Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Змінити дату

Змінити опис

20 березня 2024 р.

  • Додано розділ "Результати та відгуки"

21 березня 2024 р.

  • Оновлено крок 4 в розділі "Крок 2. Інсталяція диспетчера завантаження PCA2023"

22 березня 2024 р.

  • Оновлено контактну інформацію електронної пошти в розділі "Результати та відгуки"

  • Додано розділ "Увімкнути необов'язкові діагностичні дані"

Вступ

Ця стаття є доповненням до наступної статті, яка буде оновлена в квітні 2024 року:

  • KB5025885: Як керувати скасуванням Диспетчера завантаження Windows для безпечного завантаження змін, пов'язаних із CVE-2023-24932

У цьому доповненні описано оновлену покрокову процедуру розгортання нових засобів захисту від завантаження BlackLotus UEFI, що відстежується CVE-2023-24932 , і містить рекомендації з тестування для вашого середовища.

Щоб захиститися від зловмисних зловживань вразливих диспетчерів завантаження, потрібно розгорнути новий сертифікат підпису безпечного завантаження UEFI на мікропрограмі пристрою та відкликати довіру до мікропрограми поточного сертифіката підпису. Це призведе до ненадійності всіх наявних вразливих диспетчерів завантаження на пристроях із підтримкою безпечного завантаження. Цей посібник допоможе вам у цьому процесі.

Нижче наведено три кроки зниження ризику, описані в цьому посібнику.

  1. Оновлення бази даних: Новий сертифікат PCA (PCA2023) буде додано до бази даних безпечного завантаження, що дасть змогу пристрою завантажувати медіавміст, підписаний цим сертифікатом.

  2. Інсталяція диспетчера завантаження: Наявний диспетчер завантаження, підписаний PCA2011, буде замінено диспетчером завантаження з підписом PCA2023.Обидва менеджери завантаження входять до оновлень системи безпеки за квітень 2024 року.

  3. Відкликання DBX PCA2011: До бази даних безпечного завантаження буде додано відмову в записі, що запобігає завантаженню диспетчерів завантаження, підписаних за допомогою PCA2011.

Нотатка Програмне забезпечення Стека обслуговування, яке застосовує ці три послаблення ризиків, не дозволить застосувати послаблення ризиків із замовленням.

Чи стосується це мене?

Цей посібник застосовується до всіх пристроїв із увімкнутим безпечним завантаженням і всіма наявними носіями відновлення для цих пристроїв.

Якщо ваш пристрій працює під керуванням Windows Server 2012 або Windows Server 2012 R2, не забудьте прочитати розділ "Відомі проблеми", перш ніж продовжити.

Перш ніж почати

Увімкнути необов'язкові діагностичні дані

Увімкніть параметр "Надсилати необов'язкові діагностичні дані", виконавши такі дії:

  1. У Windows 11 відкрийте меню Пуск> Настройки > Конфіденційність & > Діагностика & відгуків.

  2. Увімкніть параметр Надсилати необов'язкові діагностичні дані.

    Діагностика & відгуків

Докладні відомості див. в статті Діагностика, відгуки та конфіденційність у Windows

ПРИМІТКА Переконайтеся, що підключення до Інтернету встановлено протягом деякого часу після перевірки.

Виконання тестового тестування

Після інсталяції оновлень Windows за квітень 2024 р., а потім, перш ніж виконати кроки, які потрібно ввімкнути, обов'язково зробіть тестовий тест, щоб перевірити цілісність системи.

  1. VPN: Переконайтеся, що доступ VPN до корпоративних ресурсів і мережі працює.

  2. Windows Hello: Увійдіть на пристрій Windows, використовуючи звичайну процедуру (обличчя, відбиток пальця/PIN-код).

  3. Bitlocker: Система зазвичай запускається в системах із підтримкою BitLocker без будь-якого запиту на відновлення BitLocker під час запуску системи.

  4. Атестація справності пристрою: Переконайтеся, що пристрої, які використовують атестацію справності пристроїв, належним чином засвідчили їхній стан.

Відомі проблеми

Лише для Windows Server 2012 і Windows Sever 2012 R2:

  • Системам на базі TPM 2.0 не вдалося розгорнути засоби послаблення ризиків, випущені в оновленні системи безпеки за квітень 2024 р. через відомі проблеми сумісності з вимірами модуля TPM. Оновлення за квітень 2024 р. заблокують послаблення ризиків #2 (диспетчер завантаження) і #3 (оновлення DBX) у відповідних системах.

  • Корпорації Майкрософт відомо про цю проблему, і оновлення буде випущено в майбутньому, щоб розблокувати системи на базі TPM 2.0.

  • Щоб перевірити версію модуля TPM, клацніть правою кнопкою миші кнопку Пуск, виберіть команду Виконати, а потім введіть tpm.msc. У правому нижньому куті центральної області в розділі Відомості про виробника модуля TPM має відобразитися значення для параметра Версія специфікації.

Кроки перевірки для відмови

В іншій частині цієї статті описано перевірку на приєднання пристроїв до послаблення ризиків. За промовчанням засоби послаблення ризиків не ввімкнуто. Якщо підприємство планує активувати ці заходи, виконайте наведені нижче дії, щоб перевірити сумісність пристрою.

  1. Розгортання попереднього оновлення системи безпеки за квітень 2024 р.

  2. Відкрийте командний рядок адміністратора та настройте розділ реєстру для виконання оновлення бази даних, ввівши таку команду, а потім натисніть клавішу Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Перезавантажте пристрій два рази.

  4. Переконайтеся, що базу даних успішно оновлено, переконавшись, що наведена нижче команда повертає значення True. Виконайте таку команду PowerShell як адміністратор:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Відкрийте командний рядок адміністратора та настройте розділ реєстру, щоб завантажити та інсталювати диспетчер завантаження з PCA2023 підписаним:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Перезавантажте пристрій два рази.

  3. Як адміністратор, змонтуйте розділ EFI, щоб підготувати його до перевірки:

    mountvol s: /s

  4. Перевірте, чи підписано PCA2023 "s:\efi\microsoft\boot\bootmgfw.efi". Для цього виконайте такі дії:

    1. Натисніть кнопку Пуск, введіть командний рядок у полі Пошук і натисніть кнопку Командний рядок.

    2. У вікні командного рядка введіть наведену нижче команду та натисніть клавішу Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. У Диспетчері файлів клацніть правою кнопкою миші файл C:\bootmgfw_2023.efi, виберіть пункт Властивості, а потім перейдіть на вкладку Цифрові підписи.

    4. У списку Підпис переконайтеся, що ланцюжок сертифікатів містить Центр сертифікації Windows UEFI 2023.

УВАГА! Цей крок розгортає відкликання DBX для ненадійних старих вразливих диспетчерів завантаження, підписаних за допомогою PCA2011 Windows Production. Пристрої, до яких застосовано цей виклик, більше не завантажуватимуться з наявних серверів відновлення мультимедіа та завантаження мережі (PXE/HTTP), на яких не оновлено компоненти диспетчера завантаження.

Якщо пристрій переходить у незавантажуваний стан, виконайте кроки, описані в розділі "Процедури відновлення та відновлення", щоб скинути пристрій до стану попереднього виклику.

Після застосування DBX, якщо потрібно повернути пристрій до попереднього стану безпечного завантаження, дотримуйтеся розділу "Процедури відновлення та відновлення".

Застосуйте послаблення ризиків DBX, щоб недовірити сертифікату PCA2011 Windows Production у безпечному завантаженні:

  1. Відкрийте командний рядок адміністратора та настройте розділ реєстру, щоб розмістити відкликання для PCA2011 в DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Перезавантажте пристрій два рази та переконайтеся, що його повністю перезавантажено.

  3. Переконайтеся, що зниження ризиків DBX успішно застосовано. Для цього виконайте таку команду PowerShell як адміністратор і переконайтеся, що команда повертає значення True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Або знайдіть таку подію в перегляд подій:

    Журнал подій

    Система

    Джерело події

    TPM-WMI

    Ідентифікатор події

    1037

    Рівень

    Відомості

    Текст повідомлення про подію

    Безпечне завантаження Dbx оновлення для відкликання Microsoft Windows Production PCA 2011 застосовується успішно

  4. Виконайте тестову перевірку елементів із розділу "Перш ніж почати" та переконайтеся, що всі системи працюють нормально.

Довідка з розділу реєстру

Крок 1 підтвердження відмовиКрок 2 із підтвердження відмовиКрок 3 підтвердження відмови

Команду

Мета

Коментарі 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Інсталює оновлення бази даних, щоб дозволити диспетчер завантаження з підписом PCA2023

Команду

Мета

Коментарі 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Інсталяція PCA2023 з підписом bootmgr

Значення з ушановано лише після завершення 0x40 кроку

Команду

Мета

Коментарі 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Інсталює оновлення DBX, яке відкликає PCA2011

Значення з ушановано лише після виконання обох 0x40 & 0x100 кроків

Результати та відгуки

Надсилайте повідомлення електронної пошти на suvp@microsoft.com за допомогою результатів тестування, запитань і відгуків.

Процедури відновлення та відновлення

Під час виконання процедур відновлення надайте корпорації Майкрософт такі дані:

  • Знімок екрана: помилка завантаження.

  • Виконані кроки призвели до того, що пристрій не став завантажувальним.

  • Відомості про конфігурацію пристрою.

Під час виконання процедури відновлення перед запуском процедури призупиніть BitLocker.

Якщо під час цього процесу сталася помилка та не вдалося запустити пристрій або потрібно почати роботу із зовнішнього носія (наприклад, флеш-накопичувача або завантаження PXE), виконайте наведені нижче дії.

  1. Вимкнення безпечного завантаження

    Ця процедура відрізняється між виробниками комп'ютерів і моделями. Введіть меню UEFI BIOS на комп'ютерах і перейдіть до параметра безпечного завантаження та вимкніть його. Перегляньте документацію від виробника ПК, щоб дізнатися про особливості цього процесу. Докладні відомості див. в статті Вимкнення безпечного завантаження.

  2. Очистити ключі

    безпечного завантаження Якщо пристрій підтримує очищення ключів безпечного завантаження або скидання ключів безпечного завантаження до заводських настройок, виконайте цю дію зараз.  

    Пристрій має запуститися зараз, але зверніть увагу, що він вразливий до шкідливого програмного забезпечення для завантаження. Обов'язково виконайте крок 5 у кінці цього процесу відновлення, щоб повторно ввімкнути безпечне завантаження.

  3. Спробуйте запустити Windows із системного диска.

    1. Якщо BitLocker увімкнуто та він одужає, введіть ключ відновлення BitLocker.

    2. Увійдіть у Windows.

    3. Виконайте наведені нижче команди з командного рядка адміністратора, щоб відновити завантажувальні файли в розділі завантаження системи EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Виконання BCDBoot має повернути "Успішно створено файли завантаження".

    5. Якщо BitLocker увімкнуто, призупиніть BitLocker.

    6. Перезавантажте пристрій.

  4. Якщо крок 3 не вдалося відновити пристрій, повторно інсталюйте Windows.

    1. Почніть із наявного носія для відновлення.

    2. Приступайте до інсталяції Windows за допомогою носія для відновлення.

    3. Увійдіть у Windows.

    4. Перезавантажте пристрій, щоб перевірити, чи пристрій успішно запускається у Windows.

  5. Знову ввімкніть безпечне завантаження та перезавантажте пристрій.

    Введіть меню devicce UEFI та перейдіть до параметра безпечного завантаження та ввімкніть його. Перегляньте документацію від виробника пристрою, щоб дізнатися про особливості цього процесу. Докладні відомості див. в статті Повторне ввімкнення безпечного завантаження.

  6. Якщо запуск Windows продовжує завершувати роботу з помилкою, знову введіть UEFI BIOS і вимкніть безпечне завантаження.

  7. Запустіть Windows.

  8. Спільний доступ до вмісту бази даних, DBX з Корпорацією Майкрософт.

    1. Відкрийте PowerShell у режимі адміністратора.

    2. Захопіть базу даних:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Захопіть DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Надання спільного доступу до файлів DBUpdateFw.bin та dbxUpdateFw.bin , створених на кроках 8b і 8c.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×