Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

WAŻNE W ramach regularnego comiesięcznego procesu aktualizacji należy zastosować aktualizację zabezpieczeń systemu Windows wydaną 9 kwietnia 2024 r. lub później.

Ten artykuł dotyczy organizacji, które powinny rozpocząć ocenę środków łagodzących dla publicznie ujawnionego obejścia bezpiecznego rozruchu wykorzystanego przez zestaw rozruchowy INTERFEJSU UEFI blacklotus. Ponadto warto przyjąć proaktywne stanowisko bezpieczeństwa lub rozpocząć przygotowywanie się do wdrożenia. Pamiętaj, że to złośliwe oprogramowanie wymaga dostępu fizycznego lub administracyjnego do urządzenia.

OSTROŻNOŚĆ Po włączeniu łagodzenia tego problemu na urządzeniu, co oznacza, że środki łagodzące zostały zastosowane, nie można go cofnąć, jeśli nadal używasz bezpiecznego rozruchu na tym urządzeniu. Nawet sformatowanie dysku nie spowoduje usunięcia odwołań, jeśli zostały już zastosowane. Należy pamiętać o wszystkich możliwych konsekwencjach i dokładnie przetestować przed zastosowaniem odwołań opisanych w tym artykule na urządzeniu.

W tym artykule

Podsumowanie

W tym artykule opisano ochronę przed ujawnioną publicznie funkcją zabezpieczeń bezpiecznego rozruchu, która korzysta z zestawu rozruchowego UEFI blacklotus śledzonego przez CVE-2023-24932, jak włączyć środki łagodzące i wskazówki dotyczące nośnika rozruchowego. Bootkit to złośliwy program przeznaczony do jak najszybszego ładowania w sekwencji rozruchu urządzeń w celu sterowania uruchomieniem systemu operacyjnego.

Bezpieczny rozruch jest zalecany przez firmę Microsoft w celu utworzenia bezpiecznej i zaufanej ścieżki z interfejsu Unified Extensible Firmware Interface (UEFI) za pośrednictwem sekwencji zaufanego rozruchu jądra systemu Windows. Bezpieczny rozruch zapobiega występowaniu złośliwego oprogramowania w sekwencji rozruchu. Wyłączenie bezpiecznego rozruchu naraża urządzenie na ryzyko zainfekowania go złośliwym oprogramowaniem typu bootkit. Naprawa obejścia bezpiecznego rozruchu opisanego w cve-2023-24932 wymaga odwoływania menedżerów rozruchu. Może to spowodować problemy w przypadku niektórych konfiguracji rozruchu urządzenia.

Środki łagodzące związane z obejściem bezpiecznego rozruchu opisane w temacie CVE-2023-24932 są zawarte w aktualizacjach zabezpieczeń systemu Windows, które zostały wydane 9 kwietnia 2024 r. lub później. Jednak te środki łagodzące nie są domyślnie włączone. W przypadku tych aktualizacji zalecamy rozpoczęcie oceny tych zmian w środowisku. Pełny harmonogram jest opisany w sekcji Chronometraż aktualizacji .

Przed włączeniem tych środków łagodzących należy dokładnie zapoznać się ze szczegółami tego artykułu i ustalić, czy należy włączyć środki łagodzące, czy poczekać na przyszłą aktualizację od firmy Microsoft. Jeśli włączysz środki łagodzące, musisz sprawdzić, czy twoje urządzenia są zaktualizowane i gotowe, oraz zrozumieć zagrożenia opisane w tym artykule. 

Podejmij działanie 

W tej wersji należy wykonać następujące czynności:

Krok 1. Zainstaluj aktualizację zabezpieczeń systemu Windows wydaną 9 kwietnia 2024 r. lub później we wszystkich obsługiwanych wersjach.

Krok 2. Oceń zmiany i ich wpływ na środowisko.

Krok 3. Wymuszanie zmian.

Zakres wpływu

Na wszystkie urządzenia z systemem Windows z włączoną ochroną bezpiecznego rozruchu wpływa zestaw rozruchowy BlackLotus. Środki łagodzące są dostępne dla obsługiwanych wersji systemu Windows. Pełną listę można znaleźć w temacie CVE-2023-24932.

Opis zagrożeń

Ryzyko złośliwego oprogramowania: Aby możliwe było wykorzystanie programu rozruchowego UEFI blacklotus opisane w tym artykule, osoba atakująca musi uzyskać uprawnienia administracyjne na urządzeniu lub uzyskać fizyczny dostęp do urządzenia. Można to zrobić, uzyskując dostęp do urządzenia fizycznie lub zdalnie, na przykład za pomocą funkcji hypervisor w celu uzyskania dostępu do maszyn wirtualnych/chmury. Osoba atakująca będzie często używać tej luki w zabezpieczeniach do dalszego sterowania urządzeniem, do którego już może uzyskiwać dostęp, i ewentualnie manipulować nimi. Środki łagodzące w tym artykule są zapobiegawcze i nie korygujące. Jeśli twoje urządzenie jest już zagrożone, skontaktuj się z dostawcą zabezpieczeń, aby uzyskać pomoc.

