Applies ToWindows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Pôvodný dátum publikovania: 13. augusta 2024

IDENTIFIKÁCIA DATABÁZY KB: 5042562

Podpora pre Windows 10 sa končí v októbri 2025

Po 14. októbri 2025 už spoločnosť Microsoft nebude poskytovať bezplatné aktualizácie softvéru zo služby Windows Update, technickú pomoc ani opravy zabezpečenia pre Windows 10. Váš počítač bude fungovať aj naďalej, odporúčame však prejsť na Windows 11.

Ďalšie informácie

Dôležitá poznámka o politike SkuSiPolicy.p7b

Politika SkuSiPolicy.p7b bola aktualizovaná. Aktualizovanú politiku by ste mali použiť tak, že nainštalujete najnovšiu aktualizáciu Windowsu vydanú v januári 2025 alebo po jej skončení. Pokyny na použitie aktualizovanej politiky nájdete v časti Nasadenie politiky zrušenia podpísanej spoločnosťou Microsoft (SkuSiPolicy.p7b ). 

V tomto článku

Zhrnutie

Spoločnosť Microsoft bola informovaná o zraniteľnosti vo Windowse, ktorá umožňuje útočníkovi s oprávneniami správcu nahradiť aktualizované systémové súbory systému Windows, ktoré majú staršie verzie, otvorenie dverí pre útočníka na opätovné zavedenie zraniteľností zabezpečenia na základe Virtualization (VBS).  Vrátenie týchto binárnych údajov môže umožniť útočníkovi obísť bezpečnostné prvky VBS a exfiltrovať údaje chránené VBS. Tento problém je popísaný v cve-2024-21302 | Windows Secure Kernel Mode elevation of Privilege Vulnerability.

Na vyriešenie tohto problému zrušíme zraniteľné systémové súbory VBS, ktoré sa neaktualizujú. Z dôvodu veľkého počtu súborov súvisiacich s VBS, ktoré musia byť zablokované, používame alternatívny prístup k zablokovaniu verzií súborov, ktoré sa neaktualizujú.

Rozsah vplyvu

Tento problém sa týka všetkých zariadení s Windowsom, ktoré podporujú VBS. Týka sa to lokálnych fyzických zariadení a virtuálnych počítačov. VBS je podporovaný v Windows 10 a novších verziách Windowsu a Windows Server 2016 a novšie Windows Server verzie.

Stav VBS je možné skontrolovať prostredníctvom nástroja Microsoft System Information Tool (Msinfo32.exe). Tento nástroj zhromažďuje informácie o vašom zariadení. Po spustení Msinfo32.exe sa posuňte nadol na riadok zabezpečenia založený na virtualizácii . Ak je hodnota tohto riadka spustená, funkcia VBS je povolená a spustená.

System Information dialog box with the "Virtualization-based security" row highlighted

Stav VBS možno skontrolovať aj pomocou Windows PowerShell pomocou triedy Win32_DeviceGuard WMI. Ak chcete dotazovať stav VBS z prostredia PowerShell, otvorte reláciu bez oprávnení Windows PowerShell a potom spustite nasledujúci príkaz:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Po spustení vyššie uvedeného príkazu prostredia PowerShell by stav VBS mal byť jeden z nasledujúcich stavov.

Názov poľa

Stav

VirtualizationBasedSecurityStatus

  • Ak sa pole rovná 0, funkcia VBS nie je povolená.

  • Ak sa pole rovná 1, funkcia VBS je povolená, ale nie je spustená.

  • Ak sa pole rovná 2, funkcia VBS je povolená a spustená.

Dostupné obmedzenia rizík

Pre všetky podporované verzie Windows 10, verziu 1507 a novšie verzie Windowsu a Windows Server 2016 a novšie Windows Server verzie môžu správcovia nasadiť politiku zrušenia podpísanú spoločnosťou Microsoft (SkuSiPolicy.p7b). Tým sa zablokujú zraniteľné verzie systémových súborov VBS, ktoré nie sú aktualizované, aby sa načítali operačným systémom.

