Ondernemingsimplementatierichtlijnen voor CVE-2023-24932

We hebben de implementatie onderverdeeld in meerdere stappen die kunnen worden uitgevoerd op een tijdlijn die geschikt is voor uw organisatie. U moet uzelf vertrouwd maken met deze stappen. Zodra u een goed begrip hebt van de stappen, moet u overwegen hoe deze in uw omgeving werken en implementatieplannen voorbereiden die geschikt zijn voor uw onderneming op uw tijdlijn.

Voor het toevoegen van het nieuwe Windows UEFI CA 2023-certificaat en het vertrouwen van het Microsoft Windows Production PCA 2011-certificaat is samenwerking vereist van de firmware van het apparaat. Omdat er een grote combinatie van apparaathardware en firmware is en Microsoft niet alle combinaties kan testen, raden we u aan representatieve apparaten in uw omgeving te testen voordat u deze breed implementeert. U wordt aangeraden ten minste één apparaat te testen van elk type dat in uw organisatie wordt gebruikt. Enkele bekende apparaatproblemen die deze oplossingen blokkeren, worden beschreven als onderdeel van KB5025885: Het beheren van de intrekkingen van Windows-opstartbeheer voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932. Als u een probleem met de firmware van het apparaat detecteert dat niet wordt vermeld in de sectie Bekende problemen , neem dan contact op met uw OEM-leverancier om het probleem op te lossen.

Omdat dit document verwijst naar verschillende certificaten, worden ze in de volgende tabel weergegeven voor eenvoudige naslag en duidelijkheid:

Oude CA's van 2011	Nieuwe CA's voor 2023 (verlopen in 2038)	Functie
Microsoft Corporation KEK CA 2011 (verloopt in juli 2026)	Microsoft Corporation KEK CA 2023	Db- en DBX-updates tekenen
Microsoft Windows Production PCA 2011 (PCA2011) (verloopt in oktober 2026)	Windows UEFI CA 2023 (PCA2023)	Tekenen van Windows bootloader
Microsoft Corporation UEFI CA 2011 (verloopt in juli 2026)	Microsoft UEFI CA 2023 en Microsoft Option ROM UEFI CA 2023	Ondertekent bootloaders van derden en optie-ROM's

Er zijn vier oplossingen die moeten worden toegepast om te beschermen tegen de aanvallen die worden beschreven in CVE-2023-24932:

• Beperking 1: Installeer de bijgewerkte certificaatdefinitie (PCA2023) in de database

• Beperking 2:Opstartbeheer op uw apparaat bijwerken

• Beperking 3:De intrekking inschakelen (PCA2011)

• Risicobeperking 4:De SVN-update toepassen op de firmware

Deze vier risicobeperkingen kunnen handmatig worden toegepast op elk van de testapparaten volgens de richtlijnen die worden beschreven in de richtlijnen voor de implementatie van risicobeperking van KB5025885: De intrekkingen van Windows-opstartbeheer beheren voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932, of door de richtlijnen in dit document te volgen. Alle vier de risicobeperkingen zijn afhankelijk van de juiste werking van de firmware.

Inzicht in de volgende risico's helpt u tijdens uw planningsproces.

Firmwareproblemen:Elk apparaat heeft firmware die is verstrekt door de fabrikant van het apparaat. Voor de implementatiebewerkingen die in dit document worden beschreven, moet de firmware updates voor de Secure Boot DB (Signature Database) en DBX (Forbidden Signature Database) kunnen accepteren en verwerken. Bovendien is de firmware verantwoordelijk voor het valideren van de handtekening- of opstarttoepassingen, waaronder windows opstartbeheer. De firmware van het apparaat is software en kan, net als elke software, defecten hebben. Daarom is het belangrijk om deze bewerkingen te testen voordat u deze op grote schaal implementeert.

Microsoft test voortdurend veel combinaties van apparaten en firmware, te beginnen met de apparaten in Microsoft-labs en -kantoren, en Microsoft werkt samen met OEM's om hun apparaten te testen. Bijna alle geteste apparaten zijn zonder problemen geslaagd. In een paar gevallen hebben we problemen gezien waarbij de firmware de updates niet correct verwerkt en we werken samen met de OEM's om de problemen op te lossen waarvan we op de hoogte zijn.

