Wskazówki dotyczące wdrażania w przedsiębiorstwie dla cve-2023-24932

Podzieliliśmy wdrożenie na wiele kroków, które można osiągnąć na osi czasu, która działa dla Twojej organizacji. Należy zapoznać się z tymi krokami. Gdy dobrze zrozumiesz te kroki, zastanów się, jak będą one działać w Twoim środowisku, i przygotuj plany wdrożenia, które będą działać dla Twojego przedsiębiorstwa na Osi czasu.

Dodanie nowego certyfikatu WINDOWS UEFI CA 2023 i niezaufanie certyfikatu Microsoft Windows Production PCA 2011 wymaga współpracy z oprogramowaniem układowym urządzenia. Ponieważ istnieje duża kombinacja sprzętu i oprogramowania układowego urządzenia, a firma Microsoft nie może przetestować wszystkich kombinacji, zachęcamy do przetestowania urządzeń reprezentatywnych w środowisku przed szerokim wdrożeniem. Zalecamy przetestowanie co najmniej jednego urządzenia każdego typu używanego w organizacji. Niektóre znane problemy z urządzeniami, które blokują te środki łagodzące, są udokumentowane w ramach KB5025885: Jak zarządzać odwołaniami menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932. Jeśli wykryjesz problem z oprogramowaniem układowym urządzenia, który nie został wymieniony w sekcji Znane problemy , skontaktuj się z dostawcą OEM, aby rozwiązać ten problem.

Ponieważ ten dokument odwołuje się do kilku różnych certyfikatów, są one przedstawione w poniższej tabeli w celu łatwego odwołania i przejrzystości:

Stare 2011 CAs	Nowe wersje 2023 (wygasa w 2038 r.)	FN
Microsoft Corporation KEK CA 2011 (wygasa w lipcu 2026 r.)	Microsoft Corporation KEK CA 2023	Podpisuje aktualizacje DB i DBX
Microsoft Windows Production PCA 2011 (PCA2011) (wygasa w październiku 2026 r.)	Windows UEFI CA 2023 (PCA2023)	Podpisuje bootloader systemu Windows
Microsoft Corporation UEFI CA 2011 (wygasa w lipcu 2026 r.)	Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023	Podpisuje bootloadery innych firm i opcję ROMs

Istnieją cztery środki łagodzące, które muszą być stosowane w celu ochrony przed atakami opisanymi w CVE-2023-24932:

• Łagodzenie 1: Instalowanie zaktualizowanej definicji certyfikatu (PCA2023) w bazie danych

• Łagodzenie 2:Zaktualizuj menedżera rozruchu na urządzeniu

• Łagodzenie 3:Włączanie odwołania (PCA2011)

• Łagodzenie 4:Stosowanie aktualizacji SVN do oprogramowania układowego

Te cztery środki łagodzące można ręcznie zastosować do każdego z urządzeń testowych zgodnie ze wskazówkami opisanymi w wytycznych dotyczących wdrażania łagodzeniaKB5025885: Jak zarządzać odwołaniami menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932 lub zgodnie ze wskazówkami podanymi w tym dokumencie. Wszystkie cztery środki łagodzące korzystają z oprogramowania układowego do prawidłowego działania.

Zrozumienie poniższych czynników ryzyka pomoże Ci w procesie planowania.

Problemy z oprogramowaniem układowym:Każde urządzenie ma oprogramowanie układowe dostarczone przez producenta urządzenia. W przypadku operacji wdrażania opisanych w tym dokumencie oprogramowanie układowe musi mieć możliwość akceptowania i przetwarzania aktualizacji bazy danych bezpiecznego rozruchu (signature database) i DBX (zakazanej bazy danych podpisów). Ponadto oprogramowanie układowe jest odpowiedzialne za weryfikację podpisu lub aplikacji rozruchowych, w tym menedżera rozruchu systemu Windows. Oprogramowanie układowe urządzenia to oprogramowanie i, jak każde oprogramowanie, może mieć wady, dlatego ważne jest, aby przetestować te operacje przed szerokim wdrożeniem.

Firma Microsoft przeprowadza ciągłe testowanie wielu kombinacji oprogramowania układowego,począwszy od urządzeń w laboratoriach i biurach firmy Microsoft, a firma Microsoft współpracuje z producentami OEM w celu testowania ich urządzeń. Prawie wszystkie testowane urządzenia przeszły bez problemu. W kilku przypadkach zauważyliśmy problemy z nieprawidłowym obsługą aktualizacji przez oprogramowanie układowe i współpracujemy z OEM w celu rozwiązania problemów, o których wiemy.

