Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

VAЋNO Trebalo bi da primenite Windows bezbednosnu ispravku objavljenu 9. aprila 2024. ili posle njih, kao deo redovnog procesa mesečnog ažuriranja.

Ovaj članak se odnosi na organizacije koje treba da počnu da procenjuju umanjivanja za javno otkrivani secure Boot zaobionik koji koristi BlackLotus UEFI bootkit. Pored toga, možda ćete želeti da zauzmete proaktivan bezbednosni stav ili da počnete da se pripremate za primenu. Imajte na umu da ovaj malver zahteva fizički ili administrativni pristup uređaju.

OPREZ Kada se umanjivanje za ovaj problem omogući na uređaju, što znači da su umanjivanja primenjena, ona se ne mogu vratiti ako nastavite da koristite bezbedno pokretanje na tom uređaju. Čak ni ponovno formatiranje diska neće ukloniti opo pozivanja ako su već primenjena. Imajte u vidu sve moguće implikacije i detaljno testirajte pre nego što primenite opo pozivanja koja su navedena u ovom članku na uređaju.

U ovom članku

Rezime

Ovaj članak opisuje zaštitu od javno otkrivane bezbednosne funkcije bezbednog pokretanja koja koristi BlackLotus UEFI bootkit koji prati CVE-2023-24932, kako da omogući umanjivanja i uputstva za medije koji se mogu pokrenuti. Bootkit je zlonameran program koji je dizajniran da se učita što je pre moguće u sekvenci pokretanja uređaja kako bi kontrolisao pokretanje operativnog sistema.

Bezbedno pokretanje se preporučuje od korporacije Microsoft da napravi bezbednu i pouzdanu putanju od interfejsa objedinjenog proširivih firmvera (UEFI) putem sekvence pouzdanog pokretanja windows jezgra. Bezbedno pokretanje pomaže u sprečavanju malvera za pokretanje u sekvenci pokretanja. Onemogućavanje bezbednog pokretanja upada uređaja u rizik od infekcije malverom za pokretanje. Popravljanje zaobioska bezbednog pokretanja opisanog u verzijama CVE-2023-24932 zahteva opoziv menadžera pokretanja. To može da dovede do problema u nekim konfiguracijama pokretanja uređaja.

Umanjivanja u odnosu na zaobilaženje bezbednog pokretanja detaljno opisana u verzijama CVE-2023-24932 uključena su u Windows bezbednosne ispravke koje su objavljene 9. aprila 2024. ili posle toga. Međutim, ova umanjivanja nisu podrazumevano omogućena. Uz ove ispravke, preporučujemo da počnete da procenjujete ove promene u okruženju. Kompletan raspored je opisan u odeljku Podešavanje vremena ispravki .

Pre nego što omogućite ova umanjivanja, trebalo bi da detaljno pregledate detalje u ovom članku i utvrdite da li morate da omogućite umanjivanja ili da sačekate buduće ažuriranje korporacije Microsoft. Ako odaberete da omogućite umanjivanja, morate da proverite da li su uređaji ažurirani i spremni i da razumete rizike opisane u ovom članku. 

Preduzimanje radnje 

Za ovo izdanje bi trebalo da sledite sledeće korake:

1. korak: Instaliranje Windows bezbednosne ispravke objavljene 9. aprila 2024. ili posle 9. aprila 2024. na svim podržanim verzijama.

2. korak: Procenite promene i način na koji one utiču na okruženje.

3. korak: Nametanje promena.

Opseg uticaja

BlackLotus bootkit utiče na sve Windows uređaje sa omogućenom zaštitom bezbednog pokretanja. Umanjivanja su dostupna za podržane verzije operativnog sistema Windows. Kompletnu listu potražite u članku CVE-2023-24932.

Razumevanje rizika

Rizik od malvera: Da bi blackLotus UEFI bootkit iskorišćavanje opisano u ovom članku bilo moguće, napadač mora da dobije administrativne privilegije na uređaju ili da dobije fizički pristup uređaju. To možete da uradite tako što ćete pristupiti uređaju fizički ili daljinski, kao što je korišćenje hipervizora za pristup virtuelnim mašinama/oblaku. Napadač će obično koristiti ovu ranjivost da bi nastavio da kontroliše uređaj kom već može da pristupi i možda manipuliše. Umanjivanja u ovom članku su preventivna i ne ispravljaju se. Ako je uređaj već ugrožen, obratite se dobavljaču bezbednosti za pomoć.