Media installeren:Door beperking 3 en beperking 4 toe te passen die verderop in dit document worden beschreven, kunnen alle bestaande Windows-installatiemedia niet meer worden opgestart totdat de media over een bijgewerkt opstartbeheer beschikt. De risicobeperkingen die in dit document worden beschreven, voorkomen dat oude, kwetsbare opstartmanagers worden uitgevoerd door ze niet meer te vertrouwen in de firmware. Dit voorkomt dat een aanvaller het opstartbeheer van het systeem terugdraait naar een eerdere versie en misbruik maakt van beveiligingsproblemen die aanwezig zijn in oudere versies. Het blokkeren van deze kwetsbare opstartmanagers mag geen invloed hebben op het actieve systeem. Het voorkomt echter dat opstartbare media worden gestart totdat de opstartmanagers op de media zijn bijgewerkt. Dit omvat ISO-installatiekopieën, opstartbare USB-stations en netwerk opstarten (PxE- en HTTP-opstarten).

• Beperking 1: installeer de bijgewerkte certificaatdefinities in de database
  
  Voegt het nieuwe Windows UEFI CA 2023-certificaat toe aan de UEFI Secure Boot Signature Database (DB). Door dit certificaat toe te voegen aan de database, vertrouwt de firmware van het apparaat Microsoft Windows-opstarttoepassingen die door dit certificaat zijn ondertekend.

• Beperking 2: Het opstartbeheer op uw apparaat bijwerken
  
  Hiermee past u het nieuwe Windows-opstartbeheer toe dat is ondertekend met het nieuwe Windows UEFI CA 2023-certificaat.

Deze oplossingen zijn belangrijk voor de langetermijnservice van Windows op deze apparaten. Omdat het Microsoft Windows Production PCA 2011-certificaat in de firmware in oktober 2026 verloopt, moeten apparaten het nieuwe Windows UEFI CA 2023-certificaat in de firmware hebben voordat het verloopt, anders kan het apparaat geen Windows-updates meer ontvangen, waardoor het apparaat in een kwetsbare beveiligingsstatus komt.

Voor informatie over het toepassen van risicobeperking 1 en Beperking 2 in twee afzonderlijke stappen (als u voorzichtiger wilt zijn, ten minste eerst), raadpleegt u KB5025885: De intrekkingen van Windows-opstartbeheer beheren voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932. U kunt beide oplossingen ook toepassen door de volgende bewerking met één registersleutel uit te voeren als beheerder:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f

Als de risicobeperkingen van toepassing zijn, worden de bits in de availableupdates-sleutel gewist. Nadat u deze hebt ingesteld op 0x140 en opnieuw hebt opgestart, verandert de waarde in 0x100 en wordt deze na opnieuw opstarten gewijzigd in 0x000.

De beperking van opstartbeheer wordt pas toegepast als de firmware aangeeft dat de 2023-certificaatbeperking is toegepast. Deze bewerkingen kunnen niet in de juiste volgorde worden uitgevoerd.

Wanneer beide oplossingen worden toegepast, wordt een registersleutel ingesteld om aan te geven dat het systeem '2023 geschikt' is, wat betekent dat de media kunnen worden bijgewerkt en Beperking 3 en Beperking 4 kunnen worden toegepast.

In de meeste gevallen moet voor het voltooien van beperking 1 en beperking 2 ten minste twee keer opnieuw worden gestart voordat de risicobeperkingen volledig worden toegepast. Als u extra herstarts toevoegt aan uw omgeving, zorgt u ervoor dat de risicobeperkingen sneller worden toegepast. Het is echter mogelijk niet praktisch om kunstmatig extra herstarts te injecteren en het kan zinvol zijn om te vertrouwen op de maandelijkse herstarts die plaatsvinden als onderdeel van het toepassen van de beveiligingsupdates. Dit betekent minder verstoring van uw omgeving, maar het risico dat het langer duurt om veilig te zijn.

Nadat u Risicobeperking 1 en Beperking 2 op uw apparaten hebt geïmplementeerd, moet u uw apparaten controleren om ervoor te zorgen dat de risicobeperkingen zijn toegepast en nu '2023 geschikt' zijn. Bewaking kan worden uitgevoerd door te zoeken naar de volgende registersleutel op het systeem. Als de sleutel bestaat en is ingesteld op 1, heeft het systeem het 2023-certificaat toegevoegd aan de variabele Secure Boot DB. Als de sleutel bestaat en is ingesteld op 2, heeft het systeem het 2023-certificaat in de database en begint met de met 2023 ondertekende opstartmanager.

