Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

BELANGRIJK U moet de Windows-beveiligingsupdate die is uitgebracht op of na 9 april 2024 toepassen als onderdeel van uw normale maandelijkse updateproces.

Dit artikel is van toepassing op organisaties die moeten beginnen met het evalueren van risicobeperkingen voor een openbaar openbaar gemaakte Secure Boot-bypass die wordt gebruikt door de BlackLotus UEFI-bootkit. Daarnaast kunt u een proactieve beveiligingsstandpunt aannemen of beginnen met het voorbereiden van de implementatie. Houd er rekening mee dat deze malware fysieke of administratieve toegang tot het apparaat vereist.

VOORZICHTIGHEID Nadat de beperking voor dit probleem is ingeschakeld op een apparaat, wat betekent dat de risicobeperkingen zijn toegepast, kan deze niet worden teruggedraaid als u Beveiligd opstarten op dat apparaat blijft gebruiken. Zelfs als u de schijf opnieuw formatteert, worden de intrekkingen niet verwijderd als deze al zijn toegepast. Houd rekening met alle mogelijke gevolgen en test grondig voordat u de intrekkingen die in dit artikel worden beschreven, toepast op uw apparaat.

In dit artikel

Samenvatting

In dit artikel wordt de beveiliging beschreven tegen de openbaar bekendgemaakte beveiligingsfunctie voor beveiligd opstarten die gebruikmaakt van de BlackLotus UEFI-bootkit die wordt bijgehouden door CVE-2023-24932, hoe u de risicobeperkingen inschakelt en richtlijnen voor opstartbare media. Een bootkit is een schadelijk programma dat is ontworpen om zo vroeg mogelijk in een opstartvolgorde van een apparaat te laden om het starten van het besturingssysteem te beheren.

Beveiligd opstarten wordt aanbevolen door Microsoft om een veilig en vertrouwd pad te maken van de Unified Extensible Firmware Interface (UEFI) via de Windows-kernel vertrouwde opstartvolgorde. Beveiligd opstarten helpt bij het voorkomen van bootkit-malware in de opstartvolgorde. Als u Beveiligd opstarten uitschakelt, loopt een apparaat het risico te worden geïnfecteerd met bootkit-malware. Voor het oplossen van de secure boot-bypass beschreven in CVE-2023-24932 moeten opstartmanagers worden ingeleid. Dit kan problemen veroorzaken voor sommige opstartconfiguraties van apparaten.

Risicobeperkingen voor de secure boot-bypass zoals beschreven in CVE-2023-24932 zijn opgenomen in de Windows-beveiligingsupdates die zijn uitgebracht op of na 9 april 2024. Deze oplossingen zijn echter niet standaard ingeschakeld. Met deze updates wordt u aangeraden deze wijzigingen binnen uw omgeving te evalueren. Het volledige schema wordt beschreven in de sectie Tijdsinstellingen van updates .

Voordat u deze oplossingen inschakelt, moet u de details in dit artikel grondig doornemen en bepalen of u de risicobeperkingen moet inschakelen of moet wachten op een toekomstige update van Microsoft. Als u ervoor kiest om de risicobeperkingen in te schakelen, moet u controleren of uw apparaten zijn bijgewerkt en gereed zijn en de risico's begrijpen die in dit artikel worden beschreven. 

Actie ondernemen 

Voor deze release moet u de volgende stappen volgen:

Stap 1: Installeer de Windows-beveiligingsupdate die is uitgebracht op of na 9 april 2024 op alle ondersteunde versies.

Stap 2: Evalueer de wijzigingen en hoe deze van invloed zijn op uw omgeving.

Stap 3: de wijzigingen afdwingen.

Bereik van impact

Alle Windows-apparaten waarop beveiligd opstarten is ingeschakeld, worden beïnvloed door de BlackLotus-bootkit. Er zijn oplossingen beschikbaar voor ondersteunde versies van Windows. Zie CVE-2023-24932 voor de volledige lijst.

Inzicht in de risico's

Malwarerisico: De BlackLotus UEFI-bootkit-exploit die in dit artikel wordt beschreven, is alleen mogelijk als een aanvaller beheerdersbevoegdheden op een apparaat krijgt of fysieke toegang tot het apparaat krijgt. Dit kan worden gedaan door fysiek of extern toegang te krijgen tot het apparaat, bijvoorbeeld door een hypervisor te gebruiken voor toegang tot VM's/cloud. Een aanvaller gebruikt dit beveiligingsprobleem meestal om een apparaat te blijven beheren dat ze al kunnen openen en mogelijk manipuleren. Oplossingen in dit artikel zijn preventief en niet corrigerend. Als uw apparaat al is gecompromitteerd, neemt u contact op met uw beveiligingsprovider voor hulp.

