Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Zmeniť dátum

Zmeniť popis

20. marca 2024

  • Pridala sa časť Výsledky a pripomienky

21. marca 2024

  • Aktualizovaný krok 4 v časti Krok 2: Inštalácia správcu spúšťania podpísaného PCA2023

22. marca 2024

  • Aktualizácia kontaktných informácií e-mailu v časti Výsledky a pripomienky

  • Pridala sa časť Povolenie voliteľných diagnostických údajov

Úvod

Tento článok je doplnkom k nasledujúcemu článku, ktorý bude aktualizovaný v apríli 2024:

  • KB5025885: Ako spravovať zrušenia správcu spustenia systému Windows pre zmeny zabezpečeného spustenia súvisiace s CVE-2023-24932

Tento dodatok popisuje aktualizovaný postup krok za krokom na nasadenie nových zmiernení proti súprave blacklotus UEFI boot-kit sledovanej CVE-2023-24932 a obsahuje testovacie pokyny pre vaše prostredie.

Na ochranu pred škodlivým zneužitím zraniteľných správcov spúšťania musíme na firmvér zariadenia nasadiť nový podpisový certifikát zabezpečeného spustenia rozhrania UEFI a zrušiť dôveryhodnosť firmvéru aktuálneho podpisového certifikátu. To spôsobí, že všetci existujúci, zraniteľní správcovia spúšťania budú nedôveryhodní zariadeniami s povoleným zabezpečeným spustením. Táto príručka vám pomôže s týmto procesom.

Tri kroky na obmedzenie rizík uvedené v tejto príručke sú nasledovné:

  1. Aktualizuje sa databáza: Do databázy zabezpečeného spustenia sa pridá nový certifikát PCA (PCA2023), ktorý umožní zariadeniu spúšťať médiá podpísané týmto certifikátom.

  2. Inštalácia správcu spúšťania: Existujúci správca spúšťania podpísaný PCA2011 sa nahradí správcom spúšťania podpísaným PCA2023.Obaja správcovia spustenia sú zahrnutí v aktualizáciách zabezpečenia z apríla 2024.

  3. Zrušenie PCA2011 DBX: Do databázy DBX zabezpečeného spustenia sa pridá zamietnutá položka, ktorá zabráni správcom spúšťania podpísaným s PCA2011 v spúšťaní.

Poznámka Softvér Servicing Stack, ktorý používa tieto tri obmedzenia rizík, neumožní, aby sa zmiernenia použili mimo poradia.

Vzťahuje sa to na mňa?

Táto príručka sa vzťahuje na všetky zariadenia so zapnutým zabezpečeným spustením a všetky existujúce médiá na obnovenie pre tieto zariadenia.

Ak máte v zariadení Windows Server 2012 alebo Windows Server 2012 R2, pred pokračovaním si prečítajte časť Známe problémy.

Skôr ako začnete

Povoliť voliteľné diagnostické údaje

Zapnite nastavenie Odoslať voliteľné diagnostické údaje vykonaním týchto krokov:

  1. V Windows 11 prejdite & pripomienky v časti Nastavenie > Štart> nastavenia ochrany osobných údajov & zabezpečenia> diagnostiky.

  2. Zapnite možnosť Odoslať voliteľné diagnostické údaje.

    Diagnostické & pripomienky

Ďalšie informácie nájdete v téme Diagnostika, pripomienky a ochrana osobných údajov vo Windowse

POZNÁMKA Uistite sa, že máte internetové pripojenie počas overenia a na nejaký čas po overení.

Vykonanie skúšobného testu

Po inštalácii aktualizácií windowsu z apríla 2024 a pred vykonaním krokov na prihlásenie sa nezabudnite vykonať testovací postup na overenie integrity systému:

  1. VPN: Overte funkčnosť prístupu siete VPN k podnikových zdrojom a sieti.

  2. Windows Hello: Prihláste sa do zariadenia s Windowsom pomocou bežného postupu (tvár,odtlačok prsta/PIN kód).

  3. Šifrovanie bitlocker: Systém sa zvyčajne spúšťa v systémoch s podporou zabezpečenia BitLocker bez výzvy na obnovenie šifrovania BitLocker počas spúšťania.

  4. Atestácia stavu zariadenia: Overte, či zariadenia, ktoré sa spoliehajú na atestáciu stavu zariadenia, správne osvedčili svoj stav.

