Bu makalenin geçerli olduğu ürünlere göz atın.

Özet

29 Temmuz 2020'de, Microsoft Güvenli Önyükleme ile ilgili yeni bir güvenlik açığını açıklayan 200011 güvenlik danışmasını yayınladı. Güvenli Önyükleme yapılandırmasında Microsoft üçüncü taraf Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) Sertifika Yetkilisi'ne (CA) güvenen cihazlar, cihaza yönetim ayrıcalıklarına veya fiziksel erişimi olan bir saldırgana karşı duyarlı olabilir.

Bu makalede, korumasız modülleri geçersiz kılacak en son Secure Boot DBX iptal listesini uygulamayla ilgili kılavuzluk vardır. Microsoft, 2021 Windows ın ortasında bu güvenlik açığı için Güncelleme güncellemesini göndermektedir.

Güvenli Önyükleme güncelleştirme ikilileri bu UEFI web sayfasında barındırılıyor.

Gönderilen dosyalar aşağıdaki gibidir:

  • x86 için UEFI İptal Listesi Dosyası (32 bit)

  • x64 için UEFI İptal Listesi Dosyası (64 bit)

  • Arm64 için UEFI İptal Listesi Dosyası

Bu karmalar aygıtınızda Secure Boot DBX'e eklendikten sonra bu uygulamaların yüklemesine izin verilmez. 

Önemli: Bu site, her mimari için dosyaları barındırıyor. Barındırılan her dosya, yalnızca belirli mimariye yönelik uygulama karmaları içerir. Bu dosyalardan birini her cihaza uygulasanız da, mimariye uygun bir dosya uygulay mutlaka. Teknik olarak farklı bir mimariye uygun bir güncelleştirme uygulamak teknik olarak mümkün olsa da, uygun güncelleştirmeyi yükley etmek cihazın korumasız olarak bırakılacaktır.

Dikkat: Bu adımlardan herhangi birini denemeden önce bu güvenlik açığı hakkında ana tavsiye makalesine bakın. DBX güncelleştirmelerinin yanlış uygulanması cihazınızın başlamasını önleynaydı.

Bu adımları yalnızca aşağıdaki koşullar doğruysa izleyebilirsiniz:

  • Güvenli Önyükleme yapılandırmanız için cihazınızın üçüncü taraf UEFI CA'ya güven üçüncü taraf UEFI CA'ya güvenmiyorsanız. Bunu yapmak için, yönetimsel bir PowerShell oturumundan aşağıdaki PowerShell satırına çalıştırın:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Bu güncelleştirme tarafından engellenen önyükleme uygulamalarını başlatmaya güvenmezsiniz.

Daha fazla bilgi

Web'de DBX güncelleştirmesi Windows

Uyarıları okuyun ve cihazınızın uyumlu olduğunu doğruladikten sonra, Secure Boot DBX'i güncelleştirmek için şu adımları izleyin:

  1. Bu UEFI web sayfasından platformuz için uygun UEFI İptal Listesi Dosyasını (Dbxupdate.bin) indirin.

  2. Dbxupdate.bin dosyasını, PowerShell cmdlet'lerini kullanarak uygulamak için gerekli bileşenlere bölmeniz gerekir. Bunu yapmak için şu adımları izleyin:

    1. PowerShell Galerisi web sayfasından PowerShell betiği indirin.

    2. Dbxupdate.bin dosyasında aşağıdaki PowerShell betiğini çalıştırın:

      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

    3. Komutun aşağıdaki dosyaları oluşturduğunı doğrulayın:

      "Uygulama" adım 2c komut çıkışı

      • İçerik.bin – içeriği güncelleştirme

      • Signature.p7 – güncelleştirme işlemini doğrulayan imza

  3. Yönetimsel bir PowerShell oturumunda DBX güncelleştirmesini uygulamak için Set-SecureBootUefi cmdlet'ini çalıştırın:

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

    Beklenen çıkış


    "Uygulama" adım 3 komut çıkışı

  4. Güncelleştirme yükleme işlemini tamamlamak için cihazı yeniden başlatın.

Güvenli Önyükleme yapılandırması cmdlet'i ve DBX güncelleştirmeleri için bu cmdlet'ini kullanma hakkında daha fazla bilgi için bkz. Set-Secure.

Güncelleştirmenin başarılı olduğunu doğrulama  

Önceki bölümdeki adımları başarıyla tamamlandıktan ve cihazı yeniden başlattıktan sonra, güncelleştirmenin başarıyla uygulandığını doğrulamak için bu adımları izleyin. Doğrulama başarılı olduktan sonra cihazınız artık GRUB güvenlik açığı tarafından etkilenmeyecektir.

  1. Bu GitHub Gist web sayfasından DBX güncelleştirmesi doğrulama betiklerini indirin.

  2. Sıkıştırılmış dosyadan betikleri ve ikili dosyaları ayıklar.

  3. DBX güncelleştirmesini doğrulamak için, genişletilmiş betikleri ve ikili dosyaları içeren klasörde aşağıdaki PowerShell betiklerini çalıştırın:

    Check-Dbx.ps1 .\dbx-2021-April.bin' 

    Not: Bu iptal listesi dosya arşivinden Temmuz 2020 veya Ekim 2020 sürümleriyle eşleşen bir DBX güncelleştirmesi uygulanmışsa, bunun yerine aşağıdaki uygun komutu

    Check-Dbx.ps1 '.\dbx-2020-July.bin' 

    Check-Dbx.ps1 .\dbx-2020-October.bin' 

  4. Çıkışın beklenen sonuçla eş olduğunu doğrulayın:

    "Doğrulama" adım 4 komut çıkışı

SSS

S1: "Get-SecureBootUEFI: Cmdlet'ler bu platformda desteklenmiyor" hata iletisi ne anlama gelir?

A1: Bu hata iletisi, bilgisayarda Güvenli Önyükleme ÖZELLIĞINIn etkinleştiril olmadığını gösterir. Bu nedenle, bu cihaz GRUB güvenlik açığı tarafından ETKILENMEZ. Başka işlem gerekmez.

S2: Cihazı üçüncü taraf UEFI CA'ya güven yapacak veya güvenmey yapacak şekilde nasıl yapılandırabilirsiniz? 

A2: OEM satıcınıza danışmanızı öneririz. 

Microsoft Surface için Güvenli Önyükleme ayarını "Yalnızca Microsoft" olarak seçin ve aşağıdaki PowerShell komutunu çalıştırın (sonuç "Yanlış" olması gerekir): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Microsoft Surface için yapılandırma hakkında daha fazla bilgi için bkz. Surface UEFI ayarlarını yönetme - Surface UEFI | Microsoft Docs.

S3: Bu sorun Azure IaaS Nesil 1 ve Nesil 2 sanal makinelerini etkiler mi? 

A3: Hayır. Azure konuk sanal makineleri Gen1 ve Gen2, Güvenli Önyükleme özelliğini desteklemez. Bu nedenle, güven saldırısı zincirinde etkilenmezler. 

S4: ADV200011 ve THE-2020-0689, Güvenli Önyükleme ile ilgili aynı güvenlik açığına başvurur mu? 

A: Hayır. Bu güvenlik danışmanları farklı güvenlik açıklarını açıklar. "ADV200011", GRUB (Linux bileşeni) işletim sistemindeki Güvenli Önyükleme atlamasını neden olan bir güvenlik açığı anlamına gelir. "BYPASS-2020-0689", Güvenli Önyükleme'de var olan bir güvenlik özelliği atlama güvenlik açığı anlamına gelir. 

S5: PowerShell betiklerinin birini çalıştırabilirim. Ne yapmalıyım?

A: Get-ExecutionPolicy komutunu çalıştırarak PowerShell yürütme ilkesi doğrulayın. Çıkışa bağlı olarak, yürütme ilkesi güncelleştirmeniz gerekir:

Bu makalede ele alınan üçüncü taraf ürünleri, Microsoft'un bağımsız şirketleri tarafından üretimine devam ediyor. Microsoft bu ürünlerin performansı veya güvenilirliğiyle ilgili zımni veya başka türlü hiçbir garanti vermez. 

Microsoft, bu konu hakkında ek bilgiler bu konuda size yardımcı olmak için üçüncü taraf iletişim bilgilerini sağlar. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft, üçüncü taraf iletişim bilgilerini doğru şekilde garanti edilemez. 

Aşağıdakiler için geçerlidir:

Windows 10 x64 Tabanlı Sistemler Windows 10 için 32 Bit Sistemler Windows 10 Sürüm 2004 için 32 bit Sistemler Windows 10 ARM64 Tabanlı Sistemler için Sürüm 2004 sürümü Windows 10 ARM64 Tabanlı Sistemler için Sürüm 2004 sürümü Windows 10 ARM64 için Sürüm Windows 10 1909 Tabanlı Sistemler Windows 10 x64 Tabanlı Sistemler için Sürüm 1909 x64 Tabanlı Sistemler Windows 10 32 bit Sistemler için Sürüm 1903 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1903 x64 Tabanlı Sistemler için Windows 10 Sürüm










1903 Windows 10 32 Bit Sistemler için Sürüm 1809 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1809 Windows 10 x64 Tabanlı Sistemler için 1809 Sürümü Windows 10 32 bit Sistemler için Sürüm 1803 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1803 x64 Tabanlı Sistemler için Windows 10 Sürüm 1803 Windows 10 32 Bit Sistemler için Sürüm 1709 Windows 10 ARM64 Tabanlı Sistemler için Sürüm 1709 Windows 10 x64 Tabanlı Sistemler için Sürüm








1709 x64 tabanlı Windows 10 32 bit Sistemler için Sürüm 1607 Windows 10 x64 Tabanlı Sistemler için Sürüm 1607 x64 tabanlı sistemler Windows 8.1 x64 tabanlı sistemler için
Windows RT
Windows 8.1

8.1
Windows Server, sürüm 2004 (Sunucu Çekirdek yüklemesi)
Windows Server, sürüm 1909 (Sunucu Çekirdek yüklemesi) Windows Server, sürüm
1903 (Sunucu Çekirdek yüklemesi)
Windows Server 2019
Windows Server 2019 (Sunucu Çekirdek yüklemesi) Windows Server 2016 Windows Server 2016 (Sunucu Çekirdek

yüklemesi)
Windows Server 2012
R2 Windows Server 2012 R2 ( Sunucu Çekirdek yüklemesi)
Windows Server 2012
Windows Server 2012 (Sunucu Çekirdek yüklemesi)

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Çeviri kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkür ederiz!

×