In dit artikel

Samenvatting

Microsoft is op de hoogte gesteld van een beveiligingsprobleem in Windows waardoor een aanvaller met beheerdersbevoegdheden bijgewerkte Windows-systeembestanden met oudere versies kan vervangen, waardoor een aanvaller beveiligingsproblemen opnieuw kan introduceren in vbs (virtualization-based security).  Terugdraaien van deze binaire bestanden kan een aanvaller in staat stellen VBS-beveiligingsfuncties te omzeilen en gegevens te exfiltreren die worden beveiligd door VBS. Dit probleem wordt beschreven in CVE-2024-21302 | Beveiligingsprobleem met verhoogde bevoegdheden in windows-kernelmodus.

Om dit probleem op te lossen, worden kwetsbare VBS-systeembestanden die niet zijn bijgewerkt, ingetrokken. Vanwege het grote aantal VBS-gerelateerde bestanden dat moet worden geblokkeerd, gebruiken we een alternatieve benadering om bestandsversies te blokkeren die niet zijn bijgewerkt.

Bereik van impact

Dit probleem ondervindt op alle Windows-apparaten die VBS ondersteunen. Dit omvat on-premises fysieke apparaten en virtuele machines (VM's). VBS wordt ondersteund in Windows 10 en nieuwere versies van Windows en Windows Server 2016 en hoger.

De VBS-status kan worden gecontroleerd via het hulpprogramma Microsoft System Information (Msinfo32.exe). Dit hulpprogramma verzamelt informatie over uw apparaat. Nadat u Msinfo32.exe hebt gestart, schuift u omlaag naar de rij Beveiliging op basis van virtualisatie . Als de waarde van deze rij Actief is, wordt VBS ingeschakeld en uitgevoerd.

Het dialoogvenster Systeemgegevens met de rij 'Beveiliging op basis van virtualisatie' gemarkeerd

De VBS-status kan ook worden gecontroleerd met Windows PowerShell met behulp van de WMI-klasse Win32_DeviceGuard. Als u een query wilt uitvoeren op de VBS-status vanuit PowerShell, opent u een Windows PowerShell-sessie met verhoogde bevoegdheid en voert u de volgende opdracht uit:

Get-CimInstance -ClassName Win32_DeviceGuard -Naamruimte root\Microsoft\Windows\DeviceGuard

Nadat u de bovenstaande PowerShell-opdracht hebt uitgevoerd, moet de VBS-status een van de volgende zijn.

Veldnaam

Status

VirtualizationBasedSecurityStatus

  • Als het veld gelijk is aan 0, is VBS niet ingeschakeld.

  • Als het veld gelijk is aan 1, wordt VBS ingeschakeld, maar niet uitgevoerd.

  • Als het veld gelijk is aan 2, wordt VBS ingeschakeld en uitgevoerd.

Beschikbare oplossingen

Voor alle ondersteunde versies van Windows 10, versie 1809 en latere Windows-versies en Windows Server 2019 en latere versies van Windows Server kunnen beheerders een door Microsoft ondertekend intrekkingsbeleid (SkuSiPolicy.p7b) implementeren. Hierdoor wordt voorkomen dat kwetsbare versies van VBS-systeembestanden die niet worden bijgewerkt, worden geladen door het besturingssysteem.

Opmerking Aanvullende oplossingen en ondersteuning voor risicobeperking voor alle ondersteunde versies van Windows 10, versie 1507 en eerdere Windows-versies en Windows Server 2016 en eerdere versies van Windows Server zijn gepland voor toekomstige updates.

Wanneer dit beleid wordt toegepast op een Windows-apparaat, wordt het beleid ook vergrendeld op het apparaat door een variabele toe te voegen aan de UEFI-firmware. Tijdens het opstarten wordt het beleid geladen en blokkeert Windows het laden van binaire bestanden die het beleid schenden. Als de UEFI-vergrendeling wordt toegepast en het beleid wordt verwijderd of vervangen door een oudere versie, wordt windows opstartbeheer niet gestart en wordt het apparaat niet gestart. Deze opstartfout geeft geen fout weer en het systeem gaat door naar de volgende beschikbare opstartoptie die kan leiden tot een opstartlus.

