Uzņēmuma izvietošanas norādījumi CVE-2023-24932

Mēs esam sadalīuši izvietošanu vairākās darbībās, ko var panākt laika grafikā, kas ir paredzēts jūsu organizācijai. Jums jāiepazīstas ar šīm darbībām. Kad esat labi sapratis veicamās darbības, ir jāapsver, kā tās darbosies jūsu vidē un jāsagatavo izvietošanas plāni, kas jūsu uzņēmumā darbojas jūsu laika grafikā.

Pievienojot jauno Windows UEFI CA 2023 sertifikātu un neuzticams Microsoft Windows Production PCA 2011 sertifikāts, tas ir nepieciešams no ierīces aparātprogrammatūras. Tā kā pastāv liela ierīču aparatūras un aparātprogrammatūras kombinācija un Microsoft nevar pārbaudīt visas kombinācijas, iesakām pirms plašas izvietošanas testēt savas vides pārstāvju ierīces. Ieteicams testēt vismaz vienu katra veida ierīci, kas tiek izmantota jūsu organizācijā. Dažas zināmās ierīču problēmas, kas bloķēs šo risku mazināšanas KB5025885: Kā pārvaldīt Windows sāknēšanas pārvaldnieka drošās palaišanas izmaiņas, kas saistītas ar CVE-2023-24932, atsaukšanu. Ja konstatējat ierīces aparātprogrammatūras problēmu, kas nav norādīta sadaļā Zināmās problēmas, strādājiet ar OEM piegādātāju, lai novērstu šo problēmu.

Tā kā šis dokuments atsaucas uz vairākiem dažādiem sertifikātiem, tie ir norādīti tālāk esošajā tabulā ērtai atsaucei un viegli saprotamai norādei.

Vecā 2011. gada datu bAs	Jaunas 2023. gada datu kartes (derīgums beidzas 2038. gadā)	Funkcija
Microsoft Corporation KEK CA 2011 (derīgums beidzas 2026. gada jūlijā)	Microsoft Corporation KEK CA 2023	Paraksta DB un DBX atjauninājumus
Microsoft Windows Production PCA 2011 (PCA2011) (derīgums beidzas 2026. gada oktobrī)	Windows UEFI CA 2023 (PCA2023)	Paraksta Windows bootloader
Microsoft Corporation UEFI CA 2011 (derīgums beidzas 2026. gada jūlijā)	Microsoft UEFI CA 2023 un Microsoft Option ROM UEFI CA 2023	Paraksta trešo pušu bootloaders un opciju ROM

Lai nodrošinātu aizsardzību pret CVE-2023-24932 aprakstītajiem uzbrukumiem, ir jāveic četras risku mazināšanas darbības.

• 1. risku mazināšana. Atjauninātā sertifikāta (PCA2023) definīcijas instalēšana DB

• 2. risku mazināšana.Sāknēšanas pārvaldnieka atjaunināšana ierīcē

• 3. risku mazināšana.Iespējot atsaukšanas (PCA2011)

• 4. risku mazināšana.SVN atjauninājuma apply the SVN update to the firmware

Šīs četras risku mazināšanas darbības var manuāli lietot katrai testa ierīcei, saskaņā ar KB5025885 2023-24932 norādījumiem par risku mazināšanas izvietošanu: kā pārvaldīt Windows palaišanas pārvaldnieka atsaukšanas drošās palaišanas izmaiņas, kas saistītas ar CVE-2023-24932, vai arī, sekojot norādījumiem šajā dokumentā. Visi četri atvieglojumus izmanto aparātprogrammatūru, lai tā darbotos pareizi.

Tālāk norādīto risku izpratne palīdzēs jums plānošanas procesa laikā.

Aparātprogrammatūras problēmas:Katrai ierīcei ir aparātprogrammatūra, ko nodrošina ierīces ražotājs. Šajā dokumentā aprakstīto izvietošanas darbību gadījumā aparātprogrammatūrai ir jāspēj akceptēt un apstrādāt drošas sāknēšanas DB (paraksta datu bāzes) un DBX (Aizliegts paraksta datu bāzes) atjauninājumus. Turklāt aparātprogrammatūra atbild par paraksta vai sāknēšanas lietojumprogrammu validēšanu, tostarp Windows sāknēšanas pārvaldnieku. Ierīces aparātprogrammatūra ir programmatūra, un tāpat kā jebkurai programmatūrai var būt defekti, tāpēc ir svarīgi pārbaudīt šīs darbības pirms plašas izvietošanas.

