Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

ВАЖЛИВО Слід застосувати оновлення системи безпеки Windows, випущене 9 квітня 2024 р. або пізніше, у рамках регулярного щомісячного оновлення.

Ця стаття стосується організацій, які повинні почати оцінювати пом'якшення для публічно розкритого обходу безпечного завантаження, що використовується bootkit BlackLotus UEFI. Крім того, ви можете зайняти проактивну позицію безпеки або почати підготовку до розгортання. Зверніть увагу, що для цього зловмисного програмного забезпечення потрібен фізичний або адміністративний доступ до пристрою.

ОБЕРЕЖНІСТЬ Після того, як засіб усунення цієї проблеми увімкнуто на пристрої, тобто застосовано послаблення ризиків, його не можна повернути, якщо ви продовжуєте використовувати безпечне завантаження на цьому пристрої. Навіть переформатування диска не видалить відкликання, якщо вони вже застосовані. Перш ніж застосовувати до пристрою відкликання, описані в цій статті, ретельно перевірте всі можливі наслідки та ретельно випробуйте їх.

У цій статті

Зведення

У цій статті описано захист від загальнодоступного обходу функції безпеки безпечного завантаження, який використовує bootkit BlackLotus UEFI, відстежений CVE-2023-24932, як увімкнути засоби захисту та вказівки щодо завантажувальних носіїв. Bootkit – це зловмисна програма, яка запускається якомога раніше в послідовності завантаження пристроїв для керування запуском операційної системи.

Корпорація Майкрософт рекомендує безпечне завантаження, щоб зробити безпечний і надійний шлях з інтерфейсу уніфікованого розширюваного мікропрограми (UEFI) через послідовність надійного завантаження ядра Windows. Безпечне завантаження допомагає запобігти запуску зловмисних програм у послідовності завантаження. Вимкнення безпечного завантаження ставить пристрій під загрозу зараження зловмисною програмою bootkit. Для виправлення обходу безпечного завантаження, описаного в CVE-2023-24932, потрібно відкликати диспетчери завантаження. Це може спричинити проблеми з деякими конфігураціями завантаження пристрою.

Засоби захисту від обходу безпечного завантаження, описані в CVE-2023-24932 , входять до оновлень системи безпеки Windows, випущених 9 квітня 2024 р. або пізніше. Однак ці засоби послаблення ризиків не ввімкнуто за промовчанням. З цими оновленнями радимо почати оцінювати ці зміни у своєму середовищі. Повний розклад описано в розділі Хронометраж оновлень .

Перш ніж активувати ці засоби захисту, слід ретельно ознайомитися з відомостями в цій статті та визначити, чи потрібно активувати засоби послаблення ризиків або зачекати на майбутнє оновлення від корпорації Майкрософт. Якщо ви вирішите ввімкнути послаблення ризиків, переконайтеся, що пристрої оновлено та готові, а також зрозуміти ризики, описані в цій статті. 

Вжити заходів 

У цьому випуску слід виконати такі дії:

Крок 1. Інсталюйте оновлення системи безпеки Windows, випущене 9 квітня 2024 р. або пізніше, на всі підтримувані версії.

Крок 2. Обчислення змін і їх впливу на середовище.

Крок 3. Застосування змін.

Область впливу

На всі пристрої Windows із увімкнутим захистом від безпечного завантаження впливає буткіт BlackLotus. Засоби послаблення ризиків доступні для підтримуваних версій Windows. Повний список див. в статті CVE-2023-24932.

Розуміння ризиків

Ризик зловмисного програмного забезпечення: Для blackLotus UEFI bootkit експлойт, описаний в цій статті, щоб бути можливим, зловмисник повинен отримати права адміністратора на пристрої або отримати фізичний доступ до пристрою. Це можна зробити, використовуючи фізичний або віддалений доступ до пристрою, наприклад за допомогою гіпервізора для доступу до віртуальних машин або хмари. Зловмисник зазвичай використовує цю вразливість, щоб продовжувати керувати пристроєм, доступ до яких вони вже можуть і, можливо, працювати. Зниження ризиків у цій статті є превентивними та не коригувальними. Якщо безпеку вашого пристрою вже порушено, зверніться по допомогу до постачальника послуг безпеки.

