ในบทความนี้
บทสรุป
Microsoft ทราบถึงช่องโหว่ใน Windows ที่อนุญาตให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบแทนที่ไฟล์ระบบ Windows ที่อัปเดตแล้วซึ่งมีเวอร์ชันที่เก่ากว่า เปิดประตูให้ผู้โจมตีสร้างช่องโหว่ขึ้นมาใหม่เพื่อความปลอดภัยที่ใช้การจําลองเสมือน (VBS) การย้อนกลับของไบนารีเหล่านี้อาจทําให้ผู้โจมตีหลีกเลี่ยงฟีเจอร์ความปลอดภัยของ VBS และส่งข้อมูลที่ได้รับการป้องกันโดย VBS ได้ ปัญหานี้อธิบายไว้ใน CVE-2024-21302 | การยกระดับช่องโหว่ของโหมดเคอร์เนลที่ปลอดภัยของ Windows
เพื่อแก้ไขปัญหานี้ เราจะเพิกถอนไฟล์ระบบ VBS ที่เปราะบางซึ่งไม่ได้รับการอัปเดต เนื่องจากไฟล์ที่เกี่ยวข้องกับ VBS จํานวนมากที่ต้องถูกบล็อก เราจึงใช้วิธีอื่นในการบล็อกเวอร์ชันไฟล์ที่ไม่ได้อัปเดต
ขอบเขตของผลกระทบ
อุปกรณ์ Windows ทั้งหมดที่สนับสนุน VBS จะได้รับผลกระทบจากปัญหานี้ ซึ่งรวมถึงอุปกรณ์ทางกายภาพภายในองค์กรและเครื่องเสมือน (VM) VBS ได้รับการสนับสนุนบน Windows 10 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2016 และ Windows Server เวอร์ชันที่ใหม่กว่า
สามารถตรวจสอบสถานะ VBS ผ่านเครื่องมือ Microsoft System Information (Msinfo32.exe) เครื่องมือนี้จะเก็บรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ของคุณ หลังจากเริ่ม Msinfo32.exe ให้เลื่อนลงไปที่แถวความปลอดภัยที่ใช้การจําลองเสมือน ถ้าค่าของแถวนี้กําลังทํางานอยู่ VBS จะเปิดใช้งานและทํางานอยู่
รัฐ VBS ยังสามารถตรวจสอบกับ Windows PowerShell โดยใช้คลาส WMI Win32_DeviceGuard เมื่อต้องการสอบถามสถานะ VBS จาก PowerShell ให้เปิดเซสชัน Windows PowerShell ที่ยกระดับ แล้วเรียกใช้คําสั่งต่อไปนี้:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
หลังจากเรียกใช้คําสั่ง PowerShell ข้างต้นสถานะ VBS ควรเป็นหนึ่งในต่อไปนี้
|
ชื่อเขตข้อมูล |
สถานะ |
|
VirtualizationBasedSecurityStatus |
|
การบรรเทาที่พร้อมใช้งาน
สําหรับ Windows 10 เวอร์ชัน 1809 และ Windows เวอร์ชันที่ใหม่กว่าทั้งหมดที่ได้รับการสนับสนุน และ Windows Server 2019 และ Windows Server เวอร์ชันที่ใหม่กว่า ผู้ดูแลระบบสามารถปรับใช้นโยบายการยกเลิกที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) ซึ่งจะบล็อกไฟล์ระบบ VBS เวอร์ชันที่มีช่องโหว่ซึ่งไม่ได้รับการอัปเดตจากการโหลดโดยระบบปฏิบัติการ
หมายเหตุ การสนับสนุนการแก้ไขและการแก้ไขเพิ่มเติมสําหรับ Windows 10 เวอร์ชันที่สนับสนุนทั้งหมด 1507 และ Windows เวอร์ชันก่อนหน้า และ Windows Server 2016 และ Windows Server เวอร์ชันก่อนหน้าได้รับการวางแผนสําหรับการอัปเดตในอนาคต
