Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Zmień datę

Zmień opis

20 marca 2024 r.

  • Dodano sekcję "Wyniki i opinie"

21 marca 2024 r.

  • Zaktualizowano krok 4 w sekcji "Krok 2: Instalowanie menedżera rozruchu z podpisem PCA2023"

22 marca 2024 r.

  • Zaktualizowano informacje kontaktowe wiadomości e-mail w sekcji "Wyniki i opinie"

  • Dodano sekcję "Włączanie opcjonalnych danych diagnostycznych"

Wprowadzenie

Ten artykuł jest uzupełnieniem następującego artykułu, który zostanie zaktualizowany w kwietniu 2024 r.:

  • KB5025885: Jak zarządzać odwołaniami Menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932

To uzupełnienie opisuje zaktualizowaną procedurę krok po kroku w celu wdrożenia nowych środków łagodzących przed zestawem rozruchowym INTERFEJSU UEFI blacklotus śledzonego przez CVE-2023-24932 i zawiera wskazówki dotyczące testowania dla Twojego środowiska.

Aby pomóc w ochronie przed złośliwym nadużyciem wrażliwych menedżerów rozruchu, musimy wdrożyć nowy certyfikat podpisywania bezpiecznego rozruchu UEFI w oprogramowaniu układowym urządzenia i odwołać zaufanie do oprogramowania układowego bieżącego certyfikatu podpisywania. Spowoduje to, że wszyscy istniejący, bezbronni menedżerowie rozruchu będą niezaufani przez urządzenia z włączoną funkcją bezpiecznego rozruchu. Ten przewodnik pomoże Ci w tym procesie.

Trzy kroki łagodzenia opisane w tym przewodniku są następujące:

  1. Aktualizowanie bazy danych: Nowy certyfikat PCA (PCA2023) zostanie dodany do bazy danych bezpiecznego rozruchu, co umożliwi urządzeniu rozruch nośnika podpisanego przez ten certyfikat.

  2. Instalacja menedżera rozruchu: Istniejący menedżer rozruchu z podpisem PCA2011 zostanie zastąpiony przez menedżera rozruchu z podpisem PCA2023.Obaj menedżerowie rozruchu są uwzględnieni w aktualizacjach zabezpieczeń z kwietnia 2024 r.

  3. Odwołanie PCA2011 DBX: Do bazy danych bezpiecznego rozruchu zostanie dodana odmowa, uniemożliwiając rozruch menedżerom rozruchu podpisanym za pomocą PCA2011.

Uwaga Oprogramowanie Servicing Stack, które stosuje te trzy środki łagodzące, nie pozwoli na stosowanie środków łagodzących w porządku.

Czy dotyczy to mnie?

Ten przewodnik dotyczy wszystkich urządzeń z włączonym bezpiecznym rozruchem i wszystkich istniejących nośników odzyskiwania dla tych urządzeń.

Jeśli na urządzeniu działa Windows Server 2012 lub Windows Server 2012 R2, przed kontynuowaniem przeczytaj sekcję "Znane problemy".

Przed rozpoczęciem

Włączanie opcjonalnych danych diagnostycznych

Włącz ustawienie "Wyślij opcjonalne dane diagnostyczne", wykonując następujące czynności:

  1. W Windows 11 przejdź do obszaru Uruchamianieustawień > > opinii na temat > diagnostyk & i & prywatności > Diagnostyka.

  2. Włącz opcję Wyślij opcjonalne dane diagnostyczne.

    Opinie o & diagnostycznych

Aby uzyskać więcej informacji, zobacz Diagnostyka, opinie i prywatność w systemie Windows

UWAGA Upewnij się, że masz łączność z Internetem w trakcie sprawdzania poprawności i przez jakiś czas po jej zakończeniu.

Zdaj test

Po zainstalowaniu aktualizacji systemu Windows z kwietnia 2024 r. przed wykonaniem kroków w celu włączenia się do systemu należy wykonać test w celu zweryfikowania integralności systemu:

  1. VPN: Sprawdź, czy dostęp vpn do zasobów firmowych i sieci działa.

  2. Windows Hello: Logowanie się na urządzeniu z systemem Windows przy użyciu normalnej procedury (rozpoznawanie twarzy/linii papilarnych/PIN).

  3. Funkcją bitlocker: System uruchamia się normalnie w systemach z obsługą funkcji BitLocker bez monitu odzyskiwania funkcji BitLocker podczas uruchamiania.

  4. Zaświadczanie kondycji urządzenia: Sprawdź, czy urządzenia zależne od zaświadczania kondycji urządzenia prawidłowo potwierdzają ich stan.

