Se aplică laWindows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data de publicare inițială: 13 august 2024

ID KB: 5042562

Asistența pentru Windows 10 se va încheia în octombrie 2025

După 14 octombrie 2025, Microsoft nu va mai furniza actualizări de software gratuite de la Windows Update, asistență tehnică sau remedieri de securitate pentru Windows 10. PC-ul va funcționa în continuare, dar vă recomandăm să treceți la Windows 11.

Aflați mai multe

Notă importantă despre politica SkuSiPolicy.p7b

Pentru instrucțiuni de aplicare a politicii actualizate, consultați secțiunea Implementarea unei politici de revocare semnate de Microsoft (SkuSiPolicy.p7b). 

În acest articol

Rezumat

Microsoft a luat cunoștință de o vulnerabilitate din Windows care îi permite unui atacator cu privilegii de administrator să înlocuiască fișierele de sistem Windows actualizate care au versiuni mai vechi, deschizând ușa unui atacator pentru a reintroduce vulnerabilitățile la securitatea bazată pe virtualizare (VBS).  Revenirea acestor fișiere binare poate permite unui atacator să eludeze caracteristicile de securitate VBS și să exfilteze date care sunt protejate de VBS. Această problemă este descrisă în CVE-2024-21302 | Modul kernel securizat Windows Sporirea vulnerabilității privilegiilor.

Pentru a rezolva această problemă, vom revoca fișierele de sistem VBS vulnerabile care nu sunt actualizate. Din cauza numărului mare de fișiere legate de VBS care trebuie blocate, utilizăm o abordare alternativă pentru a bloca versiunile de fișiere care nu sunt actualizate.

Domeniul de aplicare al impactului

Toate dispozitivele Windows care acceptă VBS sunt afectate de această problemă. Printre acestea se numără dispozitivele fizice și mașinile virtuale locale . VBS este acceptat în versiunile Windows 10 și mai recente de Windows și Windows Server 2016 și versiunile mai recente Windows Server.

Starea VBS poate fi verificată prin instrumentul Microsoft System Information (Msinfo32.exe). Acest instrument colectează informații despre dispozitivul dvs. După începerea Msinfo32.exe, defilați în jos la rândul de securitate bazat pe virtualizare . Dacă valoarea acestui rând este În rulare, VBS este activat și rulează.

System Information dialog box with the "Virtualization-based security" row highlighted

Starea VBS poate fi verificată și cu Windows PowerShell utilizând clasa WMI Win32_DeviceGuard. Pentru a interoga starea VBS din PowerShell, deschideți o sesiune Windows PowerShell cu drepturi sporite, apoi rulați următoarea comandă:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

După ce rulați comanda PowerShell de mai sus, starea VBS ar trebui să fie una dintre următoarele.

Nume câmp

Stare

VirtualizationBasedSecurityStatus

  • În cazul în care câmpul este egal cu 0, VBS nu este activat.

  • În cazul în care câmpul este egal cu 1, VBS este activat, dar nu rulează.

  • În cazul în care câmpul este egal cu 2, VBS este activat și rulează.

Atenuări disponibile

Pentru toate versiunile acceptate de Windows 10, versiunea 1507 și versiunile mai recente de Windows, Windows Server 2016 și versiunile mai recente Windows Server, administratorii pot implementa o politică de revocare semnată de Microsoft (SkuSiPolicy.p7b). Acest lucru va bloca încărcarea versiunilor vulnerabile ale fișierelor de sistem VBS care nu sunt actualizate de către sistemul de operare.  

Atunci când SkuSiPolicy.p7b este aplicat la un dispozitiv Windows, politica va fi, de asemenea, blocată la dispozitiv prin adăugarea unei variabile la firmware-ul UEFI. În timpul pornirii, politica se încarcă și Windows blochează încărcarea fișierelor binare care încalcă politica. Dacă se aplică blocarea UEFI și politica este eliminată sau înlocuită cu o versiune mai veche, managerul de boot Windows nu va porni și dispozitivul nu va porni. Această eroare de boot nu va afișa o eroare și sistemul va trece la următoarea opțiune de boot disponibilă, care poate avea ca rezultat o buclă de boot.

