วันที่เผยแพร่ต้นฉบับ: วันที่ 13 สิงหาคม 2567
KB ID: 5042562
การสนับสนุนสำหรับ Windows 10 จะสิ้นสุดในเดือนตุลาคม 2025
หลังจากวันที่ 14 ตุลาคม 2025 Microsoft จะไม่ให้การอัปเดตซอฟต์แวร์ฟรีจาก Windows Update ความช่วยเหลือทางเทคนิค หรือการแก้ไขด้านความปลอดภัยสําหรับ Windows 10 อีกต่อไป พีซีของคุณจะยังคงใช้งานได้ แต่เราขอแนะนำให้เปลี่ยนไปใช้ Windows 11
|
เปลี่ยนวันที่ |
คำอธิบาย |
|
11/12/2024 |
|
ในบทความนี้
บทสรุป
Microsoft ทราบถึงช่องโหว่ใน Windows ที่อนุญาตให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบแทนที่ไฟล์ระบบ Windows ที่อัปเดตแล้วซึ่งมีเวอร์ชันที่เก่ากว่า เปิดประตูให้ผู้โจมตีสร้างช่องโหว่ขึ้นมาใหม่เพื่อความปลอดภัยที่ใช้การจําลองเสมือน (VBS) การย้อนกลับของไบนารีเหล่านี้อาจทําให้ผู้โจมตีหลีกเลี่ยงฟีเจอร์ความปลอดภัยของ VBS และส่งข้อมูลที่ได้รับการป้องกันโดย VBS ได้ ปัญหานี้อธิบายไว้ใน CVE-2024-21302 | การยกระดับช่องโหว่ของโหมดเคอร์เนลที่ปลอดภัยของ Windows
เพื่อแก้ไขปัญหานี้ เราจะเพิกถอนไฟล์ระบบ VBS ที่เปราะบางซึ่งไม่ได้รับการอัปเดต เนื่องจากไฟล์ที่เกี่ยวข้องกับ VBS จํานวนมากที่ต้องถูกบล็อก เราจึงใช้วิธีอื่นในการบล็อกเวอร์ชันไฟล์ที่ไม่ได้อัปเดต
ขอบเขตของผลกระทบ
อุปกรณ์ Windows ทั้งหมดที่สนับสนุน VBS จะได้รับผลกระทบจากปัญหานี้ ซึ่งรวมถึงอุปกรณ์ทางกายภาพภายในองค์กรและเครื่องเสมือน (VM) VBS ได้รับการสนับสนุนบน Windows 10 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2016 และ Windows Server เวอร์ชันที่ใหม่กว่า
สามารถตรวจสอบสถานะ VBS ผ่านเครื่องมือ Microsoft System Information (Msinfo32.exe) เครื่องมือนี้จะเก็บรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ของคุณ หลังจากเริ่ม Msinfo32.exe ให้เลื่อนลงไปที่แถวความปลอดภัยที่ใช้การจําลองเสมือน ถ้าค่าของแถวนี้กําลังทํางานอยู่ VBS จะเปิดใช้งานและทํางานอยู่
สถานะ VBS ยังสามารถตรวจสอบกับ Windows PowerShell โดยใช้คลาส WMI Win32_DeviceGuard เมื่อต้องการสอบถามสถานะ VBS จาก PowerShell ให้เปิดเซสชัน Windows PowerShell ผู้ดูแล แล้วเรียกใช้คําสั่งต่อไปนี้:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
หลังจากเรียกใช้คําสั่ง PowerShell ข้างต้นสถานะ VBS ควรเป็นหนึ่งในต่อไปนี้
|
ชื่อเขตข้อมูล |
สถานะ |
|
VirtualizationBasedSecurityStatus |
|
การบรรเทาที่พร้อมใช้งาน
สําหรับ Windows 10 เวอร์ชัน 1507 และ Windows เวอร์ชันที่ใหม่กว่าทั้งหมด และ Windows Server 2016 และเวอร์ชันที่ใหม่กว่าของ Windows Server ผู้ดูแลระบบสามารถปรับใช้นโยบายการยกเลิกที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) ซึ่งจะบล็อกไฟล์ระบบ VBS เวอร์ชันที่มีช่องโหว่ซึ่งไม่ได้รับการอัปเดตจากการโหลดโดยระบบปฏิบัติการ