Nośnik odzyskiwania: Jeśli napotkasz problem z urządzeniem po zastosowaniu środków łagodzących i urządzenie stanie się niezbywalne, uruchomienie lub odzyskanie urządzenia z istniejącego nośnika może nie być możliwe. Nośnik odzyskiwania lub zainstalowania musi zostać zaktualizowany, aby działał z urządzeniem, na które zastosowano środki łagodzące.

Problemy z oprogramowaniem układowym: Gdy system Windows zastosuje środki łagodzące opisane w tym artykule, musi on polegać na oprogramowaniu układowym UEFI urządzenia, aby zaktualizować wartości bezpiecznego rozruchu (aktualizacje są stosowane do klucza bazy danych (DB) i zakazanego klucza podpisu (DBX). W niektórych przypadkach mamy doświadczenie z urządzeniami, na których aktualizacje nie są aktualizowane. Współpracujemy z producentami urządzeń, aby przetestować te kluczowe aktualizacje na jak największej liczbie urządzeń.

UWAGA Najpierw przetestuj te środki łagodzące na jednym urządzeniu na klasę urządzenia w środowisku, aby wykryć możliwe problemy z oprogramowaniem układowym. Nie wdrażaj go szeroko przed potwierdzeniem, że wszystkie klasy urządzeń w środowisku zostały ocenione.

Odzyskiwanie funkcji BitLocker: Niektóre urządzenia mogą przejść do odzyskiwania funkcji BitLocker. Pamiętaj, aby zachować kopię klucza odzyskiwania funkcji BitLocker przed włączeniem środków łagodzących.

Znane problemy

Problemy z oprogramowaniem układowym:Nie wszystkie oprogramowanie układowe urządzenia pomyślnie zaktualizuje DB lub DBX bezpiecznego rozruchu. W przypadkach, o których wiemy, zgłosiliśmy ten problem producentowi urządzenia. Zobacz KB5016061: zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu , aby uzyskać szczegółowe informacje na temat zarejestrowanych zdarzeń. Aby uzyskać aktualizacje oprogramowania układowego, skontaktuj się z producentem urządzenia. Jeśli urządzenie nie jest obsługiwane, firma Microsoft zaleca uaktualnienie urządzenia.

Znane problemy z oprogramowaniem układowym:

UWAGA Wymienione poniżej znane problemy nie mają wpływu na instalację aktualizacji z 9 kwietnia 2024 r. i nie zapobiegnie ich zainstalowaniu. W większości przypadków środki łagodzące nie będą stosowane tam, gdzie istnieją znane problemy. Zobacz szczegóły dotyczące poszczególnych znanych problemów.

  • HP: Firma HP zidentyfikowała problem z instalacją łagodzenia na komputerach ze stacją roboczą HP Z4G4 i w najbliższych tygodniach wyda zaktualizowane oprogramowanie układowe UEFI (BIOS) Z4G4. Aby zapewnić pomyślne zainstalowanie środków zaradczych, będzie ona blokowana na stacjach roboczych komputerów stacjonarnych do czasu udostępnienia aktualizacji. Klienci powinni zawsze zaktualizować system BIOS do najnowszej wersji przed zastosowaniem środków łagodzących.

  • Urządzenia HP z zabezpieczeniami Sure Start: Aby zainstalować środki łagodzące, te urządzenia wymagają najnowszych aktualizacji oprogramowania układowego firmy HP. Środki łagodzące są blokowane do czasu aktualizacji oprogramowania układowego. Zainstaluj najnowszą aktualizację oprogramowania układowego ze strony pomocy technicznej lekarzy rodzinnych — oficjalne sterowniki HP i pobieranie oprogramowania | Pomoc techniczna HP.

  • Urządzenia z procesorem Arm64: Środki łagodzące są blokowane z powodu znanych problemów z oprogramowaniem układowym UEFI w urządzeniach opartych na procesorze Qualcomm. Firma Microsoft współpracuje z firmą Qualcomm w celu rozwiązania tego problemu. Firma Qualcomm udostępni poprawkę producentom urządzeń. Skontaktuj się z producentem urządzenia, aby ustalić, czy jest dostępna poprawka rozwiązania tego problemu. Firma Microsoft doda wykrywanie, aby umożliwić stosowanie środków łagodzących na urządzeniach po wykryciu stałego oprogramowania układowego. Jeśli urządzenie z procesorem Arm64 nie ma oprogramowania układowego Qualcomm, skonfiguruj następujący klucz rejestru, aby włączyć środki łagodzące.