Herstelmedia: Als u een probleem ondervindt met het apparaat nadat u de risicobeperkingen hebt toegepast en het apparaat niet meer kan worden opgestart, kunt u uw apparaat mogelijk niet starten of herstellen vanaf bestaande media. Herstel- of installatiemedia moeten worden bijgewerkt, zodat deze werken met een apparaat waarop de risicobeperkingen zijn toegepast.

Firmwareproblemen: Wanneer Windows de risicobeperkingen toepast die in dit artikel worden beschreven, moet het afhankelijk zijn van de UEFI-firmware van het apparaat om de waarden voor beveiligd opstarten bij te werken (de updates worden toegepast op de databasesleutel (DB) en de verboden handtekeningsleutel (DBX)). In sommige gevallen hebben we ervaring met apparaten waarvoor de updates mislukken. We werken samen met apparaatfabrikanten om deze belangrijke updates op zoveel mogelijk apparaten te testen.

OPMERKING Test deze oplossingen eerst op één apparaat per apparaatklasse in uw omgeving om mogelijke firmwareproblemen te detecteren. Implementeer niet breed voordat u bevestigt dat alle apparaatklassen in uw omgeving zijn geëvalueerd.

BitLocker-herstel: Sommige apparaten gaan mogelijk over naar BitLocker-herstel. Zorg ervoor dat u een kopie van uw BitLocker-herstelsleutel bewaart voordat u de oplossingen inschakelt.

Bekende problemen

Firmwareproblemen:Niet alle apparaatfirmware werkt de Secure Boot DB of DBX bij. In de gevallen waarvan we op de hoogte zijn, hebben we het probleem gemeld aan de fabrikant van het apparaat. Zie KB5016061: Secure Boot DB- en DBX-variabele updategebeurtenissen voor meer informatie over logboekgebeurtenissen. Neem contact op met de fabrikant van het apparaat voor firmware-updates. Als het apparaat niet wordt ondersteund, raadt Microsoft aan het apparaat te upgraden.

Bekende firmwareproblemen:

OPMERKING De volgende bekende problemen hebben geen invloed op en verhinderen de installatie van de updates van 9 april 2024 niet. In de meeste gevallen zijn de oplossingen niet van toepassing wanneer er bekende problemen zijn. Bekijk de details van elk bekend probleem.

  • HP: HP heeft een probleem vastgesteld met de installatie van risicobeperking op HP Z4G4 Workstation-pc's en zal in de komende weken een bijgewerkte Z4G4 UEFI-firmware (BIOS) uitbrengen. Om ervoor te zorgen dat de risicobeperking succesvol wordt geïnstalleerd, wordt deze geblokkeerd op desktopwerkstations totdat de update beschikbaar is. Klanten moeten altijd bijwerken naar het meest recente systeem-BIOS voordat ze de beperking toepassen.

  • HP-apparaten met Sure Start Security: Deze apparaten hebben de nieuwste firmware-updates van HP nodig om de risicobeperkingen te installeren. De oplossingen worden geblokkeerd totdat de firmware is bijgewerkt. Installeer de nieuwste firmware-update vanaf de ondersteuningspagina van HPs - Officiële HP stuurprogramma's en software downloaden | HP-ondersteuning.

  • Arm64-apparaten: De risicobeperkingen worden geblokkeerd vanwege bekende UEFI-firmwareproblemen met op Qualcomm gebaseerde apparaten. Microsoft werkt samen met Qualcomm om dit probleem op te lossen. Qualcomm biedt de oplossing aan apparaatfabrikanten. Neem contact op met de fabrikant van uw apparaat om te bepalen of er een oplossing voor dit probleem beschikbaar is. Microsoft voegt detectie toe zodat de risicobeperkingen kunnen worden toegepast op apparaten wanneer de vaste firmware wordt gedetecteerd. Als uw Arm64-apparaat geen Qualcomm-firmware heeft, configureert u de volgende registersleutel om de risicobeperkingen in te schakelen.

