Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Alterar data

Alterar descrição

20 de março de 2024

  • Foi adicionada a secção "Resultados e Comentários"

21 de março de 2024

  • Passo 4 atualizado na secção "Passo 2: Instalar o gestor de arranque assinado PCA2023"

22 de março de 2024

  • As informações de contacto do e-mail foram atualizadas na secção "Resultados e Comentários"

  • Foi adicionada a secção "Ativar Dados de Diagnóstico Opcionais"

Introdução

Este artigo é um suplemento ao seguinte artigo que será atualizado em abril de 2024:

  • KB5025885: Como gerir as revogações do Gestor de Arranque do Windows para alterações de Arranque Seguro associadas ao CVE-2023-24932

Este suplemento descreve o procedimento passo a passo atualizado para implementar novas mitigações no kit de arranque UEFI do BlackLotus controlado pelo CVE-2023-24932 e inclui orientações de teste para o seu ambiente.

Para ajudar a proteger contra o abuso malicioso de gestores de arranque vulneráveis, temos de implementar um novo certificado de assinatura de Arranque Seguro UEFI no firmware do dispositivo e revogar a confiança no firmware do certificado de assinatura atual. Esta ação fará com que todos os gestores de arranque existentes e vulneráveis não sejam fidedignos pelos dispositivos preparados para Arranque Seguro. Este guia irá ajudá-lo com esse processo.

Os três passos de mitigação descritos neste guia são os seguintes:

  1. A atualizar a BD: Será adicionado um novo certificado PCA (PCA2023) à BD de Arranque Seguro, o que permitirá que um dispositivo arranque um suporte de dados assinado por este certificado.

  2. Instalação do gestor de arranque: O gestor de arranque assinado por PCA2011 existente será substituído pelo gestor de arranque assinado PCA2023.Ambos os gestores de arranque estão incluídos nas atualizações de segurança de abril de 2024.

  3. Revogação de PCA2011 DBX: Será adicionada uma entrada de negação ao DBX de Arranque Seguro, impedindo que os gestores de arranque assinados com PCA2011 arranque.

Nota O software da Pilha de Manutenção que aplica estas três mitigações não permitirá que as mitigações sejam aplicadas fora de ordem.

Isto aplica-se a mim?

Este guia aplica-se a todos os dispositivos com o Arranque Seguro ativado e a todos os suportes de dados de recuperação existentes para estes dispositivos.

Se o dispositivo estiver a executar Windows Server 2012 ou Windows Server 2012 R2, certifique-se de que lê a secção "Problemas Conhecidos" antes de continuar.

Antes de começar

Ativar Dados de Diagnóstico Opcionais

Ative a definição "Enviar dados de diagnóstico opcionais" ao executar os seguintes passos:

  1. No Windows 11, aceda a Iniciardefinições de > > privacidade &comentários & diagnósticos > de segurança.

  2. Ative Enviar dados de diagnóstico opcionais.

    Diagnósticos & comentários

Para obter mais informações, consulte Diagnóstico, feedback e privacidade no Windows

NOTA Certifique-se de que tem conectividade à Internet durante e durante algum tempo após a validação.

Fazer um teste de aprovação

Depois de instalar as atualizações do Windows de abril de 2024 e antes de seguir os passos para optar ativamente por participar, certifique-se de que faz um teste para verificar a integridade do seu sistema:

  1. VPN: Verifique se o acesso VPN aos recursos empresariais e à rede está funcional.

  2. Windows Hello: Inicie sessão no dispositivo Windows com o seu procedimento normal (face/impressão digital/PIN).

  3. BitLocker: O sistema é iniciado normalmente em sistemas preparados para BitLocker sem qualquer pedido de recuperação BitLocker durante o arranque.

  4. Atestado de Estado de Funcionamento do Dispositivo: Verifique se os dispositivos que dependem do Atestado de Estado de Funcionamento do Dispositivo atestam corretamente o respetivo estado.

