Zmień datę |
Zmień opis |
20 marca 2024 r. |
|
21 marca 2024 r. |
|
22 marca 2024 r. |
|
Wprowadzenie
Ten artykuł jest uzupełnieniem następującego artykułu, który zostanie zaktualizowany w kwietniu 2024 r.:
-
KB5025885: Jak zarządzać odwołaniami Menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932
To uzupełnienie opisuje zaktualizowaną procedurę krok po kroku w celu wdrożenia nowych środków łagodzących przed zestawem rozruchowym INTERFEJSU UEFI blacklotus śledzonego przez CVE-2023-24932 i zawiera wskazówki dotyczące testowania dla Twojego środowiska.
Aby pomóc w ochronie przed złośliwym nadużyciem wrażliwych menedżerów rozruchu, musimy wdrożyć nowy certyfikat podpisywania bezpiecznego rozruchu UEFI w oprogramowaniu układowym urządzenia i odwołać zaufanie do oprogramowania układowego bieżącego certyfikatu podpisywania. Spowoduje to, że wszyscy istniejący, bezbronni menedżerowie rozruchu będą niezaufani przez urządzenia z włączoną funkcją bezpiecznego rozruchu. Ten przewodnik pomoże Ci w tym procesie.
Trzy kroki łagodzenia opisane w tym przewodniku są następujące:
-
Aktualizowanie bazy danych: Nowy certyfikat PCA (PCA2023) zostanie dodany do bazy danych bezpiecznego rozruchu, co umożliwi urządzeniu rozruch nośnika podpisanego przez ten certyfikat.
-
Instalacja menedżera rozruchu: Istniejący menedżer rozruchu z podpisem PCA2011 zostanie zastąpiony przez menedżera rozruchu z podpisem PCA2023.Obaj menedżerowie rozruchu są uwzględnieni w aktualizacjach zabezpieczeń z kwietnia 2024 r.
-
Odwołanie PCA2011 DBX: Do bazy danych bezpiecznego rozruchu zostanie dodana odmowa, uniemożliwiając rozruch menedżerom rozruchu podpisanym za pomocą PCA2011.
Uwaga Oprogramowanie Servicing Stack, które stosuje te trzy środki łagodzące, nie pozwoli na stosowanie środków łagodzących w porządku.
Czy dotyczy to mnie?
Ten przewodnik dotyczy wszystkich urządzeń z włączonym bezpiecznym rozruchem i wszystkich istniejących nośników odzyskiwania dla tych urządzeń.
Jeśli na urządzeniu działa Windows Server 2012 lub Windows Server 2012 R2, przed kontynuowaniem przeczytaj sekcję "Znane problemy".
Przed rozpoczęciem
Włączanie opcjonalnych danych diagnostycznych
Włącz ustawienie "Wyślij opcjonalne dane diagnostyczne", wykonując następujące czynności:
-
W Windows 11 przejdź do obszaru Uruchamianieustawień > > opinii na temat > diagnostyk & i & prywatności > Diagnostyka.
-
Włącz opcję Wyślij opcjonalne dane diagnostyczne.
Aby uzyskać więcej informacji, zobacz Diagnostyka, opinie i prywatność w systemie Windows.
UWAGA Upewnij się, że masz łączność z Internetem w trakcie sprawdzania poprawności i przez jakiś czas po jej zakończeniu.
Zdaj test
Po zainstalowaniu aktualizacji systemu Windows z kwietnia 2024 r. przed wykonaniem kroków w celu włączenia się do systemu należy wykonać test w celu zweryfikowania integralności systemu:
-
VPN: Sprawdź, czy dostęp vpn do zasobów firmowych i sieci działa.
-
Windows Hello: Logowanie się na urządzeniu z systemem Windows przy użyciu normalnej procedury (rozpoznawanie twarzy/linii papilarnych/PIN).
-
Funkcją bitlocker: System uruchamia się normalnie w systemach z obsługą funkcji BitLocker bez monitu odzyskiwania funkcji BitLocker podczas uruchamiania.
-
Zaświadczanie kondycji urządzenia: Sprawdź, czy urządzenia zależne od zaświadczania kondycji urządzenia prawidłowo potwierdzają ich stan.
Znane problemy
Dotyczy tylko Windows Server 2012 i Windows Sever 2012 R2:
-
Systemy oparte na modułach TPM 2.0 nie mogą wdrożyć środków łagodzących wydanych w aktualizacji zabezpieczeń z kwietnia 2024 r. z powodu znanych problemów ze zgodnością pomiarów modułu TPM. Aktualizacje z kwietnia 2024 r. zablokują środki łagodzące #2 (menedżer rozruchu) i #3 (aktualizacja DBX) w systemach, na które ma to wpływ.
