Orijinal yayınlama tarihi: Mayıs 9, 2023
KB Kimliği: 5025885
ÖNEMLİ Normal aylık güncelleştirme işleminizin bir parçası olarak 8 Temmuz 2025'te yayımlanan Windows güvenlik güncelleştirmesini veya sonraki bir güncelleştirmeyi uygulamanız gerekir.
Bu makale, BlackLotus UEFI önyükleme kiti tarafından kullanılan, kamuya açıklanmış bir Güvenli Önyükleme atlaması için azaltmaları değerlendirmeye başlaması gereken kuruluşlar için geçerlidir. Ek olarak, proaktif bir güvenlik duruşu sergilemek veya dağıtıma hazırlanmaya başlamak isteyebilirsiniz. Bu kötü amaçlı yazılımın cihaza fiziksel veya yönetici erişimi gerektirdiğini unutmayın.
DİKKAT Bir cihazda bu sorunun azaltma özelliği etkinleştirildikten, yani risk azaltıcı etkenler uygulandıktan sonra o cihazda Güvenli Önyükleme'yi kullanmaya devam ederseniz sorun geri alınamaz. Diskin yeniden biçimlendirilmesi bile, zaten uygulanmışsa iptalleri kaldırmaz. Lütfen tüm olası sonuçların farkında olun ve bu makalede özetlenen iptalleri cihazınıza uygulamadan önce kapsamlı bir şekilde test edin.
Bu makalede
Özet
Bu makalede, CVE-2023-24932 tarafından izlenen BlackLotus UEFI önyükleme kitini kullanan, herkese açık olarak açıklanan Güvenli Önyükleme güvenlik özelliğinin atlanmasına karşı koruma, azaltıcı etkenlerin nasıl etkinleştirileceği ve önyüklenebilir ortamlarla ilgili yönergeler açıklanmaktadır. Bootkit, işletim sisteminin başlatılmasını denetlemek için bir aygıtın önyükleme sırasında olabildiğince erken yüklenmek üzere tasarlanmış kötü amaçlı bir programdır.
Güvenli Önyükleme , Birleşik Genişletilebilir Bellenim Arabirimi'nden (UEFI) Windows çekirdeği Güvenilir Önyükleme dizisine kadar güvenli ve güvenilir bir yol oluşturmak için Microsoft tarafından önerilir. Güvenli Önyükleme, önyükleme sırasında bootkit kötü amaçlı yazılımlarını engellemeye yardımcı olur. Güvenli Önyükleme'yi devre dışı bırakmak, cihazı bootkit kötü amaçlı yazılımlarından etkilenme riskine sokar. CVE-2023-24932'de açıklanan Güvenli Önyükleme atlamasını düzeltmek, önyükleme yöneticilerinin iptal edilmesini gerektirir. Bu, bazı cihaz önyükleme yapılandırmalarında sorunlara neden olabilir.
CVE-2023-24932'de ayrıntıları verilen Güvenli Önyükleme atlamasına yönelik azaltıcı etkenler, 9 Temmuz 2024'te yayımlanan Windows güvenlik güncelleştirmelerine ve sonraki güncelleştirmelere dahildir. Ancak, bu risk azaltıcı etkenler varsayılan olarak etkin değildir. Bu güncelleştirmelerle, bu değişiklikleri ortamınızın içinde değerlendirmeye başlamanızı öneririz. Zamanlamanın tamamı, Güncelleştirmelerin zamanlaması bölümünde açıklanmaktadır.
Bu azaltmaları etkinleştirmeden önce, bu makaledeki ayrıntıları iyice gözden geçirmeli ve azaltıcı etkenleri etkinleştirmeniz veya Microsoft'tan gelecekteki bir güncelleştirmeyi beklemeniz gerekip gerekmediğine karar vermelisiniz. Azaltmaları etkinleştirmeyi seçerseniz, cihazlarınızın güncel ve hazır olduğunu doğrulamanız ve bu makalede açıklanan riskleri anlamanız gerekir.
Harekete Geçin
|
Bu sürüm için aşağıdaki adımlar izlenmelidir: 1. Adım: Desteklenen tüm sürümlerde 8 Temmuz 2025'te yayınlanan Windows güvenlik güncelleştirmesini veya sonraki bir güncelleştirmeyi yükleyin. 2. Adım: Değişiklikleri ve ortamınızı nasıl etkilediklerini değerlendirin. |
Etki Kapsamı
Güvenli Önyükleme korumaları etkinleştirilmiş tüm Windows cihazları BlackLotus önyükleme kitinden etkilenir. Windows'un desteklenen sürümleri için risk azaltıcı etkenler vardır. Tam liste için lütfen CVE-2023-24932'ye bakın.
