Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Modificare dată

Modificare descriere

20 martie 2024

  • Am adăugat secțiunea "Rezultate și feedback"

21 martie 2024

  • S-a actualizat Pasul 4 din secțiunea "Pasul 2: Instalarea managerului de boot semnat PCA2023"

22 martie 2024

  • S-au actualizat informațiile de contact din e-mail în secțiunea "Rezultate și feedback"

  • S-a adăugat secțiunea "Activați datele de diagnosticare opționale"

Introducere

Acest articol este un supliment la următorul articol, care va fi actualizat în aprilie 2024:

  • KB5025885: Cum se gestionează revocările Managerului de boot Windows pentru modificările secure boot asociate cu CVE-2023-24932

Acest supliment descrie procedura pas cu pas actualizată pentru a implementa noi atenuări împotriva kitului de boot BlackLotus UEFI urmărit de CVE-2023-24932 și include instrucțiuni de testare pentru mediul dvs.

Pentru a contribui la protejarea împotriva abuzului rău intenționat al managerilor vulnerabili de boot, trebuie să implementăm un nou certificat de semnare a bootării securizate UEFI pe firmware-ul dispozitivului și să revocăm încrederea în firmware-ul certificatului de semnare curent. Acest lucru va face ca toate managerii de boot vulnerabile existenți să nu fie de încredere, prin dispozitivele cu Bootare securizată activată. Acest ghid vă va ajuta în acest proces.

Cei trei pași de atenuare subliniați în acest ghid sunt următorii:

  1. Se actualizează BAZA de date: Un nou certificat PCA (PCA2023) va fi adăugat la Secure Boot DB, care va permite unui dispozitiv să booteze suportul semnat de acest certificat.

  2. Instalarea managerului de boot: Managerul de boot semnat PCA2011 existent va fi înlocuit de managerul de boot semnat PCA2023.Ambii manageri de boot sunt incluși în actualizările de securitate din aprilie 2024.

  3. Revocarea DBX a PCA2011: Se va adăuga o intrare de refuz la Secure Boot DBX care împiedică bootarea managerilor de boot semnate cu PCA2011.

Notă Software-ul stivă de servicii care aplică aceste trei atenuări nu va permite aplicarea atenuării în afara ordinii.

Acest lucru se aplică pentru mine?

Acest ghid se aplică tuturor dispozitivelor cu Secure Boot activat și tuturor suporturilor de recuperare existente pentru aceste dispozitive.

Dacă dispozitivul dvs. rulează Windows Server 2012 sau Windows Server 2012 R2, nu uitați să citiți secțiunea "Probleme cunoscute" înainte de a continua.

Înainte de a începe

Activare date de diagnosticare opționale

Activați setarea "Trimiteți date de diagnosticare opționale" efectuând următorii pași:

  1. În Windows 11, accesați Porniresetări > > feedback privind confidențialitatea & >Diagnostice &.

  2. Activați Trimiteți date de diagnosticare opționale.

    Feedback & diagnostic

Pentru mai multe informații, consultați Diagnosticarea, feedbackul și confidențialitatea în Windows

NOTĂ Asigurați-vă că aveți conectivitate la internet în timpul și pentru o perioadă de timp după validare.

Treceți testul

După ce instalați actualizările Windows din aprilie 2024 și înainte de a parcurge pașii pentru a opta pentru aceasta, asigurați-vă că faceți un test pentru a verifica integritatea sistemului:

  1. VPN: Verificați dacă accesul VPN la resursele corporative și la rețea este funcțional.

  2. Windows Hello: Conectați-vă la dispozitivul Windows utilizând procedura normală (față/amprentă/PIN).

  3. Bitlocker: Sistemul pornește în mod normal pe sistemele cu BitLocker activat fără nicio solicitare de recuperare BitLocker în timpul pornirii.

  4. Atestarea stării de bună funcționare a dispozitivului: Verificați dacă dispozitivele care se bazează pe Atestarea stării de bună funcționare a dispozitivului le atestă corect starea.

