Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Data da alteração

Alterar descrição

20 de março de 2024

  • Adicionada a seção "Resultados e Comentários"

21 de março de 2024

  • Etapa 4 atualizada na seção "Etapa 2: instalar o gerenciador de inicialização assinado pelo PCA2023"

22 de março de 2024

  • As informações de contato de email foram atualizadas na seção "Resultados e comentários"

  • A seção "Habilitar dados de diagnóstico opcionais" foi adicionada

Introdução

Este artigo é um complemento do artigo a seguir, que será atualizado em abril de 2024:

  • KB5025885: Como gerenciar as revogações do Gerenciador de Inicialização do Windows para alterações de inicialização segura associadas ao CVE-2023-24932

Este suplemento descreve o procedimento passo a passo atualizado para implementar novas mitigações contra o kit de inicialização BlackLotus UEFI rastreado pelo CVE-2023-24932 e inclui orientações de teste para o seu ambiente.

Para ajudar a proteger contra o abuso malicioso de gerenciadores de inicialização vulneráveis, devemos implantar um novo certificado de assinatura de Inicialização Segura UEFI no firmware do dispositivo e revogar a confiança no firmware do certificado de assinatura atual. Isso fará com que todos os gerenciadores de inicialização existentes e vulneráveis não sejam confiáveis para os dispositivos habilitados para Inicialização Segura. Este guia ajudará você nesse processo.

As três etapas de mitigação descritas neste guia são as seguintes:

  1. Atualização do banco de dados: Um novo certificado PCA (PCA2023) será adicionado ao Banco de Dados de Inicialização Segura, o que permitirá que um dispositivo inicialize mídia assinada por este certificado.

  2. Instalação do gerenciador de inicialização: O gerenciador de inicialização com assinatura PCA2011 existente será substituído pelo gerenciador de inicialização com a assinatura PCA2023.Ambos os gerenciadores de inicialização estão incluídos nas atualizações de segurança de abril de 2024.

  3. Revogação DBX da PCA2011: Uma entrada de negação será adicionada à Inicialização Segura DBX, impedindo a inicialização dos gerenciadores de inicialização assinados com o PCA2011.

Observação O software da Pilha de Serviço que aplica essas três mitigações não permitirá que as mitigações sejam aplicadas fora de ordem.

Isso se aplica a mim?

Este guia se aplica a todos os dispositivos com a Inicialização Segura habilitada e a todas as mídias de recuperação existentes para esses dispositivos.

Se o seu dispositivo estiver executando o Windows Server 2012 ou o Windows Server 2012 R2, leia a seção "Problemas Conhecidos" antes de continuar.

Antes de começar

Habilitar dados de diagnóstico opcionais

Ative a configuração "Enviar dados de diagnóstico opcionais" executando as seguintes etapas:

  1. No Windows 11, vá para IniciarConfigurações > Privacidade e segurança > Diagnóstico e comentários.

  2. Ative Enviar dados de diagnóstico opcionais.

    Diagnóstico e feedback

Para obter mais informações, confira Diagnóstico, feedback e privacidade no Windows

OBSERVAÇÃO Verifique se você tem conectividade com a Internet durante a validação e por algum tempo após ela.

Fazer um teste de passagem

Depois de instalar as atualizações do Windows de abril de 2024 e antes de seguir as etapas de ativação, faça um teste para verificar a integridade do seu sistema:

  1. VPN: Verifique se o acesso à VPN aos recursos corporativos e à rede está funcionando.

  2. Windows Hello: Faça logon no dispositivo Windows usando seu procedimento normal (face/impressão digital/PIN).

  3. BitLocker: O sistema inicia normalmente em sistemas habilitados para BitLocker sem nenhum prompt de recuperação do BitLocker durante a inicialização.

  4. Atestado de Integridade do Dispositivo: Verifique se os dispositivos que dependem do Atestado de Integridade do Dispositivo atestam corretamente seu status.

