Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

IMPORTANT Ar trebui să aplicați actualizarea de securitate Windows lansată la sau după 9 aprilie 2024, ca parte a procesului de actualizare lunar obișnuit.

Acest articol se aplică organizațiilor care ar trebui să înceapă să evalueze atenuările pentru o ocolire secure boot dezvăluită public, valorificată de bootkitul BlackLotus UEFI. În plus, se recomandă să luați o atitudine proactivă privind securitatea sau să începeți să vă pregătiți pentru lansare. Rețineți că acest malware necesită acces fizic sau administrativ la dispozitiv.

PRECAUŢIE După ce atenuarea pentru această problemă este activată pe un dispozitiv, ceea ce înseamnă că atenuările au fost aplicate, nu poate fi readuse la starea inițială dacă utilizați în continuare Bootarea sigură pe acel dispozitiv. Chiar și reformatarea discului nu va elimina revocările dacă au fost deja aplicate. Rețineți toate implicațiile posibile și testați cu atenție înainte de a aplica revocările descrise în acest articol pe dispozitivul dvs.

În acest articol

Rezumat

Acest articol descrie protecția împotriva omiterii caracteristicii de securitate Secure Boot dezvăluită public care utilizează bootkitul BlackLotus UEFI urmărit de CVE-2023-24932, cum să activați atenuările și instrucțiuni privind suportul bootabil. Un bootkit este un program rău intenționat care este proiectat să se încarce cât mai curând posibil într-o secvență de bootare a dispozitivelor pentru a controla pornirea sistemului de operare.

Bootarea securizată este recomandată de Microsoft pentru a stabili o cale sigură și de încredere de la Unified Extensible Firmware Interface (UEFI) prin secvența boot de încredere a kernelului Windows. Secure Boot contribuie la prevenirea malware-ului bootkit în secvența de boot. Dezactivarea bootului securizat pune un dispozitiv în pericol de a fi infectat cu malware bootkit. Remedierea bypass-ului secure boot descris în CVE-2023-24932 necesită revocarea managerilor de boot. Acest lucru poate cauza probleme pentru unele configurații de bootare a dispozitivului.

Atenuările împotriva ocolirii secure boot detaliate în CVE-2023-24932 sunt incluse în actualizările de securitate Windows care au fost lansate la sau după 9 aprilie 2024. Totuși, aceste atenuări nu sunt activate în mod implicit. Cu aceste actualizări, vă recomandăm să începeți să evaluați aceste modificări în mediul dvs. Planificarea completă este descrisă în secțiunea Temporizarea actualizărilor .

Înainte de a activa aceste atenuări, ar trebui să revizuiți cu atenție detaliile din acest articol și să determinați dacă trebuie să activați atenuările sau să așteptați o actualizare viitoare de la Microsoft. Dacă alegeți să activați atenuările, trebuie să verificați dacă dispozitivele dvs. sunt actualizate și gata și să înțelegeți riscurile descrise în acest articol. 

Acționați 

Pentru această versiune, trebuie urmați următorii pași:

Pasul 1: Instalați actualizarea de securitate Windows lansată la sau după 9 aprilie 2024, pe toate versiunile acceptate.

Pasul 2: Evaluați modificările și modul în care acestea vă afectează mediul.

Pasul 3: Impuneți modificările.

Domeniul de aplicare al impactului

Toate dispozitivele Windows cu protecții Secure Boot activate sunt afectate de bootkitul BlackLotus. Atenuările sunt disponibile pentru versiunile de Windows acceptate. Pentru lista completă, consultați CVE-2023-24932.

Înțelegerea riscurilor

Risc de malware: Pentru ca exploitul bootkit BlackLotus UEFI descris în acest articol să fie posibil, un atacator trebuie să obțină privilegii administrative pe un dispozitiv sau să obțină acces fizic la dispozitiv. Acest lucru poate fi realizat prin accesarea fizică sau de la distanță a dispozitivului, de exemplu prin utilizarea unui hipervizor pentru a accesa mașini virtuale/cloud. Un atacator va utiliza de obicei această vulnerabilitate pentru a continua să controleze un dispozitiv pe care îl poate accesa deja și, eventual, pentru a-l manipula. Atenuările din acest articol sunt preventive și nu sunt corective. Dacă dispozitivul dvs. este deja compromis, contactați furnizorul de securitate pentru ajutor.