Microsoft veic daudzu ierīču/aparātprogrammatūras kombināciju testēšanu, sākot ar Microsoft labs un biroja ierīcēm, un Microsoft sadarbojas ar OEMs, lai testētu savas ierīces. Gandrīz visas pārbaudītās ierīces ir izgājušas bez problēmas. Dažos gadījumos mēs redzējām problēmas ar aparātprogrammatūru, kas nepareizi apstrādā atjauninājumus, un mēs strādājam ar OEMs, lai novērstu problēmas, par kurām mēs esam informēti.

Multivides programmas instalēšana:Izmantojot šajā dokumentā aprakstīto 3. risku mazināšanas un 4. risku mazināšanas pasākumu, esošās Windows instalācijas datu nesējs vairs nebūs sāknēšanas iespēja, kamēr datu nesējā nebūs atjaunināts sāknējuma pārvaldnieks. Šajā dokumentā aprakstītie atvieglojumus neļauj palaist vecos, neaizsargātos sāknēšanas pārvaldniekus, tiem neuzticams aparātprogrammatūras izmantošana. Tādējādi uzbrukums neļauj atritina sistēmas sāknēšanas pārvaldnieku uz iepriekšējo versiju un ievainojamību izmantošanu vecākās versijās. Šo neaizsargāto sāknēšanas pārvaldnieku bloķēšanai nevajadzētu ietekmēt sistēmas darbību. Tomēr tā neļaus startēt sāknējamu datu nesēju, līdz tiek atjaunināti datu nesēja sāknēšanas pārvaldnieki. Tas attiecas arī uz ISO attēliem, sāknēšanas USB diskiem un tīkla sāknēšanu (PxE un HTTP boot).

• 1. risku mazināšana. Atjaunināto sertifikātu definīciju instalēšana DB
  
  Pievieno jauno Windows UEFI CA 2023 sertifikātu UEFI drošā sāknēšanas paraksta datu bāzei (DB). Pievienojot šo sertifikātu DB, ierīces aparātprogrammatūra uzticēsies Microsoft Windows sāknēšanas lietojumprogrammām, kas parakstītas ar šo sertifikātu.

• 2. risku mazināšana: sāknēšanas pārvaldnieka atjaunināšana ierīcē
  
  Lieto jauno Windows sāknēšanas pārvaldnieku, kas parakstīts ar jauno Windows UEFI CA 2023 sertifikātu.

Šīs risku mazināšanas iespējas šajās ierīcēs ir ļoti svarīgas, lai nodrošinātu Windows ilgtermiņa apkalpošanu. Tā kā aparātprogrammatūras Microsoft Windows Production PCA 2011 sertifikātam beigsies derīgums 2026. gada oktobrī, ierīcēs pirms derīguma termiņa beigām jābūt jaunajam Windows UEFI CA 2023 sertifikātam aparātprogrammatūrai, jo tā vairs nevarēs saņemt Windows atjauninājumus, ievietojot neaizsargātā drošības stāvoklī.

Informāciju par to, kā izmantot 1. risku mazināšanas un risku mazināšanas 2, kas veiktas divās atsevišķās darbībās (ja vēlaties būt uzmanīgāks, vismaz vienu reizi), skatiet rakstā KB5025885: Kā pārvaldīt Windows boot pārvaldnieka drošās palaišanas izmaiņas, kas saistītas ar CVE-2023-24932. Vai arī varat izmantot abus riskus, kā administrators palaižot šādu reģistra atslēgas darbību:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f

Tiklīdz tiek pielietotas risku mazināšanas prasības, taustiņa AvailableUpdates biti tiks notīrīti. Pēc iestatīšanas uz 0x140 restartēšanu vērtība tiks mainīta uz 0x100 un pēc tam pēc citas restartēšanas tā tiks mainīta uz 0x000.