Probleme cunoscute

Doar pentru Windows Server 2012 și Windows Sever 2012 R2:

  • Sistemele bazate pe TPM 2.0 nu pot implementa atenuările lansate în corecția de securitate din aprilie 2024, din cauza problemelor cunoscute de compatibilitate cu măsurătorile TPM. Actualizările din aprilie 2024 vor bloca atenuările #2 (manager de boot) și #3 (actualizare DBX) pe sistemele afectate.

  • Microsoft cunoaște problema și va fi lansată în viitor o actualizare pentru deblocarea sistemelor bazate pe TPM 2.0.

  • Pentru a verifica versiunea TPM, faceți clic dreapta pe Start, faceți clic pe Rulare, apoi tastați tpm.msc. În partea din dreapta jos a panoului central, sub Informații despre producător TPM, ar trebui să vedeți o valoare pentru Versiunea specificației.

Pașii de validare a optării

Restul acestui articol prezintă testarea dispozitivelor de optare pentru atenuări. Atenuările nu sunt activate în mod implicit. Dacă organizația dvs. intenționează să activeze aceste atenuări, parcurgeți următorii pași de validare pentru a verifica compatibilitatea dispozitivului.

  1. Implementați actualizarea de securitate pre-lansare din aprilie 2024.

  2. Deschideți o linie de comandă Administrator și setați cheia de registry pentru a efectua actualizarea la BAZA de date tastând următoarea comandă, apoi apăsați pe Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Reporniți dispozitivul de două ori.

  4. Verificați dacă baza de date s-a actualizat cu succes, asigurându-vă că următoarea comandă returnează True. Rulați următoarea comandă PowerShell ca administrator:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Deschideți o linie de comandă Administrator și setați cheia de registry pentru a descărca și a instala managerul de boot semnat PCA2023:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Reporniți dispozitivul de două ori.

  3. Ca administrator, montați partiția EFI pentru a o pregăti pentru inspecție:

    mountvol s: /s

  4. Validați faptul că "s:\efi\microsoft\boot\bootmgfw.efi" este semnat de PCA2023. Pentru a face acest lucru, urmați acești pași:

    1. Faceți clic pe Start, tastați linie de comandă în caseta Căutare , apoi faceți clic pe Linie de comandă.

    2. În fereastra Linie de comandă, tastați următoarea comandă, apoi apăsați pe Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. În Manager fișiere, faceți clic dreapta pe fișierul C:\bootmgfw_2023.efi, faceți clic pe Proprietăți, apoi selectați fila Semnături digitale.

    4. În lista Semnătură, confirmați că lanțul de certificate include CA Windows UEFI 2023.

ATENȚIE: Acest pas implementează revocarea DBX pentru managerii de boot vulnerabili și vechi, care nu sunt de încredere, semnați utilizând PCA2011 Windows Production. Dispozitivele cu această revocare aplicată nu vor mai porni de pe suportul de recuperare existent și de pe serverele de boot de rețea (PXE/HTTP) care nu au componente de manager de boot actualizate.

Dacă dispozitivul dvs. intră într-o stare ne bootabilă, urmați pașii din secțiunea "Proceduri de recuperare și restaurare" pentru a reseta dispozitivul la o stare pre-revocare.

După aplicarea DBX, dacă doriți să readuceți dispozitivul la starea sa anterioară de bootare securizată, urmați secțiunea "Proceduri de recuperare și restaurare".

Aplicați atenuarea DBX pentru a nu avea încredere în certificatul de PCA2011 de producție Windows în Bootare securizată:

  1. Deschideți o linie de comandă Administrator și setați cheia de registry pentru a plasa revocarea pentru PCA2011 în DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Reporniți dispozitivul de două ori și confirmați că a repornit complet.

  3. Verificați dacă atenuarea DBX a fost aplicată cu succes. Pentru a face acest lucru, rulați următoarea comandă PowerShell ca administrator și asigurați-vă că comanda returnează True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Sau căutați următorul eveniment în Vizualizator evenimente:

    Jurnal de evenimente

    Sistem

    Sursa evenimentului

    TPM-WMI

    ID eveniment

    1037

    Nivel

    Informații

    Text mesaj eveniment

    Actualizarea Secure Boot Dbx pentru revocarea Microsoft Windows Production PCA 2011 se aplică cu succes

  4. Efectuați elementele de test pass din secțiunea "Înainte de a începe" și asigurați-vă că toate sistemele se comportă normal.

