Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Thay đổi ngày

Thay đổi mô tả

Ngày 20 tháng 3 năm 2024

  • Đã thêm mục "Kết quả và Phản hồi"

Ngày 21 tháng 3 năm 2024

  • Cập nhật Bước 4 trong phần "Bước 2: Cài đặt trình quản PCA2023 khởi động đã ký"

Ngày 22 tháng 3 năm 2024

  • Đã cập nhật thông tin liên hệ qua email trong phần "Kết quả và Phản hồi"

  • Đã thêm mục "Bật Dữ liệu Chẩn đoán Tùy chọn"

Giới thiệu

Bài viết này là phần bổ sung cho bài viết sau đây sẽ được cập nhật vào tháng 4 năm 2024:

  • KB5025885: Cách quản lý việc thu hồi Trình quản lý Khởi động Windows đối với các thay đổi Khởi động An toàn được liên kết với CVE-2023-24932

Phần bổ sung này mô tả quy trình từng bước được cập nhật để triển khai các biện pháp giảm nhẹ mới chống lại bộ khởi động BlackLotus UEFI được theo dõi bởi CVE-2023-24932 và bao gồm hướng dẫn thử nghiệm cho môi trường của bạn.

Để giúp bảo vệ chống lại sự lạm dụng độc hại của người quản lý khởi động dễ bị tổn thương, chúng ta phải triển khai chứng chỉ ký khởi động an toàn UEFI mới cho vi chương trình thiết bị và để thu hồi độ tin cậy vào vi chương trình của chứng chỉ ký hiện tại. Thực hiện điều này sẽ khiến tất cả các trình quản lý khởi động hiện có, dễ bị tấn công không tin cậy bởi các thiết bị đã bật Khởi động An toàn. Hướng dẫn này sẽ giúp bạn thực hiện quy trình đó.

Ba bước giảm nhẹ được nêu trong hướng dẫn này như sau:

  1. Cập nhật DB: Chứng chỉ PCA (PCA2023) mới sẽ được thêm vào DB Khởi động An toàn, chứng chỉ này sẽ cho phép thiết bị khởi động phương tiện được ký bằng chứng chỉ này.

  2. Cài đặt trình quản lý khởi động: Trình quản lý khởi PCA2011 ký sẵn có sẽ được thay thế bằng trình quản lý PCA2023 khởi động đã ký.Cả hai trình quản lý khởi động đều được bao gồm trong bản cập nhật bảo mật tháng 4 năm 2024.

  3. Thu hồi DBX của PCA2011: Một mục bị từ chối sẽ được thêm vào Secure Boot DBX ngăn các trình quản lý khởi động đã ký PCA2011 khởi động.

Lưu ý Phần mềm Xếp chồng Dịch vụ áp dụng ba biện pháp giảm nhẹ này sẽ không cho phép áp dụng các biện pháp giảm nhẹ ngoài thứ tự.

Điều này có áp dụng cho tôi không?

Hướng dẫn này áp dụng cho mọi thiết bị có bật Khởi động An toàn và tất cả các phương tiện khôi phục hiện có cho các thiết bị này.

Nếu thiết bị của bạn đang chạy Windows Server 2012 hoặc Windows Server 2012 R2, hãy nhớ đọc mục "Sự cố Đã biết" trước khi tiếp tục.

Trước khi bạn bắt đầu

Bật Dữ liệu Chẩn đoán Tùy chọn

Vui lòng bật cài đặt "Gửi dữ liệu chẩn đoán tùy chọn" bằng cách thực hiện các bước sau:

  1. Trong Trình Windows 11, hãy chuyển đến Bắt đầu Cài > Thiết đặt > quyền riêng tư & và > Chẩn đoán & phản hồi.

  2. Bật Gửi dữ liệu chẩn đoán tùy chọn.

    Chẩn đoán và & phản hồi

Để biết thêm thông tin, hãy xem Chẩn đoán, phản hồi và quyền riêng tư trong Windows

Lưu ý Đảm bảo rằng bạn có kết nối internet trong và trong một khoảng thời gian sau khi xác thực.

