Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Дата изменения

Описание изменений

20 марта 2024 г.

  • Добавлен раздел "Результаты и отзывы"

21 марта 2024 г.

  • Обновлен шаг 4 в разделе "Шаг 2. Установка PCA2023 подписанного диспетчера загрузки"

22 марта 2024 г.

  • Обновлены контактные данные электронной почты в разделе "Результаты и отзывы"

  • Добавлен раздел "Включение необязательных диагностических данных"

Введение

Эта статья является дополнением к следующей статье, которая будет обновлена в апреле 2024 г.:

  • KB5025885. Управление отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932

В этом дополнении описывается обновленная пошаговая процедура развертывания новых мер по устранению рисков в загрузочном комплекте BlackLotus UEFI, отслеживаемом CVE-2023-24932 , и содержится руководство по тестированию для вашей среды.

Чтобы защититься от злонамеренного злоупотребления уязвимыми диспетчерами загрузки, необходимо развернуть новый сертификат подписи безопасной загрузки UEFI в встроенном ПО устройства и отозвать доверие к встроенному ПО текущего сертификата подписи. Это приведет к тому, что все существующие уязвимые диспетчеры загрузки не будут доверять устройствам с поддержкой безопасной загрузки. Это руководство поможет вам в этом процессе.

В этом руководстве описаны три шага по устранению рисков:

  1. Обновление базы данных: В базу данных безопасной загрузки будет добавлен новый сертификат PCA (PCA2023), который позволит устройству загружать носитель, подписанный этим сертификатом.

  2. Установка диспетчера загрузки: Существующий PCA2011 подписанный диспетчер загрузки будет заменен PCA2023 подписанным диспетчером загрузки.Оба диспетчера загрузки включены в обновления для системы безопасности за апрель 2024 г.

  3. Отмена DBX PCA2011: В dbX secure boot будет добавлена запись запрета, запрещающая загрузку диспетчеров загрузки, подписанных PCA2011.

Примечание Программное обеспечение стека обслуживания, применяющее эти три средства устранения рисков, не позволяет применять меры по устранению рисков не по порядку.

Относится ли это ко мне?

Это руководство относится ко всем устройствам с включенной безопасной загрузкой и ко всем существующим носителям восстановления для этих устройств.

Если устройство работает Windows Server 2012 или Windows Server 2012 R2, обязательно прочтите раздел "Известные проблемы", прежде чем продолжить.

Перед началом работы

Включение необязательных диагностических данных

Включите параметр "Отправить необязательные диагностические данные", выполнив следующие действия.

  1. В Windows 11 перейдите в раздел Пуск > Параметры > Конфиденциальность & безопасность > Диагностика & отзыв.

  2. Включите параметр Отправить необязательные диагностические данные.

    Отзывы о диагностике &

Дополнительные сведения см. в статье Диагностика, отзывы и конфиденциальность в Windows

ПРИМЕЧАНИЕ Убедитесь, что у вас есть подключение к Интернету во время и в течение некоторого времени после проверки.

Прохождение теста

После установки обновлений Windows за апрель 2024 г. и перед выполнением действий по согласию убедитесь, что выполните тестовый проход, чтобы проверить целостность системы:

  1. VPN: Убедитесь, что VPN-доступ к корпоративным ресурсам и сети работает.

  2. Windows Hello. Войдите на устройство Windows с помощью обычной процедуры (лицо, отпечатки пальцев или ПИН-код).

  3. Bitlocker: Система обычно запускается в системах с поддержкой BitLocker без запроса на восстановление BitLocker во время запуска.

  4. Аттестация работоспособности устройства: Убедитесь, что устройства, использующие аттестацию работоспособности устройств, правильно подтверждают свое состояние.

Известные проблемы

Только для Windows Server 2012 и Windows Sever 2012 R2:

  • Системы на основе доверенного платформенного модуля 2.0 не могут развернуть средства устранения рисков, выпущенные в обновлении безопасности за апрель 2024 г., из-за известных проблем совместимости с измерениями доверенного платформенного модуля. Обновления за апрель 2024 г. заблокируют устранение рисков No 2 (диспетчер загрузки) и No 3 (обновление DBX) в затронутых системах.

  • Корпорация Майкрософт знает об этой проблеме, и в будущем будет выпущено обновление для разблокировки систем на основе TPM 2.0.

  • Чтобы проверка версию доверенного платформенного модуля, щелкните правой кнопкой мыши пуск, выберите команду Выполнить и введите tpm.msc. В правом нижнем углу центральной области в разделе Сведения об изготовителе доверенного платформенного модуля должно появиться значение Версии спецификации.

Действия по проверке согласия

В оставшейся части этой статьи рассматривается тестирование для выбора устройств для устранения рисков. По умолчанию меры по устранению рисков не включены. Если ваше предприятие планирует включить эти меры по устранению рисков, выполните следующие действия по проверке, чтобы проверить совместимость устройств.

  1. Разверните предварительное обновление для системы безопасности за апрель 2024 г.

  2. Откройте командную строку администратора и задайте раздел реестра для обновления базы данных, введя следующую команду, а затем нажмите клавишу ВВОД:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Перезапустите устройство два раза.

  4. Убедитесь, что база данных успешно обновлена, убедившись, что следующая команда возвращает значение True. Выполните следующую команду PowerShell от имени администратора:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Откройте командную строку администратора и задайте раздел реестра, чтобы скачать и установить диспетчер загрузки, подписанный PCA2023:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Перезапустите устройство два раза.

  3. Как администратор, подключите раздел EFI, чтобы подготовить его к проверке:

    mountvol s: /s

  4. Убедитесь, что "s:\efi\microsoft\boot\bootmgfw.efi" подписан PCA2023. Для этого выполните указанные ниже действия.

