Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

ÖNEMLİ Normal aylık güncelleştirme sürecinizin bir parçası olarak 9 Nisan 2024 veya sonrasında yayımlanan Windows güvenlik güncelleştirmesini uygulamanız gerekir.

Bu makale, BlackLotus UEFI bootkit tarafından yararlanılan genel olarak açıklanmış bir Güvenli Önyükleme atlamasının risk azaltmalarını değerlendirmeye başlaması gereken kuruluşlar için geçerlidir. Buna ek olarak, proaktif bir güvenlik duruşu almak veya dağıtıma hazırlanmaya başlamak isteyebilirsiniz. Bu kötü amaçlı yazılımın cihaza fiziksel veya yönetici erişimi gerektirdiğini unutmayın.

DİKKAT Bu sorunun hafifletilmesi bir cihazda etkinleştirildikten sonra , yani azaltmalar uygulandı, bu cihazda Güvenli Önyükleme kullanmaya devam ederseniz geri alınamaz. Diskin yeniden biçimlendirilmesi bile, zaten uygulanmış olan iptalleri kaldırmaz. Bu makalede açıklanan iptalleri cihazınıza uygulamadan önce lütfen tüm olası etkilerin farkında olun ve kapsamlı bir şekilde test edin.

Bu makalede

Özet

Bu makalede CVE-2023-24932 tarafından izlenen BlackLotus UEFI önyükleme setini kullanan genel olarak açıklanan Güvenli Önyükleme güvenlik özelliği atlamasına karşı koruma, risk azaltmaların nasıl etkinleştirileceği ve önyüklenebilir medyayla ilgili yönergeler açıklanmaktadır. Bootkit, işletim sistemi başlatmasını denetlemek için bir cihaz önyükleme dizisinde mümkün olduğunca erken yüklenmek üzere tasarlanmış kötü amaçlı bir programdır.

Güvenli Önyükleme , Birleşik Genişletilebilir Bellenim Arabirimi'nden (UEFI) Windows çekirdeği Güvenilen Önyükleme dizisi aracılığıyla güvenli ve güvenilir bir yol oluşturmak için Microsoft tarafından önerilir. Güvenli Önyükleme, önyükleme sırasında bootkit kötü amaçlı yazılımlarının önlenmesine yardımcı olur. Güvenli Önyükleme'nin devre dışı bırakılması, bir cihazın bootkit kötü amaçlı yazılımdan etkilenme riskiyle karşı karşıya bırakır. CVE-2023-24932'de açıklanan Güvenli Önyükleme atlamasının düzeltilmesi için önyükleme yöneticilerinin iptali gerekir. Bu, bazı cihaz önyükleme yapılandırmalarında sorunlara neden olabilir.

CVE-2023-24932'de ayrıntılı olarak açıklanan Güvenli Önyükleme atlamalarına karşı azaltmalar, 9 Nisan 2024 veya sonrasında yayımlanan Windows güvenlik güncelleştirmelerine dahildir. Ancak, bu azaltmalar varsayılan olarak etkin değildir. Bu güncelleştirmelerle, ortamınızda bu değişiklikleri değerlendirmeye başlamanızı öneririz. Zamanlamanın tamamı güncelleştirmelerin zamanlaması bölümünde açıklanmıştır.

Bu azaltmaları etkinleştirmeden önce, bu makaledeki ayrıntıları ayrıntılı bir şekilde gözden geçirmeli ve azaltmaları etkinleştirmeniz mi yoksa Microsoft'tan gelecek bir güncelleştirmeyi mi beklemeniz gerektiğini belirlemeniz gerekir. Risk azaltmaları etkinleştirmeyi seçerseniz, cihazlarınızın güncelleştirildiğini ve hazır olduğunu doğrulamanız ve bu makalede açıklanan riskleri anlamanız gerekir. 

Eyleme Geç 

Bu sürüm için aşağıdaki adımlar izlenmelidir:

1. Adım: 9 Nisan 2024 veya sonrasında yayımlanan Windows güvenlik güncelleştirmesini desteklenen tüm sürümlere yükleyin.

2. Adım: Değişiklikleri ve bunların ortamınızı nasıl etkilediğini değerlendirin.

3. Adım: Değişiklikleri zorunlu kılma.

Etki Kapsamı

Güvenli Önyükleme korumaları etkinleştirilmiş tüm Windows cihazları BlackLotus bootkit'inden etkilenir. Windows'un desteklenen sürümleri için azaltmalar sağlanır. Tam liste için bkz. CVE-2023-24932.

Riskleri anlama

Kötü Amaçlı Yazılım Riski: Bu makalede açıklanan BlackLotus UEFI bootkit açığından yararlanılabilmesi için saldırganın bir cihazda yönetici ayrıcalıkları kazanması veya cihaza fiziksel erişim sağlaması gerekir. Bu, vm'lere/buluta erişmek için hiper yönetici kullanmak gibi cihaza fiziksel veya uzaktan erişerek yapılabilir. Saldırgan, zaten erişebileceği ve muhtemelen işleyebilecekleri bir cihazı denetlemeye devam etmek için bu güvenlik açığını yaygın olarak kullanır. Bu makaledeki risk azaltmalar önleyicidir ve düzeltici değildir. Cihazınızın güvenliği zaten tehlikeye girmişse yardım için güvenlik sağlayıcınıza başvurun.

