Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Datuma maiņa

Apraksta maiņa

2024. gada 20. marts

  • Pievienota sadaļa "Rezultāti un atsauksmes"

2024. gada 21. marts

  • Atjaunināta 4. darbība sadaļā "2. darbība. PCA2023-parakstīta palaišanas pārvaldnieka instalēšana"

2024. gada 22. marts

  • Atjaunināta e-pasta kontaktinformācija sadaļā "Rezultāti un atsauksmes"

  • Pievienota sadaļa "Iespējot neobligātos diagnostikas datus".

Ievads

Šis raksts ir šī raksta papildinājums, kas tiks atjaunināts 2024. gada aprīlī:

  • KB5025885: Kā pārvaldīt Windows Boot Manager atsaukšanas drošās palaišanas izmaiņas, kas saistītas ar CVE-2023-24932

Šajā papildinājumā ir aprakstīta atjauninātā pakāpeniska procedūra, lai izvietotu jaunas risku mazināšanas iespējas BlackLotus UEFI boot-kit, ko reģistrējis CVE-2023-24932 , un ietver testēšanas norādījumus jūsu videi.

Lai palīdzētu aizsargāties pret neaizsargātu sāknēšanas pārvaldnieku ļaunprātīgu izmantošanu, mums ir jāizvieto jauns UEFI Secure Boot parakstīšanas sertifikāts ierīces aparātprogrammatūrai un jāatsauc pašreizējā parakstīšanas sertifikāta aparātprogrammatūras uzticamība. Šādi rīkojoties, visi esošie, neaizsargātie sāknēšanas pārvaldnieki tiks neuzticami ierīcēm, kurās iespējota droša sāknēšana. Šī rokasgrāmata palīdzēs jums veikt šo procesu.

Šajā rokasgrāmatā norādītās trīs risku mazināšanas darbības ir šādas:

  1. Notiek DB atjaunināšana: Drošas sāknēšanas DB tiks pievienots jauns PCA (PCA2023) sertifikāts, kas ļaus ierīcei palaist datu nesēju, kas ir parakstīts ar šo sertifikātu.

  2. Sāknēšanas pārvaldnieka instalēšana: Esošo PCA2011 sāknēšanas pārvaldnieku ar parakstu aizstāj PCA2023 sāknēšanas pārvaldnieks.Abi sāknēšanas pārvaldnieki ir iekļauti 2024. gada aprīļa drošības atjauninājumos.

  3. DbX atsaukšana ģimenes PCA2011. Drošajam sāknēšanas DBX tiks pievienots noraidīts ieraksts, kas neļauj veikt sāknēšanu pārvaldniekiem, PCA2011 sāknēšanu.

Piezīme Apkalpošanas grēdas programmatūra, kas lieto šos trīs risku mazināšanas pasākumus, neļauj izmantot atvieglojumus ārpus kārtas.

Vai tas attiecas uz mani?

Šī rokasgrāmata attiecas uz visām ierīcēm, kurās iespējota drošā palaišana, un visām šīm ierīcēm esošo atkopšanas datu nesēju.

Ja ierīcē darbojas operētājsistēma Windows Server 2012 vai Windows Server 2012 R2, pirms turpināt, noteikti izlasiet sadaļu "Zināmās problēmas".

Pirms darba sākšanas

Neobligāto diagnostikas datu iespējošana

Lūdzu, ieslēdziet iestatījumu "Nosūtīt neobligātos diagnostikas datus", veicot tālāk norādītās darbības.

  1. Lai Windows 11 šo problēmu, >sadaļu > konfidencialitātes & drošības > diagnostika & atsauksmes.

  2. Ieslēdziet Opciju Nosūtīt neobligātos diagnostikas datus.

    Diagnostika & atsauksmēm

Papildinformāciju skatiet rakstā Diagnostika, atsauksmes un konfidencialitāte operētājsistēmā Windows

NOTE Pārliecinieties, vai validācijas laikā un kādu laiku pēc tās ir savienojums ar internetu.

Testa pāreja

Pēc 2024. gada aprīļa Windows atjauninājumu instalēšanas un pirms pieteikšanās darbību veikšanas noteikti veiciet pārbaudes pārbaudi, lai pārbaudītu sistēmas integritāti.

  1. VPN: Pārbaudiet, vai VPN piekļuve uzņēmuma resursiem un tīklam darbojas.

  2. Windows Hello. Piesakieties Windows ierīcē, izmantojot parasto procedūru (sejas/pirksta nospieduma/PIN).

  3. BitLocker: Parasti sistēma tiek startēta sistēmā BitLocker iespējotas sistēmas bez BitLocker atkopšanas uzvednes startēšanas laikā.

  4. Ierīces darbspējas apliecinājums: Pārbaudiet, vai ierīces, kas paļaujas uz ierīces darbspējas atestāciju, pareizi pārbauda to statusu.