Znane problemy

Dotyczy tylko Windows Server 2012 i Windows Sever 2012 R2:

  • Systemy oparte na modułach TPM 2.0 nie mogą wdrożyć środków łagodzących wydanych w aktualizacji zabezpieczeń z kwietnia 2024 r. z powodu znanych problemów ze zgodnością pomiarów modułu TPM. Aktualizacje z kwietnia 2024 r. zablokują środki łagodzące #2 (menedżer rozruchu) i #3 (aktualizacja DBX) w systemach, na które ma to wpływ.

  • Firma Microsoft wie o tym problemie i w przyszłości zostanie wydana aktualizacja umożliwiająca odblokowanie systemów opartych na modułach TPM 2.0.

  • Aby sprawdzić wersję modułu TPM, kliknij prawym przyciskiem myszy przycisk Start, kliknij polecenie Uruchom, a następnie wpisz tpm.msc. W prawym dolnym rogu okienka środkowego w obszarze Informacje o producencie modułu TPM powinna zostać wyświetlona wartość dla pozycji Wersja specyfikacji.

Kroki sprawdzania poprawności zgody

W dalszej części tego artykułu omówiono testowanie urządzeń umożliwiających zgodę na działanie środków łagodzących. Środki łagodzące nie są domyślnie włączone. Jeśli Twoje przedsiębiorstwo planuje włączyć te środki łagodzące, wykonaj następujące kroki sprawdzania poprawności, aby sprawdzić zgodność urządzenia.

  1. Wdróż wstępną aktualizację zabezpieczeń z kwietnia 2024 r.

  2. Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby przeprowadzić aktualizację bazy danych, wpisując następujące polecenie, a następnie naciśnij klawisz Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Uruchom ponownie urządzenie dwa razy.

  4. Sprawdź, czy baza danych została pomyślnie zaktualizowana, upewniając się, że następujące polecenie zwraca wartość Prawda. Uruchom następujące polecenie programu PowerShell jako administrator:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby pobrać i zainstalować menedżera rozruchu z podpisem PCA2023:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Uruchom ponownie urządzenie dwa razy.

  3. Jako administrator zainstaluj partycję EFI, aby przygotować ją do inspekcji:

    mountvol s: /s

  4. Sprawdź, czy podpis "s:\efi\microsoft\boot\bootmgfw.efi" jest podpisany przez PCA2023. W tym celu wykonaj następujące czynności:

    1. Kliknij przycisk Start, wpisz wiersz polecenia w polu Wyszukaj , a następnie kliknij pozycję Wiersz polecenia.

    2. W oknie Wiersz polecenia wpisz następujące polecenie, a następnie naciśnij klawisz Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. W Menedżerze plików kliknij prawym przyciskiem myszy plik C:\bootmgfw_2023.efi, kliknij pozycję Właściwości, a następnie wybierz kartę Podpisy cyfrowe.

    4. Na liście Podpis potwierdź, że łańcuch certyfikatów zawiera pakiet WINDOWS UEFI 2023 CA.

PRZESTROGA: W tym kroku wdrożono odwołanie DBX na niezaufanych starych, wrażliwych menedżerach rozruchu podpisanych za pomocą PCA2011 Windows Production. Urządzenia z zastosowanym odwołaniem nie będą już uruchamiane z istniejących serwerów nośnika odzyskiwania i rozruchu sieciowego (PXE/HTTP), które nie mają zaktualizowanych składników menedżera rozruchu.

Jeśli urządzenie przechodzi w stan nie rozruchowy, wykonaj czynności opisane w sekcji "Procedury odzyskiwania i przywracania", aby zresetować urządzenie do stanu sprzed odwołania.

Jeśli po zastosowaniu kontrolki DBX chcesz przywrócić urządzenie do poprzedniego stanu bezpiecznego rozruchu, wykonaj sekcję "Procedury odzyskiwania i przywracania".

Zastosuj łagodzenie DBX, aby zaufać certyfikat PCA2011 produkcyjnego systemu Windows w bezpiecznym rozruchu:

  1. Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby umieścić odwołanie dla PCA2011 w bazie danych DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Uruchom ponownie urządzenie dwa razy i upewnij się, że zostało całkowicie ponownie uruchomione.

