เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
วันที่ 20 มีนาคม 2567 |
|
วันที่ 21 มีนาคม 2567 |
|
วันที่ 22 มีนาคม 2567 |
|
บทนำ
บทความนี้เป็นส่วนเพิ่มเติมสําหรับบทความต่อไปนี้ซึ่งจะอัปเดตในเดือนเมษายน 2024:
-
KB5025885: วิธีจัดการการเพิกถอน Windows Boot Manager สําหรับการเปลี่ยนแปลงการบูตแบบปลอดภัยที่เกี่ยวข้องกับ CVE-2023-24932
ส่วนเพิ่มเติมนี้อธิบายขั้นตอนการปรับปรุงเพื่อปรับใช้การลดปัญหาใหม่กับ BlackLotus UEFI boot-kit ที่ติดตามโดย CVE-2023-24932 และรวมถึงคําแนะนําในการทดสอบสําหรับสภาพแวดล้อมของคุณ
เพื่อช่วยป้องกันการใช้งานในทางที่ผิดที่เป็นอันตรายของผู้จัดการการบูตที่มีช่องโหว่ เราต้องปรับใช้ใบรับรองการลงชื่อเข้าใช้ UEFI Secure Boot ใหม่กับเฟิร์มแวร์อุปกรณ์ และเพิกถอนความเชื่อถือในเฟิร์มแวร์ของใบรับรองการลงชื่อในปัจจุบัน การทําเช่นนี้จะทําให้ผู้จัดการการเริ่มต้นระบบที่มีอยู่ทั้งหมดมีความเสี่ยงไม่น่าเชื่อถือจากอุปกรณ์ที่เปิดใช้งานการบูตแบบปลอดภัย คู่มือนี้จะช่วยคุณเกี่ยวกับกระบวนการนั้น
ขั้นตอนการบรรเทาสามขั้นตอนที่ระบุไว้ในคู่มือนี้มีดังนี้:
-
กําลังอัปเดต DB: จะมีการเพิ่มใบรับรอง PCA (PCA2023) ใหม่ลงใน Secure Boot DB ซึ่งจะอนุญาตให้อุปกรณ์เริ่มต้นระบบสื่อที่เซ็นชื่อโดยใบรับรองนี้
-
การติดตั้งตัวจัดการการเริ่มต้นระบบ: ตัวจัดการการบูตที่ลงนามด้วย PCA2011 ที่มีอยู่จะถูกแทนที่ด้วยตัวจัดการการบูตที่ลงนามโดย PCA2023ตัวจัดการการเริ่มต้นระบบทั้งสองจะรวมอยู่ในการอัปเดตความปลอดภัยประจําเดือนเมษายน 2024
-
การเพิกถอน DBX ของ PCA2011: รายการปฏิเสธจะถูกเพิ่มลงใน Secure Boot DBX ป้องกันไม่ให้ผู้จัดการการบูตที่ลงชื่อด้วย PCA2011 เริ่มต้นระบบ
หมายเหตุ ซอฟต์แวร์สแตกการให้บริการที่บังคับใช้การแก้ไขทั้งสามนี้จะไม่อนุญาตให้มีการแก้ไขการใช้งานตามคําสั่ง
สิ่งนี้ใช้กับฉันได้หรือไม่
คู่มือนี้ใช้กับอุปกรณ์ที่มีการเปิดใช้งานการบูตแบบปลอดภัยและสื่อการกู้คืนที่มีอยู่ทั้งหมดสําหรับอุปกรณ์เหล่านี้
หากอุปกรณ์ของคุณใช้ Windows Server 2012 หรือ Windows Server 2012 R2 ตรวจสอบให้แน่ใจว่าได้อ่านส่วน "ปัญหาที่ทราบแล้ว" ก่อนที่จะดําเนินการต่อ
ก่อนที่คุณจะเริ่ม
เปิดใช้งานข้อมูลการวินิจฉัยเพิ่มเติม
โปรดเปิดการตั้งค่า "ส่งข้อมูลการวินิจฉัยเพิ่มเติม" โดยทําตามขั้นตอนต่อไปนี้:
-
ใน Windows 11 ไปที่เริ่มต้นการตั้งค่า > > ความปลอดภัย & ความเป็นส่วนตัว > การวินิจฉัย & คําติชม
-
เปิด ส่งข้อมูลการวินิจฉัยเพิ่มเติม
สําหรับข้อมูลเพิ่มเติม โปรดดู การวินิจฉัย คําติชม และความเป็นส่วนตัวใน Windows
หมาย เหตุ ตรวจสอบให้แน่ใจว่าคุณมีการเชื่อมต่ออินเทอร์เน็ตระหว่างและเป็นระยะเวลาหนึ่งหลังจากการตรวจสอบความถูกต้อง
ทําแบบทดสอบผ่าน
