Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Endre dato

Endre beskrivelse

20. mars 2024 kl.

  • Delen «Resultater og tilbakemelding» er lagt til

21. mars 2024 kl.

  • Oppdatert trinn 4 i delen «Trinn 2: Installer PCA2023-signert oppstartsbehandling»

22. mars 2024 kl.

  • Oppdaterte kontaktinformasjonen for e-post i delen Resultater og tilbakemelding

  • La til delen Aktiver valgfrie diagnosedata

Innledning

Denne artikkelen er et tillegg til følgende artikkel som vil bli oppdatert i april 2024:

  • KB5025885: Slik administrerer du windows boot manager-tilbakekallinger for endringer i sikker oppstart knyttet til CVE-2023-24932

Dette tillegget beskriver den oppdaterte trinnvise prosedyren for å distribuere nye begrensninger mot BlackLotus UEFI boot-kit sporet av CVE-2023-24932 og inkluderer testveiledning for miljøet ditt.

For å beskytte mot skadelig misbruk av sårbare oppstartsledere, må vi distribuere et nytt UEFI Secure Boot-signeringssertifikat til enhetens fastvare og tilbakekalle tillit til fastvaren til det gjeldende signeringssertifikatet. Hvis du gjør dette, blir alle eksisterende, sårbare oppstartsbehandlere ikke klarert av enheter som er aktivert for sikker oppstart. Denne veiledningen hjelper deg med denne prosessen.

De tre begrensningstrinnene som er beskrevet i denne veiledningen, er som følger:

  1. Oppdaterer DB: Et nytt PCA-sertifikat (PCA2023) legges til ID-en for sikker oppstart, som gjør det mulig for en enhet å starte medier signert av dette sertifikatet.

  2. Installasjon av oppstartsbehandling: Den eksisterende PCA2011 signerte oppstartsbehandlingen erstattes av den PCA2023 signerte oppstartsbehandlingen.Begge oppstartsansvarlige er inkludert i sikkerhetsoppdateringene for april 2024.

  3. DBX-tilbakekalling av PCA2011: En avslåingsoppføring legges til IDBX-en for sikker oppstart, slik at oppstartsbehandlere som er signert med PCA2011, ikke kan startes.

Obs!   Service stack-programvaren som bruker disse tre begrensningene, tillater ikke at begrensningene blir brukt i uavbrutt rekkefølge.

Gjelder dette for meg?

Denne veiledningen gjelder for alle enheter med sikker oppstart aktivert og alle eksisterende gjenopprettingsmedier for disse enhetene.

Hvis enheten kjører Windows Server 2012 eller Windows Server 2012 R2, må du lese delen Kjente problemer før du fortsetter.

Før du begynner

Aktiver valgfrie diagnosedata

Slå på innstillingen Send valgfrie diagnosedata ved å utføre følgende trinn:

  1. Gå til Start > Innstillinger > Personvern & sikkerhet > Diagnostikk & tilbakemelding i Windows 11.

  2. Slå på Send valgfrie diagnosedata.

    Tilbakemelding om diagnose &

Hvis du vil ha mer informasjon, kan du se Diagnostikk, tilbakemelding og personvern i Windows

MERK Kontroller at du har Internett-tilkobling i løpet av og en stund etter valideringen.

Utføre et testtrinn

Når du har installert Windows-oppdateringene for april 2024, og før du går gjennom trinnene for å melde deg på, må du kontrollere integriteten til systemet:

  1. VPN: Kontroller at VPN-tilgang til bedriftens ressurser og nettverk er funksjonell.

  2. Windows Hello: Logg på Windows-enheten ved hjelp av normal prosedyre (ansikt/fingeravtrykk/PIN-kode).

  3. Bitlocker: Systemet starter normalt på BitLocker-aktiverte systemer uten noen BitLocker-gjenopprettingsledetekst under oppstart.

  4. Enhetstilstandsattest: Kontroller at enheter som er avhengige av Attesting av enhetstilstand, bekrefter statusen sin riktig.