    Registersubsleutel

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Naam van sleutelwaarde

    SkipDeviceCheck

    Gegevenstype

    REG_DWORD

    Gegevens

    1

  • Apple:Mac-computers met de Apple T2-beveiligingschip ondersteunen Beveiligd opstarten. Het bijwerken van UEFI-beveiligingsvariabelen is echter alleen beschikbaar als onderdeel van macOS-updates. Boot Camp-gebruikers zien naar verwachting een gebeurtenislogboekvermelding van gebeurtenis-id 1795 in Windows met betrekking tot deze variabelen. Zie KB5016061: Secure Boot DB- en DBX-variabele updategebeurtenissen voor meer informatie over deze logboekvermelding.

  • Vmware:In VMware-virtualisatieomgevingen kan een VM die gebruikmaakt van een x86-processor waarvoor Beveiligd opstarten is ingeschakeld, niet opstarten na het toepassen van de risicobeperkingen. Microsoft coördineert met VMware om dit probleem op te lossen.

  • TPM 2.0-systemen:  Deze systemen waarop Windows Server 2012 en Windows Server 2012 R2 worden uitgevoerd, kunnen de risicobeperkingen die zijn uitgebracht in de beveiligingsupdate van 9 april 2024, niet implementeren vanwege bekende compatibiliteitsproblemen met TPM-metingen. De beveiligingsupdates van 9 april 2024 blokkeren risicobeperkingen #2 (opstartbeheer) en #3 (DBX-update) op betrokken systemen.

    Microsoft is op de hoogte van het probleem en er wordt in de toekomst een update uitgebracht om TPM 2.0-systemen te deblokkeren.

    Als u uw TPM-versie wilt controleren, klikt u met de rechtermuisknop op Start, klikt u op Uitvoeren en typt u tpm.msc. Rechtsonder in het middelste deelvenster onder TPM-fabrikantinformatie ziet u een waarde voor Specificatieversie.

  • Symantec Endpoint Encryption: Oplossingen voor beveiligd opstarten kunnen niet worden toegepast op systemen die Symantec Endpoint Encryption hebben geïnstalleerd. Microsoft en Symantec zijn op de hoogte van het probleem en worden in de toekomstige update opgelost.

Richtlijnen voor deze release

Voer voor deze release de volgende twee stappen uit.

Stap 1: De Windows-beveiligingsupdate

installeren Installeer de maandelijkse Beveiligingsupdate voor Windows die is uitgebracht op of na 9 april 2024 op ondersteunde Windows-apparaten. Deze updates bevatten oplossingen voor CVE-2023-24932, maar zijn niet standaard ingeschakeld. Alle Windows-apparaten moeten deze stap voltooien, ongeacht of u van plan bent om de risicobeperkingen te implementeren.

Stap 2: de wijzigingen

evalueren We raden u aan het volgende te doen:

  • Inzicht in de eerste twee oplossingen die het bijwerken van de Secure Boot-database en het bijwerken van opstartbeheer mogelijk maken.

  • Bekijk het bijgewerkte schema.

  • Begin met het testen van de eerste twee risicobeperkingen voor representatieve apparaten uit uw omgeving.

  • Begin met de planning voor de implementatiefase vanaf 9 juli 2024.

Stap 3: de wijzigingen afdwingen

We raden u aan om inzicht te krijgen in de risico's die worden beschreven in de sectie Inzicht in de risico's.

  • Inzicht in de impact op herstel en andere opstartbare media.

  • Begin met het testen van de derde beperking waardoor het ondertekeningscertificaat dat wordt gebruikt voor alle vorige Windows-opstartmanagers, wordt ontkoppeld.

Richtlijnen voor implementatie van risicobeperking

Voordat u deze stappen voor het toepassen van de risicobeperkingen uitvoert, installeert u de maandelijkse onderhoudsupdate van Windows die is uitgebracht op of na 9 april 2024 op ondersteunde Windows-apparaten. Deze update bevat oplossingen voor CVE-2023-24932, maar deze zijn niet standaard ingeschakeld. Alle Windows-apparaten moeten deze stap voltooien, ongeacht uw plan om de risicobeperkingen in te schakelen.

OPMERKING Als u BitLocker gebruikt, moet u ervoor zorgen dat er een back-up is gemaakt van uw BitLocker-herstelsleutel. U kunt de volgende opdracht uitvoeren vanaf een beheerdersopdrachtprompt en het numerieke wachtwoord van 48 cijfers noteren:

manage-bde -protectors -get %systemdrive%

Voer de volgende stappen uit om de update te implementeren en de intrekkingen toe te passen:

  1. Installeer de bijgewerkte certificaatdefinities in de database.

    In deze stap wordt het certificaat 'Windows UEFI CA 2023' toegevoegd aan de UEFI 'Secure Boot Signature Database' (DB). Door dit certificaat toe te voegen aan de database, vertrouwt de firmware van het apparaat op opstarttoepassingen die door dit certificaat zijn ondertekend.

