Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Spremeni datum

Opis spremembe

20. marec 2024

  • Dodali smo razdelek »Rezultati in povratne informacije«.

21. marec 2024

  • Posodobljen 4. korak v razdelku »2. korak: PCA2023 upravitelja zagona«

22. marec 2024

  • Posodobitev podatkov za stik prek e-pošte v razdelku »Rezultati in povratne informacije«

  • Dodali smo razdelek »Omogoči izbirne diagnostične podatke«

Uvod

Ta članek je dodatek k naslednjemu članku, ki bo posodobljen aprila 2024:

  • KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932

Ta dodatek opisuje posodobljen postopek po korakih za uvedbo novih ublažitev posledic zagonske kompleta BlackLotus UEFI, ki mu sledi CVE-2023-24932 , in vključuje navodila za preskušanje za vaše okolje.

Za zaščito pred zlonamerno zlorabo ranljivih upraviteljev zagona moramo v vdelano programsko opremo naprave uvesti novo potrdilo za podpisovanje varnega zagona vmesnika UEFI in preklicati zaupanje v vdelano programsko opremo trenutnega podpisnega potrdila. S tem bodo vse obstoječe, ranljive upravitelje zagona naprave z omogočenim varnim zagonom nezaupne. Ta vodnik vam bo pomagal pri tem postopku.

Trije koraki za ublažitev posledic, opisani v tem vodniku, so:

  1. Posodabljanje zbirke podatkov: V zbirki podatkov za varni zagon bo dodano novo potrdilo PCA (PCA2023), ki omogoča napravi zagon medija, ki ga je podpisalo to potrdilo.

  2. Namestitev upravitelja zagona: Obstoječi upravitelj PCA2011 zagona bo zamenjal upravitelj zagona, PCA2023 podpisan z podpisom.Oba upravitelja zagona sta vključena v varnostne posodobitve iz aprila 2024.

  3. Preklic zbirke podatkov DBX PCA2011: Zavrni vnos bo dodan v DBX varnega zagona, ki preprečuje zagonski upravitelji, ki so PCA2011 zagona.

Opomba The Servicing Stack software that applies these three mitigations will not allow for the mitigations to be applied out of order.

Ali to velja zame?

Ta vodnik velja za vse naprave z omogočenim varnim zagonom in obstoječim obnovitvenim medijem za te naprave.

Če je v vaši napravi nameščen Sistem Windows Server 2012 ali Windows Server 2012 R2, pred nadaljevanjem preberite razdelek »Znane težave«.

Preden začnete

Omogočanje izbirnih diagnostičnih podatkov

Vklopite nastavitev »Pošlji izbirne diagnostične podatke« tako, da izvedete te korake:

  1. V Windows 11 odprite začetni meni > nastavitve >in & za > diagnostične & povratne informacije.

  2. Vklopite možnost Pošlji izbirne diagnostične podatke.

    Diagnostične informacije & povratne informacije

Če želite več informacij, glejte Diagnostika, povratne informacije in zasebnost v sistemu Windows

OPOMBA Med preverjanjem veljavnosti in še nekaj časa po tem preverite, ali imate internetno povezavo.

Izvedite preskusno pass

Po namestitvi posodobitev sistema Windows v aprilu 2024 in preden izvedete korake za privolitev v sodelovanje, preverite, ali je vaš sistem neoporečen:

  1. VPN: Preverite, ali je dostop do omrežja VPN do virov podjetja in omrežja funkcionalen.

  2. Windows Hello: V napravo s sistemom Windows se prijavite po običajnem postopku (prepoznavanje obraza/prstnega odtisa/PIN).

  3. Bitlocker: Sistem se običajno zažene v sistemih, ki podpirajo BitLocker, brez poziva za obnovitev BitLocker med zagonom.

  4. Potrditev ustreznosti stanja naprave: Preverite, ali naprave, ki se zanašajo na potrditev ustreznosti stanja naprave, pravilno preverijo njihovo stanje.

Znane težave

Samo za Windows Server 2012 in Windows Sever 2012 R2:

  • Sistemi, ki temeljijo na modulu zaupanja TPM 2.0, zaradi znanih težav z združljivostjo z meritvami modula zaupanja TPM ne morejo uvesti ublažitev posledic, izdanih v varnostnem popravku iz aprila 2024. Posodobitve iz aprila 2024 blokirajo ublažitev posledic #2 (upravitelj zagona) in #3 (posodobitev DBX) v prizadetih sistemih.

  • Microsoft je seznanjen s težavo in v prihodnje bo izdana posodobitev za deblokiranje sistemov, ki temeljijo na modulu zaupanja TPM 2.0.

  • Če želite preveriti različico modula zaupanja TPM, z desno tipko miške kliknite Začetek, kliknite Zaženi in nato vnesite tpm.msc. V spodnjem desnem kotu sredinskega podokna pod možnostjo Informacije o izdelovalcu modula zaupanja TPM bi morala biti prikazana vrednost za Različica specifikacije.

Koraki preverjanja veljavnosti za privolitev v sodelovanje

Preostali del tega članka obravnava testiranje za privolitev v naprave za ublažitev posledic. Ublažitve posledic privzeto niso omogočene. Če namerava vaše podjetje omogočiti te ublažitve posledic, upoštevajte te korake za preverjanje združljivosti naprave.

  1. Uvedi varnostno posodobitev iz aprila 2024.

  2. Odprite ukazni poziv skrbnika in nastavite registrski ključ tako, da izvede posodobitev zbirke podatkov tako, da vnesete ta ukaz in pritisnete tipko Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Dvakrat znova zaženite napravo.

  4. Preverite, ali je DB uspešno posodobljen, tako da se prepričate, da naslednji ukaz vrne vrednost True. Zaženite ta ukaz PowerShell kot skrbnik:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Odprite ukazni poziv skrbnika in nastavite registrski ključ tako, da prenese in PCA2023 upravitelja zagona:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Dvakrat znova zaženite napravo.

  3. Kot skrbnik namestite particijo EFI, da jo pripravite za pregled:

    mountvol s: /s

  4. Preverite, ali je »s:\efi\microsoft\boot\bootmgfw.efi« podpisal PCA2023. To naredite tako:

    1. Kliknite Start, v iskalno polje vnesite ukazni poziv in nato kliknite Ukazni poziv.

    2. V okno ukaznega poziva vnesite ta ukaz in pritisnite Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. V upravitelju datotek z desno tipko miške kliknite datoteko C:\bootmgfw_2023.efi, kliknite Lastnosti in nato izberite zavihek Digitalni podpisi.

    4. Na seznamu Podpis potrdite, da veriga potrdil vključuje windows UEFI 2023 CA.

POZOR: Ta korak uvede preklic zbirke podatkov DBX za nezaupanje staremu, ranljivim upraviteljem zagona, ki so podpisani s programom Windows Production PCA2011. Naprave s tem preklicem se ne zaženejo več iz obstoječih obnovitvenih medijev in strežnikov PXE/HTTP, ki nimajo posodobljenih komponent upravitelja zagona.

Če vaša naprava pre pride v stanje, ki ga ni mogoče zagnati, sledite korakom v razdelku »Postopki obnovitve in obnovitve«, da ponastavite napravo na stanje pred preklicem naročnine.

Če želite po uporabi DBX vrniti napravo v prejšnje stanje varnega zagona, upoštevajte razdelek »Postopki obnovitve in obnovitve«.

Uporabite ublažitev DBX za nezaupanje potrdila Windows Production PCA2011 v varnem zagonu:

  1. Odprite ukazni poziv skrbnika in nastavite registrski ključ, da razveljavite preklic PCA2011 v DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Dvakrat znova zaženite napravo in preverite , ali se je v celoti znova zagnala.

  3. Preverite, ali je bila ublažitev DBX uspešno uporabljena. To naredite tako, da kot skrbnik zaženete ta ukaz PowerShell in se prepričate, da ukaz vrne vrednost »True«:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Lahko pa poiščete ta dogodek v Pregledovalnik dogodkov:

    Dnevnik dogodkov

    Sistem

    Vir dogodka

    TPM-WMI

    ID dogodka

    1037

    Raven

    Informacije

    Besedilo sporočila dogodka

    Posodobitev varnega zagona Dbx za preklic programa Microsoft Windows Production PCA 2011 je bila uspešno uporabljena

  4. Izvedite testne elemente iz razdelka »Preden začnete« in se prepričajte, da vsi sistemi delujejo normalno.

Sklic na registrski ključ

1. korak za privolitev v preverjanje veljavnosti2. korak za privolitev v preverjanje veljavnosti3. korak za privolitev v preverjanje veljavnosti

Ukaz

Namen

Pripombe 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Namesti posodobitev zbirke podatkov, ki omogoča upravitelja PCA2023-podpisanega zagona.

Ukaz

Namen

Pripombe 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Namesti PCA2023 bootmgr

Vrednost, ki se spoštuje le po 0x40 korakih

Ukaz

Namen

Pripombe 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Namesti posodobitev DBX, ki prekliče PCA2011

Vrednost, ki se upošteva le, ko 0x40 & 0x100 dokončana oba koraka

Rezultati in povratne informacije

Pošljite e-pošto suvp@microsoft.com s preskušanjem rezultatov, vprašanj in povratnih informacij.

Postopki obnovitve in obnovitve

Ko izvajate postopke obnovitve, z Microsoftom delite te podatke:

  • Posnetek zaslona, na katerem je bila opažena napaka pri zagonu.

  • Koraki, ki so vodili do tega, da naprava ni več zagonska.

  • Podrobnosti konfiguracije naprave.

Med izvajanjem postopka obnovitve začasno prekinite BitLocker pred začetkom postopka.

Če med tem postopkom pride do napake in ne morete zagnati naprave ali morate zagnati napravo z zunanjega medija (na primer s palcem pogona ali zagonom PXE), poskusite te postopke.

  1. Izklop varnega zagona

    Ta postopek se razlikuje med proizvajalci računalnikov in modeli. Vnesite meni BIOS-a UEFI za računalnike in odprite nastavitev varnega zagona ter jo izklopite. Podrobnosti o tem postopku poiščite v dokumentaciji proizvajalca računalnika. Če želite več informacij, glejte Onemogočanje varnega zagona.

  2. Počisti ključe za varni zagon

    Če naprava podpira čiščenje ključev varnega zagona ali ponastavitev ključev za varni zagon na tovarniške privzete nastavitve, izvedite to dejanje zdaj.  

    Naprava bi se morala zagnati zdaj, vendar upoštevajte, da je ranljiva za zlonamerno programsko opremo za zagonske komplete. Če želite znova omogočiti varni zagon, dokončajte 5. korak na koncu tega postopka obnovitve.

  3. Poskusite sistem Windows zagnati s sistemskega diska.

    1. Če je BitLocker omogočen in preide v obnovitev, vnesite obnovitveni ključ za BitLocker.

    2. Prijava v Sistem Windows.

    3. Zaženite naslednje ukaze iz skrbniškega ukaznega poziva, da obnovite zagonske datoteke v particiji zagona sistema EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Zagon BCDBoot bi moral vrniti »Boot files successfully created« (Zagonske datoteke so bile uspešno ustvarjene).

    5. Če je BitLocker omogočen, začasno onemogočite BitLocker.

    6. Znova zaženite napravo.

  4. Če 3. korak ne obnovi uspešno naprave, znova namestite sistem Windows.

    1. Začnite z obstoječim obnovitvenim medijem.

    2. Nadaljujte z namestitvijo sistema Windows z obnovitvenim medijem.

    3. Prijava v Sistem Windows.

    4. Znova zaženite, da preverite, ali se naprava uspešno zažene s sistemom Windows.

  5. Znova omogočite varni zagon in znova zaženite napravo.

    Vnesite meni vmesnika UEFI za devicce in se pomaknite do nastavitve varnega zagona ter ga vklopite. Podrobnosti o tem postopku poiščite v dokumentaciji proizvajalca naprave. Če želite več informacij, glejte Vnovično omogočanje varnega zagona.

  6. Če sistem Windows še vedno ne uspe, znova vnesite BIOS vmesnika UEFI in izklopite varni zagon.

  7. Zaženite Windows.

  8. Delite vsebino zbirke podatkov( DBX) z Microsoftom.

    1. Odprite PowerShell v načinu skrbnika.

    2. Zajem zbirke podatkov:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Zajemite DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Dajte datoteke v skupno DBUpdateFw.bin in dbxUpdateFw.bin , ustvarjene v 8. in 8. koraku.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×