Keď sa táto politika použije na zariadenie s Windowsom, politika sa uzamkne aj v zariadení pridaním premennej do firmvéru UEFI. Počas spúšťania sa načítava politika a Windows blokuje načítanie binárnych údajov, ktoré porušujú politiku. Ak sa použije zámok UEFI a politika sa odstráni alebo nahradí staršou verziou, správca spustenia systému Windows sa nespustí a zariadenie sa nespustí. Pri tomto zlyhaní spustenia sa nezobrazí chyba a systém prejde na ďalšiu dostupnú možnosť spustenia, ktorá môže mať za následok slučku spustenia.

Aby obmedzenie politiky fungovalo, politika sa musí aktualizovať pomocou aktualizácie údržby systému Windows, pretože súčasti systému Windows a politika musia pochádzať z rovnakého vydania. Ak sa obmedzenie rizík politiky skopíruje do zariadenia, zariadenie sa nemusí spustiť, ak sa použije nesprávna verzia zmiernenia alebo obmedzenie rizík nemusí fungovať podľa očakávaní. Okrem toho by sa na vaše zariadenie mali použiť obmedzenia rizík popísané v KB5025885 .

Vysvetlenie rizík zmierňovania rizík

Pred použitím politiky zrušenia podpísanej spoločnosťou Microsoft si musíte byť vedomí potenciálnych rizík. Pred použitím obmedzenia rizík skontrolujte tieto riziká a vykonajte všetky potrebné aktualizácie média na obnovenie.

  • Integrita kódu používateľského režimu (UMCI). Politika zrušenia podpísaná spoločnosťou Microsoft umožňuje integritu kódu používateľského režimu tak, aby sa pravidlá v politike použili v binárnych údajoch používateľského režimu. Služba UMCI tiež predvolene povoľuje dynamické zabezpečenie kódu . Vynucovanie týchto funkcií môže spôsobiť problémy s kompatibilitou s aplikáciami a skriptami a môže im zabrániť v spustení a mať vplyv na výkon v čase spustenia. Pred nasadením zmiernenia postupujte podľa pokynov na nasadenie politiky režimu auditu na testovanie potenciálnych problémov.

  • UEFI Zamknúť a odinštalovať aktualizácie. Po použití zámku UEFI s politikou zrušenia podpísanou spoločnosťou Microsoft v zariadení nie je možné zariadenie vrátiť (odinštalovaním aktualizácií Windowsu, pomocou bodu obnovenia alebo inými prostriedkami), ak budete pokračovať v používaní zabezpečeného spustenia. Dokonca aj preformátovanie disku neodstráni UEFI zámok zmiernenie, ak už bola použitá. To znamená, že ak sa pokúsite vrátiť operačný systém Windows do predchádzajúceho stavu, ktorý nemá použité obmedzenie, zariadenie sa nespustí, nezobrazí sa žiadne chybové hlásenie a rozhranie UEFI prejde na ďalšiu dostupnú možnosť spustenia. To môže mať za následok spustenie slučky. Ak chcete odstrániť zámok UEFI, musíte zakázať zabezpečené spustenie. Skôr než použijete zrušenia, ktoré sú uvedené v tomto článku v tomto článku, dôkladne otestujte všetky možné dôsledky a vykonajte dôkladné testovanie.

  • Externé spúšťacie médiá. Po použití zmiernení uzamknutia UEFI v zariadení je potrebné aktualizovať externé zavádzacie médiá najnovšou aktualizáciou systému Windows nainštalovanou v zariadení. Ak externé spúšťacie médium nie je aktualizované na rovnakú verziu aktualizácie Windowsu, zariadenie sa nemusí spustiť z daného média. Pred použitím zmierňovania rizík si pozrite pokyny v časti Aktualizácia externého zavádzacieho média .

  • Windows Recovery EnvironmentWindows Recovery Environment (WinRE) v zariadení musí byť aktualizovaný najnovšími aktualizáciami windowsu nainštalovanými v zariadení predtým, ako sa na zariadenie použije súbor SkuSipolicy.p7b. Vynechanie tohto kroku môže zabrániť systému WinRE v spustení funkcie Resetovať počítač.  Ďalšie informácie nájdete v téme Pridanie aktualizačného balíka do systému Windows RE.

  • Spustenie prostredia PXE pred spustením. Ak je obmedzenie rizík nasadené v zariadení a pokúsite sa použiť spustenie PXE, zariadenie sa nespustí, pokiaľ sa na obrázok spustenia servera PXE nepoužije ani najnovšia aktualizácia Windowsu. Neodporúčame nasadzovať obmedzenia rizík do zdrojov spúšťania siete, pokiaľ nebol server spúšťania PXE aktualizovaný na najnovšiu aktualizáciu Windowsu vydanú v januári 2025 alebo po januári 2025 vrátane správcu spúšťania PXE.  

Pokyny na nasadenie zmiernenia

Na riešenie problémov popísaných v tomto článku môžete nasadiť politiku zrušenia podpísanú spoločnosťou Microsoft (SkuSiPolicy.p7b). Toto obmedzenie rizík je podporované len v Windows 10 verzii 1507 a novších verziách Windowsu a Windows Server 2016. Pred nasadením politiky zrušenia podpísanej spoločnosťou Microsoft (SkuSiPolicy.p7b) by ste mali otestovať problémy s kompatibilitou pomocou politiky režimu auditu.

Poznámka Ak používate šifrovanie BitLocker, skontrolujte, či je kľúč na obnovenie šifrovania BitLocker zálohovaný. V príkazovom riadku správcu môžete spustiť nasledujúci príkaz a poznamenať si 48-miestne číselné heslo:

manage-bde -protectors -get %systemdrive%

Nasadenie politiky režimu auditu

Politika zrušenia podpísaná spoločnosťou Microsoft (SkuSiPolicy.p7b) vynucuje integritu kódu používateľského režimu (UMCI) a dynamické zabezpečenie kódu. Tieto funkcie môžu mať problémy s kompatibilitou so zákazníckymi aplikáciami. Pred nasadením zmiernenia by ste mali nasadiť politiku auditu, aby ste zistili problémy s kompatibilitou.

Máte dve možnosti politiky auditu:

  • Použite zadanú politiku auditu SiPolicy.p7b,

  • Alebo zostavte vlastný binárny súbor politiky auditu z poskytnutého súboru XML.

Ak ste už nenasadili existujúcu politiku riadenia aplikácií v programe Windows Defender (WDAC), odporúčame použiť poskytnutý binárny súbor politiky auditu SiPolicy.p7b. Zadaný binárny súbor politiky auditu nebude uzamknutý UEFI. Pred použitím politiky auditu nie je potrebné aktualizovať externé spúšťacie médiá a médiá na obnovenie.

Integrita kódu systému Windows vyhodnotí binárne údaje režimu používateľa a jadra v rozpore s pravidlami v politike auditu. Ak integrita kódu identifikuje aplikáciu alebo skript v rozpore s politikou, vygeneruje sa udalosť denníka udalostí systému Windows s informáciami o blokovanej aplikácii alebo skripte a informáciami o vynútenej politike. Tieto udalosti možno použiť na určenie, či sa vo vašom zariadení používajú nekompatibilné aplikácie alebo skripty. Ďalšie informácie nájdete v časti Denníky udalostí systému Windows .

Použitie politiky auditu SiPolicy.p7bPoužitie politiky auditu XML

Politika auditu SiPolicy.p7b je súčasťou najnovších aktualizácií Windowsu pre všetky podporované operačné systémy Windows. Táto politika auditu by sa mala uplatňovať iba na zariadenia inštaláciou najnovšej aktualizácie údržby a potom postupujte podľa týchto krokov:

  1. Spustite nasledujúce príkazy z výzvy na Windows PowerShell bez oprávnení:

    # Inicializovať umiestnenie politiky a cieľ

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Kopírovanie binárneho súboru politiky auditu

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Reštartujte zariadenie.

