Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Bu makalenin geçerli olduğu ürünlere göz atın.

Özet

29 Temmuz 2020'de Microsoft, Güvenli Önyükleme ile ilgili yeni bir güvenlik açığını açıklayan güvenlik önerisi 200011 yayımladı. Güvenli Önyükleme yapılandırmasında Microsoft üçüncü taraf Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) Sertifika Yetkilisi'ne (CA) güvenen cihazlar, yönetici ayrıcalıklarına veya cihaza fiziksel erişimi olan bir saldırgana duyarlı olabilir.

Bu makalede, güvenlik açığı olan modülleri geçersiz kılması için en son Güvenli Önyükleme DBX iptal listesinin uygulanmasına yönelik yönergeler sağlanmaktadır. Microsoft, 2022 baharında bu güvenlik açığını gidermek için Windows Update'a bir güncelleştirme gönderecektir.

Güvenli Önyükleme güncelleştirme ikili dosyaları bu UEFI web sayfasında barındırılır.

Gönderilen dosyalar aşağıdaki gibidir:

  • x86 için UEFI İptal Listesi Dosyası (32 bit)

  • x64 için UEFI İptal Listesi Dosyası (64 bit)

  • arm64 için UEFI İptal Listesi Dosyası

Bu karmalar cihazınızdaki Güvenli Önyükleme DBX'e eklendikten sonra bu uygulamaların yüklenmesine izin verilmez. 

Önemli: Bu site her mimari için dosyaları barındırıyor. Barındırılan her dosya yalnızca belirli mimariye uygulanan uygulamaların karmalarını içerir. Bu dosyalardan birini her cihaza uygulamanız gerekir, ancak mimarisiyle ilgili dosyayı uyguladığınıza emin olun. Teknik olarak farklı bir mimari için güncelleştirme uygulamak mümkün olsa da, uygun güncelleştirmeyi yüklememek cihazı korumasız bırakır.

Dikkat: Bu adımlardan herhangi birini denemeden önce bu güvenlik açığıyla ilgili ana danışmanlık makalesini okuyun. DBX güncelleştirmelerinin yanlış uygulanması cihazınızın başlatılmasını engelleyebilir.

Bu adımları yalnızca aşağıdaki koşullar doğruysa izlemeniz gerekir:

  • Cihazınızın Güvenli Önyükleme yapılandırmanızda üçüncü taraf UEFI CA'ya güvendiğini doğruladınız. Bunu yapmak için bir yönetim PowerShell oturumunda aşağıdaki PowerShell satırını çalıştırın:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Bu güncelleştirme tarafından engellenen önyükleme uygulamalarının hiçbirini başlatmaya güvenmezsiniz.

Daha fazla bilgi

Windows'da DBX güncelleştirmesi uygulama

Önceki bölümdeki uyarıları okuduktan ve cihazınızın uyumlu olduğunu doğruladıktan sonra Güvenli Önyükleme DBX'ini güncelleştirmek için şu adımları izleyin:

  1. Bu UEFI web sayfasından platformunuz için uygun UEFI İptal Listesi Dosyasını (Dbxupdate.bin) indirin.

  2. Dbxupdate.bin dosyasını PowerShell cmdlet'lerini kullanarak uygulamak için gerekli bileşenlere bölmeniz gerekir. Bunu yapmak için şu adımları izleyin:

    1. Bu PowerShell Galerisi web sayfasından PowerShell betiğini indirin.

    2. Betiği bulmaya yardımcı olmak için aşağıdaki cmdlet'i çalıştırın:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

    3. Cmdlet'in betiği başarıyla indirdiğini ve Ad, Sürüm, Yazar, PublishedDate, InstalledDate ve InstalledLocation gibi çıkış ayrıntılarını sağladığını doğrulayın.

    4. Aşağıdaki cmdlet'leri çalıştırın:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

    5. SplitDbxContent.ps1 dosyasının artık Betikler klasöründe olduğunu doğrulayın.

    6. Dbxupdate.bin dosyasında aşağıdaki PowerShell betiğini çalıştırın:

         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

    7. Komutun aşağıdaki dosyaları oluşturduğunu doğrulayın.

      "Uygulanıyor" adım 2c komut çıkışı

      • Content.bin – güncelleştirme içeriği

      • Signature.p7 – Güncelleştirme işlemini yetkilendirilen imza

  3. Bir yönetim PowerShell oturumunda, DBX güncelleştirmesini uygulamak için Set-SecureBootUefi cmdlet'ini çalıştırın:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Beklenen çıkış


    "Uygulanıyor" adım 3 komut çıkışı

  4. Güncelleştirme yükleme işlemini tamamlamak için cihazı yeniden başlatın.

Güvenli Önyükleme yapılandırma cmdlet'i ve DBX güncelleştirmeleri için nasıl kullanılacağı hakkında daha fazla bilgi için bkz. Set-Secure.

Güncelleştirmenin başarılı olduğunu doğrulama  

Önceki bölümdeki adımları başarıyla tamamladıktan ve cihazı yeniden başlattıktan sonra, güncelleştirmenin başarıyla uygulandığını doğrulamak için bu adımları izleyin. Doğrulama başarılı olduktan sonra cihazınız artık GRUB güvenlik açığından etkilenmez.

