Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Ändra datum

Ändra beskrivning

den 20 mars 2024

  • Avsnittet "Resultat och feedback" har lagts till

den 21 mars 2024

  • Steg 4 uppdaterades i avsnittet "Steg 2: Installera den PCA2023 signerade starthanteraren"

den 22 mars 2024

  • Uppdaterade kontaktinformationen för e-post i avsnittet "Resultat och feedback"

  • Avsnittet Aktivera valfria diagnostikdata har lagts till

Inledning

Den här artikeln är ett tillägg till följande artikel som kommer att uppdateras i april 2024:

  • KB5025885: Så här hanterar du återkallning av Windows Boot Manager för säker start-ändringar som är associerade med CVE-2023-24932

I det här tillägget beskrivs den uppdaterade stegvisa proceduren för att distribuera nya åtgärder mot BlackLotus UEFI boot-kit som spåras av CVE-2023-24932 och innehåller testvägledning för din miljö.

För att skydda mot skadligt missbruk av utsatta starthanterare måste vi distribuera ett nytt UEFI-certifikat för säker start-signering till enhetens inbyggda programvara och återkalla förtroendet för den inbyggda programvaran för det aktuella signeringscertifikatet. Då blir alla befintliga, sårbara starthanterare inte betrodda av enheter med säker start. Den här guiden hjälper dig med processen.

De tre åtgärdsstegen som beskrivs i den här guiden är följande:

  1. Uppdaterar DB: Ett nytt PCA-certifikat (PCA2023) läggs till i DB för säker start som gör att en enhet kan starta media som signerats av certifikatet.

  2. Installation av starthanteraren: Den befintliga PCA2011 signerade starthanteraren ersätts av den PCA2023 signerade starthanteraren.Båda starthanterare ingår i säkerhetsuppdateringarna för april 2024.

  3. DBX-återkallelse av PCA2011: En neka-post läggs till i DBX för säker start som förhindrar starthanterare som är signerade med PCA2011 från att starta.

Obs! Servicing Stack-programvaran som tillämpar dessa tre lösningar tillåter inte att åtgärderna tillämpas i ordning.

Gäller detta för mig?

Den här guiden gäller alla enheter med Säker start aktiverat och alla befintliga återställningsmedia för dessa enheter.

Om enheten kör Windows Server 2012 eller Windows Server 2012 R2 måste du läsa avsnittet "Kända problem" innan du fortsätter.

Innan du börjar

Aktivera valfria diagnostikdata

Aktivera inställningen "Skicka valfria diagnostikdata" genom att utföra följande steg:

  1. I Windows 11 går du till Start > Inställningar > Sekretess & säkerhet > Diagnostik & feedback.

  2. Aktivera Skicka valfria diagnostikdata.

    Diagnostik & feedback

Mer information finns i Diagnostik, feedback och sekretess i Windows

OBSERVERA Kontrollera att du har internetanslutning under och under en tid efter valideringen.

Gör ett teststeg

När du har installerat Windows-uppdateringarna för april 2024 och innan du går igenom stegen för att registrera dig bör du se till att göra ett teststeg för att kontrollera systemets integritet:

  1. VPN: Kontrollera att VPN-åtkomst till företagsresurser och nätverk fungerar.

  2. Windows Hello: Logga in på Windows-enheten med din vanliga procedur (ansikte/fingeravtryck/PIN-kod).

  3. Bitlocker: Systemet startas normalt på BitLocker-aktiverade system utan någon BitLocker-återställningsprompt vid start.

  4. Hälsodämpning för enhet: Kontrollera att enheter som är beroende av Enhetens hälsostatusattestering korrekt intygar deras status.

Kända problem

Endast för Windows Server 2012 och Windows Sever 2012 R2:

  • TPM 2.0-baserade system kan inte distribuera de lösningar som släpptes i säkerhetskorrigeringen för april 2024 på grund av kända kompatibilitetsproblem med TPM-mätningar. April 2024-uppdateringarna blockerar åtgärder #2 (boot manager) och #3 (DBX-uppdatering) på berörda system.

  • Microsoft är medvetna om problemet och en uppdatering kommer att släppas i framtiden för att häva blockeringen av TPM 2.0-baserade system.

  • Om du vill kontrollera TPM-versionen högerklickar du på Start, klickar på Kör och skriver tpm.msc. Längst ned till höger i mittenfönstret under Information om TPM-tillverkare bör du se ett värde för Specifikationsversion.

Verifieringssteg för registrering

I resten av den här artikeln beskrivs testningen för att välja in-enheter till lösningarna. Lösningarna är inte aktiverade som standard. Om ditt företag planerar att aktivera de här lösningarna går du igenom följande verifieringssteg för att verifiera enhetens kompatibilitet.

  1. Distribuera säkerhetsuppdateringen för april 2024.

  2. Öppna en kommandotolk som administratör och ange registernyckeln för att utföra uppdateringen till DB genom att skriva följande kommando och tryck sedan på Retur:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Starta om enheten två gånger.

  4. Kontrollera att DB har uppdaterats genom att kontrollera att följande kommando returnerar True. Kör följande PowerShell-kommando som administratör:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Öppna en kommandotolk som administratör och ange registernyckeln för att ladda ned och installera den PCA2023 signerade starthanteraren:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Starta om enheten två gånger.

  3. Som administratör monterar du EFI-partitionen för att förbereda den för kontroll:

    mountvol s: /s

  4. Verifiera att "s:\efi\microsoft\boot\bootmgfw.efi" har signerats av PCA2023. Gör så här:

    1. Klicka på Start, skriv kommandotolken i sökrutan och klicka sedan på Kommandotolken.

    2. Skriv följande kommando i kommandotolken och tryck sedan på Retur.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Högerklicka på filen C:\bootmgfw_2023.efi i Filhanteraren, klicka på Egenskaper och välj sedan fliken Digitala signaturer.

    4. Bekräfta att certifikatkedjan innehåller Windows UEFI 2023 CA i listan Signatur.

VARNING! I det här steget distribueras DBX-återkallelsen till gamla, sårbara starthanterare som signerats med windows production PCA2011. Enheter med den här återkallelsen startas inte längre från befintliga återställningsmedia och PXE/HTTP-servrar (network boot) som inte har uppdaterade starthanterarens komponenter.

Om enheten inte kan startas följer du anvisningarna i avsnittet Återställnings- och återställningsprocedurer för att återställa enheten till ett tillstånd före återkallelsen.

När du har tillämpat DBX följer du avsnittet "Återställnings- och återställningsprocedurer" om du vill återställa enheten till dess tidigare tillstånd för säker start.

Tillämpa DBX-begränsningen för att inte lita på certifikatet för Windows Production PCA2011 i Säker start:

  1. Öppna en kommandotolk som administratör och ställ in registernyckeln så att återkallelsen för PCA2011 läggs till i DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Starta om enheten två gånger och kontrollera att den har startats om helt.

  3. Kontrollera att DBX-begränsningen har tillämpats korrekt. Det gör du genom att köra följande PowerShell-kommando som administratör och kontrollera att kommandot returnerar Sant:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Du kan också leta efter följande händelse i Loggboken:

    Händelselogg

    System

    Händelsekälla

    TPM-WMI

    Händelse-ID

    1037

    Nivå

    Information

    Meddelandetext för händelse

    Secure Boot Dbx update to revoke Microsoft Windows Production PCA 2011 is applied successfully

  4. Utför teststegsobjekten från avsnittet "Innan du börjar" och kontrollera att alla system fungerar normalt.

Registernyckelreferens

Validering av opt-in steg 1Validering av opt-in steg 2Validering av opt-in steg 3

Kommando

Syfte

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Installerar DB-uppdateringen så att den PCA2023 signerade starthanteraren tillåts

Kommando

Syfte

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Installerar den PCA2023 signerade bootmgr

Värde som endast har hedrats när 0x40 steg har slutförts

Kommando

Syfte

Kommentarer 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Installerar DBX-uppdateringen som återkallar PCA2011

Värde som endast har hedrats när båda 0x40 & 0x100 steg har slutförts

Resultat och feedback

Skicka e-post till suvp@microsoft.com med testresultat, frågor och feedback.

Återställnings- och återställningsprocedurer

När du utför återställningsprocedurer ska du dela följande data med Microsoft:

  • Skärmbild av startfelet som observerats.

  • Åtgärder som utförts som ledde till att enheten inte kunde startas.

  • Information om enhetskonfigurationen.

När du utför en återställningsprocedur pausar du BitLocker innan du påbörjar proceduren.

Om något går fel under den här processen och du inte kan starta enheten eller om du behöver starta från externa medier (till exempel USB-minne eller PXE-start), kan du prova följande procedurer.

  1. Inaktivera Säker start

    Den här proceduren skiljer sig mellan datortillverkare och modeller. Ange din UEFI BIOS-meny på datorn och gå till inställningen Säker start och inaktivera den. Mer information om den här processen finns i dokumentationen från datortillverkaren. Mer information finns i Inaktivera säker start.

  2. Rensa nycklar för säker start

    Om enheten stöder rensning av nycklar för säker start eller återställning av nycklar för säker start till fabriksinställningarna utför du den här åtgärden nu.  

    Enheten ska starta nu men observera att den är sårbar för startpaket som skadlig kod. Se till att slutföra steg 5 i slutet av den här återställningsprocessen för att återaktivera Säker start.

  3. Försök starta Windows från systemdisken.

    1. Om BitLocker är aktiverat och går till återställning anger du BitLocker-återställningsnyckeln.

    2. Logga in i Windows.

    3. Kör följande kommandon från kommandotolken administratör för att återställa startfilerna i EFI-systemstartpartitionen:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Kör BCDBoot ska returnera "Startfiler har skapats".

    5. Om BitLocker är aktiverat pausar du BitLocker.

    6. Starta om enheten.

  4. Om steg 3 inte återställer enheten installerar du om Windows.

    1. Starta från befintliga återställningsmedia.

    2. Fortsätt att installera Windows med hjälp av återställningsmedia.

    3. Logga in i Windows.

    4. Starta om för att kontrollera att enheten startas korrekt i Windows.

  5. Återaktivera Säker start och starta om enheten.

    Ange din UEFI-meny och gå till inställningen Säker start och aktivera den. Mer information om den här processen finns i dokumentationen från enhetstillverkaren. Mer information finns i Återaktivera säker start.

  6. Om Windows start fortsätter att misslyckas anger du UEFI BIOS igen och inaktiverar Säker start.

  7. Starta Windows.

  8. Dela innehållet i DB, DBX med Microsoft.

    1. Öppna PowerShell i administratörsläge.

    2. Registrera DB:et:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Avbilda DBX:et:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Dela filerna DBUpdateFw.bin och dbxUpdateFw.bin som genereras i steg 8b och 8c.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×