Primenjuje se na
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Originalni datum objavljivanja: 9 maja, 2023

KB ID: 5025885

VAŽNO Trebalo bi da primenite bezbednosnu ispravku za Windows objavljenu 8. jula 2025. ili noviju ispravku kao deo redovnog mesečnog procesa ažuriranja.

Ovaj članak se odnosi na one organizacije koje bi trebalo da počnu da procenjuju ublažavanja za javno objavljeni zaobilazak bezbednog pokretanja koji koristi BlackLotus UEFI bootkit. Pored toga, možda ćete želeti da zauzmete proaktivan stav o bezbednosti ili da počnete sa pripremama za uvođenje. Imajte na umu da ovaj malver zahteva fizički ili administrativni pristup uređaju.

UPOZORENJE Kada se na uređaju omogući ublažavanje ovog problema, što znači da su rešenja primenjena, nije ga moguće poništiti ako nastavite da koristite bezbedno pokretanje na tom uređaju. Čak ni ponovno formatiranje diska neće ukloniti opozive ako su već primenjeni. Budite svesni svih mogućih implikacija i temeljno testirajte pre nego što na uređaj primenite opozive navedene u ovom članku.

U ovom članku

Rezime

Ovaj članak opisuje zaštitu od zaobilaženja javno objavljenih bezbednosnih funkcija Secure Boot koje koristi BlackLotus UEFI bootkit koji prati CVE-2023-24932, način omogućavanja ublažavanja i uputstva za medijum koji se može pokrenuti. Bootkit je zlonamerni program koji je dizajniran da se što pre učita u sekvenci pokretanja uređaja da bi se kontrolisalo pokretanje operativnog sistema.

Microsoft preporučuje bezbedno pokretanje sistema kako bi se napravila bezbedna i pouzdana putanja od objedinjenog proširivog interfejsa firmvera (UEFI) preko sekvence pouzdanog pokretanja Windows jezgra. Bezbedno pokretanje sistema pomaže u sprečavanju bootkit malvera u redosledu pokretanja. Onemogućavanje bezbednog pokretanja sistema izlaže uređaj riziku da bude zaražen bootkit malverom. Popravljanje zaobilaska za bezbedno pokretanje opisanog u CVE-2023-24932 zahteva opoziv menadžera za pokretanje. To može da dovede do problema kod nekih konfiguracija pokretanja uređaja.

Ublažavanja zaobilaska bezbednog pokretanja detaljno opisana u CVE-2023-24932 uključena su u bezbednosne ispravke operativnog sistema Windows koje su objavljene 9. jula 2024. i novije ispravke. Međutim, ova rešenja nisu podrazumevano omogućena. Sa ovim ispravkama, preporučujemo da počnete da procenjujete ove promene unutar okruženja. Kompletan raspored je opisan u odeljku "Vreme ažuriranja ".

Pre nego što omogućite ova rešenja, trebalo bi da detaljno pregledate detalje u ovom članku i utvrdite da li treba da omogućite ublažavanja ili sačekate buduće ažuriranje korporacije Microsoft. Ako odaberete da omogućite ublažavanja, morate da proverite da li su uređaji ažurirani i spremni i da razumete rizike opisane u ovom članku. 

nazad na vrh 

Aktivirajte se 

Za ovo izdanje treba pratiti sledeće korake:

1. korak: Instalirajte bezbednosnu ispravku za Windows objavljenu 8. jula 2025. ili noviju ispravku za sve podržane verzije.

2. korak: Procenite promene i način na koji one utiču na okruženje.

3. korak: Nametanje promena.

nazad na vrh  

Opseg uticaja

BlackLotus bootkit utiče na sve Windows uređaje sa omogućenom zaštitom za bezbedno pokretanje. Ublažavanja su dostupna za podržane verzije operativnog sistema Windows. Kompletnu listu potražite u članku CVE-2023-24932.

nazad na vrh  

Razumevanje rizika

Rizik od malvera: Da bi BlackLotus UEFI bootkit zloupotreba opisana u ovom članku bila moguća, napadač mora da stekne administrativne privilegije na uređaju ili da dobije fizički pristup uređaju. To se može uraditi fizičkim ili daljinskim pristupom uređaju, kao što je korišćenje hipervizora za pristup virtuelnim mašinama/oblaku. Napadač će često koristiti ovu ranjivost da bi nastavio da kontroliše uređaj kojem već može da pristupi i eventualno manipuliše. Ublažavanja u ovom članku su preventivna, a ne korektivna. Ako je vaš uređaj već ugrožen, obratite se za pomoć dobavljaču bezbednosti.

Mediji za oporavak: Ako naiđete na problem sa uređajem nakon primene rešenja i uređaj postane nemoguć za pokretanje, možda nećete moći da pokrenete ili oporavite uređaj sa postojećeg medija. Medijum za oporavak ili instalaciju treba da se ažurira kako bi radio sa uređajem na koji su primenjena rešenja.