A fost adăugată o politică CI suplimentară semnată de Microsoft, care este activată în mod implicit și nu necesită adăugarea de pași suplimentari de implementare, care nu este legată la UEFI. Această politică CI semnată va fi încărcată în timpul încărcării, iar impunerea acestei politici va împiedica revenirea fișierelor de sistem VBS în timpul acelei sesiuni de boot. Spre deosebire de SkuSiPolicy.p7b, un dispozitiv poate continua să booteze dacă politica implicită activată a fost modificată sau eliminată. Această atenuare este disponibilă pe dispozitivele cu Windows 10 22H2 și versiunile ulterioare. SkuSkiPolicy.p7b poate fi aplicat în continuare de administratori pentru a oferi protecție suplimentară pentru revenire în sesiunile de boot.  

Jurnalele Windows Measured Boot utilizate pentru a confirma starea de funcționare a bootării PC-ului includ informații despre versiunea de politică care se încarcă în timpul procesului de boot. Aceste jurnale sunt întreținute în siguranță de TPM în timpul încărcării, iar serviciile de atestare Microsoft analizează aceste jurnale pentru a verifica dacă sunt încărcate versiunile de politică corecte. Serviciile de atestare impun reguli care asigură încărcarea unei versiuni de politică specifice sau mai recente; în caz contrar, sistemul nu va fi atestat ca fiind sănătos.

Pentru ca atenuarea politicii să funcționeze, politica trebuie actualizată utilizând actualizarea de servicii Windows, deoarece componentele Windows și politica trebuie să provină din aceeași lansare. Dacă atenuarea politicii este copiată pe dispozitiv, este posibil ca dispozitivul să nu pornească dacă se aplică versiunea greșită a atenuării sau atenuarea poate să nu funcționeze așa cum vă așteptați. În plus, atenuările descrise în KB5025885 ar trebui să fie aplicate la dispozitivul dvs.

Pe Windows 11 PC-uri securizate, Dynamic Root of Trust for Measurement (DRTM) adaugă o atenuare suplimentară pentru vulnerabilitatea de revenire. Această atenuare este activată în mod implicit pentru sistemele care rulează Windows 11, versiunea 24H2. Pe aceste sisteme, cheile de criptare protejate prin VBS sunt legate la politica VBS CI a sesiunii de boot cu activare implicită și vor fi dezlipite doar dacă este impusă versiunea de politică CI corespunzătoare. Pentru a activa revenirile inițiate de utilizator, a fost adăugată o perioadă de grație pentru a permite revenirea sigură la versiunea 1 a pachetului de actualizare Windows, fără a pierde posibilitatea de a dezlipi cheia coordonatoare VSM. Cu toate acestea, revenirea inițiată de utilizator este posibilă doar dacă nu se aplică SkuSiPolicy.p7b. Politica VBS CI impune ca toate fișierele binare de boot să nu fi fost readuse la versiuni revocate. Acest lucru înseamnă că, dacă un atacator cu privilegii de administrator anulează boot-urile binare vulnerabile, sistemul nu va porni. Dacă politica II și fișierele binare sunt readuse la o versiune anterioară, datele protejate prin VSM nu vor fi desealificate.

Înțelegerea riscurilor de atenuare

Trebuie să fiți la curent cu riscurile potențiale înainte de a aplica politica de revocare semnată de Microsoft. Revizuiți aceste riscuri și faceți actualizările necesare pentru suportul de recuperare înainte de a aplica atenuarea.

Notă Aceste riscuri se aplică doar la politica SkuSiPolicy.p7b și nu se aplică la protecțiile activate implicit.

  • Integritate cod mod utilizator (UMCI). Politica de revocare semnată de Microsoft permite integritatea codului modului de utilizator, astfel încât regulile din politică să se aplice la fișierele binare ale modului utilizator. UMCI activează, de asemenea, codul dinamic de securitate în mod implicit. Impunerea acestor caracteristici poate introduce probleme de compatibilitate cu aplicațiile și scripturile și poate împiedica rularea acestora și poate avea un impact asupra timpului de pornire. Înainte de a implementa atenuarea, urmați instrucțiunile pentru a implementa politica modului de auditare pentru a testa problemele potențiale.

  • Se blochează și se dezinstalează actualizările UEFI. După aplicarea blocării UEFI cu politica de revocare semnată de Microsoft pe un dispozitiv, dispozitivul nu poate fi readus la starea inițială (prin dezinstalarea actualizărilor Windows, utilizând un punct de restaurare sau prin alte mijloace) dacă continuați să aplicați Bootarea sigură. Chiar și reformatarea discului nu va elimina blocarea UEFI a atenuării, dacă a fost deja aplicată. Acest lucru înseamnă că, dacă încercați să readuceți sistemul de operare Windows la o stare anterioară care nu are atenuarea aplicată, dispozitivul nu va porni, nu se va afișa niciun mesaj de eroare și UEFI va trece la următoarea opțiune de pornire disponibilă. Acest lucru poate duce la o buclă de boot. Trebuie să dezactivați bootarea sigură pentru a elimina blocarea UEFI. Rețineți toate implicațiile posibile și testați cu atenție înainte de a aplica revocările descrise în acest articol pe dispozitivul dvs.

  • Suport de boot extern. După ce atenuările de blocare UEFI au fost aplicate la un dispozitiv, suportul de boot extern trebuie să fie actualizat cu cea mai recentă actualizare Windows instalată pe dispozitiv. Dacă suportul de boot extern nu este actualizat la aceeași versiune de actualizare Windows, este posibil ca dispozitivul să nu booteze de pe acel suport media. Consultați instrucțiunile din secțiunea Actualizarea suportului de boot extern înainte de a aplica atenuările.

  • Mediul de recuperare WindowsMediul de recuperare Windows (WinRE) de pe dispozitiv trebuie să fie actualizat cu cele mai recente actualizări Windows instalate pe dispozitiv înainte ca SkuSipolicy.p7b să fie aplicat dispozitivului. Omiterea acestui pas ar putea împiedica WinRE să ruleze caracteristica Resetare PC.  Pentru mai multe informații, consultați Adăugarea unui pachet de actualizare la Windows RE.

  • Bootare mediu de execuție (PXE) pre-boot. Dacă atenuarea este implementată pe un dispozitiv și încercați să utilizați bootarea PXE, dispozitivul nu va porni decât dacă se aplică cea mai recentă actualizare Windows și la imaginea de bootare a serverului PXE. Nu recomandăm implementarea atenuării pentru sursele de boot de rețea decât dacă serverul de bootare PXE a fost actualizat la cea mai recentă actualizare Windows lansată la sau după ianuarie 2025, inclusiv la managerul de boot PXE.  

Îndrumări pentru implementarea atenuării

Pentru a rezolva problemele descrise în acest articol, puteți implementa o politică de revocare semnată de Microsoft (SkuSiPolicy.p7b). Această atenuare este acceptată doar pe Windows 10, versiunea 1507 și versiunile mai recente de Windows și Windows Server 2016. Înainte de a implementa politica de revocare semnată de Microsoft (SkuSiPolicy.p7b), trebuie să testați problemele de compatibilitate utilizând o politică de mod de auditare.

Notă Dacă utilizați BitLocker, asigurați-vă că cheii de recuperare BitLocker i s-a făcut backup. Puteți să rulați următoarea comandă dintr-o linie de comandă Administrator și să rețineți parola numerică de 48 de cifre:

manage-bde -protectors -get %systemdrive%​​​​​​​

Implementarea unei politici privind modul de auditare

Politica de revocare semnată de Microsoft (SkuSiPolicy.p7b) impune integritatea codului de mod utilizator (UMCI) și securitatea codului dinamic. Aceste caracteristici pot avea probleme de compatibilitate cu aplicațiile client. Înainte de a implementa atenuarea, ar trebui să implementați o politică de audit pentru a detecta problemele de compatibilitate.

Aveți două opțiuni pentru politica de audit:

  • Utilizați politica de audit SiPolicy.p7b furnizată,

  • Sau compilați propriul binar de politică de audit dintr-un fișier XML furnizat.

Vă recomandăm să utilizați binarul politicii de audit SiPolicy.p7b furnizate, cu excepția cazului în care ați implementat deja o politică existentă pentru Controlul aplicației Windows Defender (WDAC). Binarul politicii de audit furnizate nu va fi blocat UEFI. Suportul de boot extern și suportul de recuperare nu trebuie actualizate înainte de a aplica politica de auditare.

Integritatea codului Windows va evalua fișierele binare ale utilizatorului și ale modului kernel în raport cu regulile din politica de auditare. Dacă integritatea codului identifică o aplicație sau un script care încalcă politica, se va genera un eveniment jurnal de evenimente Windows cu informații despre aplicația sau scriptul blocat și informații despre politica impusă. Aceste evenimente pot fi utilizate pentru a determina dacă există aplicații sau scripturi incompatibile utilizate pe dispozitivul dvs. Pentru mai multe informații, consultați secțiunea Jurnale de evenimente Windows .

Politica de auditare SiPolicy.p7b este inclusă în cele mai recente actualizări Windows pentru toate sistemele de operare Windows acceptate. Această politică de auditare ar trebui aplicată doar dispozitivelor, instalând cea mai recentă actualizare de servicii, apoi urmați acești pași:

  1. Rulați următoarele comenzi dintr-o solicitare de Windows PowerShell cu drepturi sporite:

    # Initialize policy location and destination

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Copy the audit policy binary

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Reporniți dispozitivul.

  3. Confirmați că politica este încărcată în Vizualizator evenimente utilizând informațiile din secțiunea Evenimente de activare a politicii.

  4. Testați utilizând aplicații și scripturi în timp ce se aplică politica pentru a identifica problemele de compatibilitate.

Pentru a dezinstala politica de auditare SiPolicy.p7b, urmați acești pași:

  1. Rulați următoarele comenzi dintr-o solicitare de Windows PowerShell cu drepturi sporite:

    # Initialize policy location

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Reporniți dispozitivul.

  3. Confirmați că politica de audit nu este încărcată în Vizualizator evenimente utilizând informațiile din secțiunea Evenimente de activare a politicii.

Implementarea unei politici de revocare semnate de Microsoft (SkuSiPolicy.p7b)

Politica de revocare semnată de Microsoft este inclusă ca parte a celei mai recente actualizări Windows. Această politică ar trebui aplicată dispozitivelor doar prin instalarea celei mai recente actualizări Windows disponibile, lansată pe sau după ianuarie 2025, apoi urmați acești pași:

Notă Dacă lipsesc actualizări, este posibil ca dispozitivul să nu înceapă cu atenuarea aplicată sau atenuarea poate să nu funcționeze așa cum vă așteptați. Asigurați-vă că actualizați suportul Windows bootabil cu cea mai recentă actualizare Windows disponibilă înainte de a implementa politica. Pentru detalii despre cum să actualizați suportul bootabil, consultați secțiunea Actualizarea suportului fizic de boot extern .

  1. Rulați următoarele comenzi într-o solicitare de Windows PowerShell cu drepturi sporite:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force mountvol $MountPoint /D

  2. Reporniți-vă dispozitivul.

  3. Confirmați că politica este încărcată în Vizualizator evenimente utilizând informațiile din secțiunea Jurnale de evenimente Windows.

Note

  • Nu trebuie să eliminați fișierul de revocare (politică) SkuSiPolicy.p7b după ce este implementat. Este posibil ca dispozitivul dvs. să nu mai poată porni dacă fișierul este eliminat.

  • Dacă dispozitivul dvs. nu pornește, consultați secțiunea Procedura de recuperare.

Actualizarea suportului de boot extern

Pentru a utiliza suportul de boot extern cu un dispozitiv care are aplicată o politică de revocare semnată de Microsoft, suportul de boot extern trebuie actualizat cu cea mai recentă actualizare Windows, inclusiv cu Managerul de boot. Dacă suportul media nu include cea mai recentă actualizare Windows, suportul media nu va porni.

Important Vă recomandăm să Creați o unitate de recuperare înainte de a continua. Acest suport fizic poate fi utilizat pentru a reinstala un dispozitiv în cazul în care există o problemă majoră.

Utilizați următorii pași pentru a actualiza suportul de boot extern:

  1. Accesați un dispozitiv pe care au fost instalate cele mai recente actualizări Windows.

  2. Montați suportul de boot extern ca literă de unitate. De exemplu, montați o unitate usb ca D:.

  3. Faceți clic pe Start, tastați Creare unitate de recuperare în caseta Căutare , apoi faceți clic pe Creare panou de control pentru o unitate de recuperare. Urmați instrucțiunile pentru a crea o unitate de recuperare utilizând unitatea USB montată.

  4. Scoateți în siguranță unitatea usb montată.

Dacă gestionați suportul fizic instalabil în mediul dvs. utilizând suportul de instalare Actualizare Windows cu instrucțiuni pentru actualizarea dinamică , urmați acești pași:

  1. Accesați un dispozitiv pe care au fost instalate cele mai recente actualizări Windows.

  2. Urmați pașii din Actualizarea suportului de instalare Windows cu Actualizare dinamică pentru a crea un suport media care are cele mai recente actualizări Windows instalate.

Jurnale de evenimente Windows

Windows înregistrează evenimentele atunci când politicile de integritate a codului, inclusiv SkuSiPolicy.p7b, sunt încărcate și atunci când un fișier este blocat de la încărcare din cauza impunerii politicilor. Puteți utiliza aceste evenimente pentru a verifica dacă atenuarea a fost aplicată.

Jurnalele de integritate a codului sunt disponibile în Vizualizator evenimente Windows sub jurnalele de aplicații și servicii > jurnaleleMicrosoft > Windows > CodeIntegrity > jurnalele de aplicații și servicii > operaționale > services > jurnaleleMicrosoft > Windows > AppLocker > MSI și Script.

Pentru mai multe informații despre evenimentele de integritate a codului, consultați Ghidul operațional pentru Controlul aplicației Windows Defender.

Evenimente de activare a politicii

Evenimentele de activare a politicii sunt disponibile în Vizualizator evenimente Windows sub jurnalele de aplicații și servicii > Microsoft > Windows > CodeIntegrity > Operațional.

CodeIntegrity Evenimentul 3099 din jurnalul de evenimente "CodeIntegrity - Operational" indică faptul că s-a încărcat o politică și include detalii despre politica încărcată. Informațiile din eveniment includ numele prietenos al politicii, un identificator unic global (GUID) și un cod hash al politicii. Evenimentele 3099 de evenimente CodeIntegrity multiple vor fi prezente dacă există mai multe politici de integritate a codului aplicate dispozitivului.

Atunci când se aplică politica de audit furnizată, va exista un eveniment cu următoarele informații:

  • PolicyNameBuffer - politica de audit de securitate bazată pe virtualizare Microsoft Windows

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Politica de audit de securitate bazată pe virtualizare Microsoft

Atunci când se aplică politica de revocare semnată de Microsoft (SkuSiPolicy.p7b), va exista un eveniment cu următoarele informații (consultați captura de ecran a evenimentului CodeIntegrity 3099 de mai jos):

  • PolicyNameBuffer - politica SI Microsoft Windows SKU

  • PolicyGUID - {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Politica SKU Microsoft Windows SKU

Dacă ați aplicat politica de auditare sau atenuarea la dispozitiv și evenimentul CodeIntegrity 3099 pentru politica aplicată nu este prezentă, politica nu este impusă. Consultați instrucțiunile de implementare pentru a verifica dacă politica a fost instalată corect.

Notă Evenimentul 3099 de integritate a codului nu este acceptat în versiunile de Windows 10 Enterprise 2016, Windows Server 2016 și Windows 10 Enterprise 2015 LTSB. Pentru a verifica dacă politica a fost aplicată (politică de audit sau revocare), trebuie să montați partiția de sistem EFI utilizând comanda mountvol.exe și să verificați dacă politica a fost aplicată la partiția EFI. Asigurați-vă că deconectați partiția de sistem EFI după verificare.

SkuSiPolicy.p7b - Politica de revocare

SkuSiPolicy.p7b s-a aplicat politica

SiPolicy.p7b - Politica de audit

Politica de audit SiPolicy.p7b aplicată

Auditarea și blocarea evenimentelor

Auditul integrității codului și evenimentele de blocare sunt disponibile în Vizualizator evenimente Windows sub jurnalele de aplicații și servicii > jurnalele Microsoft > Windows > CodeIntegrity > jurnalele operaționale de aplicații și servicii > > Microsoft > Windows > AppLocker > MSI și Script.

Fosta locație de înregistrare în jurnal include evenimente despre controlul fișierelor executabile, dll-urilor și driverelor. Ultima locație de înregistrare în jurnal include evenimente despre controlul programelor de instalare, scripturilor și obiectelor COM MSI.

Evenimentul CodeIntegrity 3076 din jurnalul "CodeIntegrity - Operational" este evenimentul de bloc principal pentru politicile modului de auditare și indică faptul că un fișier ar fi fost blocat dacă s-ar fi impus o politică. Acest eveniment include informații despre fișierul blocat și despre politica impusă. Pentru fișierele care ar fi blocate de atenuare, informațiile de politică din evenimentul 3077 vor corespunde informațiilor de politică a politicii de audit din evenimentul 3099.

CodeIntegrity Evenimentul 3077 din jurnalul "CodeIntegrity - Operational" indică faptul că încărcarea unui fișier executabil, .dll sau a unui driver a fost blocată. Acest eveniment include informații despre fișierul blocat și despre politica impusă. Pentru fișierele blocate de atenuare, informațiile de politică din evenimentul CodeIntegrity 3077 vor corespunde informațiilor de politică din SkuSiPolicy.p7b din evenimentul CodeIntegrity 3099. Evenimentul CodeIntegrity 3077 nu va fi prezent dacă nu există executabil, .dll sau drivere care încalcă politica de integritate a codului pe dispozitivul dvs.

Pentru alte evenimente de auditare a integrității codului și blocare, consultați Înțelegerea evenimentelor de control al aplicațiilor.

Procedura de eliminare și recuperare a politicilor

Dacă ceva nu merge bine după aplicarea atenuării, puteți utiliza următorii pași pentru a elimina atenuarea:

  1. Suspendați BitLocker dacă este activat. Rulați următoarea comandă dintr-o fereastră linie de comandă cu drepturi sporite:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Dezactivați Bootarea sigură din meniul UEFI BIOS.Procedura pentru dezactivarea Bootării securizate diferă între producătorii și modelele dispozitivelor. Pentru ajutor la găsirea locului unde să dezactivați Bootarea sigură, consultați documentația producătorului dispozitivului. Mai multe detalii pot fi găsite în Dezactivarea bootării securizate.