Носій для відновлення: Якщо після застосування заходів послаблення ризиків у вас виникла проблема з пристроєм і пристрій стане непридатним для завантаження, ви, можливо, не зможете запустити або відновити пристрій із наявного носія. Необхідно оновити носій для відновлення або інсталяції, щоб він працював із пристроєм, на який застосовано засоби послаблення ризиків.

Проблеми з мікропрограмою: Коли Windows застосовує заходи послаблення ризиків, описані в цій статті, вона повинна покладатися на мікропрограму UEFI пристрою для оновлення значень безпечного завантаження (оновлення застосовуються до ключа бази даних (DB) і забороненого ключа підпису (DBX)). У деяких випадках ми маємо досвід роботи з пристроями, на яких не вдається виконати оновлення. Ми працюємо з виробниками пристроїв, щоб перевірити ці оновлення ключів на якомога більшій кількості пристроїв.

ПРИМІТКА Спочатку перевірте ці послаблення ризиків на одному пристрої для кожного класу пристрою у вашому середовищі, щоб виявити можливі проблеми з мікропрограмою. Не розгортайте широко, перш ніж підтверджувати оцінювання всіх класів пристроїв у вашому середовищі.

Відновлення BitLocker: Деякі пристрої можуть перейти до відновлення BitLocker. Перш ніж увімкнути засоби послаблення ризиків, обов'язково збережіть копію ключа відновлення BitLocker .

Відомі проблеми

Проблеми з мікропрограмою:Не всі мікропрограми пристрою буде успішно оновлено базу даних безпечного завантаження або DBX. У тих випадках, про які нам відомо, ми повідомили про цю проблему виробнику пристрою. Докладні відомості про події, що реєструються, див. в статті KB5016061: події оновлення змінних DB та змінних DBX . Зверніться до виробника пристрою, щоб отримати оновлення мікропрограм. Якщо пристрій не підтримується, корпорація Майкрософт рекомендує оновити пристрій.

Відомі проблеми з мікропрограмою:

ПРИМІТКА Наведені нижче відомі проблеми не впливають на інсталяцію оновлень від 9 квітня 2024 р. У більшості випадків послаблення ризиків не застосовуватиметься там, де існують відомі проблеми. Перегляньте докладні відомості про кожну відому проблему.

  • HP: HP визначила проблему з інсталяцією засобу послаблення ризиків на ПК з робочою станцією HP Z4G4 і випустить оновлену мікропрограму Z4G4 UEFI (BIOS) в найближчі тижні. Щоб забезпечити успішну інсталяцію послаблення ризиків, його буде заблоковано на робочих станціях для настільних комп'ютерів, доки оновлення не стане доступним. Клієнти завжди повинні оновити систему BIOS до останньої версії, перш ніж застосовувати засіб послаблення ризиків.

  • Пристрої HP з функцією "Безпека для запуску" Для інсталяції цих пристроїв потрібні останні оновлення мікропрограм від HP. Засоби послаблення ризиків блокуються до оновлення мікропрограми. Інсталюйте останнє оновлення мікропрограми зі сторінки підтримки HPs – Офіційне завантаження драйверів HP та програмного забезпечення | Підтримка HP.

  • Пристрої на базі Arm64: Засоби послаблення ризиків заблоковано через відомі проблеми з мікропрограмою UEFI з пристроями на базі Qualcomm. Корпорація Майкрософт працює з Qualcomm, щоб вирішити цю проблему. Qualcomm надасть виправлення виробникам пристроїв. Зверніться до виробника пристрою, щоб дізнатися, чи доступне вирішення цієї проблеми. Корпорація Майкрософт додасть виявлення, щоб дозволити застосування заходів послаблення ризиків на пристроях, коли виявлено фіксовану мікропрограму. Якщо на пристрої з процесором Arm64 немає мікропрограми Qualcomm, настройте наведений нижче розділ реєстру, щоб увімкнути засоби послаблення ризиків.