Riskleri anlamak
Kötü Amaçlı Yazılım Riski: Bu makalede açıklanan BlackLotus UEFI bootkit açığının mümkün olması için, bir saldırganın bir cihazda yönetici ayrıcalıkları elde etmesi veya cihaza fiziksel erişim elde etmesi gerekir. Bu, VM'lere/buluta erişmek için bir hiper yönetici kullanmak gibi cihaza fiziksel veya uzaktan erişerek yapılabilir. Saldırganlar genellikle bu güvenlik açığını, zaten erişebildiği ve muhtemelen manipüle edebildiği bir cihazın denetimini sürdürmek için kullanır. Bu makaledeki risk azaltıcı etkenler önleyici niteliktedir ve düzeltici değildir. Cihazınızın güvenliği ihlal edildiyse yardım için güvenlik sağlayıcınıza başvurun.
Kurtarma Medyası: Risk azaltıcı etkenleri uyguladıktan sonra cihazla ilgili bir sorunla karşılaşırsanız ve cihaz önyüklenemez hale gelirse, cihazınızı başlatamayabilir veya mevcut medyadan kurtaramayabilirsiniz. Kurtarma veya yükleme medyasının, risk azaltmaların uygulandığı bir cihazla çalışması için güncelleştirilmesi gerekir.
Üretici Yazılımı Sorunları: Windows bu makalede açıklanan risk azaltıcı etkenleri uyguladığında, Güvenli Önyükleme değerlerini güncelleştirmek için aygıtın UEFI üretici yazılımına güvenmelidir (güncelleştirmeler, Veritabanı Anahtarına (DB) ve Yasak İmza Anahtarına (DBX) uygulanır). Bazı durumlarda, güncelleştirmeleri geçemeyen cihazlarla deneyimimiz var. Bu önemli güncelleştirmeleri mümkün olduğunca çok sayıda cihazda test etmek için cihaz üreticileriyle birlikte çalışıyoruz.
DİKKAT Olası üretici yazılımı sorunlarını belirlemek için lütfen önce bu azaltmaları ortamınızdaki cihaz sınıfı başına tek bir cihazda test edin. Ortamınızdaki tüm cihaz sınıflarının değerlendirildiğini onaylamadan geniş çaplı dağıtım yapmayın.
BitLocker Kurtarma: Bazı cihazlar BitLocker kurtarma işlemine girebilir. Azaltmaları etkinleştirmeden önce BitLocker kurtarma anahtarınızın bir kopyasını sakladığınızdan emin olun.
Bilinen Sorunlar
Üretici Yazılımı Sorunları:Tüm cihaz üretici yazılımları, Güvenli Önyükleme DB'sini veya DBX'i başarıyla güncellemez. Farkına vardığımız durumlarda, sorunu cihaz üreticisine bildirdik. Günlüğe kaydedilen etkinliklerle ilgili ayrıntılar için KB5016061: Secure Boot DB ve DBX değişken güncelleştirme etkinlikleri başlıklı makaleye bakın. Üretici yazılımı güncelleştirmeleri için lütfen cihaz üreticisiyle iletişime geçin. Cihaz desteklenmiyorsa, Microsoft cihazı yükseltmenizi önerir.
Bilinen üretici yazılımı sorunları:
DİKKAT Aşağıdaki bilinen sorunların 8 Temmuz 2025 veya sonraki güncelleştirmelerin yüklenmesini etkilemeyecek ve engellemeyecektir. Çoğu durumda, azaltıcı etkenler bilinen sorunların olduğu yerlerde geçerli olmaz. Bilinen her sorunda belirtilen ayrıntılara bakın.
-
Sure Start Security'ye sahip HP aygıtları: Bu aygıtlar, azaltıcı etkenleri yüklemek için HP'den en son ürün yazılımı güncellemelerine ihtiyaç duyar. Üretici yazılımı güncelleştirilene kadar risk azaltıcı etkenler engellenir. HP'nin destek sayfasından en son ürün yazılımı güncellemesini yükleyin sayfası — Resmi HP Sürücülerini ve Yazılımını İndirme | HP Desteği.
-
Arm64 tabanlı cihazlar: Azaltmalar, Qualcomm tabanlı cihazlarla ilgili bilinen UEFI üretici yazılımı sorunları nedeniyle engellenir. Microsoft, bu sorunu çözmek için Qualcomm ile birlikte çalışmaktadır. Qualcomm, cihaz üreticilerine düzeltmeyi sağlayacaktır. Bu sorun için bir düzeltme sağlanıp sağlanmadığını belirlemek için cihaz üreticinize başvurun. Microsoft, sabit üretici yazılımı algılandığında azaltıcı etkenlerin cihazlara uygulanmasına izin vermek için algılama ekleyecektir. Arm64 tabanlı cihazınızda Qualcomm üretici yazılımı yoksa risk azaltma etkenlerini etkinleştirmek için aşağıdaki kayıt defteri anahtarını yapılandırın.