Kurtarma Medyası: Risk azaltmaları uyguladıktan sonra cihazla ilgili bir sorunla karşılaşırsanız ve cihaz önyükleme yapılamaz hale gelirse, cihazınızı mevcut medyadan başlatamayabilir veya kurtaramayabilirsiniz. Kurtarma veya yükleme medyasının, risk azaltmaları uygulanmış bir cihazla çalışması için güncelleştirilmesi gerekir.

Üretici Yazılımı Sorunları: Windows bu makalede açıklanan azaltmaları uyguladığında, Güvenli Önyükleme değerlerini güncelleştirmek için cihazın UEFI üretici yazılımını kullanmalıdır (güncelleştirmeler Veritabanı Anahtarına (DB) ve Yasak İmza Anahtarı'na (DBX) uygulanır). Bazı durumlarda, güncelleştirmeleri başarısız olan cihazlarla ilgili deneyimimiz vardır. Bu önemli güncelleştirmeleri mümkün olduğunca çok cihazda test etmek için cihaz üreticileriyle birlikte çalışıyoruz.

NOT Olası üretici yazılımı sorunlarını algılamak için lütfen bu risk azaltmaları ortamınızdaki cihaz sınıfı başına tek bir cihazda test edin. Ortamınızdaki tüm cihaz sınıflarının değerlendirildiğini onaylamadan önce geniş kapsamlı dağıtım yapmayın.

BitLocker Kurtarma: Bazı cihazlar BitLocker kurtarmasına gidebilir. Risk azaltmaları etkinleştirmeden önce BitLocker kurtarma anahtarınızın bir kopyasını koruduğunuzdan emin olun.

Bilinen Sorunlar

Üretici Yazılımı Sorunları:Tüm cihaz üretici yazılımları Güvenli Önyükleme DB'sini veya DBX'i başarıyla güncelleştirmez. Farkında olduğumuz durumlarda, sorunu cihaz üreticisine bildirdik. Günlüğe kaydedilen olaylarla ilgili ayrıntılar için bkz . KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları. Üretici yazılımı güncelleştirmeleri için lütfen cihaz üreticisine başvurun. Cihaz desteklenmiyorsa, Microsoft cihazı yükseltmenizi önerir.

Bilinen üretici yazılımı sorunları:

NOT Aşağıdaki bilinen sorunların hiçbir etkisi yoktur ve 9 Nisan 2024 güncelleştirmelerinin yüklenmesini engellemez. Çoğu durumda, bilinen sorunların mevcut olduğu durumlarda risk azaltmalar uygulanmaz. Bilinen her sorunun ayrıntılarına bakın.

  • HP: HP, HP Z4G4 İş İstasyonu bilgisayarlarında risk azaltma yüklemesiyle ilgili bir sorun belirledi ve önümüzdeki haftalarda güncelleştirilmiş bir Z4G4 UEFI üretici yazılımı (BIOS) yayınlayacak. Azaltmanın başarıyla yüklenmesini sağlamak için, güncelleştirme kullanılabilir olana kadar Masaüstü İş İstasyonlarında engellenir. Müşterilerin risk azaltmayı uygulamadan önce her zaman en son sistem BIOS'larına güncelleştirmeleri gerekir.

  • Güvenliği Kesin Başlat:'a sahip HP cihazları: Bu cihazların risk azaltmaları yüklemek için HP'nin en son üretici yazılımı güncelleştirmelerine ihtiyacı vardır. Üretici yazılımı güncelleştirilene kadar azaltmalar engellenir. HP'ler destek sayfasından en son üretici yazılımı güncelleştirmesini yükleme — Resmi HP Sürücüleri ve Yazılım İndirme | HP Desteği.

  • Arm64 tabanlı cihazlar: Qualcomm tabanlı cihazlarda bilinen UEFI üretici yazılımı sorunları nedeniyle risk azaltmalar engellenir. Microsoft, bu sorunu çözmek için Qualcomm ile birlikte çalışmaktadır. Qualcomm, bu düzeltmeyi cihaz üreticilerine sağlayacaktır. Bu soruna yönelik bir düzeltme olup olmadığını belirlemek için cihaz üreticinize başvurun. Microsoft, sabit üretici yazılımı algılandığında cihazlarda risk azaltmaların uygulanmasına izin vermek için algılama ekler. Arm64 tabanlı cihazınızda Qualcomm üretici yazılımı yoksa, azaltmaları etkinleştirmek için aşağıdaki kayıt defteri anahtarını yapılandırın.

