Se aplică la
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data originală de publicare: Mai 9, 2023

ID KB: 5025885

IMPORTANT Ar trebui să aplicați actualizarea de securitate Windows lansată pe 8 iulie 2025 sau o actualizare mai recentă ca parte a procesului obișnuit de actualizare lunară.

Acest articol se aplică acelor organizații care ar trebui să înceapă evaluarea atenuărilor pentru o ocolire a bootării sigure dezvăluită public, utilizată de bootkitul BlackLotus UEFI. În plus, poate doriți să adoptați o poziție proactivă de securitate sau să începeți să vă pregătiți pentru implementare. Rețineți că acest malware necesită acces fizic sau administrativ la dispozitiv.

ATENȚIE După ce atenuarea pentru această problemă este activată pe un dispozitiv, ceea ce înseamnă că atenuările au fost aplicate, aceasta nu poate fi anulată dacă continuați să utilizați bootarea sigură pe acel dispozitiv. Chiar și reformatarea discului nu va elimina revocările dacă acestea au fost deja aplicate. Aflați toate implicațiile posibile și testați cu atenție înainte de a aplica revocările descrise în acest articol dispozitivului dvs.

În acest articol

Rezumat

Acest articol descrie protecția împotriva ocolirii caracteristicii de securitate Secure Boot dezvăluită public care utilizează bootkitul BlackLotus UEFI urmărit de CVE-2023-24932, cum să activați atenuările și instrucțiuni pentru suportul bootabil. Un bootkit este un program rău intenționat proiectat să se încarce cât mai devreme posibil în secvența de boot a unui dispozitiv pentru a controla pornirea sistemului de operare.

Bootarea sigură este recomandată de Microsoft pentru a crea o cale sigură și de încredere din Unified Extensible Firmware Interface (UEFI) prin secvența de bootare de încredere a kernelului Windows. Bootarea sigură vă ajută să împiedicați malware-ul bootkit în secvența de pornire. Dezactivarea bootării sigure expune un dispozitiv la riscul de a fi infectat cu malware bootkit. Remedierea ocolirii pornirii sigure descrise în CVE-2023-24932 necesită revocarea managerilor de bootare. Acest lucru ar putea cauza probleme pentru unele configurații de bootare a dispozitivului.

Atenuările pentru ocolirea pornirii sigure detaliate în CVE-2023-24932 sunt incluse în actualizările de securitate Windows care au fost lansate pe 9 iulie 2024 și în actualizările ulterioare. Totuși, aceste atenuări nu sunt activate în mod implicit. Cu aceste actualizări, vă recomandăm să începeți evaluarea acestor modificări din mediul dvs. Programul complet este descris în secțiunea Calendarul actualizărilor .

Înainte de a activa aceste atenuări, trebuie să revizuiți cu atenție detaliile din acest articol și să determinați dacă trebuie să activați atenuările sau să așteptați o actualizare viitoare de la Microsoft. Dacă alegeți să activați atenuările, trebuie să verificați dacă dispozitivele dvs. sunt actualizate și pregătite și să înțelegeți riscurile descrise în acest articol. 

înapoi sus 

Luați măsuri 

Pentru această versiune, ar trebui urmați pașii următori:

Pasul 1: instalați actualizarea de securitate Windows lansată pe 8 iulie 2025 sau o actualizare ulterioară pentru toate versiunile acceptate.

Pasul 2: Evaluați modificările și modul în care acestea afectează mediul dvs.

Pasul 3: Impuneți modificările.

înapoi sus  

Amploarea impactului

Toate dispozitivele Windows cu protecții Secure Boot activate sunt afectate de bootkitul BlackLotus. Atenuările sunt disponibile pentru versiunile de Windows acceptate. Pentru lista completă, consultați CVE-2023-24932.

înapoi sus  

Înțelegerea riscurilor

Risc de malware: Pentru ca exploatarea bootkitului BlackLotus UEFI descrisă în acest articol să fie posibilă, un atacator trebuie să obțină privilegii administrative pe un dispozitiv sau să obțină acces fizic la dispozitiv. Acest lucru se poate face prin accesarea fizică sau de la distanță a dispozitivului, cum ar fi prin utilizarea unui hipervizor pentru a accesa mașini virtuale/mediul cloud. Un atacator va folosi frecvent această vulnerabilitate pentru a continua să controleze un dispozitiv pe care îl poate accesa deja și, eventual, manipula. Atenuările din acest articol sunt preventive și nu corective. Dacă dispozitivul dvs. este deja compromis, contactați furnizorul de securitate pentru ajutor.

Suport fizic de recuperare: Dacă întâmpinați o problemă cu dispozitivul după aplicarea atenuărilor și dispozitivul devine imposibil de pornit, este posibil să nu reușiți să porniți sau să recuperați dispozitivul de pe suportul existent. Suportul media de recuperare sau de instalare va trebui actualizat astfel încât să funcționeze cu un dispozitiv care are atenuări aplicate.

