Navodila za uvajanje podjetja za CVE-2023-24932

Uvajanje smo razdelili na več korakov, ki jih je mogoče doseči na časovnici, ki ustreza vaši organizaciji. Seznanite se s temi koraki. Ko dobro razumete korake, razmislite o tem, kako bodo delovali v vašem okolju, in pripravite načrte uvajanja, ki bodo delovali za vaše podjetje na vaši časovnici.

Če dodate novo potrdilo Windows UEFI CA 2023 in ne zaupate potrdilu Microsoft Windows Production PCA 2011, potrebujete sodelovanje vdelane programske opreme naprave. Ker obstaja velika kombinacija strojne opreme in vdelane programske opreme naprav in Microsoft ne more preskusiti vseh kombinacij, vam priporočamo, da pred široko uvedbo preskusite reprezentativne naprave v svojem okolju. Priporočamo, da preskusite vsaj eno napravo vsake vrste, ki jo uporabljate v organizaciji. Nekatere znane težave z napravami, ki bodo blokirale te ublažitve, so dokumentirane kot del KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932. Če opazite težavo z vdelano programsko opremo naprave, ki ni navedena v razdelku Znane težave , se obrnite na prodajalca strojne opreme, da jo odpravite.

Ker se ta dokument sklicuje na več različnih potrdil, so predstavljeni v naslednji tabeli za lažje sklicevanje in jasnost:

Stari CA za leto 2011	Novi CA za leto 2023 (poteče leta 2038)	Funkcija
Microsoft Corporation KEK CA 2011 (poteče julija 2026)	Microsoft Corporation KEK CA 2023	Podpiše posodobitve DB in DBX
Microsoft Windows Production PCA 2011 (PCA2011) (poteče oktobra 2026)	Windows UEFI CA 2023 (PCA2023)	Znaki zagonskega nalagalnika sistema Windows
Microsoft Corporation UEFI CA 2011 (poteče julija 2026)	Microsoft UEFI CA 2023 in Microsoftova možnost ROM UEFI CA 2023	Podpiše zagonske nalagalnike tretjih oseb in možnosti ROM

Za zaščito pred napadi, opisanimi v CVE-2023-24932, je treba uporabiti štiri ublažitve:

• Ublažitev 1: Namestitev posodobljene definicije potrdila (PCA2023) v zbirko podatkov

• Ublažitev 2:Posodabljanje upravitelja zagona v napravi

• Ublažitev 3:Omogočanje preklica (PCA2011)

• Ublažitev 4:Uporaba posodobitve SVN za vdelano programsko opremo

Te štiri ublažitve lahko ročno uporabite za vsako preskusno napravo v skladu z navodili, opisanimi v smernicah za uvedbo za ublažitev tveganjaKB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932, ali upoštevajte navodila v tem dokumentu. Vse štiri ublažitve se zanašajo na pravilno delovanje vdelane programske opreme.

Razumevanje naslednjih tveganj vam bo pomagalo med postopkom načrtovanja.

Težave z vdelano programsko opremo:Vsaka naprava ima vdelano programsko opremo, ki jo je zagotovil proizvajalec naprave. Za postopke uvajanja, opisane v tem dokumentu, mora biti vdelana programska oprema sposobna sprejemati in obdelati posodobitve zbirke podatkov za varen zagon (zbirko podatkov o podpisih) in DBX (zbirko podatkov prepovedanih podpisov). Poleg tega je vdelana programska oprema odgovorna za preverjanje podpisa ali zagonskih aplikacij, vključno z upraviteljem zagona sistema Windows. Vdelana programska oprema naprave je programska oprema in ima lahko, tako kot vsaka programska oprema, napake, zato je pomembno, da te operacije preizkusite pred široko uporabo.

Microsoft nenehno preizkuša številne kombinacije naprav in vdelane programske opreme, začenši z napravami v Microsoftovih laboratorijih in pisarnah, Microsoft pa sodeluje s proizvajalci originalne opreme za testiranje njihovih naprav. Skoraj vse preizkušene naprave so opravile brez težav. V nekaj primerih smo opazili težave z vdelano programsko opremo, ki ni pravilno obravnavala posodobitev, in sodelujemo s proizvajalci originalne opreme, da bi rešili težave, ki jih poznamo.

Namestite medije:Če uporabite ublažitev 3 in ublažitev 4, opisano v nadaljevanju tega dokumenta, obstoječi namestitveni mediji sistema Windows ne bodo več zagonski, dokler medij ne bo imel posodobljenega upravitelja zagona. Ublažitve, opisane v tem dokumentu, preprečujejo delovanje starih, ranljivih upraviteljev zagona tako, da jim ne zaupajo v vdelano programsko opremo. S tem napadalcu preprečite, da bi povrnil upravitelja zagona sistema na prejšnjo različico in izkoristil ranljivosti, ki so prisotne v starejših različicah. Blokiranje teh ranljivih upraviteljev zagona ne bi smelo vplivati na delujoči sistem. Vendar pa bo preprečil zagon zagonskih medijev, dokler se upravljalniki zagona na medijih ne posodobijo. To vključuje slike ISO, zagonske pogone USB in zagon omrežja (zagon PxE in HTTP).

• Ublažitev 1: Namestitev posodobljenih definicij potrdil v zbirko podatkov
  
  Doda novo potrdilo Windows UEFI CA 2023 v zbirko podatkov UEFI Secure Boot Signature Database (DB). Če dodate to potrdilo v zbirko podatkov, bo vdelana programska oprema naprave zaupala zagonskim programom sistema Microsoft Windows, ki jih podpiše to potrdilo.

• 2. ublažitev: posodobite upravitelja zagona v napravi
  
  Uporabi novega upravitelja zagona sistema Windows, podpisanega z novim potrdilom Windows UEFI CA 2023.

Te ublažitve so pomembne za dolgoročno uporabnost sistema Windows v teh napravah. Ker bo potrdilo Microsoft Windows Production PCA 2011 v vdelani programski opremi poteklo oktobra 2026, morajo imeti naprave novo potrdilo Windows UEFI CA 2023 v vdelani programski opremi pred potekom ali pa naprava ne bo več mogla prejemati posodobitev sistema Windows, zaradi česar bo v ranljivem varnostnem stanju.

Če želite uporabiti vse ublažitve skupaj, zaženite ta ukaz kot skrbnik:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ko veljajo ublažitve, se biti v vrednosti AvailableUpdates izbrišejo. To lahko zahteva več vnovičnih zagonov.

Ublažitev upravitelja zagona se uporabi šele, ko vdelana programska oprema sporoči, da je ublažitev potrdila končana. Teh korakov ni mogoče izvesti izven vrstnega reda.

Ko je končano, je stanje UEFICA2023 nastavljeno na »Posodobljeno«.

Nekatere naprave so morda že posodobljene, če so razvrščene kot visoko zaupanje. Za podrobnosti glejte Navodila za varen zagon.

Ko uvedete ublažitve v naprave, morate spremljati naprave, da se prepričate, da so v njih uporabljene ublažitve in so zdaj »posodobljene«. Spremljanje lahko izvedete tako, da v sistemu poiščete naslednji registrski ključ. Če ključ obstaja in je nastavljen na InProgress, je sistem začel posodabljati sistem. Če ključ obstaja in je nastavljen na Posodobljeno, ima sistem potrebna potrdila 2023 v DB in KEK in se začne s podpisanim upraviteljem zagona 2023.

Registrski podključ	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Ime vrednosti ključa	UEFICA2023Status
Podatkovni tip	REG_SZ (niz)
Podatki	Odraža trenutno stanje posodobitve ključa za varen zagon v napravi. Nastavljena bo na eno od naslednjih besedilnih vrednosti: NotStarted: posodobitev se še ni zagnala. V teku: posodobitev je v teku. Posodobljeno: posodobitev je bila uspešno dokončana. Na začetku je stanje NotStarted. Ko se posodobitev začne, se spremeni v InProgress in končno v Posodobljeno, ko so nameščeni vsi novi ključi in nov upravitelj zagona. Če pride do napake, je vrednost registra UEFICA2023Error nastavljena na kodo, ki ni ničelna.

Ko v napravah uporabite ublažitev 1 in 2, lahko posodobite vse zagonske medije, ki jih uporabljate v svojem okolju. Posodobitev zagonskega medija pomeni, da na medij uporabite PCA2023 podpisanega upravitelja zagona. To vključuje posodabljanje omrežnih zagonskih posnetkov (kot sta PxE in HTTP), posnetkov ISO in pogonov USB. V nasprotnem primeru se naprave z uporabljenimi ublažitvami ne bodo zagnale z zagonskega medija, ki uporablja starejši upravitelj zagona sistema Windows in potrdilo CA-je 2011. ​​​​

Orodja in navodila za posodobitev posameznih vrst zagonskih medijev so na voljo tukaj:

Vrsta medija	Vir
ISO, pogoni USB in tako naprej	KB5053484: Posodabljanje zagonskega medija sistema Windows za uporabo PCA2023 podpisanega upravitelja zagona
Zagonski strežnik PXE	Dokumentacijo je treba predložiti pozneje

Med posodabljanjem predstavnosti preskusite medij z napravo, ki ima vse štiri ublažitve. Zadnji dve ublažitvi bosta blokirali starejše, ranljive upravitelje zagonov. Vzpostavitev medijev s trenutnimi upravitelji zagonov je pomemben del dokončanja tega procesa.

Zagonski medij ne vključuje sistemskega pogona naprave, kjer je Windows običajno nameščen in se samodejno zažene. Zagonski medij se običajno uporablja za zagon naprave, ki nima zagonske različice sistema Windows, zagonski medij pa se pogosto uporablja za namestitev sistema Windows v napravo.

Nastavitve varnega zagona UEFI določajo, katerim upraviteljem zagona zaupati z uporabo zbirke podatkov o varnem zagonu (zbirka podatkov o podpisih) in DBX (zbirka podatkov o prepovedanih podpisih). Zbirka podatkov vsebuje zgoščevanje in ključe za zaupanja vredno programsko opremo, DBX pa shranjuje preklicane, ogrožene in nezaupanja vredne zgoščevanje in ključe, da prepreči zagon nepooblaščene ali zlonamerne programske opreme med postopkom zagona.

Koristno je razmisliti o različnih stanjih, v katerih je lahko naprava, in o tem, kateri zagonski medij se lahko uporablja z napravo v vsakem od teh stanj. V vseh primerih vdelana programska oprema določi, ali naj zaupa upravitelju zagona, ki mu je predstavljen, in ko zažene upravitelja zagona, se vdelana programska oprema ne posvetuje več z DB in DBX. Zagonski mediji lahko uporabljajo upravitelja zagona s podpisom CA 2011 ali upravitelja zagona s podpisom CA 2023, vendar ne obojega. V naslednjem razdelku je opisano, v katerih stanjih je lahko naprava in v nekaterih primerih kateri mediji se lahko zaženejo iz naprave.

Ti scenariji naprav so lahko v pomoč pri načrtovanju uvedbe ublažitev v vseh napravah.

Nove naprave

Nekatere nove naprave so se začele dobavljati s CA 2011 in 2023, ki sta bila vnaprej nameščena v vdelani programski opremi naprave. Vsi proizvajalci niso prešli na oboje in morda še vedno pošiljajo naprave samo z vnaprej nameščenim CA 2011.

• Naprave s CA 2011 in 2023 lahko zaženejo medije, ki vključujejo upravitelja zagona s podpisom CA 2011 ali upravitelja zagona s podpisom CA 2023.

• Naprave, v katerih je nameščen samo CA 2011, lahko zaženejo samo medij z upraviteljem zagona s podpisom CA 2011. Večina starejših medijev vključuje CA podpisane iz leta 2011.

Naprave z ublažitvami 1 in 2

Te naprave so bile vnaprej nameščene s CA 2011 in z uporabo ublažitve 1 imajo zdaj nameščen CA 2023. Ker ti napravi zaupata obema CA, lahko ti napravi zaženeta medij s CA 2011 in 2023 podpisanim upraviteljem zagona.

Naprave z ublažitvami 3 in 4

Te naprave imajo CA 2011 vključen v DBX in ne bodo več zaupali medijem z 2011 CA podpisanim upraviteljem zagona. Naprava s to konfiguracijo bo zagnala medij samo z upraviteljem zagona s podpisom CA 2023.

Ponastavitev varnega zagona

Če so bile nastavitve varnega zagona ponastavljene na privzete vrednosti, morebitne ublažitve, ki so bile uporabljene za zbirko podatkov (dodajanje CA-ja 2023) in DBX (nezaupanje vredno potrdilu 2011), morda ne bodo več na voljo. Vedenje bo odvisno od privzetih nastavitev vdelane programske opreme.

DBX

Če so bile uporabljene ublažitve 3 in/ali 4 in je DBX izbrisan, potem CA 2011 ne bo na seznamu DBX in bo še vedno zaupanja vreden. Če se to zgodi, bo potrebna ponovna uporaba ublažitev 3 in/ali 4.

Zbirka podatkov

Če je zbirka podatkov vsebovala CA 2023 in je odstranjena s ponastavitvijo nastavitev varnega zagona na privzete vrednosti, se sistem morda ne bo zagnal, če se naprava zanaša na 2023 CA podpisanega upravitelja zagona. Če se naprava ne zažene, uporabite orodje securebootrecovery.efi, opisano v KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932 , da obnovite sistem.

• Ublažitev 3: Omogočanje preklica
  
  Ne zaupa potrdilu Microsoft Windows Production PCA 2011 tako, da ga doda v vdelano programsko opremo Secure Boot DBX. To bo povzročilo, da vdelana programska oprema ne bo zaupala vsem upraviteljem zagona s podpisom CA 2011 in vsem medijem, ki se zanašajo na upravitelja zagona s podpisom CA 2011.

• 4. ublažitev: uporaba posodobitve varne številke različice za strojno programsko opremo
  
  Uporabi posodobitev Secure Version Number (SVN) za varno zagon DBX vdelane programske opreme. Ko se začne izvajati upravitelj zagona, podpisan leta 2023, izvede samopreverjanje s primerjavo SVN, shranjenega v vdelani programski opremi, z SVN, vgrajenim v upravitelja zagona. Če je SVN upravitelja zagona nižji od SVN vdelane programske opreme, se upravitelj zagona ne bo zagnal. Ta funkcija preprečuje napadalcu, da bi povrnil upravitelja zagona na starejšo, neposodobljeno različico. Za prihodnje varnostne posodobitve upravitelja zagona se SVN poveča in znova bo treba uporabiti ublažitev 4.

Pomembno Ublažitev 1 in ublažitev 2 je treba dokončati pred uporabo ublažitve 3 in ublažitve 4.

Če želite več informacij o uporabi ublažitve 3 in ublažitve 4 v dveh ločenih korakih (če želite biti bolj previdni, vsaj na začetku), glejte KB5025885: Upravljanje preklicov upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932 Ali pa lahko uporabite obe ublažitvi tako, da kot skrbnik zaženete to operacijo z enim registrskim ključem:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Uporaba obeh ublažitev skupaj bo za dokončanje operacije potrebna le en ponovni zagon.

• Ublažitev 3: Preverite, ali je bil seznam preklicanih primerov uspešno uporabljen, tako da v dnevniku dogodkov poiščete ID dogodka: 1037 na KB5016061: Secure Boot DB in dogodki posodobitve spremenljivke DBX.
  
  Lahko pa zaženete naslednji ukaz PowerShell kot skrbnik in se prepričate, da vrne True:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Ublažitev 4: Način za potrditev, da je bila nastavitev SVN uporabljena, še ne obstaja. Ta razdelek bo posodobljen, ko bo na voljo rešitev.