    Kayıt Defteri Alt Anahtarı

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Anahtar Değeri adı

    SkipDeviceCheck

    Veri Türü

    REG_DWORD

    Veri

    1

  • Apple:Apple T2 Güvenlik Yongası olan Mac bilgisayarlar Güvenli Önyükleme'yi destekler. Ancak UEFI güvenliğiyle ilgili değişkenleri güncelleştirmek yalnızca macOS güncelleştirmelerinin bir parçası olarak kullanılabilir. Boot Camp kullanıcılarının bu değişkenlerle ilgili olarak Windows'ta Olay Kimliği 1795'in olay günlüğü girdisini görmesi beklenir. Bu günlük girdisi hakkında daha fazla bilgi için bkz. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.

  • Vmware:VMware tabanlı sanallaştırma ortamlarında, Güvenli Önyükleme etkin x86 tabanlı işlemci kullanan bir VM, risk azaltmaları uygulandıktan sonra önyüklenmez. Microsoft, bu sorunu çözmek için VMware ile koordinedir.

  • TPM 2.0 tabanlı sistemler:  Windows Server 2012 ve R2 Windows Server 2012 çalıştıran bu sistemler, TPM ölçümleriyle ilgili bilinen uyumluluk sorunları nedeniyle 9 Nisan 2024 güvenlik güncelleştirmesinde yayımlanan azaltmaları dağıtamaz. 9 Nisan 2024 güvenlik güncelleştirmeleri, etkilenen sistemlerde 2 . (önyükleme yöneticisi) ve #3 (DBX güncelleştirmesi) risk azaltmalarını engeller.

    Microsoft sorunun farkındadır ve gelecekte TPM 2.0 tabanlı sistemlerin engellemesini kaldırmak için bir güncelleştirme yayımlanacaktır.

    TPM sürümünüzü denetlemek için Başlat'a sağ tıklayın, Çalıştır'a tıklayın ve tpm.msc yazın. Tpm Üretici Bilgileri'nin altındaki orta bölmenin sağ alt kısmında Belirtim Sürümü için bir değer görmeniz gerekir.

  • Symantec Uç Nokta Şifrelemesi: Symantec Uç Nokta Şifrelemesi'ni yükleyen sistemlere Güvenli Önyükleme risk azaltmaları uygulanamaz. Microsoft ve Symantec sorunun farkındadır ve gelecek güncelleştirmede ele alınacaktır.

Bu sürüm için yönergeler

Bu sürüm için bu iki adımı izleyin.

1. Adım: Windows güvenlik güncelleştirmesini

yükleme Desteklenen Windows cihazlarına 9 Nisan 2024 veya sonrasında yayımlanan Windows aylık güvenlik güncelleştirmesini yükleyin. Bu güncelleştirmeler CVE-2023-24932 için risk azaltmaları içerir ancak varsayılan olarak etkinleştirilmez. Azaltmaları dağıtmayı planlayıp planlamasanız da tüm Windows cihazları bu adımı tamamlamalıdır.

2. Adım: Değişiklikleri

değerlendirme Aşağıdakileri yapmanızı öneririz:

  • Güvenli Önyükleme DB'sini güncelleştirmeye ve önyükleme yöneticisini güncelleştirmeye izin veren ilk iki azaltmayı anlayın.

  • Güncelleştirilmiş zamanlamayı gözden geçirin.

  • Ortamınızdaki temsili cihazlara karşı ilk iki risk azaltmasını test edin.

  • 9 Temmuz 2024'te dağıtım aşaması için planlamaya başlayın.

3. Adım: Değişiklikleri zorunlu kılma

Riskleri Anlama bölümünde belirtilen riskleri anlamanızı öneririz.

  • Kurtarmanın ve diğer önyüklenebilir medyanın etkisini anlayın.

  • Önceki tüm Windows önyükleme yöneticileri için kullanılan imzalama sertifikasına güvenilmeyen üçüncü azaltmayı test edin.

Azaltma dağıtımı yönergeleri

Risk azaltmaları uygulamak için bu adımları izlemeden önce, desteklenen Windows cihazlarına 9 Nisan 2024 veya sonrasında yayımlanan Windows aylık hizmet güncelleştirmesini yükleyin. Bu güncelleştirme CVE-2023-24932 için risk azaltmaları içerir ancak varsayılan olarak etkinleştirilmez. Risk azaltmayı etkinleştirme planınızdan bağımsız olarak tüm Windows cihazları bu adımı tamamlamalıdır.

NOT BitLocker kullanıyorsanız, BitLocker kurtarma anahtarınızın yedeklenmiş olduğundan emin olun. Yönetici komut isteminden aşağıdaki komutu çalıştırabilir ve 48 basamaklı sayısal parolayı not alabilirsiniz:

manage-bde -protectors -get %systemdrive%

Güncelleştirmeyi dağıtmak ve iptalleri uygulamak için şu adımları izleyin:

  1. Güncelleştirilmiş sertifika tanımlarını DB'ye yükleyin.

    Bu adım UEFI "Güvenli Önyükleme İmzaSı Veritabanı" (DB) öğesine "Windows UEFI CA 2023" sertifikasını ekler. Bu sertifikayı VERITABANıNA ekleyerek cihaz üretici yazılımı bu sertifika tarafından imzalanan önyükleme uygulamalarına güvenir.