เมื่อนํานโยบายนี้ไปใช้กับอุปกรณ์ Windows นโยบายจะถูกล็อกกับอุปกรณ์ด้วยการเพิ่มตัวแปรให้กับเฟิร์มแวร์ UEFI ระหว่างการเริ่มต้นระบบ การโหลดนโยบายและ Windows จะบล็อกการโหลดไบนารีที่ละเมิดนโยบาย หากล็อก UEFI และนโยบายถูกเอาออกหรือแทนที่ด้วยเวอร์ชันที่เก่ากว่า ตัวจัดการการเริ่มต้นระบบ Windows จะไม่เริ่มทํางาน และอุปกรณ์จะไม่เริ่มทํางาน การเริ่มต้นระบบล้มเหลวนี้จะไม่แสดงข้อผิดพลาด และระบบจะดําเนินการต่อไปยังตัวเลือกการเริ่มต้นระบบถัดไปที่อาจส่งผลให้เกิดการวนรอบการเริ่มต้นระบบ
เพื่อให้การแก้ไขนโยบายทํางาน ต้องอัปเดตอุปกรณ์ด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่หรือหลังจากวันที่ 13 สิงหาคม 2024 หากไม่มีการอัปเดต อุปกรณ์อาจไม่เริ่มต้นด้วยการลดปัญหาที่ใช้ หรือการลดปัญหาอาจไม่ทํางานตามที่คาดไว้ นอกจากนี้ ควรใช้การแก้ไขที่อธิบายไว้ใน KB5025885 กับอุปกรณ์ของคุณ
สำคัญ ห้ามใช้การแก้ไขนี้กับ Windows เวอร์ชันก่อนหน้า Windows 10 เวอร์ชัน 1809 หรือ Windows Server เวอร์ชันก่อนหน้า Windows Server 2019 หากมีการนําการแก้ไขไปใช้กับอุปกรณ์ที่ไม่ได้รับการสนับสนุน อุปกรณ์จะไม่เริ่มต้นระบบ และคุณได้รับ 0xc0000428 ข้อผิดพลาด คุณจะต้องทําตามคําแนะนําในส่วน ขั้นตอนการลบและการกู้คืนนโยบาย เพื่อกู้คืน
ทําความเข้าใจความเสี่ยงในการลดปัญหา
คุณต้องตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นก่อนที่จะใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft โปรดตรวจสอบความเสี่ยงเหล่านี้และทําการอัปเดตที่จําเป็นกับสื่อการกู้คืน ก่อนที่จะ ใช้การบรรเทาปัญหา
-
ความถูกต้องของโค้ดในโหมดผู้ใช้ (UMCI) นโยบายการเพิกถอนที่ลงนามโดย Microsoft ทําให้ความถูกต้องของโค้ดในโหมดผู้ใช้สมบูรณ์ เพื่อให้กฎในนโยบายถูกนําไปใช้กับไบนารีในโหมดผู้ใช้ นอกจากนี้ UMCI ยังเปิดใช้งาน ความปลอดภัยรหัสแบบไดนามิก ตามค่าเริ่มต้น การบังคับใช้ฟีเจอร์เหล่านี้อาจมีปัญหาความเข้ากันได้กับแอปพลิเคชันและสคริปต์ และอาจป้องกันไม่ให้แอปพลิเคชันและสคริปต์เหล่านั้นทํางานและมีผลกระทบต่อประสิทธิภาพการทํางานต่อเวลาเริ่มต้น ก่อนที่จะปรับใช้การบรรเทา ให้ทําตามคําแนะนําเพื่อ ปรับใช้นโยบายโหมดการตรวจสอบ เพื่อทดสอบปัญหาที่อาจเกิดขึ้น
-
UEFI Lock และถอนการติดตั้งการอัปเดต หลังจากการใช้การล็อก UEFI กับนโยบายการยกเลิกที่ Microsoft ลงนามบนอุปกรณ์แล้ว จะไม่สามารถแปลงกลับอุปกรณ์ได้ (โดยการถอนการติดตั้งการอัปเดตของ Windows โดยใช้จุดคืนค่า หรือด้วยวิธีอื่น) หากคุณยังคงใช้การบูตแบบปลอดภัยต่อไป แม้การฟอร์แมตดิสก์ใหม่จะไม่ลบล็อค UEFI ของการลดปัญหาหากมีการนําไปใช้แล้ว ซึ่งหมายความว่าหากคุณพยายามเปลี่ยนระบบปฏิบัติการ Windows กลับเป็นสถานะก่อนหน้าที่ไม่มีการลดการใช้ อุปกรณ์จะไม่เริ่มต้นระบบ จะไม่มีข้อความแสดงข้อผิดพลาดปรากฏขึ้น และ UEFI จะดําเนินการต่อไปยังตัวเลือกการเริ่มต้นระบบที่พร้อมใช้งานถัดไป ซึ่งอาจทําให้เกิดการวนรอบการบูต คุณต้องปิดใช้งานการบูตแบบปลอดภัยเพื่อลบการล็อก UEFI โปรดตระหนักถึงผลกระทบที่เป็นไปได้ทั้งหมดและทดสอบอย่างละเอียดก่อนที่คุณจะใช้การเพิกถอนที่ระบุไว้ในบทความนี้กับอุปกรณ์ของคุณ
