Ngày phát hành ban đầu: Ngày 13 tháng 2 năm 2025
KB ID: 5053946
Giới thiệu
Tài liệu này mô tả việc triển khai các biện pháp bảo vệ chống lại việc bỏ qua tính năng bảo mật Khởi động An toàn được tiết lộ công khai sử dụng bộ khởi động BlackLotus UEFI được theo dõi bởi CVE-2023-24932 cho môi trường doanh nghiệp.
Để tránh bị gián đoạn, Microsoft không có kế hoạch triển khai các biện pháp giảm nhẹ này trong doanh nghiệp nhưng sẽ cung cấp hướng dẫn này để giúp doanh nghiệp tự áp dụng các biện pháp giảm nhẹ. Điều này cung cấp cho doanh nghiệp quyền kiểm soát kế hoạch triển khai và thời gian triển khai.
Bắt đầu
Chúng tôi đã chia triển khai thành nhiều bước có thể đạt được trên một đường thời gian phù hợp với tổ chức của bạn. Bạn nên tự làm quen với các bước này. Sau khi hiểu rõ các bước, bạn nên cân nhắc cách các bước sẽ hoạt động trong môi trường của bạn và chuẩn bị các kế hoạch triển khai phù hợp với doanh nghiệp của bạn trên đường thời gian.
Việc thêm chứng chỉ Windows UEFI CA 2023 mới và chứng chỉ Microsoft Windows Production PCA 2011 yêu cầu sự hợp tác từ vi chương trình của thiết bị. Vì có sự kết hợp lớn giữa phần cứng thiết bị và vi chương trình và Microsoft không thể kiểm tra tất cả các kết hợp, chúng tôi khuyến khích bạn kiểm tra các thiết bị đại diện trong môi trường của bạn trước khi triển khai rộng rãi. Chúng tôi khuyên bạn nên kiểm tra ít nhất một thiết bị của mỗi loại được sử dụng trong tổ chức của bạn. Một số sự cố thiết bị đã biết sẽ chặn các biện pháp giảm nhẹ này được ghi lại như một phần của KB5025885: Cách quản lý việc thu hồi trình quản lý khởi động Windows đối với các thay đổi Khởi động An toàn được liên kết với CVE-2023-24932. Nếu bạn phát hiện sự cố vi chương trình thiết bị không được liệt kê trong phần Sự cố Đã biết, hãy làm việc với nhà cung cấp OEM để khắc phục sự cố.
Vì tài liệu này tham chiếu đến một số chứng chỉ khác nhau, chúng được trình bày trong bảng sau đây để dễ dàng tham khảo và rõ ràng:
|
CAs cũ 2011 |
CAs mới 2023 (hết hạn vào năm 2038) |
Chức năng |
|
Microsoft Corporation KEK CA 2011 (hết hạn vào tháng 7 năm 2026) |
Microsoft Corporation KEK CA 2023 |
Các bản cập nhật Dấu DB và DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (hết hạn vào tháng 10 năm 2026) |
Windows UEFI CA 2023 (PCA2023) |
Ký bộ tải khởi động Windows |
|
Microsoft Corporation UEFI CA 2011 (hết hạn vào tháng 7 năm 2026) |
Microsoft UEFI CA 2023 và Microsoft Option ROM UEFI CA 2023 |
Ký vào bộ tải khởi động của bên thứ ba và ROM tùy chọn |
Quan trọng Hãy chắc chắn để áp dụng các bản cập nhật bảo mật mới nhất cho các máy kiểm tra trước khi thử nghiệm thiết bị với các mitigations.
Lưu ý Trong quá trình kiểm tra vi chương trình của thiết bị, bạn có thể phát hiện các sự cố ngăn các bản cập nhật Khởi động An toàn hoạt động bình thường. Điều này có thể yêu cầu phải nhận được vi chương trình cập nhật từ nhà sản xuất (OEM) và cập nhật vi chương trình trên các thiết bị bị ảnh hưởng để giảm thiểu các sự cố mà bạn phát hiện.