Problemas Conhecidos

Somente para Windows Server 2012 e Windows Server 2012 R2:

  • Os sistemas baseados no TPM 2.0 não podem implantar as atenuações lançadas no patch de segurança de abril de 2024 devido a problemas de compatibilidade conhecidos com as medições do TPM. As atualizações de abril de 2024 bloquearão as mitigações nº 2 (gerenciador de inicialização) e nº 3 (atualização DBX) nos sistemas afetados.

  • A Microsoft está ciente do problema e uma atualização será lançada no futuro para desbloquear os sistemas baseados em TPM 2.0.

  • Para verificar a versão do TPM, clique com o botão direito do mouse em Iniciar, clique em Executar e digite tpm.msc. No canto inferior direito do painel central, em Informações do Fabricante do TPM, você deverá ver um valor para Versão da Especificação.

Etapas de validação de aceitação

O restante deste artigo discute o teste para dispositivos de aceitação para as mitigações. As mitigações não estão habilitadas por padrão. Se a sua empresa planeja habilitar essas mitigações, execute as seguintes etapas de validação para verificar a compatibilidade do dispositivo.

  1. Implante a atualização de segurança de pré-lançamento de abril de 2024.

  2. Abra um prompt de comando do Administrador e defina a chave do registro para executar a atualização do BD digitando o seguinte comando e, em seguida, pressione Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Reinicie o dispositivo duas vezes.

  4. Verifique se o banco de dados foi atualizado com êxito, certificando-se de que o comando a seguir retorne Verdadeiro. Execute o seguinte comando do PowerShell como administrador:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Abra um prompt de comando de Administrador e defina a chave do registro para baixar e instalar o gerenciador de inicialização assinado por PCA2023:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Reinicie o dispositivo duas vezes.

  3. Como administrador, monte a partição EFI para deixá-la pronta para inspeção:

    mountvol s: /s

  4. Valide se "s:\efi\microsoft\boot\bootmgfw.efi" é assinado por PCA2023. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, digite prompt de comando na caixa Pesquisar e clique em Prompt de Comando.

    2. Na janela do prompt de comando, digite o seguinte comando e pressione Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. No Gerenciador de arquivos, clique com o botão direito no arquivo C:\bootmgfw_2023.efi, clique em Propriedades e selecione a guia Assinaturas digitais.

    4. Na lista Assinatura, confirme se a cadeia de certificados inclui Windows UEFI 2023 CA.

CUIDADO:  Esta etapa implementa a revogação DBX para remoção da confiança de antigos gerenciadores de inicialização vulneráveis assinados usando o Windows Production PCA2011. Dispositivos com essa revogação aplicada não poderão mais inicializar a partir de mídias de recuperação existentes e servidores de inicialização pela rede (PXE/HTTP) que não possuam componentes atualizados do gerenciador de inicialização.

Se seu dispositivo entrar em um estado não inicializável, siga as etapas da seção “Procedimentos de Recuperação e Restauração” para redefinir o dispositivo para um estado anterior à revogação.

Depois de aplicar o DBX, se quiser retornar o dispositivo ao estado anterior da inicialização segura, siga a seção "Procedimentos de recuperação e restauração".

Aplique a mitigação DBX para remover a confiança do certificado de Produção do Windows PCA2011 na Inicialização Segura:

  1. Abra um prompt de comando de Administrador e defina a chave de registro para colocar a revogação do PCA2011 no DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Reinicie o dispositivo duas vezes e confirme se ele foi totalmente reiniciado.

  3. Verifique se a mitigação do DBX foi aplicada com êxito. Para fazer isso, execute o seguinte comando do PowerShell como administrador e verifique se o comando retorna Verdadeiro:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Ou procure o seguinte evento no Visualizador de Eventos:

    Log de eventos

    Sistema

    Origem do evento

    TPM-WMI

    ID de Evento

    1037

    Nível

    Informações

    Texto da mensagem do evento

    A atualização do Dbx de Inicialização Segura para revogar o PCA de Produção do Microsoft Windows 2011 foi aplicada com êxito

  4. Execute os itens de aprovação de teste da seção "Antes de começar" e verifique se todos os sistemas estão se comportando normalmente.

