Datum izvirne objave: 13. februar 2025
ID zbirke znanja: 5053946
Uvod
V tem dokumentu je opisana uvedba zaščite pred javno razkritim obhodom varnostne funkcije varnega zagona, ki uporablja komplet zagonov BlackLotus UEFI, ki jim sledi CVE-2023-24932 za poslovna okolja.
Da bi preprečili motnje, Microsoft ne načrtuje uvedbe teh ublažitev posledic v podjetjih, vendar zagotavlja ta navodila, ki podjetjem pomagajo sami uveljaviti ublažitev posledic. To podjetjem omogoča nadzor nad načrtom uvajanja in časovnim usklajevanjem uvajanja.
Prvi koraki
Uvajanje smo razdelili na več korakov, ki jih je mogoče doseči na časovnici, ki ustreza vaši organizaciji. Seznanite se s temi koraki. Ko dobro razumete korake, razmislite o tem, kako bodo delovali v vašem okolju, in pripravite načrte uvedbe, ki delujejo za vaše podjetje na časovnici.
Če želite dodati novo potrdilo za Windows UEFI CA 2023 in potrdilo Microsoft Windows Production PCA 2011, ki ni zaupanja vreden, zahteva sodelovanje vdelane programske opreme naprave. Ker obstaja velika kombinacija strojne in vdelane programske opreme naprave in Microsoft ne more preskusiti vseh kombinacij, vam priporočamo, da preskusite reprezentativne naprave v svojem okolju, preden jih uvedete širše. Priporočamo, da preskusite vsaj eno napravo posamezne vrste, ki je uporabljena v vaši organizaciji. Nekatere znane težave z napravami, ki blokirajo te ublažitve posledic, so dokumentirane kot del sistema KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932. Če zaznate težavo z vdelano programsko opremo naprave , ki ni navedena v razdelku Znane težave, se obrnite na dobavitelja strojne opreme, da odpravite težavo.
Ker se ta dokument sklicuje na več različnih potrdil, so predstavljena v spodnji tabeli za preprosto sklicevanje in jasnost:
|
Stari stolpci za 2011 |
Novi stolpci za 2023 (poteče leta 2038) |
Funkcija |
|
Microsoft Corporation KEK CA 2011 (poteče julija 2026) |
Microsoft Corporation KEK CA 2023 |
Podpiše posodobitve zbirke podatkov in zbirke podatkov DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (poteče oktobra 2026) |
Windows UEFI CA 2023 (PCA2023) |
Podpiše se za nalaganje zagona sistema Windows |
|
Microsoft Corporation UEFI CA 2011 (poteče julija 2026) |
Microsoft UEFI CA 2023 in Microsoft Option ROM UEFI CA 2023 |
Podpiše zagonske programe drugih ponudnikov in ROM-je z možnostjo |
Pomembno Pred preskušanjem naprav z ublažitvijo posledic ne pozabite uporabiti najnovejših varnostnih posodobitev za preskusne računalnike.
Opomba Med preskušanjem vdelane programske opreme naprave lahko odkrijete težave, ki preprečujejo pravilno delovanje posodobitev varnega zagona. Za to boste morda morali pridobiti posodobljeno vdelano programsko opremo proizvajalca (OEM) in posodobiti vdelano programsko opremo v prizadetih napravah, da boste lahko ublažili težave, ki jih odkrijete.
Obstajajo štiri ublažitve posledic, ki jih je treba izvesti za zaščito pred napadi, opisanimi v CVE-2023-24932:
-
Ublažitev 1: Namestitev posodobljene definicije potrdila (PCA2023) v DB
-
Ublažitev 2:Posodobite upravitelja zagona v svoji napravi
-
Ublažitev 3:Omogočanje preklica (PCA2011)
-
Ublažitev 4:Uporaba posodobitve SVN za vdelano programsko opremo
Te štiri ublažitve posledic lahko ročno uporabite za vsako od preskusnih naprav tako, da upoštevate navodila, opisana v smernicah za uvajanje ublažitve posledic v sistemu KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932, ali tako, da upoštevate navodila v tem dokumentu. Vsi štirje mitigations zanašajo na firmware za pravilno delovanje.
