Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

DÔLEŽITÉ Aktualizáciu zabezpečenia windowsu vydanú 9. apríla 2024 alebo po jej vydaní by ste mali použiť ako súčasť procesu pravidelnej mesačnej aktualizácie.

Tento článok sa vzťahuje na organizácie, ktoré by mali začať vyhodnocovať obmedzenia rizík pre verejne zverejnené obídenie zabezpečeného spustenia, ktoré využíva súprava bootkit BlackLotus UEFI. Okrem toho možno budete chcieť zaujať proaktívny postoj k zabezpečeniu alebo začať s prípravou na zavedenie. Tento malvér vyžaduje fyzický alebo administratívny prístup k zariadeniu.

OPATRNOSŤOU Po povolení zmiernenia tohto problému v zariadení, čo znamená, že boli použité zmiernenia, sa nedá vrátiť, ak budete v tomto zariadení naďalej používať zabezpečené spustenie. Dokonca ani preformátovanie disku neodstráni zrušenia, ak už boli použité. Skôr než použijete zrušenia, ktoré sú uvedené v tomto článku na vaše zariadenie, dôkladne otestujte všetky možné dôsledky a vykonajte dôkladné testovanie.

V tomto článku

Zhrnutie

V tomto článku sa popisuje ochrana pred verejne zverejneným obídením funkcie zabezpečenia zabezpečeného spustenia, ktorá používa súpravu bootkit BlackLotus UEFI sledovanú cve-2023-24932, ako povoliť zmiernenia a pokyny na spúšťateľné médiá. Bootkit je škodlivý program, ktorý je navrhnutý tak, aby sa načítal čo najskôr v sekvencii spúšťania zariadení na ovládanie spustenia operačného systému.

Spoločnosť Microsoft odporúča bezpečné spustenie na vytvorenie bezpečnej a dôveryhodnej cesty z rozhrania Unified Extensible Firmware Interface (UEFI) prostredníctvom sekvencie dôveryhodného spustenia jadra systému Windows. Zabezpečené spustenie pomáha predchádzať malvéru bootkit v postupnosti spúšťania. Zakázanie zabezpečeného spustenia ohrozuje zariadenie infikovaním malvérom Bootkit. Oprava obídenia zabezpečeného spustenia popísaného v CVE-2023-24932 vyžaduje zrušenie správcov spúšťania. To môže spôsobiť problémy pri niektorých konfiguráciách spúšťania zariadenia.

Obmedzenia rizík voči obídenie zabezpečeného spustenia podrobne opísané v CVE-2023-24932 sú zahrnuté v aktualizáciách zabezpečenia systému Windows, ktoré boli vydané 9. apríla 2024 alebo po ich vydaní. Tieto obmedzenia rizík však nie sú predvolene povolené. S týmito aktualizáciami odporúčame začať vyhodnocovať tieto zmeny vo vašom prostredí. Úplný plán je popísaný v časti Časovanie aktualizácií .

Pred povolením týchto zmiernení by ste mali dôkladne skontrolovať podrobnosti v tomto článku a zistiť, či je potrebné povoliť obmedzenia rizík alebo čakať na budúcu aktualizáciu od spoločnosti Microsoft. Ak sa rozhodnete povoliť obmedzenia rizík, musíte overiť, či sú vaše zariadenia aktualizované a pripravené, a porozumieť rizikám popísaným v tomto článku. 

Vykonať akciu 

V tomto vydaní by ste mali postupovať podľa týchto krokov:

Krok 1: Nainštalujte aktualizáciu zabezpečenia systému Windows vydanú 9. apríla 2024 alebo po jej skončení vo všetkých podporovaných verziách.

Krok 2: Vyhodnotenie zmien a ich vplyvu na vaše prostredie.

Krok 3: Vynútenie zmien.

Rozsah vplyvu

Všetky zariadenia s Windowsom so zapnutou ochranou zabezpečeného spustenia sú ovplyvnené súpravou blacklotus bootkit. Obmedzenia rizík sú k dispozícii pre podporované verzie Windowsu. Úplný zoznam nájdete v cve-2023-24932.

Pochopenie rizík

Riziko malvéru: Aby bolo možné využívať súpravu bootkit BlackLotus UEFI popísanú v tomto článku, útočník musí získať oprávnenia správcu v zariadení alebo získať fyzický prístup k zariadeniu. Môžete to urobiť fyzickým alebo vzdialeným prístupom k zariadeniu, napríklad pomocou hypervízora na prístup k virtuálnym počítačom alebo cloudu. Útočník bude túto zraniteľnosť bežne používať na pokračovanie v kontrole zariadenia, ku ktorému už môže pristupovať a s ktorým možno manipulovať. Obmedzenia rizík v tomto článku sú preventívne a nie nápravné. Ak je vaše zariadenie už zneužité, požiadajte o pomoc svojho poskytovateľa zabezpečenia.