De beleidsbeperking werkt alleen als het apparaat is bijgewerkt met de Windows-update die is uitgebracht op of na 13 augustus 2024. Als er updates ontbreken, start het apparaat mogelijk niet met de toegepaste beperking of werkt de beperking mogelijk niet zoals verwacht. Daarnaast moeten risicobeperkingen die worden beschreven in KB5025885 worden toegepast op uw apparaat.

Belangrijk Pas deze beperking niet toe op Windows-versies die ouder zijn dan Windows 10, versie 1809 of versies van Windows Server die ouder zijn dan Windows Server 2019. Als de beperking wordt toegepast op apparaten die niet worden ondersteund, worden de apparaten niet gestart en ontvangt u een foutbericht 0xc0000428. U moet de instructies in de sectie Procedure voor het verwijderen en herstellen van beleid volgen om te herstellen.

Hersteldialoogvenster waarin wordt aangegeven dat uw apparaat moet worden gerepareerd

Inzicht in risicobeperking

U moet op de hoogte zijn van mogelijke risico's voordat u het door Microsoft ondertekende intrekkingsbeleid toepast. Bekijk deze risico's en breng de benodigde updates voor herstelmedia door voordat u de beperking toepast.

  • Integriteit van gebruikersmoduscode (UMCI). Het door Microsoft ondertekende intrekkingsbeleid maakt code-integriteit van de gebruikersmodus mogelijk, zodat regels in het beleid worden toegepast op binaire bestanden van de gebruikersmodus. UMCI schakelt ook standaard dynamische codebeveiliging in. Het afdwingen van deze functies kan leiden tot compatibiliteitsproblemen met toepassingen en scripts, waardoor ze mogelijk niet kunnen worden uitgevoerd en de prestaties van invloed kunnen zijn op de opstarttijd. Voordat u de beperking implementeert, volgt u de instructies voor het implementeren van controlemodusbeleid om te testen op mogelijke problemen.

  • UEFI-updates vergrendelen en verwijderen. Nadat u de UEFI-vergrendeling hebt toegepast met het door Microsoft ondertekende intrekkingsbeleid op een apparaat, kan het apparaat niet worden teruggedraaid (door Windows-updates te verwijderen, door een herstelpunt te gebruiken of op een andere manier) als u Beveiligd opstarten blijft toepassen. Zelfs als u de schijf opnieuw formatteert, wordt de UEFI-vergrendeling van de beperking niet verwijderd als deze al is toegepast. Dit betekent dat als u probeert het Windows-besturingssysteem terug te zetten naar een eerdere status die niet de toegepaste beperking heeft, het apparaat niet wordt gestart, er geen foutbericht wordt weergegeven en UEFI doorgaat met de volgende beschikbare opstartoptie. Dit kan leiden tot een opstartlus. U moet Beveiligd opstarten uitschakelen om de UEFI-vergrendeling te verwijderen. Houd rekening met alle mogelijke gevolgen en test grondig voordat u de intrekkingen die in dit artikel worden beschreven op uw apparaat toepast.

  • Externe opstartmedia. Nadat de UEFI-vergrendelingsbeperkingen zijn toegepast op een apparaat, moeten externe opstartmedia worden bijgewerkt met de Windows-updates die zijn gedateerd op of na 13 augustus 2024 en met het door Microsoft ondertekende intrekkingsbeleid (SkuSiPolicy.p7b). Als externe opstartmedia niet zijn bijgewerkt, wordt het apparaat mogelijk niet opgestart vanaf dat medium. Raadpleeg de instructies in de sectie Externe opstartmedia bijwerken voordat u de oplossingen toepast.Opstartmedia die zijn bijgewerkt met het door Microsoft ondertekende intrekkingsbeleid, mogen alleen worden gebruikt voor het opstarten van apparaten waarop de beperking al is toegepast.  Als deze wordt gebruikt met apparaten zonder de beperking, wordt de UEFI-vergrendeling toegepast tijdens het opstarten vanaf de opstartmedia. Volgende start vanaf schijf mislukt, tenzij het apparaat wordt bijgewerkt met de beperking of de UEFI-vergrendeling wordt verwijderd.

  • Windows-herstelomgeving. De Windows-herstelomgeving (WinRE) op het apparaat moet worden bijgewerkt met de Windows-updates die zijn gedateerd op of na 13 augustus 2024 voordat SkuSipolicy.p7b op het apparaat wordt toegepast. Als u deze stap weglaat, kan WinRE de functie Pc opnieuw instellen mogelijk niet uitvoeren.  Zie Een updatepakket toevoegen aan Windows RE voor meer informatie.