    1. Bir Yönetici komut istemi açın ve aşağıdaki komutu girerek regkey değerini db güncelleştirmesini gerçekleştirecek şekilde ayarlayın:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      ÖNEMLİ 2. ve 3. Adımlara geçmeden önce güncelleştirmeyi yüklemeyi tamamlamak için cihazı iki kez yeniden başlattığınızdan emin olun.

    2. Aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın ve DB'nin başarıyla güncelleştirildiğini doğrulayın. Bu komut True döndürmelidir.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Cihazınızda Önyükleme Yöneticisi'ni güncelleştirin.

    Bu adım, cihazınıza "'Windows UEFI CA 2023" sertifikasıyla imzalanan bir önyükleme yöneticisi uygulaması yükler.

    1. Yönetici komut istemini açın ve "'Windows UEFI CA 2023" imzalı önyükleme yöneticisini yüklemek için regkey'i ayarlayın:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Cihazı iki kez yeniden başlatın.

    3. Yönetici olarak, incelemeye hazır hale getirmek için EFI bölümünü bağlayın:

      mountvol s: /s

    4. "s:\efi\microsoft\boot\bootmgfw.efi" dosyasının "Windows UEFI CA 2023" sertifikası tarafından imzalandığını doğrulayın. Bunu yapmak için şu adımları izleyin:

      1. Başlat'a tıklayın, Arama kutusuna komut istemi yazın ve ardından Komut İstemi'ne tıklayın.

      2. Komut İstemi penceresinde aşağıdaki komutu yazın ve Enter tuşuna basın:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Dosya Yöneticisi'nde C:\bootmgfw_2023.efi dosyasına sağ tıklayın, Özellikler'e tıklayın ve dijital imzalar sekmesini seçin.

      4. İmza listesinde, sertifika zincirinin Windows UEFI CA 2023 içerdiğini onaylayın. Sertifika zinciri aşağıdaki ekran görüntüsüyle eşleşmelidir:

        Sertifika

  3. İptali etkinleştirin.

    UEFI Yasak Listesi (DBX), güvenilmeyen UEFI modüllerinin yüklenmesini engellemek için kullanılır. Bu adımda DBX güncelleştirilirken DBX'e "Windows Production CA 2011" sertifikası eklenir. Bu, bu sertifika tarafından imzalanan tüm önyükleme yöneticilerinin artık güvenilir olmamasına neden olur.

    UYARI: Üçüncü risk azaltmayı uygulamadan önce, sistemi önyüklemek için kullanılabilecek bir kurtarma flash sürücüsü oluşturun. Bunun nasıl yapılacağını öğrenmek için Windows yükleme medyasını güncelleştirme bölümüne bakın.

    Sisteminiz önyüklenemez bir duruma geçerse, cihazı iptal öncesi durumuna sıfırlamak için Kurtarma yordamı bölümündeki adımları izleyin.

    1. "Windows Production PCA 2011" sertifikasını Güvenli Önyükleme UEFI Yasak Listesi'ne (DBX) ekleyin. Bunu yapmak için, Yönetici olarak bir Komut İstemi penceresi açın, aşağıdaki komutu yazın ve Enter tuşuna basın:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Cihazı iki kez yeniden başlatın ve tamamen yeniden başlatıldığını onaylayın.

    3. Olay günlüğünde olay 1037'yi arayarak yükleme ve iptal listesinin başarıyla uygulandığını doğrulayın.

      Olay 1037 hakkında bilgi için bkz. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları. Veya aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın ve Doğru döndürdüğünden emin olun:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Önyüklenebilir medya

Ortamınızda Dağıtım Aşaması başladıktan sonra önyüklenebilir medyayı güncelleştirmeniz önemlidir. Dağıtım Aşaması için medyayı güncelleştirmeye yönelik kılavuz ve araçlar zamanında sağlanacaktır. Dağıtım Aşaması 9 Temmuz 2024'te başlayacak şekilde zamanlanmıştır.

Bu sorundan etkilenen önyüklenebilir medya ve kurtarma medyası örnekleri:

  • Kurtarma sürücüsü oluştur kullanılarak oluşturulan önyüklenebilir medya.

  • Azaltmalar uygulanmadan önce görüntülenen Windows yedekleri. Bunlar, iptaller cihazınızda etkinleştirildikten sonra Windows yüklemenizi geri yüklemek için doğrudan kullanılamaz.

  • Sizin, cihaz üreticiniz (OEM) veya kuruluşlar tarafından oluşturulan özel CD/DVD veya kurtarma bölümü.

  • ISO (indirme yoluyla veya ADK kullanarak).

  • Ağ Önyüklemesi:

    • Windows Dağıtım Hizmetleri.

    • Önyükleme Öncesi Yürütme Ortamı önyükleme hizmetleri (PXE önyükleme hizmetleri).