Médiá na obnovenie: Ak sa po použití zmiernení vyskytne problém so zariadením a zariadenie sa stane neobnoviteľným, pravdepodobne nebudete môcť spustiť alebo obnoviť zariadenie z existujúcich médií. Médium na obnovenie alebo inštaláciu bude potrebné aktualizovať, aby fungovalo so zariadením s použitými obmedzeniami rizík.

Problémy s firmvérom: Keď Windows použije obmedzenia rizík popísané v tomto článku, musí sa spoliehať na firmvér UEFI zariadenia na aktualizáciu hodnôt zabezpečeného spustenia (aktualizácie sa použijú na databázový kľúč (DB) a zakázaný podpisový kľúč (DBX)). V niektorých prípadoch máme skúsenosti so zariadeniami, ktoré aktualizácie zlyhávajú. Spolupracujeme s výrobcami zariadení na teste týchto kľúčových aktualizácií v čo možno najviac zariadeniach.

POZNÁMKA Ak chcete zistiť možné problémy s firmvérom, najskôr otestujte tieto obmedzenia rizík v jednom zariadení na jednu triedu zariadenia vo vašom prostredí. Nenasadzujte široko pred potvrdením všetkých tried zariadení vo vašom prostredí boli vyhodnotené.

Obnovenie šifrovania BitLocker: Niektoré zariadenia môžu prejsť na obnovenie šifrovania BitLocker. Pred povolením zmiernenia si nezabudnite uchovať kópiu kľúča na obnovenie šifrovaní BitLocker .

Známe problémy

Problémy s firmvérom:Nie všetky firmvér zariadenia úspešne aktualizujú databázu zabezpečeného spustenia alebo DBX. V prípadoch, o ktorých vieme, sme problém nahlásili výrobcovi zariadenia. Podrobnosti o zaznamenaných udalostiach nájdete v téme KB5016061: Udalosti aktualizácie premenných Secure Boot DB a DBX . Obráťte sa na výrobcu zariadenia a požiadajte ho o aktualizácie firmvéru. Ak zariadenie nepodporuje, spoločnosť Microsoft odporúča inovovať zariadenie.

Známe problémy s firmvérom:

POZNÁMKA Nasledujúce známe problémy nemajú žiadny vplyv na inštaláciu aktualizácií z 9. apríla 2024 a nezabránia ich inštalácii. Vo väčšine prípadov sa obmedzenia rizík nepoužijú tam, kde existujú známe problémy. Pozrite si podrobnosti uvedené v každom známom probléme.

  • HP: Spoločnosť HP identifikovala problém s inštaláciou zmiernenia v pc pracovnej stanice HP Z4G4 a v najbližších týždňoch vydá aktualizovaný firmvér Z4G4 UEFI (BIOS). Ak chcete zabezpečiť úspešnú inštaláciu zmiernenia, bude blokovaná na pracovných staniciach desktop, kým nebude k dispozícii aktualizácia. Zákazníci by mali vždy aktualizovať na najnovší systém BIOS pred použitím zmiernenia.

  • Zariadenia HP s funkciou Sure Start Security: Tieto zariadenia potrebujú najnovšie aktualizácie firmvéru od spoločnosti HP na inštaláciu zmierňujúcich rizík. Obmedzenia rizík sú blokované, kým sa neaktualizuje firmvér. Nainštalujte si najnovšiu aktualizáciu firmvéru zo stránky podpory pre TECHNICKÚ PODPORU – Oficiálne ovládače HP a sťahovanie softvéru | Podpora spoločnosti HP.

  • Zariadenia s architektúrou Arm64: Zmiernenia rizík sú zablokované z dôvodu známych problémov s firmvérom UEFI v zariadeniach so systémom UEFI. Spoločnosť Microsoft spolupracuje so spoločnosťouDries na riešení tohto problému. Airbus poskytne opravu výrobcom zariadení. Obráťte sa na výrobcu zariadenia a zistite, či je k dispozícii oprava tohto problému. Spoločnosť Microsoft pridá detekciu, ktorá umožní použitie zmiernení v zariadeniach pri zistení pevného firmvéru. Ak vaše zariadenie založené na technológii Arm64 nemá firmvér SpoločnostiProgram, nakonfigurujte nasledujúci kľúč databázy Registry, aby ste povolili zmierňovanie rizík.