  3. Potvrďte, že politika sa načítala do Zobrazovač udalostí pomocou informácií v časti Udalosti aktivácie politiky.

  4. Testovanie pomocou aplikácií a skriptov počas používania politiky na identifikáciu problémov s kompatibilitou.

Ak chcete odinštalovať politiku auditu SiPolicy.p7b, postupujte takto:

  1. Spustite nasledujúce príkazy z výzvy na Windows PowerShell bez oprávnení:

    # Inicializovať umiestnenie politiky

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Odstrániť SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Reštartujte zariadenie.

  3. Potvrďte, že politika auditu nie je načítaná v Zobrazovač udalostí pomocou informácií v časti Udalosti aktivácie politiky.

Ak používate WDAC na správu aplikácií a ovládačov povolené spúšťať vo vašich zariadeniach, možno už používate politiku s názvom "SiPolicy.p7b". V prípade všetkých podporovaných operačných systémov Windows Windows 10, verzie 21H2 a novších verzií Windowsu a Windows Server 2022 a novších Windows Server môžete použiť poskytnutý súbor XML na vytvorenie a nasadenie politiky auditu pomocou viacerých formátov politiky WDAC. Pokyny na vytvorenie a nasadenie binárneho súboru politiky auditu nájdete v téme Nasadenie politík riadenia aplikácií programu Windows Defender (WDAC).

Súbor XML s pravidlami politiky auditu je k dispozícii v zariadeniach s nainštalovanou najnovšou aktualizáciou Windowsu. Súbor XML sa nachádza v časti %systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml.

Nasadenie politiky zrušenia podpísanej spoločnosťou Microsoft (SkuSiPolicy.p7b)

Politika zrušenia podpísaná spoločnosťou Microsoft je súčasťou najnovšej aktualizácie Windowsu. Táto politika by sa mala použiť len pre zariadenia inštaláciou najnovšej dostupnej aktualizácie Windowsu vydanej v januári 2025 alebo po jej skončení a potom postupujte podľa týchto krokov:

Poznámka Ak aktualizácie chýbajú, zariadenie nemusí začínať s použitým zmiernením alebo zmiernenie nemusí fungovať podľa očakávaní. Pred nasadením politiky nezabudnite aktualizovať zavádzacie médiá systému Windows najnovšou dostupnou aktualizáciou windowsu. Podrobnosti o aktualizácii zavádzacieho média nájdete v časti Aktualizácia externého zavádzacieho média .

  1. V Windows PowerShell výzve spustite nasledujúce príkazy:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = "C:\EFIMount"

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. Reštartujte zariadenie.

  3. Potvrďte, že politika sa načítala do Zobrazovač udalostí pomocou informácií v časti Denníky udalostí systému Windows.

Poznámky

  • Súbor zrušenia (politiky) SkuSiPolicy.p7b by ste po jeho nasadení nemali odstrániť. Ak sa súbor odstráni, zariadenie sa už možno nebude môcť spustiť.

  • Ak sa vaše zariadenie nespustí, pozrite si časť Postup obnovenia.

Aktualizácia externého zavádzacieho média

Ak chcete používať externé spúšťacie médiá so zariadením, ktoré používa politiku zrušenia podpísanú spoločnosťou Microsoft, externé spúšťacie médiá musia byť aktualizované najnovšou aktualizáciou systému Windows vrátane správcu spustenia. Ak médium neobsahuje najnovšiu aktualizáciu Windowsu, médium sa nespustí.

Dôležité Pred pokračovaním vám odporúčame vytvoriť jednotku obnovenia. Toto médium možno použiť na preinštalovanie zariadenia v prípade závažného problému.

Ak chcete aktualizovať externé spúšťacie médium, postupujte podľa týchto krokov:

  1. Prejdite do zariadenia, v ktorom boli nainštalované najnovšie aktualizácie Windowsu.

  2. Pripojte externé spúšťacie médium ako písmeno jednotky. Napríklad usb kľúč pripojte ako D:.

  3. Kliknite na tlačidlo Štart, do vyhľadávacieho poľa zadajte príkaz Vytvoriť jednotku na obnovenie a potom kliknite na položku Vytvoriť ovládací panel jednotky obnovenia. Postupujte podľa pokynov na vytvorenie jednotky na obnovenie pomocou pripojeného usb kľúča.