    • Microsoft Dağıtım Araç Seti.

    • HTTPS Önyüklemesi.

  • OEM yükleme ve kurtarma medyası.

  • Microsoft'un resmi Windows medyası:

  • Windows PE.

  • Fiziksel donanıma veya sanal makinelere yüklenen Windows.

  • Windows Doğrulama İşletim Sistemi.

Kişisel bir Windows cihazıyla önyüklenebilir medya kullanıyorsanız, iptalleri uygulamadan önce aşağıdakilerden birini veya daha fazlasını yapmanız gerekebilir:

  • Cihazınızın içeriğini kaydetmek için kişisel yedekleme yazılımı kullanıyorsanız, 9 Nisan 2024 risk azaltmalarını uyguladıktan sonra eksiksiz bir yedekleme çalıştırdığınızdan emin olun.

  • Önyüklenebilir disk görüntüsü (ISO), CD-ROM veya DVD medyası kullanıyorsanız, daha sonraki bir tarihte sağlanacak yönergeleri izleyerek medyayı güncelleştirin.

Enterprise

  • Windows yükleme medyasını Dinamik Güncelleştirme ile güncelleştirme için kapsamlı yönergelere ve betiklere bakın.

  • Ortamınızda ağ önyükleme veya kurtarma senaryolarını destekliyorsanız tüm medya ve görüntüleri güncelleştirmeniz gerekir. Bu, aşağıdaki önyükleme veya kurtarma seçeneklerini içerebilir:

    • Microsoft Dağıtım Araç Seti.

    • Microsoft Endpoint Configuration Manager.

    • Windows Dağıtım Hizmetleri.

    • PxE Önyüklemesi.

    • HTTPS önyüklemesi ve diğer ağ önyükleme senaryoları.

  • Bunun bir yolu, bu senaryolar tarafından sunulan görüntülerde DISM çevrimdışı paket yüklemesini kullanmaktır. Bu, bu hizmetler tarafından sunulan önyükleme dosyalarının güncelleştirilmesini içerir.

  • Windows yüklemenizin içeriğini bir kurtarma görüntüsüne kaydetmek için yedekleme yazılımı kullanıyorsanız, 9 Nisan 2024 risk azaltmalarını uyguladıktan sonra eksiksiz bir yedekleme çalıştırdığınızdan emin olun. Windows işletim sistemi bölümüne ek olarak EFI disk bölümünü yedeklemeyi unutmayın. 9 Nisan 2024 risk azaltmalarını uygulamadan önce yapılan yedeklemeleri ve azaltmaları uyguladıktan sonra yapılan yedeklemeleri net bir şekilde belirleyin.

Windows PC OEM'leri

Windows yükleme medyası güncelleştiriliyor

NOT Önyüklenebilir bir flash sürücü oluştururken FAT32 dosya sistemini kullanarak sürücüyü biçimlendirdiğinizden emin olun.

Bu adımları izleyerek Kurtarma Sürücüsü Oluştur uygulamasını kullanabilirsiniz. Bu medya, donanım hatası gibi önemli bir sorun olması durumunda bir cihazı yeniden yüklemek için kullanılabilir. Windows'un yeniden yüklenmesi için kurtarma sürücüsünü kullanabilirsiniz.

  1. 9 Nisan 2024 güncelleştirmelerinin ve ilk risk azaltma adımının (Güvenli Önyükleme DB'yi güncelleştirme) uygulandığı bir cihaza gidin.

  2. Başlat Menüsünde "Kurtarma Sürücüsü Oluştur" denetim masası uygulaması için arama yapın ve bir kurtarma sürücüsü oluşturmak için yönergeleri izleyin.

  3. Yeni oluşturulan flash sürücü takılı olduğundan (örneğin, "D:" sürücüsü olarak), yönetici olarak aşağıdaki komutları çalıştırın. Aşağıdaki komutların her birini yazın ve Enter tuşuna basın:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ortamınızdaki yüklenebilir medyayı Windows yükleme medyasını Dinamik Güncelleştirme ile güncelleştirme yönergelerini kullanarak yönetiyorsanız, aşağıdaki adımları izleyin. Bu ek adımlar, "Windows UEFI CA 2023" imzalama sertifikası tarafından imzalanan önyükleme dosyalarını kullanan önyüklenebilir bir flash sürücü oluşturur.

  1. 9 Nisan 2024 güncelleştirmelerinin ve ilk risk azaltma adımının (Güvenli Önyükleme DB'yi güncelleştirme) uygulandığı bir cihaza gidin.

  2. 9 Nisan 2024 güncelleştirmeleriyle medya oluşturmak için aşağıdaki bağlantıdaki adımları izleyin. Dinamik Güncelleştirme ile Windows yükleme medyası güncelleştirme

  3. Medyanın içeriğini bir USB başparmak sürücüsüne yerleştirin ve başparmak sürücüsünü sürücü harfi olarak bağlayın. Örneğin, başparmak sürücüsünü "D:" olarak bağlayın.