Problemas Conhecidos

Apenas para Windows Server 2012 e Windows Sever 2012 R2:

  • Os sistemas baseados no TPM 2.0 não podem implementar as mitigações lançadas no patch de segurança de abril de 2024 devido a problemas de compatibilidade conhecidos com as medições de TPM. As atualizações de abril de 2024 bloquearão as mitigações n.º 2 (gestor de arranque) e n.º 3 (atualização DBX) nos sistemas afetados.

  • A Microsoft tem conhecimento do problema e será lançada uma atualização no futuro para desbloquear sistemas baseados no TPM 2.0.

  • Para verificar a versão do TPM, clique com o botão direito do rato em Iniciar, clique em Executar e, em seguida, escreva tpm.msc. No canto inferior direito do painel central, em Informações do Fabricante do TPM, deverá ver um valor para a Versão de Especificação.

Passos de Validação de Opção Ativa

O resto deste artigo aborda os testes para optar ativamente por participar em dispositivos para as mitigações. As mitigações não estão ativadas por predefinição. Se a sua empresa planear ativar estas mitigações, execute os seguintes passos de validação para verificar a compatibilidade do dispositivo.

  1. Implemente a atualização de segurança de pré-lançamento de abril de 2024.

  2. Abra uma linha de comandos administrador, defina a chave do registo para efetuar a atualização para a BD ao escrever o seguinte comando e, em seguida, prima Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Reinicie o dispositivo duas vezes.

  4. Verifique se a BD foi atualizada com êxito ao certificar-se de que o seguinte comando devolve Verdadeiro. Execute o seguinte comando do PowerShell como Administrador:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Abra uma linha de comandos de Administrador e defina a chave de registo para transferir e instalar o gestor de arranque assinado PCA2023:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Reinicie o dispositivo duas vezes.

  3. Como Administrador, monte a partição EFI para prepará-la para inspeção:

    mountvol s: /s

  4. Confirme que "s:\efi\microsoft\boot\bootmgfw.efi" está assinado por PCA2023. Para tal, siga estes passos:

    1. Clique em Iniciar, escreva linha de comandos na caixa Procurar e, em seguida, clique em Linha de Comandos.

    2. Na janela Linha de Comandos, escreva o seguinte comando e, em seguida, prima Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. No Gestor de Ficheiros, clique com o botão direito do rato no ficheiro C:\bootmgfw_2023.efi, clique em Propriedades e, em seguida, selecione o separador Assinaturas Digitais.

    4. Na lista Assinatura, confirme que a cadeia de certificados inclui a AC do Windows UEFI 2023.

ATENÇÃO: este passo implementa a revogação de DBX para gestores de arranque antigos e vulneráveis não fidedidos assinados com a PCA2011 de Produção do Windows. Os dispositivos com esta revogação aplicada deixarão de arrancar a partir de suportes de dados de recuperação existentes e servidores de arranque de rede (PXE/HTTP) que não tenham componentes atualizados do gestor de arranque.

Se o dispositivo entrar num estado não inicializável, siga os passos na secção "Procedimentos de recuperação e restauro" para repor o dispositivo para um estado de pré-revogação.

Depois de aplicar o DBX, se quiser devolver o dispositivo ao estado de Arranque Seguro anterior, siga a secção "Procedimentos de Recuperação e Restauro".

Aplique a mitigação DBX para desconfiar do certificado de PCA2011 de Produção do Windows no Arranque Seguro:

  1. Abra uma linha de comandos de Administrador e defina a chave de registo para colocar a revogação para PCA2011 no DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Reinicie o dispositivo duas vezes e confirme que foi totalmente reiniciado.

  3. Verifique se a mitigação DBX foi aplicada com êxito. Para tal, execute o seguinte comando do PowerShell como Administrador e certifique-se de que o comando devolve Verdadeiro:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Em alternativa, procure o seguinte evento no Visualizador de Eventos:

    Registo de eventos

    Sistema

    Origem do evento

    TPM-WMI

    ID de Evento

    1037

    Nível

    Informações

    Texto da mensagem de evento

    Atualização do Secure Boot Dbx para revogar o PCA de Produção do Microsoft Windows 2011 foi aplicada com êxito

  4. Execute os itens de teste pass na secção "Antes de começar" e certifique-se de que todos os sistemas estão a comportar-se normalmente.

Referência da chave de registo

Passo 1 da validação de opção ativaPasso 2 da validação de opção ativaPasso 3 da validação de opção ativa

Comando

Objetivo

Comentários 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Instala a atualização da BD para permitir que o gestor de arranque assinado PCA2023

Comando

Objetivo

Comentários 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Instala o bootmgr assinado PCA2023

Valor apenas respeitado após 0x40 passo concluído

Comando

Objetivo

Comentários 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Instala a atualização DBX que revoga PCA2011

Valor apenas respeitado após ambos os passos de 0x40 & 0x100 concluídos

Resultados e Comentários

Envie um e-mail para suvp@microsoft.com com resultados, perguntas e comentários de teste.

Procedimentos de recuperação e restauro

Ao realizar procedimentos de recuperação, partilhe os seguintes dados com a Microsoft:

  • Captura de ecrã da falha de arranque observada.

  • Passos realizados que levaram o dispositivo a não ser inicializável.

  • Detalhes da configuração do dispositivo.

Ao executar um procedimento de restauro, suspenda o BitLocker antes de iniciar o procedimento.

Se algo correr mal durante este processo e não conseguir iniciar o dispositivo ou se precisar de iniciar a partir de suportes de dados externos (por exemplo, pen usb ou arranque PXE), experimente os seguintes procedimentos.

  1. Desativar o Arranque

    Seguro Este procedimento difere entre fabricantes e modelos de PC. Introduza o menu DO BIOS UEFI de PCs, navegue para a definição Arranque Seguro e desative-o. Consulte a documentação do fabricante do PC para obter informações específicas sobre este processo. Para obter mais informações, veja Desativar o Arranque Seguro.

  2. Limpar Chaves

    de Arranque Seguro Se o dispositivo suportar limpar as chaves de Arranque Seguro ou repor as chaves de Arranque Seguro para as predefinições de fábrica, execute esta ação agora.  

    O dispositivo deve ser iniciado agora, mas tenha em atenção que está vulnerável a software maligno dos kits de arranque. Confirme que conclui o passo 5 no final deste processo de recuperação para reativar o Arranque Seguro.

  3. Tente iniciar o Windows a partir do disco do sistema.

    1. Se o BitLocker estiver ativado e entrar em recuperação, introduza a chave de recuperação BitLocker.

    2. Inicie sessão no Windows.

    3. Execute os seguintes comandos a partir da linha de comandos administrador para restaurar os ficheiros de arranque na Partição de arranque do sistema EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. A execução do BCDBoot deve devolver "Ficheiros de arranque criados com êxito".

    5. Se o BitLocker estiver ativado, suspenda o BitLocker.

    6. Reinicie o dispositivo.

  4. Se o passo 3 não recuperar o dispositivo com êxito, reinstale o Windows.

    1. Comece a partir do suporte de dados de recuperação existente.

    2. Continue a instalar o Windows com o suporte de dados de recuperação.

    3. Inicie sessão no Windows.

    4. Reinicie para verificar se o dispositivo é iniciado com êxito para o Windows.

  5. Reativar o Arranque Seguro e Reiniciar o dispositivo.

    Introduza o menu UEFI de manutenção, navegue para a definição Arranque Seguro e ative-a. Consulte a documentação do fabricante do dispositivo para obter informações específicas sobre este processo. Para obter mais informações, veja Reativar o Arranque Seguro.

  6. Se o início do Windows continuar a falhar, introduza novamente o BIOS do UEFI e desative o Arranque Seguro.

  7. Inicie o Windows.

  8. Partilhe conteúdos de DB, DBX com a Microsoft.

    1. Abra o PowerShell no modo de Administrador.

    2. Capture a BD:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Capture o DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Partilhe os ficheiros DBUpdateFw.bin e dbxUpdateFw.bin gerados nos Passos 8b e 8c.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×