Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Se de produkter som den här artikeln gäller för.

Sammanfattning

Den 29 juli 2020 publicerade Microsoft säkerhetsmeddelande 200011 som beskriver en ny säkerhetsrisk som är relaterad till Säker start. Enheter som litar på Microsofts UEFI-certifikatutfärdare (Unified Extensible Firmware Interface) i sin konfiguration för säker start kan vara mottagliga för en angripare som har administrativ behörighet eller fysisk åtkomst till enheten.

I den här artikeln får du vägledning om hur du använder den senaste listan över ÅTERKALLADE DBX-återkallelser för säker start för att göra de sårbara modulerna ogiltiga. Microsoft kommer att skicka en uppdatering till Windows Update för att åtgärda den här sårbarheten under våren 2022.

Binärfilerna för säker start-uppdatering finns på den här UEFI-webbsidan.

De publicerade filerna är följande:

  • UEFI-återkallningslistfil för x86 (32-bitars)

  • UEFI-återkallningslistfil för x64 (64-bitars)

  • UEFI-återkallningslistfil för arm64

När dessa hash-filer har lagts till i DBX för säker start på enheten tillåts inte längre dessa program att läsas in. 

Viktigt!: Den här webbplatsen är värd för filer för varje arkitektur. Varje värdbaserad fil innehåller bara hash-värden för program som gäller för den specifika arkitekturen. Du måste tillämpa en av dessa filer på alla enheter, men se till att du använder filen som är relevant för dess arkitektur. Även om det är tekniskt möjligt att installera en uppdatering för en annan arkitektur kommer enheten inte att vara oskyddad om du inte installerar rätt uppdatering.

Försiktighet: Läs den huvudsakliga rådgivande artikeln om den här säkerhetsrisken innan du provar något av dessa steg. Felaktig tillämpning av DBX-uppdateringar kan hindra enheten från att starta.

Du bör bara följa de här stegen om följande villkor är sant:

  • Du förlitar dig inte på att starta något av de startprogram som blockeras av den här uppdateringen.

Mer information

Använda en DBX-uppdatering i Windows

När du har läst varningarna i föregående avsnitt och kontrollerat att enheten är kompatibel följer du de här stegen för att uppdatera DBX för säker start:

  1. Ladda ned lämplig UEFI-fil (Revocation List File) (Dbxupdate.bin) för din plattform från den här UEFI-webbsidan.

  2. Du måste dela upp filen Dbxupdate.bin i nödvändiga komponenter för att kunna använda dem med PowerShell-cmdletar. Gör så här:

    1. Ladda ned PowerShell-skriptet från den här PowerShell-galleriet webbsidan.

    2. Kör följande cmdlet för att hitta skriptet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

    3. Kontrollera att cmdleten laddar ned skriptet och tillhandahåller utdatainformation, inklusive Namn, Version, Författare, PubliceratDatum, InstalledDate och InstalledLocation.

    4. Kör följande cmdletar:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

    5. Kontrollera att den SplitDbxContent.ps1 filen nu finns i mappen Skript.

    6. Kör följande PowerShell-skript på filen Dbxupdate.bin:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. Kontrollera att kommandot skapade följande filer.

      Använda kommandoutdata i steg 2c

      • Content.bin – uppdatera innehåll

      • Signature.p7 – signatur som godkänner uppdateringsprocessen

  3. Kör cmdleten Set-SecureBootUefi i en administrativ PowerShell-session för att tillämpa DBX-uppdateringen:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Förväntad utdata

    Kommandoutdata för "Tillämpa" steg 3

  4. Starta om enheten för att slutföra uppdateringsinstallationen.

Mer information om cmdlet:en för konfiguration av säker start och hur du använder den för DBX-uppdateringar finns i Set-Secure.

Kontrollera att uppdateringen lyckades  

När du har slutfört stegen i föregående avsnitt och startat om enheten följer du de här stegen för att kontrollera att uppdateringen har tillämpats. När verifieringen har slutförts påverkas inte enheten längre av GRUB-säkerhetsrisken.

  1. Ladda ned dbx-uppdateringsverifieringsskripten från den här GitHub-Gist-webbsidan.

  2. Extrahera skript och binärfiler från den komprimerade filen.

  3. Kör följande PowerShell-skript i mappen som innehåller de utökade skripten och binärfilerna för att verifiera DBX-uppdateringen:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    Obs! Om en DBX-uppdatering som matchar versionerna för juli 2020 eller oktober 2020 från det här arkivet för återkallningslistan tillämpades kör du följande kommando i stället:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 '.\dbx-2020-October.bin' 

  4. Kontrollera att resultatet matchar det förväntade resultatet.

    "Verifiera" kommandoutdata i steg 4

FAQ

F1: Vad innebär felmeddelandet "Get-SecureBootUEFI: Cmdlets not supported on this platform"?

A1: Det här felmeddelandet anger att funktionen INGEN säker start är aktiverad på datorn. Därför påverkas inte den här enheten av GRUB-säkerhetsproblemet. Inga ytterligare åtgärder krävs.

F2: Hur gör jag för att konfigurera enheten att lita på eller inte lita på UEFI CA från tredje part? 

A2: Vi rekommenderar att du kontaktar oem-leverantören. 

För Microsoft Surface ändrar du inställningen för Säker start till "Endast Microsoft" och kör sedan följande PowerShell-kommando (resultatet ska vara "Falskt"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Mer information om hur du konfigurerar för Microsoft Surface finns i Hantera UEFI-inställningar för Surface – Surface | Microsoft Docs.

F3: Påverkar det här problemet virtuella Azure IaaS generation 1- och generation 2-datorer? 

A3: Nej. Virtuella Azure-gästdatorer Gen1 och Gen2 stöder inte funktionen Säker start. Därför påverkas de inte av kedjan av förtroendeattack. 

F4: Refererar ADV200011 och CVE-2020-0689 till samma sårbarhet som är relaterad till Säker start? 

A: Nej. Dessa säkerhetsrekommendationer beskriver olika sårbarheter. "ADV200011" refererar till en säkerhetsrisk i GRUB (Linux-komponent) som kan orsaka en förbikoppling av säker start. "CVE-2020-0689" refererar till en säkerhetsfunktion som finns i Säker start. 

F5: Jag kan inte köra något av PowerShell-skripten. Vad ska jag göra?

A: Verifiera PowerShell-körningsprincipen genom att köra kommandot Get-ExecutionPolicy . Beroende på utdata kan du behöva uppdatera körningsprincipen:

Produkter från tredje part som diskuteras i den här artikeln tillverkas av företag som är oberoende av Microsoft. Microsoft lämnar inga garantier, underförstådda eller andra, avseende dessa produkters prestanda eller tillförlitlighet. 

Microsoft tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta ytterligare information om det här avsnittet. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte att kontaktinformation från tredje part är korrekt. 

Gäller för:

Windows 10 för 32-bitarssystem
Windows 10 för x64-baserade system
Windows 10 version 2004 för 32-bitarssystem
Windows 10 version 2004 för ARM64-baserade system
Windows 10 version 2004 för x64-baserade system
Windows 10 version 1909 för 32- bitsystem
Windows 10 version 1909 för ARM64-baserade system
Windows 10 version 1909 för x64-baserade system
Windows 10 version 1903 för 32-bitarssystem
Windows 10 version 1903 för ARM64-baserade system
Windows 10 version 1903 för x64-baserade system
Windows 10 Version 1809 för 32-bitarssystem
Windows 10 version 1809 för ARM64-baserade system
Windows 10 version 1809 för x64-baserade system
Windows 10 version 1803 för 32-bitarssystem
Windows 10 version 1803 för ARM64-baserade system
Windows 10 version 1803 för x64-baserade system
Windows 10 version 1709 för 32-bitarssystem
Windows 10 version 1709 för ARM64-baserade system
Windows 10 version 1709 för x64-baserade system
Windows 10 version 1607 för 32-bitarssystem
Windows 10 version 1607 för x64-baserade system
Windows 8.1 för 32-bitarssystem
Windows 8.1 för x64-baserade system
Windows RT 8.1
Windows Server version 2004 (Server Core-installation)
Windows Server version 1909 (Server Core-installation)
Windows Server version 1903 (Server Core-installation)
Windows Server 2019
Windows Server 2019 (Server Core-installation)
Windows Server 2016
Windows Server 2016 (Server Core-installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core-installation)
Windows Server 2012
Windows Server 2012 (Server Core-installation)

Facebook LinkedIn E-post

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×