Làm bài kiểm tra

Sau khi cài đặt các bản cập nhật Windows tháng 4 năm 2024 và trước khi thực hiện các bước để chọn tham gia, hãy đảm bảo thực hiện kiểm tra để xác minh tính toàn vẹn của hệ thống:

  1. VPN: Xác minh rằng quyền truy cập VPN vào các tài nguyên của công ty và mạng đang hoạt động.

  2. Windows Hello: Đăng nhập vào thiết bị Windows bằng cách sử dụng quy trình thông thường của bạn (khuôn mặt/dấu vân tay/mã PIN).

  3. BitLocker: Hệ thống khởi động bình thường trên các hệ thống hỗ trợ BitLocker mà không có bất kỳ lời nhắc khôi phục BitLocker nào trong quá trình khởi động.

  4. Thiết bị Kiểm thực Tình trạng Thiết bị: Xác minh rằng các thiết bị dựa vào Chứng thực Tình trạng Thiết bị xác thực chính xác trạng thái của thiết bị.

Sự cố Đã biết

Chỉ dành cho Windows Server 2012 và Windows Sever 2012 R2:

  • Các hệ thống dựa trên TPM 2.0 không thể triển khai các biện pháp giảm nhẹ được phát hành trong bản vá bảo mật tháng 4 năm 2024 do các vấn đề về tương thích đã biết với các phép đo TPM. Các bản cập nhật tháng 4 năm 2024 sẽ chặn các biện pháp giảm nhẹ #2 (trình quản lý khởi động) và #3 (bản cập nhật DBX) trên các hệ thống bị ảnh hưởng.

  • Microsoft đã biết về sự cố này và bản cập nhật sẽ được phát hành trong tương lai để bỏ chặn các hệ thống dựa trên TPM 2.0.

  • Để kiểm tra phiên bản TPM của bạn, bấm chuột phải vào Bắtđầu, bấm vào Chạy, rồi nhập tpm.msc. Ở phía dưới bên phải của ngăn trung tâm bên dưới Thông tin Nhà sản xuất TPM, bạn sẽ thấy một giá trị cho Phiên bản Đặc tả.

Các bước Xác thực Chọn tham gia

Phần còn lại của bài viết này thảo luận về việc thử nghiệm cho các thiết bị tham gia vào các biện pháp giảm nhẹ. Các biện pháp giảm nhẹ không được bật theo mặc định. Nếu doanh nghiệp của bạn có kế hoạch bật các biện pháp giảm nhẹ này, vui lòng thực hiện các bước xác thực sau đây để xác minh tính tương thích của thiết bị.

  1. Triển khai bản cập nhật bảo mật trước phát hành tháng 4 năm 2024.

  2. Mở dấu nhắc lệnh Người quản trị và đặt khóa đăng ký để thực hiện cập nhật lên DB bằng cách nhập lệnh sau đây, rồi nhấn Enter:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

  3. Khởi động lại thiết bị hai lần.

  4. Xác minh rằng DB đã được cập nhật thành công bằng cách đảm bảo lệnh sau trả về True. Chạy lệnh PowerShell sau với tư cách Người quản trị:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  1. Mở dấu nhắc lệnh Người quản trị và đặt khóa đăng ký để tải xuống và cài đặt trình quản PCA2023 khởi động đã ký:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. Khởi động lại thiết bị hai lần.