    1. Нажмите кнопку Пуск, введите командную строку в поле Поиска и выберите командная строка.

    2. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. В диспетчере файлов щелкните правой кнопкой мыши файл C:\bootmgfw_2023.efi, выберите пункт Свойства, а затем выберите вкладку Цифровые подписи.

    4. В списке Подпись убедитесь, что цепочка сертификатов включает ЦС Windows UEFI 2023.

ВНИМАНИЕ! Этот шаг развертывает отзыв DBX для ненадежных старых и уязвимых менеджеров загрузки, подписанных с помощью рабочей PCA2011 Windows. Устройства с примененным отзывом больше не будут загружаться с существующих носителей восстановления и серверов сетевой загрузки (PXE/HTTP), на которых не установлены обновленные компоненты диспетчера загрузки.

Если устройство переходит в незагрузочное состояние, выполните действия, описанные в разделе "Процедуры восстановления и восстановления", чтобы сбросить устройство в состояние предварительного отзыва.

Если после применения DBX вы хотите вернуть устройство в предыдущее состояние безопасной загрузки, следуйте инструкциям в разделе "Процедуры восстановления и восстановления".

Примените защиту от DBX, чтобы не доверять сертификату Windows Production PCA2011 в безопасной загрузке:

  1. Откройте командную строку администратора и задайте раздел реестра для размещения отзыва для PCA2011 в DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Перезапустите устройство два раза и убедитесь, что оно полностью перезапущено.

  3. Убедитесь, что защита от DBX успешно применена. Для этого выполните следующую команду PowerShell от имени администратора и убедитесь, что она возвращает значение True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Или найдите следующее событие в Просмотр событий:

    Журнал событий

    Система

    Источник события

    TPM-WMI

    Идентификатор события

    1037

    Уровень

    Сведения

    Текст сообщения о событии

    Обновление Dbx для безопасной загрузки для отзыва Microsoft Windows Production PCA 2011 успешно применено

  4. Выполните тестовый проход элементов из раздела "Перед началом работы" и убедитесь, что все системы работают нормально.

Справочник по разделу реестра

Согласие на проверку, шаг 1Согласие на проверку, шаг 2Согласие на проверку, шаг 3

Команды

Цель

Комментарии 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Устанавливает обновление базы данных, чтобы разрешить диспетчер загрузки, подписанный PCA2023.

Команды

Цель

Комментарии 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Устанавливает PCA2023 подписанный bootmgr.

Значение учитывается только после завершения шага 0x40

Команды

Цель

Комментарии 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Устанавливает обновление DBX, которое отменяет PCA2011

Значение учитывается только после выполнения обоих 0x40 & 0x100 шагов

Результаты и отзывы

Отправьте электронное письмо suvp@microsoft.com с результатами тестирования, вопросами и отзывами.

Процедуры восстановления и восстановления

При выполнении процедур восстановления поделитесь с корпорацией Майкрософт следующими данными:

  • Снимок экрана: сбой загрузки.

  • Шаги, которые привели к тому, что устройство стало недоступным для загрузки.

  • Сведения о конфигурации устройства.

При выполнении процедуры восстановления приостановите BitLocker перед запуском процедуры.

Если во время этого процесса что-то пойдет не так и вы не можете запустить устройство или вам нужно начать с внешнего носителя (например, с диска большого пальца или загрузки PXE), попробуйте выполнить следующие действия.

  1. Отключение безопасной загрузки

    Эта процедура отличается в разных производителях компьютеров и моделях. Войдите в меню UEFI BIOS для компьютеров, перейдите к параметру Безопасная загрузка и отключите его. Сведения об этом процессе см. в документации производителя компьютера. Дополнительные сведения см. в разделе Отключение безопасной загрузки.

  2. Очистка ключей

    безопасной загрузки Если устройство поддерживает очистку ключей безопасной загрузки или сброс ключей безопасной загрузки до заводских значений по умолчанию, выполните это действие сейчас.  

    Устройство должно запуститься сейчас, но обратите внимание, что оно уязвимо для вредоносных программ загрузочных комплектов. Обязательно выполните шаг 5 в конце этого процесса восстановления, чтобы повторно включить безопасную загрузку.

  3. Попробуйте запустить Windows с системного диска.

    1. Если BitLocker включен и переходит к восстановлению, введите ключ восстановления BitLocker.

    2. Вход в Windows.

    3. Выполните следующие команды из командной строки администратора, чтобы восстановить загрузочные файлы в системном загрузочном разделе EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. При выполнении BCDBoot должно вернуться сообщение "Файлы загрузки успешно созданы".

    5. Если BitLocker включен, приостановите BitLocker.

    6. Перезагрузите устройство.

  4. Если на шаге 3 не удалось восстановить устройство, переустановите Windows.

    1. Начните с существующего носителя восстановления.

    2. Перейдите к установке Windows с помощью носителя восстановления.

    3. Вход в Windows.

    4. Перезапустите, чтобы убедиться, что устройство успешно запускается в Windows.

  5. Повторно включите безопасную загрузку и перезапустите устройство.

    Войдите в меню devicce UEFI, перейдите к параметру Безопасная загрузка и включите его. Сведения об этом процессе см. в документации от производителя устройства. Дополнительные сведения см. в разделе Повторное включение безопасной загрузки.

  6. Если запуск Windows продолжает завершать сбой, снова введите UEFI BIOS и отключите безопасную загрузку.

  7. Запустите Windows.

  8. Предоставление общего доступа к содержимому базы данных и DBX корпорации Майкрософт.

    1. Откройте PowerShell в режиме администратора.

    2. Запишите базу данных:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Запишите DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Поделитесь файлами DBUpdateFw.bin и dbxUpdateFw.bin , созданными в шагах 8b и 8c.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×