Applies ToWindows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

วันที่เผยแพร่ต้นฉบับ: วันที่ 13 สิงหาคม 2567

KB ID: 5042562

การสนับสนุนสำหรับ Windows 10 จะสิ้นสุดในเดือนตุลาคม 2025

หลังจากวันที่ 14 ตุลาคม 2025 Microsoft จะไม่ให้การอัปเดตซอฟต์แวร์ฟรีจาก Windows Update ความช่วยเหลือทางเทคนิค หรือการแก้ไขด้านความปลอดภัยสําหรับ Windows 10 อีกต่อไป พีซีของคุณจะยังคงใช้งานได้ แต่เราขอแนะนำให้เปลี่ยนไปใช้ Windows 11

เรียนรู้เพิ่มเติม

เปลี่ยนวันที่

คำอธิบาย

11/12/2024

  • ในส่วน "การบรรเทาที่พร้อมใช้งาน" การสนับสนุนนโยบาย SKUSIPolicy.p7b และ VbsSI_Audit.p7b สําหรับ Windows 10 เวอร์ชัน 1507 Windows 10 Enterprise 2016 และ Windows Server 2016 ถูกเพิ่มเป็นส่วนหนึ่งของการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 8 ตุลาคม 2024 และหลังจากนั้น

  • อัปเดตวันที่เผยแพร่ Windows ตั้งแต่วันที่ 13 สิงหาคม 2024 เป็นวันที่ 12 พฤศจิกายน 2024 ตลอดไป

ในบทความนี้

บทสรุป

Microsoft ทราบถึงช่องโหว่ใน Windows ที่อนุญาตให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบแทนที่ไฟล์ระบบ Windows ที่อัปเดตแล้วซึ่งมีเวอร์ชันที่เก่ากว่า เปิดประตูให้ผู้โจมตีสร้างช่องโหว่ขึ้นมาใหม่เพื่อความปลอดภัยที่ใช้การจําลองเสมือน (VBS)  การย้อนกลับของไบนารีเหล่านี้อาจทําให้ผู้โจมตีหลีกเลี่ยงฟีเจอร์ความปลอดภัยของ VBS และส่งข้อมูลที่ได้รับการป้องกันโดย VBS ได้ ปัญหานี้อธิบายไว้ใน CVE-2024-21302 | การยกระดับช่องโหว่ของโหมดเคอร์เนลที่ปลอดภัยของ Windows

เพื่อแก้ไขปัญหานี้ เราจะเพิกถอนไฟล์ระบบ VBS ที่เปราะบางซึ่งไม่ได้รับการอัปเดต เนื่องจากไฟล์ที่เกี่ยวข้องกับ VBS จํานวนมากที่ต้องถูกบล็อก เราจึงใช้วิธีอื่นในการบล็อกเวอร์ชันไฟล์ที่ไม่ได้อัปเดต

ขอบเขตของผลกระทบ

อุปกรณ์ Windows ทั้งหมดที่สนับสนุน VBS จะได้รับผลกระทบจากปัญหานี้ ซึ่งรวมถึงอุปกรณ์ทางกายภาพภายในองค์กรและเครื่องเสมือน (VM) VBS ได้รับการสนับสนุนบน Windows 10 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2016 และ Windows Server เวอร์ชันที่ใหม่กว่า

สามารถตรวจสอบสถานะ VBS ผ่านเครื่องมือ Microsoft System Information (Msinfo32.exe) เครื่องมือนี้จะเก็บรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ของคุณ หลังจากเริ่ม Msinfo32.exe ให้เลื่อนลงไปที่แถวความปลอดภัยที่ใช้การจําลองเสมือน ถ้าค่าของแถวนี้กําลังทํางานอยู่ VBS จะเปิดใช้งานและทํางานอยู่

กล่องโต้ตอบ ข้อมูลระบบ ที่มีแถว "ความปลอดภัยตามการจําลองเสมือน" ถูกเน้น

สถานะ VBS ยังสามารถตรวจสอบกับ Windows PowerShell โดยใช้คลาส WMI Win32_DeviceGuard เมื่อต้องการสอบถามสถานะ VBS จาก PowerShell ให้เปิดเซสชัน Windows PowerShell ผู้ดูแล แล้วเรียกใช้คําสั่งต่อไปนี้:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