  • PxE(Preboot Execution Environment) opstarten. Als de beperking is geïmplementeerd op een apparaat en u PXE-opstartbewerking probeert te gebruiken, wordt het apparaat niet gestart, tenzij de risicobeperkingen ook worden toegepast op de opstartbronnen van het netwerk (hoofdmap waar bootmgfw.efi aanwezig is). Als een apparaat wordt gestart vanuit een netwerkstartbron waarop de beperking is toegepast, is de UEFI-vergrendeling van toepassing op het apparaat en is dit van invloed op de volgende start. We raden u niet aan om oplossingen te implementeren voor netwerkstartbronnen, tenzij op alle apparaten in uw omgeving de risicobeperkingen zijn geïmplementeerd.  

Richtlijnen voor implementatie van risicobeperking

Als u de problemen wilt oplossen die in dit artikel worden beschreven, kunt u een door Microsoft ondertekend intrekkingsbeleid (SkuSiPolicy.p7b) implementeren. Deze beperking wordt alleen ondersteund in Windows 10, versie 1809 en latere Versies van Windows en Windows Server 2019 en hoger. Voordat u het door Microsoft ondertekende intrekkingsbeleid (SkuSiPolicy.p7b) implementeert, moet u testen op compatibiliteitsproblemen met behulp van een controlemodusbeleid.

Opmerking Als u BitLocker gebruikt, controleert u of er een back-up van uw BitLocker-herstelsleutel is gemaakt. U kunt de volgende opdracht uitvoeren vanaf een administrator-opdrachtprompt en het numerieke wachtwoord van 48 cijfers noteren:

manage-bde -protectors -get %systemdrive%

Een controlemodusbeleid implementeren

Het door Microsoft ondertekende intrekkingsbeleid (SkuSiPolicy.p7b) dwingt code-integriteit van de gebruikersmodus (UMCI) en dynamische codebeveiliging af. Deze functies kunnen compatibiliteitsproblemen hebben met toepassingen van klanten. Voordat u de risicobeperking implementeert, moet u een controlebeleid implementeren om compatibiliteitsproblemen te detecteren.

U hebt twee opties voor controlebeleid:

  • Gebruik het opgegeven sipolicy.p7b-controlebeleid,

  • U kunt ook uw eigen binaire controlebeleid compileren vanuit een opgegeven XML-bestand.

U wordt aangeraden het opgegeven binaire controlebeleid SiPolicy.p7b te gebruiken, tenzij u al een bestaand WDAC-beleid (Windows Defender Application Guard) hebt geïmplementeerd. Het opgegeven binaire controlebeleid wordt niet vergrendeld door UEFI. Externe opstartmedia en herstelmedia hoeven niet te worden bijgewerkt voordat het controlebeleid wordt toegepast.

Windows Code-integriteit evalueert binaire bestanden van gebruikers- en kernelmodus op basis van de regels in het controlebeleid. Als code-integriteit een toepassing of script identificeert die het beleid schendt, wordt er een Gebeurtenislogboekgebeurtenis van Windows gegenereerd met informatie over de geblokkeerde toepassing of het geblokkeerde script en informatie over het afgedwongen beleid. Deze gebeurtenissen kunnen worden gebruikt om te bepalen of er incompatibele toepassingen of scripts op uw apparaat worden gebruikt. Zie de sectie Windows-gebeurtenislogboeken voor meer informatie.

Het controlebeleid SiPolicy.p7b gebruikenEen XML-controlebeleid gebruiken

Het controlebeleid SiPolicy.p7b is opgenomen in de Windows-update van 13 augustus 2024 voor alle ondersteunde Windows-besturingssystemen van Windows 10, versie 1809 en latere Windows-versies en Windows Server 2019 en hoger. Dit controlebeleid mag alleen worden toegepast op apparaten waarop de Windows-update van 13 augustus 2024 of hoger is geïnstalleerd of het controlebeleid werkt mogelijk niet zoals verwacht.

Voer de volgende stappen uit om het opgegeven sipolicy.p7b-controlebeleid te implementeren:

  1. Voer de volgende opdrachten uit vanaf een Windows PowerShell-prompt met verhoogde bevoegdheid:

    # Locatie en bestemming van beleid initialiseren

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Kopieer het binaire controlebeleid

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Start het apparaat opnieuw op.