Referință cheie de registry

Opt-in validation Step 1Opt-in validation Step 2Opt-in validation Step 3

Comanda

Scop

Comentarii 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Instalează actualizarea DB pentru a permite managerului de boot semnat PCA2023

Comanda

Scop

Comentarii 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Instalează bootmgrul semnat PCA2023

Valoare onorată numai după finalizarea 0x40 pas

Comanda

Scop

Comentarii 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Instalează actualizarea DBX care revocă PCA2011

Valoare onorată numai după finalizarea ambelor 0x40 & 0x100 pași

Rezultate și feedback

Trimiteți un e-mail către suvp@microsoft.com cu rezultatele testării, întrebările și feedbackul.

Proceduri de recuperare și restaurare

Atunci când efectuați proceduri de recuperare, partajați următoarele date cu Microsoft:

  • Captură de ecran cu eroarea de boot observată.

  • Pașii efectuați care au dus la ne bootarea dispozitivului.

  • Detalii despre configurația dispozitivului.

Atunci când efectuați o procedură de restaurare, suspendați BitLocker înainte de a începe procedura.

Dacă ceva nu merge bine în timpul acestui proces și nu puteți porni dispozitivul sau trebuie să porniți de la un suport extern (de exemplu, unitate USB sau bootare PXE), încercați următoarele proceduri.

  1. Dezactivați Bootul

    securizat Această procedură diferă între producătorii de PC-uri și modele. Introduceți meniul PC-urilor UEFI BIOS și navigați la setarea Bootare sigură și dezactivați-o. Consultați documentația de la producătorul PC-ului pentru detalii despre acest proces. Pentru mai multe informații, consultați Dezactivarea bootării securizate.

  2. Golirea cheilor

    secure boot Dacă dispozitivul acceptă golirea cheilor Secure Boot sau resetarea cheilor Secure Boot la setările implicite din fabrică, efectuați această acțiune acum.  

    Dispozitivul dvs. ar trebui să înceapă acum, dar rețineți că este vulnerabil la malware-ul kituri de boot. Asigurați-vă că finalizați pasul 5 la sfârșitul acestui proces de recuperare pentru a reactiva Bootarea sigură.

  3. Încercați să porniți Windows de pe discul de sistem.

    1. Dacă BitLocker este activat și intră în recuperare, introduceți cheia de recuperare BitLocker.

    2. Conectați-vă la Windows.

    3. Rulați următoarele comenzi din linia de comandă Administrator pentru a restaura fișierele de boot în partiția de bootare a sistemului EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Rularea BCDBoot ar trebui să returneze "Bootați fișiere create cu succes".

    5. Dacă bitLocker este activat, suspendați BitLocker.

    6. Reporniți dispozitivul.

  4. Dacă pasul 3 nu recuperează cu succes dispozitivul, reinstalați Windows.

    1. Porniți de la suportul de recuperare existent.

    2. Continuați să instalați Windows utilizând suportul de recuperare.

    3. Conectați-vă la Windows.

    4. Reporniți pentru a verifica dacă dispozitivul pornește cu succes la Windows.

  5. Reactivați bootarea sigură și reporniți dispozitivul.

    Introduceți meniul devicce UEFI și navigați la setarea Bootare sigură și activați-o. Consultați documentația de la producătorul dispozitivului pentru detalii despre acest proces. Pentru mai multe informații, consultați Reactivați bootul securizat.

  6. Dacă pornirea Windows continuă să nu reușească, introduceți UEFI BIOS din nou și dezactivați Bootarea sigură.

  7. Porniți Windows.

  8. Partajați conținutul bazei de date, DBX cu Microsoft.

    1. Deschideți PowerShell în modul Administrator.

    2. Capturați baza de date:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Capturați DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Partajați fișierele DBUpdateFw.bin și dbxUpdateFw.bin generate în pașii 8b și 8c.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×