Spasavanje medija: Ako naiđete na problem sa uređajem nakon primene umanjivanja i uređaj postane nedostupan, možda nećete moći da pokrenete ili oporavite uređaj iz postojećih medija. Potrebno je da se ažurira oporavak ili instaliranje medija kako bi funkcionisao sa uređajem na koji su primenjena umanjivanja.

Problemi sa firmverom: Kada Windows primeni ublažavanja opisana u ovom članku, on se mora oslanjati na UEFI firmver uređaja da bi ažurirao vrednosti bezbednog pokretanja (ispravke se primenjuju na ključ baze podataka (DB) i zabranjeni ključ potpisa (DBX)). U nekim slučajevima, imamo iskustva sa uređajima koji ne uspevaju da ažuriraju. Radimo sa proizvođačima uređaja da bismo testirali ove ključne ispravke na što većem broju uređaja.

BELEŠKE Prvo testirajte ova umanjivanja na jednom uređaju po klasi uređaja u okruženju da biste otkrili moguće probleme sa firmverom. Ne primenjuj široko pre nego što potvrdite sve klase uređaja u okruženju.

BitLocker oporavak: Neki uređaji mogu da odu u BitLocker oporavak. Obavezno zadržite kopiju BitLocker ključa za oporavak pre nego što omogućite ublažavanja.

Poznati problemi

Problemi sa firmverom:Neće svi firmver uređaji uspešno ažurirati DB ili DBX za bezbedno pokretanje. U slučajevima koje znamo, prijavili smo problem proizvođaču uređaja. Pogledajte KB5016061: Događaji bezbednog pokretanja baze podataka i događaji promenljivih DBX promenljivih za detalje o evidentiranim događajima. Obratite se proizvođaču uređaja za ispravke firmvera. Ako uređaj nije podržan, Microsoft preporučuje nadogradnju uređaja.

Poznati problemi sa firmverom:

BELEŠKE Sledeći poznati problemi ne utiču na i neće sprečiti instalaciju ispravki od 9. aprila 2024. U većini slučajeva, umanjivanja se neće primenjivati tamo gde postoje poznati problemi. Pogledajte detalje navedene u svakom poznatom problemu.

  • HP: HP je identifikovao problem sa umanjivanjem instalacije na HP Z4G4 workstation računarima i narednih sedmica će izdati ažurirani Z4G4 UEFI firmver (BIOS). Da bi se obezbedila uspešna instalacija umanjivanja, ona će biti blokirana na radnim površinama dok ne bude dostupno ažuriranje. Klijenti uvek treba da ažuriraju na najnoviji bioS sistema pre nego što primene umanjivanje.

  • HP uređaji sa sigurnošću "Pokreni bezbednost": Ovim uređajima su potrebne najnovije ispravke firmvera od HP-a da bi instalirali umanjivanja. Umanjivanja su blokirana dok se firmver ne ažurira. Instalirajte najnoviju ispravku firmvera sa stranice podrške za HP – zvanični HP upravljački programi i preuzimanje softvera | Podrška za HP.

  • Uređaji zasnovani na Arm64 procesorima: Umanjivanja su blokirana zbog poznatih problema sa UEFI firmverom sa uređajima zasnovanim na Qualcomm. Microsoft radi sa qualcomm-om da bi rešio ovaj problem. Qualcomm će obezbediti rešenje proizvođačima uređaja. Obratite se proizvođaču uređaja da biste utvrdili da li je dostupna ispravka za ovaj problem. Microsoft će dodati otkrivanje da bi omogućio primenu umanjivanja na uređajima kada se otkrije fiksni firmver. Ako vaš uređaj zasnovan na Arm64 nema Qualcomm firmver, konfigurišite sledeći ključ registratora da biste omogućili umanjivanja.

    Potključ registratora

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Ime vrednosti ključa

    SkipDeviceCheck

    Tip podataka

    REG_DWORD

    Podataka

    1

  • Jabuka:Mac računari koji imaju Bezbedno pokretanje Apple T2 bezbednosnog čipa. Međutim, ažuriranje promenljivih koje se odnose na UEFI bezbednost dostupno je samo u sklopu macOS ispravki. Očekuje se da korisnici kampa za pokretanje vide unos evidencije događaja za ID 1795 u operativnom sistemu Windows koji se odnosi na ove promenljive. Više informacija o ovoj stavki evidencije potražite u članku KB5016061: Bezbedno pokretanje baze podataka i događaji ažuriranja promenljivih DBX promenljivih.

