Tarihi değiştir |
Açıklamayı değiştir |
20 Mart 2024, Saat 20:00 |
|
21 Mart 2024, Saat 20:00 |
|
22 Mart 2024, Saat 20:00 |
|
Giriş
Bu makale, Nisan 2024'te güncelleştirilecek olan aşağıdaki makalenin bir ekidir:
-
KB5025885: CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows Önyükleme Yöneticisi iptallerini yönetme
Bu ek, CVE-2023-24932 tarafından izlenen BlackLotus UEFI önyükleme setine karşı yeni risk azaltmaları dağıtmak için güncelleştirilmiş adım adım yordamı açıklar ve ortamınız için test kılavuzunu içerir.
Güvenlik açığı olan önyükleme yöneticilerinin kötü amaçlı kötüye kullanımına karşı korunmaya yardımcı olmak için cihaz üretici yazılımına yeni bir UEFI Güvenli Önyükleme imzalama sertifikası dağıtmamız ve geçerli imzalama sertifikasının üretici yazılımına olan güveni iptal etmeliyiz. Bunun yapılması, var olan, güvenlik açığı olan tüm önyükleme yöneticilerinin Güvenli Önyükleme özellikli cihazlar tarafından güvenilmemelerine neden olur. Bu kılavuz, bu işlemde size yardımcı olacaktır.
Bu kılavuzda özetlenen üç azaltma adımı aşağıdaki gibidir:
-
Veritabanı güncelleştiriliyor: Güvenli Önyükleme DB'ye yeni bir PCA (PCA2023) sertifikası eklenir. Bu sertifika, cihazın bu sertifika tarafından imzalanan medyayı önyüklemesine olanak tanır.
-
Önyükleme yöneticisinin yüklenmesi: Mevcut PCA2011 imzalı önyükleme yöneticisi, PCA2023 imzalı önyükleme yöneticisi tarafından değiştirilir.Her iki önyükleme yöneticisi de Nisan 2024 güvenlik güncelleştirmelerine dahil edilir.
-
PCA2011 DBX iptali: Güvenli Önyükleme DBX'ine, PCA2011 ile imzalanan önyükleme yöneticilerinin önyüklemesini engelleyen bir reddetme girdisi eklenir.
Not Bu üç azaltmayı uygulayan Servicing Stack yazılımı, azaltmaların sıra dışı uygulanmasına izin vermez.
Bu benim için geçerli mi?
Bu kılavuz, Güvenli Önyükleme etkinleştirilmiş tüm cihazlar ve bu cihazlar için mevcut tüm kurtarma medyaları için geçerlidir.
Cihazınız Windows Server 2012 veya Windows Server 2012 R2 çalıştırıyorsa devam etmeden önce "Bilinen Sorunlar" bölümünü okuduğunuzdan emin olun.
Başlamadan önce
İsteğe Bağlı Tanılama Verilerini Etkinleştirme
Lütfen aşağıdaki adımları gerçekleştirerek "İsteğe bağlı tanılama verilerini gönder" ayarını açın:
-
Windows 11 Başlangıç >Ayarları'na gidin > Gizlilik & güvenlik >Tanılama & geri bildirimi.
-
İsteğe bağlı tanılama verileri gönder'i açın.
Daha fazla bilgi için bkz. Windows'ta tanılama, geri bildirim ve gizlilik.
NOT Doğrulama sırasında ve doğrulama sonrasında bir süre İnternet bağlantınız olduğundan emin olun.
Test geçişi yapma
Nisan 2024 Windows güncelleştirmelerini yükledikten sonra ve kabul etme adımlarına geçmeden önce sisteminizin bütünlüğünü doğrulamak için bir test geçişi yaptığınızdan emin olun:
-
VPN: Kurumsal kaynaklara ve ağa VPN erişiminin işlevsel olduğunu doğrulayın.
-
Windows Hello: Normal yordamınızı (yüz/parmak izi/PIN) kullanarak Windows cihazında oturum açın.
-
Bitlocker: Sistem normalde BitLocker özellikli sistemlerde başlatma sırasında bitLocker kurtarma istemi olmadan başlatılır.
-
Cihaz Durumu Kanıtlama: Cihaz Durumu Kanıtlama'yı kullanan cihazların durumlarını doğru şekilde doğru şekilde doğruladığını doğrulayın.
Bilinen Sorunlar
Yalnızca Windows Server 2012 ve Windows Sever 2012 R2 için:
-
TPM 2.0 tabanlı sistemler, TPM ölçümleriyle ilgili bilinen uyumluluk sorunları nedeniyle Nisan 2024 güvenlik düzeltme ekinde yayımlanan azaltmaları dağıtamaz. Nisan 2024 güncelleştirmeleri, etkilenen sistemlerde 2 . (önyükleme yöneticisi) ve #3 (DBX güncelleştirmesi) risk azaltmalarını engeller.
-
Microsoft sorunun farkındadır ve gelecekte TPM 2.0 tabanlı sistemlerin engellemesini kaldırmak için bir güncelleştirme yayımlanacaktır.
-
TPM sürümünüzü denetlemek için Başlat'a sağ tıklayın, Çalıştır'a tıklayın ve tpm.msc yazın. Tpm Üretici Bilgileri'nin altındaki orta bölmenin sağ alt kısmında Belirtim Sürümü için bir değer görmeniz gerekir.
Kabul Doğrulama Adımları
Bu makalenin geri kalanında, cihazları risk azaltmalara kabul etme testi ele alınmaktadır. Azaltmalar varsayılan olarak etkin değildir. Kuruluşunuz bu risk azaltmaları etkinleştirmeyi planlıyorsa lütfen cihaz uyumluluğunu doğrulamak için aşağıdaki doğrulama adımlarını izleyin.
-
Nisan 2024 yayın öncesi güvenlik güncelleştirmesini dağıtın.
-
Bir Yönetici komut istemi açın ve aşağıdaki komutu yazarak veritabanı güncelleştirmesini gerçekleştirmek için kayıt defteri anahtarını ayarlayın ve enter tuşuna basın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
-
Cihazı iki kez yeniden başlatın.
-
Aşağıdaki komutun True döndürdüğünden emin olarak DB'nin başarıyla güncelleştirildiğini doğrulayın. Aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
Bir Yönetici komut istemi açın ve PCA2023 imzalı önyükleme yöneticisini indirip yüklemek için kayıt defteri anahtarını ayarlayın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Cihazı iki kez yeniden başlatın.
-
Yönetici olarak, incelemeye hazır hale getirmek için EFI bölümünü bağlayın:
mountvol s: /s
-
"s:\efi\microsoft\boot\bootmgfw.efi" PCA2023 tarafından imzalandığını doğrulayın. Bunu yapmak için şu adımları izleyin:
-
Başlat'a tıklayın, Arama kutusuna komut istemi yazın ve ardından Komut İstemi'ne tıklayın.
-
Komut İstemi penceresinde aşağıdaki komutu yazın ve Enter tuşuna basın.
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
Dosya Yöneticisi'nde C:\bootmgfw_2023.efi dosyasına sağ tıklayın, Özellikler'e tıklayın ve dijital imzalar sekmesini seçin.
-
İmza listesinde, sertifika zincirinin Windows UEFI 2023 CA içerdiğini onaylayın.
-
DİkKAT: Bu adım, DBX iptalini Windows Üretim PCA2011 kullanılarak imzalanan güvenilmeyen, savunmasız önyükleme yöneticilerine dağıtır. Bu iptal uygulanan cihazlar artık mevcut kurtarma medyasından ve güncelleştirilmiş önyükleme yöneticisi bileşenlerine sahip olmayan ağ önyükleme (PXE/HTTP) sunucularından önyükleme yapmaz.
Cihazınız önyüklenemez bir duruma geçerse, cihazı iptal öncesi durumuna sıfırlamak için "Kurtarma ve Geri Yükleme yordamları" bölümündeki adımları izleyin.
DBX'i uyguladıktan sonra, cihazı önceki Güvenli Önyükleme durumuna döndürmek istiyorsanız "Kurtarma ve Geri Yükleme yordamları" bölümünü izleyin.
Güvenli Önyükleme'de Windows Production PCA2011 sertifikasına güvenmemek için DBX azaltmasını uygulayın:
-
Bir Yönetici komut istemi açın ve PCA2011 iptalini DBX'e yerleştirmek için kayıt defteri anahtarını ayarlayın:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Cihazınızı iki kez yeniden başlatın ve tamamen yeniden başlatıldığını onaylayın.
-
DBX azaltmasının başarıyla uygulandığını doğrulayın. Bunu yapmak için aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın ve komutun True döndürdüğünden emin olun:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
Veya Olay Görüntüleyicisi aşağıdaki olayı arayın:
Olay günlüğü
Sistem
Olay kaynağı
TPM-WMI
Olay Kimliği
1037
Düzey
Bilgi
Olay iletisi metni
Microsoft Windows Üretim PCA 2011'i iptal etmek için Güvenli Önyükleme Dbx güncelleştirmesi başarıyla uygulandı
-
"Başlamadan önce" bölümündeki test geçişi öğelerini gerçekleştirin ve tüm sistemlerin normal şekilde çalıştığından emin olun.