Có bốn biện pháp giảm nhẹ phải được áp dụng để bảo vệ chống lại các cuộc tấn công được mô tả trong CVE-2023-24932:
-
Giảm nhẹ 1: Cài đặt định nghĩa chứng chỉ (PCA2023) cập nhật vào DB
-
Giảm thiểu 2:Cập nhật trình quản lý khởi động trên thiết bị của bạn
-
Giảm thiểu 3:Bật thu hồi (PCA2011)
-
Giảm nhẹ 4:Áp dụng bản cập nhật SVN cho vi chương trình
Bốn biện pháp giảm nhẹ này có thể được áp dụng theo cách thủ công cho từng thiết bị thử nghiệm theo hướng dẫn được mô tả trong hướng dẫn triển khai Giảm nhẹ của KB5025885: Cách quản lý việc thu hồi trình quản lý khởi động Windows đối với các thay đổi Khởi động An toàn được liên kết với CVE-2023-24932 hoặc bằng cách làm theo hướng dẫn trong tài liệu này. Tất cả bốn biện pháp giảm nhẹ đều dựa vào firmware để hoạt động bình thường.
Việc hiểu những rủi ro sau đây sẽ giúp bạn trong quá trình lập kế hoạch.
Sự cố vi chương trình:Mỗi thiết bị đều có vi chương trình do nhà sản xuất thiết bị cung cấp. Đối với các hoạt động triển khai được mô tả trong tài liệu này, chương trình cơ sở phải có khả năng chấp nhận và xử lý các bản cập nhật cho Secure Boot DB (Signature Database) và DBX (Cấm Cơ sở dữ liệu Chữ ký). Ngoài ra, phần mềm có trách nhiệm xác thực chữ ký hoặc ứng dụng khởi động, bao gồm cả trình quản lý khởi động Windows. Vi chương trình thiết bị là phần mềm và giống như bất kỳ phần mềm nào, có thể có các lỗi, đó là lý do tại sao điều quan trọng là phải kiểm tra các hoạt động này trước khi triển khai rộng rãi.Microsoft đang tiến hành kiểm tra nhiều tổ hợp thiết bị/vi chương trình, bắt đầu với các thiết bị trong phòng thí nghiệm và văn phòng của Microsoft và Microsoft đang làm việc với OEM để kiểm tra thiết bị của họ. Gần như tất cả các thiết bị được thử nghiệm đã trôi qua mà không có sự cố. Trong một vài trường hợp, chúng tôi đã thấy các sự cố với vi chương trình không xử lý chính xác các bản cập nhật và chúng tôi đang làm việc với OEM để giải quyết các vấn đề mà chúng tôi biết.
Lưu ý Trong quá trình thử nghiệm thiết bị, nếu phát hiện sự cố vi chương trình, bạn nên làm việc với nhà sản xuất thiết bị/OEM để khắc phục sự cố. Tìm ID Sự kiện 1795 trong nhật ký sự kiện. Xem mục KB5016061: Sự kiện cập nhật biến số Khởi động An toàn DB và DBX để biết thêm chi tiết về các sự kiện Khởi động An toàn.
Cài đặt Phương tiện:Bằng cách áp dụng Mitigation 3 và Mitigation 4 được mô tả ở phần sau của tài liệu này, mọi phương tiện cài đặt Windows hiện có sẽ không thể khởi động được nữa cho đến khi phương tiện có trình quản lý khởi động được cập nhật. Các biện pháp giảm thiểu được mô tả trong tài liệu này ngăn chặn người quản lý khởi động cũ, dễ bị tổn thương chạy bằng cách không tin cậy chúng trong phần vững. Điều này ngăn chặn kẻ tấn công quay trở lại quản lý khởi động hệ thống phiên bản trước đó và khai thác lỗ hổng hiện diện trong các phiên bản cũ hơn. Chặn các trình quản lý khởi động dễ bị tấn công này sẽ không ảnh hưởng đến hệ thống đang chạy. Tuy nhiên, trình quản lý khởi động sẽ ngăn không cho mọi phương tiện có thể khởi động bắt đầu cho đến khi trình quản lý khởi động trên phương tiện được cập nhật. Điều này bao gồm hình ảnh ISO, ổ đĩa USB có thể khởi động và Khởi động mạng (PxE và khởi động HTTP).