Suport de recuperare: Dacă întâmpinați o problemă cu dispozitivul după aplicarea atenuării și dispozitivul devine bootabil, este posibil să nu reușiți să porniți sau să recuperați dispozitivul de pe un suport media existent. Suportul de recuperare sau instalare va trebui actualizat, astfel încât să funcționeze cu un dispozitiv care are atenuările aplicate.

Probleme de firmware: Atunci când Windows aplică atenuările descrise în acest articol, trebuie să se bazeze pe firmware-ul UEFI al dispozitivului pentru a actualiza valorile Secure Boot (actualizările se aplică pentru cheia bazei de date (DB) și cheia de semnătură interzisă (DBX)). În unele cazuri, avem experiență cu dispozitive care nu reușesc actualizările. Colaborăm cu producătorii de dispozitive pentru a testa aceste actualizări cheie în cât mai multe dispozitive posibil.

NOTĂ Testați mai întâi aceste atenuări pe un singur dispozitiv pentru fiecare clasă de dispozitiv din mediul dvs., pentru a detecta posibilele probleme de firmware. Nu implementați pe scară largă înainte de a confirma evaluarea tuturor claselor de dispozitive din mediul dvs.

Recuperare BitLocker: Unele dispozitive pot intra în recuperarea BitLocker. Nu uitați să păstrați o copie a cheii de recuperare BitLocker înainte de a activa atenuările.

Probleme cunoscute

Probleme de firmware:Nu toate firmware-ul dispozitivului va actualiza cu succes Secure Boot DB sau DBX. În cazurile de care știm, am raportat problema producătorului dispozitivului. Consultați KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX pentru detalii despre evenimentele înregistrate. Contactați producătorul dispozitivului pentru actualizări de firmware. Dacă dispozitivul nu este în asistență, Microsoft recomandă upgrade-ul dispozitivului.

Probleme cunoscute de firmware:

NOTĂ Următoarele probleme cunoscute nu au niciun impact asupra și nu vor împiedica instalarea actualizărilor din 9 aprilie 2024. În majoritatea cazurilor, atenuările nu se vor aplica acolo unde există probleme cunoscute. Vedeți detaliile explicate în fiecare problemă cunoscută.

  • HP: HP a identificat o problemă cu instalarea atenuării pe PC-urile HP Z4G4 Workstation și va lansa un firmware Z4G4 UEFI actualizat (BIOS) în următoarele săptămâni. Pentru a asigura instalarea cu succes a atenuării, aceasta va fi blocată pe stațiile de lucru desktop până când actualizarea este disponibilă. Clienții ar trebui să actualizeze întotdeauna la cel mai recent BIOS de sistem înainte de a aplica atenuarea.

  • Dispozitive HP cu Sure Start Security: Aceste dispozitive au nevoie de cele mai recente actualizări de firmware de la HP pentru a instala atenuările. Atenuările sunt blocate până la actualizarea firmware-ului. Instalați cea mai recentă actualizare de firmware de pe pagina de asistență HPs - Descărcare oficială drivere și software HP | Asistență HP.

  • Dispozitive bazate pe Arm64: Atenuările sunt blocate din cauza problemelor de firmware UEFI cunoscute cu dispozitivele bazate pe Qualcomm. Microsoft lucrează cu Qualcomm pentru a rezolva această problemă. Qualcomm va oferi remedierea producătorilor de dispozitive. Contactați producătorul dispozitivului pentru a determina dacă este disponibilă o remediere pentru această problemă. Microsoft va adăuga detectare pentru a permite aplicarea atenuării pe dispozitive atunci când este detectat firmware-ul fix. Dacă dispozitivul dvs. bazat pe Arm64 nu are firmware Qualcomm, configurați următoarea cheie de registry pentru a activa atenuările.

    Subcheie de registry

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Nume valoare cheie

    SkipDeviceCheck

    Tip de date

    REG_DWORD

    Date

    1

  • Apple:Computerele Mac care au cip de securitate Apple T2 acceptă bootarea sigură. Totuși, actualizarea variabilelor de securitate UEFI este disponibilă doar ca parte a actualizărilor macOS. Se așteaptă ca utilizatorii Boot Camp să vadă o intrare în jurnalul de evenimente a ID-ului de eveniment 1795 din Windows legată de aceste variabile. Pentru mai multe informații despre această intrare în jurnal, consultați KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX.

  • Vmware:În mediile de virtualizare bazate pe VMware, o mașină virtuală care utilizează un procesor bazat pe x86 cu Secure Boot activat, nu va reuși să booteze după aplicarea atenuării. Microsoft se coordonează cu VMware pentru a rezolva această problemă.

  • Sisteme bazate pe TPM 2.0:  Aceste sisteme care rulează Windows Server 2012 și Windows Server 2012 R2 nu pot implementa atenuările lansate în actualizarea de securitate din 9 aprilie 2024, din cauza problemelor cunoscute de compatibilitate cu măsurătorile TPM. Actualizările de securitate din 9 aprilie 2024 vor bloca atenuările #2 (manager de boot) și #3 (actualizarea DBX) pe sistemele afectate.

    Microsoft cunoaște problema și va fi lansată în viitor o actualizare pentru deblocarea sistemelor bazate pe TPM 2.0.

    Pentru a verifica versiunea TPM, faceți clic dreapta pe Start, faceți clic pe Rulare, apoi tastați tpm.msc. În partea din dreapta jos a panoului central, sub Informații despre producător TPM, ar trebui să vedeți o valoare pentru Versiunea specificației.

  • Criptare punct final Symantec: Atenuările Secure Boot nu pot fi aplicate sistemelor care au instalat Symantec Endpoint Encryption. Microsoft și Symantec sunt la curent cu această problemă și vor fi abordate în actualizarea viitoare.

Instrucțiuni pentru această ediție

Pentru această versiune, urmați acești doi pași.

Pasul 1: Instalați actualizarea

de securitate Windows Instalați actualizarea de securitate lunară Windows lansată pe sau după 9 aprilie 2024, pe dispozitivele Windows acceptate. Aceste actualizări includ atenuări pentru CVE-2023-24932, dar nu sunt activate în mod implicit. Toate dispozitivele Windows ar trebui să parcurgă acest pas, indiferent dacă intenționați sau nu să implementați atenuările.

Pasul 2: Evaluați modificările

Vă încurajăm să procedați astfel:

  • Înțelegeți primele două atenuări care permit actualizarea Secure Boot DB și actualizarea managerului de boot.

  • Revizuiți planificarea actualizată.

  • Începeți testarea primelor două atenuări pe dispozitivele reprezentative din mediul dvs.

  • Începeți planificarea pentru faza de implementare începând cu 9 iulie 2024.

Pasul 3: Impuneți modificările

Vă încurajăm să înțelegeți riscurile prezentate în secțiunea Înțelegerea riscurilor.

  • Înțelegeți impactul asupra recuperării și a altor suporturi bootabile.

  • Începeți testarea celei de-a treia atenuări care nu prezintă încredere în certificatul de semnare utilizat pentru toți managerii de boot Windows anteriori.

Îndrumări pentru implementarea atenuării

Înainte de a urma acești pași pentru aplicarea atenuării, instalați actualizarea lunară de servicii Windows lansată la sau după 9 aprilie 2024, pe dispozitivele Windows acceptate. Această actualizare include atenuări pentru CVE-2023-24932, dar acestea nu sunt activate în mod implicit. Toate dispozitivele Windows ar trebui să parcurgă acest pas indiferent de planul dvs. de activare a atenuării.

NOTĂ Dacă utilizați BitLocker, asigurați-vă că cheii de recuperare BitLocker i s-a făcut backup. Puteți să rulați următoarea comandă dintr-o linie de comandă Administrator și să notați parola numerică de 48 de cifre:

manage-bde -protectors -get %systemdrive%

Pentru a implementa actualizarea și a aplica revocările, urmați acești pași:

  1. Instalați definițiile de certificate actualizate în baza de date.

    Acest pas va adăuga certificatul "Windows UEFI CA 2023" la UEFI "Secure Boot Signature Database" (DB). Prin adăugarea acestui certificat la DB, firmware-ul dispozitivului va avea încredere în aplicațiile de boot semnate de acest certificat.

