Veiledning for enterprise-distribusjon for CVE-2023-24932

Vi har delt distribusjonen inn i flere trinn som kan oppnås på en tidslinje som fungerer for organisasjonen. Du bør gjøre deg kjent med disse trinnene. Når du har en god forståelse av trinnene, bør du vurdere hvordan de vil fungere i miljøet ditt og klargjøre distribusjonsplaner som fungerer for virksomheten på tidslinjen.

Hvis du legger til det nye Windows UEFI CA 2023-sertifikatet og mistillit til Microsoft Windows Production PCA 2011-sertifikatet, kreves det samarbeid fra enhetens fastvare. Siden det er en stor kombinasjon av enhetsmaskinvare og fastvare, og Microsoft ikke kan teste alle kombinasjoner, oppfordrer vi deg til å teste representative enheter i miljøet ditt før du distribuerer bredt. Vi anbefaler at du tester minst én enhet av hver type som brukes i organisasjonen. Noen kjente enhetsproblemer som vil blokkere disse begrensningene, er dokumentert som en del av KB5025885: Slik administrerer du windows oppstartsbehandling-tilbakekallinger for endringer i sikker oppstart som er knyttet til CVE-2023-24932. Hvis du oppdager et problem med enhets fastvare som ikke er oppført i delen Kjente problemer , kan du samarbeide med OEM-leverandøren for å løse problemet.

Fordi dette dokumentet refererer til flere forskjellige sertifikater, presenteres de i tabellen nedenfor for enkel referanse og klarhet:

Gamle 2011 CAs	Nye CAer for 2023 (utløper i 2038)	Funksjon
Microsoft Corporation KEK CA 2011 (utløper i juli 2026)	Microsoft Corporation KEK CA 2023	Signerer DB- og DBX-oppdateringer
Microsoft Windows Production PCA 2011 (PCA2011) (utløper i oktober 2026)	Windows UEFI CA 2023 (PCA2023)	Signerer Windows bootloader
Microsoft Corporation UEFI CA 2011 (utløper i juli 2026)	Microsoft UEFI CA 2023 og Microsoft Option ROM UEFI CA 2023	Signerer tredjeparts bootloaders og alternativ ROMs

Det er fire begrensninger som må brukes for å beskytte mot angrepene som er beskrevet i CVE-2023-24932:

• Avløsning 1: Installer den oppdaterte sertifikatdefinisjonen (PCA2023) i DB

• Avløsning 2:Oppdater oppstartsbehandlingen på enheten

• Avløsning 3:Aktiver tilbakekallingen (PCA2011)

• Avløsning 4:Bruk SVN-oppdateringen på fastvaren

Disse fire begrensningene kan brukes manuelt på hver av testenhetene ved å følge veiledningen som er beskrevet i retningslinjene for begrensningsdistribusjon av KB5025885: Slik administrerer du tilbakekallinger fra Windows-oppstartsbehandling for endringer i sikker oppstart som er knyttet til CVE-2023-24932, eller ved å følge veiledningen i dette dokumentet. Alle fire begrensninger er avhengige av at fastvaren fungerer som den skal.

Å forstå følgende risikoer vil hjelpe deg under planleggingsprosessen.

Problemer med fastvare:Hver enhet har fastvare levert av produsenten av enheten. For distribusjonsoperasjonene som er beskrevet i dette dokumentet, må fastvaren kunne godta og behandle oppdateringer til DB for sikker oppstart (signaturdatabase) og DBX (forbudt signaturdatabase). I tillegg er fastvaren ansvarlig for å validere signaturen eller oppstartsprogrammene, inkludert Oppstartsbehandling for Windows. Fastvaren for enheten er programvare og, som enhver programvare, kan ha defekter, og derfor er det viktig å teste disse operasjonene før du distribuerer mye.

Microsoft har kontinuerlig testing av mange kombinasjoner av enheter/fastvare, fra og med enhetene i Microsoft-laboratorier og kontorer, og Microsoft arbeider med OPERATIVSYSTEMET-er for å teste enhetene sine. Nesten alle enhetene som er testet, har gått uten problemer. I noen tilfeller har vi sett problemer med fastvaren som ikke håndterer oppdateringene på riktig måte, og vi arbeider med OPERATIVSYSTEMET-ene for å løse problemene som vi er klar over.

Installer medier:Ved å bruke Mitigation 3 og Mitigation 4 som er beskrevet senere i dette dokumentet, kan ikke eksisterende Windows-installasjonsmedier lenger startes opp før mediet har en oppdatert oppstartsbehandling. Begrensningene som er beskrevet i dette dokumentet hindrer gamle, sårbare oppstartsledere i å kjøre ved å oppheve dem i fastvaren. Dette hindrer en angriper i å rulle tilbake systemoppstartsbehandlingen til en tidligere versjon og utnytte sårbarheter som finnes i eldre versjoner. Blokkering av disse sårbare oppstartsbehandlerne skal ikke ha noen innvirkning på det kjørende systemet. Det vil imidlertid hindre oppstartbare medier fra å starte til oppstartsbehandlerne på mediene oppdateres. Dette omfatter ISO-bilder, oppstartbare USB-stasjoner og nettverksoppstart (PxE og HTTP-oppstart).

• Begrensning 1: Installer de oppdaterte sertifikatdefinisjonene i DB
  
  Legger til det nye Windows UEFI CA 2023-sertifikatet i UEFI Secure Boot Signature Database (DB). Ved å legge til dette sertifikatet i databasen, vil fastvaren til enheten klarere Microsoft Windows-oppstartsprogrammer signert av dette sertifikatet.

• Begrensning 2: Oppdater oppstartsbehandlingen på enheten
  
  Bruker den nye Windows-oppstartsbehandlingen som er signert med det nye Windows UEFI CA 2023-sertifikatet.

Disse begrensningene er viktige for den langsiktige brukbarheten til Windows på disse enhetene. Fordi Microsoft Windows Production PCA 2011-sertifikatet i fastvaren utløper i oktober 2026, må enhetene ha det nye Windows UEFI CA 2023-sertifikatet i fastvaren før utløp, ellers vil enheten ikke lenger kunne motta Windows-oppdateringer, noe som setter den i en sårbar sikkerhetstilstand.

Hvis du vil ha informasjon om hvordan du bruker Mitigation 1 og Mitigation 2 i to separate trinn (hvis du vil være mer forsiktig, i hvert fall først) kan du se KB5025885: Slik administrerer du tilbakekallinger av Windows-oppstartsbehandling for endringer i sikker oppstart knyttet til CVE-2023-24932. Eller du kan bruke begge begrensningene ved å kjøre følgende enkelt registernøkkeloperasjon som administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f

Når begrensningene gjelder, fjernes bitene i AvailableUpdates-nøkkelen . Når du har angitt at den skal 0x140 og startes på nytt, endres verdien til 0x100 , og etter en ny omstart endres den til 0x000.

Begrensning av oppstartsbehandling vil ikke bli brukt før fastvaren indikerer at 2023-sertifikatreduksjonen er brukt. Disse operasjonene kan ikke utføres i feil rekkefølge.

Når begge begrensningene brukes, angis en registernøkkel som angir at systemet er "2023-kompatibelt", noe som betyr at mediene kan oppdateres og Mitigation 3 og Mitigation 4 kan brukes.

I de fleste tilfeller krever fullføring av reduksjon 1 og begrensning 2 minst to omstarter før begrensningene er fullstendig brukt. Hvis du legger til flere omstarter i miljøet, sikrer du at begrensningene brukes tidligere. Det kan imidlertid ikke være praktisk å kunstig injisere flere omstarter og kan være fornuftig å stole på de månedlige omstartene som oppstår som en del av bruk av sikkerhetsoppdateringene. Å gjøre dette betyr mindre forstyrrelser i miljøet ditt, men i fare for å ta lengre tid å bli sikker.

Når du har distribuert Mitigation 1 og Mitigation 2 til enhetene dine, bør du overvåke enhetene dine for å sikre at de har begrensningene i bruk og nå er «2023-kompatible». Overvåking kan gjøres ved å se etter følgende registernøkkel på systemet. Hvis nøkkelen finnes og er satt til 1, har systemet lagt til 2023-sertifikatet i variabelen Sikker oppstart av DB. Hvis nøkkelen finnes og er satt til 2, har systemet 2023-sertifikatet i DB og starter med den signerte oppstartsbehandlingen for 2023.

