Руководство по развертыванию предприятия для CVE-2023-24932

Мы разделили развертывание на несколько шагов, которые можно выполнить в временная шкала, который подходит для вашей организации. Ознакомьтесь с этими шагами. После того как вы получите хорошее представление о шагах, следует подумать о том, как они будут работать в вашей среде, и подготовить планы развертывания, которые работают для вашего предприятия на вашем временная шкала.

Для добавления нового сертификата Windows UEFI CA 2023 и не верен сертификата Microsoft Windows Production PCA 2011 требуется сотрудничество со стороны встроенного ПО устройства. Так как существует большое сочетание оборудования и встроенного ПО устройств, а корпорация Майкрософт не может протестировать все сочетания, мы рекомендуем протестировать репрезентативные устройства в вашей среде перед развертыванием. Рекомендуется протестировать по крайней мере одно устройство каждого типа, используемого в вашей организации. Некоторые известные проблемы с устройствами, которые блокируют эти способы устранения рисков, описаны в KB5025885: Управление отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932. Если вы обнаружите проблему с встроенным ПО устройства, не указанную в разделе Известные проблемы , обратитесь к поставщику изготовителя оборудования, чтобы решить эту проблему.

Поскольку этот документ ссылается на несколько различных сертификатов, они представлены в следующей таблице для удобства и ясности:

Старые ЦС за 2011 год	Новые ЦС за 2023 г. (срок действия истекает в 2038 году)	Функция
Microsoft Corporation KEK CA 2011 (срок действия истекает в июле 2026 г.)	Microsoft Corporation KEK CA 2023	Подписывает обновления базы данных и DBX
Microsoft Windows Production PCA 2011 (PCA2011) (срок действия истекает в октябре 2026 г.)	Windows UEFI CA 2023 (PCA2023)	Подписывает загрузчик Windows
Microsoft Corporation UEFI CA 2011 (срок действия истекает в июле 2026 г.)	Microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023	Подписывает сторонние загрузчики и дополнительные ПЗУ

Для защиты от атак, описанных в cve-2023-24932, необходимо применить четыре средства защиты:

• Устранение рисков 1. Установка обновленного определения сертификата (PCA2023) в базу данных

• Устранение рисков 2.Обновление диспетчера загрузки на устройстве

• Устранение рисков 3.Включение отзыва (PCA2011)

• Устранение рисков 4.Применение обновления SVN к встроенному ПО

Эти четыре способа устранения рисков можно вручную применить к каждому из тестовых устройств в соответствии с рекомендациями, описанными в руководстве по развертыванию решения KB5025885. Управление отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932, или с помощью инструкций, приведенных в этом документе. Все четыре средства защиты зависят от правильной работы встроенного ПО.

Понимание следующих рисков поможет вам в процессе планирования.

Проблемы с встроенным ПО:Каждое устройство имеет встроенное ПО, предоставленное производителем устройства. Для операций развертывания, описанных в этом документе, встроенное ПО должно иметь возможность принимать и обрабатывать обновления базы данных безопасной загрузки (база данных сигнатур) и DBX (запрещенная база данных сигнатур). Кроме того, встроенное ПО отвечает за проверку подписи или загрузочных приложений, включая диспетчер загрузки Windows. Встроенное ПО устройства является программным обеспечением и, как и любое другое программное обеспечение, может иметь дефекты, поэтому важно протестировать эти операции перед развертыванием.

Корпорация Майкрософт постоянно тестирует множество сочетаний устройств и встроенного ПО, начиная с устройств в лабораториях и офисах Майкрософт, и корпорация Майкрософт работает с изготовителями оборудования для тестирования своих устройств. Почти все протестированные устройства прошли без проблем. В некоторых случаях мы сталкивались с проблемами, связанными с неправильной обработкой обновлений, и мы работаем с изготовителями оборудования для решения проблем, о которых мы знаем.

Установить носитель:При применении мер по устранению рисков 3 и 4, описанных далее в этом документе, все существующие установочные носители Windows больше не будут загружаться до тех пор, пока на носителе не появится обновленный диспетчер загрузки. Описанные в этом документе способы устранения рисков предотвращают запуск старых и уязвимых диспетчеров загрузки, не внося их в встроенное ПО. Это предотвращает отката диспетчера загрузки системы до предыдущей версии и использования уязвимостей, присутствующих в более старых версиях. Блокировка этих уязвимых диспетчеров загрузки не должна влиять на запущенную систему. Однако это предотвратит запуск любого загрузочного носителя до тех пор, пока не будут обновлены диспетчеры загрузки на носителе. Сюда входят ISO-образы, загрузочные USB-накопители и сетевая загрузка (PxE и HTTP-загрузка).

• Устранение рисков 1. Установка обновленных определений сертификатов в базе данных
  
  Добавляет новый сертификат Windows UEFI CA 2023 в базу данных UEFI Secure Boot Signature Database (DB). Добавив этот сертификат в базу данных, встроенное ПО устройства будет доверять загрузочным приложениям Microsoft Windows, подписанным этим сертификатом.