Probleme cu firmware-ul: Atunci când Windows aplică atenuările descrise în acest articol, trebuie să se bazeze pe firmware-ul UEFI al dispozitivului pentru a actualiza valorile de pornire sigură (actualizările se aplică la cheia bazei de date (DB) și la cheia de semnătură interzisă (DBX)). În unele cazuri, avem experiență cu dispozitive care nu trec actualizările. Lucrăm cu producătorii de dispozitive pentru a testa aceste actualizări cheie pe cât mai multe dispozitive posibil.

NOTĂ Mai întâi, testați aceste atenuări pe un singur dispozitiv pentru fiecare clasă de dispozitive din mediul dvs., pentru a detecta posibile probleme de firmware. Nu implementați pe scară largă înainte de a confirma evaluarea tuturor claselor de dispozitive din mediul dvs.

Recuperare BitLocker: Unele dispozitive pot intra în recuperarea BitLocker. Nu uitați să păstrați o copie a cheii de recuperare BitLocker înainte de a activa atenuările.

înapoi sus  

Probleme cunoscute

Probleme cu firmware-ul:Nu toate firmware-urile de dispozitiv vor actualiza cu succes baza de date sau DBX Secure Boot. În cazurile pe care le cunoaștem, am raportat problema producătorului dispozitivului. Consultați KB5016061: Evenimente de actualizare variabilă DB și DBX Secure Boot pentru detalii despre evenimentele înregistrate. Contactați producătorul dispozitivului pentru actualizări de firmware. Dacă dispozitivul nu beneficiază de asistență, Microsoft recomandă upgrade-ul dispozitivului.

Probleme cunoscute de firmware:

NOTĂ Următoarele probleme cunoscute nu au impact asupra actualizărilor din 8 iulie 2025 sau ulterioare și nu le vor împiedica. În majoritatea cazurilor, atenuările nu se vor aplica acolo unde există probleme cunoscute. Vedeți detaliile prezentate în fiecare problemă cunoscută.

  • Dispozitive HP cu Sure Start Security: Aceste dispozitive au nevoie de cele mai recente actualizări de firmware de la HP pentru a instala atenuările. Atenuările sunt blocate până la actualizarea firmware-ului. Instalați cea mai recentă actualizare de firmware de pe pagina de asistență HP — Descărcare oficială a driverelor și software-ului HP | Asistența HP.

  • Dispozitive bazate pe Arm64: Atenuările sunt blocate din cauza problemelor de firmware UEFI cunoscute cu dispozitivele bazate pe Qualcomm. Microsoft colaborează cu Qualcomm pentru a remedia această problemă. Qualcomm va oferi remedierea producătorilor de dispozitive. Contactați producătorul dispozitivului pentru a determina dacă este disponibilă o remediere pentru această problemă. Microsoft va adăuga detectarea pentru a permite ca atenuările să fie aplicate pe dispozitive atunci când este detectat firmware-ul fix. Dacă dispozitivul dvs. bazat pe Arm64 nu are firmware Qualcomm, configurați următoarea cheie de registry pentru a permite atenuările.

    Subcheie de registry

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Nume valoare cheie

    SkipDeviceCheck

    Tip de date

    REG_DWORD

    Date

    1

  • Mer:Computerele Mac care au cipul de securitate Apple T2 acceptă bootarea securizată. Cu toate acestea, actualizarea variabilelor de securitate UEFI este disponibilă doar ca parte a actualizărilor macOS. Se așteaptă ca utilizatorii Boot Camp să vadă o intrare în jurnalul de evenimente cu ID-ul de eveniment 1795 în Windows legată de aceste variabile. Pentru mai multe informații despre această intrare în jurnal, consultați KB5016061: Evenimente de actualizare variabilă DB și DBX Secure Boot.

  • VMware:În mediile de virtualizare bazate pe VMware, o mașină virtuală care utilizează un procesor bazat pe x86 cu bootarea sigură activată nu va reuși să booteze după aplicarea atenuărilor. Microsoft se coordonează cu VMware pentru a rezolva această problemă.

  • Sisteme bazate pe TPM 2.0:  Aceste sisteme care rulează Windows Server 2012 și Windows Server 2012 R2 nu pot implementa atenuările lansate în actualizarea de securitate din 9 iulie 2024 sau mai recentă, din cauza unor probleme cunoscute de compatibilitate cu măsurătorile TPM. Actualizarea de securitate din 9 iulie 2024 sau mai recentă va bloca atenuările #2 (manager de boot) și #3 (actualizare DBX) pe sistemele afectate.Microsoft cunoaște această problemă și în viitor va fi lansată o actualizare pentru a debloca sistemele bazate pe TPM 2.0.Pentru a verifica versiunea TPM, faceți clic dreapta pe Start, faceți clic pe Executare, apoi tastați tpm.msc. În partea din dreapta jos a panoului central, sub Informații producător TPM, ar trebui să vedeți o valoare pentru Versiunea specificației.