Problemi sa firmverom: Kada Windows primeni rešenja opisana u ovom članku, mora da se oslanja na UEFI firmver uređaja da bi ažurirao vrednosti bezbednog pokretanja (ispravke se primenjuju na ključ baze podataka (DB) i ključ zabranjenog potpisa (DBX)). U nekim slučajevima imamo iskustva sa uređajima koji ne uspevaju da se ažuriraju. Sarađujemo sa proizvođačima uređaja da bismo testirali ove ključne ispravke na što većem broju uređaja.

NAPOMENA Prvo testirajte ova rešenja na jednom uređaju po klasi uređaja u okruženju da biste otkrili moguće probleme sa firmverom. Nemojte primenjivati šire pre nego što potvrdite da su procenjene sve klase uređaja u vašem okruženju.

BitLocker oporavak: Neki uređaji mogu preći u BitLocker oporavak. Obavezno sačuvajte kopiju svog BitLocker ključa za oporavak pre nego što omogućite ublažavanja.

nazad na vrh  

Poznati problemi

Problemi sa firmverom:Neće svi firmveri uređaja uspešno ažurirati DB ili DBX bezbedno pokretanje sistema. U slučajevima kojih smo svesni, prijavili smo problem proizvođaču uređaja. Detalje o evidentiranim događajima potražite u članku KB5016061: Događaji ažuriranja promenljive DB i DBX bezbednog pokretanja . Obratite se proizvođaču uređaja za ažuriranja firmvera. Ako uređaj nije podržan, Microsoft preporučuje nadogradnju uređaja.

Poznati problemi sa firmverom:

NAPOMENA Sledeći poznati problemi nemaju uticaja na i neće sprečiti instalaciju ispravke od 8. jula 2025. ili novijih ispravki. U većini slučajeva, ublažavanja se neće primeniti tamo gde postoje poznati problemi. Pogledajte istaknute detalje u svakom poznatom problemu.

  • HP uređaji sa sigurnošću Sure Start: Ovim uređajima su potrebne najnovije ispravke firmvera od kompanije HP da bi se instaliralo ublažavanje. Ublažavanja se blokiraju dok se firmver ne ažurira. Instalirajte najnovije ažuriranje firmvera sa stranice HP-ove podrške – Zvanični HP upravljački programi i softver | HP podrška.

  • Uređaji zasnovani na Arm64: Ublažavanja su blokirana zbog poznatih problema sa UEFI firmverom sa uređajima zasnovanim na Qualcomm-u. Microsoft radi sa Qualcommom da bi rešio ovaj problem. Qualcomm će obezbediti popravku proizvođačima uređaja. Obratite se proizvođaču uređaja da biste utvrdili da li je rešenje za ovaj problem dostupno. Microsoft će dodati otkrivanje kako bi omogućio primenu ublažavanja na uređaje kada se otkrije fiksni firmver. Ako vaš uređaj zasnovan na Arm64 nema Qualcomm firmver, konfigurišite sledeći ključ registratora da biste omogućili ublažavanja.

    potključ registratora

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Ime ključne vrednosti

    Preskoči proveru uređaja

    Tip podataka

    REG_DWORD

    Podaci

    1

  • jabuka:Mac računari koji imaju Apple T2 bezbednosni čip podržavaju bezbedno pokretanje sistema. Međutim, ažuriranje UEFI bezbednosnih promenljivih dostupno je samo u sklopu macOS ispravki. Očekuje se da korisnici programa Boot Camp vide stavku evidencije događaja sa ID-om 1795 u operativnom sistemu Windows koja se odnosi na ove promenljive. Više informacija o ovoj stavci evidencije potražite u članku KB5016061: Događaji ažuriranja promenljive DB i DBX bezbednog pokretanja.

  • VMware:U okruženjima za virtuelizaciju zasnovanim na VMware-u, VM koji koristi procesor zasnovan na x86 sa omogućenim bezbednim pokretanjem neće uspeti da se pokrene nakon primene ublažavanja. Microsoft koordinira sa VMware da bi rešio ovaj problem.

  • Sistemi zasnovani na TPM 2.0:  Ovi sistemi koji rade pod operativnim sistemom Windows Server 2012 i Windows Server 2012 R2 ne mogu da primene rešenja objavljena u bezbednosnoj ispravci od 9. jula 2024. ili novijoj zbog poznatih problema sa kompatibilnošću sa merenjima TPM-a. Bezbednosna ispravka od 9. jula 2024. ili novija blokiraće ublažavanja #2 (upravljač pokretanjem) i #3 (DBX ispravka) na pogođenim sistemima.Microsoft je svestan ovog problema i u budućnosti će biti objavljena ispravka za deblokiranje sistema zasnovanih na TPM 2.0.Da biste proverili verziju modula pouzdane platforme, kliknite desnim tasterom miša na dugme "Start", izaberite stavku "Pokreni", a zatim otkucajte tpm.msc. U donjem desnom delu centralnog okna, u okviru informacija o TPM proizvođaču, trebalo bi da vidite vrednost za specifikaciju verzije.

