Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

SVARĪGI! Lietojiet Windows drošības atjauninājumu, kas izlaists 2024. gada 9. aprīlī vai pēc tam, kā daļu no parastā ikmēneša atjaunināšanas procesa.

Šis raksts attiecas uz tām organizācijām, kurām jāsāk riska mazināšanas pasākumi publiski izpeļotā drošās sāknēšanas apiet, izmantojot BlackLotus UEFI bootkit. Turklāt, iespējams, vēlēsities izmantot proaktīvu drošības pieeju vai sākt sagatavoties izvēršanā. Ņemiet vērā, ka šai ļaunprogrammatūrai ir nepieciešama fiziska vai administratīva piekļuve ierīcei.

CAUTION Kad ierīcē ir iespējots šīs problēmas risku mazināšanas līdzeklis, kas nozīmē, ka ir pielietotas risku mazināšanas iespējas, to nevar atjaunot, ja turpināt izmantot drošo sāknēšanas programmu šajā ierīcē. Pat diska pārformatēšana nenoņems atsaukšanas, ja tās jau ir lietotas. Lūdzu, ņemiet vērā visas iespējamās sekas un pārbaudes rūpīgi izklāsta veidā, pirms atsaukumus, kas izklāstīti šajā rakstā, varat izmantot savā ierīcē.

Šajā rakstā

Kopsavilkums

Šajā rakstā ir aprakstīta aizsardzība pret publiski pieejamu drošās sāknēšanas drošības līdzekli, kas izmanto BlackLotus UEFI bootkit, ko reģistrējis CVE-2023-24932, kā nodrošināt atvieglojumus un norādījumus par sāknējamo datu nesēju. Sāknēšanas programma ir ļaunprātīga programma, kas ir izstrādāta pēc iespējas ātrāk ielādēt ierīces startēšanas secībā, lai kontrolētu operētājsistēmas startēšanu.

Secure Boot ir ieteicams izmantot korporācija Microsoft, lai izveidotu drošu un uzticamu ceļu no vienotās paplašināmā aparātprogrammatūras interfeisa (Untensible Firmware Interface — UEFI), izmantojot Windows kernel Trusted Boot secību. Drošā palaišana palīdz novērst sāknēšanas ļaunprogrammatūru palaišanas secībā. Atspējojot drošo sāknēšanas programmu, pastāv risks, ka tā tika inficēta ar bootkit ļaunprogrammatūru. Lai izlabotu CVE-2023-24932 aprakstīto drošas sāknēšanas apiešanu, ir jālabo sāknēšanas pārvaldnieki. Tas var izraisīt problēmas dažās ierīces sāknēšanas konfigurācijās.

2023.–24932. gada CVE-2023-24932 detalizētie drošās sāknēšanas apiešanas paņēmieni ir iekļauti Windows drošības atjauninājumos, kas izlaisti 2024. gada 9. aprīlī vai pēc tam. Tomēr šie atvieglojumus nav iespējotas pēc noklusējuma. Ar šiem atjauninājumiem ieteicams sākt novērtēt šīs izmaiņas savā vidē. Pilns grafiks ir aprakstīts sadaļā Atjauninājumu hronometrāža .

Pirms šo risku mazināšanas iespējošanas rūpīgi pārskatiet šajā rakstā detalizēto informāciju un nosakiet, vai ir jāiespējo atvieglojumus vai jāgaida atjauninājums no Microsoft vēlāk. Ja izvēlaties iespējot riskus, jums jāpārbauda, vai jūsu ierīces ir atjauninātas un gatavas, un jāizprot šajā rakstā aprakstītie riski. 

Rīcība 

Šajā laidienā ir jāveic šādas darbības:

1. darbība. Visās atbalstītās versijās instalējiet Windows drošības atjauninājumu, kas izlaists 2024. gada 9. aprīlī vai pēc tam.

2. darbība. Novērtējiet izmaiņas un to ietekmi uz jūsu vidi.

3. darbība. Izmaiņu veikšana.

Ietekmes tvērums

BlackLotus bootkit ietekmē visas Windows ierīces ar iespējotu drošas sāknēšanas aizsardzību. Atbalstītajām Windows versijām ir pieejamas risku mazināšanas iespējas. Pilnu sarakstu skatiet CVE-2023-24932.

Risku izpratne

Ļaunprogrammatūras risks: Lai šajā rakstā aprakstītais BlackLotus UEFI bootkit būtu iespējams, uzbrucējam ir jāiegūst administratīvas tiesības ierīcē vai jāiegūst fiziska piekļuve ierīcei. To var paveikt, piekļūstot ierīcei fiziskai vai attālināti, piemēram, izmantojot hipervisoru, lai piekļūtu M/mākonim. Uzbrukumētājs parasti izmantos šo ievainojamību, lai turpinātu kontrolēt ierīci, pie kuras viņš jau var piekļūt un, iespējams, manipulēt. Šajā rakstā minētās risku mazināšanas iespējas ir citas, un tās nevar novērst. Ja ierīce jau ir uz apdraudējuma, sazinieties ar drošības nodrošinātāju, lai saņemtu palīdzību.