    Podkľúč databázy Registry

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Názov hodnoty kľúča

    SkipDeviceCheck

    Typ údajov

    REG_DWORD

    Údaje

    1

  • Apple:Mac počítače, ktoré majú Apple T2 Security Chip podporu Secure Boot. Aktualizácia premenných súvisiacich so zabezpečením UEFI je však k dispozícii len ako súčasť aktualizácií systému macOS. Očakáva sa, že používatelia boot campu uvidia záznam denníka udalostí id udalosti 1795 vo Windowse súvisiace s týmito premennými. Ďalšie informácie o tejto položke denníka nájdete v téme KB5016061: Udalosti aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX.

  • Vmware:V prostrediach virtualizácie založených na VMware sa virtuálny počítač používajúci procesor typu x86 s povoleným zabezpečeným spustením nepodarí spustiť po použití zmiernení. Spoločnosť Microsoft na riešenie tohto problému koordinuje s VMware.

  • Systémy založené na module TPM 2.0:  Tieto systémy, ktoré spúšťajú Windows Server 2012 a Windows Server 2012 R2, nemôžu nasadiť obmedzenia rizík vydané v aktualizácii zabezpečenia z 9. apríla 2024 z dôvodu známych problémov s kompatibilitou s meraniami modulu TPM. Aktualizácie zabezpečenia z 9. apríla 2024 budú blokovať obmedzenia rizík č. 2 (správca spúšťania) a #3 (aktualizácia DBX) v ovplyvnených systémoch.

    Spoločnosť Microsoft o probléme vie a v budúcnosti bude vydaná aktualizácia na odblokovanie systémov založených na module TPM 2.0.

    Ak chcete skontrolovať verziu modulu TPM, kliknite pravým tlačidlom myši na tlačidlo Štart, kliknite na položku Spustiť a potom zadajte tpm.msc. V pravom dolnom rohu strednej tably v časti Informácie o výrobcovi modulu TPM by sa mala zobraziť hodnota pre verziu špecifikácie.

  • Šifrovanie koncového bodu Symantec: Obmedzenia rizík zabezpečeného spustenia nie je možné použiť na systémy, ktoré nainštalovali šifrovanie koncového bodu Symantec. Microsoft a Symantec o probléme vedia a budú vyriešené v budúcej aktualizácii.

Pokyny pre toto vydanie

V tomto vydaní postupujte podľa týchto dvoch krokov.

Krok 1: Inštalácia aktualizácie

zabezpečenia windowsu Nainštalujte mesačnú aktualizáciu zabezpečenia Windowsu vydanú 9. apríla 2024 alebo po jej skončení v podporovaných zariadeniach s Windowsom. Tieto aktualizácie zahŕňajú obmedzenia rizík pre CVE-2023-24932, ale nie sú predvolene povolené. Všetky zariadenia s Windowsom by mali tento krok dokončiť bez ohľadu na to, či plánujete nasadiť obmedzenia rizík.

Krok 2: Vyhodnotenie zmien

Odporúčame vám vykonať nasledujúce kroky:

  • Oboznámte sa s prvými dvoma obmedzeniami rizík, ktoré umožňujú aktualizovať databázu zabezpečeného spustenia a aktualizovať správcu spúšťania.

  • Skontrolujte aktualizovaný plán.

  • Začnite testovať prvé dve obmedzenia rizík voči reprezentatívnym zariadeniam z vášho prostredia.

  • Začnite plánovať fázu nasadenia, ktorá bude k dispozícii 9. júla 2024.

Krok 3: Vynútenie zmien

Odporúčame vám pochopiť riziká uvedené v časti Vysvetlenie rizík.

  • Oboznámte sa s vplyvom na obnovenie a iné spúšťacie médiá.

  • Začnite testovať tretie obmedzenie rizík, ktoré nedôveruje podpisovému certifikátu použitému pre všetkých predchádzajúcich správcov spúšťania systému Windows.

Pokyny na nasadenie zmiernenia

Pred vykonaním týchto krokov na uplatnenie zmiernených rizík nainštalujte aktualizáciu mesačnej údržby windowsu vydanú 9. apríla 2024 alebo po jej skončení v podporovaných zariadeniach s Windowsom. Táto aktualizácia obsahuje obmedzenia rizík pre CVE-2023-24932, ale nie sú predvolene povolené. Všetky zariadenia s Windowsom by mali vykonať tento krok bez ohľadu na váš plán na povolenie zmiernení rizík.

POZNÁMKA Ak používate šifrovanie BitLocker, skontrolujte, či bol kľúč na obnovenie šifrovania BitLocker zálohovaný. V príkazovom riadku správcu môžete spustiť nasledujúci príkaz a poznamenať si 48-miestne číselné heslo:

manage-bde -protectors -get %systemdrive%

Ak chcete nasadiť aktualizáciu a použiť zrušenia, postupujte podľa týchto krokov:

  1. Nainštalujte aktualizované definície certifikátu do databázy.

    Tento krok pridá certifikát Windows UEFI CA 2023 do databázy UEFI Secure Boot Signature Database. Pridaním tohto certifikátu do databázy bude firmvér zariadenia dôverovať zavádzacím aplikáciám podpísaným týmto certifikátom.

    1. Otvorte príkazový riadok správcu a zadaním nasledujúceho príkazu nastavte kľúč databázy Regkey na aktualizáciu databázy:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      DÔLEŽITÉ Skôr než prejdete na kroky 2 a 3, nezabudnite zariadenie reštartovať dvakrát, aby ste dokončili inštaláciu aktualizácie.

    2. Spustite nasledujúci príkaz prostredia PowerShell ako správca a overte, či sa databáza úspešne aktualizovala. Tento príkaz by mal vrátiť hodnotu True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Aktualizujte správcu spustenia v zariadení.

    Tento krok nainštaluje do zariadenia aplikáciu správcu spúšťania, ktorá je podpísaná certifikátom "Windows UEFI CA 2023".

    1. Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry na inštaláciu podpísaného správcu spúšťania "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Reštartujte zariadenie dvakrát.

    3. Ako správca, pripojiť EFI oddiel, aby ste ho pripravili na kontrolu:

      mountvol s: /s

    4. Overte, či je súbor s:\efi\microsoft\boot\bootmgfw.efi podpísaný certifikátom Windows UEFI CA 2023. Ak to chcete urobiť, postupujte podľa týchto krokov:

      1. Kliknite na tlačidlo Štart, do poľa Search zadajte príkazový riadok a potom kliknite na príkazový riadok.

      2. V okne príkazového riadka zadajte nasledujúci príkaz a potom stlačte kláves Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. V Správcovi súborov kliknite pravým tlačidlom myši na súbor C:\bootmgfw_2023.efi, kliknite na položku Vlastnosti a potom vyberte kartu Digitálne podpisy .

      4. V zozname podpisov potvrďte, že certifikačný reťazec obsahuje Windows UEFI CA 2023. Certifikačný reťazec by sa mal zhodovať s nasledujúcou snímkou obrazovky:

        Certifikáty

  3. Povoľte zrušenie.

    Zoznam zakázaných rozhraní UEFI (DBX) sa používa na blokovanie načítania nedôveryhodných modulov UEFI. V tomto kroku aktualizácia DBX pridá certifikát Windows Production CA 2011 do DBX. To spôsobí, že všetci správcovia spustenia podpísaní týmto certifikátom už nebudú dôveryhodní.

    UPOZORNENIE: Pred použitím tretieho zmiernenia vytvorte jednotku flash na obnovenie, ktorú možno použiť na spustenie systému. Informácie o tomto postupe nájdete v časti Aktualizácia médií inštalácie systému Windows.

    Ak sa systém dostane do stavu, ktorý nie je možné spustiť, postupujte podľa krokov v časti Postup obnovenia a obnovte zariadenie do stavu predbežného zrušenia.

    1. Pridajte certifikát Windows Production PCA 2011 do zoznamu zakázaných rozhraní UEFI zabezpečeného spustenia (DBX). Ak to chcete urobiť, otvorte okná príkazového riadka ako správca, zadajte nasledujúci príkaz a stlačte kláves Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Reštartujte zariadenie dvakrát a potvrďte, že sa úplne reštartuje.

    3. Overte, či bol zoznam inštalácie a zrušenia úspešne použitý vyhľadaním udalosti 1037 v denníku udalostí.

      Informácie o udalosti 1037 nájdete v téme KB5016061: Secure Boot DB a udalosti aktualizácie premenných DBX. Prípadne spustite nasledujúci príkaz prostredia PowerShell ako správca a uistite sa, že vráti hodnotu True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Spúšťacie médium

Po začatí fázy nasadenia vo vašom prostredí bude dôležité aktualizovať zavádzacie médiá. Pokyny a nástroje na aktualizáciu médií budú poskytnuté včas pre fázu nasadenia. Fáza nasadenia sa má začať 9. júla 2024.

Príklady spúšťateľného média a média na obnovenie ovplyvneného týmto problémom:

  • Zavádzacie médium vytvorené pomocou príkazu Vytvoriť jednotku na obnovenie.

  • Zálohy systému Windows, ktoré boli vygenerované pred použitím zmiernení. Po zapnutí zrušení v zariadení nebude možné priamo obnoviť inštaláciu Windowsu.

  • Vlastný disk CD/DVD alebo oblasť obnovenia, ktorú ste vytvorili vy, výrobca zariadenia (OEM) alebo podniky.

  • iso (prostredníctvom sťahovania alebo pomocou ADK).

  • Sieťové spustenie:

    • Služby nasadenia systému Windows.

    • Služby spúšťania prostredia spustenia preboot (služby spúšťania PXE).

    • Microsoft Deployment Toolkit.

    • SPUSTENIE PROTOKOLU HTTPS.

  • Inštalačné a rekuperačné médium OEM.

  • Oficiálne médiá systému Windows od spoločnosti Microsoft vrátane:

  • Windows PE.

  • Windows nainštalovaný na fyzickom hardvéri alebo virtuálnych počítačoch.

  • Overovací OS systému Windows.

Ak používate zavádzacie médium v osobnom zariadení s Windowsom, pred použitím zrušenia bude možno potrebné vykonať jednu alebo viacero z týchto akcií:

  • Ak na uloženie obsahu zariadenia používate osobný záložný softvér, po použití zmiernení z 9. apríla 2024 nezabudnite spustiť úplnú zálohu.

  • Ak používate obraz spúšťateľného disku (ISO), cd-ROM alebo DVD médium, aktualizujte médium podľa pokynov, ktoré sa poskytnú neskôr.

Podniková sieť

  • Pozrite si komplexné pokyny a skriptovanie pre inštalačné médium služby Update systému Windows s dynamickou aktualizáciou.

  • Ak vo svojom prostredí podporujete scenáre spustenia alebo obnovenia siete, budete musieť aktualizovať všetky médiá a obrázky. Môže to zahŕňať nasledujúce možnosti spustenia alebo obnovenia:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Služby nasadenia systému Windows.

    • Spustenie PXE.

    • Https spustenie a ďalšie scenáre spustenia siete.

  • Jedným zo spôsobov, ako to urobiť, je použitie DISM offline balík inštalácie na obrázky, ktoré sú obsluhované týmito scenármi. To zahŕňa aktualizáciu súborov spúšťania, ktoré sú ponúkané týmito službami.

  • Ak na uloženie obsahu inštalácie systému Windows na obrázok obnovenia používate záložný softvér, po použití zmiernení z 9. apríla 2024 nezabudnite spustiť úplnú zálohu. Nezabudnite zálohovať oblasť disku EFI okrem oblasti operačného systému Windows. Jasne identifikujte zálohy vykonané pred použitím zmiernení 9. apríla 2024 v porovnaní s zálohami vykonanými po použití zmiernení.

Windows PC OEM

Aktualizácia inštalačného média systému Windows

POZNÁMKA Pri vytváraní zavádzacieho flash disku, nezabudnite formátovať jednotku pomocou systému súborov FAT32.

Pomocou týchto krokov môžete použiť aplikáciu Vytvoriť jednotku na obnovenie . Toto médium možno použiť na preinštalovanie zariadenia v prípade závažného problému, ako je napríklad zlyhanie hardvéru, budete môcť použiť jednotku na obnovenie na preinštalovanie Windowsu.

  1. Prejdite do zariadenia, v ktorom boli použité aktualizácie z 9. apríla 2024 a prvý krok zmiernenia (aktualizácia databázy zabezpečeného spustenia).

  2. V ponuke Štart vyhľadajte aplet ovládacieho panela "Create a Recovery Drive" a postupujte podľa pokynov na vytvorenie jednotky na obnovenie.

  3. S novovytvorenou jednotkou flash pripojenou (napríklad ako jednotka D:) spustite nasledujúce príkazy ako správca. Zadajte každý z nasledujúcich príkazov a potom stlačte kláves Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ak spravujete inštalovateľné médiá vo svojom prostredí pomocou inštalačného média aktualizácie Windowsu s pokynmi na dynamickú aktualizáciu , postupujte podľa týchto krokov. Tieto ďalšie kroky vytvoria zavádzaciu flash jednotku, ktorá používa súbory spúšťania podpísané podpisovým certifikátom Windows UEFI CA 2023.

  1. Prejdite do zariadenia, v ktorom sa 9. apríla 2024 použili aktualizácie a prvý krok zmiernenia (aktualizácia databázy zabezpečeného spustenia).

  2. Ak chcete vytvoriť médiá s aktualizáciami z 9. apríla 2024, postupujte podľa krokov v prepojení nižšie. Aktualizácia inštalačného média windowsu pomocou dynamickej aktualizácie

  3. Umiestnite obsah média na USB kľúč a pripojte usb kľúč ako písmeno jednotky. Napríklad usb kľúč pripojte ako "D:".

  4. Spustite nasledujúce príkazy z okna príkazov ako správca. Zadajte každý z nasledujúcich príkazov a stlačte kláves Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ak má zariadenie po použití zmiernení nastavené nastavenia zabezpečeného spustenia nastavené na predvolené hodnoty, zariadenie sa nespusí. Na vyriešenie tohto problému je aplikácia na opravu súčasťou aktualizácií z 9. apríla 2024, ktoré možno použiť na opätovné použitie certifikátu Windows UEFI CA 2023 do databázy (zmiernenie č. 1).

POZNÁMKA Túto aplikáciu na opravu nepoužívajte v zariadení alebo systéme, ktorá je popísaná v časti Známe problémy .

  1. Prejdite do zariadenia, v ktorom boli použité aktualizácie z 9. apríla 2024.

  2. V okne príkazu skopírujte aplikáciu na obnovenie na flash disk pomocou nasledujúcich príkazov (za predpokladu, že jednotka flash je jednotka D:). Zadajte jednotlivé príkazy samostatne a potom stlačte kláves Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. V zariadení s nastaveniami zabezpečeného spustenia obnovte predvolené nastavenia, vložte usb kľúč, reštartujte zariadenie a spustite ho z usb kľúča.

Časovanie aktualizácií

Aktualizácie sa vydávajú takto:

  • Počiatočné nasadenie Táto fáza sa začala aktualizáciami vydanými 9. mája 2023 a poskytla základné obmedzenia rizík s manuálnymi krokmi na povolenie týchto zmiernení.

  • Druhé nasadenie Táto fáza sa začala aktualizáciami vydanými 11. júla 2023, ktoré pridali zjednodušené kroky na povolenie zmierňovania rizík problému.

  • Fáza hodnotenia Táto fáza sa začne 9. apríla 2024 a pridá ďalšie obmedzenia rizík správcu spúšťania.

  • Fáza konečného nasadenia V tomto prípade odporúčame všetkým zákazníkom, aby začali nasadzovať obmedzenia rizík a aktualizovať médiá.

  • Fáza presadzovania Fáza vynútenia, ktorá spôsobí, že zmiernenia budú trvalé. Dátum tejto fázy bude oznámený neskôr.

Poznámka Plán vydania možno podľa potreby revidovať.

Táto fáza bola nahradená aktualizáciami zabezpečenia Windowsu vydanými 9. apríla 2024 alebo po jej skončení.

Táto fáza bola nahradená aktualizáciami zabezpečenia Windowsu vydanými 9. apríla 2024 alebo po jej skončení.

V tejto fáze žiadame o testovanie týchto zmien vo vašom prostredí, aby ste sa uistili, že zmeny fungujú správne s reprezentatívnymi vzorovými zariadeniami a aby ste získali skúsenosti so zmenami.

POZNÁMKA Namiesto úplného zoznamu a nedôveryhodných zraniteľných správcov spúšťania, ako sme to urobili v predchádzajúcich fázach nasadenia, pridávame podpisový certifikát Windows Production PCA 2011 do zoznamu secure boot Disallow List (DBX), aby sme nedôverovali všetkým správcom spúšťania podpísaným týmto certifikátom. Ide o spoľahlivejšiu metódu na zabezpečenie nedôvery všetkých predchádzajúcich správcov spúšťania.

Aktualizácie pre Windows vydaný 9. apríla 2024 alebo po tomto dátume pridajte:

  • Tri nové ovládacie prvky na obmedzenie rizík, ktoré nahrádzajú zmiernenia vydané v roku 2023. Nové ovládacie prvky zmierňovania rizík sú:

    • Ovládací prvok na nasadenie certifikátu Windows UEFI CA 2023 do databázy zabezpečeného spustenia na pridanie dôveryhodnosti pre správcov spúšťania systému Windows podpísaných týmto certifikátom. Všimnite si, že certifikát Windows UEFI CA 2023 mohol byť nainštalovaný staršou aktualizáciou Windowsu.

    • Ovládací prvok na nasadenie správcu spúšťania podpísaného certifikátom Windows UEFI CA 2023.

    • Ovládací prvok na pridanie "Windows Production PCA 2011" do secure boot DBX, ktorý zablokuje všetkých správcov spúšťania systému Windows podpísaných týmto certifikátom.

  • Možnosť povoliť nasadenie obmedzenia rizík vo fázach nezávisle, aby sa na základe vašich potrieb umožnila väčšia kontrola pri nasadzovaní zmiernení rizík vo vašom prostredí.

  • Obmedzenia rizík sú uzamknuté, takže ich nie je možné nasadiť v nesprávnom poradí.

  • Ďalšie udalosti na oboznámenie sa so stavom zariadení pri použití zmiernení rizík. Ďalšie podrobnosti o udalostiach nájdete v téme KB5016061: Udalosti aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX.

V tejto fáze odporúčame zákazníkom začať nasadzovať obmedzenia rizík a spravovať všetky aktualizácie médií. Aktualizácie pridajú nasledujúce zmeny:

  • Sprievodný materiál a nástroje na pomoc pri aktualizácii médií.

  • Aktualizovaný blok DBX na zrušenie ďalších správcov spúšťania.

Fáza presadzovania bude minimálne šesť mesiacov po fáze nasadenia. Po vydaní aktualizácií pre fázu presadzovania budú obsahovať tieto aktualizácie:

  • Certifikát Windows Production PCA 2011 sa automaticky zruší tým, že sa pridá do zoznamu povolených zariadení so zakázaným spustením UEFI (DBX). Tieto aktualizácie sa programovo vynucujú po inštalácii aktualizácií windowsu do všetkých dotknutých systémov bez možnosti vypnutia.

Chyby denníka udalostí systému Windows týkajúce sa CVE-2023-24932

Položky denníka udalostí systému Windows súvisiace s aktualizáciou DATABÁZY a DBX sú podrobne popísané v KB5016061: Udalosti aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX.

Udalosti "úspechu" súvisiace s použitím zmiernení sú uvedené v nasledujúcej tabuľke.

Krok zmiernenia

Identifikačné číslo udalosti

Poznámky

Použitie aktualizácie databázy

1036

Certifikát PCA2023 bol pridaný do databázy.

Aktualizácia správcu spúšťania

1799

Použil sa podpísaný správca spúšťania PCA2023.

Použitie aktualizácie DBX

1037

Aktualizácia DBX, ktorá nedôveruje použitiu podpisového certifikátu PCA2011.

Najčastejšie otázky

Pred vykonaním zrušenia aktualizujte všetky operačné systémy Windows aktualizáciami vydanými 9. apríla 2024 alebo po ich vydaní. Po použití zrušení možno nebude možné spustiť žiadnu verziu Windowsu, ktorá nebola aktualizovaná minimálne na aktualizácie vydané 9. apríla 2024. Postupujte podľa pokynov v časti Riešenie problémov so spustením .

Riešenie problémov s spustením

Po použití všetkých troch zmiernení sa firmvér zariadenia nespusí pomocou správcu spúšťania podpísaného Windows Production PCA 2011. Zlyhania spustenia nahlásené firmvérom sú špecifické pre zariadenie. Pozrite si časť Postup obnovenia .

Postup obnovenia

Ak sa pri používaní zmiernení vyskytne problém a zariadenie sa nedá spustiť alebo potrebujete spustiť z externých médií (ako je napríklad usb kľúč alebo spustenie systému PXE), vyskúšajte nasledujúce návrhy:

  1. Vypnite zabezpečené spustenie.

    Tento postup sa líši medzi výrobcami zariadení a modelmi. Zadajte svoje zariadenia UEFI BIOS menu a prejdite na nastavenia zabezpečeného spustenia a vypnite ho. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu zariadenia. Ďalšie podrobnosti nájdete v téme Zakázanie zabezpečeného spustenia.

  2. Obnovte predvolené hodnoty zabezpečeného spustenia.

    Ak zariadenie podporuje resetovanie zabezpečených klávesov na spustenie na továrenské predvolené nastavenia, vykonajte túto akciu teraz.

    POZNÁMKA Niektorí výrobcovia zariadení majú ako "Clear" a "Reset" možnosť secure boot premenných, v takom prípade "Reset" by mali byť použité. Cieľom je vrátiť premenné zabezpečeného spustenia na predvolené hodnoty výrobcov.