    1. Deschideți o linie de comandă Administrator și setați cheia de registry pentru a efectua actualizarea la DB, introducând următoarea comandă:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      IMPORTANT Asigurați-vă că reporniți dispozitivul de două ori pentru a finaliza instalarea actualizării înainte de a trece la pașii 2 și 3.

    2. Rulați următoarea comandă PowerShell ca administrator și verificați dacă baza de date a fost actualizată cu succes. Această comandă ar trebui să returneze True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Actualizați Managerul de boot pe dispozitiv.

    Acest pas va instala o aplicație manager de boot pe dispozitivul dvs., care este semnată cu certificatul "Windows UEFI CA 2023".

    1. Deschideți o linie de comandă Administrator și setați cheia regkey pentru a instala managerul de boot semnat "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Reporniți dispozitivul de două ori.

    3. Ca administrator, montați partiția EFI pentru a o pregăti pentru inspecție:

      mountvol s: /s

    4. Validați faptul că fișierul "s:\efi\microsoft\boot\bootmgfw.efi" este semnat de certificatul "Windows UEFI CA 2023". Pentru a face acest lucru, urmați acești pași:

      1. Faceți clic pe Start, tastați linie de comandă în caseta Căutare, apoi faceți clic pe Linie de comandă.

      2. În fereastra Linie de comandă , tastați următoarea comandă, apoi apăsați pe Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. În Manager fișiere, faceți clic dreapta pe fișierul C:\bootmgfw_2023.efi, faceți clic pe Proprietăți, apoi selectați fila Semnături digitale .

      4. În lista Semnătură, confirmați că lanțul de certificate include Windows UEFI CA 2023. Lanțul de certificate ar trebui să corespundă următoarei capturi de ecran:

        Certificate

  3. Activați revocarea.

    Lista de permisiuni UEFI (DBX) este utilizată pentru a bloca încărcarea modulelor UEFI care nu sunt de încredere. În acest pas, actualizarea DBX va adăuga certificatul "Windows Production CA 2011" la DBX. Acest lucru va face ca toți managerii de boot semnate de acest certificat să nu mai fie de încredere.

    AVERTISMENT: Înainte de a aplica a treia atenuare, creați o unitate flash de recuperare care poate fi utilizată pentru a boota sistemul. Pentru informații despre cum să faceți acest lucru, consultați secțiunea Actualizarea suportului media de instalare Windows.

    Dacă sistemul intră într-o stare ne bootabilă, urmați pașii din secțiunea Procedură de recuperare pentru a reseta dispozitivul la o stare de pre-revocare.

    1. Adăugați certificatul "Windows Production PCA 2011" la Lista de bootare securizată UEFI interzisă (DBX). Pentru a face acest lucru, deschideți o fereastră linie de comandă ca administrator, tastați următoarea comandă, apoi apăsați pe Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Reporniți dispozitivul de două ori și confirmați că a repornit complet.

    3. Verificați dacă lista de instalare și revocare a fost aplicată cu succes căutând evenimentul 1037 în jurnalul de evenimente.

      Pentru informații despre evenimentul 1037, consultați KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX. Sau rulați următoarea comandă PowerShell ca Administrator și asigurați-vă că returnează True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Suport bootabil

Va fi important să actualizați suportul bootabil după începerea Fazei de implementare în mediul dvs. Instrucțiunile și instrumentele pentru actualizarea elementelor media vor fi furnizate la timp pentru Faza de implementare. Faza de implementare este programată să înceapă pe 9 iulie 2024.

Exemple de suporturi bootabile și suporturi de recuperare afectate de această problemă:

  • Suport bootabil creat utilizând Creați o unitate de recuperare.

  • Copiile backup ale Windows care au fost imagine înainte de aplicarea atenuării. Acestea nu vor putea fi activate direct pentru a restaura instalarea Windows după ce revocările au fost activate pe dispozitivul dvs.

  • CD/DVD particularizat sau partiție de recuperare creată de dvs., de producătorul dispozitivului (OEM) sau de întreprinderi.

  • ISO (prin descărcare sau utilizând ADK).

  • Boot de rețea:

    • Servicii de implementare Windows.

