Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

POMEMBNO Varnostno posodobitev sistema Windows, izdano 9. aprila 2024 ali po tem, uporabite kot del rednega mesečnega postopka posodabljanja.

Ta članek velja za tiste organizacije, ki bi morali začeti ocenjevanje mitigations za javno razkriti Secure Boot bypass, ki ga uporablja Bootkit BlackLotus UEFI. Poleg tega boste morda želeli izvesti proaktivno varnostno stališče ali pa se začeti pripravljati na uvačbo. Upoštevajte, da ta zlonamerna programska oprema zahteva fizični ali skrbniški dostop do naprave.

PREVIDNOST Ko je v napravi omogočena ublažitev te težave, kar pomeni, da so bile ublažitve posledic uporabljene, je ni mogoče povrniti, če v tej napravi še naprej uporabljate varni zagon. Tudi formatiranje diska ne bo odstranilo preklicev, če so bile že uporabljene. Preden v svoji napravi uporabite preklice, ki so opisani v tem članku, bodite pozorni na vse morebitne posledice in jih temeljito preskusite.

V tem članku

Povzetek

V tem članku je opisana zaščita pred javno razkritim obhodom varnostne funkcije varnega zagona, ki uporablja bootkit BlackLotus UEFI, ki jim sledi CVE-2023-24932, kako omogočiti ublažitev posledic in navodila za zagonski medij. Zagonski komplet je zlonameren program, ki je zasnovan tako, da se čim prej naloži v zaporedju zagona naprav za nadzor zagona operacijskega sistema.

Microsoft priporoča varni zagon, da ustvari varno in zaupanja vredno pot iz poenotenega programskega vmesnika EFI prek zaporedja zaupanja vrednih zagonov jedra sistema Windows. Varni zagon pomaga preprečiti zlonamerno programsko opremo za zagon v zaporedju zagona. Če onemogočite varni zagon, lahko napravo okuži zlonamerna programska oprema za bootkit. Če želite popraviti obhod varnega zagona, ki je opisan v CVE-2023-24932, morate opisati upravitelje zagona. To lahko povzroči težave pri nekaterih konfiguracijah zagona naprave.

Ublažitev posledic obhoda varnega zagona, podrobno opisana v CVE-2023-24932 , je vključena v varnostne posodobitve sistema Windows, ki so bile izdane 9. aprila 2024 ali po tem. Vendar pa te ublažitve posledic privzeto niso omogočene. S temi posodobitvami priporočamo, da začnete ocenjujeti te spremembe v svojem okolju. Celoten urnik je opisan v razdelku Časovna usklajenost posodobitev.

Preden omogočite te ublažitve posledic, morate temeljito pregledati podrobnosti v tem članku in ugotoviti, ali morate omogočiti ublažitev posledic ali počakati na microsoftovo prihodnjo posodobitev. Če omogočite ublažitev posledic, morate preveriti, ali so vaše naprave posodobljene in pripravljene, ter razumeti tveganja, opisana v tem članku. 

Ukrepajte 

Za to izdajo je treba upoštevati te korake:

1. korak: Namestite varnostno posodobitev sistema Windows, izdano 9. aprila 2024 ali po tem, v vse podprte različice.

2. korak: Ocenite spremembe in kako vplivajo na vaše okolje.

3. korak: Uveljavite spremembe.

Obseg učinka

Na vse naprave s sistemom Windows, v katerih je omogočena zaščita varnega zagona, vpliva komplet zagonov BlackLotus. Ublažitve posledic so na voljo za podprte različice sistema Windows. Za celoten seznam glejte CVE-2023-24932.

Razumevanje tveganj

Tveganje za zlonamerno programsko opremo: Za zagonski komplet BlackLotus UEFI, opisan v tem članku, je mogoče, napadalec mora pridobiti skrbniške pravice v napravi ali pridobiti fizični dostop do naprave. To lahko naredite tako, da fizično ali oddaljeno dostopate do naprave, na primer s hipervizorjem za dostop do navideznih/oblakov. Napadalec bo to ranljivost pogosto uporabil za to, da bo še naprej nadzoroval napravo, do katere lahko že dostopajo in lahko z njo že dostopajo. Mitigations v tem članku so preventivni in ne korektivni. Če je vaša naprava že ogrožena, se za pomoč obrnite na svojega ponudnika varnosti.