  3. Eliminați politica SkuSiPolicy.p7b.

    1. Porniți Windows în mod normal, apoi conectați-vă.Politica SkuSiPolicy.p7b trebuie eliminată din următoarea locație:

      • <partiție de sistem EFI>\Microsoft\Boot\SkuSiPolicy.p7b

    2. Rulați următoarele comenzi dintr-o sesiune de Windows PowerShell cu drepturi sporite pentru a curăța politica din aceste locații:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } ​​​​​​​mountvol $MountPoint /D

  4. Activați Bootare sigură din BIOS.Consultați documentația producătorului dispozitivului pentru a afla unde să activați Bootarea sigură.Dacă ați dezactivat Bootare sigură la pasul 1 și unitatea este protejată de BitLocker, suspendați protecția BitLocker , apoi activați Bootare sigură din meniul UEFI BIOS .

  5. Activați BitLocker. Rulați următoarea comandă dintr-o fereastră linie de comandă cu drepturi sporite:

    Manager-bde -protectors -enable c:

  6. Reporniți-vă dispozitivul.

Modificare dată

Descriere

8 aprilie 2025

  • S-a eliminat prima propoziție din secțiunea "Notă importantă despre politica SkuSiPolicy.p7b", deoarece cea mai recentă actualizare nu este disponibilă în prezent pentru toate versiunile de Windows.

  • S-a actualizat secțiunea "Atenuări disponibile", adăugând informații mai detaliate.

  • S-au adăugat atenuări implicite pentru sesiunea de boot, pentru a împiedica revenirea fișierelor binare pentru Windows 10, versiunea 22H2 și versiunile mai recente și protecția datelor VBS pentru dispozitivele bazate pe Secure Launch sau DRTM pe Windows 11, versiunea 24H2.

24 februarie 2025

  • S-a actualizat nota din secțiunea "Evenimente de activare a politicii" și am adăugat o a doua captură de ecran cu listarea directorului care afișează fișierul "SiPolicy.p7b - Politică de audit".

11 februarie 2025

  • S-a actualizat scriptul din Pasul 1 din secțiunea "Implementarea unei politici de revocare semnate de Microsoft (SkuSiPolicy.p7b)".

  • Am adăugat o notă la sfârșitul secțiunii "Evenimente de activare a politicii" și am adăugat o captură de ecran cu listarea directorului care afișează fișierul "SkuSiPolicy.p7b - Politică de revocare".

  • S-a actualizat scriptul din Pasul 3b din secțiunea "Procedura de eliminare și recuperare a politicilor".

14 ianuarie 2025

  • Am adăugat nota Important despre politica SkuSiPolicy.p7b în partea de sus a acestui articol.*

  • S-a eliminat următoarea notă (care a fost adăugată la 12 noiembrie 2024) din secțiunea "Atenuări disponibile", deoarece nu mai este necesar:"Notă Asistență pentru SKUSIPolicy.p7b și politicile VbsSI_Audit.p7b pentru Windows 10, versiunea 1507, Windows 10 Enterprise 2016 și Windows Server 2016 au fost adăugate ca parte a celor mai recente actualizări Windows lansate la și după 8 octombrie 2024. Versiunile mai noi de Windows și Windows Server introdus aceste politici în actualizările din 13 august 2024."

  • Am adăugat mai multe informații la Notă în secțiunea "Implementarea unei politici de revocare semnate de Microsoft (SkuSiPolicy.p7b)". Textul original a fost "Notă Dacă lipsesc actualizări, este posibil ca dispozitivul să nu înceapă cu atenuarea aplicată sau atenuarea poate să nu funcționeze așa cum vă așteptați". *