  4. Bir komut penceresinden aşağıdaki komutları yönetici olarak çalıştırın. Aşağıdaki komutların her birini yazın ve Enter tuşuna basın.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Bir cihazda, risk azaltmaları uygulandıktan sonra Güvenli Önyükleme ayarları varsayılanlara sıfırlanırsa cihaz önyüklemez. Bu sorunu çözmek için, "Windows UEFI CA 2023" sertifikasını DB'ye yeniden uygulamak için kullanılabilecek bir onarım uygulaması 9 Nisan 2024 güncelleştirmelerine eklenmiştir (azaltma #1).

NOT Bu onarım uygulamasını Bilinen Sorunlar bölümünde açıklanan bir cihazda veya sistemde kullanmayın.

  1. 9 Nisan 2024 güncelleştirmelerinin uygulandığı bir cihaza gidin.

  2. Komut penceresinde, aşağıdaki komutları kullanarak kurtarma uygulamasını flash sürücüye kopyalayın (flash sürücünün "D:" sürücüsü olduğu varsayılır). Her komutu ayrı olarak yazıp Enter tuşuna basın:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Güvenli Önyükleme ayarlarının varsayılanlara sıfırlanması gereken cihazda flash sürücüyü takın, cihazı yeniden başlatın ve flash sürücüden önyükleme yapın.

Güncelleştirmelerin zamanlaması

Güncelleştirmeler aşağıdaki gibi yayınlanmıştır:

  • İlk Dağıtım Bu aşama, 9 Mayıs 2023'te yayınlanan güncelleştirmelerle başladı ve bu azaltmaları etkinleştirmek için el ile gerçekleştirilen adımlarla temel azaltmalar sağladı.

  • İkinci Dağıtım Bu aşama, 11 Temmuz 2023'te yayımlanan güncelleştirmelerle başladı ve bu güncelleştirmeler, soruna yönelik azaltmaları etkinleştirmek için basitleştirilmiş adımlar ekledi.

  • Değerlendirme Aşaması Bu aşama 9 Nisan 2024'e başlayacak ve ek önyükleme yöneticisi risk azaltmaları ekleyecektir.

  • Son Dağıtım Aşaması Bu noktada tüm müşterileri risk azaltmaları dağıtmaya ve medyayı güncelleştirmeye başlamaya teşvik edeceğiz.

  • Zorlama Aşaması Azaltmaları kalıcı hale getiren Zorlama Aşaması. Bu aşamanın tarihi sonraki bir tarihte duyurulacaktır.

Not Sürüm zamanlaması gerektiği gibi düzeltilebilir.

Bu aşama, 9 Nisan 2024 veya sonrasındaki Windows güvenlik güncelleştirmeleri sürümü tarafından değiştirildi.

Bu aşama, 9 Nisan 2024 veya sonrasındaki Windows güvenlik güncelleştirmeleri sürümü tarafından değiştirildi.

Bu aşamada, değişikliklerin temsili örnek cihazlarla doğru çalıştığından emin olmak ve değişikliklerle ilgili deneyim elde etmek için bu değişiklikleri ortamınızda test etmenizi istiyoruz.

NOT Önceki dağıtım aşamalarında yaptığımız gibi, güvenlik açığı olan önyükleme yöneticilerini kapsamlı bir şekilde listelemeye ve güvenilmez duruma getirmeye çalışmak yerine, bu sertifika tarafından imzalanan tüm önyükleme yöneticilerine güvenmemek için Güvenli Önyükleme İzin Verme Listesi'ne (DBX) "Windows Üretim PCA 2011" imzalama sertifikasını ekliyoruz. Bu, önceki tüm önyükleme yöneticilerinin güvenilmeyen olduğundan emin olmak için daha güvenilir bir yöntemdir.

9 Nisan 2024 tarihinde veya sonrasında yayımlanan Windows için Güncelleştirmeler aşağıdakileri ekleyin:

  • 2023'te yayımlanan azaltmaların yerini alan üç yeni azaltma denetimi. Yeni risk azaltma denetimleri şunlardır:

    • Bu sertifika tarafından imzalanan Windows önyükleme yöneticilerine güven eklemek için "Windows UEFI CA 2023" sertifikasını Güvenli Önyükleme VERITABANıNA dağıtma denetimi. "Windows UEFI CA 2023" sertifikasının önceki bir Windows güncelleştirmesi tarafından yüklenmiş olabileceğini unutmayın.

    • "Windows UEFI CA 2023" sertifikası tarafından imzalanan bir önyükleme yöneticisini dağıtma denetimi.

    • Güvenli Önyükleme DBX'e "Windows Üretim PCA 2011" ekleme denetimi, bu sertifika tarafından imzalanan tüm Windows önyükleme yöneticilerini engeller.

  • Azaltmaları ortamınızda ihtiyaçlarınıza göre dağıtma konusunda daha fazla denetime olanak tanımak için aşamalı olarak azaltma dağıtımını etkinleştirme olanağı.