    Podklucz rejestru

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Nazwa wartości klucza

    SkipDeviceCheck

    Typ danych

    REG_DWORD

    dane

    1

  • Apple:Komputery Mac z mikroukładem zabezpieczeń Apple T2 obsługują bezpieczny rozruch. Jednak aktualizacja zmiennych związanych z zabezpieczeniami UEFI jest dostępna tylko w ramach aktualizacji systemu macOS. Użytkownicy obozu rozruchowego powinni zobaczyć wpis dziennika zdarzeń o identyfikatorze 1795 w systemie Windows związany z tymi zmiennymi. Aby uzyskać więcej informacji o tym wpisie w dzienniku, zobacz KB5016061: zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.

  • Vmware:W środowiskach wirtualizacji opartych na programie VMware maszyna wirtualna korzystająca z procesora opartego na procesorze x86 z włączonym bezpiecznym rozruchem nie będzie się uruchamiać po zastosowaniu środków łagodzących. Firma Microsoft współpracuje z firmą VMware w celu rozwiązania tego problemu.

  • Systemy oparte na modułach TPM 2.0:  Te systemy, które działają Windows Server 2012 i Windows Server 2012 R2 nie mogą wdrożyć środków łagodzących wydanych w aktualizacji zabezpieczeń z 9 kwietnia 2024 r. z powodu znanych problemów ze zgodnością z pomiarami modułu TPM. Aktualizacje zabezpieczeń z 9 kwietnia 2024 r. zablokują środki łagodzące #2 (menedżer rozruchu) i #3 (aktualizacja DBX) w systemach, których dotyczy problem.

    Firma Microsoft wie o tym problemie i w przyszłości zostanie wydana aktualizacja umożliwiająca odblokowanie systemów opartych na modułach TPM 2.0.

    Aby sprawdzić wersję modułu TPM, kliknij prawym przyciskiem myszy przycisk Start, kliknij polecenie Uruchom, a następnie wpisz tpm.msc. W prawym dolnym rogu okienka środkowego w obszarze Informacje o producencie modułu TPM powinna zostać wyświetlona wartość dla pozycji Wersja specyfikacji.

  • Szyfrowanie punktów końcowych firmy Symantec: Środków zaradczych bezpiecznego rozruchu nie można stosować do systemów, w których zainstalowano szyfrowanie punktu końcowego firmy Symantec. Firmy Microsoft i Symantec wiedzą o tym problemie i zostaną rozwiązane w przyszłej aktualizacji.

Wskazówki dotyczące tej wersji

W tej wersji wykonaj te dwie czynności.

Krok 1. Instalowanie aktualizacji

zabezpieczeń systemu Windows Zainstaluj comiesięczną aktualizację zabezpieczeń systemu Windows wydaną 9 kwietnia 2024 r. lub później na obsługiwanych urządzeniach z systemem Windows. Te aktualizacje obejmują środki łagodzące dla cve-2023-24932, ale domyślnie nie są włączone. Wszystkie urządzenia z systemem Windows powinny wykonać ten krok niezależnie od tego, czy zamierzasz wdrożyć środki łagodzące.

Krok 2. Szacowanie zmian

Zachęcamy do wykonania następujących czynności:

  • Poznaj dwa pierwsze środki łagodzące, które umożliwiają zaktualizowanie bazy danych bezpiecznego rozruchu i zaktualizowanie menedżera rozruchu.

  • Przejrzyj zaktualizowany harmonogram.

  • Rozpocznij testowanie dwóch pierwszych środków zaradczych na reprezentatywnych urządzeniach ze środowiska.

  • Rozpocznij planowanie fazy wdrażania, która odbędzie się 9 lipca 2024 r.

Krok 3. Wymuszanie zmian

Zachęcamy do zrozumienia ryzyka przedstawionego w sekcji Opis czynników ryzyka.

  • Opis wpływu na odzyskiwanie i inne nośniki rozruchowe.

  • Rozpocznij testowanie trzeciego łagodzenia, które nie ufa certyfikatowi podpisywania używanego dla wszystkich poprzednich menedżerów rozruchu systemu Windows.

Wskazówki dotyczące wdrażania łagodzenia

Przed wykonaniem tych kroków w celu zastosowania środków łagodzących zainstaluj comiesięczną aktualizację obsługi systemu Windows wydaną 9 kwietnia 2024 r. lub później na obsługiwanych urządzeniach z systemem Windows. Ta aktualizacja zawiera środki łagodzące dla cve-2023-24932, ale nie są one domyślnie włączone. Wszystkie urządzenia z systemem Windows powinny wykonać ten krok niezależnie od planu, aby włączyć środki łagodzące.

UWAGA Jeśli używasz funkcji BitLocker, upewnij się, że kopia zapasowa klucza odzyskiwania funkcji BitLocker została zapisana. W wierszu polecenia administratora można uruchomić następujące polecenie i zanotować 48-cyfrowe hasło numeryczne:

manage-bde -protectors -get %systemdrive%

Aby wdrożyć aktualizację i zastosować odwołania, wykonaj następujące czynności:

  1. Zainstaluj zaktualizowane definicje certyfikatów w bazie danych.

    Ten krok spowoduje dodanie certyfikatu "Windows UEFI CA 2023" do uefi "Secure Boot Signature Database" (DB). Dodając ten certyfikat do bazy danych, oprogramowanie układowe urządzenia będzie ufać aplikacjom rozruchowym podpisanym za pomocą tego certyfikatu.