หมายเหตุ การสนับสนุนสําหรับนโยบาย SKUSIPolicy.p7b และ VbsSI_Audit.p7b สําหรับ Windows 10 เวอร์ชัน 1507 Windows 10 Enterprise 2016 และ Windows Server 2016 ได้รับการเพิ่มเป็นส่วนหนึ่งของการอัปเดต Windows ล่าสุดที่เผยแพร่เมื่อวันที่ 8 ตุลาคม 2024 และหลังจากนั้น Windows และ Windows Server เวอร์ชันที่ใหม่กว่าได้เริ่มใช้นโยบายเหล่านี้ในการอัปเดตของวันที่ 13 สิงหาคม 2024
เมื่อนํานโยบายนี้ไปใช้กับอุปกรณ์ Windows นโยบายจะถูกล็อกกับอุปกรณ์ด้วยการเพิ่มตัวแปรให้กับเฟิร์มแวร์ UEFI ระหว่างการเริ่มต้นระบบ การโหลดนโยบายและ Windows จะบล็อกการโหลดไบนารีที่ละเมิดนโยบาย หากล็อก UEFI และนโยบายถูกเอาออกหรือแทนที่ด้วยเวอร์ชันที่เก่ากว่า ตัวจัดการการเริ่มต้นระบบ Windows จะไม่เริ่มทํางาน และอุปกรณ์จะไม่เริ่มทํางาน การเริ่มต้นระบบล้มเหลวนี้จะไม่แสดงข้อผิดพลาด และระบบจะดําเนินการต่อไปยังตัวเลือกการเริ่มต้นระบบถัดไปที่อาจส่งผลให้เกิดการวนรอบการเริ่มต้นระบบ
เพื่อให้การลดนโยบายทํางาน ต้องอัปเดตนโยบายโดยใช้การอัปเดตการให้บริการของ Windows เนื่องจากคอมโพเนนต์ของ Windows และนโยบายต้องมาจากการเผยแพร่เดียวกัน หากการลดนโยบายถูกคัดลอกไปยังอุปกรณ์ อุปกรณ์อาจไม่เริ่มทํางานหากมีการบรรเทาเวอร์ชันที่ไม่ถูกต้อง หรือการลดปัญหาอาจไม่ทํางานตามที่คาดไว้ นอกจากนี้ ควรใช้การแก้ไขที่อธิบายไว้ใน KB5025885 กับอุปกรณ์ของคุณ
ทําความเข้าใจความเสี่ยงในการลดปัญหา
คุณต้องตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นก่อนที่จะใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft โปรดตรวจสอบความเสี่ยงเหล่านี้และทําการอัปเดตที่จําเป็นกับสื่อการกู้คืน ก่อนที่จะ ใช้การบรรเทาปัญหา
-
ความถูกต้องของโค้ดในโหมดผู้ใช้ (UMCI) นโยบายการเพิกถอนที่ลงนามโดย Microsoft ทําให้ความถูกต้องของโค้ดในโหมดผู้ใช้สมบูรณ์ เพื่อให้กฎในนโยบายถูกนําไปใช้กับไบนารีในโหมดผู้ใช้ นอกจากนี้ UMCI ยังเปิดใช้งาน ความปลอดภัยรหัสแบบไดนามิก ตามค่าเริ่มต้น การบังคับใช้ฟีเจอร์เหล่านี้อาจมีปัญหาความเข้ากันได้กับแอปพลิเคชันและสคริปต์ และอาจป้องกันไม่ให้แอปพลิเคชันและสคริปต์เหล่านั้นทํางานและมีผลกระทบต่อประสิทธิภาพการทํางานต่อเวลาเริ่มต้น ก่อนที่จะปรับใช้การบรรเทา ให้ทําตามคําแนะนําเพื่อ ปรับใช้นโยบายโหมดการตรวจสอบ เพื่อทดสอบปัญหาที่อาจเกิดขึ้น
-
