microsoft UEFI CA 2023 un Microsoft Option ROM UEFI CA 2023 |
Paraksta trešo pušu bootloaders un opciju ROM |
Svarīgi Pirms testējat ierīces ar mazināšanas pasākumiem, noteikti lietojiet testēšanas mašīnām jaunākos drošības atjauninājumus.
Piezīme Ierīces aparātprogrammatūras testēšanas laikā var tikt atklātas problēmas, kas neļauj drošās palaišanas atjauninājumiem darboties pareizi. Tam var būt nepieciešama atjauninātas aparātprogrammatūras iegūšana no ražotāja (OEM) un aparātprogrammatūras atjaunināšana ietekmētajās ierīcēs, lai mazinātu atklātās problēmas.
Lai aizsargātos pret uzbrukumiem, kas aprakstīti CVE-2023-24932, ir jāpiemēro četri mazināšanas pasākumi:
-
1. mazināšana: Atjauninātās sertifikāta (PCA2023) definīcijas instalēšana datu bāzē
-
2. mazināšana:Atjauniniet sāknēšanas pārvaldnieku savā ierīcē
-
3. mazināšana:Atsaukšanas iespējošana (PCA2011)
-
4. mazināšana:SVN atjauninājuma lietošana aparātprogrammatūrai
Šos četrus mazināšanas pasākumus var manuāli lietot katrai no testa ierīcēm, izpildot norādījumus, kas aprakstīti KB5025885 mazināšanas izvietošanas vadlīnijās: Kā pārvaldīt Windows palaišanas pārvaldnieka atsaukumus drošās palaišanas izmaiņām, kas saistītas ar CVE-2023-24932, vai arī izpildot šajā dokumentā sniegtos norādījumus. Visi četri mazināšanas pasākumi ir atkarīgi no aparātprogrammatūras, lai darbotos pareizi.
Plānošanas procesā jums būs vieglāk izprast šādus riskus.
Aparātprogrammatūras problēmas.Katrai ierīcei ir aparātprogrammatūra, ko nodrošinājis ierīces ražotājs. Lai veiktu šajā dokumentā aprakstītās izvietošanas darbības, aparātprogrammatūrai ir jāspēj akceptēt un apstrādāt atjauninājumus drošai palaišanai DB (parakstu datu bāze) un DBX (aizliegtā parakstu datu bāze). Turklāt programmaparatūra ir atbildīga par paraksta vai palaišanas lietojumprogrammu, tostarp Windows sāknēšanas pārvaldnieka, apstiprināšanu. Ierīces programmaparatūra ir programmatūra, un, tāpat kā jebkurai programmatūrai, var būt defekti, tāpēc ir svarīgi pārbaudīt šīs darbības pirms plašas izvietošanas.Korporācija Microsoft pastāvīgi testē daudzas ierīču/aparātprogrammatūras kombinācijas, sākot ar ierīcēm Microsoft laboratorijās un birojos, un Microsoft sadarbojas ar OEM, lai testētu viņu ierīces. Gandrīz visas pārbaudītās ierīces ir izturējušas bez problēmām. Dažos gadījumos esam redzējuši problēmas ar aparātprogrammatūru, kas nepareizi apstrādā atjauninājumus, un mēs sadarbojamies ar OEM, lai novērstu mums zināmās problēmas.
Piezīme Ja ierīces testēšanas laikā konstatējat aparātprogrammatūras problēmu, iesakām sadarboties ar ierīces ražotāju/OEM, lai novērstu šo problēmu. Meklējiet notikuma ID 1795 notikumu žurnālā. Papildinformāciju par drošās palaišanas notikumiem skatiet rakstā KB5016061: drošās palaišanas datu bāzes un DBX mainīgo atjauninājumu notikumi .
Instalēt datu nesējuPiemērojot tālāk šajā dokumentā aprakstīto 3. un 4. mazināšanas nosacījumu, neviens esošs Windows instalēšanas datu nesējs vairs nebūs palaižams, kamēr datu nesējs nebūs atjauninājis palaišanas pārvaldnieku. Šajā dokumentā aprakstītie mazināšanas pasākumi neļauj palaist vecus, neaizsargātus palaišanas pārvaldniekus, neuzticoties tiem aparātprogrammatūrā. Tas neļauj uzbrucējam atritināt sistēmas palaišanas pārvaldnieku uz iepriekšējo versiju un izmantot ievainojamību vecākās versijās. Šo ievainojamo palaišanas pārvaldnieku bloķēšanai nevajadzētu ietekmēt darbojošos sistēmu. Tomēr tā neļaus palaist palaižamu datu nesēju, līdz tiks atjaunināti datu nesēja palaišanas pārvaldnieki. Tas ietver ISO attēlus, palaižamus USB diskus un tīkla sāknēšanu (PxE un HTTP sāknēšanu).