• Устранение рисков 2. Обновление диспетчера загрузки на устройстве
  
  Применяет новый диспетчер загрузки Windows, подписанный с помощью нового сертификата Windows UEFI CA 2023.

Эти меры по устранению рисков важны для долгосрочного обслуживания Windows на этих устройствах. Так как срок действия сертификата Microsoft Windows Production PCA 2011 в встроенном ПО истекает в октябре 2026 г., устройства должны иметь новый сертификат Windows UEFI CA 2023 в встроенном ПО до истечения срока действия, иначе устройство больше не сможет получать обновления Windows, что приведет к уязвимой безопасности.

Сведения о применении мер по устранению рисков 1 и 2 в двух отдельных шагах (если вы хотите быть более осторожными, по крайней мере, сначала) см. в разделе KB5025885: Управление отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932. Вы также можете применить оба способа устранения рисков, выполнив следующую операцию с одним разделом реестра от имени администратора:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f

По мере применения мер по устранению рисков биты в ключе AvailableUpdates будут очищены. После установки 0x140 и перезапуска значение изменится на 0x100 , а после повторного перезапуска изменится на 0x000.

Устранение рисков диспетчера загрузки не будет применяться до тех пор, пока встроенное ПО не укажет на успешное применение защиты сертификата 2023. Эти операции не могут выполняться не по порядку.

При применении обоих способов устранения рисков в разделе реестра будет указано, что система поддерживает 2023, что означает, что носитель можно обновить, а также применить устранение рисков 3 и 4.

В большинстве случаев для завершения устранения рисков 1 и устранения рисков 2 требуется по крайней мере два перезапуска, прежде чем эти меры будут полностью применены. Добавление дополнительных перезапусков в среду поможет обеспечить более скорейшее применение мер по устранению рисков. Однако может быть нецелесообразно искусственно внедрять дополнительные перезапуски, и может иметь смысл полагаться на ежемесячные перезапуски, которые происходят в рамках применения обновлений для системы безопасности. Это означает, что в вашей среде будет меньше нарушений, но для обеспечения безопасности требуется больше времени.

После развертывания мер по устранению рисков 1 и устранения рисков 2 на устройствах следует отслеживать устройства, чтобы убедиться, что на них применены меры по устранению рисков и что они теперь "поддерживает 2023". Мониторинг можно выполнить, найдите следующий раздел реестра в системе. Если ключ существует и имеет значение 1, система добавила сертификат 2023 в переменную базы данных безопасной загрузки. Если ключ существует и имеет значение 2, система имеет сертификат 2023 в базе данных и начинается с подписанного диспетчера загрузки 2023.

Подраздел реестра	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Имя значения ключа	WindowsUEFICA2023Capable
Тип данных	REG_DWORD
Данные	0 — или ключ не существует — сертификат "Windows UEFI CA 2023" отсутствует в базе данных 1 . Сертификат Windows UEFI CA 2023 находится в базе данных 2 . Сертификат Windows UEFI CA 2023 находится в базе данных, и система начинается с подписанного диспетчера загрузки 2023.

После применения мер по устранению рисков 1 и 2 на устройствах можно обновить любой загрузочный носитель, используемый в вашей среде. Обновление загрузочного носителя означает применение PCA2023 подписанного диспетчера загрузки к носителю. Сюда входит обновление сетевых загрузочных образов (таких как PxE и HTTP), ISO-образов и USB-накопителей. В противном случае устройства с примененными меры по устранению рисков не будут запускаться с загрузочного носителя, на котором используется старый диспетчер загрузки Windows и ЦС 2011. ​​​​

Средства и рекомендации по обновлению каждого типа загрузочных носителей доступны здесь:

Тип носителя	Ресурс
ISO, USB-накопители и т. д.	KB5053484: обновление загрузочного носителя Windows для использования PCA2023 подписанного диспетчера загрузки
PXE-сервер загрузки	Документация, предоставляемая позже

Во время процесса обновления мультимедиа необходимо обязательно протестировать носитель с помощью устройства с четырьмя способами устранения рисков. Последние два способа устранения рисков заблокируют более старые и уязвимые диспетчеры загрузки. Наличие носителя с текущими диспетчерами загрузки является важной частью завершения этого процесса.

Загрузочный носитель не включает системный диск устройства, на котором обычно находится Windows и запускается автоматически. Загрузочный носитель обычно используется для загрузки устройства, которое не имеет загрузочной версии Windows, а загрузочный носитель часто используется для установки Windows на устройстве.

Параметры безопасной загрузки UEFI определяют, каким диспетчерам загрузки следует доверять, с помощью базы данных безопасной загрузки (база данных сигнатур) и DBX (запрещенная сигнатурная база данных). База данных содержит хэши и ключи для доверенного программного обеспечения, а DBX хранит отозванные, скомпрометированные и ненадежные хэши и ключи, чтобы предотвратить запуск несанкционированного или вредоносного программного обеспечения во время загрузки.