  • Azaltmalar birbirine kilitlenir, böylece yanlış sırada dağıtılamazlar.

  • Azaltmaları uygularken cihazların durumunu bilmek için ek olaylar. Olaylar hakkında daha fazla bilgi için bkz. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.

Bu aşama, müşterilerin azaltmaları dağıtmaya ve medya güncelleştirmelerini yönetmeye başlamasını teşvik ettiğimiz aşamadır. Güncelleştirmeler aşağıdaki değişiklikleri ekler:

  • Medyayı güncelleştirmeye yardımcı olacak rehberlik ve araçlar.

  • DBX bloğu, ek önyükleme yöneticilerini iptal etmek için güncelleştirildi.

Zorlama Aşaması, Dağıtım Aşamasından en az altı ay sonra olacaktır. Güncelleştirmeler Zorlama Aşaması için yayımlandığında aşağıdakileri içerir:

  • "Windows Production PCA 2011" sertifikası, uyumlu cihazlarda Güvenli Önyükleme UEFI Yasak Listesi'ne (DBX) eklenerek otomatik olarak iptal edilir. Bu güncelleştirmeler, Windows güncelleştirmeleri devre dışı bırakılmadan etkilenen tüm sistemlere yüklendikten sonra program aracılığıyla uygulanır.

CVE-2023-24932 ile ilgili Windows Olay günlüğü hataları

DB ve DBX'i güncelleştirmeyle ilgili Windows Olay günlüğü girişleri KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları bölümünde ayrıntılı olarak açıklanmıştır.

Risk azaltmaları uygulamayla ilgili "başarılı" olaylar aşağıdaki tabloda listelenmiştir.

Azaltma Adımı

Olay Kimliği

Notlar

VERITABANı güncelleştirmesini uygulama

1036

PCA2023 sertifikası db'ye eklendi.

Önyükleme yöneticisini güncelleştirme

1799

İmzalı PCA2023 önyükleme yöneticisi uygulandı.

DBX güncelleştirmesini uygulama

1037

PCA2011 imzalama sertifikasına güvenilmeyen DBX güncelleştirmesi uygulandı.

Sık Sorulan Sorular (SSS)

İptalleri uygulamadan önce 9 Nisan 2024 tarihinde veya sonrasında yayımlanan güncelleştirmelerle tüm Windows işletim sistemlerini güncelleştirin. İptalleri uyguladıktan sonra 9 Nisan 2024'te yayımlanan en az güncelleştirmelere güncelleştirilmemiş windows sürümlerini başlatamayabilirsiniz. Önyükleme Sorunlarını Giderme bölümündeki yönergeleri izleyin.

Önyükleme sorunlarını giderme bölümüne bakın.

Önyükleme sorunlarını giderme

Üç azaltma da uygulandıktan sonra cihaz üretici yazılımı, Windows Production PCA 2011 tarafından imzalanan bir önyükleme yöneticisi kullanılarak önyükleme yapılmaz. Üretici yazılımı tarafından bildirilen önyükleme hataları cihaza özeldir. Lütfen Kurtarma yordamı bölümüne bakın.

Kurtarma yordamı

Risk azaltmaları uygularken bir sorun olursa ve cihazınızı başlatamıyorsanız veya dış medyadan (başparmak sürücüsü veya PXE önyüklemesi gibi) başlamanız gerekiyorsa aşağıdaki önerileri deneyin:

  1. Güvenli Önyükleme'i kapatın.

    Bu yordam, cihaz üreticileri ve modelleri arasında farklılık gösterir. Cihazlarınız UEFI BIOS menüsüne girin ve Güvenli Önyükleme ayarlarına gidin ve kapatın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Daha ayrıntılı bilgi için bkz. Güvenli Önyüklemeyi Devre Dışı Bırakma.

  2. Güvenli Önyükleme anahtarlarını fabrika varsayılanlarına sıfırlayın.

    Cihaz güvenli önyükleme anahtarlarını fabrika varsayılanlarına sıfırlamayı destekliyorsa, bu eylemi şimdi gerçekleştirin.

    NOT Bazı cihaz üreticileri, Güvenli Önyükleme değişkenleri için hem "Temizle" hem de "Sıfırla" seçeneğine sahiptir ve bu durumda "Sıfırla" kullanılmalıdır. Amaç, Güvenli Önyükleme değişkenlerini üreticilerin varsayılan değerlerine geri döndürmektir.

    Cihazınız şimdi başlatılmalıdır ancak önyükleme seti kötü amaçlı yazılımlarına karşı savunmasız olduğunu unutmayın. Güvenli Önyükleme'yi yeniden etkinleştirmek için bu kurtarma işleminin 5. adımını tamamladığınızdan emin olun.

  3. Windows'ı sistem diskinden başlatmayı deneyin.

    1. Windows'ta oturum açma.

    2. EFI sistem önyükleme bölümündeki önyükleme dosyalarını geri yüklemek için bir Yönetici komut isteminden aşağıdaki komutları çalıştırın. Her komutu ayrı olarak yazıp Enter tuşuna basın:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. BCDBoot çalıştırılırken "Önyükleme dosyaları başarıyla oluşturuldu" döndürür. Bu ileti görüntülendikten sonra cihazı Windows'a geri başlatın.

  4. 3. Adım cihazı başarıyla kurtarmazsa Windows'ı yeniden yükleyin.

    1. Cihazı mevcut kurtarma medyasından başlatın.

    2. Kurtarma medyasını kullanarak Windows'u yüklemeye devam edin.

    3. Windows'ta oturum açma.

    4. Cihazın Windows'a geri döndüğünü doğrulamak için Windows'ı yeniden başlatın.

  5. Güvenli Önyükleme'yi yeniden etkinleştirin ve cihazı yeniden başlatın.

    Cihaz UEFI menüsünü girin ve Güvenli Önyükleme ayarlarına gidin ve açın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Daha fazla bilgi için "Güvenli Önyüklemeyi Yeniden Etkinleştir" bölümüne bakın.

Başvurular

Bu makalede belirtilen üçüncü taraf ürünler, Microsoft’tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliği hakkında zımni veya başka bir şekilde hiçbir garanti vermeyeceğiz.

Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.

Değişiklik tarihi

Değişikliğin açıklaması

9 Nisan 2024

  • Yordamlarda, bilgilerde, yönergelerde ve tarihlerde kapsamlı değişiklikler. Bu tarihte yapılan kapsamlı değişikliklerin sonucunda önceki bazı değişikliklerin kaldırıldığını unutmayın.

16 Aralık 2023, Cumartesi

  • "Güncelleştirmelerin zamanlaması" bölümünde üçüncü dağıtım ve zorlama için sürüm tarihleri düzeltildi.

15 Mayıs 2023, Mayıs 2023, Mayıs 2023, Mayıs 2023, Mayıs

  • Desteklenmeyen işletim sistemi Windows 10, sürüm 21H1 "Şunlar için geçerlidir" bölümünden kaldırıldı.

11 Mayıs 2023, Mayıs 2023, Mayıs 2023, Mayıs 2023, Saat

  • Windows 11, sürüm 21H2 veya 22H2'ye veya Windows 10 bazı sürümlerine yükseltme hakkında "Dağıtım yönergeleri" bölümünde 1. Adıma DİkKAT notu eklendi.

10 Mayıs 2023, Mayıs 2023

  • İndirilebilir Windows medyasının en son Toplu Güncelleştirmeler ile güncelleştirildiğinin yakında kullanıma sunulacağı açıklandı.

  • "Yasak" sözcüğünün yazım denetimi düzeltildi.

9 Mayıs 2023, Mayıs 2023

  • "Şunlar için geçerlidir" bölümüne desteklenen başka sürümler eklendi.

  • "Eyleme Geç" bölümünün 1. Adımı güncelleştirildi.

  • "Dağıtım yönergeleri" bölümünün 1. adımı güncelleştirildi.

  • "Dağıtım yönergeleri" bölümünün 3a. Adımındaki komutlar düzeltildi.

  • "Önyükleme sorunlarını giderme" bölümünde Hyper-V UEFI görüntülerinin yerleşimi düzeltildi.

27 Haziran 2023, Ağustos 2023, Temmuz 2023, Temmuz 2023, Temmuz

  • "Dağıtım yönergeleri" bölümünde 1. Adım:Yükleme altında bir etkinleştirme paketi kullanan Windows 10'den sonraki bir Windows 10 sürümüne güncelleştirmeyle ilgili not kaldırıldı.

11 Temmuz 2023

  • "9 Mayıs 2023" tarihinin örnekleri "11 Temmuz 2023", "9 Mayıs 2023 ve 11 Temmuz 2023" veya "9 Mayıs 2023 veya üzeri" olarak güncelleştirildi.

  • "Dağıtım yönergeleri" bölümünde, WinRE bölümlerini güncelleştirmek için tüm SafeOS dinamik güncelleştirmelerinin kullanıma sunulduğuna dikkat ediyoruz. Ayrıca, sorun SafeOS dinamik güncelleştirmelerinin yayımlanmasıyla çözüldüğünden DİkKAT kutusu kaldırıldı.

  • "3. İptalleri UYGULA" bölümünde yönergeler düzeltilmiştir.

  • "Windows Olay günlüğü hataları" bölümünde Olay Kimliği 276 eklenir.

25 Ağustos 2023, Ağustos 2023

  • Çeşitli ifade bölümleri güncelleştirildi ve 11 Temmuz 2023 sürümü ve gelecekteki 2024 sürüm bilgileri eklendi.

  • "Önyüklenebilir Medyanızla ilgili sorunları önleme" bölümünden "Önyüklenebilir medya güncelleştiriliyor" bölümüne kadar bazı içerikleri yeniden düzenleyin.

  • "Güncelleştirmelerin zamanlaması" bölümü, düzeltilmiş dağıtım tarihleri ve bilgileriyle güncelleştirildi.
Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×