Kayıt Defteri Alt Anahtarı
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Anahtar Değer adı
CihazKontrolünü Atla
Veri Türü
REG_DWORD
Veri
1
-
Elma:Apple T2 Güvenlik yongasına sahip Mac bilgisayarlar Güvenli Başlatma'yı destekler. Ancak, UEFI güvenlikle ilgili değişkenlerin güncellenmesi yalnızca macOS güncellemelerinin bir parçası olarak kullanılabilir. Boot Camp kullanıcılarının Windows'ta bu değişkenlerle ilgili Olay Kimliği 1795 olay günlüğü girişini görmeleri beklenir. Bu günlük girdisi hakkında daha fazla bilgi için bkz. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.
-
VMware:VMware tabanlı sanallaştırma ortamlarında, Güvenli Önyükleme etkinleştirilmiş x86 tabanlı işlemci kullanan bir VM, risk azaltma önlemlerini uyguladıktan sonra önyükleme yapamaz. Microsoft, bu sorunu çözmek için VMware ile birlikte çalışmaktadır.
-
TPM 2.0 tabanlı sistemler: Windows Server 2012 ve Windows Server 2012 R2 çalıştıran bu sistemler, TPM ölçümleriyle ilgili bilinen uyumluluk sorunları nedeniyle 9 Temmuz 2024 veya sonraki güvenlik güncelleştirmesinde yayımlanan risk azaltma önlemlerini dağıtamaz. 9 Temmuz 2024 veya sonraki güvenlik güncelleştirmesi, etkilenen sistemlerde #2 (önyükleme yöneticisi) ve #3 (DBX güncelleştirmesi) azaltmalarını engeller.Microsoft bu sorunun farkındadır ve gelecekte TPM 2.0 tabanlı sistemlerin engellemesini kaldırmak için bir güncelleştirme yayımlanacaktır.TPM sürümünüzü denetlemek için Başlat'a sağ tıklayın, Çalıştır'a tıklayın ve ardından tpm.msc yazın. TPM Üretici Bilgileri altındaki orta bölmenin sağ alt kısmında, Belirtim Sürümü için bir değer görmelisiniz.
-
Symantec Uç Nokta Şifrelemesi: Güvenli Önyükleme azaltmaları, Symantec Endpoint Encryption yüklemiş olan sistemlere uygulanamaz. Microsoft ve Symantec sorunun farkındadır ve gelecek güncelleştirmede çözülecektir.
Bu sürümün yönergeleri
Bu sürüm için şu adımları izleyin.
1. Adım: Windows güvenlik güncelleştirmesini yükleyin Desteklenen Windows cihazlarına 8 Temmuz 2025'te yayımlanan Windows aylık güvenlik güncelleştirmesini veya sonraki bir güncelleştirmeyi yükleyin. Bu güncellemeler CVE-2023-24932 için azaltmaları içerir ancak varsayılan olarak etkin değildir. Risk azaltıcı etkenleri dağıtmayı planlasanız da planlamasanız da tüm Windows cihazlarının bu adımı tamamlaması gerekir.
2. Adım: Değişiklikleri değerlendirme Aşağıdakileri yapmanızı öneririz:
-
Güvenli Önyükleme DB'nin güncellenmesine ve önyükleme yöneticisinin güncellenmesine izin veren ilk iki azaltmayı anlayın.
-
Güncelleştirilmiş zamanlamayı gözden geçirin.
-
İlk iki risk azaltmayı ortamınızdaki temsili cihazlara karşı test etmeye başlayın.
-
Dağıtımı planlamaya başlayın.
3. Adım: Değişiklikleri zorunlu tutma
Riskleri Anlama bölümünde belirtilen riskleri anlamanızı öneririz.
-
Kurtarma ve diğer önyüklenebilir ortamlar üzerindeki etkisini anlayın.
-
Önceki tüm Windows önyükleme yöneticileri için kullanılan imzalama sertifikasına güvenmeyen üçüncü azaltmayı test etmeye başlayın.
Risk azaltma dağıtım yönergeleri
Risk azaltıcı etkenleri uygulamak için bu adımları izlemeden önce, desteklenen Windows cihazlarına 8 Temmuz 2025'te yayınlanan Windows aylık hizmet güncelleştirmesini veya sonraki bir güncelleştirmeyi yükleyin. Bu güncelleme, CVE-2023-24932 için azaltmaları içerir, ancak bunlar varsayılan olarak etkin değildir. Risk azaltma önlemlerini etkinleştirmeye yönelik planınızdan bağımsız olarak tüm Windows cihazlarının bu adımı tamamlaması gerekir.