-
Firma Microsoft wie o tym problemie i w przyszłości zostanie wydana aktualizacja umożliwiająca odblokowanie systemów opartych na modułach TPM 2.0.
-
Aby sprawdzić wersję modułu TPM, kliknij prawym przyciskiem myszy przycisk Start, kliknij polecenie Uruchom, a następnie wpisz tpm.msc. W prawym dolnym rogu okienka środkowego w obszarze Informacje o producencie modułu TPM powinna zostać wyświetlona wartość dla pozycji Wersja specyfikacji.
Kroki sprawdzania poprawności zgody
W dalszej części tego artykułu omówiono testowanie urządzeń umożliwiających zgodę na działanie środków łagodzących. Środki łagodzące nie są domyślnie włączone. Jeśli Twoje przedsiębiorstwo planuje włączyć te środki łagodzące, wykonaj następujące kroki sprawdzania poprawności, aby sprawdzić zgodność urządzenia.
-
Wdróż wstępną aktualizację zabezpieczeń z kwietnia 2024 r.
-
Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby przeprowadzić aktualizację bazy danych, wpisując następujące polecenie, a następnie naciśnij klawisz Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
Uruchom ponownie urządzenie dwa razy.
-
Sprawdź, czy baza danych została pomyślnie zaktualizowana, upewniając się, że następujące polecenie zwraca wartość Prawda. Uruchom następujące polecenie programu PowerShell jako administrator:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby pobrać i zainstalować menedżera rozruchu z podpisem PCA2023:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Uruchom ponownie urządzenie dwa razy.
-
Jako administrator zainstaluj partycję EFI, aby przygotować ją do inspekcji:
mountvol s: /s
-
Sprawdź, czy podpis "s:\efi\microsoft\boot\bootmgfw.efi" jest podpisany przez PCA2023. W tym celu wykonaj następujące czynności:
-
Kliknij przycisk Start, wpisz wiersz polecenia w polu Wyszukaj , a następnie kliknij pozycję Wiersz polecenia.
-
W oknie Wiersz polecenia wpisz następujące polecenie, a następnie naciśnij klawisz Enter.
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
W Menedżerze plików kliknij prawym przyciskiem myszy plik C:\bootmgfw_2023.efi, kliknij pozycję Właściwości, a następnie wybierz kartę Podpisy cyfrowe.
-
Na liście Podpis potwierdź, że łańcuch certyfikatów zawiera pakiet WINDOWS UEFI 2023 CA.
-
PRZESTROGA: W tym kroku wdrożono odwołanie DBX na niezaufanych starych, wrażliwych menedżerach rozruchu podpisanych za pomocą PCA2011 Windows Production. Urządzenia z zastosowanym odwołaniem nie będą już uruchamiane z istniejących serwerów nośnika odzyskiwania i rozruchu sieciowego (PXE/HTTP), które nie mają zaktualizowanych składników menedżera rozruchu.
Jeśli urządzenie przechodzi w stan nie rozruchowy, wykonaj czynności opisane w sekcji "Procedury odzyskiwania i przywracania", aby zresetować urządzenie do stanu sprzed odwołania.
Jeśli po zastosowaniu kontrolki DBX chcesz przywrócić urządzenie do poprzedniego stanu bezpiecznego rozruchu, wykonaj sekcję "Procedury odzyskiwania i przywracania".
Zastosuj łagodzenie DBX, aby zaufać certyfikat PCA2011 produkcyjnego systemu Windows w bezpiecznym rozruchu:
-
Otwórz wiersz polecenia administratora i ustaw klucz rejestru, aby umieścić odwołanie dla PCA2011 w bazie danych DBX:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Uruchom ponownie urządzenie dwa razy i upewnij się, że zostało całkowicie ponownie uruchomione.
-
Sprawdź, czy pomyślnie zastosowano środki łagodzące DBX. W tym celu uruchom następujące polecenie programu PowerShell jako administrator i upewnij się, że polecenie zwraca wartość Prawda:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
Możesz też poszukać w Podgląd zdarzeń następującego zdarzenia:
Dziennik zdarzeń
System
Źródło zdarzenia
TPM-WMI
Identyfikator zdarzenia
1037
Poziom
Informacje
Tekst wiadomości zdarzenia
Aktualizacja bazy danych bezpiecznego rozruchu w celu odwołania programu Microsoft Windows Production PCA 2011 została pomyślnie zastosowana
-
Wykonaj testowe elementy z sekcji "Przed rozpoczęciem" i upewnij się, że wszystkie systemy zachowują się normalnie.