Sāknēšanas pārvaldnieka atvieglojumu netiks lietota, kamēr aparātprogrammatūra nenoteicīs, ka sertifikāta 2023. gada samazināšana tiks sekmīgi lietota. Šīs darbības nevar veikt pasūtījuma veikšanai.

Ja tiek piemērots abi risku mazināšanas pasākumi, tiek iestatīta reģistra atslēga, kas norāda, ka sistēma ir "pieejama 2023. gadā", kas nozīmē, ka datu nesēju var atjaunināt un var izmantot riskus 3 un risku mazināšanas 4.

Lielākajā daļā gadījumu, lai pabeigtu 1. risku mazināšanas līdzekli un 2. risku, ir nepieciešamas vismaz divas restartēšanas, pirms tiek pilnībā piemēroti risku mazināšanas pasākumi. Pievienojot vides papildu restartēšanu, jūs ātrāk varat nodrošināt risku mazināšanas pasākumu. Tomēr tas var nebūt praktiski, lai veiktu papildu restartēšanu, un var jēgu paļauties uz ikmēneša restartēšanu, kas parādās drošības atjauninājumu lietošanas laikā. Tādējādi jūsu vidē ir mazāk traucējumu, tomēr ir riskēt, ka būs nepieciešams ilgāks laiks, lai iegūtu drošību.

Pēc 1. risku mazināšanas 1 un 2. riska mazināšanas pasākumu izvietošanas ierīcēs jums jāpārrauga savas ierīces, lai nodrošinātu, ka tām tiek piemēroti risku mazināšanas pasākumi un tagad tās ir pieejamas 2023. gada skatā. Pārraudzību var veikt, meklējot tālāk norādīto reģistra atslēgu sistēmā. Ja atslēga pastāv un iestatīta uz 1, sistēma sertifikātu 2023 ir pievienojusi mainīgajam Secure Boot DB. Ja atslēga pastāv un ir iestatīta uz 2, sistēmai DB ir 2023. gada sertifikāts, kas tiek startēts ar 2023. gada parakstītu sāknēšanas pārvaldnieku.

Reģistra apakšatslēga	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Atslēgas vērtības nosaukums	WindowsUEFICA2023Capable
Datu tips	REG_DWORD
Dati	0 vai atslēga nepastāv - "Windows UEFI CA 2023" sertifikāts nav DB 1. DB ir sertifikāts "Windows UEFI CA 2023" 2. Sertifikāts "Windows UEFI CA 2023" atrodas DB, un sistēma tiek startēta no 2023. gada parakstītā palaišanas pārvaldnieka.

Pēc tam, kad jūsu ierīcēs tiek lietotas 1. risku mazināšanas metodes un 2. riskus, varat atjaunināt jebkuru sāknējamu datu nesēju, ko izmantojat savā vidē. Atjauninot sāknēšanas datu nesēju, tiek PCA2023 ar parakstītu sāknēšanas pārvaldnieku datu nesējā. Tas ietver tīkla sāknēšanas attēlu (piemēram, PxE un HTTP) atjaunināšanu, ISO attēlus un USB diskus. Pretējā gadījumā ierīces, kam tiek lietotas risku mazināšanas programmas, netiks startētas no sāknējam datu nesēja, kas izmanto vecāko Windows sāknēšanas pārvaldnieku un 2011 CA. ​​​​

Rīki un norādījumi par to, kā atjaunināt katra tipa sāknējamo datu nesēju, ir pieejami šeit:

Multivides tips	Resurss
ISO, USB diski un tā tālāk	KB5053484: Windows sāknēšanas datu nesēja atjaunināšana, lai izmantotu PCA2023 sāknēšanas pārvaldnieku
PXE sāknēšanas serveris	Dokumentācija, kas sniedzama vēlāk

Multivides atjaunināšanas procesa laikā noteikti pārbaudiet multividi ar ierīci, kurā ir novietotas visas četras risku mazināšanas darbības. Pēdējie divi apdraudējumi bloķēs vecākas, neaizsargātas sāknēšanas pārvaldniekus. Datu nesēja izmantošana ar pašreizējiem sāknēšanas pārvaldniekiem ir svarīga šī procesa pabeigšana.

Sāknēšanas datu nesējā nav iekļauts ierīces sistēmas disks, kurā parasti atrodas Windows un kura startēšana notiek automātiski. Sāknēšanas datu nesējs parasti tiek izmantots, lai palaistu ierīci, kurā nav sāknēšanas Windows versijas, un sāknēšanas datu nesējs bieži tiek izmantots, lai ierīcē instalētu sistēmu Windows.

UEFI drošās sāknēšanas iestatījumi nosaka, kuriem sāknēšanas pārvaldniekiem uzticēties, izmantojot secure boot DB (paraksta datu bāzi) un DBX (Aizliegts paraksta datu bāzi). DB satur uzticamas programmatūras jaukšanu un atslēgas, un DBX saglabā atsauktas, uzkārtas un neuzticamas jaukšanas darbības un atslēgas, lai izvairītos no nesankcionētas vai ļaunprātīgas programmatūras palaišanas sāknēšanas procesa laikā.

Ir noderīgi uzskatīt, ka pastāv dažādi veidi, kādā ierīce var būt ierīcē un kādu sāknējamo datu nesēju var izmantot ar šo ierīci šādos gadījumos. Visos gadījumos aparātprogrammatūra nosaka, vai tai vajadzētu uzticēties tā datora pārvaldniekam, ar ko tiek prezentējis, un pēc palaišanas sāknēšanas pārvaldniekā DB un DBX vairs nav ar aparātprogrammatūru. Sāknējamā datu nesējā var izmantot 2011. gada CA parakstītu palaišanas pārvaldnieku vai 2023 CA parakstītu palaišanas pārvaldnieku, bet ne abus. Nākamajā sadaļā aprakstīts, kas norāda, ka ierīcē var būt, un dažos gadījumos, kādu datu nesēju var palaist no ierīces.

Šādi ierīces scenāriji var palīdzēt plānot risku mazināšanas pasākumu izvietošanu visās jūsu ierīcēs.

Jaunas ierīces

Dažas jaunas ierīces sāka piegādi ar 2011. un 2023. gada datu aparatūru, kas sākotnēji instalēta ierīces aparātprogrammatūra. Ne visi ražotāji ir pārgāuši izmantot abas ierīces, kā arī tās joprojām var būt nosūtīšanas ierīces, kurās sākotnēji instalēta tikai 2011. gada CA.

• Ierīces, kurās ir gan 2011., gan 2023. gada ca datu nesējs, var startēt datu nesēju, kurā iekļauts vai nu 2011. gada CA parakstīts palaišanas pārvaldnieks, vai 2023 CA parakstīts palaišanas pārvaldnieks.

• Ierīces, kurās instalēta tikai 2011. gada CA versija, var izmantot tikai sāknēšanas datu nesēju ar 2011. gada CA parakstītu palaišanas pārvaldnieku. Lielākā daļa vecāko datu nesēju ietver 2011. gada ca ar parakstu parakstītu sāknēšanasgeri.

Ierīces ar 1. un 2. risku;

Šīs ierīces bija sākotnēji instalētas kopā ar 2011. gada ca, un, lietojot risku mazināšanas 1, tagad ir instalēta 2023. gada CA. Tā kā šīs ierīces uzticas abām CAS, šīs ierīces var startēt gan datu nesēju, gan 2011. gada CA, gan 2023. gada parakstīto palaišanas pārvaldnieku.

Devices with Mitigations 3 and 4

Šīm ierīcēm dbX ir iekļauta 2011. gada CA iespēja, un šīs ierīces vairs neuzticēsies multivides failiem, izmantojot 2011. gada CA parakstītu palaišanas pārvaldnieku. Ierīce ar šo konfigurāciju sāks datu nesēju tikai ar 2023 CA parakstītu palaišanas pārvaldnieku.