Kjente problemer

Bare for Windows Server 2012 og Windows Sever 2012 R2:

  • TPM 2.0-baserte systemer kan ikke distribuere begrensningene som ble utgitt i sikkerhetsoppdateringen for april 2024 på grunn av kjente kompatibilitetsproblemer med TPM-målinger. April 2024-oppdateringene vil blokkere begrensninger #2 (oppstartsbehandling) og #3 (DBX-oppdatering) på berørte systemer.

  • Microsoft er klar over problemet, og en oppdatering vil bli utgitt i fremtiden for å oppheve blokkeringen av TPM 2.0-baserte systemer.

  • Hvis du vil kontrollere TPM-versjonen, høyreklikker du Start, klikker Kjør og skriver deretter inn tpm.msc. Nederst til høyre i den midterste ruten under TPM Manufacturer Information skal du se en verdi for spesifikasjonsversjonen.

Innmeldingsvalideringstrinn

Resten av denne artikkelen tar for seg testingen av innmeldingsenheter til begrensningene. Begrensningene er ikke aktivert som standard. Hvis bedriften planlegger å aktivere disse begrensningene, kan du gå gjennom følgende valideringstrinn for å bekrefte enhetskompatibiliteten.

  1. Distribuer sikkerhetsoppdateringen for forhåndsversjonen av april 2024.

  2. Åpne en ledetekst for administrator og angi registernøkkelen til å utføre oppdateringen til DB ved å skrive inn følgende kommando, og trykk deretter ENTER:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Start enheten på nytt to ganger.

  4. Kontroller at DB er oppdatert ved å kontrollere at følgende kommando returnerer Sann. Kjør følgende PowerShell-kommando som administrator:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Åpne en ledetekst for administrator, og angi registernøkkelen for å laste ned og installere den PCA2023 signerte oppstartsbehandlingen:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Start enheten på nytt to ganger.

  3. Som administrator monterer du EFI-partisjonen for å gjøre den klar til inspeksjon:

    mountvol s: /s

  4. Valider at «s:\efi\microsoft\boot\bootmgfw.efi» er signert av PCA2023. For å gjøre dette, følger du disse trinnene:

    1. Klikk Start, skriv inn ledeteksten i søkeboksen , og klikk deretter Ledetekst.

    2. Skriv inn følgende kommando i ledetekstvinduet, og trykk deretter ENTER.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Høyreklikk filen C:\bootmgfw_2023.efi i Filbehandling, klikk Egenskaper, og velg deretter fanen Digitale signaturer.

    4. Bekreft at sertifikatkjeden inkluderer Windows UEFI 2023 CA i signaturlisten.

FORSIKTIG: Dette trinnet distribuerer DBX-tilbakekallingen til upålitelige, sårbare oppstartsbehandlere signert ved hjelp av Windows Production PCA2011. Enheter med denne tilbakekallingen vil ikke lenger starte fra eksisterende gjenopprettingsmedier og nettverksoppstartsservere (PXE/HTTP) som ikke har oppdaterte oppstartsbehandlingskomponenter.

Hvis enheten kommer inn i en tilstand som ikke kan startes, følger du trinnene i delen «Gjenopprettings- og gjenopprettingsprosedyrer» for å tilbakestille enheten til en tilstand for forhåndsopphevelses.

Når du har brukt DBX, følger du avsnittet «Gjenopprettings- og gjenopprettingsprosedyrer» hvis du vil returnere enheten til den forrige tilstanden for sikker oppstart.

Bruk DBX-begrensningen for å oppheve sertifikatet for Windows Production PCA2011 i sikker oppstart:

  1. Åpne en ledetekst for administrator, og angi registernøkkelen for å plassere tilbakekallingen for PCA2011 i DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Start enheten på nytt to ganger , og bekreft at den er startet på nytt.

  3. Kontroller at DBX-avbøtingen er tatt i bruk. Hvis du vil gjøre dette, kjører du følgende PowerShell-kommando som administrator og kontrollerer at kommandoen returnerer Sann:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Eller se etter følgende hendelse i Hendelsesliste:

    Hendelsesloggen

    System

    Hendelseskilde

    TPM-WMI

    Hendelses-ID

    1037

    Nivå

    Informasjon

    Meldingstekst for hendelse

    Oppdatering for sikker oppstart av Dbx for å tilbakekalle Microsoft Windows Production PCA 2011 brukes

  4. Utfør testpasselementene fra delen «Før du starter», og kontroller at alle systemer oppfører seg normalt.

Referanse for registernøkkel

Velg validering trinn 1Innmeldingsvalidering Trinn 2Velg validering trinn 3

Kommando

Formål

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Installerer DB-oppdateringen for å tillate PCA2023 signert oppstartsbehandling

Kommando

Formål

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Installerer PCA2023-signert bootmgr

Verdi som bare overholdes etter at 0x40 trinn er fullført

Kommando

Formål

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Installerer DBX-oppdateringen som tilbakekaller PCA2011

Verdi bare innfridd etter at begge 0x40 & 0x100 trinnene er fullført

Resultater og tilbakemelding

Send e-post til suvp@microsoft.com med testresultater, spørsmål og tilbakemelding.

Gjenopprettings- og gjenopprettingsprosedyrer

Når du utfører gjenopprettingsprosedyrer, kan du dele følgende data med Microsoft:

  • Skjermbilde av oppstartsfeilen som ble observert.

  • Trinn utført som førte til at enheten ikke kan startes opp.

  • Detaljer om enhetskonfigurasjonen.

Når du utfører en gjenopprettingsprosedyre, må du avbryte BitLocker før du starter prosedyren.

Hvis noe går galt under denne prosessen, og du ikke kan starte enheten, eller du må starte fra eksterne medier (for eksempel en minnepinne eller PXE-oppstart), kan du prøve følgende fremgangsmåter.

  1. Deaktiver sikker oppstart

    Denne fremgangsmåten er forskjellig mellom PC-produsenter og -modeller. Skriv inn PC-ens UEFI BIOS-meny, og naviger til innstillingen for sikker oppstart, og slå den av. Se i dokumentasjonen fra PC-produsenten for detaljer om denne prosessen. Hvis du vil ha mer informasjon, kan du se Deaktivere sikker oppstart.

  2. Fjern sikre oppstartsnøkler

    Hvis enheten støtter fjerning av sikker oppstart-nøkler eller tilbakestilling av sikker oppstart-nøkler til fabrikkstandarder, utfører du denne handlingen nå.  

    Enheten skal starte nå, men vær oppmerksom på at den er sårbar for skadelig programvare for oppstartspakker. Pass på å fullføre trinn 5 på slutten av denne gjenopprettingsprosessen for å aktivere sikker oppstart på nytt.

  3. Prøv å starte Windows fra systemdisken.

    1. Hvis BitLocker er aktivert og går inn i gjenoppretting, skriver du inn BitLocker-gjenopprettingsnøkkelen.

    2. Logge på Windows.

    3. Kjør følgende kommandoer fra administratorkommandoledeteksten for å gjenopprette oppstartsfilene i EFI-systemoppstartspartisjonen:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Kjøring av BCDBoot skal returnere Oppstartsfiler som er opprettet.

    5. Hvis BitLocker er aktivert, må du avbryte BitLocker.

    6. Start enheten på nytt.

  4. Hvis trinn 3 ikke gjenoppretter enheten, installerer du Windows på nytt.

    1. Start fra eksisterende gjenopprettingsmedier.

    2. Fortsett å installere Windows ved hjelp av gjenopprettingsmediet.

    3. Logge på Windows.

    4. Start på nytt for å bekrefte at enheten starter i Windows.

  5. Aktiver sikker oppstart på nytt, og start enheten på nytt.

    Skriv inn UEFI-menyen for devicce, og naviger til innstillingen for sikker oppstart, og slå den på. Se dokumentasjonen fra enhetsprodusenten for detaljer om denne prosessen. Hvis du vil ha mer informasjon, kan du se Aktivere sikker oppstart på nytt.

  6. Hvis Windows starter mislykkes, skriver du inn UEFI BIOS på nytt og slår av Sikker oppstart.

  7. Start Windows.

  8. Del innholdet i DB, DBX med Microsoft.

    1. Åpne PowerShell i administratormodus.

    2. Registrer datadatabasen:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Registrer DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Del filene DBUpdateFw.bin og dbxUpdateFw.bin generert i trinn 8b og 8c.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×