Referência da chave de registro

Etapa 1 da validação de aceitaçãoEtapa 2 da validação de aceitaçãoEtapa 3 da validação de aceitação

Comando

Finalidade

Comentários 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Instala a atualização do banco de dados para permitir o gerenciador de inicialização assinado pelo PCA2023

Comando

Finalidade

Comentários 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Instala o bootmgr assinado por PCA2023

O valor só é considerado após a conclusão da etapa 0x40

Comando

Finalidade

Comentários 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Instala a atualização DBX que revoga o PCA2011

O valor só é considerado após a conclusão das etapas 0x40 e 0x100

Resultados e Comentários

Envie um email para suvp@microsoft.com com resultados de testes, perguntas e comentários.

Procedimentos de recuperação e restauração

Ao executar os procedimentos de recuperação, compartilhe os seguintes dados com a Microsoft:

  • Captura de tela da falha de inicialização observada.

  • Etapas executadas que levaram o dispositivo a não ser inicializável.

  • Detalhes da configuração do dispositivo.

Ao executar um procedimento de restauração, suspenda o BitLocker antes de iniciar o procedimento.

Se algo der errado durante esse processo e você não conseguir iniciar o dispositivo ou precisar iniciar a partir de uma mídia externa (por exemplo, pen drive ou inicialização PXE), tente os procedimentos a seguir.

  1. Desativar a Inicialização Segura

    Esse procedimento varia de acordo com o fabricante e o modelo do PC. Entre no menu BIOS UEFI dos PCs, navegue até a configuração Inicialização Segura e desative-a. Consulte a documentação do fabricante do PC para obter informações específicas sobre esse processo. Para obter mais informações, consulte Desabilitando a Inicialização Segura.

  2. Limpar as Chaves de Inicialização Segura

    Se o dispositivo tiver suporte para a limpeza das chaves de inicialização Segura ou para a redefinição das chaves de inicialização Segura para os padrões de fábrica, execute esta ação agora.  

    Seu dispositivo deve iniciar agora, mas observe que ele está vulnerável a malwares de kits de inicialização. Certifique-se de concluir a etapa 5 no final desse processo de recuperação para reabilitar a Inicialização Segura.

  3. Tente iniciar o Windows a partir do disco do sistema.

    1. Se o BitLocker estiver habilitado e for para a recuperação, insira sua chave de recuperação do BitLocker.

    2. Faça logon no Windows.

    3. Execute os seguintes comandos no prompt de comando do administrador para restaurar os arquivos de inicialização na partição de inicialização do sistema EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. A execução do BCDBoot deve retornar "Arquivos de inicialização criados com êxito".

    5. Se o BitLocker estiver habilitado, suspenda o BitLocker.

    6. Reinicie o dispositivo.

  4. Se a etapa 3 não for bem-sucedida na recuperação do dispositivo, reinstale o Windows.

    1. Inicie a partir da mídia de recuperação existente.

    2. Prossiga para instalar o Windows usando a mídia de recuperação.

    3. Faça logon no Windows.

    4. Reinicie para verificar se o dispositivo foi iniciado com êxito no Windows.

  5. Reabilitar a inicialização segura e reiniciar o dispositivo.

    Entre no menu UEFI do seu dispositivo, navegue até a configuração da Inicialização Segura e ative-a. Consulte a documentação do fabricante do dispositivo para obter os detalhes sobre esse processo. Para obter mais informações, consulte Reabilitar a Inicialização Segura.

  6. Se a inicialização do Windows continuar a falhar, entre novamente no BIOS UEFI e desative a Inicialização Segura.

  7. Iniciar o Windows.

  8. Compartilhe o conteúdo do DB, DBX com a Microsoft.

    1. Abra o PowerShell no modo Administrador.

    2. Capturar o banco de dados:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Capturar o DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Compartilhe os arquivos DBUpdateFw.bin e dbxUpdateFw.bin gerados nas Etapas 8b e 8c.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×