Wskazówki dotyczące blokowania wycofywania aktualizacji zabezpieczeń opartych na wirtualizacji (VBS)

Ważna uwaga dotycząca zasad SKUSiPolicy.p7b

Aby uzyskać instrukcje dotyczące stosowania zaktualizowanych zasad, zobacz sekcję Wdrażanie zasad odwołania podpisanych przez firmę Microsoft (SKUSiPolicy.p7b). 

W tym artykule

• Podsumowanie

• Zakres wpływu

• Dostępne środki łagodzące

• Opis zagrożeń łagodzących

• Wskazówki dotyczące wdrażania łagodzenia

  • Wdrażanie zasad odwołania podpisanych przez firmę Microsoft (SKUSiPolicy.p7b)

  • Aktualizowanie zewnętrznego nośnika rozruchowego

• Dzienniki zdarzeń systemu Windows

  • Zdarzenia aktywacji zasad

  • Inspekcja i blokowanie zdarzeń

• Procedura usuwania i odzyskiwania zasad

• Zmiany wprowadzone w tym artykule

Podsumowanie

Firma Microsoft została poinformowana o luce w zabezpieczeniach systemu Windows, która umożliwia osobie atakującej z uprawnieniami administratora zastąpienie zaktualizowanych plików systemu Windows, które mają starsze wersje, otwierając napastnikowi drzwi do ponownego wprowadzenia luk w zabezpieczeniach opartych na wirtualizacji (VBS).  Wycofanie tych plików binarnych może umożliwić atakującemu obejście funkcji zabezpieczeń SPP i eksfiltrowanie danych chronionych przez funkcję VBS. Ten problem jest opisany w cve-2024-21302 | Bezpieczna luka w zabezpieczeniach trybu jądra systemu Windows w celu podniesienia uprawnień.

Aby rozwiązać ten problem, odwołamy pliki systemowe VBS, które nie są aktualizowane. Ze względu na dużą liczbę plików związanych z usługą VBS, które muszą zostać zablokowane, korzystamy z alternatywnej metody blokowania wersji plików, które nie są aktualizowane.

Zakres wpływu

Ten problem dotyczy wszystkich urządzeń z systemem Windows, które obsługują funkcję VBS. Dotyczy to także lokalnych urządzeń fizycznych i maszyn wirtualnych. Funkcja VBS jest obsługiwana w Windows 10 i nowszych wersjach systemu Windows, a Windows Server 2016 i nowsze wersje Windows Server.

Stan VBS można sprawdzić za pomocą narzędzia Microsoft System Information Tool (Msinfo32.exe). To narzędzie zbiera informacje o urządzeniu użytkownika. Po rozpoczęciu Msinfo32.exe przewiń w dół do wiersza zabezpieczeń opartych na wirtualizacji . Jeśli wartość tego wiersza to Uruchomiono, funkcja VBS jest włączona i uruchomiona.

Stan SPP można również sprawdzić za pomocą Windows PowerShell przy użyciu klasy WMI Win32_DeviceGuard. Aby wykonać zapytanie dotyczące stanu SPP z poziomu programu PowerShell, otwórz sesję Windows PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie:

Po uruchomieniu powyższego polecenia programu PowerShell stan SPP powinien być jednym z następujących.

Dostępne środki łagodzące

Dla wszystkich obsługiwanych wersji Windows 10, wersji 1507 i nowszych wersji systemu Windows oraz Windows Server 2016 i nowszych wersji Windows Server administratorzy mogą wdrożyć zasady odwoływania podpisane przez firmę Microsoft (SKUSiPolicy.p7b). Spowoduje to zablokowanie wersji plików systemu VBS, które nie są aktualizowane przed załadowaniem przez system operacyjny.  

Gdy plik SKUSiPolicy.p7b zostanie zastosowany do urządzenia z systemem Windows, zasady zostaną również zablokowane na urządzeniu przez dodanie zmiennej do oprogramowania układowego UEFI. Podczas uruchamiania zasady ładują się, a system Windows blokuje ładowanie plików binarnych, które naruszają zasady. Jeśli blokada UEFI zostanie zastosowana, a zasady zostaną usunięte lub zastąpione starszą wersją, menedżer rozruchu systemu Windows nie uruchomi się i urządzenie nie zostanie uruchomione. Ten błąd rozruchu nie spowoduje wyświetlenia błędu, a system przejdzie do następnej dostępnej opcji rozruchu, co może spowodować pętlę rozruchu.

Dodatkowe zasady ci podpisane przez firmę Microsoft, które są domyślnie włączone i nie wymagają dodania dodatkowych kroków wdrażania, które nie są powiązane z interfejsem UEFI. Te podpisane zasady CI zostaną załadowane podczas rozruchu, a wymuszanie tych zasad zapobiegnie wycofaniu plików systemowych VBS podczas tej sesji rozruchu. W przeciwieństwie do SkuSiPolicy.p7b, urządzenie może kontynuować rozruch, jeśli aktualizacja nie jest zainstalowana. Te zasady są dostępne we wszystkich obsługiwanych wersjach Windows 10 w wersji 1507 i nowszej. Plik SkuSkiPolicy.p7b nadal może być stosowany przez administratorów w celu zapewnienia dodatkowej ochrony przed wycofywaniem w sesjach rozruchu.   