  • Symantec Endpoint Encryption: Atenuările pentru pornire sigură nu pot fi aplicate sistemelor care au instalat Symantec Endpoint Encryption. Microsoft și Symantec cunosc această problemă și va fi tratată în actualizarea viitoare.

înapoi sus  

Instrucțiuni pentru această lansare

Pentru această versiune, urmați acești pași.

Pasul 1: Instalați actualizarea de securitate Windows Instalați actualizarea de securitate lunară Windows lansată pe 8 iulie 2025 sau o actualizare mai recentă pe dispozitivele Windows acceptate. Aceste actualizări includ atenuări pentru CVE-2023-24932, dar nu sunt activate în mod implicit. Toate dispozitivele Windows ar trebui să finalizeze acest pas, indiferent dacă intenționați sau nu să implementați atenuările.

Pasul 2: Evaluarea modificărilor Vă recomandăm să procedați astfel:

  • Înțelegeți primele două atenuări care permit actualizarea bazei de date Secure Boot și actualizarea managerului de boot.

  • Revizuiți planificarea actualizată.

  • Începeți testarea primelor două atenuări pe dispozitive reprezentative din mediul dvs.

  • Începeți să planificați implementarea.

Pasul 3: Impunerea modificărilor

Vă încurajăm să înțelegeți riscurile prezentate în secțiunea Înțelegerea riscurilor.

  • Înțelegeți impactul asupra recuperării și a altor suporturi bootabile.

  • Începeți testarea celei de-a treia atenuări care anulează încrederea certificatului de semnare utilizat pentru toți managerii de boot Windows anteriori.

înapoi sus  

Instrucțiuni de implementare în atenuare

Înainte de a urma acești pași pentru aplicarea atenuărilor, instalați actualizarea de service lunară Windows lansată pe 8 iulie 2025 sau o actualizare ulterioară pe dispozitivele Windows acceptate. Această actualizare include atenuări pentru CVE-2023-24932, dar acestea nu sunt activate în mod implicit. Toate dispozitivele Windows ar trebui să finalizeze acest pas, indiferent de planul dvs. de a activa atenuările.

NOTĂ Dacă utilizați BitLocker, asigurați-vă că s-a făcut backup cheii de recuperare BitLocker. Puteți să rulați următoarea comandă dintr-o linie de comandă de administrator și să notați parola numerică de 48 de cifre:

manage-bde -protectors -get %systemdrive%

Pentru a implementa actualizarea și a aplica revocările, urmați acești pași:

  1. Instalați certificatele Secure Boot 2023 în baza de date.

    Acest pas va adăuga certificatele Secure Boot 2023 la variabila UEFI "Secure Boot Signature Database" (DB) și la variabila cheie Key Exchange. În plus, va actualiza managerul de boot la managerul de boot semnat în 2023.

    Notă: Este posibil ca acest pas să fi terminat deja dacă dispozitivul a fost marcat cu "Încredere ridicată" în actualizările cumulative lunare. Pentru mai multe detalii, consultați O privire mai atentă asupra bazei de date cu nivel înalt de încredere și https://aka.ms/GetSecureBoot

    1. Setați cheia registry pentru a efectua actualizarea la baza de date. Pentru a face acest lucru, deschideți o fereastră linie de comandă PowerShell ca administrator, tastați fiecare dintre următoarele comenzi separat, apoi apăsați pe Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. Rulați următoarea comandă PowerShell ca Administrator și verificați dacă baza de date a fost actualizată cu succes. Această comandă ar trebui să returneze True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

      Notă Poate fi necesară o repornire dacă caracteristica Mod securizat virtual este activată pe dispozitiv. Printre acestea se numără caracteristici precum Credential Guard, Device Guard și Windows Hello.

  2. Verificați dacă certificatele Secure Boot 2023 și Managerul de boot au fost actualizate pe dispozitivul dvs.

    Acest pas va verifica dacă au fost aplicate certificatele și dacă managerul de boot a fost actualizat la versiunea semnată "Windows UEFI CA 2023".

    Rulați următoarea comandă PowerShell ca Administrator și verificați dacă actualizările au fost aplicate cu succes. Această comandă ar trebui să returneze Actualizat.

    (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing").UEFICA2023Status

  3. Activați revocarea.

    Lista interzisă UEFI (DBX) este utilizată pentru a bloca încărcarea modulelor UEFI care nu sunt de încredere. La acest pas, actualizarea DBX va adăuga certificatul "Windows Production CA 2011" la DBX. Acest lucru va face ca toți managerii de boot semnați de acest certificat să nu mai fie de încredere.

    AVERTISMENT: Înainte de a aplica a treia atenuare, creați o unitate flash de recuperare care poate fi utilizată pentru a boota sistemul. Pentru informații despre cum să faceți acest lucru, consultați secțiunea Actualizarea suportului de instalare Windows.