DİKKAT BitLocker kullanıyorsanız BitLocker kurtarma anahtarınızın yedeklenmiş olduğundan emin olun. Aşağıdaki komutu bir Yönetici komut isteminden çalıştırabilir ve 48 basamaklı sayısal parolayı not alabilirsiniz:
manage-bde -protectors -get %systemdrive%
Güncelleştirmeyi dağıtmak ve iptalleri uygulamak için şu adımları uygulayın:
-
2023 Güvenli Önyükleme sertifikalarını veritabanına yükleyin.
Bu adım, 2023 Güvenli Önyükleme sertifikalarını UEFI "Güvenli Önyükleme İmza Veritabanı" (DB) ve Anahtar Değişim Anahtarı değişkenine ekleyecektir. Ayrıca, önyükleme yöneticisini 2023 imzalı önyükleme yöneticisine güncelleyecektir.
Not: Cihaz aylık Kümülatif UpdatesGüncelleştirmeler'de "Yüksek Güvenirlik" olarak işaretlenmişse, bu adım zaten tamamlanmış olabilir. Daha fazla ayrıntı için bkz. Yüksek Güvenilirlik Veritabanına Yakından Bakış ve https://aka.ms/GetSecureBoot.
-
DB'ye güncellemeyi gerçekleştirmek için regkey anahtarını ayarlayın. Bunu yapmak için Yönetici olarak PowerShell komut istemi penceresini açın, aşağıdaki komutların her birini ayrı ayrı yazın ve Enter tuşuna basın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Yönetici olarak aşağıdaki PowerShell komutunu çalıştırın ve veritabanının başarıyla güncelleştirildiğini doğrulayın. Bu komut True değerini döndürmelidir.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Not Cihazda Sanal Güvenli Mod özelliği etkinleştirilmişse yeniden başlatma gerekebilir. Buna Credential Guard, Device Guard ve Windows Hello gibi özellikler dahildir.
-
-
Cihazınızda 2023 Güvenli Önyükleme sertifikalarının ve Önyükleme Yöneticisi'nin güncelleştirilmiş olduğunu doğrulayın.
Bu adım, sertifikaların uygulandığını ve önyükleme yöneticisinin "'Windows UEFI CA 2023" imzalı sürüme güncellendiğini doğrulayacaktır.
Yönetici olarak aşağıdaki PowerShell komutunu çalıştırın ve güncelleştirmelerin başarıyla uygulandığını doğrulayın. Bu komut Güncelleştirildi ifadesini döndürmelidir.
(Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing").UEFICA2023Status
-
İptal etmeyi etkinleştirin.
UEFI Yasak Listesi (DBX), güvenilmeyen UEFI modüllerinin yüklenmesini engellemek için kullanılır. Bu adımda, DBX'in güncelleştirilmesi DBX'e "Windows Production CA 2011" sertifikasını ekleyecektir. Bu, bu sertifika tarafından imzalanan tüm önyükleme yöneticilerine artık güvenilmemesine neden olur.
UYARI: Üçüncü azaltmayı uygulamadan önce, sistemi başlatmak için kullanılabilecek bir kurtarma flash sürücüsü oluşturun. Bunun nasıl yapılacağı hakkında daha fazla bilgi için Windows yükleme medyasını güncelleştirme bölümüne bakın.
Sisteminiz önyüklenemez bir duruma geçerse, aygıtı iptal öncesi bir duruma sıfırlamak için Kurtarma prosedürü bölümündeki adımları izleyin.
-
"Windows Production PCA 2011" sertifikasını Güvenli Önyükleme UEFI Yasak Listesi'ne (DBX) ekleyin. Bunu yapmak için Yönetici olarak Komut İstemi penceresini açın, aşağıdaki komutların her birini ayrı ayrı yazın ve Enter tuşuna basın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Olay günlüğünde olay 1037'yi arayarak yükleme ve iptal listesinin başarıyla uygulandığını doğrulayın.Olay 1037 hakkında bilgi için bkz. KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları. Veya, aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın ve Doğru döndürdüğünden emin olun:
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
-
SVN güncellemesini cihaz yazılımına uygulayın. 2. Adımda dağıtılan Önyükleme Yöneticisi'nde yerleşik olarak yeni bir kendi kendini iptal etme özelliği vardır. Önyükleme Yöneticisi çalışmaya başladığında, üretici yazılımında depolanan Güvenli Sürüm Numarasını (SVN) Önyükleme Yöneticisi'nde yerleşik SVN ile karşılaştırarak kendi kendini kontrol eder. Önyükleme Yöneticisi SVN'si, üretici yazılımında depolanan SVN'den daha düşükse, Önyükleme Yöneticisi çalışmayı reddedecektir. Bu özellik, bir saldırganın Önyükleme Yöneticisi'ni daha eski ve güncelleştirilmemiş bir sürüme geri döndürmesini engeller.Gelecekteki güncellemelerde, Önyükleme Yöneticisi'nde önemli bir güvenlik sorunu düzeltildiğinde, SVN numarası hem Önyükleme Yöneticisi'nde hem de üretici yazılımı güncellemesinde artırılacaktır. Her iki güncelleştirme, yamalı cihazların korunduğundan emin olmak için aynı toplu güncelleştirmede yayınlanacaktır. SVN her güncellendiğinde, önyüklenebilir medyanın güncellenmesi gerekecektir.9 Temmuz 2024 güncellemelerinden itibaren SVN, Önyükleme Yöneticisi'nde ve üretici yazılımı güncellemesinde artırılıyor. Üretici yazılımı güncelleştirmesi isteğe bağlıdır ve aşağıdaki adım izlenerek uygulanabilir:
-
SVN güncellemesini cihaz yazılımına uygulayın. Bunu yapmak için Yönetici olarak Komut İstemi penceresini açın, aşağıdaki komutların her birini ayrı ayrı yazın ve Enter tuşuna basın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Windows yükleme medyasını güncelleştirme
DİKKAT Önyüklenebilir bir USB flash sürücü oluştururken, sürücüyü FAT32 dosya sistemini kullanarak biçimlendirdiğinizden emin olun.