Kayıt defteri anahtarı başvurusu
Komut |
Amaç |
Yorum |
|
PCA2023 imzalı önyükleme yöneticisine izin vermek için DB güncelleştirmesini yükler |
Komut |
Amaç |
Yorum |
|
PCA2023 imzalı bootmgr yükler |
Değer yalnızca 0x40 adım tamamlandıktan sonra kabul edilir |
Komut |
Amaç |
Yorum |
|
PCA2011 iptal eden DBX güncelleştirmesini yükler |
Değer yalnızca her iki 0x40 & 0x100 adımı tamamlandıktan sonra kabul edilir |
Sonuçlar ve Geri Bildirim
Test sonuçları, sorular ve geri bildirim içeren suvp@microsoft.com e-posta gönderin.
Kurtarma ve Geri Yükleme yordamları
Kurtarma yordamları gerçekleştirirken aşağıdaki verileri Microsoft ile paylaşın:
-
Önyükleme hatasının ekran görüntüsü gözlemlendi.
-
Cihazın önyüklenemez hale gelmesine neden olan adımlar gerçekleştirildi.
-
Cihaz yapılandırmasının ayrıntıları.
Geri yükleme yordamı gerçekleştirirken, yordamı başlatmadan önce BitLocker'ı askıya alın.
Bu işlem sırasında bir sorun olursa ve cihazınızı başlatamıyorsanız veya dış medyadan (örneğin, başparmak sürücüsü veya PXE önyüklemesi) başlamanız gerekiyorsa aşağıdaki yordamları deneyin.
-
Güvenli Önyüklemeyi
kapat Bu yordam, bilgisayar üreticileri ve modelleri arasında farklılık gösterir. Bilgisayarlarınızın UEFI BIOS menüsünü girin ve Güvenli Önyükleme ayarına gidin ve kapatın. Bu işlemle ilgili ayrıntılar için bilgisayar üreticinizin belgelerine bakın. Daha fazla bilgi için bkz. Güvenli Önyüklemeyi Devre Dışı Bırakma. -
Güvenli Önyükleme Anahtarlarını Temizle
Cihaz Güvenli Önyükleme anahtarlarını temizlemeyi veya Güvenli Önyükleme anahtarlarını fabrika varsayılanlarına sıfırlamayı destekliyorsa, bu eylemi şimdi gerçekleştirin.
Cihazınız şimdi başlatılmalıdır, ancak önyükleme kitleri kötü amaçlı yazılımlarına karşı savunmasız olduğunu unutmayın. Güvenli Önyükleme'yi yeniden etkinleştirmek için bu kurtarma işleminin sonundaki 5. adımı tamamladığınızdan emin olun. -
Windows'ı sistem diskinden başlatmayı deneyin.
-
BitLocker etkinse ve kurtarma işlemine geçerse BitLocker kurtarma anahtarınızı girin.
-
Windows'ta oturum açma.
-
EFI sistem önyükleme Bölümündeki önyükleme dosyalarını geri yüklemek için Yönetici komut isteminden aşağıdaki komutları çalıştırın:
Mountvol s: /s del s:\EFI\Microsoft\*.* /f /s /q bcdboot %systemroot% /s S:
-
BCDBoot çalıştırılırken "Önyükleme dosyaları başarıyla oluşturuldu" ifadesi döndürülmelidir.
-
BitLocker etkinse BitLocker'ı askıya alın.
-
Cihazı yeniden başlatın.
-
-
3. adım cihazı başarıyla kurtarmazsa Windows'u yeniden yükleyin.
-
Mevcut kurtarma medyasından başlayın.
-
Kurtarma medyasını kullanarak Windows'u yüklemeye devam edin.
-
Windows'ta oturum açma.
-
Cihazın Windows'a başarıyla başladığını doğrulamak için yeniden başlatın.
-
-
Güvenli Önyükleme'yi yeniden etkinleştirin ve cihazı yeniden başlatın.
Hizmet verme UEFI menünüzü girin ve Güvenli Önyükleme ayarına gidin ve açın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Daha fazla bilgi için bkz. Güvenli Önyüklemeyi yeniden etkinleştirme. -
Windows başlatma başarısız olursa UEFI BIOS'u yeniden girin ve Güvenli Önyükleme'yi kapatın.
-
Windows'ı başlatın.
-
DB, DBX içeriğini Microsoft ile paylaşın.
-
PowerShell'i Yönetici modunda açın.
-
Veritabanı yakalama:
Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin
-
DBX'i yakalama:
Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin
-
8b ve 8c. Adımlarda oluşturulan dosyaları DBUpdateFw.bin ve dbxUpdateFw.bin paylaşın.
-