PCA2023 un jaunā palaišanas pārvaldnieka atjaunināšana
-
1. mazināšana: atjaunināto sertifikātu definīciju instalēšana datu bāzē Pievieno jauno Windows UEFI CA 2023 sertifikātu UEFI drošās palaišanas parakstu datu bāzei (DB). Pievienojot šo sertifikātu datu bāzei, ierīces aparātprogrammatūra uzticēsies Microsoft Windows palaišanas lietojumprogrammām, kas parakstītas ar šo sertifikātu.
-
2. mazināšana: atjauniniet palaišanas pārvaldnieku savā ierīcē Lieto jauno Windows palaišanas pārvaldnieku, kas parakstīts ar jauno Windows UEFI CA 2023 sertifikātu.
Šie mazinājumi ir svarīgi operētājsistēmas Windows ilgtermiņa izmantojamībai šajās ierīcēs. Tā kā Microsoft Windows Production PCA 2011 sertifikāta aparātprogrammatūrā derīguma termiņš beigsies 2026. gada oktobrī, ierīcēs pirms derīguma termiņa beigām aparātprogrammatūrā ir jābūt jaunajam Windows UEFI CA 2023 sertifikātam, pretējā gadījumā ierīce vairs nevarēs saņemt Windows atjauninājumus, tādējādi nonākot neaizsargātā drošības stāvoklī.
Lai lietotu visus mazināšanas gadījumus kopā, palaidiet tālāk norādīto komandu kā administrators:
|
Reg pievienot HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f |
Kad tiek piemēroti mazinājumi, biti AvailableUpdates vērtībā tiek notīrīti. Tam var būt nepieciešama vairākkārtēja restartēšana.
Palaišanas pārvaldnieka mazināšana tiek piemērota tikai pēc tam, kad aparātprogrammatūra ziņo, ka sertifikāta mazināšana ir pabeigta. Šīs darbības nevar veikt nepareizi.
Kad tas ir pabeigts, UEFICA2023Status ir iestatīts uz "Atjaunināts".
Dažas ierīces jau var būt atjauninātas, ja tās klasificētas kā augstas ticamības ierīces. Detalizētu informāciju skatiet sadaļā Drošās palaišanas norādījumi.
Pēc mazināšanas izvietošanas savās ierīcēs jums vajadzētu pārraudzīt savas ierīces, lai nodrošinātu, ka tām ir piemēroti mazināšanas pasākumi un tagad tās ir "atjauninātas". Pārraudzību var veikt, meklējot sistēmā šādu reģistra atslēgu. Ja atslēga pastāv un ir iestatīta vērtība Notiek izpilde, sistēma ir sākusi sistēmas atjaunināšanu. Ja atslēga pastāv un ir iestatīta vērtība Atjaunināts, tad sistēmai ir nepieciešamie 2023. gada sertifikāti datu bāzē un KEK, un tā sākas ar 2023. gada parakstīto palaišanas pārvaldnieku.
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Atslēgas vērtības nosaukums |
UEFICA2023Statuss |
|
|
Datu tips |
REG_SZ (virkne) |
|
|
Dati |
Atspoguļo pašreizējo drošās palaišanas atslēgas atjauninājuma stāvokli ierīcē. Tas tiks iestatīts uz vienu no šīm teksta vērtībām:
Sākotnēji statuss ir Nestartēts. Kad sākas atjaunināšana, tas tiek mainīts uz Notiek un visbeidzot uz Atjaunināts, kad ir izvietoti visi jaunie taustiņi un jaunais palaišanas pārvaldnieks. Ja ir kļūda, UEFICA2023Error reģistra vērtība ir iestatīta uz kodu, kas nav nulle. |
|
Palaižama datu nesēja atjaunināšana
Pēc 1. un 2. riska novēršanas piemērošanas jūsu ierīcēm varat atjaunināt jebkuru palaižamu datu nesēju, ko izmantojat savā vidē. Bootable datu nesēja atjaunināšana nozīmē PCA2023 parakstītā sāknēšanas pārvaldnieka piemērošanu datu nesējam. Tas ietver tīkla sāknēšanas attēlu (piemēram, PxE un HTTP), ISO attēlu un USB disku atjaunināšanu. Pretējā gadījumā ierīces, kurām ir lietoti mazinājumi, netiks startētas no sāknēšanas datu nesēja, kas izmanto vecāku Windows palaišanas pārvaldnieku un 2011 CA.