    • Servicii de bootare a mediului de execuție preboot (servicii de bootare PXE).

    • Kit de instrumente de implementare Microsoft.

    • Boot HTTPS.

  • Suport fizic de instalare și recuperare OEM.

  • Media Windows oficial de la Microsoft, inclusiv:

  • Windows PE.

  • Windows instalat pe hardware fizic sau pe mașini virtuale.

  • Sistem de operare de validare Windows.

Dacă utilizați un suport fizic bootabil cu un dispozitiv Windows personal, poate fi necesar să efectuați una sau mai multe dintre următoarele acțiuni înainte de a aplica revocările:

  • Dacă utilizați software de backup personal pentru a salva conținutul dispozitivului, asigurați-vă că rulați o copie backup completă după aplicarea atenuării din 9 aprilie 2024.

  • Dacă utilizați o imagine de disc bootabil (ISO), un CD-ROM sau un suport DVD, actualizați suportul media urmând instrucțiunile care urmează să fie furnizate la o dată ulterioară.

Enterprise

  • Consultați instrucțiuni și scripturi cuprinzătoare pentru Actualizarea suportului de instalare Windows cu actualizare dinamică.

  • Dacă acceptați scenarii de bootare sau recuperare în rețea în mediul dvs., va trebui să actualizați toate fișierele media și imaginile. Aceasta poate include următoarele opțiuni de boot sau recuperare:

    • Kit de instrumente de implementare Microsoft.

    • Microsoft Endpoint Configuration Manager.

    • Servicii de implementare Windows.

    • Bootare PxE.

    • Boot HTTPS și alte scenarii de boot de rețea.

  • O modalitate de a face acest lucru este să utilizați instalarea pachetului offline DISM pe imaginile servite de aceste scenarii. Printre acestea se numără actualizarea fișierelor de boot oferite de aceste servicii.

  • Dacă utilizați software de backup pentru a salva conținutul instalării Windows într-o imagine de recuperare, asigurați-vă că rulați o copie backup completă după aplicarea atenuării din 9 aprilie 2024. Nu uitați să faceți backup partițiilor de disc EFI, în plus față de partiția sistemului de operare Windows. Identificați în mod clar copiile backup efectuate înainte de a aplica atenuările din 9 aprilie 2024 față de cele efectuate după aplicarea atenuării.

Windows PC OEM

Actualizarea suportului de instalare Windows

NOTĂ Atunci când creați o unitate flash bootabilă, nu uitați să formatați unitatea utilizând sistemul de fișiere FAT32.

Puteți utiliza aplicația Creare unitate de recuperare urmând acești pași. Acest suport fizic poate fi utilizat pentru a reinstala un dispozitiv în cazul în care există o problemă majoră, cum ar fi o eroare de hardware, veți putea utiliza unitatea de recuperare pentru a reinstala Windows.

  1. Accesați un dispozitiv pe care au fost aplicate actualizările din 9 aprilie 2024 și primul pas de atenuare (actualizarea Secure Boot DB).

  2. Din meniul Start, căutați appletul "Creați o unitate de recuperare" din panoul de control și urmați instrucțiunile pentru a crea o unitate de recuperare.

  3. Cu unitatea flash nou creată montată (de exemplu, ca unitate "D:"), rulați următoarele comenzi ca administrator. Tastați fiecare dintre următoarele comenzi, apoi apăsați pe Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Dacă gestionați suportul fizic instalabil în mediul dvs. utilizând suportul de instalare Actualizare Windows cu instrucțiuni privind actualizarea dinamică , urmați acești pași. Acești pași suplimentari vor crea o unitate flash bootabilă care utilizează fișiere de boot semnate de certificatul de semnare "Windows UEFI CA 2023".

  1. Accesați un dispozitiv pe care s-au aplicat 9 aprilie 2024, actualizări și primul pas de atenuare (actualizarea Secure Boot DB).

  2. Urmați pașii din linkul de mai jos pentru a crea conținut media cu actualizările din 9 aprilie 2024. Actualizarea suportului de instalare Windows cu Actualizare dinamică

  3. Plasați conținutul suportului media pe o unitate USB și montați unitatea USB ca literă de unitate. De exemplu, montați unitatea usb ca "D:".