หลังจากติดตั้งการอัปเดต Windows เดือนเมษายน 2024 และก่อนที่จะทําตามขั้นตอนในการเลือกรับ ตรวจสอบให้แน่ใจว่าได้ทําการทดสอบผ่านเพื่อตรวจสอบความสมบูรณ์ของระบบของคุณ:
-
Vpn: ตรวจสอบว่าการเข้าถึง VPN ไปยังทรัพยากรขององค์กรและเครือข่ายใช้งานได้
-
Windows Hello: เข้าสู่ระบบอุปกรณ์ Windows โดยใช้กระบวนการปกติของคุณ (ใบหน้า/ลายนิ้วมือ/PIN)
-
Bitlocker: โดยปกติระบบจะเริ่มต้นบนระบบที่เปิดใช้งาน BitLocker โดยไม่มีพร้อมท์การกู้คืน BitLocker ระหว่างการเริ่มต้นระบบ
-
การประเมินสถานภาพอุปกรณ์: ตรวจสอบว่าอุปกรณ์ที่ใช้ Device Health Attestation รับรองสถานะอย่างถูกต้อง
ปัญหาที่พบ
สําหรับ Windows Server 2012 และ Windows Sever 2012 R2 เท่านั้น:
-
ระบบที่ใช้ TPM 2.0 ไม่สามารถปรับใช้การแก้ไขที่เผยแพร่ในโปรแกรมแก้ไขความปลอดภัยเดือนเมษายน 2024 ได้เนื่องจากปัญหาความเข้ากันได้ที่ทราบแล้วกับการวัดค่า TPM การอัปเดตประจําเดือนเมษายน 2024 จะบล็อกการแก้ไข #2 (ตัวจัดการการเริ่มต้นระบบ) และ #3 (การอัปเดต DBX) บนระบบที่ได้รับผลกระทบ
-
Microsoft ทราบถึงปัญหาและการอัปเดตจะเผยแพร่ในอนาคตเพื่อยกเลิกการบล็อกระบบที่ใช้ TPM 2.0
-
เมื่อต้องการตรวจสอบเวอร์ชัน TPM ของคุณ ให้คลิกขวาที่ เริ่ม คลิก เรียกใช้ แล้วพิมพ์ tpm.msc ที่ด้านล่างขวาของบานหน้าต่างศูนย์ภายใต้ ข้อมูลผู้ผลิต TPM คุณควรเห็นค่าสําหรับ เวอร์ชันข้อมูลจําเพาะ
ขั้นตอนการตรวจสอบการเข้าร่วม
ส่วนที่เหลือของบทความนี้อธิบายการทดสอบสําหรับการเลือกใช้อุปกรณ์เพื่อบรรเทาปัญหา การลดปัญหาไม่ได้เปิดใช้งานตามค่าเริ่มต้น หากองค์กรของคุณวางแผนที่จะเปิดใช้งานการบรรเทาเหล่านี้ โปรดทําตามขั้นตอนการตรวจสอบต่อไปนี้เพื่อตรวจสอบความเข้ากันได้ของอุปกรณ์
-
ปรับใช้การอัปเดตความปลอดภัยก่อนวางจําหน่ายเดือนเมษายน 2024
-
เปิดพร้อมท์คําสั่งของผู้ดูแลระบบและตั้งค่ารีจิสทรีคีย์เพื่อดําเนินการอัปเดตเป็น DB โดยพิมพ์คําสั่งต่อไปนี้ แล้วกด Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
รีสตาร์ตอุปกรณ์สองครั้ง
-
ตรวจสอบว่า DB ได้รับการอัปเดตเรียบร้อยแล้วโดยตรวจสอบให้แน่ใจว่าคําสั่งต่อไปนี้ส่งกลับเป็น True เรียกใช้คําสั่ง PowerShell ต่อไปนี้ในฐานะผู้ดูแลระบบ:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
เปิดพร้อมท์คําสั่งของผู้ดูแลระบบและตั้งค่ารีจิสทรีคีย์เพื่อดาวน์โหลดและติดตั้งตัวจัดการการบูตที่ลงนาม PCA2023:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
รีสตาร์ตอุปกรณ์สองครั้ง
-
ในฐานะผู้ดูแลระบบ ติดตั้งพาร์ติชัน EFI เพื่อให้พร้อมสําหรับการตรวจสอบ:
mountvol s: /s
-
ตรวจสอบว่า "s:\efi\microsoft\boot\bootmgfw.efi" ได้รับการรับรองโดย PCA2023 เมื่อต้องการดำเนินการดังกล่าวนี้ ให้ปฏิบัติตามขั้นตอนต่อไปนี้:
-
คลิก เริ่ม พิมพ์ พร้อมท์คําสั่ง ในกล่อง ค้นหา แล้วคลิก พร้อมท์คําสั่ง
-
ในหน้าต่าง พร้อมท์คําสั่ง ให้พิมพ์คําสั่งต่อไปนี้ แล้วกด Enter
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
ในตัวจัดการไฟล์ ให้คลิกขวาที่ไฟล์ C:\bootmgfw_2023.efi คลิก คุณสมบัติ แล้วเลือกแท็บ ลายเซ็นดิจิทัล
-
ในรายการ ลายเซ็น ให้ยืนยันว่าสายใบรับรองมี Windows UEFI 2023 CA
-
ข้อควรระวัง: ขั้นตอนนี้ปรับใช้การเพิกถอน DBX เพื่อยกเลิกการป้องกันตัวจัดการการบูตเก่าที่เสี่ยงต่อการลงชื่อเข้าใช้โดยใช้ PCA2011 การผลิตของ Windows อุปกรณ์ที่มีการนําการเพิกถอนนี้ไปใช้จะไม่บูตจากสื่อการกู้คืนที่มีอยู่และเซิร์ฟเวอร์การบูตเครือข่าย (PXE/HTTP) ที่ไม่มีคอมโพเนนต์ตัวจัดการการบูตที่อัปเดต
หากอุปกรณ์ของคุณ เข้าสู่สถานะที่ไม่สามารถเริ่มต้นระบบได้ ให้ทําตามขั้นตอนในส่วน "ขั้นตอนการกู้คืนและคืนค่า" เพื่อรีเซ็ตอุปกรณ์เป็นสถานะก่อนการเพิกถอน
หลังจากใช้ DBX หากคุณต้องการให้อุปกรณ์กลับสู่สถานะการบูตแบบปลอดภัยก่อนหน้า ให้ทําตามขั้นตอน "ขั้นตอนการกู้คืนและคืนค่า"
ใช้การบรรเทา DBX เพื่อยกเลิกการหยุดยั้งใบรับรอง PCA2011 การผลิต Windows ในการบูตแบบปลอดภัย:
-
เปิดพร้อมท์คําสั่งของผู้ดูแลระบบและตั้งค่ารีจิสทรีคีย์เพื่อเพิกถอนสําหรับ PCA2011 ใน DBX:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
รีสตาร์ตอุปกรณ์ของคุณ สองครั้ง และยืนยันว่าได้เริ่มระบบใหม่ทั้งหมดแล้ว
-
ตรวจสอบว่ามีการใช้การบรรเทา DBX เสร็จเรียบร้อยแล้ว เมื่อต้องการทําเช่นนี้ ให้เรียกใช้คําสั่ง PowerShell ต่อไปนี้ในฐานะผู้ดูแลระบบ และตรวจสอบให้แน่ใจว่าคําสั่งส่งกลับ เป็น True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
หรือค้นหาเหตุการณ์ต่อไปนี้ในตัวแสดงเหตุการณ์:
บันทึกเหตุการณ์
ระบบ
แหล่งของเหตุการณ์
TPM-WMI
ID เหตุการณ์
1037
ระดับ
ข้อมูล
ข้อความข้อความเหตุการณ์
การอัปเดต Dbx การบูตแบบปลอดภัยเพื่อเพิกถอน Microsoft Windows Production PCA 2011 ถูกนําไปใช้เรียบร้อยแล้ว
-
ดําเนินการทดสอบผ่านรายการจากส่วน "ก่อนที่คุณจะเริ่ม" และตรวจสอบให้แน่ใจว่าระบบทั้งหมดทํางานตามปกติ
การอ้างอิงรีจิสทรีคีย์
คำ สั่ง |
วัตถุ ประสงค์ |
ความ คิด เห็น |
|
ติดตั้งการอัปเดต DB เพื่ออนุญาตตัวจัดการการเริ่มต้นระบบที่ลงนามโดย PCA2023 |
คำ สั่ง |
วัตถุ ประสงค์ |
ความ คิด เห็น |
|
ติดตั้ง bootmgr PCA2023-signed |
ค่าเฉพาะหลังจากขั้นตอน 0x40 เสร็จสมบูรณ์ |
คำ สั่ง |
วัตถุ ประสงค์ |
ความ คิด เห็น |
|
ติดตั้งการอัปเดต DBX ที่จะเพิกถอน PCA2011 |
ค่าเฉพาะหลังจากทั้งสองขั้นตอน 0x40 & 0x100 เสร็จสมบูรณ์ |
ผลลัพธ์และคําติชม
ส่งอีเมลไปยัง suvp@microsoft.com พร้อมผลการทดสอบ คําถาม และคําติชม
ขั้นตอนการกู้คืนและคืนค่า
เมื่อดําเนินการขั้นตอนการกู้คืน ให้แชร์ข้อมูลต่อไปนี้กับ Microsoft:
-
สกรีนช็อตของความล้มเหลวในการเริ่มต้นระบบที่พบ
-
ขั้นตอนที่ดําเนินการซึ่งนําไปสู่อุปกรณ์กลายเป็นไม่สามารถเริ่มต้นระบบได้
-
รายละเอียดของการกําหนดค่าอุปกรณ์
เมื่อดําเนินการขั้นตอนการคืนค่า ให้หยุด BitLocker ชั่วคราวก่อนเริ่มกระบวนการ
หากมีสิ่งผิดปกติเกิดขึ้นในระหว่างกระบวนการนี้ และคุณไม่สามารถเริ่มอุปกรณ์ของคุณได้ หรือคุณจําเป็นต้องเริ่มต้นจากสื่อภายนอก (เช่น ธัมป์ไดรฟ์ หรือการบูตแบบ PXE) ให้ลองทําตามขั้นตอนต่อไปนี้
-
ปิดการบูต
แบบปลอดภัย ขั้นตอนนี้แตกต่างกันระหว่างผู้ผลิตพีซีและรุ่นต่างๆ เข้าสู่เมนู BIOS ของพีซี UEFI และไปที่การตั้งค่าการบูตแบบปลอดภัยและปิด ตรวจสอบเอกสารประกอบจากผู้ผลิตพีซีของคุณเพื่อดูข้อมูลเฉพาะเกี่ยวกับกระบวนการนี้ ดูข้อมูลเพิ่มเติมได้ที่ การปิดใช้งานการบูตแบบปลอดภัย -
ล้างคีย์
การบูตแบบปลอดภัย หากอุปกรณ์รองรับการล้างคีย์การบูตแบบปลอดภัยหรือรีเซ็ตคีย์การบูตแบบปลอดภัยเป็นค่าเริ่มต้นจากโรงงาน ให้ดําเนินการนี้ทันที
อุปกรณ์ของคุณควรเริ่มทํางานทันที แต่โปรดทราบว่ามีความเสี่ยงที่จะเกิดมัลแวร์สําหรับชุดการบูต ตรวจสอบให้แน่ใจว่าได้ทําขั้นตอนที่ 5 เมื่อสิ้นสุดกระบวนการกู้คืนนี้เพื่อเปิดใช้งานการบูตแบบปลอดภัยอีกครั้ง -
ลองเริ่ม Windows จากดิสก์ระบบ
-
หากเปิดใช้งาน BitLocker และเข้าสู่การกู้คืน ให้ป้อนคีย์การกู้คืน BitLocker ของคุณ
-
เข้าสู่ระบบ Windows
-
เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบเพื่อคืนค่าไฟล์การเริ่มต้นระบบในพาร์ติชันสําหรับบูตระบบ EFI:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
การเรียกใช้ BCDBoot ควรส่งคืน "สร้างไฟล์การเริ่มต้นระบบเรียบร้อยแล้ว"
-
หากเปิดใช้งาน BitLocker ให้หยุด BitLocker ชั่วคราว
-
รีสตาร์ตอุปกรณ์
-
-
หากขั้นตอนที่ 3 กู้คืนอุปกรณ์ไม่สําเร็จ ให้ติดตั้ง Windows ใหม่
-
เริ่มจากสื่อการกู้คืนที่มีอยู่
-
ดําเนินการติดตั้ง Windows โดยใช้สื่อการกู้คืน
-
เข้าสู่ระบบ Windows
-
รีสตาร์ตเพื่อตรวจสอบว่าอุปกรณ์เริ่มต้น Windows ได้สําเร็จ
-
-
เปิดใช้งานการบูตแบบปลอดภัยและเริ่มระบบของอุปกรณ์ใหม่
ป้อนเมนู UEFI ของ devicce ของคุณและนําทางไปยังการตั้งค่าการบูตแบบปลอดภัยและเปิด ตรวจสอบเอกสารประกอบจากผู้ผลิตอุปกรณ์ของคุณเพื่อดูข้อมูลเฉพาะเกี่ยวกับกระบวนการนี้ ดูข้อมูลเพิ่มเติมได้ที่ เปิดใช้งานการบูตแบบปลอดภัยอีกครั้ง -
หาก Windows เริ่มระบบยังคงล้มเหลว ให้ป้อน UEFI BIOS อีกครั้ง และปิดการบูตแบบปลอดภัย
-
เริ่มต้น Windows
-
แชร์เนื้อหาของ DB, DBX กับ Microsoft
-
เปิด PowerShell ในโหมดผู้ดูแลระบบ
-
จับภาพ DB:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
จับภาพ DBX:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
แชร์ไฟล์ DBUpdateFw.bin และ dbxUpdateFw.bin ที่สร้างขึ้นในขั้นตอนที่ 8b และ 8c
-