Droša sāknēšanas atiestatīšana

Ja drošās sāknēšanas iestatījumi ir atiestatīti uz noklusējuma vērtībām, visi db (pievienojot 2023 CA) un DBX (neuzticami 2011 CA) veiktie atvieglojumus, iespējams, vairs nebūs spēkā. Darbība būs atkarīga no aparātprogrammatūras noklusējuma iestatījumiem.

DBX

Ja ir lietotas 3. un/vai 4. risku mazināšanas darbības un DBX tiek notīrīts, 2011. gada CA nav DBX sarakstā un joprojām būs uzticams. Ja tā notiek, būs nepieciešams atkārtoti izmantot 3. un/vai 4. risku.

DB

Ja DB bija ietverta 2023 CA un tā tiek noņemta, atiestatot drošās sāknēšanas iestatījumus uz noklusējuma iestatījumiem, sistēma var netiek palaista, ja ierīce izmanto 2023. gada CA parakstītu sāknēšanas pārvaldnieku. Ja ierīce netiek palaista, izmantojiet rīku securebootrecovery.efi, kas aprakstīts programmā KB5025885: Kā pārvaldīt Windows boot pārvaldnieka atsaukšanas drošās palaišanas izmaiņas, kas saistītas ar CVE-2023-24932 , lai atkoptu sistēmu.

• 
  
  . Neuzticas Microsoft Windows Production PCA 2011 sertifikātam, to pievienojot aparātprogrammatūrai Secure Boot DBX. Tas izraisīs aparātprogrammatūru, kas neuzticēsies visiem 2011. gada CA ar parakstu parakstītiem sāknēšanas pārvaldniekiem un jebkādiem multivides objektiem, kas izmanto 2011. gada CA parakstītu sākndarbības pārvaldnieku.

• 4. risku mazināšana. Drošas versijas numura atjauninājuma pielietojiet aparātprogrammatūru
  
  Lieto drošas versijas numura (Secure Version Number — SVN) atjauninājumu aparātprogrammatūras Secure Boot DBX. Kad sāk darboties 2023 parakstīts sāknēšanas pārvaldnieks, tas veic patstāvīgu pārbaudi, salīdzinot aparātprogrammatūras svn ar sāknēšanas pārvaldniekā iebūvēto SVN. Ja sāknēšanas pārvaldnieks SVN ir zemāks nekā aparātprogrammatūras SVN, sāknēšanas pārvaldnieks nevar darboties. Šis līdzeklis neļauj uzbrucējam atritt sāknēšanas pārvaldnieku uz vecāku, neatjauninatu versiju. Turpmākiem sāknēšanas pārvaldnieka drošības atjauninājumiem tiks palielināts SVN, un tiks atkārtoti palielināts risku mazināšanas 4.

Svarīgi 1. risku mazināšana un 2. risku mazināšana ir jāpabeidz, pirms tiek lietots 3. risku mazināšanas 3 un 4. risku mazināšana.

Informāciju par to, kā izmantot 3. risku mazināšanas un risku mazināšanas 4. gadījumā, ja vēlaties būt uzmanīgāks (vismaz vienreiz), skatiet rakstā KB5025885: Kā pārvaldīt Windows boot pārvaldnieka drošās palaišanas izmaiņas, kas saistītas ar CVE-2023-24932 Vai arī varat lietot abus riskus, kā administrators palaižot šo viena reģistra atslēgas darbību:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Abu risku mazināšanas pasākumu koplietošanai būs nepieciešama tikai viena restartēšana, lai pabeigtu darbību.

• 3. risku mazināšana. Varat pārbaudīt, vai atsaukšanas saraksts tika sekmīgi lietots, notikuma žurnālā meklējot Notikuma ID: 1037 katrai atsaukšanas KB5016061: Droša sāknēšanas DB un DBX mainīgā atjaunināšanas notikumi.
  
  Varat arī palaist tālāk norādīto PowerShell komandu kā administrators un pārliecināties, vai tā atgriež vērtību True:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• 4. risku mazināšana. Metode, lai pārliecinātos, vai svn iestatījums jau netiek lietots, vēl nepastāv. Šī sadaļa tiks atjaunināta, tiklīdz būs pieejams risinājums.