Dokumentacja klucza rejestru
Polecenia |
Celu |
Komentarze |
|
Instaluje aktualizację bazy danych, aby umożliwić PCA2023 podpisanego menedżera rozruchu |
Polecenia |
Celu |
Komentarze |
|
Instaluje moduł rozruchowy z podpisem PCA2023 |
Wartość honorowana tylko po ukończeniu 0x40 kroku |
Polecenia |
Celu |
Komentarze |
|
Instaluje aktualizację DBX, która odwołuje PCA2011 |
Wartość honorowana tylko po wykonaniu obu kroków 0x40 & 0x100 |
Wyniki i opinie
Wysyłaj wiadomości e-mail do suvp@microsoft.com z wynikami testów, pytaniami i opiniami.
Procedury odzyskiwania i przywracania
Podczas wykonywania procedur odzyskiwania udostępnij firmie Microsoft następujące dane:
-
Zrzut ekranu przedstawiający zaobserwowaną awarię rozruchu.
-
Wykonano kroki, które doprowadziły do tego, że urządzenie nie było możliwe do rozruchu.
-
Szczegóły konfiguracji urządzenia.
Podczas wykonywania procedury przywracania wstrzymaj funkcję BitLocker przed rozpoczęciem tej procedury.
Jeśli wystąpił problem podczas tego procesu i nie można uruchomić urządzenia lub musisz uruchomić urządzenie z nośnika zewnętrznego (na przykład dysku kciuka lub rozruchu PXE), wypróbuj poniższe procedury.
-
Wyłączanie bezpiecznego rozruchu
Ta procedura różni się między producentami i modelami komputerów. Wprowadź menu BIOS interfejsu UEFI na komputerach, przejdź do ustawienia Bezpiecznego rozruchu i wyłącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta komputera. Aby uzyskać więcej informacji, zobacz Wyłączanie bezpiecznego rozruchu. -
Wyczyść klucze
bezpiecznego rozruchu Jeśli urządzenie obsługuje czyszczenie kluczy bezpiecznego rozruchu lub resetowanie kluczy bezpiecznego rozruchu do domyślnych ustawień fabrycznych, wykonaj tę akcję teraz.
Twoje urządzenie powinno się teraz uruchomić, ale pamiętaj, że jest ono narażone na złośliwe oprogramowanie w zestawach rozruchowych. Pamiętaj o ukończeniu kroku 5 na końcu tego procesu odzyskiwania, aby ponownie włączyć bezpieczny rozruch. -
Spróbuj uruchomić system Windows z dysku systemowego.
-
Jeśli funkcja BitLocker jest włączona i przechodzi do odzyskiwania, wprowadź klucz odzyskiwania funkcji BitLocker.
-
Logowanie do systemu Windows.
-
Uruchom następujące polecenia z wiersza polecenia administratora, aby przywrócić pliki rozruchu na partycji rozruchu systemu EFI:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
Uruchomienie funkcji BCDBoot powinno zwrócić komunikat "Pomyślnie utworzono pliki rozruchu".
-
Jeśli funkcja BitLocker jest włączona, wstrzymaj funkcję BitLocker.
-
Uruchom ponownie urządzenie.
-
-
Jeśli krok 3 nie odzyska urządzenia, zainstaluj ponownie system Windows.
-
Rozpocznij od istniejącego nośnika odzyskiwania.
-
Przejdź do instalacji systemu Windows przy użyciu nośnika odzyskiwania.
-
Logowanie do systemu Windows.
-
Uruchom ponownie, aby sprawdzić, czy urządzenie pomyślnie uruchamia się w systemie Windows.
-
-
Włącz ponownie bezpieczny rozruch i uruchom ponownie urządzenie.
Wprowadź menu interfejsu UEFI devicce, przejdź do ustawienia Bezpiecznego rozruchu i włącz je. Aby uzyskać szczegółowe informacje na temat tego procesu, zapoznaj się z dokumentacją producenta urządzenia. Aby uzyskać więcej informacji, zobacz Ponowne włączanie bezpiecznego rozruchu. -
Jeśli uruchomienie systemu Windows nadal nie powiedzie się, ponownie wprowadź system BIOS INTERFEJSU UEFI i wyłącz funkcję bezpiecznego rozruchu.
-
Uruchom system Windows.
-
Udostępnij zawartość bazy danych, DBX firmie Microsoft.
-
Otwórz program PowerShell w trybie administratora.
-
Przechwytywanie bazy danych:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
Przechwyć DBX:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
Udostępniaj pliki DBUpdateFw.bin i dbxUpdateFw.bin wygenerowane w krokach 8b i 8c.
-