Atkopšanas multivide: Ja pēc risku mazināšanas pasākumu lietošanas rodas problēma saistībā ar ierīci un ierīce nav pieejama, iespējams, nevarēsiet startēt vai atkopt ierīci no esoša datu nesēja. Atkopšanas vai instalēšanas datu nesējs būs jāatjaunina, lai tas darbotos ierīcē, kurā ir lietotas risku mazināšanas darbības.

Aparātprogrammatūras problēmas: Ja Windows lieto šajā rakstā aprakstīto risku mazināšanas pasākumu, ir nepieciešama ierīces UEFI aparātprogrammatūra, lai atjauninātu drošās sāknēšanas vērtības (atjauninājumi tiek lietoti datu bāzes atslēgai (DB) un aizliegts paraksta atslēgai (DBX)). Dažos gadījumos mums ir pieredze ar ierīcēm, kurās netiek instalēti atjauninājumi. Mēs strādājam pie ierīču ražotājiem, lai pārbaudītu šos galvenos atjauninājumus pēc iespējas vairāk ierīcēs.

NOTE Lūdzu, vispirms pārbaudiet šos riskus vienas ierīces ierīcē savā vidē, lai noteiktu iespējamās aparātprogrammatūras problēmas. Neizvietot pirms visu ierīces klašu apstiprināšanas jūsu vidē ir novērtētas.

BitLocker atkopšana: Dažas ierīces, iespējams, pāriet uz BitLocker atkopšanu. Noteikti saglabājiet BitLocker atkopšanas atslēgas kopiju, pirms iespējojat atvieglojumus.

Zināmās problēmas

Aparātprogrammatūras problēmas:Ne visas ierīces aparātprogrammatūra veiksmīgi atjauninās Secure Boot DB vai DBX. Gadījumos, kad mēs esam informēti, par šo problēmu esam ziņojuši ierīces ražotājam. Detalizētu KB5016061 informāciju par reģistrētajiem notikumiem skatiet rakstā: Droša sāknēšanas DB un DBX mainīgā atjaunināšanas notikumi. Lai saņemtu aparātprogrammatūras atjauninājumus, sazinieties ar ierīces ražotāju. Ja ierīce netiek atbalstīta, Microsoft iesaka jaunināt ierīci.

Zināmās aparātprogrammatūras problēmas:

NOTE Tālāk minētās zināmās problēmas neietekmē un nenovērsīs 2024. gada 9. aprīļa atjauninājumu instalēšanu. Lielākajā daļā gadījumu risku mazināšana netiek piemērota tad, ja pastāv zināmās problēmas. Skatiet detalizētu informāciju, kas izsauca katru zināmo problēmu.

  • HP: HP noteica problēmu ar risku mazināšanas instalēšanu HP Z4G4 darbstaciju datoros un nākamajos nedēļās izlaidīs atjauninātu Z4G4 UEFI aparātprogrammatūru (BIOS). Lai nodrošinātu veiksmīgu risku mazināšanas instalēšanu, tas tiks bloķēts datora darbstacijās, līdz atjauninājums būs pieejams. Klientiem vienmēr jāveic atjaunināšana uz jaunāko sistēmu BIOS, pirms lietot risku mazināšanas.

  • HP ierīces ar sure start security: Lai instalētu riskus, šīm ierīcēm ir nepieciešami jaunākie aparātprogrammatūras atjauninājumi no HP. Atvieglojumus tiek bloķētas, līdz tiek atjaunināta aparātprogrammatūra. Instalējiet jaunāko aparātprogrammatūras atjauninājumu no HPs atbalsta lapas — Oficiālie HP draiveri un programmatūras lejupielāde | HP atbalsts.

  • Arm64 ierīces: Atvieglojumus tiek bloķētas zināmu UEFI aparātprogrammatūras problēmu dēļ, kas saistītas ar Qualcomm ierīcēm. Microsoft sadarbojas ar Qualcomm, lai novērstu šo problēmu. Qualcomm sniegs labojumu ierīču ražotājiem. Sazinieties ar ierīces ražotāju, lai noteiktu, vai ir pieejams šīs problēmas labojums. Microsoft pievienos noteikšanu, lai ierīcēs varētu izmantot atvieglojumus, kad tiek noteikta fiksēta aparātprogrammatūra. Ja arm64 ierīcē nav Qualcomm aparātprogrammatūras, konfigurējiet šādu reģistra atslēgu, lai iespējotu risku mazināšanas darbības.

    Reģistra apakšatslēga

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Atslēgas vērtības nosaukums

    SkipDeviceCheck

    Datu tips

    REG_DWORD

    Dati

    1

  • Ābele:Mac datori, kuros ir Apple T2 drošības mikroshēma, atbalsta drošo sāknēšanu. Tomēr ar UEFI drošību saistītu mainīgo atjaunināšana ir pieejama tikai kā daļa no macOS atjauninājumiem. Ir paredzams, ka Boot Camp lietotāji sistēmā Windows redzēs notikuma ID 1795 ierakstu par notikumu žurnālu, kas saistīts ar šiem mainīgajiem. Papildinformāciju par šo žurnālfaila ierakstu skatiet rakstā KB5016061: Secure Boot DB un DBX mainīgo atjaunināšanas notikumi.

  • VMware:VMware virtualizācijas vidēs, virtuālās mašīnas, kas izmanto x86 procesoru ar iespējotu drošo sāknēšanas iespēju, pēc risku mazināšanas pasākumu lietošanas neizdosies veikt sāknēšanu. Microsoft koordinē ar VMware, lai novērstu šo problēmu.

  • TPM 2.0 sistēmas:  Šīs sistēmas, kurās darbojas Windows Server 2012 un Windows Server 2012 R2, nevar izvietot 2024. gada 9. aprīļa drošības atjauninājumā izlaistos riskus, jo pastāv zināmas saderības problēmas ar TPM mērījumiem. 2024. gada 9. aprīļa drošības atjauninājumi bloķēs riskus #2 (sāknēšanas pārvaldnieks) un #3 (DBX atjauninājums) ietekmētajās sistēmās.

    Microsoft ir informēta par šo problēmu, un nākotnē tiks izlaists atjauninājums, lai atbloķētu TPM 2.0 sistēmas.

    Lai pārbaudītu savu TPM versiju, ar peles labo pogu noklikšķiniet uz Sākums, noklikšķiniet uz Palaist un pēc tam ierakstiet tpm.msc. Centra rūts apakšējā labajā stūrī sadaļā TPM ražotāja informācija jābūt redzamai specifikācijas versijas vērtībai.

  • Sianteka galapunkta šifrēšana. Drošas palaišanas riskus nevar izmantot sistēmām, kuras ir instalējuši Symantec Endpoint Encryption. Microsoft un Symantc ir informēti par šo problēmu un tiks novērsti nākamajā atjauninājumā.

Norādījumi par šo laidienu

Šajā laidienā veiciet abas šīs darbības.

1. darbība. Windows drošības atjauninājuma instalēšana

Instalējiet Windows ikmēneša drošības atjauninājumu, kas izlaists 2024. gada 9. aprīlī vai pēc tam, atbalstītās Windows ierīcēs. Šie atjauninājumi ietver riskus, kas attiecas uz CVE-2023-24932, bet pēc noklusējuma nav iespējoti. Visām Windows ierīcēm ir jāveic šī darbība neatkarīgi no tā, vai plānojat ieviest atvieglojumus.

2. darbība. Izmaiņu izvērtēšana

Iesakām veikt tālāk norādītās darbības.

  • Izprast pirmos divus riskus, kas ļauj atjaunināt Secure Boot DB un atjaunināt sāknēšanas pārvaldnieku.

  • Pārskatiet atjaunināto grafiku.

  • Sāciet testēt pirmos divus riskus, salīdzinot ar ierīces, kas ir no jūsu vides.

  • Sāciet plānot izvietošanas posmu, sākot no 2024. gada 9. jūlija.

3. darbība. Izmaiņu veikšana

Mēs iesakām izprast riskus, kas izklāstīti sadaļā Riski.

  • Izprast atkopšanas un citu sāknējamo datu nesēju ietekmi.

  • Sāciet testēt trešo risku, kas neuzticas parakstīšanas sertifikātam, kas izmantots visiem iepriekšējiem Windows sāknēšanas pārvaldniekiem.

.

Pirms šo darbību veikšanas, lai lietotu riskus, instalējiet Windows ikmēneša apkalpošanas atjauninājumu, kas izlaists 2024. gada 9. aprīlī vai pēc tās, atbalstītās Windows ierīcēs. Šajā atjauninājumā ir iekļautas CVE-2023-24932 risku mazināšanas, bet tās pēc noklusējuma nav iespējotas. Visām Windows ierīcēm ir jāveic šī darbība neatkarīgi no jūsu plāna, lai iespējotu atvieglojumus.

NOTE Ja izmantojat BitLocker, pārliecinieties, vai jūsu BitLocker atkopšanas atslēga ir dublēta. Administratora komandu uzvednē varat izpildīt šādu komandu un atzīmēt 48 ciparu skaitlisko paroli:

manage-bde -protectors -get %systemdrive%

Lai izvietotu atjauninājumu un lietotu atsaukšanas, veiciet tālāk norādītās darbības.

  1. Db instalējiet atjauninātās sertifikātu definīcijas.

    Ar šo darbību UEFI "Secure Boot Signature Database" (DB) tiks pievienots "Windows UEFI CA 2023" sertifikāts. Pievienojot šo sertifikātu DB, ierīces aparātprogrammatūra uzticēsies palaišanas lietojumprogrammām, kuras parakstījīs šis sertifikāts.

    1. Atveriet administratora komandu uzvedni un iestatiet regkey, lai veiktu atjaunināšanu uz DB, ievadot šādu komandu:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      SVARĪGI! Pirms turpināt veikt 2. un 3. darbību, noteikti restartējiet ierīci divas reizes, lai pabeigtu atjauninājuma instalēšanu.

    2. Palaidiet tālāk norādīto PowerShell komandu kā administrators un pārbaudiet, vai DB ir sekmīgi atjaunināts. Šai komandai ir jāatgriež vērtība True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Atjauniniet sāknēšanas pārvaldnieku savā ierīcē.

    Šī darbība instalēs palaišanas pārvaldnieka lietojumprogrammu jūsu ierīcē, kas ir parakstīta ar sertifikātu "Windows UEFI CA 2023".

    1. Atveriet administratora komandu uzvedni un iestatiet regkey, lai instalētu "Windows UEFI CA 2023" parakstītu palaišanas pārvaldnieku:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Divas reizes restartējiet ierīci.

    3. Kā administrators kalns EFI nodalījums, lai sagatavotos pārbaudei:

      mountvol s: /s

    4. Pārbaudiet, vai failu "s:\efi\microsoft\boot\bootmgfw.efi" ir parakstījis sertifikāts "Windows UEFI CA 2023". Lai to izdarītu, veiciet tālāk norādītās darbības.

      1. Noklikšķiniet uz Sākt, lodziņā Sākums ierakstiet komandu Search pēc tam noklikšķiniet uz Komandu uzvedne.

      2. Komandu uzvednes logā ierakstiet šo komandu un pēc tam nospiediet taustiņu Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Failu pārvaldniekā ar peles labo pogu noklikšķiniet uz faila C:\bootmgfw_2023.efi, noklikšķiniet uz Rekvizīti un pēc tam atlasiet cilni Ciparparaksti .

      4. Sarakstā Paraksts pārliecinieties, ka sertifikātu ķēde ietver Windows UEFI CA 2023. Sertifikātu ķēdei jāatbilst šādam ekrānuzņēmumam:

        Sertifikāti

  3. Iespējojiet atsaukšanas opciju.

    UEFI Forbidden List (DBX) tiek izmantots, lai bloķētu neuzticamus UEFI moduļus no ielādes. Šajā darbībā atjauninot DBX, DBX tiks pievienots sertifikāts "Windows Production CA 2011". Tādējādi visi ar šo sertifikātu parakstītie sāknēšanas pārvaldnieki vairs nebūs uzticami.

    BRĪDINĀJUMS Pirms trešās risku mazināšanas lietošanas izveidojiet atkopšanas zibatmiņas disku, ko var izmantot sistēmas palaišanai. Informāciju, kā to paveikt, skatiet sadaļā Windows instalēšanas multivides atjaunināšana.

    Ja jūsu sistēma kļūst tādā stāvoklī, kas nav sāknējams, izpildiet atkopšanas procedūras sadaļā norādītās darbības, lai ierīci atiestatītu uz iepriekšēju atsaukšanas stāvokli.

    1. Pievienojiet sertifikātu "Windows Production PCA 2011" drošas palaišanas UEFI aizliegts sarakstam (DBX). Lai to izdarītu, atveriet komandu uzvednes logus kā administrators, ierakstiet šo komandu un pēc tam nospiediet taustiņu Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Divas reizes restartējiet ierīci un pārliecinieties, vai tā ir pilnībā restartēta.

    3. Pārbaudiet, vai instalēšanas un atsaukšanas saraksts tika sekmīgi lietots, meklējot notikumu 1037 notikumu žurnālā.

      Informāciju par Notikumu 1037 skatiet rakstā KB5016061: Secure Boot DB un DBX mainīgo atjaunināšanas notikumi. Vai arī izpildiet tālāk norādīto PowerShell komandu kā administrators un pārliecinieties, vai tā atgriež vērtību True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Sāknēšanas datu nesējs

Pēc izvietošanas posma sākuma vidē ir svarīgi atjaunināt sāknēšanas datu nesēju. Norādījumi un rīki multivides atjaunināšanai tiks sniegti laikus izvietošanas fāzē. Ir plānots, ka izvietošanas posms sāksies 2024. gada 9. jūlijā.

Piemērs ar sāknējamo datu nesēju un atkopšanas datu nesēju, kuru ietekmē šī problēma:

  • Sāknēšanas datu nesējs, kas izveidots, izmantojot atkopšanas diska izveides funkciju.

  • Windows dublējumi, kas tika veidoti pirms riska mazināšanas pasākumu lietošanas. Tie nav tieši izmantojami, lai atjaunotu Windows instalāciju pēc tam, kad ierīcē būs iespējota atsaukšana.

  • Pielāgots kompaktdisks/DVD disks vai atkopšanas nodalījums, ko izveidojis jūs, ierīces ražotājs (OEM) vai uzņēmumi.

  • ISO (lejupielādējot vai izmantojot ADK).

  • Tīkla sāknēšana:

    • Windows izvietošanas pakalpojumi.

    • Preboot izpildes vides sāknēšanas pakalpojumi (PXE sāknēšanas pakalpojumi).

    • Microsoft Deployment Toolkit.

    • HTTPS sāknēšana.

  • OEM instalēšanas un atkopšanas datu nesējs.

  • Microsoft oficiālie Windows multivide, tostarp:

  • Windows PE.

  • Sistēma Windows instalēta fiziskajā aparatūrā vai virtuālajos mašīnās.

  • Windows Validation OS.

Ja izmantojat sāknējamu datu nesēju ar personisku Windows ierīci, pirms atsaukšanas, iespējams, būs jāveic viena vai vairākas no šīm darbībām:

  • Ja izmantojat personisko dublējuma programmatūru, lai saglabātu ierīces saturu, pēc 2024. gada 9. aprīļa pasākumu lietošanas noteikti palaidiet pilnu dublējumkopiju.

  • Ja izmantojat sāknēšanas diska attēlu (ISO), CD-ROM vai DVD datu nesēju, atjauniniet datu nesēju, izpildot norādījumus, kas sniegti vēlāk.

Uzņēmums

  • Skatiet visaptverošās vadlīnijas un skriptu skriptus Windows instalācijas datu nesēja atjaunināšanai, izmantojot dinamisko atjauninājumu.

  • Ja atbalsta tīkla sāknēšanas vai atkopšanas scenārijus savā vidē, jums būs jāatjaunina visa multivide un attēli. Tas var ietvert šādas palaišanas vai atkopšanas opcijas:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Windows izvietošanas pakalpojumi.

    • PxE Boot.

    • HTTPS sāknēšanas un citi tīkla sāknēšanas scenāriji.

  • Viens veids, kā to izdarīt, ir izmantot DISM bezsaistes pakotnes instalāciju attēlos, kas tiek apkalpoti šajos scenārijos. Tas ietver arī šo pakalpojumu piedāvāto sāknēšanas failu atjaunināšanu.

  • Ja izmantojat dublējuma programmatūru, lai saglabātu Windows instalācijas saturu atkopšanas attēlā, pēc 2024. gada 9. aprīļa risku mazināšanas lietošanas noteikti izveidojiet pilnu dublējumu. Noteikti dublējiet EFI diska nodalījumu papildus operētājsistēmas Windows nodalījumam. Skaidri identificējiet dublējumus, kas veikti pirms 2024. gada 9. aprīļa risku mazināšanas pasākumu lietošanas, pretstatā tiem, kas veikti pēc risku mazināšanas pasākumu lietošanas.

Windows PC OEM

Windows instalēšanas datu nesēja atjaunināšana

NOTE Izveidojot palaišanas zibatmiņas disku, noteikti formatējiet disku, izmantojot FAT32 failusystem.

Varat izmantot atkopšanas diska izveides lietojumprogrammu , veicot tālāk norādītās darbības. Šo datu nesēju var izmantot, lai atkārtoti instalētu ierīci, ja rodas liela problēma, piemēram, aparatūras kļūme, varēsit izmantot atkopšanas disku, lai atkārtoti instalētu operētājsistēmu Windows.

  1. Dodieties uz ierīci, kurā tiek lietots 2024. gada 9. aprīļa atjauninājums un pirmā risku mazināšanas darbība (drošās sāknēšanas DB atjaunināšana).

  2. Sākuma izvēlnē meklējiet vadības paneļa "Atkopšanas diska izveide" sīklietotni un izpildiet norādījumus, lai izveidotu atkopšanas disku.

  3. Kad jaunizveidotais zibatmiņas disks ir uzstādāms (piemēram, kā disks "D:"), kā administrators izpildiet šādas komandas. Ierakstiet katru no šīm komandām un pēc tam nospiediet taustiņu Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ja savā vidē pārvaldāt instalējamu datu nesēju, izmantojot Windows instalēšanas datu nesēja atjaunināšanu ar dinamiskās atjaunināšanas norādījumiem, veiciet tālāk norādītās darbības. Šīs papildu darbības ļaus izveidot sāknējamu zibatmiņas disku, kurā tiek izmantoti sāknējam faili, ko parakstījis parakstīšanas sertifikāts "Windows UEFI CA 2023".

  1. Dodieties uz ierīci, kurā ir lietots 2024. gada 9. aprīlis, atjauninājumi un pirmā riska mazināšanas darbība (drošās sāknēšanas DB atjaunināšana).

  2. Izpildiet tālāk redzamajā saiti, lai izveidotu datu nesēju ar 2024. gada 9. aprīļa atjauninājumiem. Windows instalācijas datu nesēja atjaunināšana, izmantojot dinamisko atjaunināšanu

  3. Novietojiet multivides saturu USB zibatmiņas diskā un pievienojiet zibatmiņas disku kā diska burtu. Piemēram, kalnā kalns ir jādublē kā "D:".

  4. Palaidiet tālāk norādītās komandas komandu logā kā administrators. Ierakstiet katru no šīm komandām un pēc tam nospiediet taustiņu Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ja pēc risku mazināšanas pasākumu novēršanas ierīcei tiek atiestatīti drošās sāknēšanas iestatījumi, ierīce netiks palaista. Lai novērstu šo problēmu, labošanas lietojumprogramma ir iekļauta 2024. gada 9. aprīļa atjauninājumos, ko var izmantot, lai DB atkārtoti lietotu sertifikātu "Windows UEFI CA 2023" (risku mazināšana #1).

NOTE Neizmantojiet šo labošanas programmu ierīcē vai sistēmā, kas ir aprakstīta sadaļā Zināmās problēmas.

  1. Dodieties uz ierīci, kurā ir lietoti 2024. gada 9. aprīļa atjauninājumi.

  2. Komandu logā kopējiet atkopšanas programmu zibatmiņas diskā, izmantojot tālāk norādītās komandas (pieņemot, ka zibatmiņas disks ir diskdzinis D:). Ierakstiet katru komandu atsevišķi un pēc tam nospiediet taustiņu Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Ierīcē, kurā ir drošās sāknēšanas iestatījumi, tiek atiestatīti uz noklusējuma iestatījumiem: ievietojiet zibatmiņas disku, restartējiet ierīci un startējiet no zibatmiņas diska.

Atjauninājumu hronometrāža

Atjauninājumi ir izlaisti šādi:

  • Sākotnējā izvietošana Šajā posmā tika sākta atjaunināšana, kas izlaista 2023. gada 9. maijā, un sniegtas pamata risku mazināšanas darbības, izmantojot manuālas darbības, lai iespējotu šo risku.

  • Otrā izvietošana Šajā posmā tika sākts ar 2023. gada 11. jūlijā izlaistajiem atjauninājumiem, kuros pievienotas vienkāršotas darbības, lai iespējotu problēmas risku mazināšanas pasākumus.

  • Novērtēšanas fāze Šis posms sāksies 2024. gada 9. aprīlī un pievienos papildu sāknēja pārvaldnieka riskus.

  • Beigu izvietošanas posms Šajā gadījumā mēs rosināsim visus klientus sākt izmantot atvieglojumus un atjaunināt multividi.

  • Ieviešanas posms Ieviešanas posms, kas padara riskus pastāvīgus. Šī posma datums tiks paziņots vēlāk.

Piezīme Pēc nepieciešamības laidiena grafiku var pārskatīt.

Šo posmu aizstāj Windows drošības atjauninājumu laidiens, kas bija 2024. gada 9. aprīlī vai pēc tam.

Šo posmu aizstāj Windows drošības atjauninājumu laidiens, kas bija 2024. gada 9. aprīlī vai pēc tam.

Šajā posmā mēs uzdodam jums pārbaudīt šīs izmaiņas savā vidē, lai pārliecinātos, vai izmaiņas darbojas pareizi ar pārstāvim parauga ierīcēm un iegūtu pieredzi saistībā ar izmaiņām.

NOTE Tā vietā, lai mēģinātu visaptveroši uzskaitīt un neuzticamus sāknēšanas vadītājus, kā tas bija iepriekšējās izvietošanas fāzēs, mēs pievienojam "Windows Production PCA 2011" parakstīšanas sertifikātu drošajam sāknēšanas sarakstam (Secure Boot Disallow List — DBX), lai neuzticamu visus šajā sertifikātā parakstītos sāknēšanas vadītājus. Šī ir uzticamāka metode, lai nodrošinātu, ka visi iepriekšējie sāknēšanas pārvaldnieki nav uzticami.

Atjauninājumi operētājsistēmai Windows, kas izlaista 2024. gada 9. aprīlī vai pēc tam, pievienojiet:

  • Trīs jaunas risku mazināšanas vadīklas, kas aizstāj 2023. gadā izlaistos riskus. Jaunās risku mazināšanas vadīklas ir:

    • Vadīkla, kas izvietos sertifikātu "Windows UEFI CA 2023" drošajā sāknēšanas DB, lai pievienotu šī sertifikāta parakstīto Windows sāknēšanas pārvaldnieku uzticamību. Ņemiet vērā, ka sertifikātu "Windows UEFI CA 2023", iespējams, ir instalējis vecākā Windows atjauninājumā.

    • Vadīkla, lai izvietotu palaišanas pārvaldnieku, ko parakstījis sertifikāts "Windows UEFI CA 2023".

    • Vadīkla, lai drošajam sāknēšanas DBX pievienotu "Windows Production PCA 2011", kas bloķēs visus ar šo sertifikātu parakstītos Windows sāknēšanas pārvaldniekus.

  • Iespēja patstāvīgi iespējot risku mazināšanas izvietošanu pakāpeniski, lai atkarībā no jūsu vajadzībām nodrošinātu lielāku kontroli, izvietojot riskus jūsu vidē.

  • Risku mazināšanas iespējas ir savstarpēji bloķētas, tāpēc tās nevar izvietot nepareizā secībā.

  • Papildu notikumi, kas jāzina ierīču statusā, kad tās piemēro riskus. Papildinformāciju KB5016061 skatiet rakstā: Secure Boot DB un DBX mainīgās atjaunināšanas notikumi.

Šajā posmā mēs iesakām klientiem sākt izmantot risku mazināšanas pasākumu un pārvaldīt multivides atjauninājumus. Atjauninājumi pievienos šādas izmaiņas:

  • Norādījumi un palīgrīks multivides atjaunināšanai.

  • Atjaunināts DBX bloks, lai atsauktu papildu sāknēšanas pārvaldniekus.

Ieviešanas fāze būs vismaz sešus mēnešus pēc izvietošanas posma. Kad atjauninājumi tiek izlaisti ieviešanas fāzē, tie ietver:

  • Sertifikāts "Windows Production PCA 2011" tiks automātiski atsaukts, to pievienojot drošas sāknēšanas UEFI Forbidden List (DBX) ierīcēs. Šie atjauninājumi tiks programmiski ieviesti pēc atjauninājumu instalēšanas sistēmai Windows visās attiecīgajās sistēmās bez atspējošanas opcijas.

Windows notikumu žurnāla kļūdas saistībā ar CVE-2023-24932

Ar DB un DBX atjaunināšanu saistītie Windows notikumu žurnāla ieraksti ir detalizēti aprakstīti rakstā KB5016061: Secure Boot DB un DBX mainīgo atjaunināšanas notikumi.

"Izdošanās" notikumi, kas saistīti ar risku mazināšanas pasākumu šanu, ir norādīti tālāk tabulā.

.

Notikuma ID

Piezīmes

Db atjauninājuma lietošanas

1036

Datu PCA2023 sertifikāts tika pievienots DB.

Sāknēšanas pārvaldnieka atjaunināšana

1799

Tika PCA2023 ar parakstītu sāknēšanas pārvaldnieku.

DBX atjauninājuma lietošanas

1037

DBX atjauninājums, kas neuzticas failam PCA2011 tika lietots parakstīšanas sertifikāts.

Bieži uzdotie jautājumi (bieži uzdotie jautājumi)

  • Skatiet sadaļu Atkopšanas procedūra, lai atkoptu ierīci.

  • Izpildiet norādījumus sadaļā Sāknēšanas problēmu novēršana.

Atjauniniet visas operētājsistēmas Windows ar atjauninājumiem, kas izlaisti 2024. gada 9. aprīlī vai pēc tam, pirms atsaukšanas. Iespējams, nevarat startēt nevienu Windows versiju, kas nav atjaunināta uz vismaz 2024. gada 9. aprīlī izlaistiem atjauninājumiem pēc atsaukšanas lietošanas. Izpildiet norādījumus sadaļā Sāknēšanas problēmu novēršana.

Skatiet sadaļu Sāknēšanas problēmu novēršana.

Sāknēšanas problēmu novēršana

Pēc tam, kad ir pielietotas visas trīs risku mazināšanas programmas, ierīces aparātprogrammatūra netiks palaista, izmantojot sāknēšanas pārvaldnieku, ko parakstīja Windows Production PCA 2011. Aparātprogrammatūras uzrādītās sāknēšanas kļūmes ir raksturīgas ierīcēm. Skatiet sadaļu Atkopšanas procedūra.

Atkopšanas procedūra

Ja, lietojot riskus, kaut kas nav kārtībā un nevarat startēt ierīci vai ir nepieciešams sākt darbu ar ārēju multividi (piemēram, zibatmiņa vai PXE sāknēšana), izmēģiniet tālāk norādītos ieteikumus.

  1. Izslēdziet drošo sāknēšanas sistēmu.

    Dažādām ierīču ražotājiem un modeļiem šī procedūra atšķiras. Ievadiet savas ierīces UEFI BIOS izvēlni un naviģējiet uz drošās palaišanas iestatījumiem un izslēdziet to. Skatiet ierīces ražotāja dokumentāciju, lai iegūtu konkrētu informāciju par šo procesu. Papildinformācija ir pieejama lodziņā Drošās sāknēšanas atspējošana.

  2. Atiestatiet drošas sāknēšanas taustiņu rūpnīcas noklusējumus.

    Ja ierīce atbalsta drošo sāknēšanas taustiņu atiestatīšanu uz rūpnīcas noklusējuma iestatījumiem, veiciet šo darbību tūlīt.

    NOTE Dažiem ierīču ražotājiem ir gan mainīgo "Clear" (Notīrīt), gan "Reset" (Atiestatīt) opcija drošas sāknēšanas mainīgajiem, un šādā gadījumā jāizmanto opcija "Reset" (Atiestatīt). Mērķis ir novietot drošās sāknēšanas mainīgos atpakaļ uz ražotājiem noklusējuma vērtībām.

    Tagad ierīcei ir jāsākas, bet ņemiet vērā, ka tā ir neaizsargāta pret sāknēšanas komplekta ļaunprogrammatūru. Pārliecinieties, vai esat pabeidzis šī atkopšanas procesa 5. darbību, lai atkārtoti iespējotu drošo sāknēšanas procesu.