  • S-a eliminat al doilea paragraf din secțiunea "Se actualizează suportul de boot extern". Textul original eliminat a fost "Suportul fizic de boot care este actualizat cu politica de revocare semnată de Microsoft trebuie utilizat doar pentru a boota dispozitivele care au deja aplicată atenuarea.  Dacă este utilizat cu dispozitive fără atenuare, blocarea UEFI se va aplica în timpul pornirii de pe suportul de boot. Pornirea ulterioară de pe disc nu va reuși, cu excepția cazului în care dispozitivul este actualizat cu atenuarea sau blocarea UEFI este eliminată." *

  • S-a eliminat pasul "Cu suportul fizic nou creat montat, copiați fișierul SkuSiPolicy.p7b în <MediaRoot>\EFI\Microsoft\Boot (de exemplu, D:\EFI\Microsoft\Boot)" în procedura "steps to update the external boot media" din secțiunea "Actualizarea suportului de boot extern", deoarece acest pas nu mai este necesar.*

  • S-au eliminat pașii 3-5 din procedura "Actualizați suportul de instalare Windows cu instrucțiuni privind actualizarea dinamică " din secțiunea "Actualizarea suportului de boot extern", deoarece pașii nu mai sunt necesari.*

    • 3. Plasați conținutul suportului media pe o unitate USB și montați unitatea USB ca literă de unitate. De exemplu, montați unitatea usb ca D:.

    • 4. Copiați SkuSiPolicy.p7b în<MediaRoot>\EFI\Microsoft\Boot (de exemplu, D:\EFI\Microsoft\Boot).

    • 5. Scoateți în siguranță unitatea USB montată.

  • S-a actualizat primul paragraf din subiectul "Suport de boot extern" din secțiunea "Înțelegerea riscurilor de atenuare". Textul original a fost "După ce atenuările blocării UEFI au fost aplicate la un dispozitiv, suportul de boot extern trebuie să fie actualizat cu cele mai recente actualizări Windows instalate pe dispozitiv și cu politica de revocare semnată de Microsoft (SkuSiPolicy.p7b). Dacă suportul de boot extern nu este actualizat, este posibil ca dispozitivul să nu bootați de pe acel suport media. Consultați instrucțiunile din secțiunea Actualizarea suportului de boot extern înainte de a aplica atenuările.*

  • S-a eliminat al doilea paragraf din subiectul "Suport de boot extern" din secțiunea "Înțelegerea riscurilor de atenuare". Textul original era "Suportul de boot care este actualizat cu politica de revocare semnată de Microsoft trebuie utilizat doar pentru a boota dispozitivele care au deja aplicată atenuarea.  Dacă este utilizat cu dispozitive fără atenuare, blocarea UEFI se va aplica în timpul pornirii de pe suportul de boot. Pornirea ulterioară de pe disc nu va reuși, cu excepția cazului în care dispozitivul este actualizat cu atenuarea sau blocarea UEFI este eliminată." *

  • S-a actualizat subiectul "Bootare mediu de execuție pre-boot (PXE) în secțiunea "Înțelegerea riscurilor de atenuare". Textul original a fost "Dacă atenuarea este implementată pe un dispozitiv și încercați să utilizați bootarea PXE, dispozitivul nu va porni decât dacă atenuările sunt aplicate și la sursele de boot de rețea (rădăcina unde este prezentă bootmgfw.efi). Dacă un dispozitiv pornește de la o sursă de boot de rețea care are aplicată atenuarea, atunci blocarea UEFI se va aplica dispozitivului și va începe impactul ulterior. Nu recomandăm implementarea atenuării pentru sursele de boot de rețea decât dacă toate dispozitivele din mediul dvs. au implementate atenuările. "*

12 noiembrie 2024

  • În secțiunea "Atenuări disponibile", suportul pentru politicile SkuSiPolicy.p7b și VbsSI_Audit.p7b pentru Windows 10, versiunea 1507, Windows 10 Enterprise 2016 și Windows Server 2016 a fost adăugat ca parte a actualizărilor Windows lansate la și după 8 octombrie 2024.

  • S-au actualizat datele de lansare Windows din 13 august 2024 până la 12 noiembrie 2024.
Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate