Zmeniť dátum |
Zmeniť popis |
20. marca 2024 |
|
21. marca 2024 |
|
22. marca 2024 |
|
Úvod
Tento článok je doplnkom k nasledujúcemu článku, ktorý bude aktualizovaný v apríli 2024:
-
KB5025885: Ako spravovať zrušenia správcu spustenia systému Windows pre zmeny zabezpečeného spustenia súvisiace s CVE-2023-24932
Tento dodatok popisuje aktualizovaný postup krok za krokom na nasadenie nových zmiernení proti súprave blacklotus UEFI boot-kit sledovanej CVE-2023-24932 a obsahuje testovacie pokyny pre vaše prostredie.
Na ochranu pred škodlivým zneužitím zraniteľných správcov spúšťania musíme na firmvér zariadenia nasadiť nový podpisový certifikát zabezpečeného spustenia rozhrania UEFI a zrušiť dôveryhodnosť firmvéru aktuálneho podpisového certifikátu. To spôsobí, že všetci existujúci, zraniteľní správcovia spúšťania budú nedôveryhodní zariadeniami s povoleným zabezpečeným spustením. Táto príručka vám pomôže s týmto procesom.
Tri kroky na obmedzenie rizík uvedené v tejto príručke sú nasledovné:
-
Aktualizuje sa databáza: Do databázy zabezpečeného spustenia sa pridá nový certifikát PCA (PCA2023), ktorý umožní zariadeniu spúšťať médiá podpísané týmto certifikátom.
-
Inštalácia správcu spúšťania: Existujúci správca spúšťania podpísaný PCA2011 sa nahradí správcom spúšťania podpísaným PCA2023.Obaja správcovia spustenia sú zahrnutí v aktualizáciách zabezpečenia z apríla 2024.
-
Zrušenie PCA2011 DBX: Do databázy DBX zabezpečeného spustenia sa pridá zamietnutá položka, ktorá zabráni správcom spúšťania podpísaným s PCA2011 v spúšťaní.
Poznámka Softvér Servicing Stack, ktorý používa tieto tri obmedzenia rizík, neumožní, aby sa zmiernenia použili mimo poradia.
Vzťahuje sa to na mňa?
Táto príručka sa vzťahuje na všetky zariadenia so zapnutým zabezpečeným spustením a všetky existujúce médiá na obnovenie pre tieto zariadenia.
Ak máte v zariadení Windows Server 2012 alebo Windows Server 2012 R2, pred pokračovaním si prečítajte časť Známe problémy.
Skôr ako začnete
Povoliť voliteľné diagnostické údaje
Zapnite nastavenie Odoslať voliteľné diagnostické údaje vykonaním týchto krokov:
-
V Windows 11 prejdite & pripomienky v časti Nastavenie > Štart> nastavenia ochrany osobných údajov & zabezpečenia> diagnostiky.
-
Zapnite možnosť Odoslať voliteľné diagnostické údaje.
Ďalšie informácie nájdete v téme Diagnostika, pripomienky a ochrana osobných údajov vo Windowse.
POZNÁMKA Uistite sa, že máte internetové pripojenie počas overenia a na nejaký čas po overení.
Vykonanie skúšobného testu
Po inštalácii aktualizácií windowsu z apríla 2024 a pred vykonaním krokov na prihlásenie sa nezabudnite vykonať testovací postup na overenie integrity systému:
-
VPN: Overte funkčnosť prístupu siete VPN k podnikových zdrojom a sieti.
-
Windows Hello: Prihláste sa do zariadenia s Windowsom pomocou bežného postupu (tvár,odtlačok prsta/PIN kód).
-
Šifrovanie bitlocker: Systém sa zvyčajne spúšťa v systémoch s podporou zabezpečenia BitLocker bez výzvy na obnovenie šifrovania BitLocker počas spúšťania.
-
Atestácia stavu zariadenia: Overte, či zariadenia, ktoré sa spoliehajú na atestáciu stavu zariadenia, správne osvedčili svoj stav.
Známe problémy
Len pre Windows Server 2012 a Windows Sever 2012 R2:
-
Systémy založené na modulu TPM 2.0 nemôžu nasadiť obmedzenia rizík vydané v bezpečnostnej oprave z apríla 2024 z dôvodu známych problémov s kompatibilitou s meraniami modulu TPM. Aktualizácie z apríla 2024 budú blokovať obmedzenia rizík č. 2 (správca spúšťania) a #3 (aktualizácia DBX) v dotknutých systémoch.