  • Symantec Endpoint šifrovanje: Ublažavanja bezbednog pokretanja ne mogu se primeniti na sisteme koji su instalirali Symantec Endpoint Encryption. Microsoft i Symantec su svesni ovog problema i rešiće se u budućoj ispravci.

nazad na vrh  

Uputstva za ovo izdanje

Pratite ove korake za ovo izdanje.

1. korak: Instaliranje bezbednosne ispravke za Windows Instalirajte Windows mesečnu bezbednosnu ispravku objavljenu 8. jula 2025. ili noviju ispravku na podržanim Windows uređajima. Ove ispravke obuhvataju ublažavanja za CVE-2023-24932, ali nisu podrazumevano omogućene. Svi Windows uređaji bi trebalo da dovrše ovaj korak bez obzira na to da li planirate da primenite ublažavanja ili ne.

2. korak: Procena promena Podstičemo vas da uradite sledeće:

  • Razumejte prva dva rešenja koja omogućavaju ažuriranje baze podataka za bezbedno pokretanje i ažuriranje upravljača pokretanjem.

  • Pregledajte ažurirani raspored.

  • Počnite testiranje prva dva rešenja protiv reprezentativnih uređaja iz okruženja.

  • Počnite planiranje primene.

3. korak: Nametanje promena

Podstičemo vas da razumete rizike koji su navedeni u odeljku " Razumevanje rizika".

  • Razumeti uticaj na oporavak i druge medija za pokretanje.

  • Započnite testiranje trećeg rešenja koje poništava poverenja u certifikat potpisivanja koji se koristi za sve prethodne Windows upravljače pokretanjem.

nazad na vrh  

Smernice za primenu ublažavanja

Pre nego što ispratite ove korake za primenu ublažavanja, instalirajte mesečnu ispravku za servisiranje operativnog sistema Windows objavljenu 8. jula 2025. ili noviju ispravku na podržanim Windows uređajima. Ova ispravka sadrži ublažavanja za CVE-2023-24932, ali ona nisu podrazumevano omogućena. Svi Windows uređaji bi trebalo da dovrše ovaj korak, bez obzira na plan da biste omogućili ublažavanja.

NAPOMENA Ako koristite BitLocker, uverite se da ste napravili rezervnu kopiju svog BitLocker ključa za oporavak. Možete da pokrenete sledeću komandu sa komandne linije administratora i zabeležite 48-cifrenu numeričku lozinku:

manage-bde -protectors -get %systemdrive%

Da biste primenili ispravku i primenili opozive, pratite ove korake:

  1. Instalirajte 2023 Secure Boot sertifikate u DB.

    Ovaj korak će dodati 2023 Secure Boot sertifikate u UEFI "Secure Boot Signature Database" (DB) i promenljivu ključ za razmenu ključa. Pored toga, ažuriraće upravljač pokretanjem na 2023 potpisani upravljač pokretanjem.

    Napomena: Ovaj korak je možda već dovršen ako je uređaj označen kao "Visoka pouzdanost" u mesečnim kumulativnim Novosti. Više detalja potražite u članku Detaljniji pregled baze podataka i https://aka.ms/GetSecureBoot visokog stepena pouzdanosti.  

    1. Podesite ključ registratora da bi se izvršilo ažuriranje baze podataka. Da biste to uradili, otvorite prozor PowerShell komandne linije kao administrator, otkucajte svaku od sledećih komandi zasebno, a zatim pritisnite taster Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. Pokrenite sledeću PowerShell komandu kao administrator i potvrdite da je baza podataka uspešno ažurirana. Ova komanda bi trebalo da vrati vrednost "Tačno".

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

      Napomena Ponovno pokretanje može biti potrebno ako je funkcija virtuelnog bezbednog režima omogućena na uređaju. Ovo obuhvata funkcije kao što su Credential Guard, Device Guard i Windows Hello.

  2. Proverite da li su 2023 Secure Boot sertifikati i Upravljač pokretanjem ažurirani na vašem uređaju.

    Ovaj korak će proveriti da li su certifikati primenjeni i da je upravljač pokretanjem ažuriran na potpisanu verziju "'Windows UEFI CA 2023".

    Pokrenite sledeću PowerShell komandu kao administrator i potvrdite da su ispravke uspešno primenjene. Ova komanda bi trebalo da se vrati u tekst "Ažurirano".

    (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing").UEFICA2023Status

  3. Omogućite opoziv.

    UEFI lista zabranjenih ćelija (DBX) koristi se za blokiranje učitavanja nepouzdanih UEFI modula. U ovom koraku, ažuriranje DBX će dodati certifikat "Windows Production CA 2011" u DBX. Zbog toga više nećete imati poverenja u sve upravljače pokretanjem koje je potpisao ovaj certifikat.

    UPOZORENjE: Pre primene trećeg ublažavanja, kreirajte fleš disk za oporavak koji se može koristiti za pokretanje sistema. Informacije o tome kako to da uradite potražite u odeljku Ažuriranje Windows medijuma za instalaciju.