หลังจากเรียกใช้คําสั่ง PowerShell ข้างต้นสถานะ VBS ควรเป็นหนึ่งในต่อไปนี้

ชื่อเขตข้อมูล

สถานะ

VirtualizationBasedSecurityStatus

  • ถ้าฟิลด์เท่ากับ 0 จะไม่เปิดใช้งาน VBS

  • ถ้าฟิลด์เท่ากับ 1 VBS จะเปิดใช้งาน แต่ไม่ได้ทํางานอยู่

  • ถ้าฟิลด์เท่ากับ 2 VBS จะเปิดใช้งานและเรียกใช้

การบรรเทาที่พร้อมใช้งาน

สําหรับ Windows 10 เวอร์ชัน 1507 และ Windows เวอร์ชันที่ใหม่กว่าทั้งหมด และ Windows Server 2016 และเวอร์ชันที่ใหม่กว่าของ Windows Server ผู้ดูแลระบบสามารถปรับใช้นโยบายการยกเลิกที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) ซึ่งจะบล็อกไฟล์ระบบ VBS เวอร์ชันที่มีช่องโหว่ซึ่งไม่ได้รับการอัปเดตจากการโหลดโดยระบบปฏิบัติการ

หมายเหตุ การสนับสนุนสําหรับนโยบาย SKUSIPolicy.p7b และ VbsSI_Audit.p7b สําหรับ Windows 10 เวอร์ชัน 1507 Windows 10 Enterprise 2016 และ Windows Server 2016 ได้รับการเพิ่มเป็นส่วนหนึ่งของการอัปเดต Windows ล่าสุดที่เผยแพร่เมื่อวันที่ 8 ตุลาคม 2024 และหลังจากนั้น Windows และ Windows Server เวอร์ชันที่ใหม่กว่าได้เริ่มใช้นโยบายเหล่านี้ในการอัปเดตของวันที่ 13 สิงหาคม 2024

เมื่อนํานโยบายนี้ไปใช้กับอุปกรณ์ Windows นโยบายจะถูกล็อกกับอุปกรณ์ด้วยการเพิ่มตัวแปรให้กับเฟิร์มแวร์ UEFI ระหว่างการเริ่มต้นระบบ การโหลดนโยบายและ Windows จะบล็อกการโหลดไบนารีที่ละเมิดนโยบาย หากล็อก UEFI และนโยบายถูกเอาออกหรือแทนที่ด้วยเวอร์ชันที่เก่ากว่า ตัวจัดการการเริ่มต้นระบบ Windows จะไม่เริ่มทํางาน และอุปกรณ์จะไม่เริ่มทํางาน การเริ่มต้นระบบล้มเหลวนี้จะไม่แสดงข้อผิดพลาด และระบบจะดําเนินการต่อไปยังตัวเลือกการเริ่มต้นระบบถัดไปที่อาจส่งผลให้เกิดการวนรอบการเริ่มต้นระบบ

เพื่อให้การลดนโยบายทํางาน ต้องอัปเดตนโยบายโดยใช้การอัปเดตการให้บริการของ Windows เนื่องจากคอมโพเนนต์ของ Windows และนโยบายต้องมาจากการเผยแพร่เดียวกัน หากการลดนโยบายถูกคัดลอกไปยังอุปกรณ์ อุปกรณ์อาจไม่เริ่มทํางานหากมีการบรรเทาเวอร์ชันที่ไม่ถูกต้อง หรือการลดปัญหาอาจไม่ทํางานตามที่คาดไว้ นอกจากนี้ ควรใช้การแก้ไขที่อธิบายไว้ใน KB5025885 กับอุปกรณ์ของคุณ

ทําความเข้าใจความเสี่ยงในการลดปัญหา

คุณต้องตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นก่อนที่จะใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft โปรดตรวจสอบความเสี่ยงเหล่านี้และทําการอัปเดตที่จําเป็นกับสื่อการกู้คืน ก่อนที่จะ ใช้การบรรเทาปัญหา

  • ความถูกต้องของโค้ดในโหมดผู้ใช้ (UMCI) นโยบายการเพิกถอนที่ลงนามโดย Microsoft ทําให้ความถูกต้องของโค้ดในโหมดผู้ใช้สมบูรณ์ เพื่อให้กฎในนโยบายถูกนําไปใช้กับไบนารีในโหมดผู้ใช้ นอกจากนี้ UMCI ยังเปิดใช้งาน ความปลอดภัยรหัสแบบไดนามิก ตามค่าเริ่มต้น การบังคับใช้ฟีเจอร์เหล่านี้อาจมีปัญหาความเข้ากันได้กับแอปพลิเคชันและสคริปต์ และอาจป้องกันไม่ให้แอปพลิเคชันและสคริปต์เหล่านั้นทํางานและมีผลกระทบต่อประสิทธิภาพการทํางานต่อเวลาเริ่มต้น ก่อนที่จะปรับใช้การบรรเทา ให้ทําตามคําแนะนําเพื่อ ปรับใช้นโยบายโหมดการตรวจสอบ เพื่อทดสอบปัญหาที่อาจเกิดขึ้น

  • UEFI Lock และถอนการติดตั้งการอัปเดต หลังจากการใช้การล็อก UEFI กับนโยบายการยกเลิกที่ Microsoft ลงนามบนอุปกรณ์แล้ว จะไม่สามารถแปลงกลับอุปกรณ์ได้ (โดยการถอนการติดตั้งการอัปเดตของ Windows โดยใช้จุดคืนค่า หรือด้วยวิธีอื่น) หากคุณยังคงใช้การบูตแบบปลอดภัยต่อไป แม้การฟอร์แมตดิสก์ใหม่จะไม่ลบล็อค UEFI ของการลดปัญหาหากมีการนําไปใช้แล้ว ซึ่งหมายความว่าหากคุณพยายามเปลี่ยนระบบปฏิบัติการ Windows กลับเป็นสถานะก่อนหน้าที่ไม่มีการลดการใช้ อุปกรณ์จะไม่เริ่มต้นระบบ จะไม่มีข้อความแสดงข้อผิดพลาดปรากฏขึ้น และ UEFI จะดําเนินการต่อไปยังตัวเลือกการเริ่มต้นระบบที่พร้อมใช้งานถัดไป ซึ่งอาจทําให้เกิดการวนรอบการบูต คุณต้องปิดใช้งานการบูตแบบปลอดภัยเพื่อลบการล็อก UEFI โปรดตระหนักถึงผลกระทบที่เป็นไปได้ทั้งหมดและทดสอบอย่างละเอียดก่อนที่คุณจะใช้การเพิกถอนที่ระบุไว้ในบทความนี้กับอุปกรณ์ของคุณ

  • สื่อการเริ่มต้นระบบภายนอก หลังจากใช้การบรรเทาการล็อก UEFI กับอุปกรณ์แล้ว สื่อการบูตภายนอกต้องได้รับการอัปเดตด้วยการอัปเดต Windows ล่าสุดที่ติดตั้งบนอุปกรณ์และด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) หากไม่มีการอัปเดตสื่อการบูตภายนอก อุปกรณ์อาจไม่เริ่มต้นระบบจากสื่อนั้น ดูคําแนะนําในส่วน การปรับปรุงสื่อการเริ่มต้นระบบภายนอก ก่อนที่จะใช้การแก้ไขสื่อการเริ่มต้นระบบที่ได้รับการอัปเดตด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft จะต้องใช้เพื่อเริ่มต้นระบบอุปกรณ์ที่มีการนําการแก้ไขไปใช้แล้วเท่านั้น  หากใช้กับอุปกรณ์ที่ไม่มีการลดปัญหา ล็อค UEFI จะถูกนําไปใช้ระหว่างการเริ่มต้นระบบจากสื่อการบูต เริ่มต้นในภายหลังจากดิสก์จะล้มเหลวเว้นแต่อุปกรณ์จะได้รับการอัปเดตด้วยการลดหรือการล็อก UEFI จะถูกลบออก

  • Windows Recovery Environment Windows Recovery Environment (WinRE) บนอุปกรณ์ต้องได้รับการอัปเดตด้วยการอัปเดตล่าสุดของ Windows ที่ติดตั้งบนอุปกรณ์ก่อนที่จะมีการนํา SkuSipolicy.p7b ไปใช้กับอุปกรณ์ การละเว้นขั้นตอนนี้อาจทําให้ WinRE ไม่สามารถเรียกใช้ ฟีเจอร์รีเซ็ตพีซีได้  ดูข้อมูลเพิ่มเติมได้ที่ เพิ่มแพคเกจการอัปเดตลงใน Windows RE

  • การบูต Preboot Execution Environment (PXE) หากมีการปรับใช้การลดปัญหากับอุปกรณ์และคุณพยายามใช้การบูตแบบ PXE อุปกรณ์จะไม่เริ่มต้นเว้นแต่จะมีการใช้การแก้ไขกับแหล่งการบูตเครือข่าย (รากที่มี bootmgfw.efi อยู่) หากอุปกรณ์เริ่มต้นจากแหล่งเริ่มต้นระบบเครือข่ายที่มีการนําการบรรเทาไปใช้ การล็อก UEFI จะมีผลกับอุปกรณ์และผลกระทบต่อมาจะเริ่มทํางาน เราไม่แนะนําให้ปรับใช้การลดปัญหากับแหล่งการเริ่มต้นระบบเครือข่าย เว้นแต่ว่าอุปกรณ์ทั้งหมดในสภาพแวดล้อมของคุณมีการปรับใช้การลดปัญหา  

แนวทางการปรับใช้การลดปัญหา

เมื่อต้องการแก้ไขปัญหาที่อธิบายไว้ในบทความนี้ คุณสามารถปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) การลดปัญหานี้รองรับเฉพาะใน Windows 10 เวอร์ชัน 1507 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2016 เท่านั้น ก่อนที่คุณจะปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) คุณควรทดสอบปัญหาความเข้ากันได้โดยใช้นโยบายโหมดตรวจสอบ

หมายเหตุ หากคุณใช้ BitLocker ตรวจสอบให้แน่ใจว่าคีย์การกู้คืน BitLocker ของคุณได้รับการสํารองไว้แล้ว คุณสามารถเรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบและจดบันทึกรหัสผ่านตัวเลข 48 หลัก:

manage-bde -protectors -get %systemdrive%

การปรับใช้นโยบายโหมดการตรวจสอบ

นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) บังคับใช้ความถูกต้องของรหัสในโหมดผู้ใช้ (UMCI) และการรักษาความปลอดภัยของรหัสแบบไดนามิก ฟีเจอร์เหล่านี้อาจมีปัญหาความเข้ากันได้กับแอปพลิเคชันของลูกค้า ก่อนที่จะปรับใช้การบรรเทา คุณควรปรับใช้นโยบายการตรวจสอบเพื่อตรวจหาปัญหาความเข้ากันได้

คุณมีตัวเลือกนโยบายการตรวจสอบสองตัวเลือก:

  • ใช้นโยบายการตรวจสอบ SiPolicy.p7b ที่ระบุ

  • หรือคอมไพล์ไบนารีนโยบายการตรวจสอบของคุณเองจากไฟล์ XML ที่ให้ไว้

เราขอแนะนําให้ใช้ไบนารีนโยบายการตรวจสอบ SiPolicy.p7b ที่ระบุ เว้นแต่ว่าคุณได้ปรับใช้นโยบาย windows Defender Application Guard (WDAC) ที่มีอยู่แล้ว ไบนารีนโยบายการตรวจสอบที่ระบุจะไม่ถูกล็อก UEFI ไม่จําเป็นต้องอัปเดตสื่อการบูตและสื่อการกู้คืนภายนอกก่อนใช้นโยบายการตรวจสอบ

ความสมบูรณ์ของโค้ด Windows จะประเมินไบนารีโหมดผู้ใช้และเคอร์เนลกับกฎในนโยบายการตรวจสอบ หากความสมบูรณ์ของโค้ดระบุแอปพลิเคชันหรือสคริปต์ที่ละเมิดนโยบาย เหตุการณ์บันทึกเหตุการณ์ของ Windows จะถูกสร้างขึ้นพร้อมข้อมูลเกี่ยวกับแอปพลิเคชันหรือสคริปต์ที่ถูกบล็อก และข้อมูลเกี่ยวกับนโยบายที่บังคับใช้ เหตุการณ์เหล่านี้สามารถใช้เพื่อตรวจสอบว่ามีแอปพลิเคชันหรือสคริปต์ที่เข้ากันไม่ได้ที่ใช้บนอุปกรณ์ของคุณหรือไม่ สําหรับข้อมูลเพิ่มเติม โปรดดูส่วน บันทึกเหตุการณ์ของ Windows

นโยบายการตรวจสอบ SiPolicy.p7b จะรวมอยู่ในการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 ตุลาคม 2024 หรือหลังจากนั้นสําหรับระบบปฏิบัติการ Windows ที่ได้รับการสนับสนุนทั้งหมดของ Windows 10 เวอร์ชัน 1507 Windows 10 Enterprise 2016 และ Windows Server 2016 นโยบายการตรวจสอบนี้ควรใช้เฉพาะกับอุปกรณ์โดยการติดตั้งการอัปเดตการให้บริการล่าสุด แล้วทําตามขั้นตอนเหล่านี้:

  1. เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ผู้ดูแล:

    # เริ่มต้นตําแหน่งที่ตั้งและปลายทางของนโยบาย

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # คัดลอกไบนารีนโยบายการตรวจสอบ

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. รีสตาร์ตอุปกรณ์

  3. ยืนยันว่ามีการโหลดนโยบายในตัวแสดงเหตุการณ์ โดยใช้ข้อมูลในส่วน เหตุการณ์การเปิดใช้งานนโยบาย

  4. ทดสอบโดยใช้แอปพลิเคชันและสคริปต์ในขณะที่นโยบายถูกนําไปใช้เพื่อระบุปัญหาความเข้ากันได้

เมื่อต้องการถอนการติดตั้งนโยบายการตรวจสอบ SiPolicy.p7b ให้ทําตามขั้นตอนเหล่านี้:

  1. เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ผู้ดูแล:

    # เริ่มต้นตําแหน่งที่ตั้งของนโยบาย

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. รีสตาร์ตอุปกรณ์

  3. ยืนยันว่านโยบายการตรวจสอบไม่โหลดในตัวแสดงเหตุการณ์ โดยใช้ข้อมูลในส่วน เหตุการณ์การเปิดใช้งานนโยบาย

หากคุณใช้ WDAC เพื่อจัดการแอปพลิเคชันและโปรแกรมควบคุมที่ได้รับอนุญาตให้ทํางานบนอุปกรณ์ของคุณ คุณอาจกําลังใช้นโยบายชื่อ "SiPolicy.p7b" อยู่แล้ว สําหรับระบบปฏิบัติการ Windows ที่ได้รับการสนับสนุนทั้งหมดของ Windows 10 เวอร์ชัน 21H2 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2022 และเวอร์ชันที่ใหม่กว่า Windows Server คุณสามารถใช้ไฟล์ XML ที่ให้มาเพื่อสร้างและปรับใช้นโยบายการตรวจสอบโดยใช้รูปแบบนโยบายหลายรูปแบบ WDAC สําหรับคําแนะนําในการสร้างและปรับใช้ไบนารีนโยบายการตรวจสอบ ให้ดู การปรับใช้นโยบายการควบคุมแอปพลิเคชัน Windows Defender (WDAC)

ไฟล์ XML ที่มีกฎนโยบายการตรวจสอบจะพร้อมใช้งานบนอุปกรณ์ที่มี Windows Update เผยแพร่ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้น แฟ้ม XML อยู่ภายใต้ "%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml"

การปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b)

นโยบายการเพิกถอนที่ลงนามโดย Microsoft รวมอยู่ในการอัปเดต Windows ล่าสุด นโยบายนี้ควรใช้เฉพาะกับอุปกรณ์โดยการติดตั้งการอัปเดตการให้บริการล่าสุด แล้วทําตามขั้นตอนเหล่านี้:

หมายเหตุ: หากไม่มีการอัปเดต อุปกรณ์อาจไม่เริ่มต้นด้วยการลดปัญหาที่ใช้ หรือการลดปัญหาอาจไม่ทํางานตามที่คาดไว้

  1. เรียกใช้คําสั่งต่อไปนี้ในพร้อมท์ Windows PowerShell ผู้ดูแล:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem) AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. รีสตาร์ตอุปกรณ์

  3. ยืนยันว่ามีการโหลดนโยบายในตัวแสดงเหตุการณ์โดยใช้ข้อมูลในส่วนบันทึกเหตุการณ์ของ Windows

หมายเหตุ

  • คุณไม่ควรนําไฟล์การเพิกถอน (นโยบาย) SkuSiPolicy.p7b ออกหลังจากปรับใช้ อุปกรณ์ของคุณอาจไม่สามารถเริ่มต้นได้อีกต่อไปหากไฟล์ถูกนําออก

  • หากอุปกรณ์ของคุณไม่เริ่มทํางาน ดูที่ส่วน ขั้นตอนการกู้คืน

กําลังอัปเดตสื่อการเริ่มต้นระบบภายนอก

เมื่อต้องการใช้สื่อการเริ่มต้นระบบภายนอกกับอุปกรณ์ที่มีการนํานโยบายการยกเลิกที่ลงนามโดย Microsoft ไปใช้ สื่อการเริ่มต้นระบบภายนอกต้องได้รับการปรับปรุงด้วยแฟ้มนโยบายที่นําไปใช้ นอกจากนี้ จะต้องมีการอัปเดต Windows ล่าสุดที่ติดตั้งบนอุปกรณ์ด้วย หากสื่อไม่มีการอัปเดต สื่อจะไม่เริ่มทํางาน

สื่อการเริ่มต้นระบบที่ได้รับการอัปเดตด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft จะต้องใช้เพื่อเริ่มต้นระบบอุปกรณ์ที่มีการนําการแก้ไขไปใช้แล้วเท่านั้น  หากใช้กับอุปกรณ์ที่ไม่มีการลดปัญหา ล็อค UEFI จะถูกนําไปใช้ระหว่างการเริ่มต้นระบบจากสื่อการบูต เริ่มต้นในภายหลังจากดิสก์จะล้มเหลวเว้นแต่อุปกรณ์จะได้รับการอัปเดตด้วยการลดหรือการล็อก UEFI จะถูกลบออก

สำคัญ เราขอแนะนําให้คุณสร้างไดรฟ์การกู้คืนก่อนดําเนินการต่อ สื่อนี้สามารถใช้เพื่อติดตั้งอุปกรณ์ใหม่ในกรณีที่มีปัญหาหลัก

ใช้ขั้นตอนต่อไปนี้เพื่ออัปเดตสื่อการเริ่มต้นระบบภายนอก:

  1. ไปที่อุปกรณ์ที่มีการติดตั้งการอัปเดต Windows ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้น

  2. กําหนดใช้สื่อการเริ่มต้นระบบภายนอกเป็นอักษรไดรฟ์ ตัวอย่างเช่น ติดตั้งธัมป์ไดรฟ์เป็น D:

  3. คลิก เริ่ม พิมพ์ สร้างไดรฟ์การกู้คืน ในกล่อง ค้นหา แล้วคลิก สร้างแผงควบคุมไดรฟ์การกู้คืน ทําตามคําแนะนําเพื่อสร้างไดรฟ์การกู้คืนโดยใช้ธัมบ์ไดรฟ์ที่ติดตั้ง

  4. เมื่อติดตั้งสื่อที่สร้างขึ้นใหม่ให้คัดลอกไฟล์ SkuSiPolicy.p7b ไปยัง <MediaRoot>\EFI\Microsoft\Boot (ตัวอย่างเช่น D:\EFI\Microsoft\Boot)

  5. ถอดธัมป์ไดรฟ์ที่ติดตั้งไว้อย่างปลอดภัย

หากคุณจัดการสื่อที่สามารถติดตั้งได้ในสภาพแวดล้อมของคุณโดยใช้ สื่อการติดตั้ง Windows สําหรับการปรับปรุงด้วยคําแนะนําสําหรับการปรับปรุงแบบไดนามิก ให้ทําตามขั้นตอนเหล่านี้:

  1. ไปที่อุปกรณ์ที่มีการติดตั้งการอัปเดต Windows ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้น

  2. ทําตามขั้นตอนใน อัปเดตสื่อการติดตั้ง Windows ด้วยการปรับปรุงแบบไดนามิก เพื่อสร้างสื่อที่มีการอัปเดต Windows ที่เผยแพร่ในวันที่ 12 พฤศจิกายน 2024 หรือหลังจากนั้นติดตั้ง

  3. วางเนื้อหาของสื่อบนธัมป์ไดรฟ์ USB และต่อธัมบ์ไดรฟ์เป็นตัวอักษรไดรฟ์ ตัวอย่างเช่น ต่อเชื่อมธัมป์ไดรฟ์เป็น D:

  4. คัดลอก SkuSiPolicy.p7b ไปยัง <MediaRoot>\EFI\Microsoft\Boot (ตัวอย่างเช่น D:\EFI\Microsoft\Boot)

  5. ถอดธัมป์ไดรฟ์ที่ติดตั้งไว้อย่างปลอดภัย

บันทึกเหตุการณ์ของ Windows

Windows จะบันทึกเหตุการณ์เมื่อนโยบายความถูกต้องของโค้ด รวมถึง SkuSiPolicy.p7b ถูกโหลด และเมื่อไฟล์ถูกบล็อกไม่ให้โหลดเนื่องจากการบังคับใช้นโยบาย คุณสามารถใช้เหตุการณ์เหล่านี้เพื่อตรวจสอบว่ามีการนําการแก้ไขไปใช้แล้ว

บันทึกความสมบูรณ์ของโค้ดจะพร้อมใช้งานในตัวแสดงเหตุการณ์ Windows ภายใต้บันทึกแอปพลิเคชันและบริการ > บันทึกของ Microsoft > Windows > CodeIntegrity > การดําเนินการ > แอปพลิเคชันและบริการบันทึก > Services > Microsoft > Windows > AppLocker > MSI และสคริปต์

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ความสมบูรณ์ของโค้ด ดูที่ คู่มือการดําเนินงานของการควบคุมแอปพลิเคชัน Windows Defender

เหตุการณ์การเปิดใช้งานนโยบาย

เหตุการณ์การเปิดใช้งานนโยบายจะพร้อมใช้งานใน Windows ตัวแสดงเหตุการณ์ ภายใต้บันทึกแอปพลิเคชันและบริการ > Microsoft > Windows > CodeIntegrity > การดําเนินการ

CodeIntegrity Event 3099 ระบุว่ามีการโหลดนโยบายและมีรายละเอียดเกี่ยวกับนโยบายที่โหลด ข้อมูลในเหตุการณ์ประกอบด้วยชื่อที่จําง่ายของนโยบาย ตัวระบุที่ไม่ซ้ํากันส่วนกลาง (GUID) และแฮชของนโยบาย เหตุการณ์ CodeIntegrity Event 3099 หลายเหตุการณ์จะปรากฏขึ้นหากมีนโยบายด้านความสมบูรณ์ของรหัสหลายนโยบายที่ใช้กับอุปกรณ์

เมื่อมีการใช้นโยบายการตรวจสอบที่ให้ไว้ จะมีเหตุการณ์ที่มีข้อมูลต่อไปนี้:

  • PolicyNameBuffer – นโยบายการตรวจสอบความปลอดภัยตามการจําลองเสมือนของ Microsoft Windows

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

นโยบายการตรวจสอบความปลอดภัยตามการจําลองเสมือนของ Microsoft

เมื่อมีการใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) จะมีเหตุการณ์ที่มีข้อมูลต่อไปนี้ (ดูภาพหน้าจอของเหตุการณ์ CodeIntegrity 3099 ด้านล่าง):

  • PolicyNameBuffer – นโยบาย Microsoft Windows SKU SI

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

นโยบาย Microsoft Windows SKU SI

หากคุณใช้นโยบายการตรวจสอบหรือการลดปัญหากับอุปกรณ์ของคุณและ CodeIntegrity Event 3099 สําหรับนโยบายที่ใช้ไม่ปรากฏ แสดงว่าไม่มีการบังคับใช้นโยบาย โปรดศึกษา คําแนะนําในการปรับใช้ เพื่อตรวจสอบว่านโยบายได้รับการติดตั้งอย่างถูกต้อง

ตรวจสอบและบล็อกเหตุการณ์

การตรวจสอบความสมบูรณ์ของโค้ดและบล็อกเหตุการณ์จะพร้อมใช้งานใน Windows ตัวแสดงเหตุการณ์ ภายใต้บันทึกแอปพลิเคชันและบริการ > บันทึกของ Microsoft > Windows > CodeIntegrity > การดําเนินการ > แอปพลิเคชันและบริการ > Microsoft > Windows > AppLocker > MSI และสคริปต์

ตําแหน่งการบันทึกเดิมประกอบด้วยเหตุการณ์เกี่ยวกับการควบคุมของแฟ้มปฏิบัติการ dll และโปรแกรมควบคุม ตําแหน่งการบันทึกหลังประกอบด้วยเหตุการณ์เกี่ยวกับการควบคุมตัวติดตั้ง MSI สคริปต์ และวัตถุ COM

CodeIntegrity Event 3076 ในบันทึก "CodeIntegrity – Operational" เป็นเหตุการณ์บล็อกหลักสําหรับนโยบายโหมดการตรวจสอบ และระบุว่าไฟล์จะถูกบล็อกหากมีการบังคับใช้นโยบาย เหตุการณ์นี้มีข้อมูลเกี่ยวกับไฟล์ที่ถูกบล็อกและเกี่ยวกับนโยบายที่บังคับใช้ สําหรับไฟล์ที่ถูกบล็อกโดยการลดปัญหา ข้อมูลนโยบายในเหตุการณ์ 3077 จะตรงกับข้อมูลนโยบายของนโยบายการตรวจสอบจากเหตุการณ์ 3099

CodeIntegrity Event 3077 ในบันทึก "CodeIntegrity – Operational" ระบุว่าไฟล์ปฏิบัติการ .dll หรือโปรแกรมควบคุมถูกบล็อกไม่ให้โหลด เหตุการณ์นี้มีข้อมูลเกี่ยวกับไฟล์ที่ถูกบล็อกและเกี่ยวกับนโยบายที่บังคับใช้ สําหรับไฟล์ที่ถูกบล็อกโดยการลดปัญหา ข้อมูลนโยบายใน CodeIntegrity Event 3077 จะตรงกับข้อมูลนโยบายของ SkuSiPolicy.p7b จาก CodeIntegrity Event 3099 CodeIntegrity Event 3077 จะไม่ปรากฏหากอุปกรณ์ของคุณไม่มีไฟล์ปฏิบัติการ .dll หรือโปรแกรมควบคุมที่ละเมิดนโยบายความสมบูรณ์ของโค้ด

สําหรับการตรวจสอบความถูกต้องของโค้ดและบล็อกเหตุการณ์อื่นๆ ให้ดู ทําความเข้าใจเกี่ยวกับเหตุการณ์การควบคุมแอปพลิเคชัน

ขั้นตอนการเอานโยบายออกและการกู้คืน

หากมีบางอย่างผิดปกติหลังจากใช้การบรรเทาคุณสามารถใช้ขั้นตอนต่อไปนี้เพื่อลบการบรรเทา:

  1. หยุด BitLocker ชั่วคราวถ้าเปิดใช้งาน เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. ปิด การบูตแบบปลอดภัย จากเมนู UEFI BIOSขั้นตอนการปิดการบูตแบบปลอดภัยจะแตกต่างกันระหว่างผู้ผลิตอุปกรณ์และรุ่นต่างๆ สําหรับความช่วยเหลือในการค้นหาตําแหน่งที่จะปิดการบูตแบบปลอดภัย โปรดดูเอกสารจากผู้ผลิตอุปกรณ์ของคุณ สามารถดูรายละเอียดเพิ่มเติมได้ใน การปิดใช้งานการบูตแบบปลอดภัย

  3. เอานโยบาย SkuSiPolicy.p7b ออก

    1. เริ่ม Windows ตามปกติ แล้วลงชื่อเข้าใช้นโยบาย SkuSiPolicy.p7b ต้องถูกเอาออกจากตําแหน่งที่ตั้งต่อไปนี้:

      • <>พาร์ติชันระบบ EFI \Microsoft\Boot\SKUSiPolicy.p7b

    2. รันสคริปต์ต่อไปนี้จากรอบเวลา Windows PowerShell ผู้ดูแลเพื่อล้างข้อมูลนโยบายจากที่ตั้งเหล่านั้น:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem) AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      if (Test-Path $EFIPolicyPath ) {remove-item -Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. เปิดการบูตแบบปลอดภัยจาก BIOSดูคู่มือจากผู้ผลิตอุปกรณ์ของคุณเพื่อค้นหาตําแหน่งที่จะเปิดการบูตแบบปลอดภัยหากคุณปิดการบูตแบบปลอดภัยในขั้นตอนที่ 1 และไดรฟ์ของคุณได้รับการป้องกันโดย BitLocker ให้ หยุดการป้องกัน BitLocker ชั่วคราว แล้วเปิดการบูตแบบปลอดภัยจากเมนู UEFI BIOS ของคุณ

  5. เปิด BitLocker เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:

    Manager-bde -protectors -enable c:

  6. รีสตาร์ตอุปกรณ์

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย