Microsoft-veiledning for å bruke DBX-oppdateringen for sikker oppstart

Se hvilke produkter denne artikkelen gjelder for.

Sammendrag

29. juli 2020 publiserte Microsoft sikkerhetsveiledning 200011 som beskriver et nytt sikkerhetsproblem som er relatert til sikker oppstart. Enheter som stoler på Microsofts tredjeparts Unified Extensible Firmware Interface (UEFI) sertifiseringsinstans (CA) i konfigurasjonen for sikker oppstart, kan være utsatt for en angriper som har administrative rettigheter eller fysisk tilgang til enheten.

Denne artikkelen inneholder veiledning for å bruke den nyeste listen over opphevelse av DBX for sikker oppstart for å ugyldigisere de sårbare modulene. Microsoft vil oppdatere oppdateringen til Windows for å løse dette sikkerhetsproblemet i midten til slutten av 2021.

Binærfilene for sikker oppstartsoppdatering driftes på denne UEFI-nettsiden.

De innlagte filene er som følger:

  • UEFI-tilbakekallingslistefil for x86 (32-biters)

  • UEFI-tilbakekallingslistefil for x64 (64-biters)

  • UEFI-tilbakekallingslistefil for arm64

Når disse hasheene er lagt til i DBX for sikker oppstart på enheten, kan ikke disse programmene lenger lastes inn. 

Viktig!: Dette nettstedet er vert for filer for hver arkitektur. Hver vertsbeskyttede fil inneholder bare hash-ene til programmene som gjelder for den bestemte arkitekturen. Du må bruke en av disse filene på hver enhet, men pass på at du bruker filen som er relevant for arkitekturen. Selv om det er teknisk mulig å bruke en oppdatering for en annen arkitektur, vil enheten være ubeskyttet hvis du ikke installerer den aktuelle oppdateringen.

Forsiktig: Les den viktigste veiledningsartikkelen om dette sikkerhetsproblemet før du prøver noen av disse trinnene. Hvis du bruker DBX-oppdateringer på feil måte, kan det hindre enheten i å starte.

Du bør bare følge disse trinnene hvis følgende betingelser er oppfylt:

  • Du har bekreftet at enheten stoler på tredjeparts UEFI-sertifiseringsinstansen i konfigurasjonen for sikker oppstart. Hvis du vil gjøre dette, kjører du følgende linje i PowerShell fra en administrativ

    PowerShell-økt:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Du er ikke avhengig av å starte noen av oppstartsprogrammer som blokkeres av denne oppdateringen.

Mer informasjon

Bruke en DBX-oppdatering på Windows

Når du har lest advarslene og kontrollert at enheten er kompatibel, følger du disse trinnene for å oppdatere DBX for sikker oppstart:

  1. Last ned den aktuelle UEFI-opphevingslistefilen (Dbxupdate.bin) for plattformen fra denne UEFI-nettsiden.

  2. Du må dele Dbxupdate.bin-filen inn i de nødvendige komponentene for å kunne bruke dem ved hjelp av PowerShell-cmdleter. Dette gjør du slik:

    1. Last ned PowerShell-skriptet fra denne PowerShell-gallerinettsiden.

    2. Kjør følgende PowerShell-skript på Dbxupdate.bin-filen:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. Kontroller at kommandoen opprettet følgende filer:

      «Bruke» kommandoutdata for trinn 2c

      • Content.bin – oppdater innhold

      • Signature.p7 – signatur som godkjenner oppdateringsprosessen

  3. I en administrativ PowerShell-økt kjører du Set-SecureBootUefi-cmdleten for å bruke DBX-oppdateringen:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Forventet utdata


    Kommandoen Bruk trinn 3

  4. Start enheten på nytt for å fullføre installasjonsprosessen for oppdateringen.

Hvis du vil ha mer informasjon om cmdleten for konfigurasjon av sikker oppstart og hvordan du bruker den for DBX-oppdateringer, kan du se Set-Secure.

Bekrefte at oppdateringen var vellykket  

Når du har fullført trinnene i forrige del og startet enheten på nytt, følger du disse trinnene for å bekrefte at oppdateringen ble brukt. Når bekreftelsen er fullført, påvirkes ikke enheten lenger av GRUB-sikkerhetsproblemet.

  1. Last ned skriptene for DBX-oppdateringskontroll fra denne GitHub Gist-nettsiden.

  2. Pakk ut skriptene og binærfilene fra den komprimerte filen.

  3. Kjør følgende PowerShell-skript i mappen som inneholder de utvidede skriptene og binærfilene for å bekrefte DBX-oppdateringen:

    Check-Dbx.ps1 .\dbx-2021-April.bin' 

    Merk: Hvis en DBX-oppdatering som samsvarer med versjonene for juli 2020 eller oktober 2020 fra dette arkivet for tilbakekallingsliste, ble brukt, kjører du følgende aktuelle kommando

    i stedet:Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Kontroller at utdataene samsvarer med det forventede resultatet:

    «Bekrefte» kommandoutdata for trinn 4

Vanlige spørsmål

Spørsmål 1: Hva betyr feilmeldingen «Get-SecureBootUEFI: Cmdlets som ikke støttes på denne plattformen»?

A1: Denne feilmeldingen indikerer at FUNKSJONEN INGEN sikker oppstart er aktivert på datamaskinen. Derfor påvirkes ikke denne enheten av GRUB-sikkerhetsproblemet. Ingen ytterligere handling er nødvendig.

Q2: Hvordan konfigurerer jeg enheten til å klarere eller ikke klarere tredjeparts UEFI CA? 

A2: Vi anbefaler at du tar kontakt med OEM-leverandøren. 

For Microsoft Surface endrer du innstillingen for sikker oppstart til «Bare Microsoft», og deretter kjører du følgende PowerShell-kommando (resultatet skal være Usann): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Hvis du vil ha mer informasjon om hvordan du konfigurerer for Microsoft Surface, kan du se Behandle Surface UEFI-innstillinger – Surface | Microsoft Docs.

Q3: Påvirker dette problemet Azure IaaS Generation 1 og Generation 2 virtuelle maskiner? 

A3: Nei. Azures virtuelle gjestemaskiner Gen1 og Gen2 støtter ikke sikker oppstart-funksjonen. Derfor påvirkes de ikke av kjeden av klareringsangrep. 

Q4: Refererer ADV200011 og CVE-2020-0689 til det samme sikkerhetsproblemet som er relatert til sikker oppstart? 

A: Nei. Disse sikkerhetsveiledningene beskriver ulike sikkerhetsproblemer. ADV200011 refererer til et sikkerhetsproblem i GRUB (Linux-komponent) som kan føre til en sikker oppstartsbytte. «CVE-2020-0689» refererer til et sikkerhetsproblem som kan føre til omgåelse av sikkerhetsfunksjonen i sikker oppstart. 

Q5: Jeg kan ikke kjøre noen av PowerShell-skriptene. Hva bør jeg gjøre?

A: Kontroller kjøringspolicyen for PowerShell ved å kjøre kommandoen Get-ExecutionPolicy. Avhengig av utdataene må du kanskje oppdatere kjøringspolicyen:

Set-ExecutionPolicy (Microsoft.PowerShell.Security) – PowerShell | Microsoft Docs
 

Tredjepartsproduktene som er omtalt i denne artikkelen, produseres av firmaer som er uavhengige av Microsoft. Microsoft gir ingen garantier, underforstått eller på annen måte, når det gjelder ytelsen eller påliteligheten til disse produktene. 

Microsoft oppgir kontaktinformasjon fra tredjeparter for å hjelpe deg med å finne mer informasjon om dette emnet. Denne kontaktinformasjonen kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten til tredjeparts kontaktinformasjon. 

Gjelder for:

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×