Obnovitveni medij: Če naletite na težavo z napravo po uporabi ublažitve posledic in naprava postane neugasljiva, naprave morda ne boste mogli zagnati ali obnoviti iz obstoječega medija. Obnovitveni ali namestitveni medij boste morali posodobiti, da bo deloval z napravo, v kateri so bile uporabljene ublažitve posledic.

Težave z vdelano programsko opremo: Ko Windows uporabi ublažitve posledic, opisane v tem članku, mora za posodobitev vrednosti varnega zagona (posodobitve veljajo za ključ zbirke podatkov (DB) in prepovedani ključ za podpis (DBX) uporabiti vdelano programsko opremo vmesnika UEFI naprave. V nekaterih primerih imamo izkušnje z napravami, ki ne uspejo posodobitve. Z izdelovalci naprav se trudimo, da bi te ključne posodobitve preskusili v čim več napravah.

OPOMBA Najprej preskusite te ublažitve posledic v eni napravi na razred naprave v okolju, da zaznate morebitne težave z vdelano programsko opremo. Ne uvedi širšega razreda, preden potrdite, da so bili ocenjeni vsi razredi naprav v vašem okolju.

Obnovitev storitve BitLocker: Nekatere naprave bodo morda preštete v obnovitev funkcije BitLocker. Preden omogočite ublažitev posledic, ne pozabite ohraniti kopije obnovitvenega ključa za BitLocker .

Znane težave

Težave z vdelano programsko opremo:Vsa vdelana programska oprema naprave ne bo uspešno posodobila zbirke podatkov za varni zagon ali DBX. V primerih, za katere smo seznanjeni, smo težavo prijavili izdelovalcu naprave. Glejte KB5016061: Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX za podrobnosti o zabeleženih dogodkih. Za posodobitve vdelane programske opreme se obrnite na proizvajalca naprave. Če naprava ni podprta, Microsoft priporoča nadgradnjo naprave.

Znane težave z vdelano programsko opremo:

OPOMBA Te znane težave ne vplivajo na in ne bodo preprečevale namestitve posodobitev z dne 9. aprila 2024. V večini primerov ublažitve posledic ne bodo veljale tam, kjer obstajajo znane težave. Oglejte si podrobnosti o vsaki znani težavi.

  • HP: Hp je zaznal težavo z namestitvijo ublažitve posledic v računalnikih z delovnimi postajami HP Z4G4 in izdal posodobljeno vdelano programsko opremo vmesnika UEFI (BIOS) Z4G4 v prihodnjih tednih. Če želite zagotoviti uspešno namestitev ublažitve posledic, bo ta v namiznih delovnih postajah blokirana, dokler ne bo na voljo posodobitev. Stranke morajo pred uporabo ublažitve vedno posodobiti najnovejši BIOS sistema.

  • Naprave HP s sistemom Sure Start Security: Te naprave za namestitev ublažitev posledic potrebujejo najnovejše posodobitve vdelane programske opreme hp. Ublažitve posledic so blokirane, dokler ni vdelana programska oprema posodobljena. Namestite najnovejšo posodobitev vdelane programske opreme s strani podpore za HPs – Uradni prenos gonilnikov in programske opreme HP | Podpora za HP.

  • Naprave Arm64: Ublažitev posledic je blokirana zaradi znanih težav z vdelano programsko opremo vmesnika UEFI z napravami, ki uporabljajo Qualcomm. Microsoft sodeluje s qualcommom in odpravlja to težavo. Qualcomm zagotovi popravek proizvajalcem naprav. Obrnite se na izdelovalca naprave, da ugotovite, ali je na voljo popravek za to težavo. Microsoft bo dodal zaznavanje, ki bo omogočilo ublažitev posledic, ki bodo uporabljene v napravah, ko bo zaznana nespremenljiva vdelana programska oprema. Če vaša naprava Arm64 nima vdelane programske opreme Qualcomm, konfigurirajte ta registrski ključ, da omogočite ublažitev posledic.

    Registrski podključ

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Ime vrednosti ključa

    SkipDeviceCheck

    Podatkovni tip

    REG_DWORD

    Podatki

    1

  • Apple:Računalniki Mac, ki imajo varnostni čip Apple T2, podpirajo varni zagon. Vendar pa je posodabljanje varnostnih spremenljivk, povezanih z vmesnikom UEFI, na voljo le kot del posodobitev sistema macOS. Uporabniki zagonskega kampa naj bi videli vnos v dnevnik dogodkov z ID-jem dogodka 1795 v sistemu Windows, ki je povezan s temi spremenljivkami. Če želite več informacij o tem vnosu v dnevnik, glejte KB5016061: Dogodki posodobitve spremenljivk DB in DBX varnega zagona.

  • Vmware:naprej VMware- osnova virtualization okolje, a VM using x86- osnova predelovalec s varen škorenj omogočen, will ne zadostvati v škorenj čez uporaba mitigations. Microsoft se usklajuje s storitvijo VMware za odpravljanje te težave.

  • Sistemi, ki uporabljajo modul zaupanja TPM 2.0:  Ti sistemi, ki uporabljajo Windows Server 2012 in Windows Server 2012 R2, zaradi znanih težav z združljivostjo z meritvami modula zaupanja TPM ne morejo uvesti ublažitev posledic, izdanih z varnostno posodobitvijo z dne 9. aprila 2024. Varnostne posodobitve z dne 9. aprila 2024 blokirajo ublažitev posledic #2 (upravitelj zagona) in #3 (posodobitev DBX) v prizadetih sistemih.

    Microsoft je seznanjen s težavo in v prihodnje bo izdana posodobitev za deblokiranje sistemov, ki temeljijo na modulu zaupanja TPM 2.0.

    Če želite preveriti različico modula zaupanja TPM, z desno tipko miške kliknite Začetek, kliknite Zaženi in nato vnesite tpm.msc. V spodnjem desnem kotu sredinskega podokna pod možnostjo Informacije o izdelovalcu modula zaupanja TPM bi morala biti prikazana vrednost za Različica specifikacije.

  • Šifriranje končne točke Symantec: Ublažitev posledic varnega zagona ni mogoče uporabiti v sistemih, ki imajo nameščeno šifriranje končne točke Symantec. Microsoft in Symantec sta seznanjena s težavo in se bosta obravnavala v prihodnji posodobitvi.

Navodila za to izdajo

Za to izdajo upoštevajte ta dva koraka.

1. korak: Namestite varnostno posodobitev sistema Windows

Namestite mesečno varnostno posodobitev sistema Windows, izdano 9. aprila 2024 ali po tem, v podprtih napravah s sistemom Windows. Te posodobitve vključujejo ublažitev posledic za CVE-2023-24932, vendar privzeto niso omogočene. Ta korak morajo dokončati vse naprave s sistemom Windows, ne glede na to, ali nameravate uvesti ublažitve posledic.

2. korak: Ocenite spremembe

Priporočamo, da naredite to:

  • Seznanite se s prvima dvema ublažitvijo posledic, ki omogočata posodobitev zbirke podatkov za varni zagon in posodabljanje upravitelja zagona.

  • Preglejte posodobljen urnik.

  • Začnite preskušati prvi dve ublažitvi posledic za reprezentativne naprave iz vašega okolja.

  • Začnite načrtovati fazo uvajanja 9. julija 2024.

3. korak: Uveljavite spremembe

Priporočamo, da razumete tveganja, označena v razdelku Razumevanje tveganja.

  • Seznanite se z vplivom na obnovitev in drugim zagonskimi mediji.

  • Začnite preskušati tretjo ublažitev, ki ne zaupa podpisovanju potrdila, uporabljenega za vse prejšnje upravitelje zagona sistema Windows.

Smernice za uvajanje ublažitve posledic

Preden sledite tem korakom za uporabo ublažitev posledic, namestite mesečno posodobitev servisiranja sistema Windows, izdano 9. aprila 2024, ali po tem, v podprtih napravah s sistemom Windows. Ta posodobitev vključuje ublažitev posledic za CVE-2023-24932, vendar privzeto niso omogočena. Ta korak morajo za ublažitev posledic dokončati vse naprave s sistemom Windows, ne glede na vaš načrt.

OPOMBA Če uporabljate BitLocker, preverite, ali je bil obnovitveni ključ za BitLocker varnostno kopiran. V ukaznem pozivu skrbnika lahko zaženete ta ukaz in zabeležite 48-mestno številsko geslo:

manage-bde -protectors -get %systemdrive%

Če želite uvesti posodobitev in uveljaviti preklice, upoštevajte ta navodila:

  1. Namestite posodobljene definicije potrdil v DB.

    V tem koraku boste potrdilo »Windows UEFI CA 2023« dodali v »zbirko podatkov za podpis varnega zagona« vmesnika UEFI (DB). Če to potrdilo dodate v DB, vdelana programska oprema naprave zaupa zagonskih aplikacijam, ki jih je podpisalo to potrdilo.