Instalowanie multimediów:Dzięki zastosowaniu rozwiązań Mitigation 3 i Mitigation 4 opisanych w dalszej części tego dokumentu, żaden istniejący nośnik instalacyjny systemu Windows nie będzie już rozruchowy, dopóki nośnik nie będzie miał zaktualizowanego menedżera rozruchu. Środki łagodzące opisane w tym dokumencie uniemożliwiają uruchamianie starych, wrażliwych menedżerów rozruchu przez niezaufanie ich w oprogramowaniu układowym. Uniemożliwia to osobie atakującej przywrócenie menedżera rozruchu systemu do poprzedniej wersji i wykorzystanie luk w zabezpieczeniach występujących w starszych wersjach. Zablokowanie tych wrażliwych menedżerów rozruchu nie powinno mieć wpływu na uruchomiony system. Uniemożliwi to jednak uruchamianie nośnika rozruchowego do czasu aktualizacji menedżerów rozruchu na nośniku. Obejmuje to obrazy ISO, rozruchowe dyski USB i rozruch sieciowy (rozruch PxE i HTTP).

• Łagodzenie 1. Instalowanie zaktualizowanych definicji certyfikatów w bazie danych
  
  Dodaje nowy certyfikat INTERFEJSU UEFI CA 2023 do bazy danych uefi secure boot signature database (DB). Dodając ten certyfikat do bazy danych, oprogramowanie układowe urządzenia będzie ufać aplikacjom rozruchowym systemu Microsoft Windows podpisanym za pomocą tego certyfikatu.

• Łagodzenie 2: Zaktualizuj menedżera rozruchu na urządzeniu
  
  Dotyczy nowego menedżera rozruchu systemu Windows podpisanego nowym certyfikatem WINDOWS UEFI CA 2023.

Te środki łagodzące mają duże znaczenie dla długoterminowej obsługi systemu Windows na tych urządzeniach. Ponieważ certyfikat Microsoft Windows Production PCA 2011 w oprogramowaniu układowym wygaśnie w październiku 2026 r., urządzenia muszą mieć nowy certyfikat Windows UEFI CA 2023 w oprogramowaniu układowym przed wygaśnięciem lub urządzenie nie będzie już mogło otrzymywać aktualizacji systemu Windows, co powoduje, że jest on podatny na zagrożenia.

Aby uzyskać informacje na temat stosowania środków zaradczych 1 i Mitigation 2 w dwóch oddzielnych krokach (jeśli chcesz zachować większą ostrożność, przynajmniej na początku), zobacz KB5025885: Jak zarządzać odwołaniami menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932. Możesz też zastosować oba te środki łagodzące, uruchamiając następującą operację pojedynczego klucza rejestru jako administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f

W miarę stosowania środków łagodzących bity w kluczu AvailableUpdates zostaną wyczyszczone. Po ustawieniu 0x140 i ponownym uruchomieniu wartość zmieni się na 0x100 , a następnie po kolejnym ponownym uruchomieniu zmieni się na 0x000.

Łagodzenie przez menedżera rozruchu nie zostanie zastosowane, dopóki oprogramowanie układowe nie wykaże, że pomyślnie zastosowano łagodzenie certyfikatu w 2023 r. Tych operacji nie można wykonać w porządku.

Po zastosowaniu obu środków łagodzących zostanie ustawiony klucz rejestru wskazujący, że system jest "zdolny do 2023", co oznacza, że można zaktualizować nośnik i zastosować środki zaradcze 3 i Łagodzenie 4.

W większości przypadków ukończenie łagodzenia 1 i Łagodzenie 2 wymaga co najmniej dwóch ponownych uruchomień, zanim środki łagodzące zostaną w pełni zastosowane. Dodanie kolejnych ponownych uruchomień w środowisku pomoże zapewnić, że środki łagodzące zostaną zastosowane szybciej. Jednak sztuczne wstrzyknięcie dodatkowych ponownych uruchomień może nie być praktyczne i może mieć sens poleganie na comiesięcznych ponownych uruchomieniach, które występują w ramach stosowania aktualizacji zabezpieczeń. Oznacza to mniejsze zakłócenia w środowisku, ale na ryzyko dłuższego bezpieczeństwa.

Po wdrożeniu na urządzeniach programów Mitigation 1 i Mitigation 2 należy monitorować urządzenia, aby upewnić się, że mają zastosowane środki łagodzące i że są teraz "obsługiwane w 2023 roku". Monitorowanie można przeprowadzić, szukając następującego klucza rejestru w systemie. Jeśli klucz istnieje i jest ustawiony na 1, system dodał certyfikat 2023 do zmiennej DB bezpiecznego rozruchu. Jeśli klucz istnieje i jest ustawiony na 2, system ma certyfikat 2023 w bazie danych i zaczyna się od podpisanego menedżera rozruchu 2023.