    Підрозділ реєстру

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Ім'я значення ключа

    Пропустити перевірку

    Тип даних

    REG_DWORD

    Дані

    1

  • Apple:Комп'ютери Mac, на яких підтримується безпечне завантаження apple T2 Security Chip. Однак оновлення змінних, пов'язаних із безпекою UEFI, доступне лише в рамках оновлень macOS. Очікується, що користувачі boot Camp побачать запис журналу подій події з ідентифікатором 1795 у Windows, пов'язані з цими змінними. Докладні відомості про цей запис журналу див. в KB5016061: події оновлення змінних DB для безпечного завантаження та DBX.

  • Vmware:У середовищах віртуалізації на базі VMware віртуальна машина, яка використовує процесор на базі x86-процесора з увімкнутим захищеним завантаженням, не зможе завантажитися після застосування заходів зниження ризику. Корпорація Майкрософт координує роботу з VMware для вирішення цієї проблеми.

  • Системи на базі TPM 2.0:  У цих системах під керуванням Windows Server 2012 і Windows Server 2012 R2 не вдалося розгорнути засоби захисту, випущені в оновленні системи безпеки від 9 квітня 2024 року через відомі проблеми сумісності з вимірами TPM. Оновлення системи безпеки від 9 квітня 2024 року блокуватимуть послаблення ризиків #2 (диспетчер завантаження) і #3 (оновлення DBX) у відповідних системах.

    Корпорації Майкрософт відомо про цю проблему, і оновлення буде випущено в майбутньому, щоб розблокувати системи на базі TPM 2.0.

    Щоб перевірити версію модуля TPM, клацніть правою кнопкою миші кнопку Пуск, виберіть команду Виконати, а потім введіть tpm.msc. У правому нижньому куті центральної області в розділі Відомості про виробника модуля TPM має відобразитися значення для параметра Версія специфікації.

  • Шифрування кінцевої точки Symantec: Засоби захисту для захисту від завантаження не можна застосувати до систем, у яких інстальовано шифрування кінцевої точки Symantec. Корпорація Майкрософт і Symantec знають про цю проблему та будуть вирішені в майбутньому оновленні.

Рекомендації з цього випуску

Для цього випуску виконайте ці два кроки.

Крок 1. Інсталяція оновлення

системи безпеки Windows Інсталюйте щомісячне оновлення системи безпеки Windows, випущене 9 квітня 2024 р. або пізніше, на підтримувані пристрої Windows. Ці оновлення містять послаблення ризиків для CVE-2023-24932, але не ввімкнуто за замовчуванням. Усі пристрої Windows мають виконати цей крок незалежно від того, чи плануєте ви розгорнути засоби послаблення ризиків.

Крок 2. Обчислення змін

Рекомендуємо виконати такі дії:

  • Ознайомтеся з першими двома ризиками, які дають змогу оновити базу даних безпечного завантаження та оновити диспетчер завантаження.

  • Перегляньте оновлений розклад.

  • Розпочніть перевірку перших двох заходів захисту від репрезентативних пристроїв із середовища.

  • Розпочніть планування етапу розгортання 9 липня 2024 року.

Крок 3. Застосування змін

Рекомендуємо вам зрозуміти ризики, наведені в розділі Розуміння ризиків.

  • Зрозумійте вплив на відновлення та інші завантажувальні носії.

  • Почніть перевірку третього зниження ризику, яке ненадійне сертифікатом підпису, який використовувався для всіх попередніх диспетчерів завантаження Windows.

Рекомендації з розгортання засобу послаблення ризиків

Перш ніж виконати ці кроки для застосування заходів зниження ризику, інсталюйте щомісячне оновлення обслуговування Windows, випущене 9 квітня 2024 р. або пізніше, на підтримуваних пристроях Windows. Це оновлення містить послаблення ризиків для CVE-2023-24932, але вони не ввімкнуто за замовчуванням. Усі пристрої Windows мають виконати цей крок незалежно від вашого плану, щоб увімкнути засоби послаблення ризиків.

ПРИМІТКА Якщо ви використовуєте BitLocker, переконайтеся, що резервну копію ключа відновлення BitLocker створено. У командному рядку адміністратора можна виконати таку команду та занотувати 48-значний числовий пароль:

manage-bde -protectors -get %systemdrive%

Щоб розгорнути оновлення та застосувати відкликання, виконайте такі дії:

  1. Інсталюйте оновлені визначення сертифікатів до бази даних.