  4. Rulați următoarele comenzi dintr-o fereastră de comandă ca administrator. Tastați fiecare dintre următoarele comenzi, apoi apăsați pe Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Dacă un dispozitiv are setările Secure Boot resetat la valorile implicite după aplicarea atenuării, dispozitivul nu se va boota. Pentru a rezolva această problemă, o aplicație de reparare este inclusă cu actualizările din 9 aprilie 2024 care pot fi utilizate pentru a reaplica certificatul "Windows UEFI CA 2023" la DB (atenuare nr. 1).

NOTĂ Nu utilizați această aplicație de reparare pe un dispozitiv sau sistem descris în secțiunea Probleme cunoscute .

  1. Accesați un dispozitiv pe care au fost aplicate actualizările din 9 aprilie 2024.

  2. Într-o fereastră de comandă, copiați aplicația de recuperare pe unitatea flash utilizând următoarele comenzi (presupunând că unitatea flash este unitatea "D:"). Tastați fiecare comandă separat, apoi apăsați pe Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Pe dispozitivul care are setările Secure Boot resetați la valorile implicite, introduceți unitatea flash, reporniți dispozitivul și bootați de pe unitatea flash.

Temporizarea actualizărilor

Actualizări sunt lansate după cum urmează:

  • Implementare inițială Această fază a început cu actualizările lansate pe 9 mai 2023 și a furnizat atenuări de bază cu pași manuali pentru a activa aceste atenuări.

  • A doua implementare Această fază a început cu actualizările lansate pe 11 iulie 2023, care a adăugat pași simplifică pentru a permite atenuările pentru problemă.

  • Fază de evaluare Această fază va începe la 9 aprilie 2024 și va adăuga atenuări suplimentare ale managerului de boot.

  • Faza finală de implementare Acest lucru se va întâmpla atunci când îi vom încuraja pe toți clienții să înceapă să implementeze atenuările și să actualizeze conținutul media.

  • Faza de impunere Faza de impunere care va face atenuările permanente. Data pentru această etapă va fi anunțată la o dată ulterioară.

Notă Programul de lansare poate fi revizuit după cum este necesar.

Această fază a fost înlocuită de actualizările de securitate Windows lansate la sau după 9 aprilie 2024.

Această fază a fost înlocuită de actualizările de securitate Windows lansate la sau după 9 aprilie 2024.

În această fază, vă solicităm să testați aceste modificări în mediul dvs., pentru a vă asigura că modificările funcționează corect cu dispozitive eșantion reprezentative și pentru a obține experiență cu modificările.

NOTĂ În loc să încercăm să listam exhaustiv și să nu de încredere managerii de boot vulnerabili, așa cum am făcut în fazele de implementare anterioare, adăugăm certificatul de semnare "Windows Production PCA 2011" la Secure Boot Disallow List (DBX), pentru a nu fi de încredere în toți managerii de boot semnate de acest certificat. Aceasta este o metodă mai fiabilă pentru a vă asigura că toți managerii de boot anteriori nu sunt de încredere.

Actualizări pentru Windows lansat la sau după 9 aprilie 2024, adăugați următoarele:

  • Trei noi controale de atenuare care înlocuiesc atenuările lansate în 2023. Noile controale pentru atenuări sunt:

    • Un control pentru implementarea certificatului "Windows UEFI CA 2023" în Secure Boot DB pentru a adăuga încredere pentru managerii de boot Windows semnați de acest certificat. Rețineți că certificatul "Windows UEFI CA 2023" poate să fi fost instalat de o actualizare Windows anterioară.

    • Un control pentru a implementa un manager de boot semnat de certificatul "Windows UEFI CA 2023".

    • Un control pentru a adăuga "Windows Production PCA 2011" la Secure Boot DBX, care va bloca toate managerii de boot Windows semnate de acest certificat.

  • Capacitatea de a activa independent implementarea atenuării în etape, pentru a permite mai mult control în implementarea atenuării în mediul dvs., în funcție de necesitățile dvs.

  • Atenuările sunt interconectate, astfel încât să nu poată fi implementate în ordine incorectă.

  • Evenimente suplimentare pentru a ști starea dispozitivelor pe măsură ce aplică atenuările. Consultați KB5016061: Evenimente de actualizare a variabilei Secure Boot DB și DBX pentru mai multe detalii despre evenimente.