Rīki un norādījumi par to, kā atjaunināt katru sāknējamo datu nesēju veidu, ir pieejami šeit:
|
Multivides tips |
Resurss |
|
ISO, USB diski utt. |
|
|
PXE palaišanas serveris |
Dokumentācija tiks iesniegta vēlāk |
Multivides atjaunināšanas procesa laikā noteikti pārbaudiet multividi, izmantojot ierīci, kurā ir ieviesti visi četri risku mazināšanas pasākumi. Pēdējie divi mazināšanas pasākumi bloķēs vecākus, neaizsargātus palaišanas pārvaldniekus. Lai pabeigtu šo procesu, svarīga ir datu nesēja izmantošana ar pašreizējiem palaišanas pārvaldniekiem.
Piezīme Tā kā palaišanas pārvaldnieka atrites uzbrukumi ir realitāte un mēs sagaidām, ka pastāvīgi Windows palaišanas pārvaldnieka atjauninājumi palīdzēs novērst drošības problēmas, uzņēmumiem ir ieteicams plānot daļēji regulārus multivides atjauninājumus un ieviest procesus, lai multivides atjauninājumus padarītu vieglākus un mazāk laikietilpīgus. Mūsu mērķis ir ierobežot multivides palaišanas pārvaldnieka atsvaidzināšanas reižu skaitu līdz ne vairāk kā divām reizēm gadā, ja iespējams.
Palaižamais datu nesējs neietver ierīces sistēmas disku, kurā parasti atrodas un no kuras automātiski tiek startēta operētājsistēma Windows. Palaižams datu nesējs parasti tiek izmantots, lai palaistu ierīci, kurai nav palaižamas Windows versijas, un palaižams datu nesējs bieži tiek izmantots, lai instalētu operētājsistēmu Windows ierīcē.
UEFI drošās palaišanas iestatījumi nosaka, kuriem palaišanas pārvaldniekiem uzticēties, izmantojot drošās palaišanas DB (parakstu datu bāze) un DBX (Aizliegto parakstu datu bāze). DB satur uzticamas programmatūras jaucējkodus un atslēgas, un DBX glabā atsauktos, kompromitētos un neuzticamos jaucējkodus un atslēgas, lai novērstu nesankcionētas vai ļaunprātīgas programmatūras palaišanu sāknēšanas procesa laikā.
Ir lietderīgi padomāt par dažādiem stāvokļiem, kuros ierīce var atrasties, un kādu palaižamu datu nesēju var izmantot ar ierīci katrā no šiem stāvokļiem. Visos gadījumos aparātprogrammatūra nosaka, vai tai vajadzētu uzticēties palaišanas pārvaldniekam, un, kad tā palaiž palaišanas pārvaldnieku, programmaparatūra vairs nekonsultējas ar DB un DBX. Palaižams datu nesējs var izmantot 2011 CA parakstītu palaišanas pārvaldnieku vai 2023 CA parakstītu palaišanas pārvaldnieku, bet ne abus. Nākamajā sadaļā aprakstīts, kādos stāvokļos ierīce var atrasties un dažos gadījumos kādu datu nesēju var palaist no ierīces.
Šie ierīču scenāriji var būt noderīgi, plānojot mazināšanas pasākumu izvietošanu visās jūsu ierīcēs.
Jaunas ierīces
Dažas jaunas ierīces tika piegādātas ar 2011. un 2023. gada CA, kas iepriekš instalēta ierīces programmaparatūrā. Ne visi ražotāji ir pārgājuši uz abu modeļu darbību, un, iespējams, joprojām piegādā ierīces, kurās sākotnēji instalēta tikai 2011. gada CA versija.
-
Ierīces ar 2011 un 2023 CA var startēt datu nesēju, kas ietver 2011 CA parakstītu palaišanas pārvaldnieku vai 2023 CA parakstītu palaišanas pārvaldnieku.
-
Ierīces, kurās instalēta tikai 2011 CA, var palaist datu nesēju tikai ar 2011 CA parakstītu palaišanas pārvaldnieku. Lielākā daļa vecāko mediju ietver 2011. gada CA parakstīto sāknēšanas pārvaldnieku.
Ierīces ar 1. un 2. riska novēršanu
Šīs ierīces tika sākotnēji instalētas ar 2011. gada CA, un, piemērojot 1. līmeņa mazināšanu, tagad tajās ir instalēta 2023. gada CA. Tā kā šīs ierīces uzticas abām CA, šīs ierīces var startēt gan ar 2011. gada CA, gan 2023. gada parakstīto palaišanas pārvaldnieku.
Ierīces ar 3. un 4. mazinājumu
Šajās ierīcēs DBX ir iekļauts 2011. gada CA, un tās vairs neuzticēsies multividei ar 2011. gada CA parakstītu palaišanas pārvaldnieku. Ierīce ar šo konfigurāciju startēs multividi tikai ar 2023. gada CA parakstītu palaišanas pārvaldnieku.
