Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Tarihi değiştir

Açıklamayı değiştir

20 Mart 2024, Saat 20:00

  • "Sonuçlar ve Geri Bildirim" bölümü eklendi

21 Mart 2024, Saat 20:00

  • "2. Adım: PCA2023 imzalı önyükleme yöneticisini yükleme" bölümündeki 4. Adım güncelleştirildi

22 Mart 2024, Saat 20:00

  • "Sonuçlar ve Geri Bildirim" bölümündeki e-posta iletişim bilgileri güncelleştirildi

  • "İsteğe Bağlı Tanılama Verilerini Etkinleştir" bölümü eklendi

Giriş

Bu makale, Nisan 2024'te güncelleştirilecek olan aşağıdaki makalenin bir ekidir:

  • KB5025885: CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows Önyükleme Yöneticisi iptallerini yönetme

Bu ek, CVE-2023-24932 tarafından izlenen BlackLotus UEFI önyükleme setine karşı yeni risk azaltmaları dağıtmak için güncelleştirilmiş adım adım yordamı açıklar ve ortamınız için test kılavuzunu içerir.

Güvenlik açığı olan önyükleme yöneticilerinin kötü amaçlı kötüye kullanımına karşı korunmaya yardımcı olmak için cihaz üretici yazılımına yeni bir UEFI Güvenli Önyükleme imzalama sertifikası dağıtmamız ve geçerli imzalama sertifikasının üretici yazılımına olan güveni iptal etmeliyiz. Bunun yapılması, var olan, güvenlik açığı olan tüm önyükleme yöneticilerinin Güvenli Önyükleme özellikli cihazlar tarafından güvenilmemelerine neden olur. Bu kılavuz, bu işlemde size yardımcı olacaktır.

Bu kılavuzda özetlenen üç azaltma adımı aşağıdaki gibidir:

  1. Veritabanı güncelleştiriliyor: Güvenli Önyükleme DB'ye yeni bir PCA (PCA2023) sertifikası eklenir. Bu sertifika, cihazın bu sertifika tarafından imzalanan medyayı önyüklemesine olanak tanır.

  2. Önyükleme yöneticisinin yüklenmesi: Mevcut PCA2011 imzalı önyükleme yöneticisi, PCA2023 imzalı önyükleme yöneticisi tarafından değiştirilir.Her iki önyükleme yöneticisi de Nisan 2024 güvenlik güncelleştirmelerine dahil edilir.

  3. PCA2011 DBX iptali: Güvenli Önyükleme DBX'ine, PCA2011 ile imzalanan önyükleme yöneticilerinin önyüklemesini engelleyen bir reddetme girdisi eklenir.

Not Bu üç azaltmayı uygulayan Servicing Stack yazılımı, azaltmaların sıra dışı uygulanmasına izin vermez.

Bu benim için geçerli mi?

Bu kılavuz, Güvenli Önyükleme etkinleştirilmiş tüm cihazlar ve bu cihazlar için mevcut tüm kurtarma medyaları için geçerlidir.

Cihazınız Windows Server 2012 veya Windows Server 2012 R2 çalıştırıyorsa devam etmeden önce "Bilinen Sorunlar" bölümünü okuduğunuzdan emin olun.

Başlamadan önce

İsteğe Bağlı Tanılama Verilerini Etkinleştirme

Lütfen aşağıdaki adımları gerçekleştirerek "İsteğe bağlı tanılama verilerini gönder" ayarını açın:

  1. Windows 11 Başlangıç >Ayarları'na gidin > Gizlilik & güvenlik >Tanılama & geri bildirimi.

  2. İsteğe bağlı tanılama verileri gönder'i açın.

    Tanılama & geri bildirimi

Daha fazla bilgi için bkz. Windows'ta tanılama, geri bildirim ve gizlilik

NOT Doğrulama sırasında ve doğrulama sonrasında bir süre İnternet bağlantınız olduğundan emin olun.

Test geçişi yapma

Nisan 2024 Windows güncelleştirmelerini yükledikten sonra ve kabul etme adımlarına geçmeden önce sisteminizin bütünlüğünü doğrulamak için bir test geçişi yaptığınızdan emin olun:

  1. VPN: Kurumsal kaynaklara ve ağa VPN erişiminin işlevsel olduğunu doğrulayın.

  2. Windows Hello: Normal yordamınızı (yüz/parmak izi/PIN) kullanarak Windows cihazında oturum açın.

  3. Bitlocker: Sistem normalde BitLocker özellikli sistemlerde başlatma sırasında bitLocker kurtarma istemi olmadan başlatılır.

  4. Cihaz Durumu Kanıtlama: Cihaz Durumu Kanıtlama'yı kullanan cihazların durumlarını doğru şekilde doğru şekilde doğruladığını doğrulayın.

Bilinen Sorunlar

Yalnızca Windows Server 2012 ve Windows Sever 2012 R2 için:

  • TPM 2.0 tabanlı sistemler, TPM ölçümleriyle ilgili bilinen uyumluluk sorunları nedeniyle Nisan 2024 güvenlik düzeltme ekinde yayımlanan azaltmaları dağıtamaz. Nisan 2024 güncelleştirmeleri, etkilenen sistemlerde 2 . (önyükleme yöneticisi) ve #3 (DBX güncelleştirmesi) risk azaltmalarını engeller.

  • Microsoft sorunun farkındadır ve gelecekte TPM 2.0 tabanlı sistemlerin engellemesini kaldırmak için bir güncelleştirme yayımlanacaktır.

  • TPM sürümünüzü denetlemek için Başlat'a sağ tıklayın, Çalıştır'a tıklayın ve tpm.msc yazın. Tpm Üretici Bilgileri'nin altındaki orta bölmenin sağ alt kısmında Belirtim Sürümü için bir değer görmeniz gerekir.

Kabul Doğrulama Adımları

Bu makalenin geri kalanında, cihazları risk azaltmalara kabul etme testi ele alınmaktadır. Azaltmalar varsayılan olarak etkin değildir. Kuruluşunuz bu risk azaltmaları etkinleştirmeyi planlıyorsa lütfen cihaz uyumluluğunu doğrulamak için aşağıdaki doğrulama adımlarını izleyin.

  1. Nisan 2024 yayın öncesi güvenlik güncelleştirmesini dağıtın.

  2. Bir Yönetici komut istemi açın ve aşağıdaki komutu yazarak veritabanı güncelleştirmesini gerçekleştirmek için kayıt defteri anahtarını ayarlayın ve enter tuşuna basın:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Cihazı iki kez yeniden başlatın.

  4. Aşağıdaki komutun True döndürdüğünden emin olarak DB'nin başarıyla güncelleştirildiğini doğrulayın. Aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Bir Yönetici komut istemi açın ve PCA2023 imzalı önyükleme yöneticisini indirip yüklemek için kayıt defteri anahtarını ayarlayın:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Cihazı iki kez yeniden başlatın.

  3. Yönetici olarak, incelemeye hazır hale getirmek için EFI bölümünü bağlayın:

    mountvol s: /s

  4. "s:\efi\microsoft\boot\bootmgfw.efi" PCA2023 tarafından imzalandığını doğrulayın. Bunu yapmak için şu adımları izleyin:

    1. Başlat'a tıklayın, Arama kutusuna komut istemi yazın ve ardından Komut İstemi'ne tıklayın.

    2. Komut İstemi penceresinde aşağıdaki komutu yazın ve Enter tuşuna basın.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Dosya Yöneticisi'nde C:\bootmgfw_2023.efi dosyasına sağ tıklayın, Özellikler'e tıklayın ve dijital imzalar sekmesini seçin.

    4. İmza listesinde, sertifika zincirinin Windows UEFI 2023 CA içerdiğini onaylayın.

DİkKAT: Bu adım, DBX iptalini Windows Üretim PCA2011 kullanılarak imzalanan güvenilmeyen, savunmasız önyükleme yöneticilerine dağıtır. Bu iptal uygulanan cihazlar artık mevcut kurtarma medyasından ve güncelleştirilmiş önyükleme yöneticisi bileşenlerine sahip olmayan ağ önyükleme (PXE/HTTP) sunucularından önyükleme yapmaz.

Cihazınız önyüklenemez bir duruma geçerse, cihazı iptal öncesi durumuna sıfırlamak için "Kurtarma ve Geri Yükleme yordamları" bölümündeki adımları izleyin.

DBX'i uyguladıktan sonra, cihazı önceki Güvenli Önyükleme durumuna döndürmek istiyorsanız "Kurtarma ve Geri Yükleme yordamları" bölümünü izleyin.

Güvenli Önyükleme'de Windows Production PCA2011 sertifikasına güvenmemek için DBX azaltmasını uygulayın:

  1. Bir Yönetici komut istemi açın ve PCA2011 iptalini DBX'e yerleştirmek için kayıt defteri anahtarını ayarlayın:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Cihazınızı iki kez yeniden başlatın ve tamamen yeniden başlatıldığını onaylayın.

  3. DBX azaltmasının başarıyla uygulandığını doğrulayın. Bunu yapmak için aşağıdaki PowerShell komutunu Yönetici olarak çalıştırın ve komutun True döndürdüğünden emin olun:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Veya Olay Görüntüleyicisi aşağıdaki olayı arayın:

    Olay günlüğü

    Sistem

    Olay kaynağı

    TPM-WMI

    Olay Kimliği

    1037

    Düzey

    Bilgi

    Olay iletisi metni

    Microsoft Windows Üretim PCA 2011'i iptal etmek için Güvenli Önyükleme Dbx güncelleştirmesi başarıyla uygulandı

  4. "Başlamadan önce" bölümündeki test geçişi öğelerini gerçekleştirin ve tüm sistemlerin normal şekilde çalıştığından emin olun.

Kayıt defteri anahtarı başvurusu

Kabul doğrulama 1. AdımKabul doğrulama 2. AdımKabul doğrulama 3. Adım

Komut

Amaç

Yorum 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

PCA2023 imzalı önyükleme yöneticisine izin vermek için DB güncelleştirmesini yükler

Komut

Amaç

Yorum 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

PCA2023 imzalı bootmgr yükler

Değer yalnızca 0x40 adım tamamlandıktan sonra kabul edilir

Komut

Amaç

Yorum 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

PCA2011 iptal eden DBX güncelleştirmesini yükler

Değer yalnızca her iki 0x40 & 0x100 adımı tamamlandıktan sonra kabul edilir

Sonuçlar ve Geri Bildirim

Test sonuçları, sorular ve geri bildirim içeren suvp@microsoft.com e-posta gönderin.

Kurtarma ve Geri Yükleme yordamları

Kurtarma yordamları gerçekleştirirken aşağıdaki verileri Microsoft ile paylaşın:

  • Önyükleme hatasının ekran görüntüsü gözlemlendi.

  • Cihazın önyüklenemez hale gelmesine neden olan adımlar gerçekleştirildi.

  • Cihaz yapılandırmasının ayrıntıları.

Geri yükleme yordamı gerçekleştirirken, yordamı başlatmadan önce BitLocker'ı askıya alın.

Bu işlem sırasında bir sorun olursa ve cihazınızı başlatamıyorsanız veya dış medyadan (örneğin, başparmak sürücüsü veya PXE önyüklemesi) başlamanız gerekiyorsa aşağıdaki yordamları deneyin.

  1. Güvenli Önyüklemeyi

    kapat Bu yordam, bilgisayar üreticileri ve modelleri arasında farklılık gösterir. Bilgisayarlarınızın UEFI BIOS menüsünü girin ve Güvenli Önyükleme ayarına gidin ve kapatın. Bu işlemle ilgili ayrıntılar için bilgisayar üreticinizin belgelerine bakın. Daha fazla bilgi için bkz. Güvenli Önyüklemeyi Devre Dışı Bırakma.

  2. Güvenli Önyükleme Anahtarlarını Temizle

    Cihaz Güvenli Önyükleme anahtarlarını temizlemeyi veya Güvenli Önyükleme anahtarlarını fabrika varsayılanlarına sıfırlamayı destekliyorsa, bu eylemi şimdi gerçekleştirin.  

    Cihazınız şimdi başlatılmalıdır, ancak önyükleme kitleri kötü amaçlı yazılımlarına karşı savunmasız olduğunu unutmayın. Güvenli Önyükleme'yi yeniden etkinleştirmek için bu kurtarma işleminin sonundaki 5. adımı tamamladığınızdan emin olun.

  3. Windows'ı sistem diskinden başlatmayı deneyin.

    1. BitLocker etkinse ve kurtarma işlemine geçerse BitLocker kurtarma anahtarınızı girin.

    2. Windows'ta oturum açma.

    3. EFI sistem önyükleme Bölümündeki önyükleme dosyalarını geri yüklemek için Yönetici komut isteminden aşağıdaki komutları çalıştırın:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. BCDBoot çalıştırılırken "Önyükleme dosyaları başarıyla oluşturuldu" ifadesi döndürülmelidir.

    5. BitLocker etkinse BitLocker'ı askıya alın.

    6. Cihazı yeniden başlatın.

  4. 3. adım cihazı başarıyla kurtarmazsa Windows'u yeniden yükleyin.

    1. Mevcut kurtarma medyasından başlayın.

    2. Kurtarma medyasını kullanarak Windows'u yüklemeye devam edin.

    3. Windows'ta oturum açma.

    4. Cihazın Windows'a başarıyla başladığını doğrulamak için yeniden başlatın.

  5. Güvenli Önyükleme'yi yeniden etkinleştirin ve cihazı yeniden başlatın.

    Hizmet verme UEFI menünüzü girin ve Güvenli Önyükleme ayarına gidin ve açın. Bu işlemle ilgili ayrıntılar için cihaz üreticinizin belgelerine bakın. Daha fazla bilgi için bkz. Güvenli Önyüklemeyi yeniden etkinleştirme.

  6. Windows başlatma başarısız olursa UEFI BIOS'u yeniden girin ve Güvenli Önyükleme'yi kapatın.

  7. Windows'ı başlatın.

  8. DB, DBX içeriğini Microsoft ile paylaşın.

    1. PowerShell'i Yönetici modunda açın.

    2. Veritabanı yakalama:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. DBX'i yakalama:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. 8b ve 8c. Adımlarda oluşturulan dosyaları DBUpdateFw.bin ve dbxUpdateFw.bin paylaşın.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×