    Ako sistem dođe u stanje koje ne može da se pokrene, pratite korake u odeljku "Procedura oporavka" da biste uspostavili stanje pre opoziva.

    1. Dodajte certifikat "Windows Production PCA 2011" na listu zabranjenih stavki UEFI (DBX). Da biste to uradili, otvorite prozor komandne linije kao administrator, otkucajte svaku od sledećih komandi zasebno, a zatim pritisnite taster Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. Potvrdite da je lista instalacija i opoziv uspešno primenjena tako što ćete potražiti događaj 1037 u evidenciji događaja.Informacije o događaju 1037 potražite u KB5016061: Događaji ažuriranja promenljive DB i DBX bezbednog pokretanja. Ili pokrenite sledeću PowerShell komandu kao administrator i uverite se da vraća vrednost "Tačno":

      [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. Primenite SVN ispravku na firmver. Upravljač pokretanjem primenjen u 2. koraku ima ugrađenu novu funkciju samoopozivanja. Kada upravljač pokretanjem počne da radi, on vrši samoproveru tako što poredi broj bezbedne verzije (SVN) koji je uskladišten u firmveru, sa SVN ugrađenim u upravljač pokretanjem. Ako je SVN upravljača za pokretanje niži od SVN uskladištenog u firmveru, upravljač za pokretanje sistema će odbiti da se pokrene. Ova funkcija sprečava napadača da vrati upravljač pokretanjem na stariju, neažuriranu verziju.U budućim ažuriranjima, kada se popravi značajan bezbednosni problem u upravljaču pokretanjem, SVN broj će se povećavati i u upravljaču pokretanjem i u ažuriranju firmvera. Obe ispravke će biti objavljene u istoj kumulativnoj ispravci kako bi se obezbedilo da zakrpljeni uređaji budu zaštićeni. Svaki put kada se SVN ažurira, svi mediji za pokretanje će morati da se ažuriraju.Počevši od ažuriranja 9. jula 2024, SVN se povećava u upravljaču pokretanjem i ažuriranju firmvera. Ažuriranje firmvera je opcionalno i može da se primeni praćenjem sledećeg koraka:

    1. Primenite SVN ispravku na firmver. Da biste to uradili, otvorite prozor komandne linije kao administrator, otkucajte svaku od sledećih komandi zasebno, a zatim pritisnite taster Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

nazad na vrh  

Ažuriranje Windows instalacionog medijuma

NAPOMENA Kada kreirate USB fleš disk za pokretanje, obavezno formatirajte disk tako što ćete koristiti FAT32 sistem datoteka.

Možete da koristite aplikaciju " Kreiranje disk jedinice za oporavak " tako što ćete pratiti ove korake. Ovaj medijum se može koristiti za ponovno instaliranje uređaja U slučaju velikog problema, kao što je otkazivanje hardvera, moći ćete da koristite disk jedinicu za oporavak da biste ponovo instalirali Windows.

  1. Idite na uređaj na koji su primenjeni ažuriranje od 8. jula 2025. ili novija ispravka i prvi korak za ublažavanje (ažuriranje baze podataka za bezbedno pokretanje podataka).

  2. U meniju "Start " potražite aplet kontrolne table "Kreiraj disk jedinicu za oporavak" i sledite uputstva da biste kreirali disk jedinicu za oporavak.

  3. Kada je novokreiran fleš disk montiran (na primer, kao disk jedinica "D:"), pokrenite sledeće komande kao administrator. Otkucajte svaku od sledećih komandi, a zatim pritisnite taster Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ako upravljate medijima koji je moguće instalirati u okruženju pomoću vodiča za ažuriranje Windows instalacionog medijuma sa vodičem za dinamičko ažuriranje , pratite ove korake. Ovi dodatni koraci će kreirati fleš disk za pokretanje koji koristi boot datoteke potpisane "Windows UEFI CA 2023" certifikatom za potpisivanje.

  1. Idite na uređaj na koji je primenjena ispravka od 8. jula 2025. ili novija i prvi korak ublažavanja (ažuriranje baze podataka za bezbedno pokretanje podataka).

  2. Pratite korake u dolenavedenoj vezi da biste kreirali medije pomoću primenjene ispravke od 8. jula 2025. ili novije: Ažuriranje Windows instalacionog medijuma pomoću dinamičkog ažuriranja

  3. Postavite sadržaj medijuma na USB fleš disk i montirajte fleš disk kao oznaku disk jedinice. Na primer, montirajte fleš disk kao "D:".

  4. Pokrenite sledeće komande iz komandnog prozora kao administrator. Otkucajte svaku od sledećih komandi, a zatim pritisnite taster Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ako su postavke bezbednog pokretanja na uređaju resetovane na podrazumevane vrednosti nakon primene rešenja, uređaj se neće pokrenuti. Da bi se rešio ovaj problem, uz ispravke od 9. jula 2024. uključena je aplikacija za popravku koja se može koristiti za ponovnu primenu certifikata "Windows UEFI CA 2023" na bazu podataka (ublažavanje #1).