    1. Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby wykonać aktualizację bazy danych, wprowadzając następujące polecenie:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      WAŻNE Pamiętaj o dwukrotnym ponownym uruchomieniu urządzenia w celu ukończenia instalacji aktualizacji przed przejściem do kroków 2 i 3.

    2. Uruchom następujące polecenie programu PowerShell jako administrator i sprawdź, czy baza danych została pomyślnie zaktualizowana. To polecenie powinno zwrócić wartość Prawda.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Zaktualizuj Menedżera rozruchu na urządzeniu.

    Ten krok spowoduje zainstalowanie na urządzeniu aplikacji Menedżera rozruchu, która jest podpisana certyfikatem "'Windows UEFI CA 2023".

    1. Otwórz wiersz polecenia administratora i ustaw klucz rejestru w celu zainstalowania podpisanego menedżera rozruchu "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Uruchom ponownie urządzenie dwa razy.

    3. Jako administrator zainstaluj partycję EFI, aby przygotować ją do inspekcji:

      mountvol s: /s

    4. Sprawdź, czy plik "s:\efi\microsoft\boot\bootmgfw.efi" jest podpisany certyfikatem "Windows UEFI CA 2023". W tym celu wykonaj następujące czynności:

      1. Kliknij przycisk Start, wpisz wiersz polecenia w polu Search, a następnie kliknij pozycję Wiersz polecenia.

      2. W oknie Wiersz polecenia wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. W Menedżerze plików kliknij prawym przyciskiem myszy plik C:\bootmgfw_2023.efi, kliknij pozycję Właściwości, a następnie wybierz kartę Podpisy cyfrowe .

      4. Na liście Podpis upewnij się, że łańcuch certyfikatów zawiera pakiet WINDOWS UEFI CA 2023. Łańcuch certyfikatów powinien być zgodny z następującym zrzutem ekranu:

        Certyfikaty

  3. Włącz odwołanie.

    Lista zabroniona interfejsu UEFI (DBX) służy do blokowania ładowania niezaufanych modułów UEFI. W tym kroku zaktualizowanie rekordu DBX spowoduje dodanie certyfikatu "Windows Production CA 2011" do rekordu DBX. Spowoduje to, że wszyscy menedżerowie rozruchu podpisani za pomocą tego certyfikatu nie będą już zaufani.

    OSTRZEŻENIE: Przed zastosowaniem trzeciego ograniczenia utwórz dysk flash odzyskiwania, którego można użyć do rozruchu systemu. Aby dowiedzieć się, jak to zrobić, zobacz sekcję Aktualizowanie nośnika instalacyjnego systemu Windows.

    Jeśli system przechodzi w stan niestartowy, wykonaj czynności opisane w sekcji Procedura odzyskiwania, aby zresetować urządzenie do stanu sprzed odwołania.

    1. Dodaj certyfikat "Windows Production PCA 2011" do listy zakazanych plików UEFI bezpiecznego rozruchu (DBX). W tym celu otwórz okno wiersza polecenia jako administrator, wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Uruchom ponownie urządzenie dwa razy i upewnij się, że zostało całkowicie ponownie uruchomione.

    3. Sprawdź, czy lista instalacji i odwołań została pomyślnie zastosowana, szukając zdarzenia 1037 w dzienniku zdarzeń.

      Aby uzyskać informacje o zdarzeniu 1037, zobacz KB5016061: zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX. Ewentualnie uruchom następujące polecenie programu PowerShell jako administrator i upewnij się, że zwraca wartość Prawda:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Nośnik rozruchowy

Po rozpoczęciu fazy wdrażania w środowisku należy zaktualizować nośnik rozruchowy. Wskazówki i narzędzia do aktualizowania multimediów zostaną udostępnione w terminie na etap wdrażania. Faza wdrażania ma się rozpocząć 9 lipca 2024 r.

Przykłady nośnika rozruchowego i nośnika odzyskiwania, na które ma wpływ ten problem:

  • Nośnik rozruchowy utworzony przy użyciu funkcji Utwórz dysk odzyskiwania.

  • Kopie zapasowe systemu Windows, które zostały obrazowe przed zastosowaniem środków łagodzących. Nie będzie można bezpośrednio przywrócić instalacji systemu Windows po włączeniu odwołań na urządzeniu.

  • Niestandardowa partycja CD/DVD lub partycja odzyskiwania utworzona przez Ciebie, producenta urządzenia (OEM) lub przedsiębiorstwa.

  • ISO (poprzez pobranie lub użycie ADK).

  • Rozruch sieci:

    • Usługi wdrażania systemu Windows.