  3. Controleer of het beleid is geladen in Logboeken met behulp van de informatie in de sectie Beleidsactiveringsgebeurtenissen .

  4. Test met behulp van toepassingen en scripts terwijl het beleid wordt toegepast om compatibiliteitsproblemen te identificeren.

Voer de volgende stappen uit om het controlebeleid SiPolicy.p7b te verwijderen:

  1. Voer de volgende opdrachten uit vanaf een Windows PowerShell-prompt met verhoogde bevoegdheid:

    # Beleidslocatie initialiseren

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Verwijder SiPolicy.p7b

    Remove-Item -Pad $PolicyBinary -force

  2. Start het apparaat opnieuw op.

  3. Controleer of het controlebeleid niet is geladen in logboeken met behulp van de informatie in de sectie Beleidsactiveringsgebeurtenissen .

Als u WDAC gebruikt voor het beheren van toepassingen en stuurprogramma's die op uw apparaten mogen worden uitgevoerd, gebruikt u mogelijk al een beleid met de naam 'SiPolicy.p7b'. Voor alle ondersteunde Windows-besturingssystemen van Windows 10, versie 1903 en latere Windows-versies en Windows Server 2022 en nieuwere Windows Server-versies kunt u het opgegeven XML-bestand gebruiken om een controlebeleid te bouwen en te implementeren met behulp van de indeling voor meerdere WDAC-beleidsregels. Zie Windows Defender Application Control(WDAC)-beleid implementeren voor instructies voor het bouwen en implementeren van het binaire auditbeleid.

Een XML-bestand met de controlebeleidsregels is beschikbaar op apparaten waarop de Windows-update is geïnstalleerd op of na 13 augustus 2024. Het XML-bestand bevindt zich onder %systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml.

Als u het WDAC-beleid gebruikt in Windows 10, versie 1809 en eerdere Windows-versies, of op Windows Server 2016 en eerdere versies van Windows Server, moet u het bestaande WDAC-beleid vervangen door het controlebeleid om te testen op compatibiliteitsproblemen met de beperking.

Een door Microsoft ondertekend intrekkingsbeleid implementeren (SkuSiPolicy.p7b)

Het door Microsoft ondertekende intrekkingsbeleid is opgenomen als onderdeel van de Windows-update die is gedateerd op of na 13 augustus 2024. Dit beleid mag alleen worden toegepast op apparaten waarop de update van 13 augustus 2024 of hoger is geïnstalleerd. Als er updates ontbreken, start het apparaat mogelijk niet met de toegepaste beperking of werkt de beperking mogelijk niet zoals verwacht.

Voer de volgende stappen uit om het door Microsoft ondertekende intrekkingsbeleid (SkuSiPolicy.p7b) te implementeren:

  1. Voer de volgende opdrachten uit in een Windows PowerShell-prompt met verhoogde bevoegdheid:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. Start uw apparaat opnieuw op.

  3. Controleer of het beleid is geladen in Logboeken met behulp van de informatie in de sectie Windows-gebeurtenislogboeken .

Opmerkingen

  • U moet het SkuSiPolicy.p7b-intrekkingsbestand (beleid) niet verwijderen nadat het is geïmplementeerd. Uw apparaat kan mogelijk niet meer worden gestart als het bestand wordt verwijderd.

  • Als uw apparaat niet wordt opgestart, raadpleegt u de sectie Herstelprocedure.

Externe opstartmedia bijwerken

Als u externe opstartmedia wilt gebruiken met een apparaat waarop een door Microsoft ondertekend intrekkingsbeleid is toegepast, moet het externe opstartmedium worden bijgewerkt met het toegepaste beleidsbestand. Daarnaast moeten de Windows-updates op of na 13 augustus 2024 zijn opgenomen. Als de media de updates niet bevat, wordt de media niet gestart.

Opstartmedia die zijn bijgewerkt met het door Microsoft ondertekende intrekkingsbeleid, mogen alleen worden gebruikt voor het opstarten van apparaten waarop de beperking al is toegepast.  Als deze wordt gebruikt met apparaten zonder de beperking, wordt de UEFI-vergrendeling toegepast tijdens het opstarten vanaf de opstartmedia. Volgende start vanaf schijf mislukt, tenzij het apparaat wordt bijgewerkt met de beperking of de UEFI-vergrendeling wordt verwijderd.