Známe problémy

Len pre Windows Server 2012 a Windows Sever 2012 R2:

  • Systémy založené na modulu TPM 2.0 nemôžu nasadiť obmedzenia rizík vydané v bezpečnostnej oprave z apríla 2024 z dôvodu známych problémov s kompatibilitou s meraniami modulu TPM. Aktualizácie z apríla 2024 budú blokovať obmedzenia rizík č. 2 (správca spúšťania) a #3 (aktualizácia DBX) v dotknutých systémoch.

  • Spoločnosť Microsoft o probléme vie a v budúcnosti bude vydaná aktualizácia na odblokovanie systémov založených na module TPM 2.0.

  • Ak chcete skontrolovať verziu modulu TPM, kliknite pravým tlačidlom myši na tlačidlo Štart, kliknite na položku Spustiť a potom zadajte tpm.msc. V pravom dolnom rohu strednej tably v časti Informácie o výrobcovi modulu TPM by sa mala zobraziť hodnota pre verziu špecifikácie.

Kroky na overenie prihlásenia

Zvyšok tohto článku sa zaoberá testovaním zariadení s explicitným súhlasom na zmiernenie rizík. Obmedzenia rizík nie sú predvolene povolené. Ak váš podnik plánuje povoliť tieto obmedzenia rizík, overte kompatibilitu zariadenia vykonaním nasledujúcich krokov overenia.

  1. Nasadenie predbežnej aktualizácie zabezpečenia z apríla 2024.

  2. Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry na vykonanie aktualizácie databázy zadaním nasledujúceho príkazu a následným stlačením klávesu Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Reštartujte zariadenie dvakrát.

  4. Overte, či sa databáza úspešne aktualizovala, a uistite sa, že nasledujúci príkaz vráti hodnotu True. Ako správca spustite nasledujúci príkaz prostredia PowerShell:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry na stiahnutie a inštaláciu PCA2023 podpísaného správcu spúšťania:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Reštartujte zariadenie dvakrát.

  3. Ako správca, pripojiť EFI oddiel, aby ste ho pripravili na kontrolu:

    mountvol s: /s

  4. Overte, či je súbor s:\efi\microsoft\boot\bootmgfw.efi podpísaný PCA2023. Ak to chcete urobiť, postupujte podľa týchto krokov:

    1. Kliknite na tlačidlo Štart, do vyhľadávacieho poľa zadajte príkazový riadok a potom kliknite na príkazový riadok.

    2. V okne príkazového riadka zadajte nasledujúci príkaz a potom stlačte kláves Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. V Správcovi súborov kliknite pravým tlačidlom myši na súbor C:\bootmgfw_2023.efi, kliknite na položku Vlastnosti a potom vyberte kartu Digitálne podpisy.

    4. V zozname podpisov potvrďte, že certifikačný reťazec obsahuje Windows UEFI 2023 CA.

UPOZORNENIE: Tento krok nasadzuje zrušenie DBX nedôveryhodným starým zraniteľným správcom spúšťania podpísaným pomocou PCA2011 Windows Production. Zariadenia s týmto zrušením sa už nebudú spúšťať z existujúcich médií na obnovenie a serverov spúšťania siete (PXE/HTTP), ktoré nemajú aktualizované súčasti správcu spúšťania.

Ak sa vaše zariadenie dostane do stavu, ktorý nie je možné spustiť, postupujte podľa krokov v časti Postupy obnovenia a obnovenia a obnovte zariadenie do stavu predbežného zrušenia.

Ak chcete po použití databázy DBX vrátiť zariadenie do predchádzajúceho stavu zabezpečeného spustenia, postupujte podľa časti Postupy obnovenia a obnovenia.

Použite obmedzenie rizík DBX na nedôveru certifikátu PCA2011 Windows Production v zabezpečenom spúšťaní:

  1. Otvorte príkazový riadok správcu a nastavte kľúč databázy Registry tak, aby sa zrušenie PCA2011 v jazyku DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Reštartujte zariadenie dvakrát a potvrďte, že sa úplne reštartuje.