    1. Odprite ukazni poziv skrbnika in nastavite registrski ključ tako, da izvede posodobitev na DB tako, da vnesete ta ukaz:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      POMEMBNO Preden nadaljujete z 2. in 3. korakom, dvakrat znova zaženite napravo, da dokončate namestitev posodobitve.

    2. Zaženite ta ukaz PowerShell kot skrbnik in preverite, ali je bila DB uspešno posodobljena. Ta ukaz mora vrniti vrednost True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Posodobite upravitelja zagona v svoji napravi.

    V tem koraku boste v napravo namestili aplikacijo upravitelja zagona, ki je podpisana s potrdilom »Windows UEFI CA 2023«.

    1. Odprite ukazni poziv skrbnika in nastavite registrski ključ, da namestite upravitelja zagona s podpisom »Windows UEFI CA 2023«:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Dvakrat znova zaženite napravo.

    3. Kot skrbnik namestite particijo EFI, da jo pripravite za pregled:

      mountvol s: /s

    4. Preverite, ali je datoteka »s:\efi\microsoft\boot\bootmgfw.efi« podpisana s potrdilom »Windows UEFI CA 2023«. To naredite tako:

      1. Kliknite Start, vtipkajte ukaznipoziv Iskanje polje in nato kliknite Ukazni poziv.

      2. V okno ukaznega poziva vnesite ta ukaz in pritisnite Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. V upravitelju datotek z desno tipko miške kliknite datoteko C:\bootmgfw_2023.efi, kliknite Lastnosti in nato izberite zavihek Digitalni podpisi.

      4. Na seznamu Podpis potrdite, da veriga potrdil vključuje Windows UEFI CA 2023. Veriga potrdil se mora ujemati s tem posnetkom zaslona:

        Potrdila

  3. Omogoči preklic.

    Seznam prepovedanih naslovov UEFI (DBX) se uporablja za blokiranje, da se moduli UEFI, ki niso vreden zaupanja, ne nana ajo na nalaganje. V tem koraku boste s posodobitvijo DBX v DBX dodali potrdilo »Windows Production CA 2011«. Zaradi tega ne bodo več zaupanja vredni vsi upravitelji zagona, ki jih je podpisalo to potrdilo.

    OPOZORILO: Pred uporabo tretje ublažitve posledic ustvarite obnovitveni pomnilniški ključek, ki ga lahko uporabite za zagon sistema. Če želite več informacij o tem, kako to naredite, glejte razdelek Posodabljanje namestitvenega medija za Windows.

    Če se vaš sistem vrne v stanje, ki ga ni mogoče zagnati, sledite korakom v razdelku Postopek obnovitve, da ponastavite napravo na stanje pred preklicem naročnine.

    1. Dodajte potrdilo »Windows Production PCA 2011« na seznam prepovedanih naslovov UEFI za varni zagon (DBX). To naredite tako, da odprete okno ukaznega poziva kot skrbnik, vnesete ta ukaz in pritisnete Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Dvakrat znova zaženite napravo in preverite , ali se je v celoti znova zagnala.

    3. Preverite, ali sta bila namestitev in seznam ukinjenih naslovov uspešno uporabljena, tako da v dnevniku dogodkov poiščite dogodek 1037.

      Če želite informacije o dogodku 1037, glejte KB5016061: dogodki posodobitve spremenljivih posodobitev DB za varni zagon in DBX. Lahko pa kot skrbnik zaženete ta ukaz PowerShell in se prepričate, da vrne vrednost »True«:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Zagonski medij

Ko se faza uvajanja začne v vašem okolju, je pomembno posodobiti zagonski medij. Navodila in orodja za posodobitev predstavnosti bodo na voljo v času faze uvajanja. Faza uvajanja bo začela 9. julija 2024.

Primeri zagonskega medija in obnovitvenega medija, na katere je vplivala ta težava:

  • Zagonski medij, ustvarjen z ustvarjanjem obnovitvenega pogona.

  • Varnostne kopije sistema Windows, ki so bile ustvarjene pred uporabo ublažitev posledic. Po tem, ko so preklici v vaši napravi omogočeni, teh namestitev ne bo mogoče več neposredno obnoviti.

  • CD/DVD ali particija za obnovitev po meri, ki ste jo ustvarili vi, izdelovalec naprave (OEM) ali velika poslovna okolja.

  • ISO (prek prenosa ali uporabe adk).

  • Zagon omrežja:

    • Storitve uvajanja sistema Windows.

