Pogledajte proizvode na koje se odnosi ovaj članak.

Rezime

29. jula 2020. Microsoft je objavio savet za bezbednost 200011 koji opisuje novu ranjivost koja je povezana sa bezbednim pokretanjem. Uređaji koji imaju poverenja u Microsoft nezavisnog proizvođača Objedinjeni proširivi interfejs firmvera (UEFI) autoritet za izdavanje certifikata (UEFI) u konfiguraciji bezbednog pokretanja mogu biti osetljivi na napadača koji ima administratorske privilegije ili fizički pristup uređaju.

Ovaj članak pruža uputstva da primenite najnoviju listu opoziva za bezbedno pokretanje DBX-a da biste poništili ranjive module. Microsoft će podstaći ispravku da Windows Update rešili ovu ranjivost u proleće 2022.

Binare za ažuriranje bezbednog pokretanja hostuju se na ovoj UEFI veb stranici.

Objavljene datoteke su sledeće:

  • Datoteka UEFI liste opozvanih poziva za x86 (32 bita)

  • Datoteka liste opozvanih UEFI poziva za x64 (64-bitni)

  • Datoteka UEFI liste opozvanih poziva za arm64

Kada se ti hešovi dodaju u DBX bezbednog pokretanja na uređaju, tim aplikacijama više neće biti dozvoljeno da se učitaju. 

Važno: Ova lokacija hostuje datoteke za svaku arhitekturu. Svaka hostovana datoteka uključuje samo hešove aplikacija koje se odnose na određenu arhitekturu. Morate da primenite jednu od ovih datoteka na svaki uređaj, ali se uverite da ste primenili datoteku koja je relevantna za njenu arhitekturu. Iako je tehnički moguće primeniti ispravku za drugu arhitekturu, ako ne instalirate odgovarajuću ispravku, uređaj neće biti zaštićen.

Oprez: Pročitajte glavni savetodavni članak o ovoj ranjivosti pre nego što pokušate da izvršite neki od ovih koraka. Neispravno primena DBX ispravki može da spreči pokretanje uređaja.

Trebalo bi da pratite ove korake samo ako su ispunjeni sledeći uslovi:

  • Potvrdili ste da vaš uređaj ima poverenja u UEFI CA nezavisnog proizvođača u konfiguraciji bezbednog pokretanja. Da biste to uradili, pokrenite sledeći red programa PowerShell u administrativnoj PowerShell sesiji:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Ne oslanjate se na pokretanje aplikacija za pokretanje koje ova ispravka blokira.

Više informacija

Primena DBX ispravke u operativnom sistemu Windows

Kada pročitate upozorenja u prethodnom odeljku i potvrdite da je uređaj kompatibilan, pratite ove korake da biste ažurirali DBX za bezbedno pokretanje:

  1. Preuzmite odgovarajuću datoteku UEFI liste opozvanih poziva (Dbxupdate.bin) za platformu sa ove UEFI veb stranice.

  2. Morate da razdelite datoteku Dbxupdate.bin na neophodne komponente da biste ih primenili pomoću PowerShell cmdlet komandi. Da biste to uradili, pratite ove korake:

    1. Preuzmite PowerShell skriptu sa ove veb stranice PowerShell galerije.

    2. Da biste lakše pronašli skriptu, pokrenite sledeću cmdlet komandu:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

    3. Proverite da li je cmdlet uspešno preuzeo skriptu i obezbedio izlazne detalje, uključujući Ime, Verziju, Autora, ObjavljeniDatum, Datum instalacije i InstalledLocation.

    4. Pokrenite sledeće cmdlet komande:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

    5. Proverite da SplitDbxContent.ps1 datoteka sada u fascikli Skripte.

    6. Pokrenite sledeću PowerShell skriptu u datoteci Dbxupdate.bin:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. Proverite da li je komanda kreirala sledeće datoteke.

      Izlaz komande "Primena" u koraku 2c

      • Content.bin – sadržaj ažuriranja

      • Signature.p7 – potpis koji ovlašća proces ažuriranja

  3. U administrativnoj PowerShell sesiji pokrenite Set-SecureBootUefi cmdlet da biste primenili DBX ispravku:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Očekivani izlazni


    Izlaz komande "Primena" 3. koraka

  4. Da biste dovršili proces instalacije ažuriranja, ponovo pokrenite uređaj.

Više informacija o cmdlet komandi za konfiguraciju bezbednog pokretanja i o tome kako da je koristite za DBX ispravke potražite u članku Set-Secure.

Provera da li je ažuriranje uspelo  

Kada uspešno dovršite korake u prethodnom odeljku i ponovo pokrenete uređaj, pratite ove korake da biste potvrdili da je ispravka uspešno primenjena. Nakon uspešne verifikacije, FUNKCIJA GRUB više neće uticati na uređaj.

  1. Preuzmite DBX skripte za verifikaciju ispravki sa ove veb stranice GitHub Gist.

  2. Izdvojite skripte i biblioteke iz komprimovane datoteke.

  3. Pokrenite sledeću PowerShell skriptu unutar fascikle koja sadrži proširene skripte i biblioteke da biste verifikovali DBX ispravku:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    Beleške: Ako je primenjena DBX ispravka koja odgovara verzijama iz jula 2020. ili oktobra 2020. iz ove arhive datoteke liste opoziva, umesto toga pokrenite sledeću odgovarajuću komandu:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Proverite da li se izlaz podudara sa očekivanim rezultatom.

    Izlaz komande "Verifikacija" u 4. koraku

FAQ

P1: Šta znači poruka o grešci "Get-SecureBootUEFI: Cmdlet komande nisu podržane na ovoj platformi"?

A1: Ova poruka o grešci ukazuje na to da je funkcija NO Bezbedno pokretanje omogućena na računaru. Zbog toga NA ovaj uređaj NE utiče GRUB ranjivost. Nije potrebna nikakva dalja radnja.

P2: Kako da konfigurišem uređaj tako da ima poverenja u UEFI CA ili da ne smatram pouzdanim? 

A2: Preporučujemo da se obratite dobavljaču OEM proizvođača. 

Za Microsoft Surface, promenite postavku bezbednog pokretanja na "Samo Microsoft", a zatim pokrenite sledeću PowerShell komandu (rezultat bi trebalo da bude "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Više informacija o konfigurisanju za Microsoft Surface potražite u članku Upravljanje surface UEFI postavkama – Surface | Microsoft Docs.

P3: Da li ovaj problem utiče na Azure IaaS generaciju 1 i 2. generaciju virtuelnih mašina? 

A3: Ne. Azure virtuelne mašine gen1 i Gen2 ne podržavaju funkciju bezbednog pokretanja. Prema tome, oni nisu zaraženi lancem poverenja. 

P4: Da li se ADV200011 i CVE-2020-0689 odnose na istu ranjivost koja je povezana sa bezbednim pokretanjem? 

A: Ne. Ovi saveti za bezbednost opisuju različite ranjivosti. "ADV200011" se odnosi na ranjivost u GRUB (Linux komponenti) koja može dovesti do zaoblaženja bezbednog pokretanja. "CVE-2020-0689" se odnosi na bezbednosnu funkciju koja zaobilazi ranjivost koja postoji u bezbednom pokretanju. 

P5: Ne mogu da pokrenem ni jednu Od PowerShell skripti. Šta da radim?

A: Proverite PowerShell smernice za izvršavanje tako što ćete pokrenuti komandu Get-ExecutionPolicy . U zavisnosti od izlaza, možda ćete morati da ažurirate smernice za izvršavanje:

Proizvode nezavisnih proizvođača o kom se govori u ovom članku proizvedu preduzeća nezavisna od korporacije Microsoft. Microsoft ne pruža nikakvu garanciju, podrazumevanu ni bilo koju drugi, u vezi sa performansama ili pouzdanošću ovih proizvoda. 

Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete dodatne informacije o ovoj temi. Ove kontakt informacije mogu da se promene bez obaveštenja. Microsoft ne garantuje tačnost kontakt informacija nezavisnih proizvođača. 

Odnosi se na:

Windows 10 za 32-bitne
sisteme Windows 10 za sisteme zasnovane na x64
procesorima Windows 10 Verzija 2004 za 32-bitne
sisteme Windows 10 Verzija 2004 za sisteme zasnovane na ARM64
procesorima Windows 10 Verzija 2004 za sisteme zasnovane na x64
procesorima Windows 10 Verzija 1909 za 32- bit Sistemi
Windows 10 Verzija 1909 za sisteme zasnovane na ARM64
Windows 10 Verzija 1909 za sisteme zasnovane na x64
procesorima Windows 10 Verzija 1903 za 32-bitne
sisteme Windows 10 Verzija 1903 za sisteme zasnovane na ARM64
procesorima Windows 10 Verzija 1903 za sisteme zasnovane na x64
procesorima Windows 10 Verzija 1809 za 32-bitne
sisteme Windows 10 Verzija 1809 za sisteme zasnovane na ARM64
Windows 10 verzija 1809 za sisteme zasnovane na x64
procesorima Windows 10 Verzija 1803 za 32-bitne
sisteme Windows 10 Verzija 1803 za sisteme zasnovane na ARM64
procesorima Windows 10 Verzija 1803 za sisteme zasnovane na x64
procesorima Windows 10 verzija 1709 za 32-bitne
sisteme Windows 10 Verzija 1709 za sisteme zasnovane na ARM64
Windows 10 Verzija 1709 za sisteme zasnovane na x64 procesorima Windows 10 Verzija 1607 za 32-bitne
sisteme Windows 10 Verzija 1607 za sisteme zasnovane na x64

Windows 8 .1 za 32-bitne
sisteme Windows 8.1 za sisteme zasnovane na x64
procesorima Windows RT 8.1
Windows Server, verzija 2004 (Osnovna instalacija servera)
Windows Server, verzija 1909 (Osnovna instalacija servera)
Windows Server, verzija 1903 (Osnovna instalacija servera)
Windows Server 2019
Windows Server 2019 (Osnovna instalacija servera)
Windows Server 2016
Windows Server 2016 (Osnovna instalacija servera)
Windows Server 2012 R2
Windows Server 2012 R2 (Osnovna instalacija servera)
Windows Server 2012
Windows Server 2012 (Osnovna instalacija servera)

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×