  • VMware:U okruženjima virtuelizacija zasnovanim na VMware- u, virtuelna mašina koja koristi procesor zasnovan na x86 procesoru sa omogućenim bezbednim pokretanjem neće se pokrenuti nakon primene umanjivanja. Microsoft koordinira sa VMware-om kako bi rešio ovaj problem.

  • TPM 2.0 sistemi zasnovani na:  Ovi sistemi koji koriste Windows Server 2012 i Windows Server 2012 R2 ne mogu da primene umanjivanja objavljena u bezbednosnoj ispravki od 9. aprila 2024. godine zbog poznatih problema sa kompatibilnošću sa TPM merama. Bezbednosne ispravke od 9. aprila 2024. blokiraju ublaženja #2 (boot manager) i #3 (DBX ispravka) na pogođenim sistemima.

    Microsoft zna za ovaj problem i ispravka će biti objavljena u budućnosti da bi se deblokirali sistemi zasnovani na TPM 2.0.

    Da biste proverili TPM verziju, kliknite desnim tasterom miša na dugme Start, izaberite stavku Pokreni,a zatim otkucajte tpm.msc. U donjem desnom uglu centralnog okna, u okviru Informacije o proizvođaču TPM-a, trebalo bi da vidite vrednost za verziju specifikacije.

  • Symantec Šifrovanje krajnjih tačaka: Umanjivanja bezbednog pokretanja se ne mogu primeniti na sisteme koji su instalirali Symantec šifrovanje krajnje tačke. Microsoft i Symantec su svesni ovog problema i biće rešeni u budućim ispravkama.

Uputstva za ovo izdanje

Za ovo izdanje pratite ova dva koraka.

1. korak: Instaliranje Windows bezbednosne ispravke

Instalirajte mesečnu bezbednosnu ispravku za Windows objavljenu 9. aprila 2024. ili posle toga, na podržanim Windows uređajima. Ove ispravke uključuju umanjivanja za CVE-2023-24932, ali podrazumevano nisu omogućene. Svi Windows uređaji trebalo bi da dovrše ovaj korak bez obzira na to da li planirate da primenite umanjivanja.

2. korak: procena promena

Podstičemo vas da uradite sledeće:

  • Razumejte prva dva ublaženja koja omogućavaju ažuriranje baze podataka za bezbedno pokretanje i ažuriranje upravljača za pokretanje.

  • Pregledajte ažurirani raspored.

  • Počnite da testirate prva dva umanjivanja protiv reprezentativnih uređaja iz okruženja.

  • Počnite da planirate fazu primene 9. jula 2024.

3. korak: Nametanje promena

Podstičemo vas da razumete rizike navedene u odeljku Razumevanje rizika.

  • Razumevanje uticaja na oporavak i druge medije koji se mogu pokrenuti.

  • Počnite da testirate treće umanjivanje koje nepouzda certifikat potpisa koji se koristi za sve prethodne upravljače windows pokretanjem.

Uputstva za umanjivanje primene

Pre nego što pratite ove korake za primenu umanjivanja, instalirajte mesečnu ispravku za servisiranje operativnog sistema Windows objavljenu 9. aprila 2024. ili posle toga, na podržanim Windows uređajima. Ova ispravka uključuje umanjivanja za CVE-2023-24932, ali one nisu podrazumevano omogućene. Svi Windows uređaji trebalo bi da dovrše ovaj korak bez obzira na plan kako bi se omogućila umanjivanja.

BELEŠKE Ako koristite BitLocker, uverite se da je rezervna verzija BitLocker ključa za oporavak rezervna. Možete da pokrenete sledeću komandu sa komandne linije administratora i da obratite belešku na numeričku lozinku od 48 cifara:

manage-bde -protectors -get %systemdrive%

Da biste primenili ispravku i primenili opo pozivanja, pratite ove korake:

  1. Instalirajte ažurirane definicije certifikata u DB.

    Ovaj korak će dodati certifikat "Windows UEFI CA 2023" UEFI "Baza podataka potpisa za bezbedno pokretanje" (DB). Ako ovaj certifikat dodate u DB, firmver uređaja će imati poverenja u aplikacije za pokretanje koje je potpisao ovaj certifikat.

    1. Otvorite komandnu liniju administratora i podesite regkey tako da izvrši ažuriranje u DB tako što ćete uneti sledeću komandu:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      VAЋNO Obavezno ponovo pokrenite uređaj dva puta da biste dovršili instalaciju ispravke pre nego što pređete na 2. i 3. korak.

    2. Pokrenite sledeću PowerShell komandu kao administrator i potvrdite da je DB uspešno ažuriran. Ova komanda bi trebalo da vrati vrednost Tačno.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Ažurirajte upravljač pokretanjem na uređaju.

    Ovaj korak će instalirati aplikaciju upravljača pokretanja na uređaju koja je potpisana certifikatom ""Windows UEFI CA 2023".

    1. Otvorite administratorsku komandnu liniju i podesite regkey da biste instalirali upravljač pokretanja potpisanog programa "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Ponovo pokrenite uređaj dva puta.

    3. Kao administrator, postavite EFI particiju da biste je pripremili za ispitivanje:

      mountvol s: /s

    4. Proverite da li je datoteka "s:\efi\microsoft\boot\bootmgfw.efi" potpisana certifikatom "Windows UEFI CA 2023". Da biste to uradili, pratite ove korake:

      1. Kliknite na dugme Start, otkucajte komandnu linijuu polju Search, a zatim izaberite stavku Komandna linija.

      2. U prozoru Komandna linija otkucajte sledeću komandu, a zatim pritisnite taster Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. U upravljaču datotekama kliknite desnim tasterom miša na datoteku C:\bootmgfw_2023.efi, izaberite stavku Svojstva , a zatim izaberite karticu Digitalni potpisi .

      4. Na listi Potpis potvrdite da lanac certifikata uključuje Windows UEFI CA 2023. Lanac certifikata treba da se podudara sa sledećim snimkom ekrana:

        Certifikate

  3. Omogućite opomenj.

    UEFI zabranjena lista (DBX) koristi se za blokiranje učitavanja nepouzdanih UEFI modula. U ovom koraku, ažuriranje DBX-a dodaće certifikat "Windows Production CA 2011" u DBX. To će dovesti do toga da svi menadžeri pokretanja koje je potpisao ovaj certifikat više neće biti pouzdani.

    UPOZORENJE: Pre nego što primenite treće umanjivanje, kreirajte fleš disk za oporavak koji se može koristiti za pokretanje sistema. Informacije o tome kako to da uradite potražite u odeljku Ažuriranje operativnog sistema Windows instaliranje medija.

    Ako sistem dođe u stanje koje nije moguće pokrenuti, pratite korake u odeljku Procedure za oporavak da biste uspostavili početne vrednosti uređaja u stanje opo pozivanja.

    1. Dodajte certifikat "Windows production PCA 2011" na listu zabranjenog UEFI-a za bezbedno pokretanje (DBX). Da biste to uradili, otvorite prozore komandne linije kao administrator, otkucajte sledeću komandu, a zatim pritisnite taster Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Ponovo pokrenite uređaj dva puta i potvrdite da je potpuno ponovo pokrenut.

    3. Potvrdite da je lista instalacija i opoziva uspešno primenjena traženje događaja 1037 u evidenciji događaja.

      Informacije o događaju 1037 potražite u članku KB5016061: Bezbedno pokretanje baze podataka i događaji promenljivih DBX promenljivih. Možete i da pokrenete sledeću PowerShell komandu kao administrator i uverite se da vraća vrednost Tačno:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Medijum koji se može pokrenuti

Biće važno da ažurirate medije koji se mogu pokrenuti kada faza primene počne u okruženju. Uputstva i alatke za ažuriranje medija biće obezbeđeni na vreme za fazu primene. Faza primene treba da počne 9. jula 2024.

Primeri medija koji se mogu pokrenuti i medija oporavka na koje ovaj problem utiče:

  • Medijum koji se može pokrenuti kreiranjem disk jedinice za oporavak.

  • Rezervne kopije operativnog sistema Windows koje su oštećene pre primene umanjivanja. Ovo neće biti direktno moguće koristiti za vraćanje instalacije operativnog sistema Windows u prethodno stanje nakon što su opo pozivanja omogućena na uređaju.

  • Prilagođeni CD/DVD ili particija za oporavak koje ste kreirali vi, proizvođač uređaja (OEM) ili preduzeća.

  • ISO (putem preuzimanja ili korišćenjem ADK-a).

  • Pokretanje mreže:

    • Windows Deployment Services.

    • Usluge pokretanja okruženja preboot izvršavanja (usluge PXE pokretanja).

    • Microsoft Deployment Toolkit.

    • HTTPS pokretanje.

  • OEM medijum za instalaciju i oporavak.

  • Zvanični Windows mediji korporacije Microsoft, uključujući:

  • Windows PE.

  • Windows instaliran na fizičkim hardverima ili virtuelnim mašinama.

  • Windows OS za proveru valjanosti.

Ako koristite medije koji se mogu pokrenuti na ličnom Windows uređaju, možda ćete morati da uradite nešto od sledećeg pre nego što primenite opozivanja:

  • Ako koristite softver za pravljenje rezervne kopije za čuvanje sadržaja uređaja, obavezno pokrenite kompletnu rezervnu kopiju nakon primene umanjivanja od 9. aprila 2024. godine.

  • Ako koristite sliku diska koji se može pokrenuti (ISO), CD-ROM ili DVD medijum, ažurirajte medijum tako što ćete pratiti uputstva koja će biti obezbeđena kasnije.

Enterprise

  • Pogledajte sveobuhvatna uputstva i skripte za ažuriranje Windows instalacionog medijuma pomoću dinamičke ispravke.

  • Ako podržavate scenarije pokretanja mreže ili oporavka u okruženju, moraćete da ažurirate sve medije i slike. To može da obuhvati sledeće opcije pokretanja ili oporavka:

    • Microsoft Deployment Toolkit.

    • Microsoft krajnja tačka Configuration Manager.

    • Windows Deployment Services.

    • PxE pokretanje.

    • HTTPS pokretanje i drugi scenariji pokretanja mreže.

  • Jedan od načina da to uradite jeste da koristite INSTALACIJU DISM paketa van mreže na slikama koje ovi scenariji koriste. To uključuje ažuriranje datoteka za pokretanje koje ove usluge nude.

  • Ako koristite softver za rezervne kopije za čuvanje sadržaja Instalacije operativnog sistema Windows na sliku za oporavak, obavezno pokrenite kompletnu rezervnu kopiju nakon primene umanjivanja od 9. aprila 2024. Obavezno napravite rezervnu kopiju particije diska EFI pored particije operativnog sistema Windows. Jasno identifikujte rezervne kopije napravljene pre primene umanjivanja od 9. aprila 2024. u zavisnosti od onih napravljenih nakon primene umanjivanja.

Windows PC OEM-i

Ažuriranje medijuma za instalaciju operativnog sistema Windows

BELEŠKE Prilikom kreiranja fleš disk jedinice koja se može pokrenuti, obavezno oblikujte disk jedinicu pomoću FAT32 sistema datoteka.

Možete da koristite aplikaciju Create Recovery Drive tako što ćete pratiti ove korake. Ovaj medijum se može koristiti za ponovno instaliranje uređaja u slučaju da postoji veliki problem kao što je otkazivanje hardvera, moći ćete da koristite disk jedinicu za oporavak da biste ponovo instalirali Windows.

  1. Idite na uređaj na kom su ispravke od 9. aprila 2024. i prvi korak ublaženja (ažuriranje baze podataka za bezbedno pokretanje) primenjene.

  2. U "Start" meniju potražite aplet "Kreiranje disk jedinice za oporavak" i pratite uputstva da biste kreirali disk jedinicu za oporavak.

  3. Dok je novokreirana fleš disk jedinica postavljena (na primer, kao disk jedinica "D:"), pokrenite sledeće komande kao administrator. Otkucajte svaku od sledećih komandi, a zatim pritisnite taster Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ako upravljate instalacionim medijima u okruženju pomoću instalacionog medijuma Ažuriranje operativnog sistema Windows pomoću vodiča za dinamičko ažuriranje, pratite ove korake. Ovi dodatni koraci će kreirati fleš disk koji se može pokrenuti i koji koristi datoteke za pokretanje koje je potpisao certifikat potpisa "Windows UEFI CA 2023".

  1. Idite na uređaj na kom su 9. aprila 2024. ažuriranja i prvi korak ublaženja (ažuriranje baze podataka za bezbedno pokretanje) primenjeni.

  2. Pratite korake iz dolenavedene veze da biste kreirali medije sa ispravkama od 9. aprila 2024. Ažuriranje windows instalacionog medijuma pomoću dinamičke ispravke

  3. Postavite sadržaj medija na USB fleš disk i postavite fleš disk jedinicu kao oznaku disk jedinice. Na primer, postavite disk jedinicu sa sličicama kao "D:".

  4. Pokrenite sledeće komande iz komandnog prozora kao administrator. Otkucajte svaku od sledećih komandi, a zatim pritisnite taster Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ako uređaj ima postavke bezbednog pokretanja na podrazumevane vrednosti nakon primene umanjivanja, uređaj se neće pokrenuti. Da biste rešili ovaj problem, aplikacija za popravku je uključena u ispravke od 9. aprila 2024. koje se mogu koristiti za ponovnu primenu certifikata "Windows UEFI CA 2023" na DB (ublažavanje #1).

BELEŠKE Nemojte koristiti ovu aplikaciju za popravku na uređaju ili sistemu koji je opisan u odeljku Poznati problemi .

  1. Idite na uređaj na kom su primenjene ispravke za 9. april 2024.

  2. U komandnom prozoru kopirajte aplikaciju za oporavak na fleš disk pomoću sledećih komandi (pod pretpostavkom da je fleš disk "D:" disk jedinica). Otkucajte svaku komandu zasebno, a zatim pritisnite taster Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Na uređaju koji ima postavke bezbednog pokretanja uspostavite podrazumevane vrednosti, umetnite fleš disk, ponovo pokrenite uređaj i pokrenite ga sa fleš diska.

Podešavanje vremena ispravki

Novosti se objave na sledeći način:

  • Početna primena Ova faza je započeta ispravkama objavljenim 9. maja 2023. i pružala je osnovna umanjivanja ručnim koracima za omogućavanje tih umanjivanja.

  • Druga primena Ova faza je započeta ispravkama objavljenim 11. jula 2023. koje su dodale pojednostavljene korake kako bi se omogućilo umanjivanje problema.

  • Faza procene Ova faza će početi 9. aprila 2024. i dodaće dodatna umanjivanja upravljača pokretanja.

  • Završna faza primene Sada ćemo podstaći sve klijente da počnu da primenjuju umanjivanja i ažuriraju medije.

  • Faza sprovođenja Faza sprovođenja koja će umanjiti umanjivanja trajnih. Datum ove faze biće objavljen kasnije.

Napomena Raspored izdanja može da se korigujete po potrebi.

Ova faza je zamenjena izdanjem windows bezbednosnih ispravki 9. aprila 2024. ili posle toga.

Ova faza je zamenjena izdanjem windows bezbednosnih ispravki 9. aprila 2024. ili posle toga.

Ovom fazom od vas tražimo da testirate ove promene u okruženju da biste se uverili da promene ispravno rade sa reprezentativnim uzorcima uređaja i da biste stekli utisak pri radu sa promenama.

BELEŠKE Umesto da pokušavamo da iscrpno napišemo i nepouzdamo ranjive upravljače pokretanja kao što smo to uradili u prethodnim fazama primene, dodajemo certifikat potpisa "Windows proizvodni RAČUNARA 2011" listi za onemogućavanje bezbednog pokretanja (DBX) da bismo osporili sve upravljače pokretanja koje je potpisao ovaj certifikat. Ovo je pouzdaniji metod za obezbeđivanje da su svi prethodni menadžeri pokretanja nepouzdani.

Novosti windows objavljen 9. aprila 2024. ili posle toga, dodajte sledeće:

  • Tri nove kontrole za umanjivanje koje zamenjuju umanjivanja objavljena 2023. godine. Nove kontrole za umanjivanje su:

    • Kontrola za primenu certifikata "Windows UEFI CA 2023" na bazu podataka za bezbedno pokretanje radi dodavanja poverenja upravljačima windows pokretanja koje je potpisao ovaj certifikat. Imajte na umu da je starija windows ispravka možda instalirala certifikat "Windows UEFI CA 2023".

    • Kontrola za primenu upravljača pokretanja certifikatom "Windows UEFI CA 2023".

    • Kontrola za dodavanje "Windows produkcijskog RAČUNARAA 2011" u DBX bezbednog pokretanja, što će blokirati sve upravljače za pokretanje operativnog sistema Windows koje je potpisao ovaj certifikat.

  • Mogućnost da omogućite primenu umanjivanja u fazama nezavisno da biste omogućili veću kontrolu u primeni umanjivanja u okruženju na osnovu vaših potreba.

  • Umanjivanja su zamenjena tako da ne mogu da se primene neispravnim redosledom.

  • Dodatni događaji koji znaju status uređaja dok primenjuju umanjivanja. Pogledajte KB5016061: Bezbedno pokretanje baze podataka i događaji promenljivih DBX promenljivih za više detalja o događajima.

Ova faza je kada podstičemo klijente da počnu da primenjuju umanjivanja i upravljaju svim ispravkama medija. Ispravke će dodati sledeće promene:

  • Uputstva i alatke za pomoć u ažuriranju medija.

  • Ažuriran je DBX blok da bi se opozvao dodatni menadžeri za pokretanje.

Faza sprovođenja biće najmanje šest meseci posle faze primene. Kada se objave ispravke za fazu sprovođenja, one uključuju sledeće:

  • Certifikat "Windows Production PCA 2011" će automatski biti opozvan tako što će biti dodat na listu zabranjenih UEFI-a za bezbedno pokretanje (DBX) na omogućenim uređajima. Ove ispravke će se programski nametnuti nakon instaliranja ispravki za Windows svim sistemima na koje ovo utiče i kojima nije omogućena opcija za onemogućavanje.

Greške u Windows evidenciji događaja povezane sa CVE-2023-24932

Stavke Windows evidencije događaja povezane sa ažuriranjem DB i DBX-a detaljno su opisane u članku KB5016061: Događaji ažuriranja promenljivih za bezbedno pokretanje DBX i DBX promenljivih.

Događaji "uspeh" povezani sa primenom umanjivanja navedeni su u sledećoj tabeli.

Korak umanjivanja

ID događaja

Beleške

Primena ispravke za DB

1036

Certifikat PCA2023 dodat u DB.

Ažuriranje upravljača za pokretanje

1799

Primenjen PCA2023 potpisanog upravljača pokretanja.

Primena DBX ispravke

1037

Primenjena je DBX ispravka koja ne PCA2011 certifikat potpisa.

Najčešća pitanja (najčešća pitanja)

  • Pogledajte odeljak "Procedura oporavka" da biste oporavili uređaj.

  • Pratite uputstva u odeljku Rešavanje problema pri pokretanju .

Ažurirajte sve operativne sisteme Windows ispravkama objavljenim 9. aprila 2024. ili posle 9. aprila 2024. pre nego što primenite opo pozivanja. Možda nećete moći da pokrenete nijednu verziju operativnog sistema Windows koja nije ažurirana na najmanje ispravke objavljene 9. aprila 2024. nakon što primenite opo pozivanja. Pratite uputstva u odeljku Rešavanje problema pri pokretanju .

Pogledajte odeljak Rešavanje problema pri pokretanju .

Rešavanje problema sa pokretanjem

Nakon što su primenjena sva tri umanjivanja, firmver uređaja se neće pokrenuti pomoću upravljača pokretanja koji je potpisao Windows Produktivni PCA 2011. Greške pri pokretanju koje je prijavio firmver su specifične za uređaj. Pogledajte odeljak "Postupak oporavka ".

Procedura oporavka

Ako nešto nije u redu prilikom primene umanjivanja i ne možete da pokrenete uređaj ili treba da krenete od spoljnih medija (kao što je fleš disk ili PXE pokretanje), isprobajte sledeće predloge:

  1. Isključivanje bezbednog pokretanja.

    Ova procedura se razlikuje od proizvođača uređaja i modela. Unesite uređaje UEFI BIOS meni i pomerite se do postavki bezbednog pokretanja i isključite ga. Pogledajte dokumentaciju proizvođača uređaja da biste saznali detalje o ovom procesu. Više detalja možete pronaći u odeljku Onemogućavanje bezbednog pokretanja.

  2. Uspostavljanje fabričkih podrazumevanih vrednosti ključeva bezbednog pokretanja.

    Ako uređaj podržava uspostavljanje fabričkih vrednosti ključeva za bezbedno pokretanje na fabričke vrednosti, odmah izvršite ovu radnju.

    BELEŠKE Neki proizvođači uređaja imaju opciju "Obriši" i opciju "Uspostavi početne vrednosti" za promenljive bezbednog pokretanja, u kom slučaju bi trebalo koristiti opciju "Uspostavljanje početnih vrednosti". Cilj je da se promenljive bezbednog pokretanja vraćaju na podrazumevane vrednosti proizvođača.

    Uređaj bi trebalo da počne odmah, ali imajte na umu da je on ranjiv na malver koji se koristi za pokretanje sistema. Obavezno dovršite 5. korak ovog procesa oporavka da biste ponovo omogućili bezbedno pokretanje.

  3. Pokušajte da pokrenete Windows sa sistemskog diska.

    1. Prijavite se u Windows.

    2. Pokrenite sledeće komande sa komandne linije administratora da biste vratili datoteke za pokretanje u particiji za pokretanje sistema EFI. Otkucajte svaku komandu zasebno, a zatim pritisnite taster Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Pokretanje BCDBoot daje "Datoteke za pokretanje su uspešno kreirane". Kada se ova poruka prikaže, ponovo pokrenite uređaj u operativnom sistemu Windows.

  4. Ako 3. korak ne oporavi uređaj uspešno, ponovo instalirajte Windows.

    1. Pokrenite uređaj iz postojećeg medijuma za oporavak.

    2. Nastavite sa instalacijom operativnog sistema Windows pomoću medijuma za oporavak.

    3. Prijavite se u Windows.

    4. Ponovo pokrenite Windows da biste potvrdili da se uređaj pokreće nazad na Windows.

  5. Ponovo omogućite bezbedno pokretanje i ponovo pokrenite uređaj.

    Unesite UEFI meni uređaja i idite na postavke bezbednog pokretanja i uključite ga. Pogledajte dokumentaciju proizvođača uređaja da biste saznali detalje o ovom procesu. Više informacija možete pronaći u odeljku "Ponovno omogućavanje bezbednog pokretanja".

Reference

Proizvodi nezavisnih proizvođača o kojima se govori u ovom članku proizvode kompanije koje su nezavisne od korporacije Microsoft. Ne pružamo nikakvu garanciju, podrazumevanu ni bilo koju drugi, u vezi sa performansama ili pouzdanošću ovih proizvoda.

Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.

Datum promene

Opis promene

9. april 2024.

  • Obimne promene u procedurama, informacijama, uputstvima i datumima. Imajte na umu da su neke prethodne promene uklonjene kao rezultat obimnih promena izvršenih ovog datuma.

16. decembar 2023.

  • Redigovani su datumi objavljivanja za treću primenu i sprovođenje u odeljku "Podešavanje vremena ispravki".

15. maj 2023.

  • Uklonjen je nepodržani OS Windows 10, verzija 21H1 iz odeljka "Odnosi se na".

11. maj 2023.

  • Dodata je napomena UPOZORENJA u 1. korak u odeljku "Uputstva za primenu" o nadogradnji na Windows 11, verziju 21H2 ili 22H2 ili neke verzije programa Windows 10.

10. maj 2023.

  • Pojašnjeno je da će Windows mediji koji se mogu preuzeti ažurirani najnovijim kumulativnim Novosti uskoro biti dostupni.

  • Ispravljena je pravopisna reč "zabranjeno".

9. maj 2023.

  • Dodate su dodatne podržane verzije u odeljak "Odnosi se na".

  • Ažuriran je 1. korak odeljka "Preduzimanje radnje".

  • Ažuriran je korak1 odeljka "Uputstva za primenu".

  • Ispravljene su komande u 3. koraku odeljka "Uputstva za opis".

  • Ispravljeno je postavljanje Hyper-V UEFI slika u odeljku "Rešavanje problema pri pokretanju aplikacije".

27. jun 2023.

  • Uklonjena je napomena o Windows 10 na noviju verziju programa Windows 10 koja koristi paket za omogućavanje u okviru 1. koraka:Instaliranje u odeljku "Smernice za primenu".

11. jul 2023.

  • Ažurirane instance datuma "9. maj 2023." na "11. jul 2023.", "9. maj 2023. i 11. jul 2023." ili "9. maj 2023. ili novija verzija".

  • U odeljku "Uputstva za primenu" imajte na umu da su sve SafeOS dinamičke ispravke sada dostupne za ažuriranje WinRE particija. Pored toga, polje CAUTION je uklonjeno zato što je problem rešen objavljivanjem SafeOS dinamičkih ispravki.

  • U "3. PRIMENA OPOMENA", uputstva su izmenjena.

  • U odeljku "Greške u Windows evidenciji događaja" dodaje se ID događaja 276.

25. avgust 2023.

  • Ažurirani su različiti odeljci za wording i dodati informacije o izdanju od 11. jula 2023. i buduće 2024. godine.

  • Preraspoređivanje nekog sadržaja iz odeljka "Izbegavanje problema sa medijima koji se mogu pokrenuti" u odeljak "Ažuriranje medija koji se mogu pokrenuti".

  • Ažuriran je odeljak "Podešavanje vremena ispravki" redigoovanim datumima i informacijama o primeni.
Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×