NAPOMENA Nemojte koristiti ovu aplikaciju za popravku na uređaju ili sistemu koji su opisani u odeljku "Poznati problemi ".

  1. Idite na uređaj na koji je primenjena ispravka od 8. jula 2025. ili novija.

  2. U komandnom prozoru kopirajte aplikaciju za oporavak na fleš disk pomoću sledećih komandi (pod pretpostavkom da je fleš disk "D:"). Otkucajte svaku komandu zasebno, a zatim pritisnite taster Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi

  3. Na uređaju koji ima postavke bezbednog pokretanja na podrazumevane vrednosti, umetnite fleš disk, ponovo pokrenite uređaj i pokrenite sistem sa fleš diska.

nazad na vrh  

Dinamika ažuriranja

Novosti se objavljuju na sledeći način:

  • Početna primena Ova faza je započela ispravkama objavljenim 9. maja 2023. i pružila osnovna ublažavanja sa ručnim koracima za omogućavanje tih ublažavanja.

  • Druga primena Ova faza je započela ispravkama objavljenim 11. jula 2023. godine, koje su dodale pojednostavljene korake za omogućavanje ublažavanja problema.

  • Faza procene Ova faza je počela 9. aprila 2024. i dodala je dodatna ublažavanja upravljača pokretanjem.

  • Faza primene Ova faza je počela u julu 2024. Klijenti bi trebalo odmah da počnu da primenjuju ublažavanja i ažuriraju medije.

  • Faza primene Faza sprovođenja koja će ublažavanja učiniti trajnim. Datum za ovu fazu će biti objavljen kasnije.

Napomena Raspored izdavanja može se korigovati po potrebi.

9. maj 2023. – Početna faza primene

Ovu fazu zamenjuju bezbednosne ispravke za Windows 9. aprila 2024. i novije ispravke.

11. jul 2023. – druga faza primene

Ovu fazu zamenjuju bezbednosne ispravke za Windows 9. aprila 2024. i novije ispravke.

9. april 2024. ili novija – faza procene

U ovoj fazi vas molimo da testirate te promene u okruženju da biste se uverili da promene ispravno funkcionišu sa reprezentativnim uzorcima uređaja i da biste stekli iskustvo sa promenama.

NAPOMENA Umesto da pokušavamo da iscrpno navedemo i odbacimo poverenje u ranjive upravljače pokretanjem, kao što smo to radili u prethodnim fazama primene, dodajemo sertifikat za potpisivanje "Windows Production PCA 2011" na listu zabranjenih stavki za bezbedno pokretanje (DBX) kako bismo poništili poverenje u sve upravljače pokretanjem potpisane ovim certifikatom. Ovo je pouzdaniji metod da se osigura da su svi prethodni upravljači pokretanja nepouzdani.

Novosti za Windows objavljene 9. aprila 2024. i novije ispravke dodaju sledeće:

  • Tri nove kontrole ublažavanja koje zamenjuju ublažavanja objavljena 2023. Nove kontrole ublažavanja su:

    • Kontrola za primenu certifikata "Windows UEFI CA 2023" u bazi podataka za bezbedno pokretanje radi dodavanja poverenja za Windows upravljače pokretanjem potpisanih ovim certifikatom. Imajte na umu da je certifikat "Windows UEFI CA 2023" možda instalirala starija ispravka za Windows.

    • Kontrola za primenu upravljača pokretanjem potpisana certifikatom "Windows UEFI CA 2023".

    • Kontrola za dodavanje "Windows Production PCA 2011" u DBX za bezbedno pokretanje koja će blokirati sve Windows upravljače pokretanjem potpisane ovim certifikatom.

  • Mogućnost da omogućite primenu ublažavanja u fazama nezavisno da biste omogućili veću kontrolu u primeni rešenja u okruženju na osnovu vaših potreba.

  • Rešenja su međusobno povezana tako da se ne mogu primeniti nepravilnim redosledom.

  • Dodatni događaji da biste saznali status uređaja tokom primene ublažavanja. Više detalja o događajima potražite u KB5016061: Događaje ažuriranja promenljive DB i DBX sistema : Secure Boot.

9. jul 2024. ili novija – faza primene

U ovoj fazi podstičemo korisnike da počnu da primenjuju rešenja i upravljaju svim ispravkama medija. Ispravke uključuju sledeću promenu:

  • Dodata je podrška za Secure Version Number (SVN) i podešavanje ažuriranog SVN u firmveru.

Sledi pregled koraka za primenu u preduzeću.

Napomena Dodatna uputstva koja dolaze u kasnijim ispravkama ovog članka.

  • Primenite prvo ublažavanje na sve uređaje u preduzeću ili kontrolisanoj grupi uređaja u preduzeću. Ovo uključuje:

    • Davanje saglasnosti za prvo ublažavanje koje dodaje certifikat potpisivanja "Windows UEFI CA 2023" u firmver uređaja.