    • Usługi rozruchu środowiska wykonawczego przed uruchomieniem (usługi rozruchu PXE).

    • Zestaw narzędzi firmy Microsoft do wdrażania.

    • Rozruch https.

  • Nośnik instalacyjny i odzyskiwania OEM.

  • Oficjalne nośniki systemu Windows firmy Microsoft, w tym:

  • Windows PE.

  • System Windows zainstalowany na fizycznych urządzeniach lub maszynach wirtualnych.

  • System operacyjny Sprawdzanie poprawności systemu Windows.

Jeśli korzystasz z nośnika rozruchowego z osobistym urządzeniem z systemem Windows, przed zastosowaniem odwołań może być konieczne wykonanie co najmniej jednej z następujących czynności:

  • Jeśli do zapisywania zawartości urządzenia używasz osobistego oprogramowania do tworzenia kopii zapasowych, po zastosowaniu środków łagodzących z 9 kwietnia 2024 r. uruchom pełną kopię zapasową.

  • Jeśli używasz rozruchowego obrazu dysku (ISO), nośnika CD-ROM lub DVD, zaktualizuj nośnik, wykonując instrukcje podane w późniejszym terminie.

Enterprise

  • Zapoznaj się z kompleksowymi wskazówkami i skryptami dotyczącymi aktualizacji nośnika instalacyjnego systemu Windows za pomocą aktualizacji dynamicznej.

  • Jeśli obsługujesz scenariusze rozruchu sieci lub odzyskiwania w środowisku, musisz zaktualizować wszystkie multimedia i obrazy. Mogą to być następujące opcje rozruchu lub odzyskiwania:

    • Zestaw narzędzi firmy Microsoft do wdrażania.

    • Configuration Manager punktu końcowego firmy Microsoft.

    • Usługi wdrażania systemu Windows.

    • Rozruch PxE.

    • Uruchamianie protokołu HTTPS i inne scenariusze rozruchu sieci.

  • Jednym ze sposobów jest użycie instalacji pakietu dism w trybie offline na obrazach, które są obsługiwane w tych scenariuszach. Obejmuje to zaktualizowanie plików rozruchu oferowanych przez te usługi.

  • Jeśli używasz oprogramowania do tworzenia kopii zapasowych w celu zapisania zawartości instalacji systemu Windows w obrazie odzyskiwania, pamiętaj o uruchomieniu pełnej kopii zapasowej po zastosowaniu środków łagodzących z 9 kwietnia 2024 r. Pamiętaj, aby utworzyć kopię zapasową partycji dysku EFI oprócz partycji systemu operacyjnego Windows. Wyraźnie określ kopie zapasowe wykonane przed zastosowaniem środków łagodzących z 9 kwietnia 2024 r. w porównaniu z tymi wykonanymi po zastosowaniu środków łagodzących.

OEM na komputerach z systemem Windows

Aktualizowanie nośnika instalacyjnego systemu Windows

UWAGA Podczas tworzenia rozruchowego dysku flash sformatuj go przy użyciu systemu plików FAT32.

Możesz użyć aplikacji Create Recovery Drive , wykonując poniższe czynności. Za pomocą tego nośnika można ponownie zainstalować urządzenie w przypadku wystąpienia poważnego problemu, takiego jak awaria sprzętu, za pomocą dysku odzyskiwania można ponownie zainstalować system Windows.

  1. Przejdź do urządzenia, na którym zostały zastosowane aktualizacje z 9 kwietnia 2024 r. i pierwszy krok łagodzenia (aktualizacja bazy danych bezpiecznego rozruchu).

  2. W menu Start wyszukaj aplet "Utwórz dysk odzyskiwania" i postępuj zgodnie z instrukcjami, aby utworzyć dysk odzyskiwania.

  3. Po zamontowaniu nowo utworzonego dysku flash (na przykład jako "D:") uruchom następujące polecenia jako administrator. Wpisz każde z następujących poleceń, a następnie naciśnij klawisz Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jeśli zarządzasz nośnikiem instalacyjnym w swoim środowisku przy użyciu nośnika instalacyjnego aktualizacji systemu Windows ze wskazówkami dotyczącymi aktualizacji dynamicznych , wykonaj poniższe czynności. Te dodatkowe kroki umożliwią utworzenie rozruchowego dysku flash korzystającego z plików rozruchowych podpisanych za pomocą certyfikatu podpisywania "Windows UEFI CA 2023".

  1. Przejdź do urządzenia, na którym 9 kwietnia 2024 r. zostały zastosowane aktualizacje i pierwszy krok łagodzenia (aktualizacja bazy danych bezpiecznego rozruchu).

  2. Postępuj zgodnie z instrukcjami podanymi w poniższym linku, aby utworzyć multimedia z aktualizacjami z 9 kwietnia 2024 r. Aktualizowanie nośnika instalacyjnego systemu Windows za pomocą aktualizacji dynamicznej

  3. Umieść zawartość nośnika na dysku USB i zamocuj go jako literę dysku. Na przykład zainstaluj dysk miniaturowy jako "D:".

  4. Uruchom następujące polecenia z okna polecenia jako administrator. Wpisz każde z następujących poleceń, a następnie naciśnij klawisz Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Jeśli urządzenie ma ustawienia bezpiecznego rozruchu zresetowane do ustawień domyślnych po zastosowaniu środków łagodzących, urządzenie nie uruchamia się. Aby rozwiązać ten problem, aplikacja do naprawy jest dołączona do aktualizacji z 9 kwietnia 2024 r., których można użyć do ponownego zastosowania certyfikatu "WINDOWS UEFI CA 2023" do bazy danych (łagodzenie nr 1).

UWAGA Nie należy używać tej aplikacji naprawczej na urządzeniu lub systemie opisanym w sekcji Znane problemy .

  1. Przejdź do urządzenia, na którym zostały zastosowane aktualizacje z 9 kwietnia 2024 r.

  2. W oknie polecenia skopiuj aplikację odzyskiwania na dysk flash, używając następujących poleceń (zakładając, że dysk flash to "D:"). Wpisz poszczególne polecenia osobno, a następnie naciśnij klawisz Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Na urządzeniu z ustawieniami bezpiecznego rozruchu zresetuj ustawienia do stanu domyślnego, włóż dysk flash, uruchom ponownie urządzenie i uruchom je z dysku flash.

Chronometraż aktualizacji

Aktualizacje są udostępniane w następujący sposób:

  • Wdrożenie początkowe Ta faza rozpoczęła się od aktualizacji wydanych 9 maja 2023 r. i dostarczyła podstawowe środki łagodzące z ręcznymi krokami w celu włączenia tych środków łagodzących.

  • Drugie wdrożenie Ten etap rozpoczął się od aktualizacji wydanych 11 lipca 2023 r., które dodały uproszczone kroki w celu włączenia środków łagodzących problem.

  • Faza oceny Ta faza rozpocznie się 9 kwietnia 2024 r. i wprowadzi dodatkowe środki łagodzące dla menedżera rozruchu.

  • Faza ostatecznego wdrażania Wtedy będziemy zachęcać wszystkich klientów do rozpoczęcia wdrażania środków łagodzących i aktualizowania nośników.

  • Faza wymuszania Faza wymuszania, która spowoduje, że środki łagodzące stałe. Data tego etapu zostanie ogłoszona w późniejszym terminie.

Uwaga Harmonogram wersji może zostać zmieniony w razie potrzeby.

Ta faza została usunięta przez aktualizacje zabezpieczeń systemu Windows, które zostały opublikowane 9 kwietnia 2024 r. w okresie od 9 kwietnia 2024 r.

Ta faza została usunięta przez aktualizacje zabezpieczeń systemu Windows, które zostały opublikowane 9 kwietnia 2024 r. w okresie od 9 kwietnia 2024 r.

W tej fazie prosimy o przetestowanie tych zmian w środowisku, aby upewnić się, że zmiany działają poprawnie z reprezentatywnymi przykładowymi urządzeniami i aby uzyskać doświadczenie w zakresie tych zmian.

UWAGA Zamiast prób wyczerpującego tworzenia list i niezaufanych wrażliwych menedżerów rozruchu, tak jak to miało miejsce w poprzednich fazach wdrażania, dodajemy certyfikat podpisywania "Windows Production PCA 2011" do listy nie zezwalania na bezpieczny rozruch (DBX), aby nie ufać wszystkim menedżerom rozruchu podpisanym za pomocą tego certyfikatu. Jest to bardziej niezawodna metoda zapewnienia, że wszyscy poprzedni menedżerowie rozruchu są niezaufane.

Aktualizacje dla systemu Windows wydany 9 kwietnia 2024 r. lub później dodaj następujące elementy:

  • Trzy nowe środki zaradcze, które zastępują środki łagodzące wydane w 2023 r. Nowe środki zaradcze są następujące:

    • Kontrolka umożliwiająca wdrożenie certyfikatu "Windows UEFI CA 2023" w bazie danych bezpiecznego rozruchu w celu dodania zaufania dla menedżerów rozruchu systemu Windows podpisanych za pomocą tego certyfikatu. Pamiętaj, że certyfikat "Windows UEFI CA 2023" mógł zostać zainstalowany we wcześniejszej aktualizacji systemu Windows.

    • Kontrolka umożliwiająca wdrożenie menedżera rozruchu podpisanego certyfikatem "Windows UEFI CA 2023".

    • Kontrolka umożliwiająca dodanie pliku "Windows Production PCA 2011" do bazy danych bezpiecznego rozruchu, która blokuje wszystkich menedżerów rozruchu systemu Windows podpisanych tym certyfikatem.

  • Możliwość umożliwienia wdrażania łagodzenia etapami niezależnie, aby umożliwić większą kontrolę nad wdrażaniem środków łagodzących w środowisku w zależności od twoich potrzeb.

  • Środki łagodzące są połączone, dzięki czemu nie można ich wdrożyć w nieprawidłowej kolejności.

  • Dodatkowe zdarzenia, aby poznać stan urządzeń w miarę ich stosowania środków łagodzących. Zobacz KB5016061: zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu, aby uzyskać więcej szczegółowych informacji na temat zdarzeń.

Ta faza jest wtedy, gdy zachęcamy klientów do rozpoczęcia wdrażania środków łagodzących i zarządzania wszelkimi aktualizacjami multimediów. Aktualizacje będą dodawać następujące zmiany:

  • Wskazówki i narzędzia ułatwiające aktualizowanie multimediów.

  • Zaktualizowano blok DBX, aby odwołać dodatkowych menedżerów rozruchu.

Faza wymuszania będzie obowiązywać co najmniej sześć miesięcy po fazie wdrażania. Po wydaniu aktualizacji dla fazy wymuszania będą one obejmować następujące elementy:

  • Certyfikat "Windows Production PCA 2011" zostanie automatycznie odwołany przez dodanie go do listy zakazanych plików UEFI bezpiecznego rozruchu (DBX) na urządzeniach z obsługą. Te aktualizacje będą programowo wymuszane po zainstalowaniu aktualizacji systemu Windows we wszystkich systemach, których dotyczy problem, bez możliwości wyłączenia.

Błędy dziennika zdarzeń systemu Windows związane z OKS-2023-24932

Wpisy dziennika zdarzeń systemu Windows związane z aktualizacją DB i DBX opisano szczegółowo w KB5016061: zdarzeniach aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.

Zdarzenia "sukcesu" związane ze stosowaniem środków łagodzących są wymienione w poniższej tabeli.

Krok łagodzenia

Identyfikator zdarzenia

Uwagi

Stosowanie aktualizacji bazy danych

1036

Certyfikat PCA2023 został dodany do bazy danych.

Aktualizowanie menedżera rozruchu

1799

Zastosowano PCA2023 podpisany menedżer rozruchu.

Stosowanie aktualizacji DBX

1037

Zastosowano aktualizację DBX, która nie ufa certyfikatowi podpisywania PCA2011.

Często zadawane pytania (często zadawane pytania)

Zaktualizuj wszystkie systemy operacyjne Windows za pomocą aktualizacji wydanych 9 kwietnia 2024 r. lub później, zanim zastosujesz odwołania. Uruchomienie żadnej wersji systemu Windows, która nie została zaktualizowana do co najmniej aktualizacji wydanych 9 kwietnia 2024 r., może nie być możliwe po zastosowaniu odwołań. Postępuj zgodnie ze wskazówkami w sekcji Rozwiązywanie problemów z rozruchem .

Rozwiązywanie problemów z rozruchem

Po zastosowaniu wszystkich trzech środków łagodzących oprogramowanie układowe urządzenia nie zostanie uruchomione przy użyciu menedżera rozruchu podpisanego przez windows production PCA 2011. Błędy rozruchu zgłaszane przez oprogramowanie układowe są specyficzne dla urządzenia. Zapoznaj się z sekcją Procedura odzyskiwania .

Procedura odzyskiwania

Jeśli coś pójdzie nie tak podczas stosowania środków łagodzących i nie możesz uruchomić urządzenia lub musisz uruchomić urządzenie z nośnika zewnętrznego (takiego jak dysk usb lub rozruch PXE), wypróbuj następujące sugestie:

  1. Wyłącz bezpieczny rozruch.

    Ta procedura różni się między producentami i modelami urządzeń. Wprowadź na urządzeniach menu BIOS interfejsu UEFI, przejdź do ustawień bezpiecznego rozruchu i wyłącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta urządzenia. Więcej szczegółów można znaleźć w temacie Wyłączanie bezpiecznego rozruchu.

  2. Zresetuj domyślne ustawienia kluczy bezpiecznego rozruchu do stanu początkowego.

    Jeśli urządzenie obsługuje resetowanie kluczy bezpiecznego rozruchu do domyślnych ustawień fabrycznych, wykonaj tę akcję teraz.

    UWAGA Niektórzy producenci urządzeń mają opcję "Wyczyść" i "Resetuj" dla zmiennych bezpiecznego rozruchu, w którym to przypadku należy użyć opcji "Resetuj". Celem jest przywrócenie wartości domyślnych producentów zmiennych bezpiecznego rozruchu.

    Urządzenie powinno rozpocząć się teraz, ale pamiętaj, że jest ono narażone na złośliwe oprogramowanie z zestawu rozruchowego. Upewnij się, że wykonasz krok 5 tego procesu odzyskiwania, aby ponownie włączyć bezpieczny rozruch.