Dzienniki mierzonego rozruchu systemu Windows używane do potwierdzania kondycji rozruchu komputera zawierają informacje o wersji zasad ładowanej podczas procesu rozruchu. Te dzienniki są bezpiecznie przechowywane przez moduł TPM podczas rozruchu, a usługi zaświadczania firmy Microsoft analizują te dzienniki, aby sprawdzić, czy są ładowane poprawne wersje zasad. Usługi zaświadczania wymuszają reguły zapewniające załadowanie określonej wersji zasad lub nowszej. w przeciwnym razie system nie będzie potwierdzany jako zdrowy.

Aby łagodzenie zasad działało, zasady muszą być aktualizowane przy użyciu aktualizacji obsługi systemu Windows, ponieważ składniki systemu Windows i zasady muszą pochodzić z tej samej wersji. Jeśli środki zaradcze zasad zostaną skopiowane do urządzenia, urządzenie może nie uruchomić się, jeśli zostanie zastosowana niewłaściwa wersja łagodzenia lub łagodzenie może nie działać zgodnie z oczekiwaniami. Ponadto do urządzenia powinny być stosowane środki łagodzące opisane w KB5025885 .

Na Windows 11, wersja 24H2, Windows Server 2022 i Windows Server 23H2, dynamiczny korzeń zaufania do pomiaru (DRTM) dodaje dodatkową łagodzenie luki w zabezpieczeniach wycofywania. To łagodzenie jest domyślnie włączone. W tych systemach klucze szyfrowania chronione przez SPP są powiązane z domyślnymi zasadami ci sesji rozruchu VBS i zostaną anulowane tylko wtedy, gdy wymuszana jest zgodna wersja zasad CI. Aby umożliwić wycofywanie zainicjowane przez użytkownika, dodano okres prolongaty w celu umożliwienia bezpiecznego wycofywania 1 wersji pakietu windows update bez utraty możliwości odpieczętowania klucza głównego VSM. Jednak wycofanie zainicjowane przez użytkownika jest możliwe tylko wtedy, gdy nie zastosowano pliku SKUSiPolicy.p7b. Zasady ci SPP wymusza, że wszystkie pliki binarne rozruchu nie zostały wycofane do odwołanych wersji. Oznacza to, że jeśli osoba atakująca z uprawnieniami administratora wycofa wrażliwe pliki binarne rozruchu, system nie uruchomi się. Jeśli zarówno zasady CI, jak i pliki binarne zostaną przywrócone do wcześniejszej wersji, dane chronione za pomocą usługi VSM nie zostaną odklejone.

Opis zagrożeń łagodzących

Przed zastosowaniem zasad odwołania podpisanych przez firmę Microsoft należy pamiętać o potencjalnych zagrożeniach. Przed zastosowaniem środków zaradczych przejrzyj te zagrożenia i wprowadź wszelkie niezbędne aktualizacje nośnika odzyskiwania.

Uwaga Te zagrożenia mają zastosowanie tylko do zasad SKUSiPolicy.p7b i nie mają zastosowania do domyślnych włączonych zabezpieczeń.

• Aktualizacje blokady i odinstalowywania interfejsu UEFI. Po zastosowaniu blokady UEFI przy użyciu zasad odwołania podpisanych przez firmę Microsoft na urządzeniu nie można go cofnąć (odinstalowując aktualizacje systemu Windows, za pomocą punktu przywracania lub w inny sposób), jeśli nadal stosujesz bezpieczny rozruch. Nawet sformatowanie dysku nie spowoduje usunięcia blokady UEFI łagodzenia, jeśli zostało już zastosowane. Oznacza to, że jeśli spróbujesz przywrócić system operacyjny Windows do stanu wcześniejszego, który nie ma zastosowanego środka łagodzącego, urządzenie nie uruchomi się, nie zostanie wyświetlony żaden komunikat o błędzie, a interfejs UEFI przejdzie do następnej dostępnej opcji rozruchu. Może to spowodować pętlę rozruchu. Aby usunąć blokadę UEFI, musisz wyłączyć bezpieczny rozruch. Należy pamiętać o wszystkich możliwych konsekwencjach i dokładnie przetestować przed zastosowaniem odwołań opisanych w tym artykule na urządzeniu.

• Zewnętrzny nośnik rozruchowy. Po zastosowaniu środków łagodzących blokadę UEFI na urządzeniu zewnętrzny nośnik rozruchowy musi zostać zaktualizowany o najnowszą aktualizację systemu Windows zainstalowaną na urządzeniu. Jeśli zewnętrzny nośnik rozruchowy nie został zaktualizowany do tej samej wersji usługi Windows Update, urządzenie może nie uruchamiać się z tego nośnika. Przed zastosowaniem środków łagodzących zapoznaj się z instrukcjami w sekcji Aktualizowanie zewnętrznego nośnika rozruchu .