Această etapă este atunci când încurajăm clienții să înceapă să implementeze atenuările și să gestioneze toate actualizările media. Actualizările vor adăuga următoarele modificări:

  • Orientări și instrumente pentru a ajuta la actualizarea suporturilor media.

  • S-a actualizat blocul DBX pentru a revoca managerii de boot suplimentari.

Faza de impunere va fi la cel puțin șase luni după etapa de implementare. Atunci când sunt lansate actualizări pentru faza de impunere, acestea vor include următoarele:

  • Certificatul "Windows Production PCA 2011" va fi revocat automat prin adăugarea la Lista de bootare sigură UEFI Interzis (DBX) pe dispozitivele capabile. Aceste actualizări vor fi impuse prin programare după instalarea actualizărilor pentru Windows pe toate sistemele afectate, fără opțiunea de a fi dezactivate.

Erori din jurnalul de evenimente Windows legate de CVE-2023-24932

Intrările din jurnalul de evenimente Windows legate de actualizarea DB și DBX sunt descrise în detaliu în KB5016061: evenimente de actualizare a variabilei Secure Boot DB și DBX.

Evenimentele "reușite" legate de aplicarea atenuării sunt listate în tabelul următor.

Pas atenuare

ID eveniment

Note

Aplicarea actualizării bazei de date

1036

Certificatul PCA2023 a fost adăugat la baza de date.

Se actualizează managerul de boot

1799

S-a aplicat managerul de boot semnat PCA2023.

Aplicarea actualizării DBX

1037

Actualizarea DBX care nu prezintă încredere în certificatul de semnare PCA2011 a fost aplicată.

Întrebări frecvente (Întrebări frecvente)

  • Consultați secțiunea Procedură de recuperare pentru a recupera dispozitivul.

  • Urmați instrucțiunile din secțiunea Depanarea problemelor de boot .

Actualizați toate sistemele de operare Windows cu actualizări lansate la sau după 9 aprilie 2024 înainte de a aplica revocările. Este posibil să nu reușiți să porniți nicio versiune de Windows care nu a fost actualizată la cel puțin actualizări lansate pe 9 aprilie 2024 după ce aplicați revocările. Urmați instrucțiunile din secțiunea Depanarea problemelor de boot .

Consultați secțiunea Depanarea problemelor de boot .

Depanarea problemelor de boot

După ce au fost aplicate toate cele trei atenuări, firmware-ul dispozitivului nu se va boota utilizând un manager de boot semnat de Windows Production PCA 2011. Erorile de boot raportate de firmware sunt specifice dispozitivului. Consultați secțiunea Procedura de recuperare .

Procedură de recuperare

Dacă ceva nu merge bine în timpul aplicării atenuării și nu puteți porni dispozitivul sau trebuie să porniți de pe un suport media extern (cum ar fi o unitate USB sau bootarea PXE), încercați următoarele sugestii:

  1. Dezactivați Bootare sigură.

    Această procedură diferă între producătorii și modelele de dispozitive. Introduceți meniul UEFI BIOS al dispozitivelor și navigați la setările secure Boot și dezactivați-l. Consultați documentația de la producătorul dispozitivului pentru detalii despre acest proces. Mai multe detalii pot fi găsite în Dezactivarea Boot secure.

  2. Resetați cheile Secure Boot la setările implicite din fabrică.

    Dacă dispozitivul acceptă resetarea cheilor de boot securizate la setările implicite din fabrică, efectuați această acțiune acum.

    NOTĂ Unii producători de dispozitive au atât o opțiune "Golire", cât și o opțiune "Resetare" pentru variabilele Secure Boot, caz în care ar trebui utilizată opțiunea "Resetare". Scopul este să readuceți variabilele Secure Boot înapoi la valorile implicite ale producătorilor.

    Dispozitivul dvs. ar trebui să înceapă acum, dar rețineți că este vulnerabil la malware-ul kit de bootare. Asigurați-vă că finalizați Pasul 5 al acestui proces de recuperare pentru a reactiva Bootarea sigură.

  3. Încercați să porniți Windows de pe discul de sistem.