  3. Sprawdź, czy pomyślnie zastosowano środki łagodzące DBX. W tym celu uruchom następujące polecenie programu PowerShell jako administrator i upewnij się, że polecenie zwraca wartość Prawda:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Możesz też poszukać w Podgląd zdarzeń następującego zdarzenia:

    Dziennik zdarzeń

    System

    Źródło zdarzenia

    TPM-WMI

    Identyfikator zdarzenia

    1037

    Poziom

    Informacje

    Tekst wiadomości zdarzenia

    Aktualizacja bazy danych bezpiecznego rozruchu w celu odwołania programu Microsoft Windows Production PCA 2011 została pomyślnie zastosowana

  4. Wykonaj testowe elementy z sekcji "Przed rozpoczęciem" i upewnij się, że wszystkie systemy zachowują się normalnie.

Dokumentacja klucza rejestru

Opt-in validation Krok 1Opt-in validation Step 2Opt-in validation Krok 3

Polecenia

Celu

Komentarze 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Instaluje aktualizację bazy danych, aby umożliwić PCA2023 podpisanego menedżera rozruchu

Polecenia

Celu

Komentarze 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Instaluje moduł rozruchowy z podpisem PCA2023

Wartość honorowana tylko po ukończeniu 0x40 kroku

Polecenia

Celu

Komentarze 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Instaluje aktualizację DBX, która odwołuje PCA2011

Wartość honorowana tylko po wykonaniu obu kroków 0x40 & 0x100

Wyniki i opinie

Wysyłaj wiadomości e-mail do suvp@microsoft.com z wynikami testów, pytaniami i opiniami.

Procedury odzyskiwania i przywracania

Podczas wykonywania procedur odzyskiwania udostępnij firmie Microsoft następujące dane:

  • Zrzut ekranu przedstawiający zaobserwowaną awarię rozruchu.

  • Wykonano kroki, które doprowadziły do tego, że urządzenie nie było możliwe do rozruchu.

  • Szczegóły konfiguracji urządzenia.

Podczas wykonywania procedury przywracania wstrzymaj funkcję BitLocker przed rozpoczęciem tej procedury.

Jeśli wystąpił problem podczas tego procesu i nie można uruchomić urządzenia lub musisz uruchomić urządzenie z nośnika zewnętrznego (na przykład dysku kciuka lub rozruchu PXE), wypróbuj poniższe procedury.

  1. Wyłączanie bezpiecznego rozruchu

    Ta procedura różni się między producentami i modelami komputerów. Wprowadź menu BIOS interfejsu UEFI na komputerach, przejdź do ustawienia Bezpiecznego rozruchu i wyłącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta komputera. Aby uzyskać więcej informacji, zobacz Wyłączanie bezpiecznego rozruchu.

  2. Wyczyść klucze

    bezpiecznego rozruchu Jeśli urządzenie obsługuje czyszczenie kluczy bezpiecznego rozruchu lub resetowanie kluczy bezpiecznego rozruchu do domyślnych ustawień fabrycznych, wykonaj tę akcję teraz.  

    Twoje urządzenie powinno się teraz uruchomić, ale pamiętaj, że jest ono narażone na złośliwe oprogramowanie w zestawach rozruchowych. Pamiętaj o ukończeniu kroku 5 na końcu tego procesu odzyskiwania, aby ponownie włączyć bezpieczny rozruch.

  3. Spróbuj uruchomić system Windows z dysku systemowego.

    1. Jeśli funkcja BitLocker jest włączona i przechodzi do odzyskiwania, wprowadź klucz odzyskiwania funkcji BitLocker.

    2. Logowanie do systemu Windows.

    3. Uruchom następujące polecenia z wiersza polecenia administratora, aby przywrócić pliki rozruchu na partycji rozruchu systemu EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Uruchomienie funkcji BCDBoot powinno zwrócić komunikat "Pomyślnie utworzono pliki rozruchu".

    5. Jeśli funkcja BitLocker jest włączona, wstrzymaj funkcję BitLocker.

    6. Uruchom ponownie urządzenie.

  4. Jeśli krok 3 nie odzyska urządzenia, zainstaluj ponownie system Windows.

    1. Rozpocznij od istniejącego nośnika odzyskiwania.

    2. Przejdź do instalacji systemu Windows przy użyciu nośnika odzyskiwania.

    3. Logowanie do systemu Windows.

    4. Uruchom ponownie, aby sprawdzić, czy urządzenie pomyślnie uruchamia się w systemie Windows.

  5. Włącz ponownie bezpieczny rozruch i uruchom ponownie urządzenie.

    Wprowadź menu interfejsu UEFI devicce, przejdź do ustawienia Bezpiecznego rozruchu i włącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta urządzenia. Aby uzyskać więcej informacji, zobacz Ponowne włączanie bezpiecznego rozruchu.

  6. Jeśli uruchomienie systemu Windows nadal nie powiedzie się, ponownie wprowadź system BIOS INTERFEJSU UEFI i wyłącz funkcję bezpiecznego rozruchu.

  7. Uruchom system Windows.

  8. Udostępnij zawartość bazy danych, DBX firmie Microsoft.

    1. Otwórz program PowerShell w trybie administratora.

    2. Przechwytywanie bazy danych:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Przechwyć DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Udostępniaj pliki DBUpdateFw.bin i dbxUpdateFw.bin wygenerowane w krokach 8b i 8c.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×