UEFI Lock และถอนการติดตั้งการอัปเดต หลังจากการใช้การล็อก UEFI กับนโยบายการยกเลิกที่ Microsoft ลงนามบนอุปกรณ์แล้ว จะไม่สามารถแปลงกลับอุปกรณ์ได้ (โดยการถอนการติดตั้งการอัปเดตของ Windows โดยใช้จุดคืนค่า หรือด้วยวิธีอื่น) หากคุณยังคงใช้การบูตแบบปลอดภัยต่อไป แม้การฟอร์แมตดิสก์ใหม่จะไม่ลบล็อค UEFI ของการลดปัญหาหากมีการนําไปใช้แล้ว ซึ่งหมายความว่าหากคุณพยายามเปลี่ยนระบบปฏิบัติการ Windows กลับเป็นสถานะก่อนหน้าที่ไม่มีการลดการใช้ อุปกรณ์จะไม่เริ่มต้นระบบ จะไม่มีข้อความแสดงข้อผิดพลาดปรากฏขึ้น และ UEFI จะดําเนินการต่อไปยังตัวเลือกการเริ่มต้นระบบที่พร้อมใช้งานถัดไป ซึ่งอาจทําให้เกิดการวนรอบการบูต คุณต้องปิดใช้งานการบูตแบบปลอดภัยเพื่อลบการล็อก UEFI โปรดตระหนักถึงผลกระทบที่เป็นไปได้ทั้งหมดและทดสอบอย่างละเอียดก่อนที่คุณจะใช้การเพิกถอนที่ระบุไว้ในบทความนี้กับอุปกรณ์ของคุณ
-
สื่อการเริ่มต้นระบบภายนอก หลังจากใช้การบรรเทาการล็อก UEFI กับอุปกรณ์แล้ว สื่อการบูตภายนอกต้องได้รับการอัปเดตด้วยการอัปเดต Windows ล่าสุดที่ติดตั้งบนอุปกรณ์และด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) หากไม่มีการอัปเดตสื่อการบูตภายนอก อุปกรณ์อาจไม่เริ่มต้นระบบจากสื่อนั้น ดูคําแนะนําในส่วน การปรับปรุงสื่อการเริ่มต้นระบบภายนอก ก่อนที่จะใช้การแก้ไขสื่อการเริ่มต้นระบบที่ได้รับการอัปเดตด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft จะต้องใช้เพื่อเริ่มต้นระบบอุปกรณ์ที่มีการนําการแก้ไขไปใช้แล้วเท่านั้น หากใช้กับอุปกรณ์ที่ไม่มีการลดปัญหา ล็อค UEFI จะถูกนําไปใช้ระหว่างการเริ่มต้นระบบจากสื่อการบูต เริ่มต้นในภายหลังจากดิสก์จะล้มเหลวเว้นแต่อุปกรณ์จะได้รับการอัปเดตด้วยการลดหรือการล็อก UEFI จะถูกลบออก
-
Windows Recovery Environment Windows Recovery Environment (WinRE) บนอุปกรณ์ต้องได้รับการอัปเดตด้วยการอัปเดตล่าสุดของ Windows ที่ติดตั้งบนอุปกรณ์ก่อนที่จะมีการนํา SkuSipolicy.p7b ไปใช้กับอุปกรณ์ การละเว้นขั้นตอนนี้อาจทําให้ WinRE ไม่สามารถเรียกใช้ ฟีเจอร์รีเซ็ตพีซีได้ ดูข้อมูลเพิ่มเติมได้ที่ เพิ่มแพคเกจการอัปเดตลงใน Windows RE
-
การบูต Preboot Execution Environment (PXE) หากมีการปรับใช้การลดปัญหากับอุปกรณ์และคุณพยายามใช้การบูตแบบ PXE อุปกรณ์จะไม่เริ่มต้นเว้นแต่จะมีการใช้การแก้ไขกับแหล่งการบูตเครือข่าย (รากที่มี bootmgfw.efi อยู่) หากอุปกรณ์เริ่มต้นจากแหล่งเริ่มต้นระบบเครือข่ายที่มีการนําการบรรเทาไปใช้ การล็อก UEFI จะมีผลกับอุปกรณ์และผลกระทบต่อมาจะเริ่มทํางาน เราไม่แนะนําให้ปรับใช้การลดปัญหากับแหล่งการเริ่มต้นระบบเครือข่าย เว้นแต่ว่าอุปกรณ์ทั้งหมดในสภาพแวดล้อมของคุณมีการปรับใช้การลดปัญหา
แนวทางการปรับใช้การลดปัญหา
เมื่อต้องการแก้ไขปัญหาที่อธิบายไว้ในบทความนี้ คุณสามารถปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) การลดปัญหานี้รองรับเฉพาะใน Windows 10 เวอร์ชัน 1507 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2016 เท่านั้น ก่อนที่คุณจะปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) คุณควรทดสอบปัญหาความเข้ากันได้โดยใช้นโยบายโหมดตรวจสอบ