Razumevanje spodaj navedenih tveganj vam bo v pomoč med postopkom načrtovanja.
Težave z vdelano programsko opremo:Vsaka naprava ima vdelano programsko opremo, ki jo zagotovi proizvajalec naprave. Za postopke uvajanja, opisane v tem dokumentu, mora vdelana programska oprema omogočati sprejemanje in obdelavo posodobitev zbirke podatkov za varni zagon (zbirka podatkov s podpisi) in DBX (prepovedana zbirka podatkov podpisov). Poleg tega je za preverjanje veljavnosti podpisa ali zagonskih aplikacij odgovorna vdelana programska oprema, vključno z upraviteljem zagona sistema Windows. Vdelana programska oprema naprave je programska oprema in ima lahko tako kot katera koli programska oprema napake, zato je pomembno, da te operacije preskusite pred splošno uvedbo.Microsoft v teku preskuša številne kombinacije naprav/vdelane programske opreme, in sicer z napravami v Microsoftovih laboratorijih in pisarnah, Microsoft pa s proizvajalci strojne opreme preskuša svoje naprave. Skoraj vse preskušene naprave so že minile brez težav. V nekaterih primerih smo opazili težave z vdelano programsko opremo, ki ne obravnava pravilno posodobitev, in sodelujemo z proizvajalci strojne opreme, da bi obravnavali težave, za katere vemo.
Opomba Če med preskušanjem naprave zaznate težavo z vdelano programsko opremo, priporočamo, da pri proizvajalcu strojne opreme ali proizvajalcu strojne opreme odpravite težavo. Poiščite ID dogodka 1795 v dnevniku dogodkov. Za več KB5016061 o dogodkih varnega zagona glejte članek KB5016061: DB za varni zagon in spremenljivi dogodki posodobitve DBX.
Namestitev predstavnosti:Z uporabo ublažitve posledic 3 in ublažitve posledic 4, opisanih v nadaljevanju tega dokumenta, vseh obstoječih namestitvenih medijev sistema Windows ne bo več mogoče zagnati, dokler medij nima posodobljenega upravitelja zagona. Ublažitve posledic, opisane v tem dokumentu, preprečujejo izvajanje starih, ranljivih upraviteljev zagona tako, da jih ne zaupajo vdelani programski opremi. To napadalcu preprečuje, da bi povrniti upravitelja zagona sistema na prejšnjo različico in izkoriščati ranljivosti, ki so prisotne v starejših različicah. Blokiranje teh ranljivih upraviteljev zagona ne bi moralo vplivati na sistem, ki se izvaja. Vendar pa prepreči zagon zagonskega medija, dokler se upravitelji zagona na mediju ne posodobijo. To vključuje slike ISO, zagonske pogone USB in zagon omrežja (zagon PxE in HTTP).
Posodobitev za PCA2023 in novega upravitelja zagona
-
Mitigation 1: Install the updated certificate definitions to the DB Doda novo potrdilo windows UEFI CA 2023 v zbirko podatkov za podpis varnega zagona vmesnika UEFI (DB). Če dodate to potrdilo v DB, vdelana programska oprema naprave zaupa aplikacijam za zagon sistema Microsoft Windows, ki so podpisane s tem potrdilom.
-
2. ublažitev posledic: posodobite upravitelja zagona v napravi Uporabi novega upravitelja zagona sistema Windows, ki je podpisan z novim potrdilom za Windows UEFI CA 2023.
Te ublažitve posledic so pomembne za dolgoročno uporabnost sistema Windows v teh napravah. Ker bo potrdilo za Microsoft Windows Production PCA 2011 v vdelani programski opremi poteklo oktobra 2026, morajo imeti naprave v vdelani programski opremi novo potrdilo za Windows UEFI CA 2023 pred potekom ali pa naprava ne bo več mogla prejemati posodobitev sistema Windows, zaradi tega pa bodo v ranljivem varnostnem stanju.
Če želite informacije o tem, kako uveljaviti ublažitev posledic 1 in ublažitev posledic 2 v dveh ločenih korakih (če želite biti vsaj prvi bolj previdni), glejte KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932. Obe ublažitvi posledic pa lahko uveljavite tako, da kot skrbnik zaženete ta postopek z enim registrskim ključem:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Ko bodo ublažitve posledic uporabljene, bodo biti v ključu AvailableUpdates počiščeni. Ko jo nastavite na 0x140 in jo znova zaženete, se bo vrednost spremenila v 0x100 nato pa se bo po ponovnem zagonu spremenila v 0x000.
Ublažitev upravitelja zagona ne bo uporabljena, dokler vdelana programska oprema ne naka e, da je ublažitev 2023 potrdila uspešno uporabljena. Teh operacij ni mogoče izvesti po vrstnem redu.
Ko sta uporabljeni obe ublažitvi posledic, bo registrski ključ nastavljen tako, da pomeni, da sistem omogoča »2023«, kar pomeni, da je medij mogoče posodobiti, nastaviti ublažitev 3 in ublažitev posledic 4 pa se lahko uporabita.
V večini primerov je treba za dokončanje ublažitve posledic 1 in ublažitve posledic 2 v celoti uporabiti vsaj dva vnovična zagona. Z dodajanjem dodatnih ponovnih zagonov v okolje boste zagotovili, da bodo ublažitve posledic uporabljene prej. Vendar pa morda ne bo praktično umetno vnesti dodatnih ponovnih zagonov in se lahko zanesete na mesečne ponovne zagone, do katerih pride pri uporabi varnostnih posodobitev. To pomeni manj motenj v okolju, vendar lahko traja dlje, da si zagotovite varnost.
Ko v svoje naprave uvedete ublažitev posledic 1 in ublažitev posledic 2, morate spremljati svoje naprave, da se prepričate, ali so ublažitve posledic uporabljene, zdaj pa lahko uporabljate tudi »2023«. Nadzor lahko izvedete tako, da v sistemu iščete ta registrski ključ. Če ključ obstaja in je nastavljen na 1, je sistem v spremenljivko DB za varni zagon dodal potrdilo 2023. Če ključ obstaja in je nastavljen na 2, ima sistem potrdilo 2023 v zbirki podatkov in se začne s podpisanim upraviteljem zagona 2023.
|
Registrski podključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Ime vrednosti ključa |
WindowsUEFICA2023Capable |
|
|
Podatkovni tip |
REG_DWORD |
|
|
Podatki |
0 – ali pa ključ ne obstaja – potrdilo »Windows UEFI CA 2023« ni v zbirki podatkov 1 – potrdilo »Windows UEFI CA 2023« je v zbirki podatkov 2 – potrdilo »Windows UEFI CA 2023« je v zbirki podatkov, sistem pa se začenja s podpisanega upravitelja zagona 2023. |
|
Posodobitev zagonskega medija
Po ublažitvi 1 in ublažitev posledic 2 za vaše naprave lahko posodobite vsak zagonski medij, ki ga uporabljate v svojem okolju. Posodobitev zagonskega medija pomeni, PCA2023 mediju uporabite podpisan upravitelja zagona. To vključuje posodobitev slik za zagon omrežja (na primer PxE in HTTP), slik ISO in pogonov USB. V nasprotnem primeru se naprave z uporabljenimi ublažitvijo posledic ne zaženejo z zagonskega medija, ki uporablja starejšega upravitelja zagona sistema Windows, in overitvijo digitalnih potrdil (CA).
Orodja in navodila za posodobitev posamezne vrste zagonskega medija so na voljo tukaj:
|
Vrsta predstavnosti |
Sredstvo |
|
ISO, pogoni USB in tako naprej |
KB5053484: Posodabljanje zagonskega medija sistema Windows za uporabo PCA2023 upravitelja zagona |
|
Zagonski strežnik PXE |
Dokumentacija, ki jo je treba predložiti pozneje |
Med postopkom posodabljanja predstavnosti morate medij preskusiti z napravo, ki ima vse štiri ublažitve posledic. Zadnji dve ublažitvi bosta blokirali starejše, ranljive upravitelje zagona. Pomemben del dokončanja tega postopka je, da imate medij s trenutnimi upravitelji zagona.
Opomba Ker so napadi upravitelja zagona povrnitev prejšnjega stanja resničnost in pričakujemo, da bodo s trenutnimi posodobitvami upravitelja zagona sistema Windows odpravili varnostne težave, priporočamo, da podjetja načrtujejo polprevodniškimi posodobitvami in na voljo so postopki za preproste in cenejše posodobitve predstavnosti. Naš cilj je omejiti število osveževanja upravitelja zagona predstavnosti na največ dvakrat letno, če je to mogoče.
Zagonski medij ne vključuje sistemskega pogona naprave, na katerem se običajno nahaja sistem Windows in se samodejno zažene. Zagonski medij se pogosto uporablja za zagon naprave, ki nima zagonske različice sistema Windows, zagonski medij pa se pogosto uporablja za namestitev sistema Windows v napravo.
Nastavitve varnega zagona vmesnika UEFI določajo, katerim upraviteljem zagona je treba zaupati z uporabo zbirke podatkov za varni zagon (zbirka podatkov s podpisi) in zbirke podatkov DBX (prepovedana zbirka podatkov podpisov). DB vsebuje lojnice in ključe za zaupanja vredno programsko opremo, DBX pa shranjuje preklicane, ogrožene in ne zaupanja vredne lojščine in ključe, da prepreči nepooblaščeno ali zlonamerno programsko opremo, da bi se izvajala med postopkom zagona.
Koristno je pomisliti na različna stanja, v katerem je lahko naprava in v katerem zagonski medij se lahko z napravo uporablja v vsakem od teh stanj. V vseh primerih vdelana programska oprema določi, ali naj zaupa upravitelju zagona, s katero je predstavljen, in ko zažene upravitelja zagona, se vdelana programska oprema ne posvetuje več z DB in DBX. Zagonski medij lahko uporabi upravitelja zagona, podpisanega s ca 2011, ali upravitelja zagona, podpisanega s ca 2023, ne pa obeh. V naslednjem razdelku je opisano, v katerih stanjih je lahko naprava, in v nekaterih primerih, v katerih medijih se lahko zažene iz naprave.
Ti scenariji naprav so lahko v pomoč pri ustvarjanju načrtov za uvedbo ublažitev posledic v vseh napravah.
Nove naprave
Nekatere nove naprave so začele špedicijo tako z različicami 2011 kot tudi z različicami 2023, vnaprej nameščenimi v vdelani programski opremi naprave. Nekateri proizvajalci niso preklopili tako, da bi imeli oboje in so morda še vedno naprave za pošiljanje z vnaprej nameščenim overitelja digitalnih potrdil iz leta 2011.
-
Naprave z različicami 2011 in 2023 lahko zaženejo medije, ki vključujejo upravitelja zagona, podpisanega s ca 2011, ali upravitelja zagona, podpisanega s ca 2023.
-
Naprave, v katerih je nameščen le ca 2011, lahko zaženejo le medije z upraviteljem zagona, podpisanim s ca 2011. Večina starejših medijev vključuje manger za zagon, podpisan s ca 2011.
Naprave z ublažitvijo posledic 1 in 2
Te naprave so bile vnaprej nameščene s ca 2011 in z uporabo ublažitve 1, zdaj imajo nameščen ca 2023. Ker te naprave zaupajo obema overiljam digitalnih potrdil, lahko te naprave zaženejo medij s overilja digitalnih potrdil (CA) 2011 in s podpisanim upraviteljem zagona 2023.
Naprave s ublažitvijo posledic 3 in 4
Te naprave imajo overilja digitalnih potrdil (CA) iz leta 2011 vključen v DBX in ne bodo več zaupanja v zaupane medije z upraviteljem zagona, podpisanim s ca 2011. Naprava s to konfiguracijo zažene predstavnost le z upraviteljem zagona, podpisanim s ca 2023.
Ponastavitev varnega zagona
Če so bile nastavitve varnega zagona ponastavljene na privzete vrednosti, morebitne ublažitve posledic, ki so bile uporabljene v zbirki podatkov (dodajanje ca 2023) in DBX (ki ni vreden zaupanja ca 2011), morda ne bodo več na voljo. Delovanje je odvisno od privzetih nastavitev vdelane programske opreme.
DBX
Če so bile uporabljene ublažitve posledic 3 in/ali 4 in je DBX počiščen, potem ca 2011 ne bo na seznamu DBX in bo še vedno zaupanja vreden. Če pride do tega, boste morali znova uporabiti ublažitve posledic 3 in/ali 4.
DB
Če je DB vsebovala overitve digitalnih potrdil (CA) 2023 in je bila odstranjena s ponastavitvijo nastavitev varnega zagona na privzete nastavitve, se sistem morda ne bo zaganjal, če se naprava zanaša na upravitelja zagona, podpisanega s ca 2023. Če se naprava ne zažene, uporabite orodje securebootrecovery.efi, opisano v članku KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932 , da obnovite sistem.
Preklic PCA2011 in uporaba številke varne različice za DBX
-
3. ublažitev posledic: omogočanje preklica Potrdilu Microsoft Windows Production PCA 2011 ne zaupa tako, da ga doda vdelani programski opremi DBX za varni zagon. To bo povzročilo, da vdelana programska oprema ne bo zaupanja v zaupanja v vse upravitelje zagona, podpisane s ca 2011, in vse predstavnosti, ki uporabljajo upravitelja zagona, podpisanega s ca 2011.
-
Mitigation 4: Apply the Secure Version Number update to the firmware Uporabi posodobitev svn (Secure Version Number) za vdelano programsko opremo DBX varnega zagona. Ko se zažene upravitelj zagona s podpisom 2023, izvede samodejno preverjanje tako, da primerja SVN, shranjen v vdelani programski opremi, s SVN-jem, vgrajenim v upravitelja zagona. Če je upravitelj zagona SVN nižji od vdelane programske opreme SVN, se upravitelj zagona ne bo zagnal. Ta funkcija napadalcu preprečuje povrnitev upravitelja zagona na starejšo, ne posodobljeno različico. Za prihodnje varnostne posodobitve upravitelja zagona bo SVN povečan, ublažitev 4 pa bo treba znova uporabiti.
Pomembno Ublažitev 1 in ublažitev 2 je treba dokončati pred uporabo ublažitve posledic 3 in 4.
Če želite informacije o tem, kako uveljaviti ublažitev posledic 3 in ublažitev posledic 4 v dveh ločenih korakih (če želite biti vsaj najprej bolj previdni), glejte KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932 Ali pa uporabite obe ublažitvi posledic tako, da kot skrbnik zaženete ta postopek z enim samim registrskim ključem:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Če obe ublažitvi posledic uporabite skupaj, boste za dokončanje postopka morali le en ponovni zagon.
-
Ublažitev 3: Preverite lahko, ali je bil seznam ukinjenih naslovov uspešno uporabljen, tako da iščete ID dogodka : 1037 v dnevniku dogodkov na KB5016061: dogodki posodobitve spremenljivke varnega zagona in DBX.Lahko pa kot skrbnik zaženete ta ukaz PowerShell in se prepričate, da vrne vrednost »True«:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Ublažitev 4: Način za potrditev, da je bila nastavitev SVN uporabljena, še ne obstaja. Ta razdelek bo posodobljen, ko bo na voljo rešitev.
Sklici
KB5016061: Dogodki posodobitve spremenljivih dogodkov za varni zagon DB in DBX
KB5053484: Posodabljanje zagonskega medija sistema Windows za uporabo PCA2023 upravitelja zagona