Podklucz rejestru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Nazwa wartości klucza	WindowsUEFICA2023Capable
Typ danych	REG_DWORD
dane	0 — lub klucz nie istnieje — certyfikat "Windows UEFI CA 2023" nie znajduje się w bazie danych 1 — certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych 2 — Certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych, a system zaczyna się od podpisanego menedżera rozruchu w 2023 r.

Po zastosowaniu środków zaradczych 1 i Mitigation 2 na urządzeniach można zaktualizować dowolny nośnik rozruchowy używany w środowisku. Zaktualizowanie nośnika rozruchowego oznacza zastosowanie PCA2023 podpisanego menedżera rozruchu do nośnika. Obejmuje to aktualizowanie obrazów rozruchu sieci (takich jak PxE i HTTP), obrazów ISO i dysków USB. W przeciwnym razie urządzenia z zastosowanym środkim zaradczym nie będą uruchamiane z nośnika rozruchowego korzystającego ze starszego Menedżera rozruchu systemu Windows i urzędu certyfikacji 2011. ​​​​

Narzędzia i wskazówki dotyczące aktualizowania każdego typu nośnika rozruchowego są dostępne tutaj:

Typ multimediów	Zasób
ISO, dyski USB i tak dalej	KB5053484: Aktualizowanie nośnika rozruchowego systemu Windows w celu używania podpisanego menedżera rozruchu PCA2023
Serwer rozruchu PXE	Dokumentacja do dostarczenia później

Podczas procesu aktualizacji multimediów należy przetestować nośnik z urządzeniem, które ma wszystkie cztery środki łagodzące. Ostatnie dwa środki łagodzące zablokują starszych, wrażliwych menedżerów rozruchu. Posiadanie nośników z bieżącymi menedżerami rozruchu jest ważną częścią ukończenia tego procesu.

Nośnik rozruchowy nie zawiera dysku systemowego urządzenia, na którym system Windows zazwyczaj znajduje się i uruchamia się automatycznie. Nośnik rozruchowy jest często używany do rozruchu urządzenia, które nie ma rozruchowej wersji systemu Windows, a nośnik rozruchowy jest często używany do instalowania systemu Windows na tym urządzeniu.

Ustawienia bezpiecznego rozruchu UEFI określają, którym menedżerom rozruchu należy ufać, korzystając z baz danych bezpiecznego rozruchu (Signature Database) i DBX (Forbidden Signature Database). Baza danych zawiera skróty i klucze dla zaufanego oprogramowania, a magazyny DBX odwołano, naruszono i nie zaufano skróty i klucze, aby zapobiec uruchamianiu nieautoryzowanego lub złośliwego oprogramowania podczas procesu rozruchu.

Warto zastanowić się nad różnymi stanami, w których może znajdować się urządzenie, oraz o tym, jakiego nośnika rozruchowego można używać z urządzeniem w każdym z tych stanów. We wszystkich przypadkach oprogramowanie układowe określa, czy powinien ufać menedżerowi rozruchu, któremu jest przedstawiony, a po uruchomieniu menedżera rozruchu DB i DBX nie są już konsultowane z oprogramowaniem układowym. Nośnik rozruchowy może korzystać z menedżera rozruchu podpisanego przez urząd certyfikacji w wersji 2011 lub menedżera rozruchu podpisanego przez urząd certyfikacji w wersji 2023, ale nie obu. W następnej sekcji opisano stany, w których może znajdować się urządzenie, a w niektórych przypadkach nośniki, które można uruchomić z urządzenia.

Te scenariusze urządzeń mogą pomóc podczas tworzenia planów wdrażania środków łagodzących na różnych urządzeniach.

Nowe urządzenia

Niektóre nowe urządzenia rozpoczęły wysyłkę zarówno z 2011 i 2023 CAs preinstalowane w oprogramowaniu układowym urządzenia. Nie wszyscy producenci przeszli, aby mieć oba i nadal mogą być urządzenia wysyłkowe tylko z preinstalowanym ca 2011.

• Urządzenia z zarówno 2011 i 2023 CAs można uruchomić nośnik, który zawiera albo 2011 CA podpisane menedżera rozruchu lub 2023 CA podpisane menedżera rozruchu.

• Urządzenia z zainstalowanym tylko pakietem ca 2011 mogą uruchamiać tylko nośniki z menedżerem rozruchu podpisanym przez urząd certyfikacji 2011. Większość starszych mediów to 2011 CA podpisane boot manger.

Urządzenia z ograniczeniami 1 i 2

Te urządzenia zostały preinstalowane z ca 2011 i, stosując Łagodzenie 1, teraz mają 2023 CA zainstalowany. Ponieważ te urządzenia są zaufane dla obu urzędów certyfikacji, te urządzenia mogą uruchamiać zarówno multimedia z urzędem certyfikacji 2011, jak i z podpisanym menedżerem rozruchu w 2023 r.