    Dacă sistemul intră într-o stare non-bootabilă, urmați pașii din secțiunea Procedura de recuperare pentru a reseta dispozitivul la o stare de pre-revocare.

    1. Adăugați certificatul "Windows Production PCA 2011" în Lista de interzise UEFI (DBX) Pornire sigură. Pentru aceasta, deschideți o fereastră linie de comandă ca administrator, tastați fiecare dintre următoarele comenzi separat, apoi apăsați pe Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. Verificați dacă instalarea și lista de revocare a fost aplicată cu succes, căutând evenimentul 1037 în jurnalul de evenimente.Pentru informații despre evenimentul 1037, consultați KB5016061: Evenimente de actualizare variabilă DB și DBX Secure Boot. Sau rulați următoarea comandă PowerShell ca Administrator și asigurați-vă că returnează True:

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. Aplicați actualizarea SVN la firmware. Managerul de boot implementat la pasul 2 are încorporată o nouă caracteristică de auto-revocare. Când Managerul de boot începe să ruleze, efectuează o verificare automată prin compararea numărului de versiune securizată (SVN) stocat în firmware cu SVN-ul încorporat în Managerul de boot. Dacă SVN-ul Managerului de boot este mai mic decât SVN-ul stocat în firmware, Managerul de boot va refuza să ruleze. Această caracteristică împiedică un atacator să readucă Managerul de boot la o versiune mai veche, neactualizată.În actualizările viitoare, atunci când este rezolvată o problemă de securitate semnificativă în Managerul de boot, numărul SVN va fi incrementat atât în Managerul de boot, cât și în actualizarea firmware-ului. Ambele actualizări vor fi lansate în aceeași actualizare cumulativă, pentru a ne asigura că dispozitivele corecționate sunt protejate. De fiecare dată când SVN este actualizat, orice suport încărcabil va trebui actualizat.Începând cu actualizările din 9 iulie 2024, SVN-ul este incrementat în Managerul de boot și actualizarea firmware-ului. Actualizarea de firmware este opțională și se poate aplica urmând acest pas:

    1. Aplicați actualizarea SVN la firmware. Pentru aceasta, deschideți o fereastră linie de comandă ca administrator, tastați fiecare dintre următoarele comenzi separat, apoi apăsați pe Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

înapoi sus  

Actualizarea suportului fizic de instalare Windows

NOTĂ Atunci când creați o unitate USB bootabilă, asigurați-vă că formatați unitatea utilizând sistemul de fișiere FAT32.

Puteți utiliza aplicația Creare unitate de recuperare urmând acești pași. Acest suport fizic poate fi utilizat pentru a reinstala un dispozitiv în cazul în care există o problemă majoră, cum ar fi o defecțiune hardware, veți putea utiliza unitatea de recuperare pentru a reinstala Windows.

  1. Accesați un dispozitiv pe care s-au aplicat actualizarea din 8 iulie 2025 sau o versiune mai recentă și primul pas de atenuare (actualizarea bazei de date Secure Boot).

  2. Din meniul Start , căutați appletul de panou de control "Creați o unitate de recuperare" și urmați instrucțiunile pentru a crea o unitate de recuperare.

  3. Cu unitatea flash nou creată montată (de exemplu, ca unitate "D:"), rulați următoarele comenzi ca administrator. Tastați fiecare dintre următoarele comenzi, apoi apăsați pe Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Dacă gestionați suportul fizic instalabil din mediul dvs. utilizând actualizarea suportului de instalare Windows cu instrucțiunile de actualizare dinamică , urmați acești pași. Acești pași suplimentari vor crea o unitate flash bootabilă care utilizează fișiere de boot semnate de certificatul de semnare "Windows UEFI CA 2023".

  1. Accesați un dispozitiv pe care s-a aplicat actualizarea din 8 iulie 2025 sau o versiune mai recentă și primul pas de atenuare (actualizarea bazei de date de pornire sigură).

  2. Urmați pașii din linkul de mai jos pentru a crea suport fizic cu actualizarea din 8 iulie 2025 sau o actualizare ulterioară a fost aplicată: Actualizați suportul de instalare Windows cu actualizarea dinamică

  3. Plasați conținutul suportului pe o unitate USB și montați unitatea USB ca literă de unitate. De exemplu, montați unitatea USB ca "D:".

  4. Rulați următoarele comenzi dintr-o fereastră de comandă ca administrator. Tastați fiecare dintre următoarele comenzi, apoi apăsați pe Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Dacă un dispozitiv are setările Secure Boot resetate la valorile implicite după aplicarea atenuărilor, dispozitivul nu va porni. Pentru a rezolva această problemă, o aplicație de reparare este inclusă în actualizările din 9 iulie 2024, care poate fi utilizată pentru a aplica din nou certificatul "Windows UEFI CA 2023" la baza de date (atenuare #1).