  3. Là Người quản trị, gắn phân vùng EFI để chuẩn bị sẵn sàng cho việc kiểm tra:

    mountvol s: /s

  4. Xác thực rằng "s:\efi\microsoft\boot\bootmgfw.efi" được ký bởi người PCA2023. Để thực hiện điều này, hãy làm theo các bước sau:

    1. Bấm Vào Bắt đầu, nhập dấu nhắc lệnh vào hộp Tìm kiếm, rồi bấm vào Dấu nhắc Lệnh.

    2. Trong cửa sổ Dấu nhắc Lệnh, nhập lệnh sau đây, rồi nhấn Enter.

      copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

    3. Trong Trình quản lý Tệp, bấm chuột phải vào tệp C:\bootmgfw_2023.efi, bấm Thuộc tính, rồi chọn tab Chữ ký Số.

    4. Trong danh sách Chữ ký, xác nhận rằng chuỗi chứng chỉ bao gồm Windows UEFI 2023 CA.

THẬN TRỌNG: Bước này triển khai việc thu hồi DBX đối với người quản lý khởi động cũ, dễ bị tổn thương đã ký bằng cách sử dụng hệ điều hành Windows Production PCA2011. Các thiết bị có áp dụng thu hồi này sẽ không còn khởi động từ máy chủ phương tiện phục hồi và khởi động mạng (PXE/HTTP) hiện không có cấu phần trình quản lý khởi động được cập nhật.

Nếu thiết bị của bạn ở trạng thái không thể khởi động, hãy làm theo các bước trong phần "Quy trình khôi phục và Khôi phục" để đặt lại thiết bị về trạng thái thu hồi trước.

Sau khi áp dụng DBX, nếu bạn muốn đưa thiết bị về trạng thái Khởi động An toàn trước đó, hãy làm theo phần "Quy trình khôi phục và Khôi phục".

Áp dụng biện pháp giảm nhẹ DBX để không tin cậy chứng chỉ Bản PCA2011 Sản xuất Windows trong Khởi động An toàn:

  1. Mở dấu nhắc lệnh Người quản trị và đặt khóa đăng ký để đặt thu hồi PCA2011 trong DBX:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

  2. Khởi động lại thiết bị hai lần và xác nhận rằng thiết bị đã khởi động lại hoàn toàn.

  3. Xác minh rằng biện pháp giảm nhẹ DBX đã được áp dụng thành công. Để thực hiện điều này, hãy chạy lệnh PowerShell sau đây với tư cách Người quản trị và đảm bảo lệnh trả về True:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Hoặc tìm sự kiện sau đây trong Trình xem sự kiện:

    Nhật ký sự kiện

    Hệ thống

    Nguồn sự kiện

    TPM-WMI

    ID Sự kiện

    1037

    Cấp độ

    Thông tin

    Văn bản tin nhắn sự kiện

    Bản cập nhật Dbx Khởi động An toàn để thu hồi Microsoft Windows Production PCA 2011 được áp dụng thành công

  4. Thực hiện kiểm tra vượt qua mục từ phần "Trước khi bạn bắt đầu" và đảm bảo rằng tất cả các hệ thống đang hoạt động bình thường.

Tham chiếu khóa đăng ký

Xác thực tham gia, Bước 1Xác thực chọn tham gia, Bước 2Bước 3 xác thực chọn tham gia

Lệnh

Mục đích

Ý kiến 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Cài đặt bản cập nhật DB để cho phép trình quản PCA2023 khởi động đã ký kết

Lệnh

Mục đích

Ý kiến 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Cài đặt bộ khởi PCA2023 ký chính thức

Giá trị chỉ được vinh danh sau 0x40 hoàn thành

Lệnh

Mục đích

Ý kiến 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Cài đặt bản cập nhật DBX sẽ thu hồi PCA2011

Giá trị chỉ được vinh danh sau khi hoàn 0x40 & 0x100 hoàn tất

Kết quả và Phản hồi

Gửi email đến suvp@microsoft.com kết quả kiểm tra, câu hỏi và phản hồi.

Thủ tục khôi phục và Khôi phục

Khi thực hiện các thủ tục phục hồi, hãy chia sẻ dữ liệu sau đây với Microsoft:

  • Ảnh chụp màn hình của lỗi khởi động được quan sát.

  • Các bước được thực hiện khiến thiết bị không thể khởi động.

  • Chi tiết về cấu hình thiết bị.

Khi thực hiện quy trình khôi phục, hãy tạm ngừng BitLocker trước khi bắt đầu quy trình.

Nếu xảy ra sự cố trong quá trình này và bạn không thể khởi động thiết bị hoặc cần bắt đầu từ phương tiện bên ngoài (ví dụ: ổ đĩa ngón cái hoặc khởi động PXE), hãy thử các quy trình sau.

  1. Tắt Khởi động An toàn

    Quy trình này khác nhau giữa các nhà sản xuất PC và kiểu máy tính. Nhập menu UEFI BIOS trên PC của bạn và chuyển đến cài đặt Khởi động An toàn và tắt cài đặt này. Kiểm tra tài liệu từ nhà sản xuất PC của bạn để biết chi tiết cụ thể về quy trình này. Để biết thêm thông tin, hãy xem Tắt Khởi động An toàn.

  2. Xóa Phím Khởi động An toàn

    Nếu thiết bị hỗ trợ xóa các phím Khởi động An toàn hoặc đặt lại phím Khởi động An toàn về cài đặt mặc định của nhà sản xuất, hãy thực hiện hành động này ngay.  

    Thiết bị của bạn sẽ khởi động ngay bây giờ nhưng lưu ý rằng thiết bị có thể gặp phải phần mềm độc hại hỗ trợ khởi động. Đảm bảo hoàn thành bước 5 ở cuối quá trình khôi phục này để bật lại Khởi động An toàn.

  3. Thử khởi động Windows từ đĩa hệ thống.

    1. Nếu BitLocker được bật và đi vào phục hồi, hãy nhập khóa khôi phục BitLocker của bạn.

    2. Đăng nhập vào Windows.

    3. Chạy các lệnh sau từ dấu nhắc lệnh Người quản trị để khôi phục tệp khởi động trong Phân vùng khởi động hệ thống EFI:

      Mountvol s: /s
del s:\EFI\Microsoft\*.* /f /s /q
bcdboot %systemroot% /s S:

    4. Chạy BCDBoot sẽ trả về "Tệp khởi động được tạo thành công".

    5. Nếu bạn bật BitLocker, hãy tạm ngừng BitLocker.

    6. Khởi động lại thiết bị.

  4. Nếu bước 3 không khôi phục thành công thiết bị, hãy cài đặt lại Windows.

    1. Bắt đầu từ phương tiện phục hồi hiện có.

    2. Tiếp tục cài đặt Windows bằng phương tiện khôi phục.

    3. Đăng nhập vào Windows.

    4. Khởi động lại để xác minh thiết bị khởi động thành công với Windows.

  5. Bật lại Khởi động An toàn và Khởi động lại thiết bị.

    Nhập menu UEFI devicce của bạn và chuyển đến cài đặt Khởi động An toàn và bật cài đặt này. Kiểm tra tài liệu từ nhà sản xuất thiết bị của bạn để biết chi tiết cụ thể về quy trình này. Để biết thêm thông tin, hãy xem Bật lại Khởi động An toàn.

  6. Nếu Windows bắt đầu tiếp tục thất bại, hãy nhập lại BIOS UEFI và tắt Khởi động An toàn.

  7. Khởi động Windows.

  8. Chia sẻ nội dung của DB, DBX với Microsoft.

    1. Mở PowerShell ở chế độ Người quản trị.

    2. Chụp DB:

      Get-SecureBootUEFI -name:db -OutputFilePath DBUpdateFw.bin

    3. Chụp DBX:

      Get-SecureBootUEFI -name:dbx –OutputFilePath dbxUpdateFw.bin

    4. Chia sẻ tệp và DBUpdateFw.bin tạo dbxUpdateFw.bin trong Bước 8b và 8c.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×