Zināmās problēmas

Tikai Windows Server 2012 un Windows Sever 2012 R2:

  • TPM 2.0 sistēmas nevar izvietot 2024. gada aprīļa drošības ielāpa izlaistos riskus, jo ir zināmas saderības problēmas ar TPM izmēriem. 2024. gada aprīļa atjauninājumi bloķēs riskus #2 (sāknēšanas pārvaldnieks) un #3 (DBX atjauninājums) ietekmētajās sistēmās.

  • Microsoft ir informēta par šo problēmu, un nākotnē tiks izlaists atjauninājums, lai atbloķētu TPM 2.0 sistēmas.

  • Lai pārbaudītu savu TPM versiju, ar peles labo pogu noklikšķiniet uz Sākums, noklikšķiniet uz Palaist un pēc tam ierakstiet tpm.msc. Centra rūts apakšējā labajā stūrī sadaļā TPM ražotāja informācija jābūt redzamai specifikācijas versijas vērtībai.

Pieteikšanās validācijas darbības

Atlikusī raksta daļa ir aprakstīta testēšana, kurā tiek meklētas atteikšanās ierīces, lai nodrošinātu riskus. Pēc noklusējuma atvieglojumus nav iespējotas. Ja jūsu uzņēmuma plāni iespējot šo risku mazināšanas iespēju, veiciet tālāk norādītās validācijas darbības, lai pārbaudītu ierīces saderību.

  1. Izvietojiet 2024. gada aprīļa pirmsizlaides drošības atjauninājumu.

  2. Atveriet administratora komandu uzvedni un iestatiet reģistra atslēgu, lai veiktu atjaunināšanu uz DB, ierakstot šādu komandu, un pēc tam nospiediet taustiņu Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Divas reizes restartējiet ierīci.

  4. Pārbaudiet, vai DB ir veiksmīgi atjaunināts, pārliecinieties, vai tālāk minētā komanda atgriež vērtību True. Palaidiet šādu PowerShell komandu kā administrators:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Atveriet administratora komandu uzvedni un iestatiet reģistra atslēgu, lai lejupielādētu un instalētu PCA2023 sāknēšanas pārvaldnieku:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Divas reizes restartējiet ierīci.

  3. Kā administrators kalns EFI nodalījums, lai sagatavotos pārbaudei:

    mountvol s: /s

  4. Pārbaudiet, vai failu "s:\efi\microsoft\boot\bootmgfw.efi" ir parakstījis PCA2023. Lai to izdarītu, veiciet tālāk norādītās darbības.

    1. Noklikšķiniet uz Sākt, meklēšanas lodziņā ierakstiet komandu uzvedne un pēc tam noklikšķiniet uz Komandu uzvedne.

    2. Komandu uzvednes logā ierakstiet šo komandu un pēc tam nospiediet taustiņu Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Failu pārvaldniekā ar peles labo pogu noklikšķiniet uz faila C:\bootmgfw_2023.efi, noklikšķiniet uz Rekvizīti un pēc tam atlasiet cilni Ciparparaksti.

    4. Sarakstā Paraksts pārliecinieties, ka sertifikātu ķēde ietver Windows UEFI 2023 CA.

BRĪDINĀJUMS. Šī darbība izvieto DBX atsaukšanas komandu neuzticamiem, neaizsargātiem sāknēšanas pārvaldniekiem, kas parakstīti, izmantojot Windows Production PCA2011. Ierīces, kurās ir lietota šī atsaukšana, vairs netiks palaistas no esošajiem atkopšanas datu nesēja un tīkla sāknēšanas (PXE/HTTP) serveriem, kuros nav atjaunināti sāknēšanas pārvaldnieka komponenti.

Ja jūsu ierīce kļūst tādā stāvoklī, kas nav sāknējams, izpildiet darbības sadaļā "Atkopšanas un atjaunošanas procedūras", lai ierīci atiestatītu uz iepriekšēju atsaukšanas stāvokli.

Ja pēc DBX lietošanas vēlaties ierīci atgriezt iepriekšējā drošās sāknēšanas stāvoklī, izpildiet sadaļu "Atkopšanas un atjaunošanas procedūras".

Lietojiet DBX risku, lai neuzticamu Windows Ražošanas PCA2011 drošajā sāknēšanas sertifikātā:

  1. Atveriet administratora komandu uzvedni un iestatiet reģistra atslēgu, lai dbX PCA2011 atsaukšana:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Divas reizes restartējiet ierīci un pārliecinieties, vai tā ir pilnībā restartēta.

  3. Pārliecinieties, vai DBX risku mazināšana ir lietota sekmīgi. Lai to izdarītu, palaidiet tālāk norādīto PowerShell komandu kā administrators un pārliecinieties, vai komanda atgriež vērtību True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Vai arī meklējiet šādu notikumu Notikumu skatītājs:

    Notikumu žurnāls

    Sistēma

    Notikuma avots

    TPM-WMI

    Notikuma ID

    1037

    Līmenis

    Informācija

    Notikuma ziņojuma teksts

    Secure Boot Dbx atjauninājums, lai atsauktu Microsoft Windows Production PCA 2011 piemērošanu, tiek sekmīgi lietots

  4. Veiciet testa ieejas vienumus sadaļā "Pirms darba sākšanas" un pārliecinieties, vai visas sistēmas darbojas normāli.

Reģistra atslēgas atsauce

Pieteikšanās validācijas 1. darbībaPieteikšanās validācijas 2. darbībaPieteikšanās validācijas 3. darbība

Komanda

Nolūks

Komentāri 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Instalē DB atjauninājumu, lai atļautu datora PCA2023 ar parakstītu sāknēšanas pārvaldnieku

Komanda

Nolūks

Komentāri 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Instalē ar PCA2023 parakstītu bootmgr

Vērtība tiek paturēta tikai pēc 0x40 pabeigšanas

Komanda

Nolūks

Komentāri 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Instalē DBX atjauninājumu, kas atsauc PCA2011

Vērtība tiek paturēta tikai pēc abu 0x40 & 0x100 pabeigšanas

Rezultāti un atsauksmes

Nosūtiet e-pasta suvp@microsoft.com ar rezultātu, jautājumu un atsauksmju testēšanu.

Atkopšanas un atjaunošanas procedūras

Veicot atkopšanas procedūras, koplietojiet ar Microsoft šādus datus:

  • Novērotās sāknēšanas kļūmes ekrānuzņēmums.

  • Darbības, kas tika veiktas, lai ierīci varētu palaist, vairs nebūs sāknēšanas.

  • Detalizēta informācija par ierīces konfigurāciju.

Veicot atjaunošanas procedūru, pirms procedūras sākšanas aizturiet līdzekli BitLocker.

Ja šī procesa laikā rodas problēmas un nevarat startēt ierīci vai ir nepieciešams startēt ārēju datu nesēju (piemēram, zibatmiņa vai PXE sāknēšana), izmēģiniet tālāk norādītās darbības.

  1. Drošās sāknēšanas izslēgšana

    Pc datoru ražotājiem un modeļiem šī procedūra atšķiras. Ievadiet savu datoru UEFI BIOS izvēlni un naviģējiet uz drošās sāknēšanas iestatījumu un izslēdziet to. Skatiet datora ražotāja dokumentāciju, lai iegūtu konkrētu informāciju par šo procesu. Papildinformāciju skatiet rakstā Drošās sāknēšanas atspējošana.

  2. Notīrīt drošās sāknēšanas atslēgas

    Ja ierīce atbalsta drošas sāknēšanas taustiņu notīrīšanu vai drošas sāknēšanas taustiņu atiestatīšanu uz rūpnīcas noklusējuma iestatījumiem, veiciet šo darbību tūlīt.  

    Tagad ierīcei ir jāsākas, bet ņemiet vērā, ka tā ir neaizsargāta pret sāknēšanas komplektu ļaunprogrammatūru. Šī atkopšanas procesa beigās noteikti pabeidziet 5. darbību, lai atkārtoti iespējotu drošo sāknēšanas procesu.

  3. Mēģiniet startēt Windows no sistēmas diska.

    1. Ja BitLocker ir iespējots un pāriet uz atkopšanu, ievadiet savu BitLocker atkopšanas atslēgu.

    2. Piesakieties sistēmā Windows.

    3. Izpildiet tālāk norādītās komandas no administratora komandu uzvednes, lai atjaunotu sāknēšanas failus EFI sistēmas sāknēšanas nodalījumā.

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Palaižot BCDBoot, tiek atgriezts "Boot faili ir sekmīgi izveidoti".

    5. Ja BitLocker ir iespējots, aizturiet BitLocker.

    6. Restartējiet jūsu ierīci.

  4. Ja 3. darbība sekmīgi neatkop nodrošina ierīces atkopšanu, atkārtoti instalējiet sistēmu Windows.

    1. Sāciet ar esošo atkopšanas datu nesēju.

    2. Turpiniet instalēt Windows, izmantojot atkopšanas datu nesēju.

    3. Piesakieties sistēmā Windows.

    4. Restartējiet, lai pārbaudītu, vai ierīce tiek sekmīgi startēta operētājsistēmā Windows.

  5. Atkārtoti iespējojiet drošo sāknēšanas programmu un restartējiet ierīci.

    Ievadiet dejumēt UEFI izvēlni un naviģējiet uz drošas sāknēšanas iestatījumu un ieslēdziet to. Skatiet ierīces ražotāja dokumentāciju, lai iegūtu konkrētu informāciju par šo procesu. Papildinformāciju skatiet rakstā Drošas sāknēšanas atkārtota iespējošana.

  6. Ja Windows startēšana joprojām neizdodas, vēlreiz ievadiet UEFI BIOS un izslēdziet drošo sāknēšanu.

  7. Startējiet sistēmu Windows.

  8. Koplietot DB, DBX saturu ar Microsoft.

    1. Administratora režīmā atveriet PowerShell.

    2. Db tveršana:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. DBX tveršana:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Koplietojiet failus, DBUpdateFw.bin un dbxUpdateFw.bin no 8.b un 8.c darbības.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×