  3. Spróbuj uruchomić system Windows z dysku systemowego.

    1. Logowanie do systemu Windows.

    2. Uruchom następujące polecenia z wiersza polecenia administratora, aby przywrócić pliki rozruchu na partycji rozruchowej systemu EFI. Wpisz poszczególne polecenia osobno, a następnie naciśnij klawisz Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Uruchomienie funkcji BCDBoot zwraca wartość "Pomyślnie utworzono pliki rozruchowe". Po wyświetleniu tego komunikatu ponownie uruchom urządzenie do systemu Windows.

  4. Jeśli krok 3 nie odzyska urządzenia, ponownie zainstaluj system Windows.

    1. Uruchom urządzenie z istniejącego nośnika odzyskiwania.

    2. Przejdź do instalacji systemu Windows przy użyciu nośnika odzyskiwania.

    3. Logowanie do systemu Windows.

    4. Uruchom ponownie system Windows, aby sprawdzić, czy urządzenie ponownie uruchamia się w systemie Windows.

  5. Włącz ponownie bezpieczny rozruch i uruchom ponownie urządzenie.

    Wprowadź menu interfejsu UEFI urządzenia i przejdź do ustawień bezpiecznego rozruchu i włącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta urządzenia. Więcej informacji można znaleźć w sekcji "Ponowne włączanie bezpiecznego rozruchu".

Informacje pomocnicze

Produkty innych firm omówione w tym artykule są produkowane przez wytwórców niezależnych od Microsoft. Nie udzielamy żadnych gwarancji, dorozumianych ani innych, co do wydajności i niezawodności tych produktów.

Udostępniamy informacje kontaktowe innych firm, aby pomóc w znalezieniu pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych innych firm.

Data zmiany

Opis zmiany

9 kwietnia 2024 r.

  • Obszerne zmiany procedur, informacji, wytycznych i dat. Należy pamiętać, że niektóre poprzednie zmiany zostały usunięte w wyniku dużych zmian wprowadzonych w tym dniu.

16 grudnia 2023 r.

  • Poprawiono daty wydania trzeciego wdrożenia i wymuszania w sekcji "Chronometraż aktualizacji".

15 maja 2023 r.

  • Usunięto nieobsługiowane Windows 10 systemu operacyjnego w wersji 21H1 z sekcji "Dotyczy".

11 maja 2023 r.

  • Do kroku 1 dodano uwagę PRZESTROGA w sekcji "Wskazówki dotyczące wdrażania" dotyczące uaktualniania do Windows 11, wersji 21H2 lub 22H2 lub niektórych wersji Windows 10.

10 maja 2023 r.

  • Wyjaśniono, że wkrótce będzie dostępny nośnik systemu Windows do pobrania zaktualizowany o najnowszą Aktualizacje zbiorczą.

  • Poprawiono pisownię wyrazu "Dostęp zabroniony".

9 maja 2023 r.

  • Dodano dodatkowe obsługiwane wersje do sekcji "Dotyczy".

  • Zaktualizowano krok 1 sekcji "Wykonywanie akcji".

  • Zaktualizowano krok 1 sekcji "Wskazówki dotyczące wdrażania".

  • Poprawiono polecenia w kroku 3a sekcji "Wskazówki dotyczące deplomentu".

  • Poprawiono rozmieszczenie obrazów INTERFEJSU UEFI funkcji Hyper-V w sekcji "Rozwiązywanie problemów z rozruchem".

27 czerwca 2023 r.

  • Usunięto notatkę dotyczącą aktualizowania z Windows 10 do nowszej wersji Windows 10 która korzysta z pakietu włączania w obszarze Krok 1:Install w sekcji "Wskazówki dotyczące wdrażania".

11 lipca 2023 r.

  • Zaktualizowano wystąpienia daty "9 maja 2023 r." na "11 lipca 2023 r.", "9 maja 2023 r. i 11 lipca 2023 r." lub do "9 maja 2023 r. lub nowszej".

  • W sekcji "Wskazówki dotyczące wdrażania" zauważamy, że wszystkie aktualizacje dynamiczne safeOS są teraz dostępne do aktualizowania partycji WinRE. Ponadto pole PRZESTROGA zostało usunięte, ponieważ problem został rozwiązany przez wydanie aktualizacji dynamicznych SafeOS.

  • W polu "3. Zastosuj sekcję odwołań", instrukcje zostały poprawione.

  • W sekcji "Błędy dziennika zdarzeń systemu Windows" jest dodawany identyfikator zdarzenia 276.

25 sierpnia 2023 r.

  • Zaktualizowano różne sekcje dotyczące tworzenia wyrazów i dodano informacje o wersji z 11 lipca 2023 r. i wersji w przyszłości 2024 r.

  • Ponowne rozmieszczanie części zawartości z sekcji "Unikanie problemów z nośnikiem rozruchu" do sekcji "Aktualizowanie nośnika rozruchowego".

  • Zaktualizowano sekcję "Chronometraż aktualizacji" o poprawione daty wdrożenia i informacje.
Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×