Полезно подумать о различных состояниях, в которых может находиться устройство, и о том, какой загрузочный носитель можно использовать с устройством в каждом из этих состояний. Во всех случаях встроенное ПО определяет, должно ли оно доверять диспетчеру загрузки, с которым оно предоставляется. После запуска диспетчера загрузки встроенное ПО больше не обращается к базе данных и DBX. Загрузочный носитель может использовать диспетчер загрузки со знаком ЦС 2011 или диспетчер загрузки, подписанный ЦС 2023 года, но не оба. В следующем разделе описывается, в каких состояниях может находиться устройство, а в некоторых случаях — какой носитель можно загрузить с устройства.

Эти сценарии устройств могут помочь при планировании развертывания мер по устранению рисков на ваших устройствах.

Новые устройства

Некоторые новые устройства начали поставляться с ЦС 2011 и 2023, предварительно установленных в встроенном ПО устройства. Не все производители переключились на оба и, возможно, по-прежнему поставляет устройства с предустановленным только ЦС 2011 года.

• Устройства с ЦС 2011 и 2023 могут запускать носитель, который включает в себя диспетчер загрузки с подписью ЦС 2011 или диспетчер загрузки с подписью ЦС 2023 года.

• Устройства, на которые установлен только ЦС 2011, могут загружаться только с диспетчером загрузки, подписанным ЦС 2011. Большинство старых носителей включают загрузочный манеж с подписью ЦС 2011 года.

Устройства с устранением рисков 1 и 2

Эти устройства были предварительно установлены с ЦС 2011 и, применяя устранение рисков 1, теперь установлен ЦС 2023. Так как эти устройства доверяют обоим ЦС, эти устройства могут запускать как носитель с ЦС 2011, так и с подписанным диспетчером загрузки 2023.

Устройства с устранением рисков 3 и 4

Эти устройства имеют ЦС 2011, включенный в DBX, и больше не будут доверять мультимедиа с диспетчером загрузки, подписанным ЦС 2011. Устройство с такой конфигурацией будет запускать носитель только с диспетчером загрузки, подписанным ЦС 2023.

Сброс безопасной загрузки

Если параметры безопасной загрузки были сброшены до значений по умолчанию, все меры по устранению рисков, примененные к базе данных (добавление ЦС 2023) и DBX (не соответствует ЦС 2011), могут быть недоступны. Поведение будет зависеть от используемого по умолчанию встроенного ПО.

DBX

Если были применены меры по устранению рисков 3 и (или) 4 и dbX очищен, то ЦС 2011 не будет в списке DBX и по-прежнему будет доверенным. В этом случае потребуется повторное применение мер по устранению рисков 3 и (или) 4.

ДБ

Если база данных содержит ЦС 2023 и удаляется путем сброса параметров безопасной загрузки до значений по умолчанию, система может не загружаться, если устройство использует подписанный диспетчер загрузки ЦС 2023. Если устройство не загружается, используйте средство securebootrecovery.efi, описанное в KB5025885: Управление отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932 , чтобы восстановить систему.

• Устранение рисков 3. Включение отзыва
  
  Не доверяет сертификату Microsoft Windows Production PCA 2011, добавив его в встроенное ПО Secure Boot DBX. Это приведет к тому, что встроенное ПО не будет доверять всем диспетчерам загрузки, подписанным ЦС 2011, и любому носителю, на котором используется подписанный диспетчер загрузки ЦС 2011.

• Устранение рисков 4. Применение обновления номера безопасной версии к встроенному ПО
  
  Применяет обновление номера безопасной версии (SVN) к встроенному ПО Secure Boot DBX. Когда начинается запуск диспетчера загрузки со знаком 2023, он выполняет самостоятельное проверка путем сравнения SVN, хранящегося в встроенном ПО, с SVN, встроенным в диспетчер загрузки. Если значение SVN диспетчера загрузки ниже значения SVN встроенного ПО, диспетчер загрузки не будет запущен. Эта функция не позволяет злоумышленнику откатить диспетчер загрузки до более старой, не обновленной версии. Для будущих обновлений системы безопасности для диспетчера загрузки svN будет увеличиваться, а устранение рисков 4 потребуется повторно применить.

Важно! Перед применением мер по устранению рисков 3 и 4 необходимо выполнить устранение рисков 1 и 2.

Сведения о применении мер по устранению рисков 3 и 4 в двух отдельных шагах (если вы хотите быть более осторожными, по крайней мере, сначала) см. в разделе KB5025885. Управление отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932 . Или вы можете применить оба способа устранения рисков, выполнив следующую операцию с одним разделом реестра от имени администратора:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

При одновременном применении обоих способов устранения рисков потребуется только один перезапуск для завершения операции.

• Устранение рисков 3. Чтобы убедиться, что список отзыва успешно применен, найдите в журнале событий идентификатор события 1037 на KB5016061: безопасная загрузка базы данных и события обновления переменных DBX.
  
  Кроме того, можно выполнить следующую команду PowerShell от имени администратора и убедиться, что она возвращает значение True:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Устранение рисков 4. Метод для подтверждения применения параметра SVN еще не существует. Этот раздел будет обновлен при наличии решения.