Registersubsleutel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Naam van sleutelwaarde	WindowsUEFICA2023Capable
Gegevenstype	REG_DWORD
Gegevens	0 – of de sleutel bestaat niet - Het certificaat 'Windows UEFI CA 2023' bevindt zich niet in de database 1 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database 2 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database en het systeem begint vanaf de door 2023 ondertekende opstartmanager.

Nadat beperking 1 en beperking 2 zijn toegepast op uw apparaten, kunt u alle opstartbare media bijwerken die u in uw omgeving gebruikt. Het bijwerken van de opstartbare media betekent dat de PCA2023 ondertekende opstartmanager wordt toegepast op de media. Dit omvat het bijwerken van de installatiekopieën van het netwerk (zoals PxE en HTTP), ISO-installatiekopieën en USB-stations. Anders worden apparaten waarop de risicobeperkingen zijn toegepast, niet gestart vanaf opstartmedia die gebruikmaken van de oudere Windows-opstartbeheer- en 2011-CA. ​​​​

Hulpprogramma's en richtlijnen voor het bijwerken van elk type opstartbare media zijn hier beschikbaar:

Mediatype	Hulpbron
ISO, USB-stations, enzovoort	KB5053484: Windows-opstartbare media bijwerken om het PCA2023 ondertekende opstartbeheer te gebruiken
PXE-opstartserver	Documentatie die later moet worden verstrekt

Tijdens het bijwerken van media moet u de media testen met een apparaat met alle vier de risicobeperkingen. De laatste twee oplossingen blokkeren oudere, kwetsbare opstartbeheerders. Het hebben van media met huidige opstartmanagers is een belangrijk onderdeel van het voltooien van dit proces.

Opstartbare media bevatten niet het systeemstation van het apparaat waarop Windows zich gewoonlijk bevindt en automatisch wordt gestart. Opstartbare media worden vaak gebruikt om een apparaat op te starten dat geen opstartbare versie van Windows heeft en opstartbare media worden vaak gebruikt om Windows op het apparaat te installeren.

De UEFI Secure Boot-instellingen bepalen welke opstartmanagers moeten worden vertrouwd met behulp van de Secure Boot DB (Signature Database) en DBX (Forbidden Signature Database). De database bevat de hashes en sleutels voor vertrouwde software, en de DBX-opslag slaat ingetrokken, gecompromitteerde en niet-vertrouwde hashes en sleutels om te voorkomen dat onbevoegde of schadelijke software wordt uitgevoerd tijdens het opstartproces.

Het is handig om na te denken over de verschillende statussen waarin een apparaat zich kan bevindt en welke opstartbare media kunnen worden gebruikt met het apparaat in elk van deze statussen. In alle gevallen bepaalt de firmware of het de opstartmanager moet vertrouwen waarmee deze wordt gepresenteerd en, zodra de opstartmanager wordt uitgevoerd, worden de DB en DBX niet meer geraadpleegd door de firmware. Opstartbare media kunnen een met 2011 CA ondertekende opstartmanager of een met 2023 CA ondertekende opstartmanager gebruiken, maar niet beide. In de volgende sectie wordt beschreven in welke statussen het apparaat zich kan bevindt en, in sommige gevallen, welke media vanaf het apparaat kunnen worden opgestart.

Deze apparaatscenario's kunnen helpen bij het maken van plannen voor het implementeren van de risicobeperkingen op uw apparaten.

Nieuwe apparaten

Sommige nieuwe apparaten zijn verzonden met zowel de 2011- als 2023-CA's die vooraf zijn geïnstalleerd in de firmware van het apparaat. Niet alle fabrikanten zijn overgeschakeld om beide te hebben en kunnen nog steeds apparaten verzenden met alleen de 2011 CA vooraf geïnstalleerd.

• Apparaten met zowel de 2011- als 2023-CA's kunnen media starten die de door 2011 CA ondertekende opstartmanager of de door 2023 door ca ondertekende opstartmanager bevat.

• Apparaten waarop alleen de 2011-CA is geïnstalleerd, kunnen alleen worden opgestart met de 2011-CA ondertekende opstartmanager. De meeste oudere media bevatten de 2011 CA ondertekende opstartmanger.