    1. Open een administrator-opdrachtprompt en stel de regkey in om de update uit te voeren naar DB door de volgende opdracht in te voeren:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      BELANGRIJK Start het apparaat twee keer opnieuw op om de installatie van de update te voltooien voordat u verdergaat met stap 2 en 3.

    2. Voer de volgende PowerShell-opdracht uit als beheerder en controleer of de database is bijgewerkt. Met deze opdracht moet True worden geretourneerd.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Werk Opstartbeheer op uw apparaat bij.

    Met deze stap wordt een opstartbeheertoepassing op uw apparaat geïnstalleerd die is ondertekend met het certificaat ''Windows UEFI CA 2023'.

    1. Open een administrator-opdrachtprompt en stel de regkey in om het door Windows UEFI CA 2023 ondertekende opstartbeheer te installeren:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Start het apparaat twee keer opnieuw op.

    3. Koppel als beheerder de EFI-partitie om deze klaar te maken voor inspectie:

      mountvol s: /s

    4. Controleer of het bestand 's:\efi\microsoft\boot\bootmgfw.efi' is ondertekend door het certificaat 'Windows UEFI CA 2023'. Ga hiervoor als volgt te werk:

      1. Klik op Start, typ opdrachtprompt in het vak Search en klik vervolgens op Opdrachtprompt.

      2. Typ in het opdrachtpromptvenster de volgende opdracht en druk op Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Klik in Bestandsbeheer met de rechtermuisknop op het bestand C:\bootmgfw_2023.efi, klik op Eigenschappen en selecteer vervolgens het tabblad Digitale handtekeningen .

      4. Controleer in de lijst Handtekening of de certificaatketen Windows UEFI CA 2023 bevat. De certificaatketen moet overeenkomen met de volgende schermopname:

        Certificaten

  3. Schakel de intrekking in.

    De UEFI Forbidden List (DBX) wordt gebruikt om het laden van niet-vertrouwde UEFI-modules te blokkeren. In deze stap wordt bij het bijwerken van de DBX het certificaat 'Windows Production CA 2011' toegevoegd aan de DBX. Hierdoor worden alle opstartmanagers die door dit certificaat zijn ondertekend, niet meer vertrouwd.

    WAARSCHUWING: Voordat u de derde beperking toepast, maakt u een herstel flashstation dat kan worden gebruikt om het systeem op te starten. Zie de sectie Windows-installatiemedia bijwerken voor informatie hierover.

    Als uw systeem een niet-opstartbare status krijgt, volgt u de stappen in de sectie Herstelprocedure om het apparaat terug te zetten naar een status van vóór intrekking.

    1. Voeg het certificaat 'Windows Production PCA 2011' toe aan de Secure Boot UEFI Forbidden List (DBX). Hiervoor opent u een opdrachtpromptvenster als beheerder, typt u de volgende opdracht en drukt u op Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Start het apparaat twee keer opnieuw op en controleer of het volledig opnieuw is opgestart.

    3. Controleer of de installatie- en intrekkingslijst is toegepast door te zoeken naar gebeurtenis 1037 in het gebeurtenislogboek.

      Zie voor meer informatie over gebeurtenis 1037 KB5016061: Updategebeurtenissen van Secure Boot DB en DBX-variabele. Of voer de volgende PowerShell-opdracht uit als administrator en zorg ervoor dat deze Waar retourneert:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Opstartbare media

Het is belangrijk om opstartbare media bij te werken zodra de implementatiefase in uw omgeving begint. Richtlijnen en hulpprogramma's voor het bijwerken van media worden tijdig voor de implementatiefase verstrekt. De implementatiefase begint op 9 juli 2024.

Voorbeelden van opstartbare media en herstelmedia die worden beïnvloed door dit probleem:

  • Opstartbare media die zijn gemaakt met behulp van Een herstelstation maken.

  • Back-ups van Windows die zijn geïnstalleerd voordat de risicobeperkingen worden toegepast. Deze zijn niet direct bruikbaar om uw Windows-installatie te herstellen nadat de intrekkingen op uw apparaat zijn ingeschakeld.

  • Aangepaste cd/dvd of herstelpartitie die is gemaakt door u, de fabrikant van uw apparaat (OEM) of ondernemingen.