NOTĂ Nu utilizați această aplicație de reparare pe un dispozitiv sau sistem descris în secțiunea Probleme cunoscute .

  1. Accesați un dispozitiv pe care s-a aplicat actualizarea din 8 iulie 2025 sau o actualizare mai recentă.

  2. Într-o fereastră de comandă, copiați aplicația de recuperare pe unitatea flash utilizând următoarele comenzi (presupunând că unitatea flash este unitatea "D:"). Tastați fiecare comandă separat, apoi apăsați pe Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi

  3. Pe dispozitivul care are setările Bootare sigură resetate la valorile implicite, introduceți unitatea flash, reporniți dispozitivul și porniți din unitatea flash.

înapoi sus  

Momentul actualizărilor

Actualizările sunt lansate după cum urmează:

  • Implementare inițială Această etapă a început cu actualizările lansate pe 9 mai 2023 și a oferit atenuări de bază cu pași manuali pentru a activa atenuările respective.

  • A doua implementare Această etapă a început cu actualizările lansate pe 11 iulie 2023, care au adăugat pași simplificați pentru a activa atenuările pentru problemă.

  • Faza de evaluare Această etapă a început pe 9 aprilie 2024 și a adăugat atenuări suplimentare ale managerului de boot.

  • Faza de implementare Această etapă a început în iulie 2024. Clienții ar trebui să înceapă acum să aplice atenuări și să actualizeze suporturile.

  • Faza de punere în aplicare Faza de impunere care va face atenuările permanente. Data pentru această etapă va fi anunțată ulterior.

Notă Programul de lansare poate fi revizuit după cum este necesar.

9 mai 2023 – Faza inițială de implementare

Această etapă a fost înlocuită de actualizările de securitate Windows din 9 aprilie 2024 și de actualizările ulterioare.

11 iulie 2023 – a doua fază de implementare

Această etapă a fost înlocuită de actualizările de securitate Windows din 9 aprilie 2024 și de actualizările ulterioare.

9 aprilie 2024 sau mai târziu – Faza de evaluare

În această fază, vă solicităm să testați aceste modificări în mediul dvs., pentru a vă asigura că funcționează corect cu dispozitivele eșantion reprezentative și pentru a obține experiență cu modificările.

NOTĂ În loc să încercăm să enumerăm exhaustiv managerii de boot vulnerabili și să nu acordăm încredere în fazele anterioare de implementare, adăugăm certificatul de semnare "Windows Production PCA 2011" la Secure Boot Disallow List (DBX) pentru a nu acorda încredere tuturor managerilor de boot semnați cu acest certificat. Aceasta este o metodă mai fiabilă pentru a vă asigura că toți managerii de boot anteriori nu sunt de încredere.

Actualizări pentru Windows lansate pe 9 aprilie 2024 și actualizările ulterioare, adăugați următoarele:

  • Trei noi controale de atenuare care înlocuiesc atenuările lansate în 2023. Noile controale de atenuare sunt:

    • Un control pentru a implementa certificatul "Windows UEFI CA 2023" la baza de date de pornire sigură, pentru a adăuga încredere managerilor de boot Windows semnați cu acest certificat. Rețineți că certificatul "Windows UEFI CA 2023" ar fi putut fi instalat de o actualizare Windows anterioară.

    • Un control pentru a implementa un manager de bootare semnat de certificatul "Windows UEFI CA 2023".

    • Un control pentru a adăuga "Windows Production PCA 2011" la DBX de pornire sigură, care va bloca toți managerii de boot Windows semnate de acest certificat.

  • Capacitatea de a activa implementarea atenuărilor în etape independent, pentru a permite mai mult control în implementarea atenuărilor în mediul dvs., pe baza nevoilor dvs.

  • Atenuările sunt interconectate, astfel încât să nu poată fi implementate în ordinea incorectă.

  • Evenimente suplimentare pentru a afla starea dispozitivelor pe măsură ce aplică atenuările. Consultați KB5016061: Evenimente de actualizare variabilă DB și DBX Secure Boot pentru mai multe detalii despre evenimente.

9 iulie 2024 sau mai târziu – faza de implementare

În această etapă încurajăm clienții să înceapă implementarea atenuărilor și gestionarea actualizărilor media. Actualizările includ următoarea modificare:

  • Am adăugat suport pentru Secure Version Number (SVN) și pentru setarea SVN actualizat în firmware.

Urmează o schiță a pașilor pentru implementarea într-o întreprindere.

Notă Îndrumări suplimentare vor veni cu actualizările ulterioare ale acestui articol.

  • Implementați prima atenuare pentru toate dispozitivele din întreprindere sau un grup gestionat de dispozitive din întreprindere. Acesta include:

    • Optarea pentru prima atenuare care adaugă certificatul de semnare "Windows UEFI CA 2023" la firmware-ul dispozitivului.

    • Monitorizarea faptului că dispozitivele au adăugat cu succes certificatul de semnare "Windows UEFI CA 2023".

  • Implementați a doua atenuare care aplică managerul de boot actualizat la dispozitiv.

  • Actualizați orice suport de recuperare sau bootabil extern utilizat cu aceste dispozitive.

  • Implementați a treia atenuare care permite revocarea certificatului "Windows Production CA 2011" prin adăugarea acestuia la DBX în firmware.

  • Implementați a patra atenuare care actualizează numărul de versiune securizată (SVN) la firmware.

Data care va fi anunțată – Faza de punere în aplicare

Faza de punere în aplicare nu va începe înainte de ianuarie 2026 și vom oferi cel puțin șase luni de avertizare în avans în acest articol înainte de începerea acestei faze. Atunci când sunt lansate actualizări pentru faza de impunere, acestea vor include următoarele:

  • Certificatul "Windows Production PCA 2011" va fi revocat automat prin adăugarea la Lista de interzise UEFI (DBX) Secure Boot pe dispozitivele capabile. Aceste actualizări vor fi aplicate programatic după instalarea actualizărilor pentru Windows pe toate sistemele afectate, fără opțiunea de dezactivare.

înapoi sus  

Erori din jurnalul de evenimente Windows legate de CVE-2023-24932

Intrările din jurnalul de evenimente Windows legate de actualizarea bazei de date și a DBX sunt descrise detaliat în KB5016061: Evenimente de actualizare variabilă DB și DBX Secure Boot.

Evenimentele de "succes" legate de aplicarea atenuărilor sunt listate în tabelul următor.

Pas de atenuare

ID eveniment

Note

Aplicarea actualizării bazei de date

1036

Certificatul PCA2023 a fost adăugat la baza de date.

Actualizarea managerului de boot

1799

Managerul de boot PCA2023 semnat a fost aplicat.

Aplicarea actualizării DBX

1037

Actualizarea DBX care anulează încrederea certificatului de semnare PCA2011 s-a aplicat.

Aplicarea SVN

1042

DBX este actualizat cu cel mai recent SVN pentru a bloca managerul de boot mai vechi

înapoi sus  

Întrebări frecvente (Întrebări frecvente)

  • Am aplicat revocările la dispozitivul meu și trebuie să reinstalez sau să recuperez dispozitivul. De ce nu îmi pot porni dispozitivul folosind suportul de recuperare (CD/DVD, PXE Boot, unitate USB)?

  • Dispozitivul meu utilizează mai multe sisteme de operare. Cum îmi actualizez sistemul?

    Actualizați toate sistemele de operare Windows cu actualizări lansate la sau după 9 iulie 2024 înainte de a aplica revocările. Este posibil să nu puteți porni nicio versiune de Windows care nu a fost actualizată cel puțin la actualizările lansate pe 9 iulie 2024 după ce aplicați revocările. Urmați instrucțiunile din secțiunea Depanarea problemelor de bootare .

  • Ce tipuri de mesaje de eroare de boot pot fi legate de întărirea securității descrise în acest articol?

    Consultați secțiunea Depanarea problemelor de bootare .

înapoi sus 

Depanarea problemelor de bootare

După ce au fost aplicate toate cele trei atenuări, firmware-ul dispozitivului nu va boota utilizând un manager de pornire semnat de Windows Production PCA 2011. Erorile de boot raportate de firmware sunt specifice dispozitivului. Consultați secțiunea Procedura de recuperare .

înapoi sus  

Procedura de recuperare

Dacă ceva nu merge bine în timpul aplicării atenuărilor și nu puteți porni dispozitivul sau trebuie să porniți de pe un suport extern (cum ar fi o unitate USB sau o bootare PXE), încercați următoarele sugestii:

  1. Dezactivați bootarea sigură.Această procedură diferă în funcție de producătorii de dispozitive și de modele. Introduceți meniul UEFI BIOS al dispozitivului și navigați la setările Secure Boot și dezactivați-l. Consultați documentația de la producătorul dispozitivului pentru detalii despre acest proces. Mai multe detalii pot fi găsite în Dezactivarea bootării securizate.

  2. Resetați cheile Secure Boot la setările din fabrică.

    Dacă dispozitivul acceptă resetarea cheilor Secure Boot la setările din fabrică, efectuați această acțiune acum.

    NOTĂ Unii producători de dispozitive au atât o opțiune "Ștergere", cât și o opțiune "Resetare" pentru variabilele de pornire sigură, caz în care ar trebui utilizat "Resetare". Scopul este de a aduce variabilele Secure Boot înapoi la valorile implicite ale producătorului.

    Dispozitivul dvs. ar trebui să pornească acum, dar rețineți că este vulnerabil în fața malware-ului kit de bootare. Asigurați-vă că finalizați Pasul 5 din acest proces de recuperare pentru a reactiva bootarea sigură.

  3. Încercați să porniți Windows de pe discul de sistem.