    1. Conectați-vă la Windows.

    2. Rulați următoarele comenzi dintr-o linie de comandă Administrator pentru a restaura fișierele de boot în partiția de bootare a sistemului EFI. Tastați fiecare comandă separat, apoi apăsați pe Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Rularea BCDBoot returnează "Bootați fișierele au fost create cu succes". După ce se afișează acest mesaj, reporniți dispozitivul la Windows.

  4. Dacă Pasul 3 nu recuperează cu succes dispozitivul, reinstalați Windows.

    1. Porniți dispozitivul de pe suportul de recuperare existent.

    2. Continuați să instalați Windows utilizând suportul de recuperare.

    3. Conectați-vă la Windows.

    4. Reporniți Windows pentru a verifica dacă dispozitivul revine la Windows.

  5. Reactivați Bootarea sigură și reporniți dispozitivul.

    Introduceți meniul UEFI al dispozitivului și navigați la setările secure Boot și activați-l. Consultați documentația de la producătorul dispozitivului pentru detalii despre acest proces. Mai multe informații pot fi găsite în secțiunea "Reactivați bootarea sigură".

Referințe

Produsele de la terți prezentate în acest articol sunt create de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau de altă natură, despre performanța sau fiabilitatea acestor produse.

Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

Data modificării

Descrierea modificării

9 aprilie 2024

  • Modificări extinse ale procedurilor, informațiilor, instrucțiunilor și datelor. Rețineți că unele modificări anterioare au fost eliminate ca urmare a modificărilor extinse efectuate la această dată.

16 decembrie 2023

  • Am revizuit datele de lansare pentru a treia implementare și impunere în secțiunea "Temporizarea actualizărilor".

15 mai 2023

  • S-a eliminat Windows 10 de sistem de operare neacceptat, versiunea 21H1 din secțiunea "Se aplică la".

11 mai 2023

  • Am adăugat o notă ATENȚIE la Pasul 1 din secțiunea "Instrucțiuni de implementare" despre upgrade-ul la Windows 11, versiunea 21H2 sau 22H2 sau unele versiuni de Windows 10.

10 mai 2023

  • Am clarificat faptul că fișierele media Windows care se pot descărca, actualizate cu cel mai recent Actualizări cumulativ, vor fi disponibile în curând.

  • Corectează ortografia cuvântului "Forbidden".

9 mai 2023

  • S-au adăugat versiuni suplimentare acceptate la secțiunea "Se aplică la".

  • S-a actualizat Pasul 1 din secțiunea "Acțiune".

  • S-a actualizat Pasul1 din secțiunea "Instrucțiuni de implementare".

  • Corectează comenzile din Pasul 3a din secțiunea "Instrucțiuni de deplomentare".

  • Plasarea corectată a imaginilor Hyper-V UEFI în secțiunea "Depanarea problemelor de boot".

27 iunie 2023

  • S-a eliminat nota despre actualizarea de la Windows 10 la o versiune mai recentă de Windows 10 care utilizează un pachet de activare sub Pasul 1:Instalare în secțiunea "Instrucțiuni de implementare".

11 iulie 2023

  • S-au actualizat instanțele datei "9 mai 2023" la "11 iulie 2023", "9 mai 2023 și 11 iulie 2023" sau la "9 mai 2023 sau mai recent".

  • În secțiunea "Instrucțiuni de implementare", reținem că toate actualizările dinamice SafeOS sunt acum disponibile pentru actualizarea partițiilor WinRE. În plus, caseta ATENȚIE a fost eliminată, deoarece problema este rezolvată de lansarea actualizărilor dinamice SafeOS.

  • În "3. APPLY the revocations" section, the instructions have been revizuit.

  • În secțiunea "Erori jurnal de evenimente Windows", este adăugat ID-ul de eveniment 276.

25 august 2023

  • S-au actualizat diverse secțiuni pentru formulare și s-au adăugat informații despre lansarea din 11 iulie 2023 și viitoarele informații despre lansarea din 2024.

  • Rearanjarea unui anumit conținut din secțiunea "Evitarea problemelor cu suportul bootabil" în secțiunea "Se actualizează suportul bootabil".

  • S-a actualizat secțiunea "Temporizarea actualizărilor" cu datele și informațiile de implementare revizuite.
Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×