Aşağıdaki adımları izleyerek Kurtarma Sürücüsü Oluştur uygulamasını kullanabilirsiniz. Bu medya, donanım arızası gibi büyük bir sorun olması durumunda bir cihazı yeniden yüklemek için kullanılabilir. Windows'u yeniden yüklemek için kurtarma sürücüsünü kullanabilirsiniz.
-
8 Temmuz 2025 veya sonraki bir güncelleştirmenin ve ilk risk azaltma adımının (Güvenli Önyükleme veritabanını güncelleştirme) uygulandığı bir cihaza gidin.
-
Kurtarma sürücüsü oluşturmak için Başlat menüsünden "Kurtarma Sürücüsü Oluştur" denetim masası uygulamasını arayın ve yönergeleri izleyin.
-
Yeni oluşturulan flash sürücü takılıyken (örneğin, "D:" sürücüsü olarak), yönetici olarak aşağıdaki komutları çalıştırın. Aşağıdaki komutların her birini yazın ve Enter tuşuna basın:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Ortamınızdaki yüklenebilir medyayı, Windows yükleme medyasını Dinamik Güncelleştirme kılavuzuyla güncelleştirin'i kullanarak yönetiyorsanız, şu adımları izleyin. Bu ek adımlar, "Windows UEFI CA 2023" imzalama sertifikası tarafından imzalanan önyükleme dosyalarını kullanan önyüklenebilir bir flash sürücü oluşturacaktır.
-
8 Temmuz 2025 veya sonraki bir güncelleştirmenin ve ilk risk azaltma adımının (Güvenli Önyükleme DB'yi güncelleştirme) uygulandığı bir cihaza gidin.
-
8 Temmuz 2025 veya sonraki bir güncelleştirmenin uygulandığı medya oluşturmak için aşağıdaki bağlantıda yer alan adımları izleyin: Windows yükleme medyasını Dinamik Güncelleştirme ile güncelleştirme
-
Medyanın içeriğini USB flash sürücüye yerleştirin ve flash sürücüyü sürücü harfi olarak takın. Örneğin, flash sürücüyü "D:" olarak bağlayın.
-
Yönetici olarak komut penceresinden aşağıdaki komutları çalıştırın. Aşağıdaki komutların her birini yazın ve Enter tuşuna basın.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Risk azaltıcı etkenler uygulandıktan sonra bir cihazda Güvenli Önyükleme ayarları varsayılanlara sıfırlanırsa, cihaz önyükleme yapmaz. Bu sorunu çözmek için 9 Temmuz 2024 güncelleştirmelerine "Windows UEFI CA 2023" sertifikasını DB'ye yeniden uygulamak için kullanılabilecek bir onarım uygulaması eklenmiştir (risk azaltma #1).
DİKKAT Bu onarım uygulamasını Bilinen Sorunlar bölümünde açıklanan bir cihaz veya sistemde kullanmayın.
-
8 Temmuz 2025 veya sonraki güncelleştirmenin uygulandığı cihaza gidin.
-
Bir komut penceresinde, aşağıdaki komutları kullanarak kurtarma uygulamasını flash sürücüye kopyalayın (flash sürücünün "D:" sürücüsü olduğu varsayılarak). Her komutu tek tek yazın ve Enter tuşuna basın:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi
-
Güvenli Önyükleme ayarları varsayılanlara sıfırlanmış olan cihazda, flash sürücüyü takın, cihazı yeniden başlatın ve flash sürücüden önyükleme yapın.
Güncelleştirmelerin zamanlaması
GüncelleştirmelerGüncelleştirmeler aşağıdaki gibi yayınlanmıştır:
-
İlk Dağıtım Bu aşama, 9 Mayıs 2023'te yayımlanan güncelleştirmelerle başladı ve bu azaltmaları etkinleştirmek için el ile uygulanan adımlarla temel risk azaltıcı etkenler sağladı.
-
İkinci Dağıtım Bu aşama, 11 Temmuz 2023'te yayımlanan ve sorunu azaltmak için basitleştirilmiş adımlar ekleyen güncelleştirmelerle başladı.
-
Değerlendirme Aşaması Bu aşama 9 Nisan 2024'te başladı ve ek önyükleme yöneticisi azaltmaları eklendi.
-
Dağıtım Aşaması Bu aşama Temmuz 2024'te başladı. Müşteriler risk azaltma önlemlerini uygulamaya ve medyayı güncelleştirmeye hemen başlamalıdır.
-
Yürürlük Aşaması Azaltıcı etkenleri kalıcı hale getirecek olan Yürürlük Aşaması. Bu aşamanın tarihi daha sonraki bir tarihte duyurulacaktır.
Not Sürüm programı gerektiğinde revize edilebilir.
9 Mayıs 2023 – İlk Dağıtım Aşaması
Bu aşamanın yerini 9 Nisan 2024'te yayımlanan Windows güvenlik güncelleştirmeleri ve sonraki güncelleştirmeler almıştır.
11 Temmuz 2023 – İkinci Dağıtım Aşaması
Bu aşamanın yerini 9 Nisan 2024'te yayımlanan Windows güvenlik güncelleştirmeleri ve sonraki güncelleştirmeler almıştır.
9 Nisan 2024 veya üzeri – Değerlendirme Aşaması
Bu aşamada, değişikliklerin temsili örnek cihazlarla doğru çalıştığından emin olmak ve değişikliklerle ilgili deneyim kazanmak için ortamınızda bu değişiklikleri test etmenizi istiyoruz.
DİKKAT Önceki dağıtım aşamalarında yaptığımız gibi güvenlik açığı bulunan önyükleme yöneticilerini kapsamlı bir şekilde listelemeye ve güvenmemeye çalışmak yerine, bu sertifika tarafından imzalanmış tüm önyükleme yöneticilerine güvenmemek için Güvenli Önyükleme İzin Vermeme Listesi'ne (DBX) "Windows Production PCA 2011" imzalama sertifikasını ekliyoruz. Bu, önceki tüm önyükleme yöneticilerinin güvenilmez olmasını sağlamak için daha güvenilir bir yöntemdir.
9 Nisan 2024'te yayımlanan Windows için Güncelleştirmeler ve sonraki güncelleştirmeler için şunları ekleyin:
-
2023'te yayımlanan azaltıcı etkenlerin yerini alan üç yeni risk azaltma denetimi. Yeni risk azaltma denetimleri şunlardır:
-
Bu sertifika tarafından imzalanan Windows önyükleme yöneticilerine güven eklemek için "Windows UEFI CA 2023" sertifikasını Güvenli Önyükleme veritabanına dağıtmak için bir denetim. "Windows UEFI CA 2023" sertifikasının daha önceki bir Windows güncelleştirmesi tarafından yüklenmiş olabileceğini unutmayın.
-
"Windows UEFI CA 2023" sertifikası tarafından imzalanmış bir önyükleme yöneticisi dağıtmak için bir kontrol.
-
Bu sertifika tarafından imzalanmış tüm Windows önyükleme yöneticilerini engelleyecek olan Güvenli Önyükleme DBX'e "Windows Production PCA 2011" eklemek için bir denetim.
-
-
İhtiyaçlarınıza göre ortamınızda risk azaltma etkenlerinin dağıtımında daha fazla denetim sağlamak için risk azaltma dağıtımını bağımsız olarak aşamalı olarak etkinleştirme özelliği.
-
Risk azaltıcı etkenler, yanlış sırada dağıtılmamaları için birbirine kenetlenmiştir.
-
Risk azaltıcı etkenleri uygularken cihazların durumunu öğrenmek için ek olaylar. Olaylar hakkında daha fazla ayrıntı için KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın.
9 Temmuz 2024 veya üzeri – Dağıtım Aşaması
Bu aşama, müşterilerimizi risk azaltıcı etkenleri dağıtmaya ve medya güncelleştirmelerini yönetmeye başlamaya teşvik ettiğimiz aşamadır. Güncelleştirmeler aşağıdaki değişikliği içerir:
-
Güvenli Sürüm Numarası (SVN) ve güncellenmiş SVN'yi aygıt yazılımında ayarlama desteği eklendi.