  4. Bezpečne odstráňte pripevnený usb kľúč.

Ak spravujete inštalovateľné médiá vo svojom prostredí pomocou inštalačného média aktualizácie Windowsu s pokynmi na dynamickú aktualizáciu , postupujte podľa týchto krokov:

  1. Prejdite do zariadenia, v ktorom boli nainštalované najnovšie aktualizácie Windowsu.

  2. Postupujte podľa krokov v téme Aktualizácia inštalačného média windowsu pomocou dynamickej aktualizácie a vytvorte médium s nainštalovanými najnovšími aktualizáciami Windowsu.

Denníky udalostí systému Windows

Windows zaznamenáva udalosti, keď sa načítajú politiky integrity kódu vrátane súboru SkuSiPolicy.p7b a keď je načítanie súboru zablokované z dôvodu vynútenia politiky. Pomocou týchto udalostí môžete overiť, či sa použilo obmedzenie rizík.

Denníky integrity kódu sú k dispozícii vo Windowse Zobrazovač udalostí v denníkoch aplikácií a služieb > denníkoch>CodeIntegrity systému Microsoft > Windows > denníky operačných aplikácií a služieb > > služby > microsoft > Windows > AppLocker > MSI a Script.

Ďalšie informácie o udalostiach integrity kódu nájdete v prevádzkovej príručke k ovládaciemu prvku aplikácie Windows Defender.

Udalosti aktivácie politiky

Udalosti aktivácie politík sú k dispozícii v Zobrazovač udalostí windowsu v denníkoch aplikácií a služieb > microsoft > Windows > CodeIntegrity > Prevádzkové.

Udalosť CodeIntegrity 3099 označuje, že politika sa načítala a obsahuje podrobnosti o načítanej politike. Informácie v udalosti zahŕňajú popisný názov politiky, globálne jedinečný identifikátor (GUID) a hodnotu hash politiky. Viaceré udalosti CodeIntegrity Event 3099 budú prítomné, ak v zariadení existuje viacero politík integrity kódu.

Keď sa použije zadaná politika auditu, vyskytne sa udalosť s nasledujúcimi informáciami:

  • PolicyNameBuffer – politika auditu zabezpečenia založená na systéme Microsoft Windows Virtualization

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Politika auditu zabezpečenia založená na microsoft virtualizácii

Keď sa použije politika zrušenia podpísaná spoločnosťou Microsoft (SkuSiPolicy.p7b), vyskytne sa udalosť s nasledujúcimi informáciami (pozri snímku obrazovky s udalosťou CodeIntegrity 3099 nižšie):

  • PolicyNameBuffer – politika SI systému Microsoft Windows SKU

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Politika microsoft Windows SKU SI

Ak ste použili politiku auditu alebo obmedzenie rizík pre vaše zariadenie a udalosť CodeIntegrity 3099 pre použitú politiku nie je prítomná, politika sa nevynucuje. Ak chcete overiť, či bola politika správne nainštalovaná, prečítajte si pokyny na nasadenie .

Auditovanie a blokovanie udalostí

Audit integrity kódu a udalosti blokovania sú k dispozícii v Zobrazovač udalostí systému Windows v denníkoch aplikácií a služieb > Denníky programu Microsoft > Windows > CodeIntegrity > denníky operačnýchaplikácií a služieb > > Microsoft > Windows > AppLocker > MSI a Script.

Predchádzajúce umiestnenie zapisovania do denníka obsahuje udalosti o kontrole spustiteľných súborov, dll a ovládačov. Toto umiestnenie zapisovania do denníka obsahuje udalosti o ovládaní inštalátorov MSI, skriptov a objektov COM.

CodeIntegrity Udalosť 3076 v denníku CodeIntegrity – Prevádzkové je udalosťou hlavného bloku pre politiky režimu auditu a naznačuje, že súbor by bol zablokovaný, ak by sa politika vynútila. Táto udalosť obsahuje informácie o zablokovaných súboroch a o vynútenej politike. V prípade súborov, ktoré by boli blokované zmiernením, sa informácie o politike v udalosti 3077 zhodujú s informáciami o politike politiky auditu z udalosti 3099.

CodeIntegrity Udalosť 3077 v denníku CodeIntegrity – Prevádzkové označuje, že spustiteľný súbor, .dll alebo ovládač bol zablokovaný v načítaní. Táto udalosť obsahuje informácie o zablokovaných súboroch a o vynútenej politike. V prípade súborov blokovaných zmiernením sa informácie o politike v udalosti CodeIntegrity 3077 zhodujú s informáciami o politike súboru SkuSiPolicy.p7b z udalosti CodeIntegrity 3099. Udalosť CodeIntegrity 3077 nebude prítomná, ak neexistujú žiadne spustiteľné súbory, .dll alebo ovládače v rozpore s politikou integrity kódu vo vašom zariadení.

Ďalšie informácie o audite integrity kódu a blokovaných udalostiach nájdete v téme Informácie o udalostiach ovládania aplikácie.

Postup odstránenia a obnovenia politiky

Ak sa po použití zmiernenia vyskytne problém, na odstránenie zmiernenia môžete použiť nasledujúce kroky:

  1. Pozastaví uzamknutie BitLocker, ak je povolené. Spustite nasledujúci príkaz z okna príkazového riadka bez oprávnení:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Vypnite zabezpečené spustenie z ponuky UEFI BIOS.Postup vypnutia zabezpečeného spustenia sa líši medzi výrobcami zariadení a modelmi. Ak potrebujete pomoc s umiestnením miesta na vypnutie zabezpečeného spustenia, prečítajte si dokumentáciu od výrobcu zariadenia. Ďalšie podrobnosti nájdete v téme Zakázanie zabezpečeného spustenia.

  3. Odstráňte politiku SkuSiPolicy.p7b.

    1. Windows spustite normálne a potom sa prihláste.Politiku SkuSiPolicy.p7b je potrebné odstrániť z nasledujúceho umiestnenia:

      • <systémová oblasť EFI>\Microsoft\Boot\SkuSiPolicy.p7b

    2. Spustite nasledujúci skript z relácie zvýšeného Windows PowerShell na vyčistenie politiky z týchto umiestnení:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = "C:\EFIMount"

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      if (Test-Path $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. Zapnite zabezpečené spustenie zo systému BIOS.Informácie o umiestnení miesta na zapnutie zabezpečeného spustenia nájdete v dokumentácii od výrobcu zariadenia.Ak ste v kroku 1 vypli zabezpečené spustenie a vaša jednotka je chránená šifrovaním BitLocker, pozastavte zabezpečenie šifrovaním BitLocker a potom zapnite zabezpečené spustenie z ponuky bios UEFI .

  5. Zapnite šifrovanie BitLocker. Spustite nasledujúci príkaz z okna príkazového riadka bez oprávnení:

    Manažér-bde -protektory -enable c:

  6. Reštartujte zariadenie.

Zmeniť dátum

Popis

14. januára 2025

  • Pridala sa dôležitá poznámka o politike SkuSiPolicy.p7b v hornej časti tohto článku.*

  • Odstránili sme poznámku (ktorá bola pridaná 12. novembra 2024) o politikách SkuSiPolicy.p7b a VbsSI_Audit.p7b pre Windows 10 verzie 1507, Windows 10 Enterprise 2016 a Windows Server 2016 z časti Dostupné obmedzenia rizík, ktoré už nie sú potrebné.

  • Ďalšie informácie sa pridali do poznámky v časti Nasadenie politiky zrušenia podpísanej spoločnosťou Microsoft (SkuSiPolicy.p7b). Pôvodný text bol Poznámka: Ak aktualizácie chýbajú, zariadenie nemusí začínať s použitým zmiernením alebo zmiernenie nemusí fungovať podľa očakávaní." * **

  • Odstránil sa druhý odsek časti Aktualizácia externého zavádzacieho média. Pôvodný text bol odstránený: Médiá spúšťania, ktoré sa aktualizujú politikou zrušenia podpísanou spoločnosťou Microsoft, sa musia používať len na spúšťanie zariadení, ktoré už majú použité obmedzenie rizík.  Ak sa používa so zariadeniami bez zmiernenia rizík, pri spustení z médií spúšťania sa použije zámok UEFI. Nasledujúce spustenia z disku zlyhajú, pokiaľ zariadenie nie je aktualizované zmiernením alebo sa neodstráni zámok UEFI." * **

  • Odstránil sa krok "S novo vytvorené médiá pripojené, skopírujte súbor SkuSiPolicy.p7b do<MediaRoot>\EFI\Microsoft\Boot (napríklad D:\EFI\Microsoft\Boot)" v postupe "kroky na aktualizáciu externého zavádzacieho média" v časti Aktualizácia externého zavádzacieho média, pretože tento krok už nie je potrebný.*

  • Kroky 3 až 5 sme odstránili v postupe "Aktualizácia inštalačného média systému Windows pomocou sprievodného materiálu dynamickej aktualizácie" v časti Aktualizácia externého zavádzacieho média, pretože kroky už nie sú potrebné.*

    • 3. Umiestnite obsah média na USB kľúč a pripojte usb kľúč ako písmeno jednotky. Napríklad usb kľúč pripojte ako D:.

    • 4. Skopírujte súbor SkuSiPolicy.p7b do <MediaRoot>\EFI\Microsoft\Boot (napríklad D:\EFI\Microsoft\Boot).

    • 5. Pripojte usb kľúč bezpečne.

  • Aktualizoval sa prvý odsek témy Externé médiá spustenia v časti Vysvetlenie rizík rizík. Pôvodný text bol "Po použití zmiernení uzamknutia UEFI v zariadení je potrebné aktualizovať externé zavádzacie médiá najnovšími aktualizáciami systému Windows nainštalovanými v zariadení a politikou zrušenia podpísanou spoločnosťou Microsoft (SkuSiPolicy.p7b). Ak sa externé spúšťacie médium neaktualizuje, zariadenie sa nemusí spustiť z daného média. Pred použitím zmierňovania rizík si pozrite pokyny v časti Aktualizácia externého zavádzacieho média.*

  • Odstránil sa druhý odsek témy Externé médiá spustenia v časti Vysvetlenie rizík rizík. Pôvodný text bol "Boot media which is updated with the Microsoft-signed revocation policy, must be used to boot devices that have the mitigation already applied.  Ak sa používa so zariadeniami bez zmiernenia rizík, pri spustení z médií spúšťania sa použije zámok UEFI. Nasledujúce spustenia z disku zlyhajú, pokiaľ zariadenie nie je aktualizované zmiernením alebo sa neodstráni zámok UEFI." * **

  • Aktualizovala sa téma Spustenie prostredia pred spustením (PXE) v časti Vysvetlenie rizík zmierňovania. Pôvodný text bol "Ak je zmiernenie nasadené v zariadení a pokúsite sa použiť spustenie PXE, zariadenie sa nespustí, ak zmiernenie sú tiež použité na sieti boot zdrojov (koreň, kde bootmgfw.efi je prítomný). Ak sa zariadenie spustí zo zdroja sieťového spustenia s použitým zmiernením, uzamknutie UEFI sa použije na zariadenie a ovplyvní následné spustenie. Neodporúčame nasadzovať obmedzenia rizík do zdrojov spúšťania siete, pokiaľ všetky zariadenia vo vašom prostredí nemajú nasadené obmedzenia rizík. "*

12. novembra 2024

  • V časti Dostupné obmedzenia rizík bola v rámci aktualizácií Windowsu vydaných 8. októbra 2024 a po 8. októbri 2024 pridaná podpora pre politiky SkuSiPolicy.p7b a VbsSI_Audit.p7b pre Windows 10, verziu 1507, Windows 10 Enterprise 2016 a Windows Server 2016.

  • Aktualizované dátumy vydania Windowsu od 13. augusta 2024 do 12. novembra 2024 v celom texte.
Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkciíKomunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365