Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Datum wijzigen

Beschrijving wijzigen

dinsdag 20 maart 2024

  • De sectie 'Resultaten en feedback' toegevoegd

dinsdag 21 maart 2024

  • Stap 4 bijgewerkt in de sectie 'Stap 2: het PCA2023-ondertekende opstartbeheer installeren'

dinsdag 22 maart 2024

  • De contactgegevens voor e-mail bijgewerkt in de sectie Resultaten en feedback

  • De sectie Optionele diagnostische gegevens inschakelen toegevoegd

Inleiding

Dit artikel is een aanvulling op het volgende artikel dat in april 2024 wordt bijgewerkt:

  • KB5025885: De intrekkingen van Windows Boot Manager beheren voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932

In deze aanvulling wordt de bijgewerkte stapsgewijze procedure beschreven voor het implementeren van nieuwe risicobeperkingen voor de BlackLotus UEFI-boot-kit die wordt bijgehouden door CVE-2023-24932 en bevat testrichtlijnen voor uw omgeving.

Ter bescherming tegen kwaadwillend misbruik van kwetsbare opstartmanagers, moeten we een nieuw UEFI Secure Boot-handtekeningcertificaat implementeren op de firmware van het apparaat en het vertrouwen in de firmware van het huidige handtekeningcertificaat intrekken. Als u dit doet, worden alle bestaande, kwetsbare opstartmanagers niet vertrouwd door apparaten met beveiligd opstarten. Deze handleiding helpt u bij dat proces.

De drie stappen voor risicobeperking die in deze handleiding worden beschreven, zijn als volgt:

  1. Database bijwerken: Er wordt een nieuw PCA-certificaat (PCA2023) toegevoegd aan de Secure Boot-database waarmee een apparaat media kan opstarten die door dit certificaat is ondertekend.

  2. Installatie van opstartbeheer: De bestaande PCA2011-ondertekende opstartmanager wordt vervangen door de PCA2023-ondertekende opstartmanager.Beide opstartbeheerders zijn opgenomen in de beveiligingsupdates van april 2024.

  3. DBX-intrekking van PCA2011: Er wordt een weigeringsvermelding toegevoegd aan de Secure Boot DBX om te voorkomen dat opstartmanagers die zijn ondertekend met PCA2011 opstarten.

Opmerking De Servicing Stack-software die deze drie oplossingen toepast, staat niet toe dat de risicobeperkingen buiten de volgorde worden toegepast.

Geldt dit voor mij?

Deze handleiding is van toepassing op alle apparaten waarop Beveiligd opstarten is ingeschakeld en op alle bestaande herstelmedia voor deze apparaten.

Als op uw apparaat Windows Server 2012 of Windows Server 2012 R2 wordt uitgevoerd, moet u de sectie Bekende problemen lezen voordat u verdergaat.

Voordat u begint

Optionele diagnostische gegevens inschakelen

Schakel de instelling 'Optionele diagnostische gegevens verzenden' in door de volgende stappen uit te voeren:

  1. Ga in Windows 11 naar Start > Instellingen > Privacy & beveiliging > Diagnostische gegevens & feedback.

  2. Schakel Optionele diagnostische gegevens verzenden in.

    Feedback over diagnostische &

Zie Diagnostische gegevens, feedback en privacy in Windows voor meer informatie. 

OPMERKING Zorg ervoor dat u een internetverbinding hebt tijdens en gedurende enige tijd na de validatie.

Een test geslaagd doen

Nadat u de Windows-updates van april 2024 hebt geïnstalleerd en voordat u de stappen voor opt-in doorloopt, moet u een testpass uitvoeren om de integriteit van uw systeem te controleren:

  1. VPN: Controleer of VPN-toegang tot bedrijfsresources en -netwerk functioneel is.

  2. Windows Hello: Meld u aan bij het Windows-apparaat met behulp van uw normale procedure (gezicht/vingerafdruk/pincode).

  3. Bitlocker: Het systeem wordt normaal gestart op BitLocker-systemen zonder een BitLocker-herstelprompt tijdens het opstarten.

  4. Apparaatstatusverklaring: Controleer of apparaten die afhankelijk zijn van Apparaatstatusverklaring hun status correct bevestigen.