Aşağıda, bir Kuruluşta dağıtma adımlarının ana hatları verilmiştir.
Not Bu makalede daha sonra yapılacak güncelleştirmelerle birlikte sunulacak ek yönergeler.
-
İlk azaltmayı Kuruluştaki tüm cihazlara veya Kuruluştaki yönetilen bir cihaz grubuna dağıtın. Buna aşağıdakiler dahildir:
-
Cihaz üretici yazılımına "Windows UEFI CA 2023" imza sertifikası ekleyen ilk azaltmayı kabul etme.
-
Cihazların "Windows UEFI CA 2023" imza sertifikasını başarıyla ekleyip eklemediğini izleme.
-
-
Cihaza güncelleştirilmiş önyükleme yöneticisini uygulayan ikinci azaltmayı dağıtın.
-
Bu cihazlarla kullanılan kurtarma veya harici önyüklenebilir medyayı güncelleştirin.
-
"Windows Production CA 2011" sertifikasını bellenimdeki DBX'e ekleyerek iptal edilmesini sağlayan üçüncü azaltmayı uygulayın.
-
Güvenli Sürüm Numarasını (SVN) üretici yazılımına güncelleyen dördüncü azaltmayı dağıtın.
İlan Edilecek Tarih – Uygulama Aşaması
Yürürlük Aşaması Ocak 2026'dan önce başlamayacak ve bu aşama başlamadan önce bu makalede en az altı ay önceden uyarı vereceğiz. Zorlama Aşaması için güncelleştirmeler yayımlandığında aşağıdakileri içerecektir:
-
"Windows Production PCA 2011" sertifikası, uygun cihazlarda Güvenli Önyükleme UEFI Yasak Listesi'ne (DBX) eklenerek otomatik olarak iptal edilecektir. Bu güncelleştirmeler, devre dışı bırakılma seçeneği olmadan etkilenen tüm sistemlere Windows güncelleştirmeleri yüklendikten sonra program aracılığıyla uygulanır.
CVE-2023-24932 ile ilgili Windows Olay günlüğü hataları
DB ve DBX'in güncelleştirilmesiyle ilgili Windows Olay Günlüğü girdileri KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları bölümünde ayrıntılı olarak açıklanmıştır.
Risk azaltıcı etkenlerin uygulanmasıyla ilgili "başarı" olayları aşağıdaki tabloda listelenmiştir.
|
Azaltma Adımı |
Olay Kimliği |
Notlar |
|
DB güncelleştirmesini uygulama |
1036 |
PCA2023 sertifikası DB'ye eklenmiştir. |
|
Önyükleme yöneticisini güncelleştirme |
1799 |
PCA2023 imzalı önyükleme yöneticisi uygulanmıştır. |
|
DBX güncelleştirmesini uygulama |
1037 |
PCA2011 imzalama sertifikasına güveni kaldıran DBX güncelleştirmesi uygulandı. |
|
SVN'yi uygulama |
1042 |
DBX, eski Önyükleme Yöneticisini engellemek için en son SVN ile güncellenir |
Sık Sorulan Sorular (SSS)
-
İptalleri cihazıma uyguladım ve cihazımı yeniden yüklemem veya kurtarmam gerekiyor. Kurtarma medyamı (CD/DVD, PXE Önyüklemesi, USB sürücüsü) kullanarak cihazımı neden başlatamıyorum?
-
Cihazı kurtarmak için Kurtarma Prosedürü bölümüne bakın.
-
Önyükleme Sorunlarını Giderme bölümündeki yönergeleri izleyin.
-
-
Cihazım birden çok işletim sistemi kullanıyor. Nasıl yaparım? sistemimi nasıl güncellerim?
İptalleri uygulamadan önce tüm Windows işletim sistemlerini 9 Temmuz 2024 tarihinde veya sonrasında yayımlanan güncelleştirmelerle güncelleştirin. İptalleri uyguladıktan sonra, en azından 9 Temmuz 2024'te yayınlanan güncelleştirmelere güncelleştirilmeyen herhangi bir Windows sürümünü başlatamayabilirsiniz. Önyükleme Sorunlarını Giderme bölümündeki yönergeleri izleyin.
-
Bu makalede açıklanan güvenlik güçlendirme özelliğiyle ilgili ne tür önyükleme hatası iletileri olabilir?
Önyükleme sorunlarını giderme bölümüne bakın.
Önyükleme sorunlarını giderme
Üç risk azaltma da uygulandıktan sonra, cihaz üretici yazılımı, Windows Production PCA 2011 tarafından imzalanmış bir önyükleme yöneticisi kullanılarak önyükleme yapmaz. Üretici yazılımı tarafından bildirilen önyükleme hataları cihaza özgüdür. Lütfen Kurtarma prosedürü bölümüne bakın.