-
สื่อการเริ่มต้นระบบภายนอก หลังจากใช้การลดการล็อก UEFI กับอุปกรณ์แล้ว สื่อการบูตภายนอกต้องได้รับการอัปเดตด้วยการอัปเดต Windows วันที่หรือหลังจากวันที่ 13 สิงหาคม 2024 และตามนโยบายการยกเลิกที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) หากไม่มีการอัปเดตสื่อการบูตภายนอก อุปกรณ์อาจไม่เริ่มต้นระบบจากสื่อนั้น ดูคําแนะนําในส่วน การปรับปรุงสื่อการเริ่มต้นระบบภายนอก ก่อนที่จะใช้การแก้ไขสื่อการเริ่มต้นระบบที่ได้รับการอัปเดตด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft จะต้องใช้เพื่อเริ่มต้นระบบอุปกรณ์ที่มีการนําการแก้ไขไปใช้แล้วเท่านั้น หากใช้กับอุปกรณ์ที่ไม่มีการลดปัญหา ล็อค UEFI จะถูกนําไปใช้ระหว่างการเริ่มต้นระบบจากสื่อการบูต เริ่มต้นในภายหลังจากดิสก์จะล้มเหลวเว้นแต่อุปกรณ์จะได้รับการอัปเดตด้วยการลดหรือการล็อก UEFI จะถูกลบออก
-
Windows Recovery Environment Windows Recovery Environment (WinRE) บนอุปกรณ์ต้องได้รับการอัปเดตด้วยการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 13 สิงหาคม 2024 ก่อนที่ SkuSipolicy.p7b จะถูกนําไปใช้กับอุปกรณ์ การละเว้นขั้นตอนนี้อาจทําให้ WinRE ไม่สามารถเรียกใช้ ฟีเจอร์รีเซ็ตพีซีได้ ดูข้อมูลเพิ่มเติมได้ที่ เพิ่มแพคเกจการอัปเดตลงใน Windows RE
-
การบูต Preboot Execution Environment (PXE) หากมีการปรับใช้การลดปัญหากับอุปกรณ์และคุณพยายามใช้การบูตแบบ PXE อุปกรณ์จะไม่เริ่มต้นเว้นแต่จะมีการใช้การแก้ไขกับแหล่งการบูตเครือข่าย (รากที่มี bootmgfw.efi อยู่) หากอุปกรณ์เริ่มต้นจากแหล่งเริ่มต้นระบบเครือข่ายที่มีการนําการบรรเทาไปใช้ การล็อก UEFI จะมีผลกับอุปกรณ์และผลกระทบต่อมาจะเริ่มทํางาน เราไม่แนะนําให้ปรับใช้การลดปัญหากับแหล่งการเริ่มต้นระบบเครือข่าย เว้นแต่ว่าอุปกรณ์ทั้งหมดในสภาพแวดล้อมของคุณมีการปรับใช้การลดปัญหา
แนวทางการปรับใช้การลดปัญหา
เมื่อต้องการแก้ไขปัญหาที่อธิบายไว้ในบทความนี้ คุณสามารถปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) การลดปัญหานี้รองรับเฉพาะใน Windows 10 เวอร์ชัน 1809 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2019 และ Windows Server เวอร์ชันที่ใหม่กว่าเท่านั้น ก่อนที่คุณจะปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) คุณควรทดสอบปัญหาความเข้ากันได้โดยใช้นโยบายโหมดตรวจสอบ
หมายเหตุ หากคุณใช้ BitLocker ตรวจสอบให้แน่ใจว่าคีย์การกู้คืน BitLocker ของคุณได้รับการสํารองไว้แล้ว คุณสามารถเรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบและจดบันทึกรหัสผ่านตัวเลข 48 หลัก:
manage-bde -protectors -get %systemdrive%
การปรับใช้นโยบายโหมดการตรวจสอบ
นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) บังคับใช้ความถูกต้องของรหัสในโหมดผู้ใช้ (UMCI) และการรักษาความปลอดภัยของรหัสแบบไดนามิก ฟีเจอร์เหล่านี้อาจมีปัญหาความเข้ากันได้กับแอปพลิเคชันของลูกค้า ก่อนที่จะปรับใช้การบรรเทา คุณควรปรับใช้นโยบายการตรวจสอบเพื่อตรวจหาปัญหาความเข้ากันได้
คุณมีตัวเลือกนโยบายการตรวจสอบสองตัวเลือก:
-
ใช้นโยบายการตรวจสอบ SiPolicy.p7b ที่ระบุ
-
หรือคอมไพล์ไบนารีนโยบายการตรวจสอบของคุณเองจากไฟล์ XML ที่ให้ไว้
เราขอแนะนําให้ใช้ไบนารีนโยบายการตรวจสอบ SiPolicy.p7b ที่ระบุ เว้นแต่ว่าคุณได้ปรับใช้นโยบาย Windows Defender Application Guard (WDAC) ที่มีอยู่แล้ว ไบนารีนโยบายการตรวจสอบที่ระบุจะไม่ถูกล็อก UEFI ไม่จําเป็นต้องอัปเดตสื่อการบูตและสื่อการกู้คืนภายนอกก่อนใช้นโยบายการตรวจสอบ
ความสมบูรณ์ของโค้ด Windows จะประเมินไบนารีโหมดผู้ใช้และเคอร์เนลกับกฎในนโยบายการตรวจสอบ หากความสมบูรณ์ของโค้ดระบุแอปพลิเคชันหรือสคริปต์ที่ละเมิดนโยบาย เหตุการณ์บันทึกเหตุการณ์ของ Windows จะถูกสร้างขึ้นพร้อมข้อมูลเกี่ยวกับแอปพลิเคชันหรือสคริปต์ที่ถูกบล็อก และข้อมูลเกี่ยวกับนโยบายที่บังคับใช้ เหตุการณ์เหล่านี้สามารถใช้เพื่อตรวจสอบว่ามีแอปพลิเคชันหรือสคริปต์ที่เข้ากันไม่ได้ที่ใช้บนอุปกรณ์ของคุณหรือไม่ สําหรับข้อมูลเพิ่มเติม โปรดดูส่วน บันทึกเหตุการณ์ของ Windows
นโยบายการตรวจสอบ SiPolicy.p7b จะรวมอยู่ในการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 13 สิงหาคม 2024 สําหรับระบบปฏิบัติการ Windows ที่รองรับทั้งหมดของ Windows 10 เวอร์ชัน 1809 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2019 และ Windows Server เวอร์ชันที่ใหม่กว่า นโยบายการตรวจสอบนี้ควรใช้เฉพาะกับอุปกรณ์ที่มีการติดตั้ง Windows Update ของวันที่ 13 สิงหาคม 2024 หรือใหม่กว่า หรือนโยบายการตรวจสอบอาจไม่ทํางานตามที่คาดไว้
เมื่อต้องการปรับใช้นโยบายการตรวจสอบ SiPolicy.p7b ที่ระบุ ให้ทําตามขั้นตอนเหล่านี้:
-
เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ด้วยสิทธิ์ผู้ดูแล:
# เริ่มต้นตําแหน่งที่ตั้งและปลายทางของนโยบาย
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"
$DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"
# คัดลอกไบนารีนโยบายการตรวจสอบ
Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force
-
รีสตาร์ตอุปกรณ์
-
ยืนยันว่ามีการโหลดนโยบายในตัวแสดงเหตุการณ์โดยใช้ข้อมูลในส่วนเหตุการณ์การเปิดใช้งานนโยบาย
-
ทดสอบโดยใช้แอปพลิเคชันและสคริปต์ในขณะที่นโยบายถูกนําไปใช้เพื่อระบุปัญหาความเข้ากันได้
เมื่อต้องการถอนการติดตั้งนโยบายการตรวจสอบ SiPolicy.p7b ให้ทําตามขั้นตอนเหล่านี้:
-
เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ด้วยสิทธิ์ผู้ดูแล:
# เริ่มต้นตําแหน่งที่ตั้งของนโยบาย
$PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"
# Remove SiPolicy.p7b
Remove-Item -Path $PolicyBinary -force
-
รีสตาร์ตอุปกรณ์
-
ยืนยันว่านโยบายการตรวจสอบไม่โหลดในตัวแสดงเหตุการณ์โดยใช้ข้อมูลในส่วนเหตุการณ์การเปิดใช้งานนโยบาย
หากคุณใช้ WDAC เพื่อจัดการแอปพลิเคชันและโปรแกรมควบคุมที่ได้รับอนุญาตให้ทํางานบนอุปกรณ์ของคุณ คุณอาจกําลังใช้นโยบายชื่อ "SiPolicy.p7b" อยู่แล้ว สําหรับระบบปฏิบัติการ Windows ที่รองรับทั้งหมดของ Windows 10 เวอร์ชัน 1903 และ Windows เวอร์ชันที่ใหม่กว่า และ Windows Server 2022 และเวอร์ชันที่ใหม่กว่า Windows Server คุณสามารถใช้ไฟล์ XML ที่ให้มาเพื่อสร้างและปรับใช้นโยบายการตรวจสอบโดยใช้รูปแบบนโยบายหลายรูปแบบ WDAC สําหรับคําแนะนําในการสร้างและปรับใช้ไบนารีนโยบายการตรวจสอบ ให้ดู การปรับใช้นโยบายการควบคุมแอปพลิเคชัน Windows Defender (WDAC)
ไฟล์ XML ที่มีกฎนโยบายการตรวจสอบจะพร้อมใช้งานบนอุปกรณ์ที่มีการติดตั้งการอัปเดต Windows ในวันที่หรือหลังจากวันที่ 13 สิงหาคม 2024 แฟ้ม XML อยู่ภายใต้ "%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml"
หากคุณใช้นโยบาย WDAC บน Windows 10 เวอร์ชัน 1809 และ Windows เวอร์ชันก่อนหน้า หรือบน Windows Server 2016 และเวอร์ชันก่อนหน้าของ Windows Server คุณจะต้องเปลี่ยนนโยบาย WDAC ที่มีอยู่ด้วยนโยบายการตรวจสอบเพื่อทดสอบปัญหาความเข้ากันได้กับการลดปัญหา
การปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b)
นโยบายการเพิกถอนที่ลงนามโดย Microsoft รวมอยู่ใน Windows Update เมื่อวันที่หรือหลังจากวันที่ 13 สิงหาคม 2024 หรือหลังจากนั้น นโยบายนี้ควรใช้กับอุปกรณ์ที่ติดตั้งการอัปเดตวันที่ 13 สิงหาคม 2024 หรือใหม่กว่าเท่านั้น หากไม่มีการอัปเดต อุปกรณ์อาจไม่เริ่มต้นด้วยการลดปัญหาที่ใช้ หรือการลดปัญหาอาจไม่ทํางานตามที่คาดไว้
เมื่อต้องการปรับใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) ให้ทําตามขั้นตอนเหล่านี้:
-
เรียกใช้คําสั่งต่อไปนี้ในพร้อมท์ Windows PowerShell ด้วยสิทธิ์ผู้ดูแล:
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'
$EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem) AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force
mountvol $MountPoint /D
-
รีสตาร์ตอุปกรณ์
-
ยืนยันว่ามีการโหลดนโยบายในตัวแสดงเหตุการณ์โดยใช้ข้อมูลในส่วนบันทึกเหตุการณ์ของ Windows
หมายเหตุ
-
คุณไม่ควรนําไฟล์การเพิกถอน (นโยบาย) SkuSiPolicy.p7b ออกหลังจากปรับใช้ อุปกรณ์ของคุณอาจไม่สามารถเริ่มต้นได้อีกต่อไปหากไฟล์ถูกนําออก
-
หากอุปกรณ์ของคุณไม่เริ่มทํางาน ดูที่ส่วน ขั้นตอนการกู้คืน
กําลังอัปเดตสื่อการเริ่มต้นระบบภายนอก
เมื่อต้องการใช้สื่อการเริ่มต้นระบบภายนอกกับอุปกรณ์ที่มีการนํานโยบายการยกเลิกที่ลงนามโดย Microsoft ไปใช้ สื่อการเริ่มต้นระบบภายนอกต้องได้รับการปรับปรุงด้วยแฟ้มนโยบายที่นําไปใช้ นอกจากนี้ จะต้องมีการอัปเดต Windows ซึ่งลงวันที่หรือหลังจากวันที่ 13 สิงหาคม 2024 หากสื่อไม่มีการอัปเดต สื่อจะไม่เริ่มทํางาน
สื่อการเริ่มต้นระบบที่ได้รับการอัปเดตด้วยนโยบายการยกเลิกที่ลงนามโดย Microsoft จะต้องใช้เพื่อเริ่มต้นระบบอุปกรณ์ที่มีการนําการแก้ไขไปใช้แล้วเท่านั้น หากใช้กับอุปกรณ์ที่ไม่มีการลดปัญหา ล็อค UEFI จะถูกนําไปใช้ระหว่างการเริ่มต้นระบบจากสื่อการบูต เริ่มต้นในภายหลังจากดิสก์จะล้มเหลวเว้นแต่อุปกรณ์จะได้รับการอัปเดตด้วยการลดหรือการล็อก UEFI จะถูกลบออก
สำคัญ เราขอแนะนําให้คุณสร้างไดรฟ์การกู้คืนก่อนดําเนินการต่อ สื่อนี้สามารถใช้เพื่อติดตั้งอุปกรณ์ใหม่ในกรณีที่มีปัญหาหลัก
ใช้ขั้นตอนต่อไปนี้เพื่ออัปเดตสื่อการเริ่มต้นระบบภายนอก:
-
ไปที่อุปกรณ์ที่มีการติดตั้งการอัปเดต Windows เมื่อวันที่ 13 สิงหาคม 2024 หรือหลังจากนั้น
-
กําหนดใช้สื่อการเริ่มต้นระบบภายนอกเป็นอักษรไดรฟ์ ตัวอย่างเช่น ติดตั้งธัมป์ไดรฟ์เป็น D:
-
คลิก เริ่ม พิมพ์ สร้างไดรฟ์การกู้คืน ในกล่อง ค้นหา แล้วคลิก สร้างแผงควบคุมไดรฟ์การกู้คืน ทําตามคําแนะนําเพื่อสร้างไดรฟ์การกู้คืนโดยใช้ธัมบ์ไดรฟ์ที่ติดตั้ง
-
เมื่อติดตั้งสื่อที่สร้างขึ้นใหม่ให้คัดลอกไฟล์ SkuSiPolicy.p7b ไปยัง <MediaRoot>\EFI\Microsoft\Boot (ตัวอย่างเช่น D:\EFI\Microsoft\Boot)
-
ถอดธัมป์ไดรฟ์ที่ติดตั้งไว้อย่างปลอดภัย
หากคุณจัดการสื่อที่สามารถติดตั้งได้ในสภาพแวดล้อมของคุณโดยใช้ สื่อการติดตั้ง Windows สําหรับการปรับปรุงด้วยคําแนะนําสําหรับการปรับปรุงแบบไดนามิก ให้ทําตามขั้นตอนเหล่านี้:
-
ไปที่อุปกรณ์ที่มีการติดตั้งการอัปเดต Windows เมื่อวันที่ 13 สิงหาคม 2024 หรือหลังจากนั้น
-
ทําตามขั้นตอนใน อัปเดตสื่อการติดตั้ง Windows ด้วยการปรับปรุงแบบไดนามิก เพื่อสร้างสื่อที่มีการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 สิงหาคม 2024 หรือหลังจากนั้นติดตั้ง
-
วางเนื้อหาของสื่อบนธัมป์ไดรฟ์ USB และต่อธัมบ์ไดรฟ์เป็นตัวอักษรไดรฟ์ ตัวอย่างเช่น ต่อเชื่อมธัมป์ไดรฟ์เป็น D:
-
คัดลอก SkuSiPolicy.p7b ไปยัง <MediaRoot>\EFI\Microsoft\Boot (ตัวอย่างเช่น D:\EFI\Microsoft\Boot)
-
ถอดธัมป์ไดรฟ์ที่ติดตั้งไว้อย่างปลอดภัย
บันทึกเหตุการณ์ของ Windows
Windows จะบันทึกเหตุการณ์เมื่อนโยบายความถูกต้องของโค้ด รวมถึง SkuSiPolicy.p7b ถูกโหลด และเมื่อไฟล์ถูกบล็อกไม่ให้โหลดเนื่องจากการบังคับใช้นโยบาย คุณสามารถใช้เหตุการณ์เหล่านี้เพื่อตรวจสอบว่ามีการนําการแก้ไขไปใช้แล้ว
บันทึกความสมบูรณ์ของโค้ดจะพร้อมใช้งานในตัวแสดงเหตุการณ์ของ Windows ภายใต้บันทึกแอปพลิเคชันและบริการ > บันทึกของ Microsoft > Windows > CodeIntegrity > Operational > Application and Services บันทึก > Services > Microsoft > Windows > AppLocker > MSI และสคริปต์
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ความสมบูรณ์ของโค้ด ดูที่ คู่มือการดําเนินงานของการควบคุมแอปพลิเคชัน Windows Defender
เหตุการณ์การเปิดใช้งานนโยบาย
เหตุการณ์การเปิดใช้งานนโยบายจะพร้อมใช้งานในตัวแสดงเหตุการณ์ของ Windows ภายใต้บันทึกแอปพลิเคชันและบริการ > Microsoft > Windows > CodeIntegrity > การดําเนินการ
CodeIntegrity Event 3099 ระบุว่ามีการโหลดนโยบายและมีรายละเอียดเกี่ยวกับนโยบายที่โหลด ข้อมูลในเหตุการณ์ประกอบด้วยชื่อที่จําง่ายของนโยบาย ตัวระบุที่ไม่ซ้ํากันส่วนกลาง (GUID) และแฮชของนโยบาย เหตุการณ์ CodeIntegrity Event 3099 หลายเหตุการณ์จะปรากฏขึ้นหากมีนโยบายด้านความสมบูรณ์ของรหัสหลายนโยบายที่ใช้กับอุปกรณ์
เมื่อมีการใช้นโยบายการตรวจสอบที่ให้ไว้ จะมีเหตุการณ์ที่มีข้อมูลต่อไปนี้:
-
PolicyNameBuffer – นโยบายการตรวจสอบความปลอดภัยตามการจําลองเสมือนของ Microsoft Windows
-
PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}
-
PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387
เมื่อมีการใช้นโยบายการเพิกถอนที่ลงนามโดย Microsoft (SkuSiPolicy.p7b) จะมีเหตุการณ์ที่มีข้อมูลต่อไปนี้ (ดูภาพหน้าจอของเหตุการณ์ CodeIntegrity 3099 ด้านล่าง):
-
PolicyNameBuffer – นโยบาย Microsoft Windows SKU SI
-
PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}
-
PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D
หากคุณใช้นโยบายการตรวจสอบหรือการลดปัญหากับอุปกรณ์ของคุณและ CodeIntegrity Event 3099 สําหรับนโยบายที่ใช้ไม่ปรากฏ แสดงว่าไม่มีการบังคับใช้นโยบาย โปรดศึกษา คําแนะนําในการปรับใช้ เพื่อตรวจสอบว่านโยบายได้รับการติดตั้งอย่างถูกต้อง
ตรวจสอบและบล็อกเหตุการณ์
การตรวจสอบความสมบูรณ์ของโค้ดและบล็อกเหตุการณ์จะพร้อมใช้งานในตัวแสดงเหตุการณ์ของ Windows ภายใต้บันทึกแอปพลิเคชันและบริการของ Windows > บันทึกของ Microsoft > Windows > CodeIntegrity > การดําเนินการ > แอปพลิเคชันและบริการ > Microsoft > Windows > AppLocker > MSI และสคริปต์
ตําแหน่งการบันทึกเดิมประกอบด้วยเหตุการณ์เกี่ยวกับการควบคุมของแฟ้มปฏิบัติการ dll และโปรแกรมควบคุม ตําแหน่งการบันทึกหลังประกอบด้วยเหตุการณ์เกี่ยวกับการควบคุมตัวติดตั้ง MSI สคริปต์ และวัตถุ COM
CodeIntegrity Event 3076 ในบันทึก "CodeIntegrity – Operational" เป็นเหตุการณ์บล็อกหลักสําหรับนโยบายโหมดการตรวจสอบ และระบุว่าไฟล์จะถูกบล็อกหากมีการบังคับใช้นโยบาย เหตุการณ์นี้มีข้อมูลเกี่ยวกับไฟล์ที่ถูกบล็อกและเกี่ยวกับนโยบายที่บังคับใช้ สําหรับไฟล์ที่ถูกบล็อกโดยการลดปัญหา ข้อมูลนโยบายในเหตุการณ์ 3077 จะตรงกับข้อมูลนโยบายของนโยบายการตรวจสอบจากเหตุการณ์ 3099
CodeIntegrity Event 3077 ในบันทึก "CodeIntegrity – Operational" ระบุว่าไฟล์ปฏิบัติการ .dll หรือโปรแกรมควบคุมถูกบล็อกไม่ให้โหลด เหตุการณ์นี้มีข้อมูลเกี่ยวกับไฟล์ที่ถูกบล็อกและเกี่ยวกับนโยบายที่บังคับใช้ สําหรับไฟล์ที่ถูกบล็อกโดยการลดปัญหา ข้อมูลนโยบายใน CodeIntegrity Event 3077 จะตรงกับข้อมูลนโยบายของ SkuSiPolicy.p7b จาก CodeIntegrity Event 3099 CodeIntegrity Event 3077 จะไม่ปรากฏหากอุปกรณ์ของคุณไม่มีไฟล์ปฏิบัติการ .dll หรือโปรแกรมควบคุมที่ละเมิดนโยบายความสมบูรณ์ของโค้ด
สําหรับการตรวจสอบความถูกต้องของโค้ดและบล็อกเหตุการณ์อื่นๆ ให้ดู ทําความเข้าใจเกี่ยวกับเหตุการณ์การควบคุมแอปพลิเคชัน
ขั้นตอนการเอานโยบายออกและการกู้คืน
หากมีบางอย่างผิดปกติหลังจากใช้การบรรเทาคุณสามารถใช้ขั้นตอนต่อไปนี้เพื่อลบการบรรเทา:
-
หยุด BitLocker ชั่วคราวถ้าเปิดใช้งาน เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:
Manager-bde -protectors -disable c: -rebootcount 3
-
ปิด การบูตแบบปลอดภัย จากเมนู UEFI BIOSขั้นตอนการปิดการบูตแบบปลอดภัยจะแตกต่างกันระหว่างผู้ผลิตอุปกรณ์และรุ่นต่างๆ สําหรับความช่วยเหลือในการค้นหาตําแหน่งที่จะปิดการบูตแบบปลอดภัย โปรดดูเอกสารจากผู้ผลิตอุปกรณ์ของคุณ สามารถดูรายละเอียดเพิ่มเติมได้ใน การปิดใช้งานการบูตแบบปลอดภัย
-
เอานโยบาย SkuSiPolicy.p7b ออก
-
เริ่ม Windows ตามปกติ แล้วลงชื่อเข้าใช้นโยบาย SkuSiPolicy.p7b ต้องถูกเอาออกจากตําแหน่งที่ตั้งต่อไปนี้:
-
<>พาร์ติชันระบบ EFI \Microsoft\Boot\SKUSiPolicy.p7b
-
-
เรียกใช้สคริปต์ต่อไปนี้จากเซสชัน Windows PowerShell ที่ยกระดับเพื่อล้างข้อมูลนโยบายจากตําแหน่งที่ตั้งเหล่านั้น:
$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'
$EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"
$EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem) AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
if (Test-Path $EFIPolicyPath ) {remove-item -Path $EFIPolicyPath -Force }
mountvol $MountPoint /D
-
-
เปิดการบูตแบบปลอดภัยจาก BIOSดูคู่มือจากผู้ผลิตอุปกรณ์ของคุณเพื่อค้นหาตําแหน่งที่จะเปิดการบูตแบบปลอดภัยหากคุณปิดการบูตแบบปลอดภัยในขั้นตอนที่ 1 และไดรฟ์ของคุณได้รับการป้องกันโดย BitLocker ให้ หยุดการป้องกัน BitLocker ชั่วคราว แล้วเปิดการบูตแบบปลอดภัยจากเมนู UEFI BIOS ของคุณ
-
เปิด BitLocker เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:
Manager-bde -protectors -enable c:
-
รีสตาร์ตอุปกรณ์