    • Nadgledanje da li su uređaji uspešno dodali certifikat potpisa "Windows UEFI CA 2023".

  • Primenite drugo ublažavanje koje primenjuje ažurirani upravljač pokretanjem na uređaj.

  • Ažurirajte sve medije za oporavak ili spoljne medije za pokretanje koji se koriste sa ovim uređajima.

  • Primenite treće rešenje koje omogućava opoziv certifikata "Windows Production CA 2011" tako što ćete ga dodati u DBX u firmveru.

  • Primenite četvrto ublažavanje koje ažurira broj bezbedne verzije (SVN) u firmveru.

Datum koji će biti objavljen – faza primene

Faza sprovođenja neće početi pre januara 2026. godine, a mi ćemo dati najmanje šest meseci unapred upozorenja u ovom članku pre nego što ova faza počne. Kada se objave ispravke za fazu sprovođenja, one će obuhvatati sledeće:

  • Certifikat "Windows Production PCA 2011" automatski će biti opozvan tako što će biti dodat na listu zabranjenih stavki Secure Boot UEFI (DBX) na kompatibilnim uređajima. Ove ispravke će se programski nametnuti nakon instaliranja ispravki za Windows na sve sisteme na koje ovo utiče bez opcije onemogućavanja.

nazad na vrh  

Greške Windows evidencije događaja povezane sa CVE-2023-24932

Stavke Windows evidencije događaja povezane sa ažuriranjem DB i DBX podataka detaljno su opisane u članku KB5016061: Događaji ažuriranja promenljive DB i DBX bezbednog pokretanja.

Događaji "uspeha" povezani sa primenom rešenja navedeni su u sledećoj tabeli.

Korak ublažavanja

ID događaja

Beleške

Primena DB ispravke

1036

PCA2023 certifikat je dodat u DB.

Ažuriranje upravljača pokretanjem

1799

Primenjen je PCA2023 potpisani upravljač pokretanjem.

Primena DBX ispravke

1037

Primenjena je DBX ispravka koja uklanja poverenja PCA2011 certifikata za potpisivanje.

Primena SVN-a

1042

DBX se ažurira najnovijim SVN-om kako bi blokirao stariji upravljač pokretanjem

nazad na vrh  

Najčešća pitanja (FAQ)

  • Primenio sam opozive na uređaj i treba da ponovo instaliram ili oporavim uređaj. Zašto ne mogu da pokrenem uređaj pomoću medijuma za spasavanje (CD/DVD, PXE boot, USB disk)?

  • Moj uređaj koristi više operativnih sistema. Kako da ažuriram sistem?

    Ažurirajte sve operativne sisteme Windows ispravkama objavljenim 9. jula 2024. ili posle nego što primenite opozive. Možda nećete moći da pokrenete nijednu verziju operativnog sistema Windows koja nije ažurirana barem na ažuriranja objavljena 9. jula 2024. nakon što primenite opozive. Pratite uputstva u odeljku Rešavanje problema sa pokretanjem .

  • Koji tipovi poruka o grešci pri pokretanju mogu biti povezani sa bezbednosnim pojačavanjem opisanim u ovom članku?

    Pogledajte odeljak Rešavanje problema sa pokretanjem .

nazad na vrh 

Rešavanje problema sa pokretanjem

Kada se primene sva tri rešenja, firmver uređaja se ne može pokrenuti pomoću upravljača pokretanjem koji je potpisao Windows Production PCA 2011. Neuspela pokretanja koja je prijavio firmver su specifična za uređaj. Pogledajte odeljak "Procedura oporavka ".

nazad na vrh  

Procedura oporavka

Ako dođe do problema tokom primene rešenja i ne možete da pokrenete uređaj ili treba da počnete sa spoljnog medijuma (kao što je fleš disk ili PXE pokretanje), isprobajte sledeće predloge:

  1. Isključite Secure Boot.Ova procedura se razlikuje u zavisnosti od proizvođača i modela uređaja. Unesite UEFI BIOS meni uređaja i idite na postavke Secure Boot i isključite ga. Pogledajte dokumentaciju proizvođača uređaja da biste dobili pojedinosti o ovom procesu. Više detalja možete pronaći u članku Onemogućavanje bezbednog pokretanja.

  2. Vratite tastere za bezbedno pokretanje na podrazumevane fabričke postavke.

    Ako uređaj podržava vraćanje tastera za bezbedno pokretanje na podrazumevane fabričke postavke, izvršite ovu radnju sada.

    NAPOMENA Neki proizvođači uređaja imaju i opciju "Obriši" i "Resetuj" za promenljive Secure Boot, u kom slučaju treba da se koristi "Reset". Cilj je da se promenljive Secure Boot vrati na podrazumevane vrednosti proizvođača.

    Uređaj bi trebalo odmah da se pokrene, ali imajte na umu da je ranjiv na boot-kit malver. Obavezno dovršite 5. korak ovog procesa oporavka da biste ponovo omogućili bezbedno pokretanje.

  3. Pokušajte da pokrenete Windows sa sistemskog diska.

    1. Prijavite se u Windows.

    2. Pokrenite sledeće komande sa administratorske komandne linije da biste vratili datoteke za pokretanje na EFI particiju za pokretanje sistema. Otkucajte svaku komandu zasebno, a zatim pritisnite taster Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Kada pokrenete BCDBoot, rezultat daje poruku "Datoteke za pokretanje su uspešno kreirane". Kada se prikaže ova poruka, ponovo pokrenite uređaj na Windows.

  4. Ako 3. korak ne oporavi uređaj, ponovo instalirajte Windows.

    1. Pokrenite uređaj iz postojećeg medijuma za spasavanje.

    2. Nastavite da biste instalirali Windows koristeći medijum za spasavanje.

    3. Prijavite se u Windows.

    4. Ponovo pokrenite Windows da biste potvrdili da se uređaj ponovo pokrene u operativnom sistemu Windows.

  5. Ponovo omogućite Secure Boot i ponovo pokrenite uređaj.Uđite u UEFI meni uređaja i idite na postavke Secure Boot i uključite ih. Pogledajte dokumentaciju proizvođača uređaja da biste dobili pojedinosti o ovom procesu. Više informacija možete da pronađete u odeljku "Ponovno omogućavanje bezbednog pokretanja".

nazad na vrh

Reference

Odricanje odgovornosti za informacije nezavisnih proizvođača

Proizvodi nezavisnih proizvođača o kojima se govori u ovom članku proizvode kompanije koje su nezavisne od korporacije Microsoft. Ne pružamo nikakvu garanciju, impliciranu ili neku drugu, u vezi sa performansama ili pouzdanošću ovih proizvoda.

Obezbeđujemo kontakt informacije nezavisnog proizvođača kako bismo vam pomogli da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.

nazad na vrh

Evidencija promena

Datum promene

Opis promene

10. jun 2026.

2. jun 2026.

  • Dodat ID događaja 1042 u tabelu evidencije događaja

2 aprila, 2026

  • U odeljku "Smernice za primenu ublažavanja":

    • Preformulisan je 2. korak za korišćenje PowerShell komande za potvrđivanje da su ažurirani 2023 Secure Boot sertifikati i Upravljač pokretanjem.

1 aprila, 2026

  • U odeljku "Smernice za primenu ublažavanja":

    • Preformulisan je 1. korak da bi se pojasnilo da se ovo odnosi na Secure Boot sertifikate.

    • Preformulisan je korak 1a da bi se pojasnilo da se komanda pokreće na PowerShell komandnoj liniji.

    • Preformulisan korak 2 da naznači da proveravamo da je Boot Manager potpisan.

    • Uklonjen je prethodni korak 2a jer se više ne primenjuje: Podesite regkei da instalirate "'Windows UEFI CA 2023" potpisani upravljač pokretanjem. Da biste to uradili, otvorite prozor komandne linije kao administrator, otkucajte svaku od sledećih komandi zasebno, a zatim pritisnite taster Enter: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

21. oktobar 2025.

  • Uklonjen je odeljak "Mediji za pokretanje".Mediji za pokretanje sistema Biće važno da ažurirate medijum za pokretanje kada faza primene započne u okruženju.Uputstva za ažuriranje medija za pokretanje dolaze sa budućim ispravkama ovog članka. Pogledajte sledeći odeljak za

8 septembra, 2025

  • Uklonjeno je sledeće iz odeljka "Poznati problemi sa firmverom" kada je rešen:HP: HP je identifikovao problem sa instalacijom ublažavanja na HP Z4G4 radnim stanicama i objaviće ažurirani Z4G4 UEFI firmver (BIOS) u narednim sedmicama. Radi obezbeđivanja uspešne instalacije rešenja, ono će biti blokirano na radnim stanicama dok ispravka ne postane dostupna. Klijenti bi uvek trebalo da ažuriraju sistem na najnoviji BIOS pre nego što primene ublažavanje.

10. jul 2025.

  • Ažurirani datumi 9. jul 2024. na 8jul 2025, u većini pojavljivanja u ovom članku.

24. jun 2025.

  • Dodata je sledeća napomena u koraku 1b u odeljku "Smernice za primenu ublažavanja":Napomena Ponovno pokretanje može biti potrebno ako je funkcija virtuelnog bezbednog režima omogućena na uređaju. Ovo obuhvata funkcije kao što su Credential Guard, Device Guard i Windows Hello.

5 maja, 2025

  • Uklonjena je sledeća važna napomena iz 1.a koraka u odeljku "Smernice za primenu ublažavanja":VAŽNO Obavezno ponovo pokrenite uređaj dva puta da biste dovršili instalaciju ispravke pre nego što pređete na 2. i 3. korak.

  • Dodata je druga komanda koraku 1a u odeljku "Smernice za primenu ublažavanja": Start-ScheduledTask -taskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Dodata je druga komanda u korak 3a u odeljku "Smernice za primenu ublažavanja": Start-ScheduledTask -taskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Uklonjen je sledeći korak (prethodno korak 3b) u odeljku "Smernice za primenu ublažavanja": Ponovo pokrenite uređaj dvaput i potvrdite da je potpuno ponovo pokrenut.

  • Dodata je druga komanda u 2. koraku u odeljku "Ažuriranje upravljača pokretanjem na uređaju": Start-ScheduledTask -taskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Uklonjen je sledeći korak (prethodno korak 2b) u odeljku "Ažuriranje upravljača pokretanjem na uređaju": Ponovo pokrenite uređaj dvaput.

  • Dodata je druga komanda za korak 4a u odeljku "Primeni SVN ispravku na firmver": Start-ScheduledTask -taskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Uklonjen sledeći korak (prethodno korak 4b) u odeljku "Primeni SVN ispravku na firmver": Ponovo pokrenite uređaj dvaput.

Februar 13, 2025

  • Promenjen korak 4a odeljka "Smernice za primenu ublažavanja" iz "Otvorite komandnu liniju administratora i pokrenite sledeću komandu da biste instalirali "'Windows UEFI CA 2023" potpisani upravljač pokretanjem" u "Otvorite komandnu liniju administratora i pokrenite sledeću komandu da biste primenili SVN ispravku na firmver".

24. januar 2025.

  • Ažurirane su informacije o datumu u odeljku "Datum koji treba objaviti – faza sprovođenja".

9. jul 2024.

  • Ažurirano "2. korak: Procenite promene" da biste uklonili datum 9. jul 2024.

  • Ažurirana sva pojavljivanja 9. aprila 2024. sa datumom 9. jul 2024. osim u odeljku "Vreme ažuriranja".

  • Ažuriran je odeljak "mediji za pokretanje" i zamenjen sadržaj sa "Vodič za ažuriranje medija za pokretanje stiže sa budućim ispravkama".

  • Ažurirano "9. jul 2024. ili kasnije – počinje faza primene" u odeljku "Vreme ažuriranja".

  • Dodat je korak 4 "Primeni SVN ispravku na firmver" u odeljku "Smernice za ublažavanje primene".

9 aprila, 2024

  • Obimne promene procedura, informacija, smernica i datuma. Imajte na umu da su neke prethodne promene uklonjene usled velikih promena izvršenih na ovaj datum.

16. decembar 2023.

  • Revidirani datumi izdavanja za treću primenu i sprovođenje u odeljku "Vreme ažuriranja".

15 maja, 2023

  • Uklonjen je nepodržani operativni sistem Windows 10, verzija 21H1 iz odeljka "Odnosi se na".

11 maja, 2023

  • Dodata je napomena OPREZ za korak 1 u odeljku "Smernice za primenu" o nadogradnji na Windows 11, verziju 21H2 ili 22H2, ili neke verzije Windows 10.

10 maja, 2023

  • Razjašnjeno je da će uskoro biti dostupni Windows mediji koji su ažurirani najnovijim kumulativnim Novosti koji se mogu preuzeti.

  • Ispravljen je pravopis reči "zabranjeno".

9 maja, 2023

  • Dodate su dodatne podržane verzije u odeljak "Odnosi se na".

  • Ažuriran je 1. korak odeljka "Preduzmite radnju".

  • Ažuriran je 1. korak odeljka "Smernice za primenu".

  • Ispravljene komande u koraku 3a odeljka "Smernice za žaljenje".

  • Ispravljen položaj Hyper-V UEFI slika u odeljku "Rešavanje problema sa pokretanjem".

27. jun 2023.

  • Uklonjena napomena o ažuriranju sa Windows 10 na noviju verziju operativnog sistema Windows 10 koja koristi paket za omogućavanje u okviru 1. koraka: Instaliranje u odeljku "Smernice za primenu".

11. jul 2023.

  • Ažurirane su instance datuma "9. maj 2023." u "11. jul 2023," "9. maj 2023. i 11. jul 2023." ili na "9. maj 2023. ili noviji".

  • U odeljku "Smernice za primenu" napominjemo da su sve SafeOS dinamičke ispravke sada dostupne za ažuriranje WinRE particija. Pored toga, uklonjeno je polje OPREZ jer je problem rešen izdavanjem SafeOS dinamičkih ispravki.

  • U "3. PRIMENI opozive", uputstva su revidirana.

  • U odeljku "Greške Windows evidencije događaja" dodat je ID događaja 276.

25 avgusta, 2023

  • Ažurirani su različiti odeljci za tekst i dodati informacije o izdanju od 11. jula 2023. i budućem izdanju 2024.

  • Preraspoređivanje nekog sadržaja iz odeljka "Izbegavanje problema sa medijima za pokretanje" u odeljak "Ažuriranje medija za pokretanje".

  • Ažuriran je odeljak "Vreme ažuriranja" revidiranim datumima primene i informacijama.

nazad na vrh  

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost