Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Promeni datum

Promeni opis

20. mart 2024.

  • Dodat je odeljak "Rezultati i povratne informacije"

21. mart 2024.

  • Ažurirani 4. korak u odeljku "2. korak: instaliranje PCA2023 koji ste potpisali prilikom pokretanja"

22. mart 2024.

  • Ažurirane su kontakt informacije e-pošte u odeljku "Rezultati i povratne informacije"

  • Dodat je odeljak "Omogućavanje opcionalnih dijagnostičkih podataka"

Uvod

Ovaj članak je dodatak sledećem članku koji će biti ažuriran u aprilu 2024. godine:

  • KB5025885: Kako da upravljate opozvaima Programa Windows Boot Manager za promene bezbednog pokretanja povezane sa funkcijaMA CVE-2023-24932

Ovaj dodatak opisuje ažuriranu proceduru korak po korak za primenu novih umanjivanja u odnosu na BlackLotus UEFI boot-kit koji prati CVE-2023-24932 i obuhvata uputstva za testiranje za vaše okruženje.

Da bismo se zaštitili od zlonamerne zloupotrebe ranjivih menadžera pokretanja, moramo da primenimo novi certifikat potpisa za bezbedno pokretanje UEFI-a na firmver uređaja i da opozovemo poverenje u firmver trenutnog certifikata potpisa. Ako to uradite, svi postojeći, ranjivi upravljači pokretanjem će biti nepouzdani na uređajima omogućenim za bezbedno pokretanje. Ovaj vodič će vam pomoći sa tim procesom.

Tri koraka umanjivanja navedena u ovom vodiču su sledeća:

  1. Ažuriranje DB-a: Novi certifikat za PCA (PCA2023) biće dodat u DB za bezbedno pokretanje koji će omogućiti uređaju da pokrene medije koje je potpisao ovaj certifikat.

  2. Instalacija upravljača pokretanja: Postojeći menadžer PCA2011 pokretanja će biti zamenjen PCA2023 potpisanim pokretanjem.Oba upravljača pokretanja su uključena u bezbednosne ispravke iz aprila 2024.

  3. Opo pozivanje DBX PCA2011: Stavka zabrane će biti dodata DBX-u za bezbedno pokretanje koji sprečava menadžere pokretanja koji su potpisani sa PCA2011 pokretanje.

Napomena Softver Stack servisiranja koji primenjuje ova tri umanjivanja neće dozvoliti da se umanjivanja primene van redosleda.

Da li se ovo odnosi na mene?

Ovaj vodič se odnosi na sve uređaje sa omogućenim bezbednim pokretanjem i svim postojećim medijumima za oporavak za ove uređaje.

Ako uređaj radi pod operativnim sistemom Windows Server 2012 ili Windows Server 2012 R2, obavezno pročitajte odeljak "Poznati problemi" pre nego što nastavite.

Pre nego što počnete

Omogući opcionalne dijagnostičke podatke

Uključite postavku "Pošalji opcionalne dijagnostičke podatke" tako što ćete izvršiti sledeće korake:

  1. U Windows 11 pokrenite odeljak Start >Postavke > Privatnost & za > Dijagnostiku & povratne informacije.

  2. Uključite Opciju Pošalji opcionalne dijagnostičke podatke.

    Povratne informacije & dijagnostike

Više informacija potražite u članku Dijagnostika, povratne informacije i privatnost u operativnom sistemu Windows

BELEŠKE Uverite se da imate internet vezu tokom i neko vreme nakon provere valjanosti.

Uradite probnu propusnicu

Nakon instaliranja ispravki za Windows iz aprila 2024. i pre nego što prođete kroz korake za davanje saglasnost, obavezno izvršite probnu propusnicu da biste potvrdili integritet sistema:

  1. VPN: Proverite da li VPN pristup korporativnim resursima i mreži funkcioniše.

  2. Windows Hello: Prijavite se na Windows uređaj koristeći normalnu proceduru (lice/otisak prsta/PIN).

  3. Bitlocker: Sistem se normalno pokreće na sistemima omogućenim za BitLocker bez BitLocker upita za oporavak tokom pokretanja.

  4. Atetestacija ispravnosti uređaja: Proverite da li uređaji koji se oslanjaju na ispravnost ispravnosti uređaja potvrde njihov status.

Poznati problemi

Samo za Windows Server 2012 i Windows Sever 2012 R2:

  • Sistemi zasnovani na TPM 2.0 ne mogu da primene umanjivanja objavljena u bezbednosnoj zakrpi iz aprila 2024. godine zbog poznatih problema sa kompatibilnošću sa TPM merama. Ispravke iz aprila 2024. blokiraće ublaženja #2 (boot manager) i #3 (DBX ispravka) na pogođenim sistemima.

  • Microsoft zna za ovaj problem i ispravka će biti objavljena u budućnosti da bi se deblokirali sistemi zasnovani na TPM 2.0.

  • Da biste proverili TPM verziju, kliknite desnim tasterom miša na dugme Start, izaberite stavku Pokreni,a zatim otkucajte tpm.msc. U donjem desnom uglu centralnog okna, u okviru Informacije o proizvođaču TPM-a, trebalo bi da vidite vrednost za verziju specifikacije.

Koraci za validaciju davanja saglasnosti

U ostatku ovog članka razmatra se testiranje uređaja za davanje saglasnosti za umanjivanja. Umanjivanja nisu podrazumevano omogućena. Ako preduzeće planira da omogući ova umanjivanja, prođite kroz sledeće korake provere valjanosti da biste proverili kompatibilnost uređaja.

  1. Primenite preliminarnu bezbednosnu ispravku iz aprila 2024.

  2. Otvorite komandnu liniju administratora i podesite ključ registratora da izvrši ažuriranje baze podataka tako što ćete otkucati sledeću komandu, a zatim pritisnuti taster Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Ponovo pokrenite uređaj dva puta.

  4. Proverite da li je funkcija DB uspešno ažurirana tako što ćete se uveriti da sledeća komanda vraća vrednost "Tačno". Pokrenite sledeću PowerShell komandu kao administrator:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Otvorite komandnu liniju administratora i podesite ključ registratora da biste preuzeli i instalirali PCA2023 koji je potpisao menadžer za pokretanje:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Ponovo pokrenite uređaj dva puta.

  3. Kao administrator, postavite EFI particiju da biste je pripremili za ispitivanje:

    mountvol s: /s

  4. Proverite da li je "s:\efi\microsoft\boot\bootmgfw.efi" potpisao PCA2023. Da biste to uradili, pratite ove korake:

    1. Kliknite na dugme Start, otkucajte komandnu liniju u polju Pretraga , a zatim izaberite stavku Komandna linija.

    2. U prozoru Komandna linija otkucajte sledeću komandu, a zatim pritisnite taster Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. U upravljaču datotekama kliknite desnim tasterom miša na datoteku C:\bootmgfw_2023.efi, izaberite stavku Svojstva, a zatim izaberite karticu Digitalni potpisi.

    4. Na listi Potpis potvrdite da lanac certifikata uključuje Windows UEFI 2023 CA.

OPREZ: Ovaj korak primenjuje opozvanje DBX-a na nepouzdane stare, ranjive upravljače pokretanja potpisane korišćenjem Windows produkcijske PCA2011. Uređaji na koje je primenjeno ovo oporavljanje neće se više pokrenuti sa postojećih servera za oporavak medija i pokretanja mreže (PXE/HTTP) na koji nisu ažurirane komponente upravljača pokretanja.

Ako uređaj dođe u stanje koje nije moguće pokrenuti, pratite korake u odeljku "Procedure za oporavak i vraćanje u prethodno stanje" da biste uspostavili početne vrednosti uređaja u stanje opo pozivanja.

Kada primenite DBX, ako želite da vratite uređaj u prethodno stanje bezbednog pokretanja, pratite odeljak "Procedure za oporavak i vraćanje u prethodno stanje".

Primenite Ublaženje DBX-a da biste osnunuli certifikat Windows produkcije PCA2011 bezbednom pokretanju:

  1. Otvorite komandnu liniju administratora i podesite ključ registratora da biste postavili opoziv za PCA2011 u DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Ponovo pokrenite uređaj dva puta i potvrdite da je potpuno ponovo pokrenut.

  3. Potvrdite da je Ublaženje DBX-a uspešno primenjeno. Da biste to uradili, pokrenite sledeću PowerShell komandu kao administrator i uverite se da komanda vraća vrednost Tačno:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Možete i da potražite sledeći događaj u Prikazivač događaja:

    Evidencija događaja

    Sistem

    Izvor događaja

    TPM-WMI

    ID događaja

    1037

    Nivo

    Informacije

    Tekst poruke o događaju

    Ispravka bezbednog pokretanja Dbx-a za opoziv Microsoft Windows Production PCA 2011 je uspešno primenjena

  4. Izvršite prolazne stavke testa iz odeljka "Pre nego što počnete" i uverite se da se svi sistemi normalno ponašaju.

Referenca ključa registratora

Korak provere valjanosti davanja saglasnosti 1.Korak provere valjanosti davanja saglasnosti 2. korakKorak provere valjanosti davanja saglasnosti 3. korak

Komandu

Svrhu

Komentare 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Instalira ispravku baze podataka da bi omogućio upravljaču PCA2023 pokretanja koji je potpisao

Komandu

Svrhu

Komentare 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Instalira PCA2023 potpisano pokretanje sistema

Vrednost se poštuje samo kada 0x40 korak dovršen

Komandu

Svrhu

Komentare 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Instalira DBX ispravku koja opoziva PCA2011

Vrednost se poštuje samo kada oba 0x40 & 0x100 dovršena

Rezultati i povratne informacije

Pošaljite e-poruku suvp@microsoft.com sa rezultatima testiranja, pitanjima i povratnim informacijama.

Procedure za oporavak i vraćanje u prethodno stanje

Prilikom izvršavanja procedura oporavka, delite sledeće podatke sa korporacijom Microsoft:

  • Uočen je snimak ekrana neuspešnog pokretanja.

  • Izvršeni su koraci koji su doveli do toga da uređaj ne može da se pokrene.

  • Detalji o konfiguraciji uređaja.

Prilikom izvršavanja procedure vraćanja u prethodno stanje, obustavite BitLocker pre nego što započnete proceduru.

Ako nešto pošlo po zlu tokom ovog procesa i ne možete da pokrenete uređaj ili treba da krenete od spoljnih medija (na primer, fleš disk jedinice ili PXE pokretanja), isprobajte sledeće procedure.

  1. Isključivanje bezbednog pokretanja

    Ova procedura se razlikuje od proizvođača računara i modela. Unesite meni UEFI BIOS računara i pomerite se do postavke bezbednog pokretanja i isključite je. Pogledajte dokumentaciju proizvođača računara da biste saznali detalje o ovom procesu. Više informacija potražite u članku Onemogućavanje bezbednog pokretanja.

  2. Obriši tastere za bezbedno pokretanje

    Ako uređaj podržava brisanje ključeva za bezbedno pokretanje ili uspostavljanje fabričkih ključeva za bezbedno pokretanje na fabričke vrednosti, odmah izvršite ovu radnju.  

    Uređaj bi trebalo da počne odmah, ali imajte na umu da je on ranjiv na malver koji se koristi za pokretanje paketa. Obavezno dovršite 5. korak na kraju ovog procesa oporavka da biste ponovo omogućili bezbedno pokretanje.

  3. Pokušajte da pokrenete Windows sa sistemskog diska.

    1. Ako je BitLocker omogućen i ode u oporavak, unesite BitLocker ključ za oporavak.

    2. Prijavite se u Windows.

    3. Pokrenite sledeće komande iz komandne linije administratora da biste vratili datoteke za pokretanje u EFI sistemskoj particiji za pokretanje sistema:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Pokretanje BCDBoot bi trebalo da vrati "Datoteke za pokretanje su uspešno kreirane".

    5. Ako je BitLocker omogućen, obustavite BitLocker.

    6. Ponovo pokrenite uređaj.

  4. Ako 3. korak ne oporavi uređaj uspešno, ponovo instalirajte Windows.

    1. Počnite od postojećih medijuma za oporavak.

    2. Nastavite sa instalacijom operativnog sistema Windows pomoću medijuma za oporavak.

    3. Prijavite se u Windows.

    4. Ponovo pokrenite računar da biste proverili da li se uređaj uspešno pokrenuo u operativnom sistemu Windows.

  5. Ponovo omogućite bezbedno pokretanje i ponovo pokrenite uređaj.

    Unesite devicce UEFI meni i pomerite se do postavke bezbednog pokretanja i uključite je. Pogledajte dokumentaciju proizvođača uređaja da biste saznali detalje o ovom procesu. Više informacija potražite u članku Ponovno omogućavanje bezbednog pokretanja.

  6. Ako Windows pokrene i dalje ne uspe, ponovo unesite UEFI BIOS i isključite bezbedno pokretanje sistema.

  7. Pokrenite Windows.

  8. Deljenje sadržaja usluge DB, DBX sa korporacijom Microsoft.

    1. Otvorite PowerShell u režimu administratora.

    2. Uhvatite DB:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Uhvatite DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Delite datoteke DBUpdateFw.bin i dbxUpdateFw.bin generisane u koracima 8b i 8c.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×