-
Spoločnosť Microsoft o probléme vie a v budúcnosti bude vydaná aktualizácia na odblokovanie systémov založených na module TPM 2.0.
-
Ak chcete skontrolovať verziu modulu TPM, kliknite pravým tlačidlom myši na tlačidlo Štart, kliknite na položku Spustiť a potom zadajte tpm.msc. V pravom dolnom rohu strednej tably v časti Informácie o výrobcovi modulu TPM by sa mala zobraziť hodnota pre verziu špecifikácie.
Kroky na overenie prihlásenia
Zvyšok tohto článku sa zaoberá testovaním zariadení s explicitným súhlasom na zmiernenie rizík. Obmedzenia rizík nie sú predvolene povolené. Ak váš podnik plánuje povoliť tieto obmedzenia rizík, overte kompatibilitu zariadenia vykonaním nasledujúcich krokov overenia.
-
Nasadenie predbežnej aktualizácie zabezpečenia z apríla 2024.
-
Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry na vykonanie aktualizácie databázy zadaním nasledujúceho príkazu a následným stlačením klávesu Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
Reštartujte zariadenie dvakrát.
-
Overte, či sa databáza úspešne aktualizovala, a uistite sa, že nasledujúci príkaz vráti hodnotu True. Ako správca spustite nasledujúci príkaz prostredia PowerShell:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry na stiahnutie a inštaláciu PCA2023 podpísaného správcu spúšťania:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Reštartujte zariadenie dvakrát.
-
Ako správca, pripojiť EFI oddiel, aby ste ho pripravili na kontrolu:
mountvol s: /s
-
Overte, či je súbor s:\efi\microsoft\boot\bootmgfw.efi podpísaný PCA2023. Ak to chcete urobiť, postupujte podľa týchto krokov:
-
Kliknite na tlačidlo Štart, do vyhľadávacieho poľa zadajte príkazový riadok a potom kliknite na príkazový riadok.
-
V okne príkazového riadka zadajte nasledujúci príkaz a potom stlačte kláves Enter.
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
V Správcovi súborov kliknite pravým tlačidlom myši na súbor C:\bootmgfw_2023.efi, kliknite na položku Vlastnosti a potom vyberte kartu Digitálne podpisy.
-
V zozname podpisov potvrďte, že certifikačný reťazec obsahuje Windows UEFI 2023 CA.
-
UPOZORNENIE: Tento krok nasadzuje zrušenie DBX nedôveryhodným starým zraniteľným správcom spúšťania podpísaným pomocou PCA2011 Windows Production. Zariadenia s týmto zrušením sa už nebudú spúšťať z existujúcich médií na obnovenie a serverov spúšťania siete (PXE/HTTP), ktoré nemajú aktualizované súčasti správcu spúšťania.
Ak sa vaše zariadenie dostane do stavu, ktorý nie je možné spustiť, postupujte podľa krokov v časti Postupy obnovenia a obnovenia a obnovte zariadenie do stavu predbežného zrušenia.
Ak chcete po použití databázy DBX vrátiť zariadenie do predchádzajúceho stavu zabezpečeného spustenia, postupujte podľa časti Postupy obnovenia a obnovenia.
Použite obmedzenie rizík DBX na nedôveru certifikátu PCA2011 Windows Production v zabezpečenom spúšťaní:
-
Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry tak, aby sa zrušenie PCA2011 v jazyku DBX:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Reštartujte zariadenie dvakrát a potvrďte, že sa úplne reštartuje.
-
Overte, či bolo zmiernenie rizík DBX úspešne použité. Ak to chcete urobiť, spustite nasledujúci príkaz prostredia PowerShell ako správca a uistite sa, že príkaz vráti hodnotu True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
Alebo hľadajte v Zobrazovač udalostí nasledujúcu udalosť:
Denník udalostí
Systém
Zdroj udalosti
Modul TPM -WMI
Identifikačné číslo udalosti
1037
Úroveň
Informácie
Text správy udalosti
Aktualizácia Secure Boot Dbx na zrušenie programu Microsoft Windows Production PCA 2011 sa úspešne použila
-
Vykonajte položky úspešného testu zo sekcie Skôr než začnete a uistite sa, že všetky systémy sa správajú normálne.
Odkaz na kľúč databázy Registry
Príkaz |
Účel |
Komentáre |
|
Nainštaluje aktualizáciu databázy a povolí správcu spúšťania podpísaný PCA2023 |
Príkaz |
Účel |
Komentáre |
|
Nainštaluje bootmgr podpísaný PCA2023 |
Hodnota bola poctený až po dokončení kroku 0x40 |
Príkaz |
Účel |
Komentáre |
|
Nainštaluje aktualizáciu DBX, ktorá zruší PCA2011 |
Hodnota bola poctený až po dokončení oboch 0x40 & 0x100 krokov |
Výsledky a pripomienky
Odošlite e-mail suvp@microsoft.com s výsledkami testovania, otázkami a pripomienkami.
Postupy obnovenia a obnovenia
Pri vykonávaní postupov obnovenia zdieľajte so spoločnosťou Microsoft tieto údaje:
-
Snímka obrazovky s pozorovaným zlyhaním spustenia.
-
Vykonané kroky, ktoré viedli k tomu, že zariadenie sa stalo nesynchniteľným.
-
Podrobnosti o konfigurácii zariadenia.
Pri vykonávaní procedúry obnovenia odstavte uzamknutie BitLocker ešte pred spustením procedúry.
Ak sa počas tohto procesu vyskytne chyba a nie je možné spustiť zariadenie alebo potrebujete spustiť externé médiá (napríklad usb kľúč alebo spúšťanie PXE), vyskúšajte nasledujúce postupy.
-
Vypnutie zabezpečeného spustenia
Tento postup sa líši medzi výrobcami počítačov a modelmi. Zadajte ponuku UEFI BIOS pc, prejdite na nastavenie zabezpečeného spustenia a vypnite ho. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu počítača. Ďalšie informácie nájdete v téme Vypnutie zabezpečeného spustenia. -
Vymazať kľúče zabezpečeného spustenia
Ak zariadenie podporuje vymazanie kľúčov zabezpečeného spustenia alebo resetovanie kľúčov zabezpečeného spustenia na predvolené hodnoty vo výrobných nastaveniach, vykonajte túto akciu teraz.
Vaše zariadenie by malo začať teraz, ale majte na pamäti, že je citlivé na boot-kits malware. Uistite sa, že ste dokončili krok 5 na konci tohto procesu obnovenia, aby ste znova povolili zabezpečené spustenie. -
Skúste spustiť Systém Windows zo systémového disku.
-
Ak je funkcia BitLocker povolená a prejde na obnovenie, zadajte kľúč na obnovenie pre šifrovanie BitLocker.
-
Prihláste sa do Windowsu.
-
Spustite nasledujúce príkazy z príkazového riadka správcu a obnovte súbory spúšťania v oblasti spúšťania systému EFI:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
Spustenie služby BCDBoot by malo vrátiť hlásenie Súbory spúšťania sa úspešne vytvorili.
-
Ak je funkcia BitLocker povolená, odstavte uzamknutie BitLocker.
-
Reštartujte zariadenie.
-
-
Ak krok 3 úspešne neobnoví zariadenie, znova nainštalujte Windows.
-
Začnite z existujúceho média na obnovenie.
-
Pokračujte v inštalácii Windowsu pomocou média na obnovenie.
-
Prihláste sa do Windowsu.
-
Reštartujte a overte, či sa zariadenie úspešne spustí s Windowsom.
-
-
Znova zapnite zabezpečené spustenie a reštartujte zariadenie.
Zadajte svoju ponuku devicce UEFI a prejdite na nastavenie zabezpečeného spustenia a zapnite ju. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu zariadenia. Ďalšie informácie nájdete v téme Opätovné povolenie zabezpečeného spustenia. -
Ak spustenie systému Windows naďalej zlyháva, znova zadajte systém BIOS UEFI a vypnite zabezpečené spustenie.
-
Spustite Windows.
-
Zdieľanie obsahu databázy DBX so spoločnosťou Microsoft.
-
Otvorte prostredie PowerShell v režime správcu.
-
Zaznamenať databázu:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
Zaznamenajte databázu DBX:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
Zdieľajte súbory DBUpdateFw.bin a dbxUpdateFw.bin vygenerované v krokoch 8b a 8c.
-