Kurtarma prosedürü
Risk azaltıcı etkenleri uygularken bir şeyler ters giderse ve cihazınızı başlatamıyorsanız veya harici bir ortamdan (flash sürücü veya PXE önyüklemesi gibi) başlatmanız gerekiyorsa aşağıdaki önerileri deneyin:
-
Güvenli Önyükleme'yi kapatın.Bu yordam, cihaz üreticileri ve modelleri arasında farklılık gösterir. Cihazınızın UEFI BIOS menüsüne girin ve Güvenli Önyükleme ayarlarına gidin ve kapatın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Güvenli Önyüklemeyi Devre Dışı Bırakma bölümünde daha fazla ayrıntı bulunabilir.
-
Güvenli Önyükleme anahtarlarını fabrika varsayılanlarına sıfırlayın.
Cihaz, güvenli önyükleme anahtarlarını fabrika varsayılanlarına sıfırlamayı destekliyorsa, bu işlemi şimdi gerçekleştirin.
DİKKAT Bazı cihaz üreticileri, Güvenli Önyükleme değişkenleri için hem "Temizle" hem de "Sıfırla" seçeneğine sahiptir, bu durumda "Sıfırla" kullanılmalıdır. Amaç, Güvenli Önyükleme değişkenlerini üreticinin varsayılan değerlerine geri koymaktır.
Cihazınızın şimdi başlaması gerekir, ancak önyükleme kiti kötü amaçlı yazılımlarına karşı savunmasız olduğunu unutmayın. Güvenli Önyükleme'yi yeniden etkinleştirmek için bu kurtarma işleminin 5. Adımını tamamladığınızdan emin olun.
-
Windows'u sistem diskinden başlatmayı deneyin.
-
Windows'ta oturum açın.
-
EFI sistemi önyükleme bölümündeki önyükleme dosyalarını geri yüklemek için bir Yönetici komut isteminden aşağıdaki komutları çalıştırın. Her komutu tek tek yazın ve Enter tuşuna basın:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
BCDBoot'u çalıştırmak, "Önyükleme dosyaları başarıyla oluşturuldu" iletilerini döndürür. Bu mesaj görüntülendikten sonra cihazı yeniden Windows'a döndürün.
-
-
3. Adım cihazı başarılı bir şekilde kurtaramazsa, Windows'u yeniden yükleyin.
-
Cihazı mevcut kurtarma medyasından başlatın.
-
Kurtarma medyasını kullanarak Windows'u yüklemeye devam edin.
-
Windows'ta oturum açın.
-
Cihazın Windows'a yeniden başladığını doğrulamak için Windows'u yeniden başlatın.
-
-
Güvenli Önyüklemeyi yeniden etkinleştirin ve cihazı yeniden başlatın.Cihaz UEFI menüsüne girin ve Güvenli Önyükleme ayarlarına gidin ve açın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Daha fazla bilgiyi "Güvenli Önyüklemeyi Yeniden Etkinleştirme" bölümünde bulabilirsiniz.
Başvurular
-
CVE-2022-21894 kullanarak saldırıları araştırma kılavuzu: BlackLotus kampanyası
-
Kayıtlı Windows cihazlarında Güvenli Önyüklemeyi etkinleştirme
-
DBX güncelleştirmeleri uygulanırken oluşturulan olaylar için bkz. KB5016061: Güvenlik açığı bulunan ve iptal edilen Önyükleme Yöneticilerini ele alma.
|
Üçüncü taraf bilgileri hakkında bildirim Bu makalede belirtilen üçüncü taraf ürünler, Microsoft’tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliğiyle ilgili zımni veya başka türlü hiçbir garanti vermiyoruz. Teknik destek bulmanıza yardımcı olmak için üçüncü tarafların iletişim bilgilerini sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmiyoruz. |
Değişiklik günlüğü
|
Değişiklik tarihi |
Değişiklik açıklaması |
|
10 Haziran 2026 |
|
|
2 Haziran 2026 |
|
|
Nisan 2, 2026 |
|
|
Nisan 1, 2026 |
|
|
21 Ekim 2025 |
|
|
Eylül 8, 2025 |
|
|
10 Temmuz 2025 |
|
|
24 Haziran 2025 |
|
|
Mayıs 5, 2025 |
|
|
Şubat 13, 2025 |
|
|
Ocak 24, 2025 |
|
|
9 Temmuz 2024 |
|
|
9 Nisan 2024 |
|
|
16 Aralık 2023 |
|
|
Mayıs 15, 2023 |
|
|
Mayıs 11, 2023 |
|
|
Mayıs 10, 2023 |
|
|
Mayıs 9, 2023 |
|
|
Haziran 27, 2023 |
|
|
11 Temmuz 2023 |
|
|
Ağustos 25, 2023 |
|