  3. Overte, či bolo zmiernenie rizík DBX úspešne použité. Ak to chcete urobiť, spustite nasledujúci príkaz prostredia PowerShell ako správca a uistite sa, že príkaz vráti hodnotu True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Alebo hľadajte v Zobrazovač udalostí nasledujúcu udalosť:

    Denník udalostí

    Systém

    Zdroj udalosti

    Modul TPM -WMI

    Identifikačné číslo udalosti

    1037

    Úroveň

    Informácie

    Text správy udalosti

    Aktualizácia Secure Boot Dbx na zrušenie programu Microsoft Windows Production PCA 2011 sa úspešne použila

  4. Vykonajte položky úspešného testu zo sekcie Skôr než začnete a uistite sa, že všetky systémy sa správajú normálne.

Odkaz na kľúč databázy Registry

Krok 1 prihlásenia na overenieKrok 2 prihlásenia na overenieKrok 3 prihlásenia na overenie

Príkaz

Účel

Komentáre 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Nainštaluje aktualizáciu databázy a povolí správcu spúšťania podpísaný PCA2023

Príkaz

Účel

Komentáre 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Nainštaluje bootmgr podpísaný PCA2023

Hodnota bola poctený až po dokončení kroku 0x40

Príkaz

Účel

Komentáre 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Nainštaluje aktualizáciu DBX, ktorá zruší PCA2011

Hodnota bola poctený až po dokončení oboch 0x40 & 0x100 krokov

Výsledky a pripomienky

Odošlite e-mail suvp@microsoft.com s výsledkami testovania, otázkami a pripomienkami.

Postupy obnovenia a obnovenia

Pri vykonávaní postupov obnovenia zdieľajte so spoločnosťou Microsoft tieto údaje:

  • Snímka obrazovky s pozorovaným zlyhaním spustenia.

  • Vykonané kroky, ktoré viedli k tomu, že zariadenie sa stalo nesynchniteľným.

  • Podrobnosti o konfigurácii zariadenia.

Pri vykonávaní procedúry obnovenia odstavte uzamknutie BitLocker ešte pred spustením procedúry.

Ak sa počas tohto procesu vyskytne chyba a nie je možné spustiť zariadenie alebo potrebujete spustiť externé médiá (napríklad usb kľúč alebo spúšťanie PXE), vyskúšajte nasledujúce postupy.

  1. Vypnutie zabezpečeného spustenia

    Tento postup sa líši medzi výrobcami počítačov a modelmi. Zadajte ponuku UEFI BIOS pc, prejdite na nastavenie zabezpečeného spustenia a vypnite ho. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu počítača. Ďalšie informácie nájdete v téme Vypnutie zabezpečeného spustenia.

  2. Vymazať kľúče zabezpečeného spustenia

    Ak zariadenie podporuje vymazanie kľúčov zabezpečeného spustenia alebo resetovanie kľúčov zabezpečeného spustenia na predvolené hodnoty vo výrobných nastaveniach, vykonajte túto akciu teraz.  

    Vaše zariadenie by malo začať teraz, ale majte na pamäti, že je citlivé na boot-kits malware. Uistite sa, že ste dokončili krok 5 na konci tohto procesu obnovenia, aby ste znova povolili zabezpečené spustenie.

  3. Skúste spustiť Systém Windows zo systémového disku.

    1. Ak je funkcia BitLocker povolená a prejde na obnovenie, zadajte kľúč na obnovenie pre šifrovanie BitLocker.

    2. Prihláste sa do Windowsu.

    3. Spustite nasledujúce príkazy z príkazového riadka správcu a obnovte súbory spúšťania v oblasti spúšťania systému EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Spustenie služby BCDBoot by malo vrátiť hlásenie Súbory spúšťania sa úspešne vytvorili.

    5. Ak je funkcia BitLocker povolená, odstavte uzamknutie BitLocker.

    6. Reštartujte zariadenie.

  4. Ak krok 3 úspešne neobnoví zariadenie, znova nainštalujte Windows.

    1. Začnite z existujúceho média na obnovenie.

    2. Pokračujte v inštalácii Windowsu pomocou média na obnovenie.

    3. Prihláste sa do Windowsu.

    4. Reštartujte a overte, či sa zariadenie úspešne spustí s Windowsom.

  5. Znova zapnite zabezpečené spustenie a reštartujte zariadenie.

    Zadajte svoju ponuku devicce UEFI a prejdite na nastavenie zabezpečeného spustenia a zapnite ju. Podrobnosti o tomto procese nájdete v dokumentácii od výrobcu zariadenia. Ďalšie informácie nájdete v téme Opätovné povolenie zabezpečeného spustenia.

  6. Ak spustenie systému Windows naďalej zlyháva, znova zadajte systém BIOS UEFI a vypnite zabezpečené spustenie.

  7. Spustite Windows.

  8. Zdieľanie obsahu databázy DBX so spoločnosťou Microsoft.

    1. Otvorte prostredie PowerShell v režime správcu.

    2. Zaznamenať databázu:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Zaznamenajte databázu DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Zdieľajte súbory DBUpdateFw.bin a dbxUpdateFw.bin vygenerované v krokoch 8b a 8c.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×