    • Storitve zagona okolja Preboot Execution Environment (zagonske storitve PXE).

    • Microsoft Deployment Toolkit.

    • Zagon https.

  • Namestitveni in obnovitveni medij proizvajalca strojne opreme.

  • Uradni Microsoftovi mediji sistema Windows, vključno s temi:

  • Windows PE.

  • Sistem Windows, nameščen v fizični strojni opremi ali navideznih računalnikih.

  • Operacijski sistem za preverjanje veljavnosti sistema Windows.

Če z osebno napravo s sistemom Windows uporabljate zagonski medij, boste morda morali narediti nekaj od tega, preden uporabite preklice:

  • Če za shranjevanje vsebine naprave uporabljate osebno programsko opremo za varnostno kopiranje, po uporabi ublažitve posledic 9. aprila 2024 zaženite popolno varnostno kopijo.

  • Če uporabljate posnetek zagonskega diska (ISO), CD-ROM ali DVD medij, posodobite medij tako, da upoštevate navodila, ki jih morate navesti pozneje.

Enterprise

  • Glejte obsežne smernice in skriptno izvajanje za namestitveni medij za Windows Update z dinamično posodobitvijo.

  • Če v svojem okolju podpirate zagon ali obnovitev omrežja, boste morali posodobiti vse predstavnosti in slike. To lahko vključuje te možnosti zagona ali obnovitve:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Storitve uvajanja sistema Windows.

    • Zagon PxE.

    • Zagon https in drugi scenariji zagona omrežja.

  • To lahko naredite tako, da uporabite namestitev paketa brez povezave DISM na slikah, ki so na voljo v teh primerih. To vključuje posodobitev zagonskih datotek, ki jih ponujajo te storitve.

  • Če uporabljate programsko opremo za varnostno kopiranje, da shranite vsebino namestitve sistema Windows v posnetek za obnovitev, se prepričajte, da ste po namestitvi ublažitve posledic z dne 9. aprila 2024 zagnali popolno varnostno kopijo. Prepričajte se, da poleg particije operacijskega sistema Windows varnostno kopirate tudi particijo diska EFI. Jasno opredelite varnostne kopije, ki so bile opravljene pred uporabo ublažitev posledic 9. aprila 2024 v primerjavi s tistimi, ki so bile opravljene po uporabi ublažitev posledic.

Proizvajalci strojne opreme v sistemu Windows

Posodabljanje namestitvenega medija v sistemu Windows

OPOMBA Ko ustvarjate zagonski pogon USB, pogon formatijte z datotečnim sistemom FAT32.

Aplikacijo Ustvarjanje obnovitvenega pogona lahko uporabite tako, da upoštevate te korake. S tem medijem lahko znova namestite napravo, če pride do večje težave, kot je napaka strojne opreme, boste lahko z obnovitvenim pogonom znova namestili sistem Windows.

  1. Pojdite v napravo, v kateri so bile uporabljene posodobitve z dne 9. aprila 2024 in prvi korak za ublažitev posledic (posodobitev zbirke podatkov varnega zagona).

  2. V začetnem meniju poiščite programček nadzorne plošče »Ustvari obnovitveni pogon« in sledite navodilom za ustvarjanje obnovitvenega pogona.

  3. Ko je novo ustvarjeni pogon USB nameščen (na primer pogon »D:«), kot skrbnik zaženite te ukaze. Vnesite vsakega od teh ukazov in pritisnite tipko Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Če namestitveno predstavnost v svojem okolju upravljate z namestitvenim medijem za Windows Update z navodili za dinamično posodobitev, sledite tem korakom. Ti dodatni koraki bodo ustvarili zagonski pomnilniški ključek, ki uporablja zagonske datoteke, podpisane s potrdilom podpisa »Windows UEFI CA 2023«.

  1. Pojdite v napravo, v kateri so bile uporabljene posodobitve z dne 9. aprila 2024 in prvi korak ublažitve (posodobitev zbirke podatkov za varni zagon).

  2. Sledite korakom v spodnji povezavi, da ustvarite predstavnost s posodobitvami, ki so se posodobili 9. aprila 2024. Posodobitev namestitvenega medija sistema Windows z dinamično posodobitvijo

  3. Položite vsebino nosilca podatkov na ključek USB in vstavite ključek USB kot črko pogona. Na primer, ključek palca pritrdite kot »D:«.

  4. Kot skrbnik v ukaznem oknu zaženite te ukaze. Vnesite vsakega od teh ukazov in pritisnite tipko Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Če se v napravi nastavitve varnega zagona ponastavijo na privzete nastavitve po ublažitvi posledic, se naprava ne zažene. Če želite odpraviti to težavo, je aplikacija za popravilo vključena v posodobitve z dne 9. aprila 2024, s katerimi lahko znova uporabite potrdilo »Windows UEFI CA 2023« v zbirki podatkov (ublažitev #1).

OPOMBA Te aplikacije za popravilo ne uporabljajte v napravi ali sistemu, ki je opisan v razdelku Znane težave.

  1. Pojdite v napravo, v kateri so bile uporabljene posodobitve z dne 9. aprila 2024.

  2. V ukaznem oknu kopirajte aplikacijo za obnovitev na pogon USB s temi ukazi (če je pogon »D:«). Vsak ukaz vnesite posebej in pritisnite tipko Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. V napravi, v kateri so nastavitve varnega zagona ponastavljene na privzete nastavitve, vstavite pomnilniški ključek, znova zaženite napravo in zaženite napravo s pogona.

Časovna usklajenost posodobitev

Posodobitve so izdane na naslednji način:

  • Začetna uvedba Ta faza se je začela s posodobitvami, izdanimi 9. maja 2023, in je osnovne ublažitve posledic opravila opravila z ročnimi koraki, ki omogočajo ublažitev posledic.

  • Drugo uvajanje Ta faza se je začela s posodobitvami, izdanimi 11. julija 2023, s katerimi so bili dodani poenostavljeni koraki za ublažitev te težave.

  • Faza ocenjevanja Ta faza se bo začel 9. aprila 2024 in dodala dodatne ublažitve posledic upravitelja zagona.

  • Faza končne uvedbe Zdaj bomo vse stranke spodbujali, da začnejo uvajati ublažitve posledic in posodabljati medije.

  • Faza uveljavljanja Faza izvajanja, ki bo ublažitev posledic trajna. Datum te faze bo objavljen pozneje.

Opomba Urnik izdaje se lahko po potrebi spremeni.

To fazo so nadomeščali varnostne posodobitve sistema Windows, izdane 9. aprila 2024 ali po tem aprilu.

To fazo so nadomeščali varnostne posodobitve sistema Windows, izdane 9. aprila 2024 ali po tem aprilu.

V tej fazi vas prosim, da preskusite te spremembe v svojem okolju, da zagotovite pravilno delovanje sprememb z reprezentativnimi vzorčnimi napravami in da pridobite izkušnje s spremembami.

OPOMBA Namesto da bi poskušali izčrpen seznam ranljivih upraviteljev zagona in jih počistiti, kot smo v prejšnjih fazah uvajanja, dodajamo potrdilo o podpisu »Windows Production PCA 2011« na seznam »Disallow List« (DBX) za varni zagon, da vsem upraviteljem zagona, ki jih je podpisalo to potrdilo, ne zaupajo. To je zanesljivejši način za zagotavljanje, da vsi prejšnji upravitelji zagona niso vreden zaupanja.

Posodobitve za Windows, izdano 9. aprila 2024 ali po tem, dodajte to:

  • Three new mitigation controls that replace the mitigations released in 2023. Novi kontrolniki za ublažitev posledic so:

    • Kontrolnik za uvedbo potrdila »Windows UEFI CA 2023« v DB varnega zagona za dodajanje zaupanja upraviteljem zagona sistema Windows, ki so podpisani s tem potrdilom. Upoštevajte, da je potrdilo »Windows UEFI CA 2023« morda namestila starejša posodobitev sistema Windows.

    • Kontrolnik za uvedbo upravitelja zagona, ki ga je podpisalo potrdilo »Windows UEFI CA 2023«.

    • Kontrolnik za dodajanje »Windows Production PCA 2011« v DBX varnega zagona, ki blokira vse upravitelje zagona sistema Windows, ki so podpisani s tem potrdilom.

  • Zmožnost omogočanja uvajanja ublažitve posledic po stopnjah neodvisno, da omogočite več nadzora pri uvajanju ublažitev posledic v vašem okolju glede na vaše potrebe.

  • Ublažitve posledic so zapete, tako da jih ni mogoče uvesti v nepravilnem vrstnem redu.

  • Dodatni dogodki, ki jih je treba poznati glede stanja naprav, ko uporabljajo ublažitve posledic. Glejte KB5016061: Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX za več podrobnosti o dogodkih.

V tej fazi spodbujamo stranke, da začnejo uvajati ublažitve posledic in upravljati morebitne posodobitve predstavnosti. Posodobitve bodo dodale te spremembe:

  • Smernice in orodja za pomoč pri posodabljanju medijev.

  • Posodobljen blok DBX, da prekliče dodatne upravitelje zagona.

Faza izvajanja bo na voljo vsaj šest mesecev po fazi uvajanja. Ko bodo posodobitve izdane za fazo uveljavljanja, bodo vključevale naslednje:

  • Potrdilo »Windows Production PCA 2011« bo samodejno preklicano tako, da bo dodano na seznam prepovedanih naslovov UEFI za varni zagon (DBX) v napravah, ki so na voljo. Te posodobitve bodo programsko uveljavljene po namestitvi posodobitev sistema Windows za vse sisteme, na katere to vpliva, brez možnosti, da bi jih onemogočili.

Napake dnevnika dogodkov sistema Windows, povezane s CVE-2023-24932

Vnosi v dnevnik dogodkov sistema Windows, ki se nanašajo na posodobitev zbirke podatkov (DB in DBX), so podrobno opisani v članku KB5016061: Dogodki posodobitve spremenljivk DB in DBX za varni zagon.

Dogodki »uspeha«, povezani z uporabo ublažitev posledic, so navedeni v spodnji tabeli.

Korak ublažitve posledic

ID dogodka

Opombe

Uporaba posodobitve zbirke podatkov

1036

Potrdilo PCA2023 je bilo dodano zbirki podatkov.

Posodabljanje upravitelja zagona

1799

V PCA2023 je bil uporabljen podpisani upravitelj zagona.

Uporaba posodobitve DBX

1037

Posodobitev DBX, ki ne zaupa podpisovanju PCA2011 je bila uporabljena.

Pogosta vprašanja

  • Če želite obnoviti napravo, glejte razdelek Postopek obnovitve.

  • Upoštevajte navodila v razdelku Odpravljanje težav z zagonom .

Posodobite vse operacijske sisteme Windows s posodobitvami, izdanimi 9. aprila 2024 ali po tem, preden uveljavite preklice. Po uveljavitvi preklicev morda ne boste mogli zagnati nobene različice sistema Windows, ki še ni bila posodobljena na najmanj posodobitve, izdane 9. aprila 2024. Upoštevajte navodila v razdelku Odpravljanje težav z zagonom .

Glejte razdelek Odpravljanje težav z zagonom .

Odpravljanje težav z zagonom

Ko so vse tri ublažitve posledic uporabljene, se vdelana programska oprema naprave ne zažene z upraviteljem zagona, ki ga je podpisal Windows Production PCA 2011. Napake pri zagonu, ki jih je prijavila vdelana programska oprema, so značilne za napravo. Glejte razdelek Postopek obnovitve .

Postopek obnovitve

Če pride do napake pri uporabi ublažitev posledic in ne morete zagnati naprave ali pa morate zagnati napravo z zunanjega medija (na primer s palčnim pogonom ali zagonom PXE), poskusite naslednje predloge:

  1. Izklopite varni zagon.

    Ta postopek se razlikuje med proizvajalci naprav in modeli. Vnesite meni BIOS-a UEFI za naprave in se pomaknite do nastavitev varnega zagona ter ga izklopite. Podrobnosti o tem postopku poiščite v dokumentaciji proizvajalca naprave. Več podrobnosti najdete v članku Onemogočanje varnega zagona.

  2. Ponastavite ključe za varni zagon na tovarniške privzete nastavitve.

    Če naprava podpira ponastavitev ključev za varni zagon na tovarniške privzete nastavitve, izvedite to dejanje zdaj.

    OPOMBA Nekateri izdelovalci naprav imajo možnost »Počisti« in »Ponastavi« za spremenljivke varnega zagona, v tem primeru pa je treba uporabiti možnost »Ponastavi«. Cilj je, da se spremenljivke varnega zagona nazaj v privzete vrednosti proizvajalca.

    Naprava bi se morala zagnati zdaj, vendar upoštevajte, da je ranljiva za zlonamerno programsko opremo kompleta za zagon. Če želite znova omogočiti varni zagon, dokončajte 5. korak tega postopka obnovitve.

  3. Poskusite sistem Windows zagnati s sistemskega diska.

    1. Prijava v Sistem Windows.

    2. V ukaznem pozivu skrbnika zaženite te ukaze, da obnovite zagonske datoteke v particiji za zagon sistema EFI. Vsak ukaz vnesite posebej in pritisnite tipko Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Zagon BCDBoot vrne »Zagonske datoteke so bile uspešno ustvarjene«. Ko se prikaže to sporočilo, znova zaženite napravo nazaj v sistem Windows.

  4. Če 3. korak ne obnovi uspešno naprave, znova namestite sistem Windows.

    1. Zaženite napravo z obstoječega obnovitvenega medija.

    2. Nadaljujte z namestitvijo sistema Windows z obnovitvenim medijem.

    3. Prijava v Sistem Windows.

    4. Znova zaženite sistem Windows, da preverite, ali se naprava znova zažene v sistemu Windows.

  5. Znova omogočite varni zagon in znova zaženite napravo.

    Vnesite meni vmesnika UEFI naprave in se pomaknite do nastavitev varnega zagona ter ga vklopite. Podrobnosti o tem postopku poiščite v dokumentaciji proizvajalca naprave. Več informacij najdete v razdelku »Vnovično omogočanje varnega zagona«.

Sklici

Izdelke drugih ponudnikov, ki jih obravnava ta članek, izdelujejo podjetja, ki so neodvisna od Microsofta. Ne dajemo garancije, naznačene ali drugače, glede učinkovitosti delovanja ali zanesljivosti teh izdelkov.

Za pomoč pri tehničnih podpori vam zagotavljamo podatke za stik tretjih oseb. Ti podatki za stik se lahko spremenijo brez obvestila. Ne zagotavljamo točnosti teh podatkov za stik tretjih oseb.

Datum spremembe

Opis spremembe

9. april 2024

  • Obsežne spremembe postopkov, informacij, smernic in datumov. Upoštevajte, da so bile nekatere prejšnje spremembe odstranjene zaradi obsežnih sprememb na ta datum.

16. december 2023

  • V razdelku »Časovna usklajenost posodobitev« smo spremenili datume izdaje za tretjo uvedbo in uveljavljanje.

15. maj 2023

  • Odstranjeno je nepodprto pogovorno Windows 10, različica 21H1, iz razdelka »Velja za«.

11. maj 2023

  • V 1. korak smo dodali opozorilo v razdelku »Smernice za uvedbo« o nadgradnji na Windows 11, različico 21H2 ali 22H2, ali nekatere različice Windows 10.

10. maj 2023

  • Pojasnili, da bo predstavnost, ki jo je mogoče prenesti, posodobljena z najnovejšo Posodobitve zbirno programsko opremo, kmalu na voljo.

  • Popravljeno črkovanje besede »Prepovedano«.

9. maj 2023

  • V razdelek »Velja za« smo dodali dodatne podprte različice.

  • Posodobljen 1. korak razdelka »Ukrepajte«.

  • Posodobljen 1. korak v razdelku »Smernice za uvedbo«.

  • Popravljeni so ukazi v 3. koraku razdelka »Smernice za deplodovanje«.

  • Popravljeno postavitev slik Hyper-V UEFI v razdelku »Odpravljanje težav z zagonom«.

27. junij 2023

  • Odstranjena je opomba o posodabljanju iz Windows 10 na novejšo različico sistema Windows 10 ki uporablja paket za omogočanje v razdelku 1. korak:Namestitev v razdelku »Smernice za uvedbo«.

11. julij 2023

  • Primerke datuma »9. maja 2023« smo posodobili na »11. julij 2023«, »9. maj 2023 in 11. julij 2023« ali na »9. maj 2023 ali novejšo različico«.

  • V razdelku »Smernice uvedbe« smo upoštevajte, da so vse dinamične posodobitve v sistemu SafeOS zdaj na voljo za posodobitev particij WinRE. Poleg tega je bilo polje CAUTION odstranjeno, ker težavo odpravlja izdaja dinamičnih posodobitev SafeOS.

  • V 3. APPLY the revocations" section, the instructions been revised.

  • V razdelku »Napake dnevnika dogodkov sistema Windows« je dodan ID dogodka 276.

25. avgust 2023

  • Posodobili smo različne razdelke za besedilo in dodali izdajo z dne 11. julija 2023 ter informacije o izdaji za prihodnje leto 2024.

  • Preurejanje nekaterih vsebin iz razdelka »Izogibanje težav z zagonsko predstavnost« v razdelek »Posodabljanje zagonskega medija«.

  • Razdelek »Časovna usklajenost posodobitev« smo posodobili s posodobljenimi datumi in informacijami o uvajanju.
Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×