    Цей крок додасть сертифікат "Windows UEFI CA 2023" до бази даних UEFI "Захищений завантажувальний підпис бази даних" (DB). Додавши цей сертифікат до бази даних, мікропрограма пристрою довірятиме програмам завантаження, підписаним цим сертифікатом.

    1. Відкрийте командний рядок адміністратора та встановіть ключ реєстру для виконання оновлення до бази даних, ввівши таку команду:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      ВАЖЛИВО Обов'язково перезавантажте пристрій два рази, щоб завершити інсталяцію оновлення, перш ніж перейти до кроків 2 та 3.

    2. Виконайте наведену нижче команду PowerShell як адміністратор і переконайтеся, що базу даних успішно оновлено. Ця команда має повернути значення True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Оновіть диспетчер завантаження на своєму пристрої.

    Цей крок інсталює на пристрій програму диспетчера завантаження, підписану сертифікатом "Windows UEFI CA 2023".

    1. Відкрийте командний рядок адміністратора та встановіть ключ реєстру для інсталяції диспетчера завантаження "'Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Перезавантажте пристрій два рази.

    3. Як адміністратор, змонтуйте розділ EFI, щоб підготувати його до перевірки:

      mountvol s: /s

    4. Переконайтеся, що файл "s:\efi\microsoft\boot\bootmgfw.efi" підписано сертифікатом "Windows UEFI CA 2023". Для цього виконайте такі дії:

      1. Натисніть кнопку Пуск, у полі Пошук введіть командний рядок і натисніть кнопку Командний рядок.

      2. У вікні Командний рядок введіть таку команду та натисніть клавішу Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. У Диспетчері файлів клацніть правою кнопкою миші файл C:\bootmgfw_2023.efi, виберіть пункт Властивості, а потім перейдіть на вкладку Цифрові підписи .

      4. У списку Підпис переконайтеся, що ланцюжок сертифікатів включає Windows UEFI CA 2023. Ланцюжок сертифікатів має відповідати такому знімку екрана:

        Сертифікати

  3. Увімкнути відкликання.

    Заборонений список UEFI (DBX) використовується для блокування завантаження ненадійних модулів UEFI. На цьому кроці оновлення DBX додасть сертифікат "Windows Production CA 2011" до DBX. Це призведе до того, що всі диспетчери завантаження, підписані цим сертифікатом, більше не вважатимуться надійними.

    УВАГА! Перш ніж застосовувати третє зниження ризику, створіть флеш-пам'ять для відновлення, яку можна використовувати для завантаження системи. Відомості про те, як це зробити, див. в розділі Оновлення носія для інсталяції Windows.

    Якщо система переходить у незавантажуваний стан, виконайте кроки, описані в розділі Процедура відновлення, щоб скинути пристрій до стану попереднього виклику.

    1. Додайте сертифікат "Windows Production PCA 2011" до списку заборонених UEFI безпечного завантаження (DBX). Для цього відкрийте вікно командного рядка з правами адміністратора, введіть таку команду, а потім натисніть клавішу Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Перезавантажте пристрій два рази та переконайтеся, що його повністю перезавантажено.

    3. Переконайтеся, що список інсталяції та відкликання успішно застосовано, шукаючи подію 1037 у журналі подій.

      Відомості про подію 1037 див. в статті KB5016061: події оновлення змінних DB для безпечного завантаження та змінних DBX. Або виконайте таку команду PowerShell як адміністратор і переконайтеся, що вона повертає значення True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Завантажувальний носій

Після початку етапу розгортання в середовищі важливо оновити завантажувальний носій. Рекомендації та інструменти для оновлення медіавмісту будуть надані вчасно для етапу розгортання. Етап розгортання заплановано на 9 липня 2024 року.

Приклади завантажувального носія та носія для відновлення, на який впливає ця проблема:

  • Завантажувальний носій, створений за допомогою команди "Створити диск відновлення".

  • Резервні копії Windows, які були зображені до застосування заходів послаблення ризиків. Після того, як на вашому пристрої буде активовано відкликання, їх не можна буде відновити безпосередньо для відновлення інсталяції Windows.