Drošās sāknēšanas atiestatīšana
Ja drošās palaišanas iestatījumi ir atiestatīti uz noklusējuma vērtībām, jebkādi mazināšanas pasākumi, kas tika piemēroti datu bāzei (pievienojot 2023. gada CA) un DBX (neuzticēšanās 2011. gada CA), iespējams, vairs nebūs spēkā. Darbība būs atkarīga no aparātprogrammatūras noklusējuma iestatījumiem.
DBX
Ja ir piemēroti 3. un/vai 4. mazināšanas pasākumi un DBX ir notīrīts, 2011. gada CA nebūs DBX sarakstā un joprojām būs uzticama. Šādā gadījumā būs atkārtoti jāpiemēro 3. un/vai 4. mazināšanas līdzeklis.
DB
Ja datu bāzē bija 2023. gada CA un tas tiek noņemts, atiestatot drošās palaišanas iestatījumus uz noklusējumu, sistēma var nesāknēties, ja ierīce paļaujas uz 2023. gada CA parakstīto palaišanas pārvaldnieku. Ja ierīce netiek palaista, izmantojiet rīku securebootrecovery.efi, kas aprakstīts KB5025885: Kā pārvaldīt Windows palaišanas pārvaldnieka atsaukumus drošās palaišanas izmaiņām, kas saistītas ar CVE-2023-24932 , lai atkoptu sistēmu.
Neuzticēties PCA2011 un lietot drošas versijas numuru DBX
-
3. mazināšana: iespējojiet atsaukšanu Neuzticas Microsoft Windows Production PCA 2011 sertifikātam, pievienojot to aparātprogrammatūras drošās palaišanas DBX aparātprogrammatūrai. Tas izraisīs to, ka aparātprogrammatūra neuzticēsies visiem 2011 CA parakstītajiem palaišanas pārvaldniekiem un visiem datu nesējiem, kuru izmantošana ir atkarīga no 2011 CA parakstītā palaišanas pārvaldnieka.
-
4. mazināšana: lietojiet aparātprogrammatūrai drošās versijas numura atjauninājumu Lieto drošās versijas numura (Secure Version Number — SVN) atjauninājumu aparātprogrammatūras drošās palaišanas DBX. Kad sāk darboties 2023. gadā parakstīts palaišanas pārvaldnieks, tas veic pašpārbaudi, salīdzinot programmaparatūrā saglabāto SVN ar sāknēšanas pārvaldniekā iebūvēto SVN. Ja sāknēšanas pārvaldnieka SVN ir zemāks par programmaparatūras SVN, sāknēšanas pārvaldnieks nedarbosies. Šis līdzeklis neļauj uzbrucējam atritināt palaišanas pārvaldnieku uz vecāku, neatjauninātu versiju. Turpmākajiem sāknēšanas pārvaldnieka drošības atjauninājumiem SVN tiks palielināts un no jauna būs jāpiemēro 4. mazināšana.
Svarīgi 1. un 2. mazināšana ir jāpabeidz pirms 3. un 4. mazināšanas piemērošanas.
Informāciju par to, kā piemērot 3. un 4. mazināšanu, veicot divas atsevišķas darbības (ja vēlaties būt piesardzīgāks vismaz sākumā), skatiet KB5025885: Kā pārvaldīt Windows palaišanas pārvaldnieka atsaukumus drošās palaišanas izmaiņām, kas saistītas ar CVE-2023-24932 Vai arī varat lietot abus mazināšanas gadījumus, palaižot šo vienas reģistra atslēgas darbību kā administrators:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Lai lietotu abus mazināšanas gadījumus kopā, operācijas pabeigšanai būs nepieciešama tikai viena restartēšana.
-
3. mazināšana: Lai pārbaudītu, vai atsaukšanas saraksts ir sekmīgi lietots, meklējiet notikuma ID: 1037 notikumu žurnālā par KB5016061: drošās palaišanas DB un DBX mainīgo atjauninājumu notikumi.Vai arī varat palaist tālāk norādīto PowerShell komandu kā administrators un pārliecināties, vai tā atgriež vērtību Patiess:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
4. mazināšana: Metode, kas ļautu pārbaudīt, vai SVN iestatījums ir lietots, vēl nepastāv. Šī sadaļa tiks atjaunināta, kad būs pieejams risinājums.
Uzziņas
KB5016061: drošās palaišanas DB un DBX mainīgā atjauninājuma notikumi
|
Izmaiņu datums |
Izmaiņu apraksts |
|---|---|
|
2026. gada 10. jūnijs |
|