• Środowisko odzyskiwania systemu Windows. Środowisko odzyskiwania systemu Windows (WinRE) na urządzeniu musi zostać zaktualizowane o najnowszą aktualizację dynamiczną bezpiecznego systemu operacyjnego Windows wydaną 8 lipca 2025 r. na urządzeniu, zanim do urządzenia zostanie zastosowana aktualizacja SKUSipolicy.p7b. Pominięcie tego kroku może uniemożliwić uruchomienie funkcji Resetowanie komputera przez funkcję WinRE.  Aby uzyskać więcej informacji, zobacz Dodawanie pakietu aktualizacji do systemu Windows RE.

• Rozruch środowiska wykonawczego przed rozruchem (PXE). Jeśli łagodzenie zostanie wdrożone na urządzeniu i spróbujesz użyć rozruchu PXE, urządzenie nie uruchomi się, chyba że najnowsza aktualizacja systemu Windows zostanie również zastosowana do obrazu rozruchu serwera PXE. Nie zalecamy wdrażania środków zaradczych w źródłach rozruchu sieci, chyba że serwer rozruchu środowiska PXE został zaktualizowany do najnowszej aktualizacji systemu Windows wydanej w styczniu 2025 r. lub później, w tym do menedżera rozruchu środowiska PXE.  

Wskazówki dotyczące wdrażania łagodzenia

Aby rozwiązać problemy opisane w tym artykule, możesz wdrożyć zasady odwoływania podpisane przez firmę Microsoft (SKUSiPolicy.p7b). To rozwiązanie jest obsługiwane tylko w Windows 10, wersji 1507 i nowszych wersjach systemu Windows oraz Windows Server 2016.

Uwaga Jeśli używasz funkcji BitLocker, upewnij się, że została zainstalowana kopia zapasowa klucza odzyskiwania funkcji BitLocker. W wierszu polecenia administratora można uruchomić następujące polecenie i zanotować 48-cyfrowe hasło numeryczne:

Dzienniki zdarzeń systemu Windows

System Windows rejestruje zdarzenia, gdy zasady integralności kodu, w tym SKUSiPolicy.p7b, są ładowane i gdy plik jest zablokowany przed ładowaniem z powodu wymuszania zasad. Za pomocą tych zdarzeń możesz sprawdzić, czy zostało zastosowane ograniczenie.

Dzienniki integralności kodu są dostępne w Podgląd zdarzeń systemu Windows w dziennikach aplikacji i usług > microsoft >Windows > CodeIntegrity > dzienniki aplikacji i usług> operacyjnych > Services > microsoft>Windows > AppLocker > msi i skryptu.

Aby uzyskać więcej informacji na temat zdarzeń integralności kodu, zobacz przewodnik operacyjny Kontrola aplikacji usługi Windows Defender.

Procedura usuwania i odzyskiwania zasad

Jeśli po zastosowaniu środków łagodzących wystąpią problemy, możesz usunąć środki łagodzące, wykonując następujące czynności:

1. Wstrzymaj funkcję BitLocker, jeśli jest włączona. Uruchom następujące polecenie z poziomu okna wiersza polecenia z podwyższonym poziomem uprawnień:

   Manager-bde -protectors -disable c: -rebootcount 3

2. Wyłącz bezpieczny rozruch z menu BIOS UEFI.
   
   Procedura wyłączania bezpiecznego rozruchu różni się między producentami i modelami urządzeń. Aby uzyskać pomoc dotyczącą lokalizacji wyłączenia bezpiecznego rozruchu, zapoznaj się z dokumentacją producenta urządzenia. Więcej szczegółów można znaleźć w temacie Wyłączanie bezpiecznego rozruchu.

3. Usuń zasady SKUSiPolicy.p7b.

   1. Uruchom system Windows normalnie, a następnie zaloguj się.
      
      Zasady SKUSiPolicy.p7b muszą zostać usunięte z następującej lokalizacji:

      • <partycji systemu EFI>\Microsoft\Boot\SkuSiPolicy.p7b

   2. Uruchom następujące polecenia z sesji z podwyższonym poziomem uprawnień Windows PowerShell, aby wyczyścić zasady z tych lokalizacji:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b"
      $MountPoint = 's:'
      
      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"
      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot"
      mountvol $MountPoint /S
      if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
      
      if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }
      
      ​​​​​​​mountvol $MountPoint /D

4. Włącz bezpieczny rozruch z systemu BIOS.
   
   Zajrzyj do dokumentacji producenta urządzenia, aby sprawdzić, gdzie można włączyć bezpieczny rozruch.
   
   Jeśli w kroku 1 wyłączono funkcję bezpiecznego rozruchu, a dysk jest chroniony przez funkcję BitLocker, wstrzymaj ochronę funkcji BitLocker , a następnie włącz bezpieczny rozruch z menu BIOS UEFI .

5. Włącz funkcję BitLocker. Uruchom następujące polecenie z poziomu okna wiersza polecenia z podwyższonym poziomem uprawnień:

   Manager-bde -protectors -enable c:

6. Uruchom ponownie urządzenie.