  3. Mēģiniet startēt Windows no sistēmas diska.

    1. Piesakieties sistēmā Windows.

    2. Izpildiet tālāk norādītās komandas administratora komandu uzvednē, lai atjaunotu sāknēšanas failus EFI sistēmas sāknēšanas nodalījumā. Ierakstiet katru komandu atsevišķi un pēc tam nospiediet taustiņu Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Palaižot BCDBoot, tiek atgriezts "Sekmīgi izveidoti sāknfaili". Kad tiek parādīts šis ziņojums, restartējiet ierīci atpakaļ sistēmā Windows.

  4. Ja 3. darbība nevar sekmīgi atkopt ierīci, atkārtoti instalējiet sistēmu Windows.

    1. Startējiet ierīci no esoša atkopšanas datu nesēja.

    2. Turpiniet instalēt Windows, izmantojot atkopšanas datu nesēju.

    3. Piesakieties sistēmā Windows.

    4. Restartējiet sistēmu Windows, lai pārbaudītu, vai ierīce tiek startēta atpakaļ sistēmā Windows.

  5. Atkārtoti iespējojiet drošo sāknēšanas programmu un restartējiet ierīci.

    Ievadiet ierīces UEFI izvēlni, naviģējiet uz drošās sāknēšanas iestatījumiem un ieslēdziet to. Skatiet ierīces ražotāja dokumentāciju, lai iegūtu konkrētu informāciju par šo procesu. Papildinformācija ir atrodama sadaļā "Drošās sāknēšanas atkārtota iespējošana".

Uzziņas

Šajā rakstā pieminēto trešās puses produktu ražotāji ir no korporācijas Microsoft neatkarīgi uzņēmumi. Mēs nesniedzam nekādas garantijas, tiešas vai netiešas, par šo produktu veiktspēju vai uzticamību.

Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.

Izmaiņu datums

Izmaiņu apraksts

2024. gada 9. aprīlis

  • Būtiskas procedūru, informācijas, vadlīniju un datumu izmaiņas. Ņemiet vērā, ka šī datuma apjomīgo izmaiņu rezultātā ir noņemtas dažas iepriekšējās izmaiņas.

2023. gada 16. decembris

  • Pārskatīti trešās izvietošanas un ieviešanas izlaišanas datumi sadaļā "Atjauninājumu hronometrāža".

2023. gada 15. maijs

  • Noņemta neatbalstīta operētājsistēmas Windows 10, versija 21H1 no sadaļas "Attiecas uz".

2023. gada 11. maijs

  • Pievienojiet BRĪDINĀJUMA piezīmi sadaļas "Izvietošanas vadlīnijas" 1. darbībā par jaunināšanu uz Windows 11, 21H2 vai 22H2 versiju vai dažām Windows 10.

2023. gada 10. maijs

  • Šis ir lejupielādējams Windows datu nesējs, kas atjaunināts ar jaunāko Atjauninājumi, kas drīzumā būs pieejams.

  • Izlabota vārda "Forbidden" pareizrakstība.

2023. gada 9. maijs

  • Papildu atbalstītās versijas pievienotas sadaļai "Attiecas uz".

  • Atjaunināta sadaļas "Rīcība" 1. darbība.

  • Atjaunināta sadaļas "Izvietošanas vadlīnijas" 1. darbība.

  • Izlabojām komandas sadaļas "Deploment guidelines" 3a. darbībā.

  • Hyper-V UEFI attēlu izlabots novietojums sadaļā "Sāknēšanas problēmu novēršana".

2023. gada 27. jūnijs

  • Noņemta piezīme par atjaunināšanu no Windows 10 uz jaunāku Windows 10 versiju, kas izmanto iespējošanas pakotni sadaļā "Izvietošanas vadlīnijas" 1. darbība:Instalēt.

2023. gada 11. jūlijs

  • Atjaunināja 2023. gada 9. maija datumu līdz 2023. gada 11. jūlijam, 2023. gada 9. maijam un 2023. gada 11. jūlijam līdz 2023. gada 9. maijam.

  • Sadaļā "Izvietošanas vadlīnijas" ņemiet vērā, ka visi SafeOS dinamiskie atjauninājumi tagad ir pieejami WinRE nodalījumu atjaunināšanai. Turklāt lodziņš CAUTION tika noņemts, jo šo problēmu var novērst SafeOS dinamisko atjauninājumu laidiens.

  • Lodziņā "3. Apply the revocations" (Atsaukšanas atcelšanas sadaļa), norādījumi ir pārskatīti.

  • Sadaļā "Windows notikumu žurnāla kļūdas" tiek pievienots notikuma ID 276.

2023. gada 25. augusts

  • Atjauninātas dažādas sadaļas apvārdošanai un pievienota 2023. gada 11. jūlija laidienam un 2024. gada laidiena informācijai nākotnē.

  • Pārkārtojiet daļu satura sadaļā "Izvairīšanās no problēmām ar sāknēšanas datu nesēju" uz sadaļu "Sāknēšanas datu nesēja atjaunināšana".

  • Atjaunināta sadaļa "Atjauninājumu hronometrāža" ar pārskatītajiem izvietošanas datumiem un informāciju.
Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×