Belangrijk U wordt aangeraden een herstelstation te maken voordat u doorgaat. Dit medium kan worden gebruikt om een apparaat opnieuw te installeren als er een groot probleem is.

Gebruik de volgende stappen om de externe opstartmedia bij te werken:

  1. Ga naar een apparaat waarop de Windows-updates die op of na 13 augustus 2024 zijn uitgebracht, zijn geïnstalleerd.

  2. Koppel het externe opstartmedium als stationsletter. Koppel bijvoorbeeld een usb-station als D:.

  3. Klik op Start, typ Een herstelstation makenin het zoekvak en klik vervolgens op Configuratiescherm voor herstelstation maken. Volg de instructies om een herstelstation te maken met behulp van het gekoppelde usb-station.

  4. Terwijl de zojuist gemaakte media zijn gekoppeld, kopieert u het bestand SkuSiPolicy.p7b naar <MediaRoot>\EFI\Microsoft\Boot (bijvoorbeeld D:\EFI\Microsoft\Boot).

  5. Verwijder het gekoppelde usb-station veilig.

Als u installeerbare media in uw omgeving beheert met behulp van de windows-installatiemedia bijwerken met dynamische updates , volgt u deze stappen:

  1. Ga naar een apparaat waarop de Windows-updates die op of na 13 augustus 2024 zijn uitgebracht, zijn geïnstalleerd.

  2. Volg de stappen in Windows-installatiemedia bijwerken met dynamische update om media te maken waarop de Windows-updates zijn uitgebracht op of na 13 augustus 2024.

  3. Plaats de inhoud van het medium op een USB-stick en koppel het usb-station als een stationsletter. Koppel het usb-station bijvoorbeeld als D:.

  4. Kopieer SkuSiPolicy.p7b naar <MediaRoot>\EFI\Microsoft\Boot (bijvoorbeeld D:\EFI\Microsoft\Boot).

  5. Verwijder het gekoppelde usb-station veilig.

Windows-gebeurtenislogboeken

Windows registreert gebeurtenissen wanneer beleidsregels voor code-integriteit, waaronder SkuSiPolicy.p7b, worden geladen en wanneer het laden van een bestand wordt geblokkeerd vanwege het afdwingen van beleid. U kunt deze gebeurtenissen gebruiken om te controleren of de beperking is toegepast.

Logboeken voor code-integriteit zijn beschikbaar in Windows Logboeken onder Toepassings- en serviceslogboeken > Microsoft > Windows > CodeIntegrity > Operational > Application and Services-logboeken > Services-logboeken > Microsoft > Windows > AppLocker > MSI en Script.

Zie de operationele handleiding voor Windows Defender Application Control voor meer informatie over code-integriteitsevenementen.

Activeringsevenementen van beleid

Beleidsactiveringsevenementen zijn beschikbaar in Windows Logboeken onder Toepassings- en serviceslogboeken > Microsoft > Windows > CodeIntegrity > Operationeel.

CodeIntegrity-gebeurtenis 3099 geeft aan dat een beleid is geladen en bevat details over het geladen beleid. Informatie in de gebeurtenis omvat de beschrijvende naam van het beleid, een GUID (Globally Unique Identifier) en een hash van het beleid. Er zijn meerdere CodeIntegrity Event 3099-gebeurtenissen aanwezig als er meerdere code-integriteitsbeleidsregels zijn toegepast op het apparaat.

Wanneer het opgegeven controlebeleid wordt toegepast, vindt er een gebeurtenis plaats met de volgende informatie:

  • PolicyNameBuffer – Beveiligingscontrolebeleid op basis van Microsoft Windows-virtualisatie

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Beveiligingscontrolebeleid op basis van Microsoft Virtualization

Wanneer het door Microsoft ondertekende intrekkingsbeleid (SkuSiPolicy.p7b) wordt toegepast, is er een gebeurtenis met de volgende informatie (zie schermopname van CodeIntegrity-gebeurtenis 3099 hieronder):

  • PolicyNameBuffer – Microsoft Windows SKU SI-beleid

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Microsoft Windows SKU SI-beleid

Als u het controlebeleid of de beperking op uw apparaat hebt toegepast en CodeIntegrity-gebeurtenis 3099 voor het toegepaste beleid niet aanwezig is, wordt het beleid niet afgedwongen. Raadpleeg de implementatie-instructies om te controleren of het beleid correct is geïnstalleerd.