Registerundernøkkel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Nøkkelverdinavn	WindowsUEFICA2023Capable
Datatype	REG_DWORD
Data	0 – eller nøkkelen finnes ikke – «Windows UEFI CA 2023»-sertifikatet er ikke i DB 1 – «Windows UEFI CA 2023»-sertifikatet er i DB 2 – «Windows UEFI CA 2023»-sertifikatet er i DB og systemet starter fra den signerte oppstartsbehandlingen i 2023.

Etter at Begrensning 1 og Utbedring 2 er brukt på enhetene dine, kan du oppdatere eventuelle oppstartbare medier som du bruker i miljøet ditt. Oppdatering av det oppstartbare mediet betyr å bruke PCA2023 signert oppstartsbehandling på mediet. Dette inkluderer oppdatering av nettverksoppstartsavbildninger (for eksempel PxE og HTTP), ISO-bilder og USB-stasjoner. Ellers starter ikke enheter med begrensningene som brukes, fra oppstartsmedier som bruker den eldre Windows-oppstartsbehandlingen og 2011 CA. ​​​​

Verktøy og veiledning for hvordan du oppdaterer hver type oppstartbare medier, er tilgjengelige her:

Medietype	Ressurs
ISO, USB-stasjoner og så videre	KB5053484: Oppdatere windows oppstartsmedium for å bruke PCA2023 signert oppstartsbehandling
PXE-oppstartsserver	Dokumentasjon som skal leveres senere

Under medieoppdateringsprosessen bør du teste mediene med en enhet som har alle fire begrensningene på plass. De to siste begrensningene vil blokkere eldre, sårbare oppstartsledere. Å ha medier med gjeldende oppstartsledere på plass er en viktig del av å fullføre denne prosessen.

Oppstartbare medier inkluderer ikke enhetssystemstasjonen der Windows vanligvis befinner seg og starter fra automatisk. Oppstartbare medier brukes vanligvis til å starte opp en enhet som ikke har en oppstartbar versjon av Windows, og oppstartbare medier brukes ofte til å installere Windows på enheten.

Innstillingene for sikker oppstart av UEFI bestemmer hvilke oppstartsbehandlere som skal klarere, ved hjelp av sikker oppstart av DB (signaturdatabase) og DBX (forbudt signaturdatabase). DB inneholder hash-koder og nøkler for klarert programvare, og DBX-lagrene tilbakekalte, kompromitterte og ikke-klarerte hash-koder og nøkler for å hindre uautorisert eller skadelig programvare fra å kjøre under oppstartsprosessen.

Det er nyttig å tenke på de ulike tilstandene som en enhet kan være i, og hvilke oppstartbare medier som kan brukes med enheten i hver av disse tilstandene. I alle tilfeller bestemmer fastvaren om den skal stole på oppstartsbehandlingen den presenteres med, og når den kjører oppstartsbehandlingen, blir ikke DB og DBX lenger konsultert av fastvaren. Oppstartbare medier kan enten bruke en 2011 CA-signert oppstartsbehandling eller en 2023 CA-signert oppstartsbehandling, men ikke begge deler. Den neste delen beskriver hvilke tilstander enheten kan være i, og i noen tilfeller hvilke medier som kan startes fra enheten.

Disse enhetsscenarioene kan hjelpe når du planlegger å distribuere begrensningene på tvers av enhetene dine.

Nye enheter

Noen nye enheter begynte å sende med både 2011 og 2023 CAs forhåndsinstallert i enheten fastvare. Ikke alle produsenter har byttet til å ha begge, og kan fortsatt sende enheter med bare 2011 CA forhåndsinstallert.

• Enheter med både 2011- og 2023-sertifiseringsinstansen kan starte medier som inkluderer enten den signerte oppstartsbehandlingen for 2011 eller den signerte oppstartsbehandlingen for 2023.

• Enheter med bare 2011 CA installert, kan bare starte medier med den 2011 CA-signerte oppstartsbehandlingen. De fleste eldre medier inkluderer 2011 CA signert boot manger.

Enheter med begrensninger 1 og 2

Disse enhetene ble forhåndsinstallert med 2011 CA, og ved å bruke Mitigation 1 har du nå 2023 CA installert. Siden disse enhetene stoler på begge CAene, kan disse enhetene starte både media med 2011 CA og 2023 signert oppstartsbehandling.

Enheter med begrensninger 3 og 4

Disse enhetene har 2011 CA inkludert i DBX og vil ikke lenger klarere medier med en 2011 CA signert oppstartsbehandling. En enhet med denne konfigurasjonen starter bare medier med en 2023 CA-signert oppstartsbehandling.

Tilbakestilling av sikker oppstart

Hvis innstillingene for sikker oppstart er tilbakestilt til standardverdiene, kan det hende at eventuelle begrensninger som er brukt på DB (legge til 2023 CA) og DBX (som ikke gir 2011 CA) ikke lenger er på plass. Virkemåten avhenger av hvilke fastvarestandarder som er.

DBX

Hvis Begrensninger 3 og/eller 4 er brukt og DBX er fjernet, vil ikke 2011-sertifiseringsinstansen være på DBX-listen og vil fortsatt være klarert. Hvis dette skjer, vil det være nødvendig å bruke begrensningene 3 og/eller 4 på nytt.

DB

Hvis DB-en inneholdt 2023-sertifiseringsinstansen og den fjernes ved å tilbakestille innstillingene for sikker oppstart til standardinnstillingene, kan det hende at systemet ikke starter opp hvis enheten er avhengig av den 2023 CA-signerte oppstartsbehandlingen. Hvis enheten ikke starter opp, kan du bruke securebootrecovery.efi-verktøyet som er beskrevet i KB5025885: Slik administrerer du windows oppstartsbehandling-tilbakekallinger for endringer i sikker oppstart knyttet til CVE-2023-24932 for å gjenopprette systemet.

• Begrensning 3: Aktiver tilbakekallingen
  
  Untrusts the Microsoft Windows Production PCA 2011 certificate by adding it to the firmwares Secure Boot DBX. Dette vil føre til at fastvaren ikke stoler på alle 2011 CA-signerte oppstartsledere og eventuelle medier som er avhengige av den signerte oppstartsbehandlingen for 2011 CA.

• Begrensning 4: Bruk oppdateringen for sikkert versjonsnummer på fastvaren
  
  Bruker SVN-oppdateringen (Secure Version Number) på fastvarene Secure Boot DBX. Når en 2023-signert oppstartsbehandling begynner å kjøre, utfører den en selvkontroll ved å sammenligne SVN som er lagret i fastvaren med SVN innebygd i oppstartsbehandlingen. Hvis SVN for oppstartsbehandling er lavere enn fastvare-SVN, kjører ikke oppstartsbehandlingen. Denne funksjonen hindrer en angriper i å rulle tilbake oppstartsbehandlingen til en eldre, ikke oppdatert versjon. For fremtidige sikkerhetsoppdateringer til oppstartsbehandlingen økes SVN, og Begrensning 4 må brukes på nytt.

Viktig!   Avløsning 1 og Avløsning 2 må fullføres før avløsning 3 og utbedring 4 brukes.

Hvis du vil ha informasjon om hvordan du bruker Mitigation 3 og Mitigation 4 i to separate trinn (hvis du vil være mer forsiktig, i hvert fall først), kan du se KB5025885: Slik administrerer du tilbakekallinger av Windows-oppstartsbehandling for endringer i sikker oppstart knyttet til CVE-2023-24932 , eller du kan bruke begge begrensningene ved å kjøre følgende enkelt registernøkkeloperasjon som administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Bruk av begge begrensningene sammen krever bare én omstart for å fullføre operasjonen.

• Avløsning 3: Du kan kontrollere at tilbakekallingslisten ble brukt ved å se etter hendelses-ID: 1037 i hendelsesloggen, per KB5016061: Hendelser for variabel oppdatering av sikker oppstart og DBX.
  
  Du kan også kjøre følgende PowerShell-kommando som administrator og kontrollere at den returnerer Sann:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Avløsning 4: En metode for å bekrefte at SVN-innstillingen er brukt, finnes ikke ennå. Denne delen oppdateres når en løsning er tilgjengelig.