Urządzenia z ograniczeniami 3 i 4

Te urządzenia mają pakiet CA z 2011 r. dołączony do bazy danych DBX i nie będą już ufać multimediom z menedżerem rozruchu podpisanym przez urząd certyfikacji z 2011 r. Urządzenie z tą konfiguracją uruchomi tylko nośnik z menedżerem rozruchu podpisanym przez urząd certyfikacji w wersji 2023.

Resetowanie bezpiecznego rozruchu

Jeśli ustawienia bezpiecznego rozruchu zostały zresetowane do wartości domyślnych, wszelkie środki łagodzące zastosowane do bazy danych (dodającej urząd certyfikacji w wersji 2023) i DBX (niezaufanie urzędu certyfikacji z 2011 r.) mogą już nie być stosowane. To zachowanie będzie zależeć od domyślnych ustawień oprogramowania układowego.

DBX

Jeśli zastosowano środki zaradcze 3 i/lub 4, a DBX zostanie wyczyszczony, to urząd certyfikacji z 2011 r. nie znajdzie się na liście rekordów DBX i nadal będzie zaufany. W takim przypadku konieczne będzie ponowne zastosowanie środków łagodzących 3 i/lub 4.

DB

Jeśli baza danych zawierała urząd certyfikacji z 2023 r. i została usunięta przez zresetowanie ustawień bezpiecznego rozruchu do wartości domyślnych, system może nie zostać uruchomiony, jeśli urządzenie korzysta z menedżera rozruchu podpisanego przez urząd certyfikacji w wersji 2023. Jeśli urządzenie nie zostanie uruchomione, użyj narzędzia securebootrecovery.efi opisanego w KB5025885: Jak zarządzać odwołaniami menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932 , aby odzyskać system.

• Łagodzenie 3: Włącz odwołanie
  
  Untrusts the Microsoft Windows Production PCA 2011 certificate by adding it to the firmwares Secure Boot DBX. Spowoduje to, że oprogramowanie układowe nie ufa wszystkim menedżerom rozruchu podpisanym przez urząd certyfikacji z 2011 r. i wszelkim nośnikom, które są zależne od menedżera rozruchu podpisanego przez urząd certyfikacji w wersji 2011.

• Łagodzenie 4: Stosowanie aktualizacji numeru bezpiecznej wersji do oprogramowania układowego
  
  Stosuje aktualizację numeru bezpiecznej wersji (SVN) do oprogramowania układowego DBX bezpiecznego rozruchu. Gdy zaczyna działać podpisany w 2023 r. menedżer rozruchu, przeprowadza samodzielne sprawdzanie, porównując SVN przechowywane w oprogramowaniu układowym z nazwą SVN wbudowaną w menedżera rozruchu. Jeśli nazwa SVN menedżera rozruchu jest niższa niż nazwa SVN oprogramowania układowego, menedżer rozruchu nie zostanie uruchomiony. Ta funkcja uniemożliwia osobie atakującej przywrócenie menedżera rozruchu do starszej, nie zaktualizowanej wersji. W przypadku przyszłych aktualizacji zabezpieczeń menedżera rozruchu będzie zwiększana nazwa SVN i konieczne będzie ponowne zastosowanie łagodzenia 4.

Ważne Środki zaradcze 1 i 2 muszą zostać ukończone przed zastosowaniem łagodzenia 3 i łagodzenia 4.

Aby uzyskać informacje na temat stosowania środków zaradczych 3 i Mitigation 4 w dwóch oddzielnych krokach (jeśli chcesz zachować większą ostrożność, przynajmniej na początku), zobacz KB5025885: Jak zarządzać odwołaniami menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932 Lub możesz zastosować oba rozwiązania, uruchamiając następującą pojedynczą operację klucza rejestru jako administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Zastosowanie obu środków łagodzących razem będzie wymagać tylko jednego ponownego uruchomienia, aby ukończyć operację.

• Łagodzenie 3: Możesz sprawdzić, czy lista odwołań została pomyślnie zastosowana, szukając w dzienniku zdarzeń identyfikatora zdarzenia: 1037 na KB5016061: zdarzenia aktualizacji zmiennej DB bezpiecznego rozruchu i DBX.
  
  Możesz również uruchomić następujące polecenie programu PowerShell jako administrator i upewnić się, że zwraca wartość Prawda:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Łagodzenie 4: Metoda potwierdzenia, że ustawienie SVN zostało zastosowane, jeszcze nie istnieje. Ta sekcja zostanie zaktualizowana, gdy rozwiązanie będzie dostępne.