Cập nhật lên PCA2023 và trình quản lý khởi động mới
-
Giảm nhẹ 1: Cài đặt định nghĩa chứng chỉ cập nhật vào DB Thêm chứng chỉ Windows UEFI CA 2023 mới vào Cơ sở dữ liệu Chữ ký Khởi động An toàn của UEFI (DB). Bằng cách thêm chứng chỉ này vào DB, vi chương trình thiết bị sẽ tin cậy các ứng dụng khởi động Microsoft Windows được ký bằng chứng chỉ này.
-
Mitigation 2: Cập nhật trình quản lý khởi động trên thiết bị của bạn Áp dụng trình quản lý khởi động Windows mới được ký bằng chứng chỉ Windows UEFI CA 2023 mới.
Các biện pháp giảm nhẹ này rất quan trọng đối với khả năng bảo trì lâu dài của Windows trên các thiết bị này. Vì chứng chỉ PCA Sản xuất Microsoft Windows 2011 trong vi chương trình sẽ hết hạn vào tháng 10 năm 2026, các thiết bị phải có chứng chỉ Windows UEFI CA 2023 mới trong vi chương trình trước khi hết hạn hoặc thiết bị sẽ không còn có thể nhận các bản cập nhật Windows, khiến thiết bị ở trạng thái bảo mật dễ bị tấn công.
Để biết thông tin về cách áp dụng Mitigation 1 và Mitigation 2 trong hai bước riêng biệt (nếu bạn muốn thận trọng hơn, ít nhất là lúc đầu) hãy xem KB5025885: Cách quản lý việc thu hồi trình quản lý khởi động Windows đối với các thay đổi Khởi động An toàn được liên kết với CVE-2023-24932. Hoặc bạn có thể áp dụng cả hai biện pháp giảm nhẹ bằng cách chạy thao tác khóa đăng ký đơn sau đây với tư cách người quản trị:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Khi các biện pháp giảm nhẹ áp dụng, các bit trong khóa AvailableUpdates sẽ bị xóa. Sau khi đặt thành 0x140 khởi động lại, giá trị sẽ thay đổi thành 0x100 và sau khi khởi động lại lần nữa, giá trị sẽ thay đổi thành 0x000.
Khởi động quản lý giảm nhẹ sẽ không được áp dụng cho đến khi phần mềm chỉ ra rằng chứng chỉ 2023 giảm nhẹ thành công được áp dụng. Không thể thực hiện các thao tác này ngoài thứ tự.
Khi cả hai biện pháp giảm nhẹ đều được áp dụng, khóa đăng ký sẽ được đặt để biểu thị rằng hệ thống "2023 có khả năng", nghĩa là có thể cập nhật phương tiện và có thể áp dụng Mitigation 3 và Mitigation 4.
Trong hầu hết các trường hợp, hoàn thành Mitigation 1 và Mitigation 2 yêu cầu ít nhất hai lần khởi động lại trước khi áp dụng đầy đủ các biện pháp giảm nhẹ. Việc thêm khởi động lại bổ sung trong môi trường của bạn sẽ giúp đảm bảo rằng các biện pháp giảm nhẹ được áp dụng sớm hơn. Tuy nhiên, việc giả tạo thêm khởi động lại và có thể hợp lý là dựa vào việc khởi động lại hàng tháng xảy ra như một phần của việc áp dụng các bản cập nhật bảo mật. Làm như vậy có nghĩa là ít gián đoạn trong môi trường của bạn nhưng có nguy cơ mất nhiều thời gian hơn để có được an toàn.
Sau khi triển khai Mitigation 1 và Mitigation 2 cho thiết bị của mình, bạn nên giám sát thiết bị của mình để đảm bảo rằng các thiết bị được áp dụng các biện pháp giảm nhẹ và hiện "có khả năng 2023". Giám sát có thể được thực hiện bằng cách tìm khóa đăng ký sau đây trên hệ thống. Nếu khóa tồn tại và được đặt thành 1, sau đó hệ thống đã thêm chứng chỉ 2023 vào biến Secure Boot DB. Nếu khóa tồn tại và được đặt thành 2 thì hệ thống có chứng chỉ 2023 trong DB và bắt đầu với trình quản lý khởi động đã ký 2023.
|
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Tên Giá trị Khóa |
WindowsUEFICA2023Capable |
|
|
Loại dữ liệu |
REG_DWORD |
|
|
Dữ liệu |
0 – hoặc khóa không tồn tại - chứng chỉ "Windows UEFI CA 2023" không có trong DB 1 - chứng chỉ "Windows UEFI CA 2023" nằm trong DB 2 - Chứng chỉ "Windows UEFI CA 2023" có trong DB và hệ thống bắt đầu từ trình quản lý khởi động đã ký 2023. |
|
Cập nhật Phương tiện Có thể Khởi động
Sau khi áp dụng Mitigation 1 và Mitigation 2 cho thiết bị của mình, bạn có thể cập nhật mọi phương tiện có thể khởi động mà bạn sử dụng trong môi trường của mình. Cập nhật phương tiện có thể khởi động có nghĩa là áp dụng trình quản PCA2023 khởi động đã ký cho phương tiện. Điều này bao gồm cập nhật hình ảnh khởi động mạng (chẳng hạn như PxE và HTTP), hình ảnh ISO và ổ đĩa USB. Nếu không, các thiết bị được áp dụng các biện pháp giảm nhẹ sẽ không bắt đầu từ phương tiện khởi động sử dụng trình quản lý khởi động Windows cũ và CA 2011.
Các công cụ và hướng dẫn về cách cập nhật từng loại phương tiện có thể khởi động có sẵn tại đây:
|
Loại Phương tiện |
Tài nguyên |
|
ISO, ổ đĩa USB, v.v... |
|
|
Máy chủ khởi động PXE |
Tài liệu cần cung cấp sau |
Trong quá trình cập nhật phương tiện, bạn phải đảm bảo kiểm tra phương tiện bằng thiết bị có tất cả bốn biện pháp giảm nhẹ tại chỗ. Hai biện pháp giảm nhẹ cuối cùng sẽ chặn các trình quản lý khởi động cũ hơn, dễ bị tấn công. Có phương tiện với người quản lý khởi động hiện tại tại chỗ là một phần quan trọng của việc hoàn thành quy trình này.
Lưu ý Vì các cuộc tấn công quay lui của trình quản lý khởi động là một thực tế và chúng tôi mong đợi các bản cập nhật liên tục cho trình quản lý khởi động Windows để giải quyết các sự cố bảo mật, chúng tôi khuyên các doanh nghiệp nên lên kế hoạch cho các bản cập nhật phương tiện bán thường xuyên và có các quy trình tại chỗ để giúp các bản cập nhật phương tiện trở nên dễ dàng và tốn ít thời gian hơn. Mục tiêu của chúng tôi là giới hạn số lần làm mới trình quản lý khởi động phương tiện truyền thông đến nhiều nhất hai lần mỗi năm, nếu có thể.
Phương tiện có thể khởi động không bao gồm ổ đĩa hệ thống thiết bị mà Windows thường nằm và bắt đầu tự động. Phương tiện có thể khởi động thường được sử dụng để khởi động thiết bị không có phiên bản Windows có thể khởi động và phương tiện có thể khởi động thường được sử dụng để cài đặt Windows trên thiết bị.
Cài đặt Khởi động An toàn của UEFI xác định trình quản lý khởi động nào đáng tin cậy bằng cách sử dụng Secure Boot DB (Signature Database) và DBX (Cấm Cơ sở dữ liệu Chữ ký). DB chứa các hàm hashe và khóa dành cho phần mềm đáng tin cậy, đồng thời các cửa hàng DBX đã thu hồi, bị xâm phạm và các khóa cũng như hàm hashe không đáng tin cậy để ngăn chặn phần mềm trái phép hoặc có hại chạy trong quá trình khởi động.
Nó rất hữu ích để suy nghĩ về các trạng thái khác nhau mà một thiết bị có thể được trong và những gì phương tiện có thể khởi động có thể được sử dụng với các thiết bị trong mỗi tiểu bang. Trong tất cả các trường hợp, phần vững xác định nếu nó nên tin tưởng trình quản lý khởi động nó được trình bày và, một khi nó chạy trình quản lý khởi động, DB và DBX không còn được tham khảo ý kiến của phần mềm. Phương tiện truyền thông có thể khởi động có thể sử dụng một 2011 CA ký trình quản lý khởi động hoặc một 2023 CA ký trình quản lý khởi động nhưng không phải cả hai. Phần tiếp theo mô tả trạng thái có thể chứa thiết bị và trong một số trường hợp, phương tiện nào có thể được khởi động từ thiết bị.
Các trường hợp thiết bị này có thể hữu ích khi lên kế hoạch triển khai các biện pháp giảm thiểu trên các thiết bị của bạn.
Thiết bị Mới
Một số thiết bị mới bắt đầu đi kèm với cả CAs 2011 và 2023 được cài đặt sẵn trong vi chương trình thiết bị. Không phải tất cả các nhà sản xuất đã chuyển qua để có cả hai và vẫn có thể là các thiết bị vận chuyển với chỉ 2011 CA cài đặt sẵn.
-
Thiết bị có cả CAs 2011 và 2023 có thể bắt đầu phương tiện bao gồm trình quản lý khởi động đã ký CA 2011 hoặc bộ quản lý khởi động đã ký CA 2023.
-
Thiết bị chỉ cài đặt CA 2011 có thể chỉ khởi động phương tiện với trình quản lý khởi động đã ký CA 2011. Hầu hết các phương tiện truyền thông cũ bao gồm 2011 CA ký khởi động manger.
Thiết bị có Mitigations 1 và 2
Các thiết bị này được cài đặt sẵn với CA 2011 và bằng cách áp dụng Mitigation 1, bây giờ đã cài đặt CA 2023. Vì các thiết bị này tin cậy cả hai CAs, các thiết bị này có thể bắt đầu cả phương tiện truyền thông với CA 2011 và trình quản lý khởi động đã ký 2023.
Thiết bị có Mitigations 3 và 4
Những thiết bị này có CA 2011 bao gồm trong DBX và sẽ không còn tin cậy phương tiện truyền thông với một 2011 CA ký khởi động quản lý. Một thiết bị có cấu hình này sẽ chỉ khởi động phương tiện với trình quản lý khởi động đã ký CA 2023.
Đặt lại Khởi động An toàn
Nếu cài đặt Khởi động An toàn đã được đặt lại về giá trị mặc định, mọi biện pháp giảm nhẹ đã được áp dụng cho DB (thêm 2023 CA) và DBX (không tin cậy CA 2011) có thể không còn được áp dụng. Hành vi sẽ phụ thuộc vào những gì mặc định phần mềm.
DBX
Nếu Mitigations 3 và/hoặc 4 đã được áp dụng và DBX bị xóa thì CA 2011 sẽ không nằm trong danh sách DBX và vẫn sẽ được tin cậy. Nếu điều này xảy ra, sẽ cần áp dụng lại biện pháp giảm nhẹ 3 và/hoặc 4.
DB
Nếu DB chứa CA 2023 và nó bị loại bỏ bằng cách đặt lại cài đặt Khởi động An toàn về mặc định, hệ thống có thể không khởi động nếu thiết bị dựa vào trình quản lý khởi động đã ký CA 2023. Nếu thiết bị không khởi động, hãy sử dụng công cụ securebootrecovery.efi được mô tả trong KB5025885: Cách quản lý việc thu hồi trình quản lý khởi động Windows đối với các thay đổi Khởi động An toàn được liên kết với CVE-2023-24932 để khôi phục hệ thống.
Không tin cậy PCA2011 và áp dụng Số Phiên bản Bảo mật cho DBX
-
Giảm nhẹ 3: Bật thu hồi Không tin cậy chứng chỉ PCA 2011 Sản xuất Microsoft Windows bằng cách thêm nó vào chương trình cơ sở Khởi động An toàn DBX. Điều này sẽ gây ra phần vững để không tin tưởng tất cả 2011 CA ký trình quản lý khởi động và bất kỳ phương tiện truyền thông mà dựa vào 2011 CA ký khởi động quản lý.
-
Giảm thiểu 4: Áp dụng bản cập nhật Số Phiên bản Bảo mật cho vi chương trình Áp dụng bản cập nhật Số Phiên bản Bảo mật (SVN) cho vi chương trình Secure Boot DBX. Khi một trình quản lý khởi động được ký năm 2023 bắt đầu chạy, nó thực hiện tự kiểm tra bằng cách so sánh SVN được lưu trữ trong phần mềm điều khiển với SVN được tích hợp trong trình quản lý khởi động. Nếu trình quản lý khởi động SVN thấp hơn so với phần mềm SVN, trình quản lý khởi động sẽ không chạy. Tính năng này ngăn chặn kẻ tấn công quay lui trình quản lý khởi động về phiên bản cũ hơn, không cập nhật. Đối với các bản cập nhật bảo mật trong tương lai cho trình quản lý khởi động, SVN sẽ được tăng dần và Mitigation 4 sẽ cần được áp dụng lại.
Quan trọng Mitigation 1 và Mitigation 2 phải được hoàn thành trước khi áp dụng Mitigation 3 và Mitigation 4.
Để biết thông tin về cách áp dụng Mitigation 3 và Mitigation 4 trong hai bước riêng biệt (nếu bạn muốn thận trọng hơn, ít nhất là lúc đầu) hãy xem KB5025885: Cách quản lý thu hồi trình quản lý khởi động Windows đối với thay đổi Khởi động An toàn liên kết với CVE-2023-24932 Hoặc bạn có thể áp dụng cả hai biện pháp giảm nhẹ bằng cách chạy thao tác khóa đăng ký đơn sau đây với vai trò Người quản trị:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Việc áp dụng cả hai biện pháp giảm nhẹ cùng nhau sẽ chỉ yêu cầu khởi động lại một lần để hoàn tất thao tác.
-
Giảm thiểu 3: Bạn có thể xác minh rằng danh sách thu hồi đã được áp dụng thành công bằng cách tìm ID Sự kiện : 1037 trong nhật ký sự kiện, mỗi KB5016061: Sự kiện cập nhật biến số DB và Khởi động Bảo mật.Ngoài ra, bạn có thể chạy lệnh PowerShell sau với tư cách Người quản trị và đảm bảo lệnh trả về True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Giảm nhẹ 4: Một phương pháp để xác nhận rằng thiết đặt SVN đã được áp dụng chưa tồn tại. Phần này sẽ được cập nhật khi có giải pháp.
Tham khảo
KB5016061: Sự kiện cập nhật biến số Khởi động An toàn DB và DBX