  • ISO (via downloaden of met behulp van de ADK).

  • Netwerk opstarten:

    • Windows Deployment Services.

    • Preboot Execution Environment-opstartservices (PXE-opstartservices).

    • Microsoft Deployment Toolkit.

    • HTTPS Opstarten.

  • OEM-installatie- en herstelmedia.

  • Officiële Windows-media van Microsoft, waaronder:

  • Windows PE.

  • Windows geïnstalleerd op fysieke hardware of virtuele machines.

  • Windows-validatie besturingssysteem.

Als u opstartbare media gebruikt met een persoonlijk Windows-apparaat, moet u mogelijk een of meer van de volgende handelingen uitvoeren voordat u intrekkingen toepast:

  • Als u persoonlijke back-upsoftware gebruikt om de inhoud van uw apparaat op te slaan, moet u een volledige back-up uitvoeren nadat u de oplossingen van 9 april 2024 hebt toegepast.

  • Als u een opstartbare schijfinstallatiekopie (ISO), een cd-rom of dvd-media gebruikt, werkt u de media bij door de instructies te volgen die op een later tijdstip moeten worden verstrekt.

Enterprise

  • Zie uitgebreide richtlijnen en scripts voor Windows-installatiemedia bijwerken met dynamische update.

  • Als u opstart- of herstelscenario's voor netwerken in uw omgeving ondersteunt, moet u alle media en installatiekopieën bijwerken. Dit kan de volgende opstart- of herstelopties zijn:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Windows Deployment Services.

    • PxE Boot.

    • HTTPS-opstart- en andere scenario's voor het opstarten van het netwerk.

  • Een manier om dit te doen, is door DISM offline pakketinstallatie te gebruiken op de installatiekopieën die door deze scenario's worden geleverd. Dit omvat het bijwerken van de opstartbestanden die door deze services worden aangeboden.

  • Als u back-upsoftware gebruikt om de inhoud van uw Windows-installatie op te slaan in een herstelinstallatiekopieën, moet u een volledige back-up uitvoeren nadat u de oplossingen van 9 april 2024 hebt toegepast. Zorg ervoor dat u een back-up van de EFI-schijfpartitie naast de Windows-besturingssysteempartitie. Identificeer duidelijk back-ups die zijn gemaakt voordat u de risicobeperkingen van 9 april 2024 toepast en de back-ups die zijn gemaakt na het toepassen van de risicobeperkingen.

OEM's voor Windows-pc's

Windows-installatiemedia bijwerken

OPMERKING Wanneer u een opstartbaar flashstation maakt, moet u het station formatteren met behulp van het FAT32-bestandssysteem.

U kunt de toepassing Herstelstation maken gebruiken door deze stappen uit te voeren. Dit medium kan worden gebruikt om een apparaat opnieuw te installeren als er een groot probleem is, zoals een hardwarefout, kunt u het herstelstation gebruiken om Windows opnieuw te installeren.

  1. Ga naar een apparaat waarop de updates van 9 april 2024 en de eerste risicobeperkingsstap (het bijwerken van de Secure Boot DB) zijn toegepast.

  2. Zoek in het Startmenu naar de applet van het configuratiescherm 'Een herstelstation maken' en volg de instructies om een herstelstation te maken.

  3. Terwijl het zojuist gemaakte flashstation is gekoppeld (bijvoorbeeld als station 'D:'), voert u de volgende opdrachten uit als beheerder. Typ elk van de volgende opdrachten en druk op Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Als u installeerbare media in uw omgeving beheert met behulp van de windows-installatiemedia bijwerken met dynamische updates , volgt u deze stappen. Met deze extra stappen wordt een opstartbaar flashstation gemaakt dat gebruikmaakt van opstartbestanden die zijn ondertekend door het handtekeningcertificaat 'Windows UEFI CA 2023'.

  1. Ga naar een apparaat waarop de updates van 9 april 2024 en de eerste risicobeperkingsstap (het bijwerken van de Secure Boot DB) zijn toegepast.

  2. Volg de stappen in de onderstaande koppeling om media te maken met de updates van 9 april 2024. Windows-installatiemedia bijwerken met dynamische update

  3. Plaats de inhoud van het medium op een USB-stick en koppel het usb-station als een stationsletter. Koppel het usb-station bijvoorbeeld als 'D:'.

  4. Voer de volgende opdrachten uit vanuit een opdrachtvenster als beheerder. Typ elk van de volgende opdrachten en druk op Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Als op een apparaat de instellingen voor beveiligd opstarten zijn ingesteld op de standaardwaarden na het toepassen van de oplossingen, wordt het apparaat niet opgestart. Om dit probleem op te lossen, is een reparatietoepassing opgenomen in de updates van 9 april 2024 die kunnen worden gebruikt om het Certificaat 'Windows UEFI CA 2023' opnieuw toe te toepassing op de DB (beperking #1).

  1. Ga naar een apparaat waarop de updates van 9 april 2024 zijn toegepast.

  2. Kopieer in een opdrachtvenster de herstel-app naar het flashstation met behulp van de volgende opdrachten (ervan uitgaande dat het flashstation het station 'D:' is). Typ elke opdracht afzonderlijk en druk op Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Plaats het flashstation op het apparaat waarop de instellingen voor beveiligd opstarten opnieuw zijn ingesteld op de standaardinstellingen, plaats het flashstation, start het apparaat opnieuw op en start op vanaf het flashstation.

Timing van updates

Updates worden als volgt uitgebracht:

  • Initiële implementatie Deze fase begon met updates die zijn uitgebracht op 9 mei 2023 en bood basisbeperkingen met handmatige stappen om deze risicobeperkingen in te schakelen.

  • Tweede implementatie Deze fase begon met updates die zijn uitgebracht op 11 juli 2023, waarbij vereenvoudigde stappen zijn toegevoegd om de risicobeperkingen voor het probleem in te schakelen.

  • Evaluatiefase Deze fase begint op 9 april 2024 en voegt extra opstartbeheerbeperkingen toe.

  • Laatste implementatiefase Dit is wanneer we alle klanten aanmoedigen om te beginnen met het implementeren van de risicobeperkingen en het bijwerken van media.

  • Afdwingingsfase De afdwingingsfase die de risicobeperkingen permanent maakt. De datum voor deze fase wordt op een later tijdstip bekend gemaakt.

Opmerking Het releaseschema kan indien nodig worden herzien.

Deze fase is vervangen door de Release van Windows-beveiligingsupdates op of na 9 april 2024.

Deze fase is vervangen door de Release van Windows-beveiligingsupdates op of na 9 april 2024.

In deze fase vragen we u om deze wijzigingen in uw omgeving te testen om ervoor te zorgen dat de wijzigingen correct werken met representatieve voorbeeldapparaten en om ervaring op te doen met de wijzigingen.

OPMERKING In plaats van te proberen om kwetsbare opstartmanagers volledig te vermelden en te vertrouwen, zoals we in de vorige implementatiefasen hebben gedaan, voegen we het handtekeningcertificaat 'Windows Production PCA 2011' toe aan de Lijst met niet-toestaan voor beveiligd opstarten (DBX) om alle opstartbeheerders die met dit certificaat zijn ondertekend, niet te vertrouwen. Dit is een betrouwbaardere methode om ervoor te zorgen dat alle vorige opstartmanagers niet worden vertrouwd.

Updates voor Windows uitgebracht op of na 9 april 2024, voegt u het volgende toe:

  • Drie nieuwe beperkingsbesturingselementen die de oplossingen vervangen die in 2023 zijn uitgebracht. De nieuwe beperkingsbesturingselementen zijn:

    • Een besturingselement voor het implementeren van het Certificaat 'Windows UEFI CA 2023' in de Secure Boot-database om vertrouwensrelatie toe te voegen voor Windows-opstartmanagers die zijn ondertekend door dit certificaat. Houd er rekening mee dat het certificaat 'Windows UEFI CA 2023' mogelijk is geïnstalleerd door een eerdere Windows-update.

    • Een besturingselement voor het implementeren van een opstartbeheer dat is ondertekend door het certificaat 'Windows UEFI CA 2023'.

    • Een besturingselement om de 'Windows Production PCA 2011' toe te voegen aan de Secure Boot DBX, waardoor alle Windows-opstartmanagers die met dit certificaat zijn ondertekend, worden geblokkeerd.

  • De mogelijkheid om implementatie van risicobeperking in fasen onafhankelijk in te schakelen om meer controle toe te staan bij het implementeren van de risicobeperkingen in uw omgeving op basis van uw behoeften.

  • De oplossingen zijn onderling verbonden, zodat ze niet in de verkeerde volgorde kunnen worden geïmplementeerd.

  • Aanvullende gebeurtenissen om de status van apparaten te kennen wanneer ze de risicobeperkingen toepassen. Zie KB5016061: Secure Boot DB- en DBX-variabele updategebeurtenissen voor meer informatie over de gebeurtenissen.

In deze fase moedigen we klanten aan om te beginnen met het implementeren van de risicobeperkingen en het beheren van eventuele media-updates. Met de updates worden de volgende wijzigingen toegevoegd:

  • Richtlijnen en hulpprogramma's voor het bijwerken van media.

  • DBX-blok bijgewerkt om extra opstartbeheerders in te trekken.

De afdwingingsfase vindt ten minste zes maanden na de implementatiefase plaats. Wanneer updates worden uitgebracht voor de afdwingingsfase, bevatten deze het volgende:

  • Het certificaat 'Windows Production PCA 2011' wordt automatisch ingetrokken door te worden toegevoegd aan de Secure Boot UEFI Forbidden List (DBX) op compatibele apparaten. Deze updates worden programmatisch afgedwongen na de installatie van updates voor Windows op alle betrokken systemen zonder dat u de optie hebt uitgeschakeld.

Windows-gebeurtenislogboekfouten met betrekking tot CVE-2023-24932

De vermeldingen in het Windows-gebeurtenislogboek met betrekking tot het bijwerken van de DB en DBX worden gedetailleerd beschreven in KB5016061: Updategebeurtenissen voor beveiligde opstartdatabase en DBX-variabele.

De 'geslaagde' gebeurtenissen met betrekking tot het toepassen van de risicobeperkingen worden vermeld in de volgende tabel.

Risicobeperkingsstap

Gebeurtenis-id

Opmerkingen

De db-update toepassen

1036

Het PCA2023-certificaat is toegevoegd aan de database.

Opstartbeheer bijwerken

1799

De PCA2023 ondertekende opstartmanager is toegepast.

De DBX-update toepassen

1037

De DBX-update waarmee het PCA2011 handtekeningcertificaat wordt uitgeschakeld, is toegepast.

Veelgestelde vragen (FAQ)

Werk alle Windows-besturingssystemen bij met updates die zijn uitgebracht op of na 9 april 2024 voordat u de intrekkingen toepast. Mogelijk kunt u geen versie van Windows starten die niet is bijgewerkt naar ten minste updates die zijn uitgebracht op 9 april 2024 nadat u de intrekkingen hebt toegepast. Volg de richtlijnen in de sectie Opstartproblemen oplossen .

Zie de sectie Opstartproblemen oplossen .

Opstartproblemen oplossen

Nadat alle drie de oplossingen zijn toegepast, wordt de apparaatfirmware niet opgestart met behulp van een opstartbeheer dat is ondertekend door Windows Production PCA 2011. De opstartfouten die door firmware worden gerapporteerd, zijn apparaatspecifiek. Raadpleeg de sectie Herstelprocedure .

Herstelprocedure

Als er iets misgaat tijdens het toepassen van de oplossingen en u uw apparaat niet kunt starten of als u moet starten vanaf externe media (zoals een usb-station of PXE-opstart), probeert u de volgende suggesties:

  1. Schakel Beveiligd opstarten uit.

    Deze procedure verschilt per fabrikant en model. Voer het UEFI BIOS-menu van uw apparaten in, navigeer naar de instellingen voor beveiligd opstarten en schakel dit uit. Raadpleeg de documentatie van de fabrikant van uw apparaat voor meer informatie over dit proces. Meer informatie vindt u in Beveiligd opstarten uitschakelen.

  2. Stel Sleutels voor beveiligd opstarten opnieuw in op de fabrieksinstellingen.

    Als het apparaat ondersteuning biedt voor het opnieuw instellen van de fabrieksinstellingen van de beveiligde opstartsleutels, voert u deze actie nu uit.

    OPMERKING Sommige apparaatfabrikanten hebben zowel een optie 'Wissen' als 'Opnieuw instellen' voor de variabelen Beveiligd opstarten, in welk geval 'Opnieuw instellen' moet worden gebruikt. Het doel is om de variabelen voor beveiligd opstarten terug te zetten op de standaardwaarden van de fabrikant.

    Uw apparaat moet nu worden gestart, maar houd er rekening mee dat het kwetsbaar is voor boot-kit-malware. Zorg ervoor dat u stap 5 van dit herstelproces voltooit om Beveiligd opstarten opnieuw in te schakelen.

  3. Probeer Windows te starten vanaf de systeemschijf.

    1. Aanmelden bij Windows.

    2. Voer de volgende opdrachten uit vanaf een administrator-opdrachtprompt om de opstartbestanden in de opstartpartitie van het EFI-systeem te herstellen. Typ elke opdracht afzonderlijk en druk op Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Als u BCDBoot uitvoert, wordt 'Opstartbestanden gemaakt' geretourneerd. Nadat dit bericht is weergegeven, start u het apparaat opnieuw op naar Windows.

  4. Als stap 3 het apparaat niet kan herstellen, installeert u Windows opnieuw.

    1. Start het apparaat vanaf bestaande herstelmedia.

    2. Ga verder met het installeren van Windows met behulp van het herstelmedium.

    3. Aanmelden bij Windows.

    4. Start Windows opnieuw op om te controleren of het apparaat weer wordt opgestart naar Windows.

  5. Schakel Beveiligd opstarten opnieuw in en start het apparaat opnieuw op.

    Voer het UEFI-menu van het apparaat in, navigeer naar de instellingen voor beveiligd opstarten en schakel dit in. Raadpleeg de documentatie van de fabrikant van uw apparaat voor meer informatie over dit proces. Meer informatie vindt u in de sectie Beveiligd opstarten opnieuw inschakelen.

Naslagwerken

De producten van derden die in artikel worden beschreven, worden geproduceerd door bedrijven die onafhankelijk van Microsoft zijn. We bieden geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.

We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.

Datum van wijziging

Beschrijving van de wijziging

9 april 2024

  • Uitgebreide wijzigingen in procedures, informatie, richtlijnen en datums. Houd er rekening mee dat sommige eerdere wijzigingen zijn verwijderd als gevolg van de uitgebreide wijzigingen die op deze datum zijn aangebracht.

dinsdag 16 december 2023

  • De releasedatums voor de derde implementatie en afdwinging zijn herzien in de sectie 'Timing van updates'.

dinsdag 15 mei 2023

  • Niet-ondersteunde os-Windows 10 versie 21H1 verwijderd uit de sectie 'Van toepassing op'.

dinsdag 11 mei 2023

  • Er is een WAARSCHUWINGsnotitie toegevoegd aan stap 1 in de sectie Implementatierichtlijnen over het upgraden naar Windows 11, versie 21H2 of 22H2, of sommige versies van Windows 10.

dinsdag 10 mei 2023

  • Verduidelijkt dat downloadbare Windows-media die zijn bijgewerkt met de meest recente cumulatieve Updates binnenkort beschikbaar zullen zijn.

  • De spelling van het woord 'Verboden' is gecorrigeerd.

dinsdag 9 mei 2023

  • Aanvullende ondersteunde versies toegevoegd aan de sectie 'Van toepassing op'.

  • Stap 1 van de sectie Actie ondernemen is bijgewerkt.

  • Bijgewerkte stap 1 van de sectie Implementatierichtlijnen.

  • De opdrachten in stap 3a van de sectie 'Richtlijnen voor deploment' zijn gecorrigeerd.

  • De plaatsing van Hyper-V UEFI-installatiekopieën in de sectie Opstartproblemen oplossen is gecorrigeerd.

dinsdag 27 juni 2023

  • Opmerking over het bijwerken van Windows 10 naar een latere versie van Windows 10 die gebruikmaakt van een activeringspakket is verwijderd onder Stap 1:Installeren in de sectie Implementatierichtlijnen.

11 juli 2023

  • De exemplaren van de datum '9 mei 2023' zijn bijgewerkt naar '11 juli 2023', '9 mei 2023 en 11 juli 2023' of '9 mei 2023 of hoger'.

  • In de sectie Implementatierichtlijnen zien we dat alle dynamische SafeOS-updates nu beschikbaar zijn voor het bijwerken van WinRE-partities. Bovendien is het vak WAARSCHUWING verwijderd omdat het probleem is opgelost door de release van de dynamische SafeOS-updates.

  • In de "3. PAS de intrekkingen toe" sectie, de instructies zijn herzien.

  • In de sectie Windows-gebeurtenislogboekfouten wordt gebeurtenis-id 276 toegevoegd.

dinsdag 25 augustus 2023

  • Verschillende secties bijgewerkt voor de formulering en de release-informatie van 11 juli 2023 en toekomstige release van 2024 toegevoegd.

  • Herschikking van bepaalde inhoud van de sectie 'Problemen met uw opstartbare media voorkomen' naar de sectie 'Opstartbare media bijwerken'.

  • De sectie 'Timing van updates' is bijgewerkt met herziene implementatiedatums en informatie.
Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×