Apparaten met risicobeperkingen 1 en 2

Deze apparaten zijn vooraf geïnstalleerd met de 2011-CA en door beperking 1 toe te passen, is nu de 2023-CA geïnstalleerd. Omdat deze apparaten beide CA's vertrouwen, kunnen deze apparaten zowel de media starten met de 2011-CA als de door 2023 ondertekende opstartmanager.

Apparaten met risicobeperking 3 en 4

Deze apparaten hebben de 2011-CA opgenomen in de DBX en vertrouwen media niet meer met een 2011 CA ondertekende opstartmanager. Een apparaat met deze configuratie start alleen media met een door 2023 CA ondertekende opstartmanager.

Beveiligd opstarten opnieuw instellen

Als de instellingen voor beveiligd opstarten opnieuw zijn ingesteld op de standaardwaarden, zijn eventuele oplossingen die zijn toegepast op de DATABASE (de 2023-CA toevoegen) en de DBX (waardoor de 2011-CA niet wordt vertrouwd) mogelijk niet meer toegepast. Het gedrag is afhankelijk van wat de standaardwaarden van de firmware zijn.

DBX

Als mitigaties 3 en/of 4 zijn toegepast en de DBX is gewist, komt de CA van 2011 niet voor in de DBX-lijst en wordt deze nog steeds vertrouwd. Als dit gebeurt, is het opnieuw toepassen van risicobeperkingen 3 en/of 4 noodzakelijk.

DB

Als de database de 2023-CA bevat en deze wordt verwijderd door de instellingen voor beveiligd opstarten opnieuw in te stellen op de standaardinstellingen, wordt het systeem mogelijk niet opgestart als het apparaat afhankelijk is van de met 2023 CA ondertekende opstartmanager. Als het apparaat niet opstart, gebruikt u het hulpprogramma securebootrecovery.efi dat wordt beschreven in KB5025885: De intrekkingen van Windows-opstartbeheer beheren voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932 om het systeem te herstellen.

• Beperking 3: De intrekking inschakelen
  
  Het Microsoft Windows Production PCA 2011-certificaat wordt niet meer vertrouwd door het toe te voegen aan de firmwares Secure Boot DBX. Dit zorgt ervoor dat de firmware niet alle 2011 CA ondertekende opstartmanagers en media vertrouwt die afhankelijk zijn van de 2011 CA ondertekende opstartmanager.

• Beperking 4: De update voor het beveiligde versienummer toepassen op de firmware
  
  Past de SVN-update (Secure Version Number) toe op de firmwares Secure Boot DBX. Wanneer een met 2023 ondertekende opstartmanager wordt uitgevoerd, voert deze een zelfcontrole uit door de SVN die is opgeslagen in de firmware te vergelijken met de SVN die is ingebouwd in de opstartmanager. Als de SVN van de opstartmanager lager is dan de SVN van de firmware, wordt het opstartbeheer niet uitgevoerd. Deze functie voorkomt dat een aanvaller het opstartbeheer terugdraait naar een oudere, niet-bijgewerkte versie. Voor toekomstige beveiligingsupdates voor de opstartmanager wordt de SVN verhoogd en moet Beperking 4 opnieuw worden toegepast.

Belangrijk Beperking 1 en Beperking 2 moeten worden voltooid voordat beperking 3 en beperking 4 worden toegepast.

Voor informatie over het toepassen van risicobeperking 3 en beperking 4 in twee afzonderlijke stappen (als u voorzichtiger wilt zijn, ten minste eerst), raadpleegt u KB5025885: De intrekkingen van Windows-opstartbeheer beheren voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932 Of u kunt beide oplossingen toepassen door als beheerder de volgende bewerking met één registersleutel uit te voeren:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Als u beide oplossingen tegelijk toepast, hoeft u slechts één keer opnieuw op te starten om de bewerking te voltooien.

• Beperking 3: U kunt controleren of de intrekkingslijst is toegepast door te zoeken naar Gebeurtenis-id: 1037 in het gebeurtenislogboek, volgens KB5016061: Updategebeurtenissen van Secure Boot DB en DBX-variabele.
  
  U kunt ook de volgende PowerShell-opdracht uitvoeren als beheerder en ervoor zorgen dat deze Waar retourneert:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Risicobeperking 4: Er bestaat nog geen methode om te bevestigen dat de SVN-instelling is toegepast. Deze sectie wordt bijgewerkt wanneer er een oplossing beschikbaar is.