  • Настроюваний розділ cd/DVD або розділ відновлення, створений вами, виробником пристрою (OEM) або підприємствами.

  • ISO (за допомогою завантаження або за допомогою ADK).

  • Завантаження мережі:

    • Служби розгортання Windows.

    • Служби завантаження середовища попереднього виконання (служби завантаження PXE).

    • Microsoft Deployment Toolkit.

    • Завантаження HTTPS.

  • Інсталяційний носій і носій для відновлення оригінального обладнання.

  • Офіційні медіафайли Windows від корпорації Майкрософт, зокрема:

  • Windows PE.

  • Windows, інстальована на фізичному обладнанні або віртуальних машинах.

  • ОС перевірки Windows.

Якщо ви використовуєте завантажувальний носій з особистим пристроєм Windows, можливо, перед застосуванням відкликаних повідомлень знадобиться виконати одну або кілька з наведених нижче дій.

  • Якщо ви використовуєте програмне забезпечення для особистого резервного копіювання для збереження вмісту пристрою, не забудьте запустити повну резервну копію після застосування заходів послаблення ризиків від 9 квітня 2024 року.

  • Якщо використовується завантажувальний образ диска (ISO), компакт-диск або DVD-диск, оновіть носій, виконавши вказівки, які буде надано пізніше.

Enterprise

  • Перегляньте вичерпні рекомендації та сценарії для оновлення інсталяційного носія Windows за допомогою динамічного оновлення.

  • Якщо ви підтримуєте сценарії завантаження мережі або відновлення в середовищі, вам потрібно буде оновити всі носії та зображення. Це можуть бути такі варіанти завантаження або відновлення:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Служби розгортання Windows.

    • Завантаження PxE.

    • Завантаження HTTPS та інші сценарії завантаження мережі.

  • Один зі способів зробити це – скористатися автономною інсталяцією пакета DISM на зображеннях, які обслуговуються цими сценаріями. Це стосується оновлення файлів завантаження, які пропонуються цими службами.

  • Якщо ви використовуєте програмне забезпечення для резервного копіювання, щоб зберегти вміст інсталяції Windows у образ для відновлення, не забудьте запустити повну резервну копію після застосування заходів послаблення ризиків від 9 квітня 2024 року. Обов'язково створіть резервну копію розділу диска EFI на додачу до розділу операційної системи Windows. Чітко визначте резервні копії, зроблені перед застосуванням заходів послаблення ризиків від 9 квітня 2024 року та зроблених після застосування заходів зниження ризику.

Виробники оригінального обладнання для ПК з Windows

Оновлення носія для інсталяції Windows

ПРИМІТКА Створюючи завантажувальний флеш-пам'ять, обов'язково відформатуйте диск за допомогою файлової системи FAT32.

Щоб скористатися програмою Create Recovery Drive , виконайте наведені нижче дії. Цей носій можна використовувати для повторної інсталяції пристрою на випадок, якщо виникла серйозна проблема, наприклад неполадка обладнання, ви зможете повторно інсталювати Windows за допомогою диска відновлення.

  1. Перейдіть на пристрій, де було застосовано оновлення від 9 квітня 2024 року та перший крок зниження ризику (оновлення бази даних безпечного завантаження).

  2. У меню "Пуск" знайдіть аплет панелі керування "Create a Recovery Drive" і дотримуйтеся вказівок, щоб створити диск відновлення.

  3. Щойно створений флеш-пам'ять установлено (наприклад, як диск "D:"), виконайте наведені нижче команди з правами адміністратора. Введіть кожну з наведених нижче команд і натисніть клавішу Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Якщо ви керуєте інсталяційним медіавмістом у своєму середовищі за допомогою інсталяційного носія Оновлення Windows із рекомендаціями з динамічного оновлення , виконайте наведені нижче дії. Ці додаткові кроки допоможуть створити завантажувальний флеш-диск, який використовує файли завантаження, підписані сертифікатом підпису "Windows UEFI CA 2023".

  1. Перейдіть на пристрій, на якому було застосовано оновлення від 9 квітня 2024 року та перший крок послаблення ризиків (оновлення бази даних безпечного завантаження).

  2. Дотримуйтеся вказівок за посиланням нижче, щоб створити медіавміст з оновленнями від 9 квітня 2024 року. Оновлення інсталяційного носія Windows за допомогою динамічного оновлення

  3. Розмістіть вміст носія на флеш-накопичувачі USB і змонтуйте флеш-пам'ятку як букву диска. Наприклад, змонтуйте флеш-диск як "D:".

  4. Виконайте наведені нижче команди з командного вікна з правами адміністратора. Введіть кожну з наведених нижче команд і натисніть клавішу Enter.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Якщо після застосування заходів захисту пристрій скинув настройки безпечного завантаження до значень за замовчуванням, пристрій не завантажиться. Щоб вирішити цю проблему, програма відновлення входить до складу оновлення від 9 квітня 2024 р., які можна використовувати для повторного застосування сертифіката "Windows UEFI CA 2023" до бази даних (зниження ризиків #1).

ПРИМІТКА Не використовуйте цей застосунок відновлення на пристрої або системі, описаних у розділі Відомі проблеми .

  1. Перейдіть на пристрій, на якому застосовано оновлення від 9 квітня 2024 року.

  2. У командному вікні скопіюйте програму відновлення на флеш-пам'ять за допомогою наведених нижче команд (якщо флеш-пам'ять – це диск "D:"). Введіть кожну команду окремо, а потім натисніть клавішу Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. На пристрої з настройками безпечного завантаження відновіть початковий стан за замовчуванням, вставте флеш-пам'ять, перезавантажте пристрій і завантажте його зі флеш-пам'яті.

Хронометраж оновлень

Оновлення випускаються в такий спосіб:

  • Початкове розгортання Цей етап почався з оновлень, випущених 9 травня 2023 року, і забезпечив основні заходи з усунення ризиків вручну, щоб увімкнути ці заходи.

  • Друге розгортання Цей етап почався з оновлень, випущених 11 липня 2023 року, які додали спрощені кроки, щоб увімкнути послаблення ризиків для цієї проблеми.

  • Етап оцінювання Цей етап розпочнеться 9 квітня 2024 року та додасть додаткові засоби послаблення ризиків диспетчера завантаження.

  • Етап остаточного розгортання Це коли ми заохочуватимемо всіх клієнтів почати розгортання заходів послаблення ризиків і оновлення медіавмісту.

  • Етап примусового застосування Етап примусового застосування, який зробить пом'якшення постійними. Дата цього етапу буде оголошена пізніше.

Нотатка Розклад випуску може бути змінений за потреби.

Цей етап замінено випуском оновлень системи безпеки Windows 9 квітня 2024 р. або пізніше.

Цей етап замінено випуском оновлень системи безпеки Windows 9 квітня 2024 р. або пізніше.

На цьому етапі ми просимо перевірити ці зміни у вашому середовищі, щоб переконатися, що зміни правильно працюють із репрезентативним зразком пристроїв і отримати досвід роботи зі змінами.

ПРИМІТКА Замість того, щоб вичерпно перелічити та ненадійні вразливі менеджери завантаження, як це було на попередніх етапах розгортання, ми додаємо сертифікат підпису "Windows Production PCA 2011" до списку безпечного завантаження (DBX), щоб недовірити всім керівникам завантаження, підписаним цим сертифікатом. Це надійніший спосіб забезпечення ненадійності всіх попередніх диспетчерів завантаження.

Оновлення для Windows, випущеної 9 квітня 2024 р. або пізніше, додайте такі елементи:

  • Три нові елементи керування послабленням ризиків, які замінюють засоби послаблення ризиків, випущені у 2023 році. Нові елементи керування послабленням ризиків:

    • Елемент керування для розгортання сертифіката "Windows UEFI CA 2023" до бази даних безпечного завантаження, щоб додати довіру для диспетчерів завантаження Windows, підписаних цим сертифікатом. Зверніть увагу, що сертифікат "Windows UEFI CA 2023", можливо, інстальовано в попередньому оновленні Windows.

    • Елемент керування для розгортання диспетчера завантаження, підписаного сертифікатом "Windows UEFI CA 2023".

    • Елемент керування для додавання "Windows Production PCA 2011" до DBX безпечного завантаження, який блокує всі диспетчери завантаження Windows, підписані цим сертифікатом.

  • Можливість увімкнути розгортання засобу послаблення ризиків поетапно незалежно, щоб забезпечити більший контроль у розгортанні заходів послаблення ризиків у вашому середовищі відповідно до ваших потреб.

  • Засоби послаблення ризиків взаємозв'язані, тому їх не можна розгорнути в неправильному порядку.

  • Додаткові події, які дають змогу знати стан пристроїв під час застосування заходів послаблення ризиків. Докладні відомості про події див. в статті KB5016061: події оновлення змінних DB та DBX безпечного завантаження.

Цей етап полягає в тому, коли ми заохочуємо клієнтів почати розгортати засоби послаблення ризиків і керувати будь-якими оновленнями медіавмісту. Оновлення додадуть такі зміни:

  • Рекомендації та засоби для допомоги в оновленні медіафайлів.

  • Оновлено блок DBX для скасування додаткових диспетчерів завантаження.

Етап примусового виконання буде щонайменше через шість місяців після етапу розгортання. Коли оновлення буде випущено для етапу примусового виконання, вони включатимуть такі елементи:

  • Сертифікат "Windows Production PCA 2011" буде автоматично відкликано шляхом додавання до списку заборонених пристроїв із підтримкою безпечного завантаження UEFI (DBX). Ці оновлення буде програмно застосовано після інсталяції оновлень для Windows для всіх уражених систем без можливості вимкнення.

Помилки журналу подій Windows, пов'язані з CVE-2023-24932

Записи журналу подій Windows, пов'язані з оновленням DB і DBX, докладно описано в KB5016061: події оновлення змінних DB для безпечного завантаження та DBX.

Події успіху, пов'язані із застосуванням заходів зниження ризику, перелічено в таблиці нижче.

Крок послаблення ризиків

Ідентифікатор події

Примітки

Застосування оновлення бази даних

1036

Сертифікат PCA2023 додано до бази даних.

Оновлення диспетчера завантаження

1799

Було застосовано диспетчер завантаження PCA2023 з підписом.

Застосування оновлення DBX

1037

Оновлення DBX, яке ненадійне до сертифіката підпису PCA2011 було застосовано.

Запитання й відповіді (запитання й відповіді)

Оновіть усі операційні системи Windows оновленнями, випущеними 9 квітня 2024 р. або пізніше, перш ніж застосовувати відкликання. Можливо, ви не зможете запустити будь-яку версію Windows, не оновлену принаймні до оновлень, випущених 9 квітня 2024 року після застосування відкликань. Дотримуйтеся вказівок у розділі Виправлення неполадок завантаження .

Виправлення неполадок із завантаженням

Після застосування всіх трьох заходів зниження ризику мікропрограма пристрою не завантажиться за допомогою диспетчера завантаження, підписаного PCA Windows Production 2011. Помилки завантаження, про які повідомляє мікропрограма, стосуються конкретних пристроїв. Див. розділ Процедура відновлення .

Процедура відновлення

Якщо під час застосування заходів зниження ризику сталася помилка, але не вдалося запустити пристрій або потрібно почати роботу із зовнішнього носія (наприклад, флеш-накопичувача або завантаження PXE), спробуйте виконати наведені нижче дії.

  1. Вимкніть безпечне завантаження.

    Ця процедура відрізняється між виробниками пристроїв і моделями. Введіть у меню UEFI BIOS свої пристрої та перейдіть до настройок безпечного завантаження та вимкніть його. Перегляньте документацію від виробника пристрою, щоб дізнатися про особливості цього процесу. Докладні відомості див. в статті Вимкнення безпечного завантаження.

  2. Скидання ключів безпечного завантаження до заводських значень за замовчуванням.

    Якщо пристрій підтримує скидання ключів безпечного завантаження до заводських настройок, виконайте цю дію зараз.

    ПРИМІТКА Деякі виробники пристроїв мають параметр "Очистити" та "Скинути" для змінних безпечного завантаження, у цьому випадку слід використовувати "Скинути". Мета полягає в тому, щоб повернути змінні безпечного завантаження до стандартних значень виробників.

    Пристрій має запуститися зараз, але зверніть увагу, що він вразливий до шкідливого програмного забезпечення для завантаження. Обов'язково виконайте крок 5 цього процесу відновлення, щоб повторно ввімкнути безпечне завантаження.

  3. Спробуйте запустити Windows із системного диска.

    1. Увійдіть у Windows.

    2. Виконайте наведені нижче команди з командного рядка адміністратора, щоб відновити завантажувальні файли в розділі завантаження системи EFI. Введіть кожну команду окремо, а потім натисніть клавішу Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. Виконання BCDBoot повертає фразу "Boot files successfully created" (Успішно створено файли завантаження). Коли це повідомлення з'явиться, перезавантажте пристрій знову у Windows.

  4. Якщо крок 3 не відновлює пристрій, повторно інсталюйте Windows.

    1. Запустіть пристрій із наявного носія для відновлення.

    2. Приступайте до інсталяції Windows за допомогою носія для відновлення.

    3. Увійдіть у Windows.

    4. Перезавантажте Windows, щоб переконатися, що пристрій знову запускається у Windows.

  5. Знову ввімкніть безпечне завантаження та перезавантажте пристрій.

    Введіть меню UEFI пристрою, перейдіть до настройок безпечного завантаження та ввімкніть його. Перегляньте документацію від виробника пристрою, щоб дізнатися про особливості цього процесу. Докладні відомості див. в розділі "Повторне ввімкнення безпечного завантаження".

Посилання

Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.

Дата змінення

Опис зміни

9 квітня 2024 р.

  • Загальні зміни в процедурах, інформації, рекомендаціях і датах. Зверніть увагу, що деякі попередні зміни видалено в результаті масштабних змін, внесених у цю дату.

16 грудня 2023 р.

  • Змінено дати випуску третього розгортання та застосування в розділі "Хронометраж оновлень".

15 травня 2023 р.

  • Видалено непідтримувані Windows 10 ОС версії 21H1 з розділу "Застосовується до".

11 травня 2023 р.

  • Додано примітку CAUTION до кроку 1 у розділі "Рекомендації з розгортання" про оновлення до Windows 11 версії 21H2 або 22H2 або деяких версій Windows 10.

10 травня 2023 р.

  • Уточнив, що завантажуваний носій Windows, оновлений останнім сукупним Оновлення, незабаром буде доступний.

  • Виправлено орфографію слова "Заборонено".

9 травня 2023 р.

  • Додано додаткові підтримувані версії до розділу "Стосується".

  • Оновлено крок 1 розділу "Вжити заходів".

  • Оновлено крок 1 розділу "Рекомендації щодо розгортання".

  • Виправлено команди на кроці 3a розділу "Рекомендації з усунення помилки".

  • Виправлено розміщення зображень Hyper-V UEFI в розділі "Виправлення неполадок завантаження".

27 червня 2023 р.

  • Видалено нотатку про оновлення з Windows 10 до пізнішої версії Windows 10 яка використовує пакет активації в розділі "Рекомендації з розгортання" кроку 1:Install.

11 липня 2023 р.

  • Оновлено екземпляри дати "9 травня 2023 р." на "11 липня 2023 р.", "9 травня 2023 р. та 11 липня 2023 р." або на "9 травня 2023 р. або пізнішої версії".

  • У розділі "Рекомендації з розгортання" ми зауважимо, що всі динамічні оновлення SafeOS тепер доступні для оновлення розділів WinRE. Крім того, було видалено поле CAUTION, оскільки цю проблему вирішено після випуску динамічних оновлень SafeOS.

  • У розділі "3. ЗАСТОСУЙТЕ розділ відкликань", інструкції було переглянуто.

  • У розділі "Помилки журналу подій Windows" додається ідентифікатор події 276.

25 серпня 2023 р.

  • Оновлено різні розділи для формулювання та додано відомості про випуск від 11 липня 2023 року та майбутні версії 2024 року.

  • Перевпорядкування деякого вмісту з розділу "Уникнення проблем із завантажувальним мультимедіа" до розділу "Оновлення завантажувального носія".

  • Оновлено розділ "Хронометраж оновлень" з переглянутими датами розгортання та відомостями.
Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×