Bekende problemen

Alleen voor Windows Server 2012 en Windows Sever 2012 R2:

  • TPM 2.0-systemen kunnen de risicobeperkingen die zijn uitgebracht in de beveiligingspatch van april 2024, niet implementeren vanwege bekende compatibiliteitsproblemen met TPM-metingen. De updates van april 2024 blokkeren risicobeperkingen #2 (opstartbeheer) en #3 (DBX-update) op betrokken systemen.

  • Microsoft is op de hoogte van het probleem en er wordt in de toekomst een update uitgebracht om tpm 2.0-systemen te deblokkeren.

  • Als u uw TPM-versie wilt controleren, klikt u met de rechtermuisknop op Start, klikt u op Uitvoeren en typt u tpm.msc. Rechtsonder in het middelste deelvenster onder TPM-fabrikantinformatie ziet u een waarde voor Specificatieversie.

Validatiestappen voor aanmelding

In de rest van dit artikel worden de tests besproken voor het aanmelden van apparaten voor de risicobeperkingen. De risicobeperkingen zijn niet standaard ingeschakeld. Als uw bedrijf van plan is om deze risicobeperkingen in te schakelen, voert u de volgende validatiestappen uit om de compatibiliteit van het apparaat te controleren.

  1. Implementeer de voorlopige beveiligingsupdate van april 2024.

  2. Open een administrator-opdrachtprompt en stel de registersleutel in om de update naar de database uit te voeren door de volgende opdracht te typen en druk vervolgens op Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Start het apparaat twee keer opnieuw op.

  4. Controleer of de database is bijgewerkt door ervoor te zorgen dat de volgende opdracht True retourneert. Voer de volgende PowerShell-opdracht uit als beheerder:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Open een administrator-opdrachtprompt en stel de registersleutel in om de PCA2023-ondertekende opstartmanager te downloaden en installeren:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Start het apparaat twee keer opnieuw op.

  3. Koppel als beheerder de EFI-partitie om deze klaar te maken voor inspectie:

    mountvol s: /s

  4. Controleer of 's:\efi\microsoft\boot\bootfw.efi' is ondertekend door PCA2023. Ga hiervoor als volgt te werk:

    1. Klik op Start, typ opdrachtprompt in het vak Zoeken en klik vervolgens op Opdrachtprompt.

    2. Typ in het opdrachtpromptvenster de volgende opdracht en druk op Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Klik in Bestandsbeheer met de rechtermuisknop op het bestand C:\bootmgfw_2023.efi, klik op Eigenschappen en selecteer vervolgens het tabblad Digitale handtekeningen.

    4. Controleer in de lijst Handtekening of de certificaatketen Windows UEFI 2023 CA bevat.

LET OP: In deze stap wordt de DBX-intrekking geïmplementeerd om oude, kwetsbare opstartmanagers die zijn ondertekend met de Windows Production-PCA2011 niet te vertrouwen. Apparaten waarop deze intrekking is toegepast, worden niet meer opgestart vanaf bestaande herstelmedia en PXE/HTTP-servers die geen bijgewerkte opstartbeheeronderdelen hebben.

Als uw apparaat een niet-opstartbare status krijgt, volgt u de stappen in de sectie Herstel- en herstelprocedures om het apparaat terug te zetten naar een status van vóór intrekking.

Als u na het toepassen van de DBX het apparaat wilt terugzetten naar de vorige status van beveiligd opstarten, volgt u de sectie Herstel- en herstelprocedures.

Pas de DBX-beperking toe om het Windows Production PCA2011-certificaat niet meer te vertrouwen in Beveiligd opstarten:

  1. Open een administrator-opdrachtprompt en stel de registersleutel in om de intrekking voor PCA2011 in DBX te plaatsen:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Start uw apparaat twee keer opnieuw op en controleer of het volledig opnieuw is opgestart.

  3. Controleer of de DBX-beperking is toegepast. Voer hiervoor de volgende PowerShell-opdracht uit als beheerder en zorg ervoor dat de opdracht True retourneert:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Of zoek naar de volgende gebeurtenis in de Logboeken:

    Gebeurtenislogboek

    Systeem

    Gebeurtenisbron

    TPM-WMI

    Gebeurtenis-id

    1037

    Niveau

    Informatie

    Berichttekst van gebeurtenis

    Secure Boot Dbx-update voor het intrekken van Microsoft Windows Production PCA 2011 is toegepast

  4. Voer de testpassitems uit de sectie 'Voordat u begint' uit en zorg ervoor dat alle systemen zich normaal gedragen.

Registersleutelreferentie

Validatie van aanmelding stap 1Validatie van aanmelding stap 2Validatie van aanmelding stap 3

Opdracht

Purpose

Opmerkingen 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Installeert de DB-update om het PCA2023-ondertekende opstartbeheer toe te staan

Opdracht

Purpose

Opmerkingen 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Installeert de PCA2023 ondertekende bootmgr

Waarde alleen gehonoreerd nadat 0x40 stap is voltooid

Opdracht

Purpose

Opmerkingen 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Installeert de DBX-update die PCA2011 intrekt

Waarde alleen gehonoreerd nadat beide 0x40 & 0x100 stappen zijn voltooid

Resultaten en feedback

Stuur een e-mail naar suvp@microsoft.com met testresultaten, vragen en feedback.

Herstel- en herstelprocedures

Deel bij het uitvoeren van herstelprocedures de volgende gegevens met Microsoft:

  • Schermafbeelding van de waargenomen opstartfout.

  • Uitgevoerde stappen die ertoe leidden dat het apparaat niet meer kan worden opgestart.

  • Details van de apparaatconfiguratie.

Wanneer u een herstelprocedure uitvoert, onderbreekt u BitLocker voordat u de procedure start.

Als er tijdens dit proces iets misgaat en u uw apparaat niet kunt starten of als u moet starten vanaf externe media (bijvoorbeeld een usb-station of PXE-opstarten), voert u de volgende procedures uit.

  1. Beveiligd opstarten

    uitschakelen Deze procedure verschilt per pc-fabrikant en -model. Voer het UEFI BIOS-menu van uw pc's in, navigeer naar de instelling Beveiligd opstarten en schakel deze uit. Raadpleeg de documentatie van de fabrikant van uw pc voor meer informatie over dit proces. Zie Beveiligd opstarten uitschakelen voor meer informatie.

  2. Sleutels voor beveiligd opstarten wissen

    Als het apparaat ondersteuning biedt voor het wissen van de sleutels voor beveiligd opstarten of het opnieuw instellen van sleutels voor beveiligd opstarten naar de fabrieksinstellingen, voert u deze actie nu uit.  

    Uw apparaat moet nu worden gestart, maar houd er rekening mee dat het kwetsbaar is voor boot-kits-malware. Zorg ervoor dat u stap 5 aan het einde van dit herstelproces voltooit om Beveiligd opstarten opnieuw in te schakelen.

  3. Probeer Windows te starten vanaf de systeemschijf.

    1. Als BitLocker is ingeschakeld en wordt hersteld, voert u uw BitLocker-herstelsleutel in.

    2. Aanmelden bij Windows.

    3. Voer de volgende opdrachten uit vanaf de opdrachtprompt Administrator om de opstartbestanden in de EFI-opstartpartitie te herstellen:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Als u BCDBoot uitvoert, wordt het volgende geretourneerd: 'Opstartbestanden zijn gemaakt'.

    5. Als BitLocker is ingeschakeld, onderbreekt u BitLocker.

    6. Start het apparaat opnieuw op.

  4. Als stap 3 het apparaat niet kan herstellen, installeert u Windows opnieuw.

    1. Begin vanaf bestaande herstelmedia.

    2. Ga verder met het installeren van Windows met behulp van het herstelmedium.

    3. Aanmelden bij Windows.

    4. Start opnieuw op om te controleren of het apparaat wordt gestart naar Windows.

  5. Schakel Beveiligd opstarten opnieuw in en start het apparaat opnieuw op.

    Voer het UEFI-menu van uw apparaat in, navigeer naar de instelling Beveiligd opstarten en schakel deze in. Raadpleeg de documentatie van de fabrikant van uw apparaat voor meer informatie over dit proces. Zie Beveiligd opstarten opnieuw inschakelen voor meer informatie.

  6. Als het starten van Windows blijft mislukken, voert u het UEFI BIOS opnieuw in en schakelt u Beveiligd opstarten uit.

  7. Start Windows.

  8. Inhoud van DB, DBX delen met Microsoft.

    1. Open PowerShell in de beheerdersmodus.

    2. De database vastleggen:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. De DBX vastleggen:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Deel de bestanden DBUpdateFw.bin en dbxUpdateFw.bin die zijn gegenereerd in stap 8b en 8c.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×