    Vaše zariadenie by sa malo spustiť teraz, ale majte na pamäti, že je citlivé na malvér boot-kit. Uistite sa, že ste dokončili krok 5 tohto procesu obnovenia, aby ste znova povolili zabezpečené spustenie.

  3. Skúste spustiť Systém Windows zo systémového disku.

    1. Prihláste sa do Windowsu.

    2. Spustite nasledujúce príkazy z príkazového riadka správcu a obnovte súbory spúšťania v oblasti spúšťania systému EFI. Zadajte jednotlivé príkazy samostatne a potom stlačte kláves Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Spustenie bcdboot vráti "Boot files successfully created" (Súbory spúšťania sa úspešne vytvorili). Po zobrazení tohto hlásenia reštartujte zariadenie späť do Windowsu.

  4. Ak krok 3 úspešne neobnoví zariadenie, preinštalujte Systém Windows.

    1. Spustite zariadenie z existujúceho média na obnovenie.

    2. Pokračujte v inštalácii Windowsu pomocou média na obnovenie.

    3. Prihláste sa do Windowsu.

    4. Reštartujte Windows a overte, či sa zariadenie spustí späť do Windowsu.

  5. Znova zapnite zabezpečené spustenie a reštartujte zariadenie.

    Zadajte ponuku UEFI zariadenia, prejdite na nastavenia zabezpečeného spustenia a zapnite ju. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu zariadenia. Ďalšie informácie nájdete v časti Opätovné povolenie zabezpečeného spustenia.

Referencie

Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Dátum zmeny

Popis zmeny

9. apríla 2024

  • Rozsiahle zmeny postupov, informácií, usmernení a dátumov. Všimnite si, že niektoré predchádzajúce zmeny boli odstránené v dôsledku rozsiahlych zmien vykonaných v tento deň.

16. decembra 2023

  • Zrevidované dátumy vydania pre tretie nasadenie a presadzovanie v časti Načasovanie aktualizácií.

15. mája 2023

  • Odstránené nepodporované Windows 10 operačného systému verzie 21H1 zo sekcie Vzťahuje sa na.

11. mája 2023

  • Pridali sme poznámku UPOZORNENIE k kroku 1 v časti Pokyny na nasadenie týkajúcej sa inovácie na Windows 11, verziu 21H2 alebo 22H2 alebo niektoré verzie Windows 10.

10. mája 2023

  • Objasnené, že médiá windowsu na stiahnutie aktualizované najnovšou kumulatívnou Aktualizácie budú čoskoro k dispozícii.

  • Opravila sa kontrola pravopisu slova "Zakázané".

9. mája 2023

  • Pridali sa ďalšie podporované verzie do časti Vzťahuje sa na.

  • Aktualizovaný krok 1 sekcie "Vykonať akciu".

  • Aktualizovaný krok 1 časti Pokyny na nasadenie.

  • Opravili sa príkazy v kroku 3a sekcie Pokyny na odstránenie.

  • Opravené umiestnenie obrázkov Hyper-V UEFI v časti Riešenie problémov so spúšťaním.

27. júna 2023

  • Odstránila sa poznámka o aktualizácii z Windows 10 na novšiu verziu Windows 10, ktorá používa balík povolení v časti Krok 1:Inštalácia v časti Pokyny na nasadenie.

11. júla 2023

  • Aktualizovali sa inštancie dátumu 9. mája 2023 na 11. júla 2023, 9. mája 2023 a 11. júla 2023 alebo 9. mája 2023.

  • V časti Pokyny na nasadenie si všimnite, že všetky dynamické aktualizácie systému SafeOS sú teraz k dispozícii na aktualizáciu oblastí WinRE. Okrem toho sa odstránilo pole UPOZORNENIE, pretože problém je vyriešený vydaním dynamických aktualizácií SafeOS.

  • V "3. Použite sekciu zrušenia, pokyny boli revidované.

  • V časti Chyby denníka udalostí systému Windows sa pridá identifikácia udalosti 276.

25. augusta 2023

  • Aktualizovali sa rôzne sekcie na znenie a pridali sa informácie o vydaní z 11. júla 2023 a o budúcich vydaniach z roku 2024.

  • Zmena usporiadania niektorého obsahu zo sekcie Vyhnúť sa problémom s zavádzacím médiám do časti Aktualizácia zavádzacieho média.

  • Aktualizovala sa časť Časovanie aktualizácií s revidovanými dátumami nasadenia a informáciami.
Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×