  1. Bu GitHub Gist web sayfasından DBX güncelleştirme doğrulama betiklerini indirin.

  2. Sıkıştırılmış dosyadan betikleri ve ikili dosyaları ayıklayın.

  3. DBX güncelleştirmesini doğrulamak için genişletilmiş betikleri ve ikili dosyaları içeren klasörde aşağıdaki PowerShell betiğini çalıştırın:

    Check-Dbx.ps1 '.\dbx-2021-April.bin' 

    Not: Bu iptal listesi dosya arşivinden Temmuz 2020 veya Ekim 2020 sürümleriyle eşleşen bir DBX güncelleştirmesi uygulandıysa, bunun yerine aşağıdaki uygun komutu çalıştırın:

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    '.\dbx-2020-October.bin' Check-Dbx.ps1 

  4. Çıkışın beklenen sonuçla eşleştiğinden emin olun.

    "Doğrulanıyor" adım 4 komut çıkışı

SSS

S1: "Get-SecureBootUEFI: Cmdlet'ler bu platformda desteklenmiyor" hata iletisi ne anlama gelir?

A1: Bu hata iletisi, bilgisayarda GÜVENLI Önyükleme özelliğinin etkinleştirilmediğini gösterir. Bu nedenle, bu cihaz GRUB güvenlik açığından ETKILENMEZ. Başka bir eyleme gerek yoktur.

S2: Cihazı üçüncü taraf UEFI CA'ya güvenecek veya güvenmeyecek şekilde yapılandıracak Nasıl yaparım?? 

A2: OEM satıcınıza başvurmanızı öneririz. 

Microsoft Surface için Güvenli Önyükleme ayarını "Yalnızca Microsoft" olarak değiştirin ve ardından aşağıdaki PowerShell komutunu çalıştırın (sonuç "Yanlış" olmalıdır): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Microsoft Surface için yapılandırma hakkında daha fazla bilgi için bkz. Surface UEFI ayarlarını yönetme - Surface | Microsoft Docs.

S3: Bu sorun Azure IaaS 1. Nesil ve 2. Nesil sanal makineleri etkiliyor mu? 

A3: Hayır. Azure konuk sanal makineleri 1. Nesil ve 2. Nesil, Güvenli Önyükleme özelliğini desteklemez. Bu nedenle, güven saldırısı zincirinden etkilenmez. 

S4: ADV200011 ve CVE-2020-0689, Güvenli Önyükleme ile ilgili güvenlik açığına mı başvurur? 

A: Hayır. Bu güvenlik önerileri farklı güvenlik açıklarını açıklar. "ADV200011", GRUB'da (Linux bileşeni) Güvenli Önyükleme atlamasına neden olabilecek bir güvenlik açığını ifade eder. "CVE-2020-0689", Güvenli Önyükleme'de var olan bir güvenlik özelliği atlama güvenlik açığını ifade eder. 

S5: PowerShell betiklerinden birini çalıştıramıyorum. Ne yapmalıyım?

A: Get-ExecutionPolicy komutunu çalıştırarak PowerShell yürütme ilkesini doğrulayın. Çıkışa bağlı olarak yürütme ilkesini güncelleştirmeniz gerekebilir:

Bu makalede ele alınan üçüncü taraf ürünler, Microsoft'un bağımsız şirketleri tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği konusunda zımni veya başka bir şekilde hiçbir garanti vermez. 

Microsoft, bu konu hakkında ek bilgi bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlar. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft, üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez. 

Şunlar için geçerlidir:

32 bit Sistemler
için Windows 10 Windows 10 x64 Tabanlı Sistemler
için Windows 10 32 Bit Sistemler
için Sürüm 2004 Windows 10 ARM64 Tabanlı Sistemler
için Sürüm 2004 Windows 10 x64 Tabanlı Sistemler
için Sürüm 2004 Windows 10 32- için Sürüm 1909 bit Sistemleri
Windows 10 ARM64 Tabanlı Sistemler
için Sürüm 1909 Windows 10 x64 Tabanlı Sistemler
için Sürüm 1909 Windows 10 32 Bit Sistemler
için Sürüm 1903 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1903 Windows 10 x64 Tabanlı Sistemler

için Sürüm 1903 Windows 10 32 bit Sistemler
için Sürüm 1809 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1809 Windows 10 x64 Tabanlı Sistemler
için Sürüm 1809 Windows 10 32 Bit Sistemler

için Sürüm 1803 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1803 Windows 10 x64 Tabanlı Sistemler

için Sürüm 1803 Windows 10 32 Bit Sistemler
için Sürüm 1709 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1709 Windows 10 x64 Tabanlı Sistemler

için Sürüm 1709 Windows 10 32 Bit Sistemler
için Sürüm 1607 Windows 10 x64 Tabanlı Sistemler
için Sürüm 1607 Windows 8.1 32 bit sistemler
için Windows 8.1 x64 tabanlı sistemler
için Windows RT 8.1
Windows Server, sürüm 2004 (Sunucu Çekirdeği yüklemesi)
Windows Server, sürüm 1909 (Sunucu Çekirdeği yüklemesi)
Windows Server, sürüm 1903 (Sunucu Çekirdeği yüklemesi)
Windows Server 2019
Windows Server 2019 (Sunucu Çekirdeği yüklemesi)
Windows Server 2016
Windows Server 2016 (Sunucu Çekirdeği yüklemesi)
R2 Windows Server 2012 R2
(Sunucu Çekirdeği yüklemesi)
Windows Server 2012
Windows Server 2012 Windows Server 2012 (Sunucu Çekirdeği yüklemesi)

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×