หมายเหตุ หากคุณใช้ BitLocker ตรวจสอบให้แน่ใจว่าคีย์การกู้คืน BitLocker ของคุณได้รับการสํารองไว้แล้ว คุณสามารถเรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบและจดบันทึกรหัสผ่านตัวเลข 48 หลัก:
manage-bde -protectors -get %systemdrive%
การปรับใช้นโยบายโหมดการตรวจสอบ
นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) บังคับใช้ความถูกต้องของรหัสในโหมดผู้ใช้ (UMCI) และการรักษาความปลอดภัยของรหัสแบบไดนามิก ฟีเจอร์เหล่านี้อาจมีปัญหาความเข้ากันได้กับแอปพลิเคชันของลูกค้า ก่อนที่จะปรับใช้การบรรเทา คุณควรปรับใช้นโยบายการตรวจสอบเพื่อตรวจหาปัญหาความเข้ากันได้
คุณมีตัวเลือกนโยบายการตรวจสอบสองตัวเลือก:
-
ใช้นโยบายการตรวจสอบ SiPolicy.p7b ที่ระบุ
-
หรือคอมไพล์ไบนารีนโยบายการตรวจสอบของคุณเองจากไฟล์ XML ที่ให้ไว้
เราขอแนะนําให้ใช้ไบนารีนโยบายการตรวจสอบ SiPolicy.p7b ที่ระบุ เว้นแต่ว่าคุณได้ปรับใช้นโยบาย windows Defender Application Guard (WDAC) ที่มีอยู่แล้ว ไบนารีนโยบายการตรวจสอบที่ระบุจะไม่ถูกล็อก UEFI ไม่จําเป็นต้องอัปเดตสื่อการบูตและสื่อการกู้คืนภายนอกก่อนใช้นโยบายการตรวจสอบ
ความสมบูรณ์ของโค้ด Windows จะประเมินไบนารีโหมดผู้ใช้และเคอร์เนลกับกฎในนโยบายการตรวจสอบ หากความสมบูรณ์ของโค้ดระบุแอปพลิเคชันหรือสคริปต์ที่ละเมิดนโยบาย เหตุการณ์บันทึกเหตุการณ์ของ Windows จะถูกสร้างขึ้นพร้อมข้อมูลเกี่ยวกับแอปพลิเคชันหรือสคริปต์ที่ถูกบล็อก และข้อมูลเกี่ยวกับนโยบายที่บังคับใช้ เหตุการณ์เหล่านี้สามารถใช้เพื่อตรวจสอบว่ามีแอปพลิเคชันหรือสคริปต์ที่เข้ากันไม่ได้ที่ใช้บนอุปกรณ์ของคุณหรือไม่ สําหรับข้อมูลเพิ่มเติม โปรดดูส่วน บันทึกเหตุการณ์ของ Windows
นโยบายการตรวจสอบ SiPolicy.p7b จะรวมอยู่ในการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 ตุลาคม 2024 หรือหลังจากนั้นสําหรับระบบปฏิบัติการ Windows ที่ได้รับการสนับสนุนทั้งหมดของ Windows 10 เวอร์ชัน 1507 Windows 10 Enterprise 2016 และ Windows Server 2016 นโยบายการตรวจสอบนี้ควรใช้เฉพาะกับอุปกรณ์โดยการติดตั้งการอัปเดตการให้บริการล่าสุด แล้วทําตามขั้นตอนเหล่านี้:
-
เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ผู้ดูแล:
# เริ่มต้นตําแหน่งที่ตั้งและปลายทางของนโยบาย
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"
$DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"
# คัดลอกไบนารีนโยบายการตรวจสอบ
Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force
-
รีสตาร์ตอุปกรณ์
-
ยืนยันว่ามีการโหลดนโยบายในตัวแสดงเหตุการณ์ โดยใช้ข้อมูลในส่วน เหตุการณ์การเปิดใช้งานนโยบาย
-
ทดสอบโดยใช้แอปพลิเคชันและสคริปต์ในขณะที่นโยบายถูกนําไปใช้เพื่อระบุปัญหาความเข้ากันได้
เมื่อต้องการถอนการติดตั้งนโยบายการตรวจสอบ SiPolicy.p7b ให้ทําตามขั้นตอนเหล่านี้:
-
เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ผู้ดูแล:
# เริ่มต้นตําแหน่งที่ตั้งของนโยบาย
$PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"
# Remove SiPolicy.p7b
Remove-Item -Path $PolicyBinary -force
-
รีสตาร์ตอุปกรณ์
-
ยืนยันว่านโยบายการตรวจสอบไม่โหลดในตัวแสดงเหตุการณ์ โดยใช้ข้อมูลในส่วน เหตุการณ์การเปิดใช้งานนโยบาย
หากคุณใช้ WDAC เพื่อจัดการแอปพลิเคชันและโปรแกรมควบคุมที่ได้รับอนุญาตให้ทํางานบนอุปกรณ์ของคุณ คุณอาจกําลังใช้นโยบายชื่อ "SiPolicy.p7b" อยู่แล้ว สําหรับระบบปฏิบัติการ Windows ที่ได้รับการสนับสนุนทั้งหมดของ Windows 10 เวอร์ชัน 21H2 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2022 และเวอร์ชันที่ใหม่กว่า Windows Server คุณสามารถใช้ไฟล์ XML ที่ให้มาเพื่อสร้างและปรับใช้นโยบายการตรวจสอบโดยใช้รูปแบบนโยบายหลายรูปแบบ WDAC สําหรับคําแนะนําในการสร้างและปรับใช้ไบนารีนโยบายการตรวจสอบ ให้ดู การปรับใช้นโยบายการควบคุมแอปพลิเคชัน Windows Defender (WDAC)
ไฟล์ XML ที่มีกฎนโยบายการตรวจสอบจะพร้อมใช้งานบนอุปกรณ์ที่มี Windows Update เผยแพร่ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้น แฟ้ม XML อยู่ภายใต้ "%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml"
การปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b)
นโยบายการเพิกถอนที่ลงนามโดย Microsoft รวมอยู่ในการอัปเดต Windows ล่าสุด นโยบายนี้ควรใช้เฉพาะกับอุปกรณ์โดยการติดตั้งการอัปเดตการให้บริการล่าสุด แล้วทําตามขั้นตอนเหล่านี้:
หมายเหตุ: หากไม่มีการอัปเดต อุปกรณ์อาจไม่เริ่มต้นด้วยการลดปัญหาที่ใช้ หรือการลดปัญหาอาจไม่ทํางานตามที่คาดไว้
-
เรียกใช้คําสั่งต่อไปนี้ในพร้อมท์ Windows PowerShell ผู้ดูแล:
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'
$EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem) AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force
mountvol $MountPoint /D
-
รีสตาร์ตอุปกรณ์
-
ยืนยันว่ามีการโหลดนโยบายในตัวแสดงเหตุการณ์โดยใช้ข้อมูลในส่วนบันทึกเหตุการณ์ของ Windows
หมายเหตุ
-
คุณไม่ควรนําไฟล์การเพิกถอน (นโยบาย) SkuSiPolicy.p7b ออกหลังจากปรับใช้ อุปกรณ์ของคุณอาจไม่สามารถเริ่มต้นได้อีกต่อไปหากไฟล์ถูกนําออก
-
หากอุปกรณ์ของคุณไม่เริ่มทํางาน ดูที่ส่วน ขั้นตอนการกู้คืน
กําลังอัปเดตสื่อการเริ่มต้นระบบภายนอก
เมื่อต้องการใช้สื่อการเริ่มต้นระบบภายนอกกับอุปกรณ์ที่มีการนํานโยบายการยกเลิกที่ลงนามโดย Microsoft ไปใช้ สื่อการเริ่มต้นระบบภายนอกต้องได้รับการปรับปรุงด้วยแฟ้มนโยบายที่นําไปใช้ นอกจากนี้ จะต้องมีการอัปเดต Windows ล่าสุดที่ติดตั้งบนอุปกรณ์ด้วย หากสื่อไม่มีการอัปเดต สื่อจะไม่เริ่มทํางาน
สื่อการเริ่มต้นระบบที่ได้รับการอัปเดตด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft จะต้องใช้เพื่อเริ่มต้นระบบอุปกรณ์ที่มีการนําการแก้ไขไปใช้แล้วเท่านั้น หากใช้กับอุปกรณ์ที่ไม่มีการลดปัญหา ล็อค UEFI จะถูกนําไปใช้ระหว่างการเริ่มต้นระบบจากสื่อการบูต เริ่มต้นในภายหลังจากดิสก์จะล้มเหลวเว้นแต่อุปกรณ์จะได้รับการอัปเดตด้วยการลดหรือการล็อก UEFI จะถูกลบออก
สำคัญ เราขอแนะนําให้คุณสร้างไดรฟ์การกู้คืนก่อนดําเนินการต่อ สื่อนี้สามารถใช้เพื่อติดตั้งอุปกรณ์ใหม่ในกรณีที่มีปัญหาหลัก
ใช้ขั้นตอนต่อไปนี้เพื่ออัปเดตสื่อการเริ่มต้นระบบภายนอก:
-
ไปที่อุปกรณ์ที่มีการติดตั้งการอัปเดต Windows ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้น
-
กําหนดใช้สื่อการเริ่มต้นระบบภายนอกเป็นอักษรไดรฟ์ ตัวอย่างเช่น ติดตั้งธัมป์ไดรฟ์เป็น D:
-
คลิก เริ่ม พิมพ์ สร้างไดรฟ์การกู้คืน ในกล่อง ค้นหา แล้วคลิก สร้างแผงควบคุมไดรฟ์การกู้คืน ทําตามคําแนะนําเพื่อสร้างไดรฟ์การกู้คืนโดยใช้ธัมบ์ไดรฟ์ที่ติดตั้ง
-
เมื่อติดตั้งสื่อที่สร้างขึ้นใหม่ให้คัดลอกไฟล์ SkuSiPolicy.p7b ไปยัง <MediaRoot>\EFI\Microsoft\Boot (ตัวอย่างเช่น D:\EFI\Microsoft\Boot)
-
ถอดธัมป์ไดรฟ์ที่ติดตั้งไว้อย่างปลอดภัย
หากคุณจัดการสื่อที่สามารถติดตั้งได้ในสภาพแวดล้อมของคุณโดยใช้ สื่อการติดตั้ง Windows สําหรับการปรับปรุงด้วยคําแนะนําสําหรับการปรับปรุงแบบไดนามิก ให้ทําตามขั้นตอนเหล่านี้:
-
ไปที่อุปกรณ์ที่มีการติดตั้งการอัปเดต Windows ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้น
-
ทําตามขั้นตอนใน อัปเดตสื่อการติดตั้ง Windows ด้วยการปรับปรุงแบบไดนามิก เพื่อสร้างสื่อที่มีการอัปเดต Windows ที่เผยแพร่ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้นติดตั้ง
-
วางเนื้อหาของสื่อบนธัมป์ไดรฟ์ USB และต่อธัมบ์ไดรฟ์เป็นตัวอักษรไดรฟ์ ตัวอย่างเช่น ต่อเชื่อมธัมป์ไดรฟ์เป็น D:
-
คัดลอก SkuSiPolicy.p7b ไปยัง <MediaRoot>\EFI\Microsoft\Boot (ตัวอย่างเช่น D:\EFI\Microsoft\Boot)
-
ถอดธัมป์ไดรฟ์ที่ติดตั้งไว้อย่างปลอดภัย
บันทึกเหตุการณ์ของ Windows
Windows จะบันทึกเหตุการณ์เมื่อนโยบายความถูกต้องของโค้ด รวมถึง SkuSiPolicy.p7b ถูกโหลด และเมื่อไฟล์ถูกบล็อกไม่ให้โหลดเนื่องจากการบังคับใช้นโยบาย คุณสามารถใช้เหตุการณ์เหล่านี้เพื่อตรวจสอบว่ามีการนําการแก้ไขไปใช้แล้ว
บันทึกความสมบูรณ์ของโค้ดจะพร้อมใช้งานในตัวแสดงเหตุการณ์ Windows ภายใต้บันทึกแอปพลิเคชันและบริการ > บันทึกของ Microsoft > Windows > CodeIntegrity > การดําเนินการ > แอปพลิเคชันและบริการบันทึก > Services > Microsoft > Windows > AppLocker > MSI และสคริปต์
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ความสมบูรณ์ของโค้ด ดูที่ คู่มือการดําเนินงานของการควบคุมแอปพลิเคชัน Windows Defender
เหตุการณ์การเปิดใช้งานนโยบาย
เหตุการณ์การเปิดใช้งานนโยบายจะพร้อมใช้งานใน Windows ตัวแสดงเหตุการณ์ ภายใต้บันทึกแอปพลิเคชันและบริการ > Microsoft > Windows > CodeIntegrity > การดําเนินการ
CodeIntegrity Event 3099 ระบุว่ามีการโหลดนโยบายและมีรายละเอียดเกี่ยวกับนโยบายที่โหลด ข้อมูลในเหตุการณ์ประกอบด้วยชื่อที่จําง่ายของนโยบาย ตัวระบุที่ไม่ซ้ํากันส่วนกลาง (GUID) และแฮชของนโยบาย เหตุการณ์ CodeIntegrity Event 3099 หลายเหตุการณ์จะปรากฏขึ้นหากมีนโยบายด้านความสมบูรณ์ของรหัสหลายนโยบายที่ใช้กับอุปกรณ์
เมื่อมีการใช้นโยบายการตรวจสอบที่ให้ไว้ จะมีเหตุการณ์ที่มีข้อมูลต่อไปนี้:
-
PolicyNameBuffer – นโยบายการตรวจสอบความปลอดภัยตามการจําลองเสมือนของ Microsoft Windows
-
PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}
-
PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387
เมื่อมีการใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) จะมีเหตุการณ์ที่มีข้อมูลต่อไปนี้ (ดูภาพหน้าจอของเหตุการณ์ CodeIntegrity 3099 ด้านล่าง):
-
PolicyNameBuffer – นโยบาย Microsoft Windows SKU SI
-
PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}
-
PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D
หากคุณใช้นโยบายการตรวจสอบหรือการลดปัญหากับอุปกรณ์ของคุณและ CodeIntegrity Event 3099 สําหรับนโยบายที่ใช้ไม่ปรากฏ แสดงว่าไม่มีการบังคับใช้นโยบาย โปรดศึกษา คําแนะนําในการปรับใช้ เพื่อตรวจสอบว่านโยบายได้รับการติดตั้งอย่างถูกต้อง
ตรวจสอบและบล็อกเหตุการณ์
การตรวจสอบความสมบูรณ์ของโค้ดและบล็อกเหตุการณ์จะพร้อมใช้งานใน Windows ตัวแสดงเหตุการณ์ ภายใต้บันทึกแอปพลิเคชันและบริการ > บันทึกของ Microsoft > Windows > CodeIntegrity > การดําเนินการ > แอปพลิเคชันและบริการ > Microsoft > Windows > AppLocker > MSI และสคริปต์
ตําแหน่งการบันทึกเดิมประกอบด้วยเหตุการณ์เกี่ยวกับการควบคุมของแฟ้มปฏิบัติการ dll และโปรแกรมควบคุม ตําแหน่งการบันทึกหลังประกอบด้วยเหตุการณ์เกี่ยวกับการควบคุมตัวติดตั้ง MSI สคริปต์ และวัตถุ COM
CodeIntegrity Event 3076 ในบันทึก "CodeIntegrity – Operational" เป็นเหตุการณ์บล็อกหลักสําหรับนโยบายโหมดการตรวจสอบ และระบุว่าไฟล์จะถูกบล็อกหากมีการบังคับใช้นโยบาย เหตุการณ์นี้มีข้อมูลเกี่ยวกับไฟล์ที่ถูกบล็อกและเกี่ยวกับนโยบายที่บังคับใช้ สําหรับไฟล์ที่ถูกบล็อกโดยการลดปัญหา ข้อมูลนโยบายในเหตุการณ์ 3077 จะตรงกับข้อมูลนโยบายของนโยบายการตรวจสอบจากเหตุการณ์ 3099
CodeIntegrity Event 3077 ในบันทึก "CodeIntegrity – Operational" ระบุว่าไฟล์ปฏิบัติการ .dll หรือโปรแกรมควบคุมถูกบล็อกไม่ให้โหลด เหตุการณ์นี้มีข้อมูลเกี่ยวกับไฟล์ที่ถูกบล็อกและเกี่ยวกับนโยบายที่บังคับใช้ สําหรับไฟล์ที่ถูกบล็อกโดยการลดปัญหา ข้อมูลนโยบายใน CodeIntegrity Event 3077 จะตรงกับข้อมูลนโยบายของ SkuSiPolicy.p7b จาก CodeIntegrity Event 3099 CodeIntegrity Event 3077 จะไม่ปรากฏหากอุปกรณ์ของคุณไม่มีไฟล์ปฏิบัติการ .dll หรือโปรแกรมควบคุมที่ละเมิดนโยบายความสมบูรณ์ของโค้ด
สําหรับการตรวจสอบความถูกต้องของโค้ดและบล็อกเหตุการณ์อื่นๆ ให้ดู ทําความเข้าใจเกี่ยวกับเหตุการณ์การควบคุมแอปพลิเคชัน
ขั้นตอนการเอานโยบายออกและการกู้คืน
หากมีบางอย่างผิดปกติหลังจากใช้การบรรเทาคุณสามารถใช้ขั้นตอนต่อไปนี้เพื่อลบการบรรเทา:
-
หยุด BitLocker ชั่วคราวถ้าเปิดใช้งาน เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:
Manager-bde -protectors -disable c: -rebootcount 3
-
ปิด การบูตแบบปลอดภัย จากเมนู UEFI BIOSขั้นตอนการปิดการบูตแบบปลอดภัยจะแตกต่างกันระหว่างผู้ผลิตอุปกรณ์และรุ่นต่างๆ สําหรับความช่วยเหลือในการค้นหาตําแหน่งที่จะปิดการบูตแบบปลอดภัย โปรดดูเอกสารจากผู้ผลิตอุปกรณ์ของคุณ สามารถดูรายละเอียดเพิ่มเติมได้ใน การปิดใช้งานการบูตแบบปลอดภัย
-
เอานโยบาย SkuSiPolicy.p7b ออก
-
เริ่ม Windows ตามปกติ แล้วลงชื่อเข้าใช้นโยบาย SkuSiPolicy.p7b ต้องถูกเอาออกจากตําแหน่งที่ตั้งต่อไปนี้:
-
<>พาร์ติชันระบบ EFI \Microsoft\Boot\SKUSiPolicy.p7b
-
-
รันสคริปต์ต่อไปนี้จากรอบเวลา Windows PowerShell ผู้ดูแลเพื่อล้างข้อมูลนโยบายจากที่ตั้งเหล่านั้น:
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'
$EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"
$EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem) AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
if (Test-Path $EFIPolicyPath ) {remove-item -Path $EFIPolicyPath -Force }
mountvol $MountPoint /D
-
-
เปิดการบูตแบบปลอดภัยจาก BIOSดูคู่มือจากผู้ผลิตอุปกรณ์ของคุณเพื่อค้นหาตําแหน่งที่จะเปิดการบูตแบบปลอดภัยหากคุณปิดการบูตแบบปลอดภัยในขั้นตอนที่ 1 และไดรฟ์ของคุณได้รับการป้องกันโดย BitLocker ให้ หยุดการป้องกัน BitLocker ชั่วคราว แล้วเปิดการบูตแบบปลอดภัยจากเมนู UEFI BIOS ของคุณ
-
เปิด BitLocker เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:
Manager-bde -protectors -enable c:
-
รีสตาร์ตอุปกรณ์