    1. Conectați-vă la Windows.

    2. Rulați următoarele comenzi dintr-o linie de comandă de administrator pentru a restaura fișierele de boot în partiția de boot a sistemului EFI. Tastați fiecare comandă separat, apoi apăsați pe Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Rularea BCDBoot returnează "Fișiere de boot create cu succes". După ce se afișează acest mesaj, reporniți dispozitivul înapoi la Windows.

  4. Dacă pasul 3 nu recuperează cu succes dispozitivul, reinstalați Windows.

    1. Porniți dispozitivul de pe suportul de recuperare existent.

    2. Continuați cu instalarea Windows utilizând suportul de recuperare.

    3. Conectați-vă la Windows.

    4. Reporniți Windows pentru a verifica dacă dispozitivul repornește la Windows.

  5. Reactivați bootarea sigură și reporniți dispozitivul.Intrați în meniul UEFI al dispozitivului, navigați la setările Secure Boot și activați-l. Consultați documentația de la producătorul dispozitivului pentru detalii despre acest proces. Mai multe informații pot fi găsite în secțiunea "Reactivați bootarea securizată".

înapoi sus

Referințe

Exonerare de răspundere privind informațiile de la terți

Produsele de la terți prezentate în acest articol sunt create de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau de altă natură, în legătură cu performanța sau fiabilitatea acestor produse.

Oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

înapoi sus

Jurnal de modificări

Data modificării

Descrierea modificării

10 iunie 2026

2 iunie 2026

  • A fost adăugat ID-ul de eveniment 1042 la tabelul jurnal de evenimente

aprilie 2, 2026

  • În secțiunea "Instrucțiuni de implementare de atenuare":

    • Reformulat Pasul 2 pentru a utiliza o comandă PowerShell pentru a verifica dacă certificatele Secure Boot 2023 și Managerul de boot au fost actualizate.

aprilie 1, 2026

  • În secțiunea "Instrucțiuni de implementare de atenuare":

    • S-a reformulat pasul 1 pentru a clarifica faptul că acest lucru se aplică pentru certificatele Secure Boot.

    • Pasul 1a reformulat pentru a clarifica faptul că comanda rulează într-o linie de comandă PowerShell.

    • Reformulat pasul 2 pentru a indica faptul că verificăm că Managerul de boot este semnat.

    • A fost eliminat pasul 2a anterior, deoarece nu se mai aplică: Setați cheia registry pentru a instala managerul de încărcare semnat "'Windows UEFI CA 2023". Pentru aceasta, deschideți o fereastră linie de comandă ca administrator, tastați fiecare dintre următoarele comenzi separat, apoi apăsați pe Enter: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Octombrie 21, 2025

  • S-a eliminat secțiunea "Suport bootabil".Suport fizic bootabil Va fi important să actualizați suportul încărcabil odată ce începe faza de implementare în mediul dvs.Instrucțiunile pentru actualizarea unui suport încărcabil sosesc împreună cu actualizările viitoare ale acestui articol. Consultați secțiunea următoare pentru

Septembrie 8, 2025

  • S-a eliminat următoarele din secțiunea "Probleme cunoscute de firmware", deoarece a fost rezolvat:HP: HP a identificat o problemă cu instalarea de atenuare pe PC-urile HP Z4G4 Workstation și va lansa un firmware Z4G4 UEFI (BIOS) actualizat în săptămânile următoare. Pentru a asigura instalarea cu succes a atenuării, aceasta va fi blocată pe stațiile de lucru desktop până când actualizarea va fi disponibilă. Clienții trebuie să actualizeze întotdeauna la cel mai recent BIOS de sistem înainte de a aplica atenuarea.

10 iulie 2025

  • S-au actualizat datele de 9 iulie 2024 la 8 iulie 2025 în majoritatea aparițiilor din acest articol.

24 iunie 2025

  • Am adăugat următoarea notă la Pasul 1b din secțiunea "Instrucțiuni de implementare a atenuării":Notă Poate fi necesară o repornire dacă caracteristica Mod securizat virtual este activată pe dispozitiv. Printre acestea se numără caracteristici precum Credential Guard, Device Guard și Windows Hello.

Mai 5, 2025

  • S-a eliminat următoarea notă importantă din pasul 1a din secțiunea "Instrucțiuni de implementare de atenuare":IMPORTANT Asigurați-vă că reporniți dispozitivul de două ori pentru a finaliza instalarea actualizării înainte de a trece la pașii 2 și 3.

  • S-a adăugat o a doua comandă la pasul 1a din secțiunea "Instrucțiuni de implementare pentru atenuare": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • S-a adăugat o a doua comandă la Pasul 3a din secțiunea "Instrucțiuni de implementare de atenuare": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • S-a eliminat următorul pas (anterior Pasul 3b) din secțiunea "Instrucțiuni de implementare de atenuare": Reporniți dispozitivul de două ori și confirmați că a repornit complet.

  • A fost adăugată o a doua comandă la pasul 2a din secțiunea "Actualizați Managerul de boot pe dispozitivul dvs.": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • S-a eliminat următorul pas (anterior Pasul 2b) din secțiunea "Actualizați Managerul de boot pe dispozitivul dvs.": Reporniți dispozitivul de două ori.

  • A fost adăugată o a doua comandă la pasul 4a din secțiunea "Aplicați actualizarea SVN la firmware": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • S-a eliminat următorul pas (anterior Pasul 4b) din secțiunea "Aplicați actualizarea SVN la firmware": Reporniți dispozitivul de două ori.

13 februarie 2025

  • S-a modificat pasul 4a al secțiunii "Instrucțiuni de implementare de atenuare" din "Deschideți o linie de comandă de administrator și rulați următoarea comandă pentru a instala managerul de boot semnat "Windows UEFI CA 2023" la "Deschideți o linie de comandă de administrator și rulați următoarea comandă pentru a aplica actualizarea SVN la firmware".

24 ianuarie 2025

  • S-au actualizat informațiile despre dată din secțiunea "Data de anunțat – faza de punere în aplicare".

9 iulie 2024

  • A fost actualizat "Pasul 2: Evaluați modificările" pentru a elimina data de 9 iulie 2024.

  • Am actualizat toate aparițiile datei de 9 aprilie 2024 până la 9 iulie 2024, cu excepția secțiunii "Calendarul actualizărilor".

  • S-a actualizat secțiunea "suport bootabil" și s-a înlocuit conținutul cu "Îndrumările pentru actualizarea suportului bootabil sosesc cu actualizările viitoare".

  • A fost actualizat "9 iulie 2024 sau mai târziu – începe faza de implementare" în secțiunea "Momentul actualizărilor".

  • A fost adăugat pasul 4 "Aplicați actualizarea SVN la firmware" în secțiunea "Instrucțiuni de implementare pentru atenuare".

9 aprilie 2024

  • Modificări ample ale procedurilor, informațiilor, liniilor directoare și datelor. Rețineți că unele modificări anterioare au fost eliminate ca urmare a modificărilor extinse făcute la această dată.

decembrie 16, 2023

  • Au fost revizuite datele de lansare pentru a treia implementare și impunere în secțiunea "Calendarul actualizărilor".

Mai 15, 2023

  • S-a eliminat sistemul de operare neacceptat Windows 10, versiunea 21H1 din secțiunea "Se aplică la".

Mai 11, 2023

  • S-a adăugat o notă de AVERTIZARE la pasul 1 din secțiunea "Instrucțiuni de implementare" despre upgrade-ul la Windows 11, versiunea 21H2 sau 22H2 sau la unele versiuni de Windows 10.

Mai 10, 2023

  • Am clarificat faptul că vor fi disponibile în curând suporturile Windows descărcabile actualizate cu cele mai recente actualizări cumulative.

  • S-a corectat ortografia cuvântului "Forbidden".

Mai 9, 2023

  • Au fost adăugate versiuni acceptate suplimentare la secțiunea "Se aplică la".

  • A fost actualizat pasul 1 din secțiunea "Acționați".

  • S-a actualizat pasul 1 din secțiunea "Instrucțiuni de implementare".

  • Au fost corectate comenzile de la pasul 3a din secțiunea "Instrucțiuni pentru deplomare".

  • S-a corectat amplasarea imaginilor Hyper-V UEFI în secțiunea "Depanarea problemelor de bootare".

27 Iunie, 2023

  • S-a eliminat nota despre actualizarea de la Windows 10 la o versiune mai recentă de Windows 10, care utilizează un pachet de activare sub Pasul 1:Instalare din secțiunea "Instrucțiuni de implementare".

11 iulie 2023

  • Au fost actualizate instanțele datei "9 mai 2023" la "11 iulie 2023", "9 mai 2023 și 11 iulie 2023" sau la "9 mai 2023 sau mai recent".

  • În secțiunea "Instrucțiuni de implementare", observăm că toate actualizările dinamice SafeOS sunt acum disponibile pentru actualizarea partițiilor WinRE. În plus, caseta ATENȚIE a fost eliminată, deoarece problema este rezolvată de lansarea actualizărilor dinamice SafeOS.

  • În panglica "3. APLICĂ revocările", instrucțiunile au fost revizuite.

  • În secțiunea "Erori din jurnalul de evenimente Windows", este adăugat ID-ul de eveniment 276.

august 25, 2023

  • Am actualizat diverse secțiuni pentru formulare și am adăugat informațiile despre lansarea din 11 iulie 2023 și versiunea viitoare din 2024.

  • Rearanjarea unor conținuturi din secțiunea "Evitarea problemelor cu suportul încărcabil" la secțiunea "Actualizarea suportului încărcabil".

  • A fost actualizată secțiunea "Calendarul actualizărilor", cu datele de implementare revizuite și cu informațiile.

înapoi sus  

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate