V tem članku

Povzetek

Microsoft je bil seznanjen z ranljivostjo v sistemu Windows, ki napadalcu s skrbniškimi pravicami omogoča zamenjavo posodobljenih sistemskih datotek sistema Windows, ki imajo starejše različice, in odpiranje vrat napadalcu za ponovno uvedbo ranljivosti v varnost, ki temelji na virtualizacije( VBS).  Povrnitev teh dvojiških podatkov lahko napadalcu omogoči, da zaobide varnostne funkcije VBS in iztrga podatke, ki so zaščiteni s VBS. Ta težava je opisana v CVE-2024-21302 | Ranljivost pravic v varnem jedrnem načinu sistema Windows.

Če želite odpraviti to težavo, bomo preklicali ranljive sistemske datoteke VBS, ki niso posodobljene. Zaradi velikega števila datotek, povezanih s VBS, ki jih je treba blokirati, lahko z nadomestnim pristopom blokiramo različice datotek, ki niso posodobljene.

Obseg učinka

Ta težava vpliva na vse naprave s sistemom Windows, ki podpirajo SČD. To vključuje fizične naprave na mestu uporabe in navidezne računalnike. Sistem VBS je podprt v sistemu Windows 10 in novejših različicah sistema Windows ter sistemu Windows Server 2016 in novejših različicah sistema Windows Server.

Stanje VBS lahko pregledate z Microsoftovim orodjem za informacije o sistemu (Msinfo32.exe). To orodje zbira podatke o vaši napravi. Po zagonu Msinfo32.exe se pomaknite navzdol do varnostne vrstice, ki temelji na virtualizacije . Če je vrednost te vrstice Zagnana, je VBS omogočena in se izvaja.

System Information dialog box with the "Virtualization-based security" row highlighted

Stanje VBS lahko preverite tudi z modulom Windows PowerShell tako, da uporabite Win32_DeviceGuard WMI. Če želite zagnati poizvedbo po stanju VBS iz lupine PowerShell, odprite povišano sejo Windows PowerShell in nato zaženite ta ukaz:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Ko zaženete zgornji ukaz PowerShell, bi moralo biti stanje stanja VBS eno od teh.

Ime polja

Stanje

VirtualizationBasedSecurityStatus

  • Če je polje enako 0, VBS ni omogočen.

  • Če je polje enako 1, je VBS omogočen, vendar se ne izvaja.

  • Če je polje enako 2, je VBS omogočen in se izvaja.

Ublažitve posledic, ki so na voljo

Za vse podprte različice sistema Windows 10 različica 1809 in novejše različice sistema Windows ter Windows Server 2019 in novejše različice strežnika Windows Server lahko skrbniki uvedejo Microsoftov pravilnik o preklicu (SkuSiPolicy.p7b). S tem blokirate ranljive različice sistemskih datotek VBS, ki jih operacijski sistem ne more naložiti.

Opomba Dodatne ublažitve posledic in podpora za ublažitev posledic za vse podprte različice sistema Windows 10, različica 1507 in starejše različice sistema Windows ter Windows Server 2016 in starejše različice sistema Windows Server so načrtovane za prihodnje posodobitve.

Ko se ta pravilnik uporabi za napravo s sistemom Windows, bo pravilnik zaklenjen tudi v napravo tako, da vdelani programski opremi vmesnika UEFI doda spremenljivko. Med zagonom se pravilnik naloži, Sistem Windows pa blokira nalaganje dvojiških podatkov, ki kršijo pravilnik. Če uporabite zaklepanje vmesnika UEFI in je pravilnik odstranjen ali zamenjan s starejšo različico, se upravitelj zagona sistema Windows ne zažene in naprava se ne zažene. Ta napaka pri zagonu ne prikaže napake in sistem bo nadaljeval z naslednjo razpoložljivo možnostjo zagona, kar lahko povzroči zanko zagona.

Da bo ublažitev pravilnika delovala, mora biti naprava posodobljena s posodobitvijo sistema Windows, izdano 13. avgusta 2024 ali po tem. Če manjkajo posodobitve, se naprava morda ne bo zagala z uporabljenim ublažitvijo ali pa ublažitev morda ne bo delovala po pričakovanjih. Poleg tega je treba ublažitve posledic , KB5025885 opisane v članku, uporabiti za vašo napravo.

Pomembno Te ublažitve ne uporabite za različice sistema Windows, starejše od sistema Windows 10, različica 1809, ali različice windows Server, starejše od sistema Windows Server 2019. Če ublažitev velja za naprave, ki niso podprte, se naprave ne zaženejo in prikaže se sporočilo o 0xc0000428. Za obnovitev boste morali upoštevati navodila v razdelku Postopek odstranitve in obnovitve pravilnika.

Pogovorno okno za obnovitev, ki označuje, da je treba napravo popraviti

Razumevanje tveganja ublažitve posledic

Preden uporabite Microsoftov pravilnik o preklicu, morate biti seznanjeni z morebitnimi tveganji. Preden uporabite ublažitev posledic, preglejte ta tveganja in opravite vse potrebne posodobitve za obnovitveni medij.

  • Celovitost kode uporabniškega načina (UMCI). Microsoftov pravilnik o preklicu omogoča celovitost kode uporabniškega načina, tako da se pravila v pravilniku uporabljajo za dvojiških vrednosti uporabniškega načina. UMCI privzeto omogoča tudi dinamično varnost kode. Z uveljavljanjem teh funkcij lahko pride do težav z združljivostjo z aplikacijami in skripti, zaradi katerih se ne bodo več izvajale, kar lahko vpliva na čas zagona. Preden uvedete ublažitev posledic, sledite navodilom za uvedbo pravilnika načina nadzora , da preizkusite morebitne težave.

  • Zaklepanje in odstranjevanje posodobitev vmesnika UEFI. Po uporabi zaklepa vmesnika UEFI z Microsoftovim pravilnikom o preklicu v napravi naprave naprave ni mogoče povrniti (z odstranitvijo posodobitev sistema Windows, z obnovitveno točko ali na drug način), če še naprej uporabljate varni zagon. Tudi formatiranje diska ne bo odstranil zaklepanje UEFI ublažitve, če je že bila uporabljena. To pomeni, da se v primeru, ko poskušate povrniti operacijski sistem Windows na prejšnje stanje, ki nima uporabljene ublažitve posledic, naprava ne zažene, ne bo prikazano nobeno sporočilo o napaki in vmesnik UEFI bo nadaljeval z naslednjo razpoložljivo možnostjo zagona. To lahko povzroči zanko zagona. Če želite odstraniti zaklepanje vmesnika UEFI, morate onemogočiti varni zagon. Preden v svoji napravi uporabite preklice, ki so opisani v tem članku, bodite pozorni na vse morebitne posledice in jih temeljito preskusite.

  • Zunanji zagonski medij. Ko so ublažitve posledic zaklepanja vmesnika UEFI uporabljene v napravi, je treba zunanji zagonski medij posodobiti s posodobitvami sistema Windows, ki so z datumom ali po 13. avgustu 2024 in z Microsoftovim pravilnikom o preklicu (SkuSiPolicy.p7b). Če zunanji zagonski medij ni posodobljen, se naprava morda ne zažene s tega medija. Oglejte si navodila v razdelku Posodobitev zunanjega zagonskega medija pred uporabo ublažitev posledic.Zagonski medij, ki je posodobljen z Microsoftovim pravilnikom o preklicu, je treba uporabiti le za zagon naprav, v katerih je že bila uporabljena ublažitev.  Če se uporablja z napravami brez ublažitve posledic, bo zaklepanje UEFI-a uporabljeno med zagonom z zagonskega medija. Nadaljnji zagoni z diska ne bodo uspeli, razen če je naprava posodobljena z ublažitvijo ali zaklepanjem UEFI.

  • Obnovitveno okolje sistema WindowsObnovitveno okolje sistema Windows (WinRE) v napravi je treba posodobiti s posodobitvami sistema Windows z datumom 13. avgusta 2024 ali po tem, ko se skuSipolicy.p7b uporabi za napravo. Če izpustite ta korak, lahko preprečite WinRE izvajanje funkcije Ponastavi računalnik.  Če želite več informacij, glejte Dodajanje paketa posodobitev v sistem Windows RE.

  • Zagon okolja Preboot Execution Environment (PXE). Če je ublažitev uvedena v napravi in poskušate uporabiti zagon PXE, se naprava ne bo zaganjala, razen če ublažitve posledic uporabite tudi za vire zagona omrežja (koren, kjer je na voljo bootmgfw.efi). Če se naprava zažene iz vira omrežnega zagona, pri katerem je bila uporabljena ublažitev posledic, bo za napravo veljala zaklepanje UEFI in vplivala na nadaljnje zagone. Ne priporočamo uvedbe ublažitev posledic za vire omrežnega zagona, razen če so uvedene ublažitve posledic za vse naprave v vašem okolju.  

Smernice za uvajanje ublažitve posledic

Če želite odpraviti težave, opisane v tem članku, lahko uvedete Microsoftov pravilnik o preklicu (SkuSiPolicy.p7b). Ta ublažitev je podprta le v različicah sistema Windows 10, različica 1809 in novejše različice sistema Windows, ter sistemu Windows Server 2019 in novejših različicah sistema Windows Server. Preden uvedete Microsoftov pravilnik o preklicu (SkuSiPolicy.p7b), preverite, ali je prišlo do težav z združljivostjo s pravilnikom načina nadzora.

Opomba Če uporabljate BitLocker, preverite, ali je bil obnovitveni ključ za BitLocker varnostno kopiran. V ukaznem pozivu skrbnika lahko zaženete ta ukaz in zabeležite 48-mestno številsko geslo:

manage-bde -protectors -get %systemdrive%

Uvajanje pravilnika načina nadzora

Microsoftov pravilnik o preklicu (SkuSiPolicy.p7b) vsili celovitost kode uporabniškega načina (UMCI) in dinamično varnost kode. Te funkcije lahko imajo težave z združljivostjo z aplikacijami strank. Preden uvedete ublažitev posledic, morate uvesti pravilnik nadzora za zaznavanje težav z združljivostjo.

Na voljo imate dve možnosti pravilnika nadzora:

  • Uporaba podanega pravilnika nadzora SiPolicy.p7b

  • Ali pa združite svoj lasten pravilnik nadzora v dvojiško iz navedene datoteke XML.

Priporočamo, da uporabite podan dvojiški pravilnik nadzora SiPolicy.p7b, razen če ste že uvedli obstoječi pravilnik Windows Defender Application Guard (WDAC). Podani binarni pravilnik nadzora ne bo zaklenjen UEFI. Pred uporabo pravilnika nadzora ni treba posodobiti zunanjega zagonskega medija in obnovitvenega medija.

Integriteta kode sistema Windows bo ovrednotila dvojiških podatkov uporabnikov in jedrnega načina glede na pravila v pravilniku nadzora. Če celovitost kode prepozna aplikacijo ali skript, ki krši pravilnik, bo ustvarjen dogodek dnevnika dogodkov sistema Windows z informacijami o blokiranem programu ali skriptu in informacijami o vsilitem pravilniku. S temi dogodki lahko ugotovite, ali se v vaši napravi uporabljajo nezdružljivi programi ali skripti. Če želite več informacij, glejte razdelek Dnevniki dogodkov sistema Windows .

Pravilnik nadzora SiPolicy.p7b je vključen v posodobitev sistema Windows z datumom 13. avgusta 2024 ali pozneje za vse podprte operacijske sisteme Windows sistema Windows 10, različica 1809 in novejše različice sistema Windows, ter Windows Server 2019 in novejše različice strežnika Windows Server. Ta pravilnik nadzora je treba uporabiti le za naprave, v katerih je nameščena posodobitev sistema Windows z dne 13. avgusta 2024 ali novejša, pravilnik za nadzor pa se morda ne bo obnašal po pričakovanjih.

Če želite uvesti naveden pravilnik nadzora SiPolicy.p7b, sledite tem korakom:

  1. V ukazu windows PowerShell na skrbniški ravni zaženite te ukaze:

    # Inicializacija lokacije in cilja pravilnika

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Kopirajte dvojiško pravilnik nadzora

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Znova zaženite napravo.

  3. Potrdite, da je pravilnik naložen v Pregledovalniku dogodkov, tako da uporabite informacije v razdelku Dogodki aktiviranja pravilnika .

  4. Preskusite z aplikacijami in skripti, medtem ko se pravilnik uporablja za prepoznavanje težav z združljivostjo.

Če želite odstraniti pravilnik nadzora SiPolicy.p7b, sledite tem korakom:

  1. V ukazu windows PowerShell na skrbniški ravni zaženite te ukaze:

    # Inicializacija lokacije pravilnika

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Znova zaženite napravo.

  3. Potrdite, da pravilnik nadzora ni naložen v Pregledovalniku dogodkov, tako da uporabite informacije v razdelku Dogodki aktiviranja pravilnika .

Če za upravljanje aplikacij in gonilnikov, ki se lahko izvajajo v vaših napravah, uporabljate WDAC, morda že uporabljate pravilnik z imenom »SiPolicy.p7b«. Za vse podprte operacijske sisteme Windows sistema Windows 10 različica 1903 in novejše različice sistema Windows ter Windows Server 2022 in novejše različice strežnika Windows Server lahko uporabite navedeno datoteko XML za ustvarjanje in uvedbo pravilnika nadzora z uporabo oblike zapisa več pravilnikov WDAC. Navodila za ustvarjanje in uvajanje dvojiških pravilnikov nadzora najdete v članku Uvajanje pravilnikov WDAC (Windows Defender Application Control).

Datoteka XML s pravili pravilnika nadzora je na voljo v napravah z nameščeno posodobitvijo sistema Windows z datumom 13. avgusta 2024 ali po tem. Datoteka XML je pod možnostjo »%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml«.

Če uporabljate pravilnik WDAC v sistemu Windows 10, različici 1809 in starejših različicah sistema Windows, ali v sistemu Windows Server 2016 in starejših različicah sistema Windows Server, boste morali obstoječi pravilnik WDAC zamenjati s pravilnikom nadzora, da boste lahko preskusili težave z združljivostjo pri ublažitvi posledic.

Uvajanje Microsoftovega pravilnika o preklicu (SkuSiPolicy.p7b)

Microsoftov pravilnik o preklicu je vključen kot del posodobitve sistema Windows z datumom 13. avgusta 2024 ali po tem. Ta pravilnik velja le za naprave, v katerih je nameščena posodobitev z dne 13. avgusta 2024 ali novejša. Če manjkajo posodobitve, se naprava morda ne bo zagala z uporabljenim ublažitvijo ali pa ublažitev morda ne bo delovala po pričakovanjih.

Če želite uvesti Microsoftov pravilnik o preklicu (SkuSiPolicy.p7b), sledite tem korakom:

  1. V ukazu windows PowerShell na skrbniški ravni zaženite te ukaze:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }$MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. Znova zaženite napravo.

  3. Potrdite, da je pravilnik naložen v Pregledovalniku dogodkov, tako da uporabite informacije v razdelku Dnevniki dogodkov sistema Windows .

Opombe

  • Ko je uvedena, datoteke ukinjenega (pravilnika) skuSiPolicy.p7b ne odstranite. Če je datoteka odstranjena, se naprava morda ne bo več mogla zagnati.

  • Če se naprava ne zažene, glejte razdelek Postopek obnovitve.

Posodabljanje zunanjega zagonskega medija

Če želite uporabiti zunanji zagonski medij z napravo, za katero velja Microsoftov pravilnik o preklicu, je treba zunanji zagonski medij posodobiti z uporabljeno datoteko pravilnika. Poleg tega mora vključevati posodobitve sistema Windows z datumom ali po 13. avgustu 2024. Če predstavnost ne vključuje posodobitev, se predstavnost ne zažene.

Zagonski medij, ki je posodobljen z Microsoftovim pravilnikom o preklicu, je treba uporabiti le za zagon naprav, v katerih je že bila uporabljena ublažitev.  Če se uporablja z napravami brez ublažitve posledic, bo zaklepanje UEFI-a uporabljeno med zagonom z zagonskega medija. Nadaljnji zagoni z diska ne bodo uspeli, razen če je naprava posodobljena z ublažitvijo ali zaklepanjem UEFI.

Pomembno Priporočamo, da pred nadaljevanjem ustvarite obnovitveni pogon. Ta medij lahko uporabite za vnovično namestitev naprave, če pride do večje težave.

Če želite posodobiti zunanji zagonski medij, sledite tem korakom:

  1. Pojdite v napravo, v kateri so bile nameščene posodobitve sistema Windows, izdane 13. avgusta 2024 ali po tem.

  2. Zunanji zagonski medij pritrdite kot črko pogona. Na primer, vpenjajte ključek s palcem kot D:.

  3. Kliknite Start, v iskalno polje vnesite Ustvariobnovitveni pogon in nato kliknite Ustvari nadzorno ploščo obnovitvenega pogona. Sledite navodilom za ustvarjanje obnovitvenega pogona z vpetim palčnim pogonom.

  4. Ko je na novo ustvarjen medij vpet, kopirajte datoteko SkuSiPolicy.p7b v <MediaRoot>\EFI\Microsoft\Boot (na primer D:\EFI\Microsoft\Boot).

  5. Varno odstranite nameščeni palčni pogon.

Če namestitveno predstavnost v svojem okolju upravljate z namestitvenim medijem Za posodobitev sistema Windows z navodili za dinamično posodobitev, sledite tem korakom:

  1. Pojdite v napravo, v kateri so bile nameščene posodobitve sistema Windows, izdane 13. avgusta 2024 ali po tem.

  2. Upoštevajte navodila v članku Posodobitev namestitvenega medija za Windows z dinamično posodobitvijo, da ustvarite medij, ki ima nameščene posodobitve sistema Windows, izdane 13. avgusta 2024 ali po tem.

  3. Položite vsebino nosilca podatkov na ključek USB in vstavite ključek USB kot črko pogona. Na primer, ključek palca pritrdite kot D:.

  4. Kopirajte SkuSiPolicy.p7b v<MediaRoot>\EFI\Microsoft\Boot (na primer D:\EFI\Microsoft\Boot).

  5. Varno odstranite nameščeni palčni pogon.

Dnevniki dogodkov sistema Windows

Windows zabeleži dogodke, ko se naložijo pravilniki o celovitosti kode, vključno s skuSiPolicy.p7b, in ko je datoteka zaradi uveljavljanja pravilnika blokirana zaradi nalaganja. S temi dogodki lahko preverite, ali je bila ublažitev uporabljena.

Dnevniki celovitosti kod so na voljo v Pregledovalniku dogodkov sistema Windows v dnevnikih aplikacij > storitev v sistemu Microsoft > Windows > CodeIntegrity > Dnevniki aplikacij > storitev >Storitve se > dnevniki storitve microsoft >Windows > AppLocker > MSI > Script.

Če želite več informacij o dogodkih za celovitost kode, glejte Vodnik za delovanje funkcije Windows Defender Application Control.

Dogodki aktiviranja pravilnika

Dogodki aktiviranja pravilnika so na voljo v Pregledovalniku dogodkov sistema Windows v razdelku Dnevniki aplikacij in storitev >Microsoft > Windows > CodeIntegrity > Delovanje.

Dogodek CodeIntegrity 3099 označuje, da je bil pravilnik naložen in vključuje podrobnosti o naloženem pravilniku. Informacije v dogodku vključujejo prijazno ime pravilnika, globalni enolični identifikator (GUID) in hash pravilnika. Več dogodkov CodeIntegrity Event 3099 bo prisotnih, če je v napravi uporabljenih več pravilnikov o celovitosti kod.

Ko bo uporabljen pravilnik nadzora, se bo prikazal dogodek s temi informacijami:

  • PolicyNameBuffer – pravilnik varnostnega nadzora na podlagi virtualizacije sistema Microsoft Windows

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PravilnikHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Pravilnik o varnostnem nadzoru, ki temelji na storitvi Microsoft Virtualization

Ko bo uporabljen Microsoftov pravilnik o preklicu (SkuSiPolicy.p7b), se bo prikazal dogodek s temi informacijami (glejte posnetek zaslona dogodka CodeIntegrity 3099 spodaj):

  • PolicyNameBuffer – pravilnik SI za Microsoft Windows

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PravilnikHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Pravilnik SI za inventarne številke za Microsoft Windows

Če ste uporabili pravilnik nadzora ali ublažitev posledic za svojo napravo in codeIntegrity Event 3099 za uporabljeni pravilnik ni prisoten, se pravilnik ne uveljavlja. Če želite preveriti , ali je bil pravilnik nameščen pravilno, si oglejte navodila za uvajanje.

Nadzor in blokiranje dogodkov

Nadzor celovitosti kode > dogodki bloka so na voljo v Pregledovalniku dogodkov sistema Windows v dnevnikih aplikacij > storitev v dnevnikih microsoft > Windows > CodeIntegrity > Operational > Application and Services logs > Microsoft > Windows > AppLocker > MSI and Script.

Prejšnje mesto pisanja dnevnika vključuje dogodke o nadzoru izvedljivih datotek, dll in gonilnikov. Zadnje mesto pisanja dnevnikov vključuje dogodke o nadzoru namestitvenih programov MSI, skript in predmetov COM.

Dogodek CodeIntegrity Event 3076 v dnevniku »CodeIntegrity – operativna« je glavni dogodek bloka za pravilnike načina nadzora in označuje, da bi bila datoteka blokirana, če bi bil uveljavljen pravilnik. Ta dogodek vključuje informacije o blokirani datoteki in o vsilitem pravilniku. Informacije o pravilniku v dogodku 3077 za datoteke, ki bi jih ublažila ublažitev posledic, bodo ustrezale informacijam pravilnika iz dogodka 3099.

CodeIntegrity Event 3077 v dnevniku »CodeIntegrity – Operational« označuje, da je bil izvedljivi, .dll ali gonilnik blokiran pred nalaganjem. Ta dogodek vključuje informacije o blokirani datoteki in o vsilitem pravilniku. Informacije o pravilniku v dogodku CodeIntegrity Event 3077 se bodo za datoteke, ki jih blokira ublažitev posledic, ujemale z informacijami pravilnika za SkuSiPolicy.p7b iz CodeIntegrity Event 3099. Dogodek CodeIntegrity Event 3077 ne bo prisoten, če v vaši napravi ni izvedljivih, .dll ali gonilnikov, ki bi kršili pravilnik o celovitosti kode.

Za druge nadzor celovitosti kode in blokiranje dogodkov glejte Razumevanje dogodkov nadzora aplikacije.

Postopek odstranjevanja in obnovitve pravilnika

Če pride do težav po uporabi ublažitve posledic, lahko z naslednjimi koraki odstranite ublažitev:

  1. Začasno onemogočite BitLocker, če je omogočen. V oknu ukaznega poziva na skrbniški ravni zaženite ta ukaz:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. V meniju BIOS-a UEFI izklopite varni zagon.Postopek izklopa varnega zagona se razlikuje med izdelovalci naprav in modeli. Če želite pomoč pri tem, kje izklopiti varni zagon, se obrnite na dokumentacijo proizvajalca naprave. Več podrobnosti najdete v članku Onemogočanje varnega zagona.

  3. Odstranite pravilnik SkuSiPolicy.p7b.

    1. Zaženite Windows kot običajno in se nato vpišite.Pravilnik SkuSiPolicy.p7b je treba odstraniti z naslednjega mesta:

      • <Particija sistema EFI>\Microsoft\Boot\SKUSiPolicy.p7b

    2. Zaženite ta skript v povišani seji Windows PowerShell, da počistite pravilnik s teh mest:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem). AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }$MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      if (Test-Path $EFIPolicyPath ) {Remove-Item-Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. Vklopite varni zagon iz bios-a.Za informacije o tem, kje vklopiti varni zagon, glejte dokumentacijo proizvajalca vaše naprave.Če ste v 1. koraku izklopili varni zagon in je vaš pogon zaščiten s funkcijo BitLocker, začasno prekinite zaščito za BitLocker in nato v meniju BIOS-a UEFI vklopite varni zagon.

  5. Vklopite BitLocker. V oknu ukaznega poziva na skrbniški ravni zaženite ta ukaz:

    Manager-bde -protectors -enable c:

  6. Znova zaženite napravo.

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.