Gebeurtenissen controleren en blokkeren

Controle- en blokgebeurtenissen voor code-integriteit zijn beschikbaar in de Windows Logboeken onder Toepassings- en serviceslogboeken > Microsoft > Windows > CodeIntegrity > Operational > Application and Services-logboeken > Microsoft > Windows > AppLocker > MSI en Script.

De voormalige locatie voor logboekregistratie bevat gebeurtenissen over het beheer van uitvoerbare bestanden, dll's en stuurprogramma's. De laatste locatie voor logboekregistratie bevat gebeurtenissen over het beheer van MSI-installatieprogramma's, scripts en COM-objecten.

CodeIntegrity-gebeurtenis 3076 in het logboek 'CodeIntegrity – Operationeel' is de belangrijkste blokgebeurtenis voor beleid voor de controlemodus en geeft aan dat een bestand zou zijn geblokkeerd als een beleid werd afgedwongen. Deze gebeurtenis bevat informatie over het geblokkeerde bestand en over het afgedwongen beleid. Voor bestanden die worden geblokkeerd door de beperking, komt de beleidsinformatie in gebeurtenis 3077 overeen met de beleidsinformatie van auditbeleid uit gebeurtenis 3099.

CodeIntegrity-gebeurtenis 3077 in het logboek 'CodeIntegrity – Operationeel' geeft aan dat een uitvoerbaar bestand, .dll of stuurprogramma niet kan worden geladen. Deze gebeurtenis bevat informatie over het geblokkeerde bestand en over het afgedwongen beleid. Voor bestanden die worden geblokkeerd door de beperking, komt de beleidsinformatie in CodeIntegrity Event 3077 overeen met de beleidsinformatie van SkuSiPolicy.p7b uit CodeIntegrity Event 3099. CodeIntegrity-gebeurtenis 3077 is niet aanwezig als er geen uitvoerbare, .dll of stuurprogramma's zijn die het code-integriteitsbeleid op uw apparaat schenden.

Zie Informatie over toepassingsbeheergebeurtenissen voor andere controle- en blokkeringsgebeurtenissen voor code-integriteit.

Procedure voor verwijderen en herstellen van beleid

Als er iets misgaat na het toepassen van de beperking, kunt u de volgende stappen gebruiken om de beperking te verwijderen:

  1. Onderbreekt BitLocker als dit is ingeschakeld. Voer de volgende opdracht uit vanuit een opdrachtpromptvenster met verhoogde bevoegdheid:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Schakel Beveiligd opstarten uit in het UEFI BIOS-menu.De procedure voor het uitschakelen van Beveiligd opstarten verschilt per apparaatfabrikant en model. Raadpleeg de documentatie van de fabrikant van uw apparaat voor hulp bij het uitschakelen van de locatie waar u Beveiligd opstarten kunt uitschakelen. Meer informatie vindt u in Beveiligd opstarten uitschakelen.

  3. Verwijder het beleid SkuSiPolicy.p7b.

    1. Start Windows normaal en meld u vervolgens aan.Het beleid SkuSiPolicy.p7b moet worden verwijderd van de volgende locatie:

      • <EFI-systeempartitie>\Microsoft\Boot\SKUSiPolicy.p7b

    2. Voer het volgende script uit vanuit een Windows PowerShell-sessie met verhoogde bevoegdheid om beleid van deze locaties op te schonen:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      if (Test-Path $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. Schakel Beveiligd opstarten vanaf BIOS in.Raadpleeg de documentatie van de fabrikant van uw apparaat om te zien waar u Beveiligd opstarten kunt inschakelen.Als u Beveiligd opstarten hebt uitgeschakeld in stap 1 en uw station wordt beveiligd door BitLocker, onderbreekt u de BitLocker-beveiliging en schakelt u Beveiligd opstarten in het UEFI BIOS-menu in.

  5. Schakel BitLocker in. Voer de volgende opdracht uit vanuit een opdrachtpromptvenster met verhoogde bevoegdheid:

    Manager-bde -protectors -enable c:

  6. Start uw apparaat opnieuw op.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders