使用 Microsoft 登入
登入或建立帳戶。
您好:
選取其他帳戶。
您有多個帳戶
選擇您要用來登入的帳戶。

重要  所有客戶都應該套用 2023 年 7 月 11 日的 Windows 安全性更新。 本文適用於應採取額外步驟為要求實體或系統管理存取裝置之 BlackLotus UEFI Bootkit 所運用之公開揭露安全開機旁路實作風險降低措施的客戶。

警告 一旦在裝置上啟用此問題的風險降低措施後,表示已套用撤銷功能,如果您繼續在該裝置上使用安全開機,就無法還原。 即使已套用重新格式化磁碟,也不會移除撤銷。 在將本文所述的撤銷套用至您的裝置之前,請注意所有可能的影響並進行徹底測試。

本文內容

摘要

本文將說明使用 CVE-2023-24932 追蹤的 BlackLotus UEFI Bootkit,避免公開揭露安全開機安全性功能、如何啟用保護和指引來更新可開機媒體。 Bootkit 是惡意程式,旨在裝置開機順序中儘早載入,以控制作業系統啟動。

Microsoft 建議使用 [安全開機],透過 Windows 核心的 [信任式開機] 順序,從整合可延伸韌體介面 (UEFI) 建立安全且受信任的路徑。 安全開機有助於防止開機順序出現 Bootkit 惡意程式碼。 停用安全開機會讓裝置面臨感染 Bootkit 惡意程式碼的風險。 修正 CVE-2023-24932 中所述的安全開機旁路需要撤銷開機管理程式。 這可能會導致某些裝置的開機設定發生問題。

在 2023 年 5 月 9 日或之後發行的 Windows 安全性更新中包含安全開機旁路的保護,但是預設不會啟用這些保護。 2023 年 7 月 11 日或之後發行的 Windows 安全性更新新增了簡化的設定選項,以手動啟用安全開機旁路的保護。 2024 上半年將提供第二組保護。 在發行第二組保護的六個月後,才會強制執行這些保護。

啟用這些保護之前,您應該仔細檢閱本文中的詳細資料,並判斷您是否需要啟用保護,或等待 Microsoft 未來的更新。 如果您選擇手動啟用這些保護,您必須先驗證您的裝置,並更新所有可開機媒體,並準備好進行此安全性強化變更。 2024 上半年即將推出的第二組保護功能也需要更新到離線媒體。 使用 Microsoft 雲端式解決方案的客戶應遵循 更新可開機媒體/Azure 雲端 中的指導方針。 

採取行動 

重要步驟必須按照下列順序完成且每一個步驟必須在移至下一個步驟前完成。 如果未依順序完成所有步驟,可開機媒體將無法啟動。 如果您先前已使用 2023 年 5 月 9 日或之後發行的 Windows 安全性更新完成這些步驟,則不需要重複此程序。

  1. 在所有支援的版本上安裝 2023 年 7 月 11 日或之後發行的 Windows 安全性更新,然後重新啟動裝置再啟用撤銷。

  2. 使用 2023 年 7 月 11 日或之後發行的 Windows 安全性更新來更新您的可開機媒體。 如果您沒有建立自己的媒體,您必須從 Microsoft 或連絡您的裝置製造商 (OEM) 取得更新的官方媒體。

  3. 啟用撤銷以防範 CVE-2023-24932 中的弱點。

影響範圍

啟用安全開機保護的所有 Windows 裝置都會受到此問題的影響,包括內部部署實體裝置和某些虛擬機器 (VM) 或雲端式裝置。 保護適用於支援的 Windows 版本。 如需完整清單,請參閱 CVE-2023-24932

依賴安全開機的 Linux 系統也可能會受到此問題的影響。 Microsoft 一直與主要 Linux 通訊發行代表進行協調,以提供修正程式給其作業系統使用。 您必須連絡 Linux 發行的支援服務,以取得降低 Linux 裝置此問題的指導方針。

雲端服務

根據「共用責任」模型,Microsoft 會使用安全部署做法,為所有軟體即服務 (SaaS)平台即服務 (PaaS)安裝這些安全開機更新。 針對以 Windows 基礎結構即服務 (IaaS) 型的服務,其在啟用安全開機的 Azure 上執行 (受信任啟動 VM機密 VM),您必須針對內部部署的 Windows 裝置遵循相同的步驟。

了解風險

若要讓本文所述的 BlackLotus UEFI Bootkit 惡意探索可能發生,攻擊者必須取得裝置的系統管理權限,或取得裝置的實體存取權。 這可以透過實際或遠端存取裝置來完成,例如使用 hypervisor 來存取 VM/雲端。 攻擊者通常會使用這個弱點來繼續控制他們已能存取且可能操縱的裝置。 本文中所描述的風險降低措施為防範性而非修正性。 如果您的裝置已遭到入侵,請連絡您的安全性提供者以取得協助。

如果您使用安全開機,並且不正確執行本文所述的步驟,您可能無法從媒體啟動或復原您的裝置。 如果媒體未正確更新,這可防止您使用修復媒體,例如光碟、外部磁碟機或網路開機復原。

避免可開機媒體發生問題

由於 CVE-2023-24932 和本文所述內容所需的安全性變更,因此撤銷必須套用至支援的 Windows 裝置。 套用這些撤銷之後,除非此媒體已有在 2023 年 5 月 9 日或之後發行的安全性更新,否則裝置將刻意無法使用復原或安裝媒體啟動。 這包括可開機媒體,例如光碟、外部磁碟機、網路開機復原,以及還原影像。 

重要  您必須先依照「步驟 2: 更新」中的指示更新可開機媒體,才能啟用「部署指南」一節中的「步驟 3: 啟動」中的撤銷。

部署指導方針

若要部署更新並套用撤銷,請遵循下列步驟。

1.

安裝

在支援的 Windows 裝置上安裝 2023 年 7 月 11 日或之後發行的 Windows 每月維護更新。 這些更新包括 CVE-2023-24932 的保護,但預設不會啟用。 無論您是否打算手動啟用保護,所有 Windows 裝置都應該完成此步驟。

重要 請務必重新開機裝置以完成更新安裝,然後再繼續進行步驟 2 和步驟 3。

注意事項 現在可以使用 SafeOS 動態更新來更新 WinRE 磁碟分割。

2.

更新可開機媒體

更新任何可開機媒體和 Windows 的完整備份,以確保它包含 2023 年 7 月 11 日或之後發行的 Windows 更新的已更新檔案。 請參閱 更新可開機媒體 章節中的詳細資料。 如果您先前已使用 2023 年 5 月 9 日或之後發行的 Windows 安全性更新完成這些步驟,則不需要重複此程序。

使用 2023 年 7 月 11 日或之後發行的 Windows 更新萊更新媒體,可確保媒體會繼續在您環境中的所有裝置上啟動。 安裝 Windows 安全性更新後,必須重新建立在安裝這些更新之前所映射的 Windows 備份。 這些在您的裝置上啟用撤銷之後,將無法直接用來還原您的 Windows 安裝。

如果您需要可開機媒體且您沒有建立自己的媒體,您必須從 Microsoft、您的雲端提供者或連絡您的裝置製造商 (OEM),取得更新的正式媒體。 如果不清楚可開機媒體是否已更新,您可能需要在已安裝 2023 年 7 月 11 日或之後發行的更新且已套用撤銷的 Windows 裝置上測試。

如需更新可開機媒體的詳細資訊和步驟,請參閱「更新可開機媒體」章節。

3.

啟用撤銷

撤銷檔案是 2023 年 7 月 11 日或之後發行的更新提供的一部分。 這些檔案包括「程式碼完整性開機原則」和「安全開機 UEFI 禁止清單」更新。 啟用這些撤銷檔案對於防範 CVE-2023-24932 所述的弱點是必要的。 下列步驟「步驟 a 至步驟 d」必須在所有 Windows 裝置上完成,才能啟用撤銷。

警告 啟用撤銷之後,未更新的可開機媒體將無法如預期般運作。 在您在「步驟 2: 更新」中更新可開機媒體以前,請勿繼續進行「步驟 3: 啟用」。

a. 啟用安全開機 UEFI 禁止清單 (DBX) 和程式碼完整性開機原則

UEFI 禁止清單 (DBX) 會用來封鎖未受信任的 UEFI 模組載入。 程式碼完整性開機原則 (SKUSiPolicy.p7b) 使用 Windows 的程式碼完整性功能,以防止未受信任的 Windows 開機管理程式在開啟安全開機時載入。

安裝 2023 年 7 月 11 日或之後發行的 Windows 更新之後,以系統管理員身分開啟命令提示字元視窗,輸入下列命令,然後按 Enter:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f

b. 重新啟動裝置

在步驟 a 中設定註冊金鑰之後,您必須重新啟動裝置以啟用撤銷保護。

c. 等待至少 5 分鐘,然後再次重新啟動裝置。

重要  需要額外的重新啟動,才能完全初始化撤銷保護。

d. 確認已成功套用安裝和撤銷清單

請參閱 與 CVE-2023-24932 相關的 Windows 事件記錄檔錯誤 章節,以了解如何成功套用。

更新可開機媒體

更新可開機媒體是很重要的,能確保安裝新的開機管理程式和其他支援檔案,以便在套用降低風險措施後啟動裝置。 在理想情況下,可開機媒體應先更新,再在裝置上套用撤銷功能。

重要: 在可開機媒體 (ISO、USB、DVD 等) 上啟用更新的 SKUSIPolicy.p7b 檔案 (包含撤銷)。 2023 年 5 月 9 日或之後發行的更新所提供的 SKUSIPolicy.p7b 檔案應僅於您的 Windows 裝置上啟動。

受此問題影響的可開機媒體和復原媒體範例

  • 使用建立 [建立修復磁碟機] 建立的可開機媒體。

    注意事項 在 2023 年 5 月 9 日或之後發行的更新不支援「建立修復磁碟機」功能,而且無法用來還原已啟用撤銷的裝置。 我們正在研究解決方案,將會在未來版本中提供更新。

  • 在安裝 2023 年 5 月 9 日或之後發行的更新之前所映射的 Windows 備份。 這些在您的裝置上啟用撤銷之後,將無法直接用來還原您的 Windows 安裝。

  • 您的裝置製造商 (OEM) 或企業所建立的自訂 CD/DVD 或修復磁碟分割

  • ISO (透過下載或使用 ADK)

  • 網路開機

    • Windows 部署服務

    • 預先啟動執行環境開機服務 (PXE 開機服務)

    • Microsoft Deployment Toolkit

    • HTTPS 開機

  • OEM 安裝與復原媒體

  • Microsoft 官方 Windows 媒體包括:

  • Windows PE

  • 安裝在實體硬體或虛擬機器上的 Windows

  • Windows 驗證 OS

注意事項 可從 Microsoft 下載的 Windows 媒體 (ISO 檔案),使用最新的累積更新更新後,則可透過熟悉的通道 取得,包括 Microsoft 軟體下載Visual Studio 訂閱大量授權服務中心。 如果此媒體可與您的裝置和設定搭配使用,則不需要依照下列手動步驟建立更新的可開機媒體。

如果您將可開機媒體搭配個人 Windows 裝置使用,您可能需要執行下列一或多項動作,才能套用撤銷:

  • 對於所有支援的 Windows 10 和 Windows 11 版本,如果現有可開機媒體無法啟動,請參閱重新安裝 Windows 中的「建立安裝媒體」章節。

  • 如果您使用個人備份軟體來儲存裝置的內容,在安裝日期為 2023 年 7 月 11 日或之後的 Windows 更新之後,請務必執行完整的備份。

  • 如果您使用可開機磁碟片映射 (ISO)、CD-ROM 或 DVD 媒體,請遵循這些指示更新媒體。

Enterprise

  • 請參閱 使用動態更新更新 Windows 安裝媒體 的完整指引和指令碼

  • 如果您支援環境中的網路開機或復原案例,您將會需要使用 2023 年 7 月 11 日或之後發行的更新來更新所有媒體和影像。 這可能包括下列開機或復原選項:

    • Microsoft Deployment Toolkit

    • Microsoft Endpoint Configuration Manager

    • Windows 部署服務

    • PxE 開機

    • HTTPS 開機和其他網路開機案例

  • 其中一個方法是在這些案例所送達的影像上使用 DISM 離線套件安裝。 這包括更新這些服務所提供的開機檔案。

  • 如果您使用備份軟體將 Windows 安裝的內容儲存到復原映像中,請務必在安裝 2023 年 5 月 9 日或之後發行的 Windows 安全性更新 (包括 2023 年 7 月 11 日之後發行的更新) 之後 執行完整備份。 除了 Windows 作業系統磁碟分割之外,請務必備份 EFI 磁碟分割。 清楚識別在 2023 年 5 月 9 日更新之前與 2023 年 5 月 9 日更新之後所做的備份。

  • 以 Windows Server 2012、Windows 8.1 或 Windows Server 2012 R2 為基礎使用 Windows 預先安裝環境 (Windows PE)和 Windows 修復環境 (WinRE) 的媒體,只需要開機管理程式檔案 bootmgfw.efi 和 bootx64.efi 或 bootia32.efi (視裝置架構而定)。 請勿使用此方法來更新任何其他 Windows 版本的媒體。

Windows 電腦 OEM

雲端服務

  • Microsoft 會視需要在 Microsoft 管理的雲端服務上安裝這些保護。

  • 在徹底測試之後,使用客戶管理雲端解決方案的企業應該根據風險設定檔安裝這些更新。

  • Hyper-V 第 1 代 VM 和非安全開機功能裝置不受 CVE-2023-24932 中的安全性問題影響,且撤銷不適用於這些裝置。  您仍應在所有支援的 Windows 版本上安裝 2023 年 7 月 11 日或之後發行的更新。

  • Azure SaaS 和 PaaS 根據 共用責任模型,Microsoft 正在安裝 2023 年 7 月 11 日針對解決 SaaSPaaS Azure 服務的 CVE-2023-24932 發行的更新。 Microsoft 會使用安全部署做法 (SDP) 部署這些更新。

  • Azure laaS 針對 IaaS 型服務,需要減輕此弱點的客戶可以安裝 2023 年 7 月 11 日或之後發行的 Windows 更新,並設定撤銷設定。 請注意,此修正程式和相關聯的設定將為已啟用安全開機的客戶提供保護。 如果客戶需要防範 Bootkit 樣式攻擊,他們可以啟用安全開機。 如需詳細資訊,請參閱 部署已啟用受信任啟動的 VM

更新時間

更新以下列方式發行:

  • 初始部署 此階段從 2023 年 5 月 9 日發行的更新開始,並提供基本緩和措施,以及啟用這些緩和措施的手動步驟。

  • 第二階段部署 此階段開始于 2023 年 7 月 11 日發行的更新,其中新增了簡化的步驟,以為此問題啟用緩和措施。

  • 第三階段部署 此階段將新增其他開機管理員緩和措施。 此階段最快將于 2024 年 4 月 9 日開始。

  • 強制執行 最後強制執行階段會讓風險降低措施永久化。 此階段最快將于 2024 年 10 月 8 日開始。

注意 可能會視需要修訂發行排程。

為了降低CVE-2023-24932 的風險,2023 年 5 月 9 日發行的 Windows 更新包括:

  • 2023 年 5 月 9 日或之後發行的 Windows 更新是解決 CVE-2023-24932 中討論的弱點。

  • Windows 開機元件的變更。

  • 可手動套用的兩個撤銷檔案 (程式碼完整性原則與更新的安全開機不允許清單 (DBX))。

2023 年 7 月 11 日或之後發行的 Windows 更新新增下列項目:

  • 允許更輕鬆、自動地部署撤銷檔案 (程式碼完整性開機原則和安全開機不允許清單 (DBX))。

  • 新的事件記錄檔事件將可用於報告撤銷部署是否成功。

  • 適用於Windows 修復環境 (WinRE) 的 SafeOS 動態更新套件。

發行第三個部署階段的更新時,會新增下列項目:

  • 新的緩和措施,以封鎖其他易受攻擊的開機管理員。 這些新的緩和措施將需要更新媒體。

發行強制執行階段的更新時,會新增下列項目:

  • 在所有受影響且沒有停用選項的系統上安裝 Windows 更新之後,將會以程式設計方式強制執行撤銷 (程式碼完整性開機原則和安全開機不允許清單)。

與 CVE-2023-24932 相關的 Windows 事件記錄檔錯誤

套用第 3 節中的撤銷之後,應在事件記錄檔中觀察到下列兩個事件:

事件識別碼 1035

當 DBX 更新成功套用至韌體時,將會記錄事件識別碼 1035。

事件記錄檔

系統

事件來源

TPM-WMI

事件識別碼

1035

層級

資訊

錯誤訊息文字

已成功套用安全開機 DBX 更新

事件識別碼 276

當開機管理員成功載入 SKUSIPolicy.p7b 時,將會記錄事件識別碼 276。

事件記錄檔

Microsoft-Windows-Kernel-Boot/Operational

事件來源

Kernel-Boot

事件識別碼

276

層級

資訊

錯誤訊息文字

已套用 Windows 開機管理程式撤銷原則版本 0x2000000000002。

常見問題集 (FAQ)

  • 如果 SKUSIPolicy.p7b 檔案已從 EFI 磁碟分割移除,或是已刪除或重新格式化 EFI 磁碟分割,WinRE 會尋找 SKUSIPolicy.p7b 檔案,但找不到。 這會導致 WinRE 無法啟動。 請依照 疑難排解開機問題 章節中的指引進行。

  • 以 2023 年 5 月 9 日或更新版本發行的更新來更新所有 Windows 作業系統,然後再套用撤銷。 在套用撤銷之後,您可能無法啟動尚未更新至至少 2023 年 5 月 9 日發行之更新的任何 Windows 版本。 請遵循下方 疑難排解開機問題 章節中的指引。

  • 您將需要 更新可開機媒體

  • 更新所有已安裝的 Windows 版本並更新可開機媒體之後,便可套用撤銷,如 [套用撤銷] 步驟所述。

疑難排解開機問題

如果已套用撤銷,且開機管理程式不是來自 2023 年 5 月 9 日或之後發行的 Windows 更新,可能會顯示下列錯誤。

錯誤影像

錯誤文字

對於 Windows 11 和大部分的 Windows 10 版本,如果開機管理程式不是最新版本,您可能會收到此錯誤。

Windows 開機管理程式 Windows 11和Windows 10

Windows 開機管理程式

最近的硬體或軟體變更可能安裝了未正確簽署或損毀的檔案,或是來自未知來源的惡意軟體。

如果您有 Windows 安裝光碟,請插入光碟並重新啟動電腦。 按一下 [修復您的電腦],然後選擇修復工具。

否則,若要啟動 Windows 以便進一步調查,請按 ENTER 鍵以顯示開機功能表、按 FS 以取得 [進階開機選項],然後選取 [上次已知良好]。 如果您瞭解數位簽章為何無法驗證,並想要在沒有此檔案的情況下啟動 Windows,請暫時停用驅動程式簽章強制執行。

  • 狀態:0xc0000428
    資訊:無法驗證此檔案的數位簽章。

針對 Windows 10 企業版 LTSB,如果開機管理程式不是最新狀態,您可能會收到此錯誤。

Windows 開機管理程式 Windows 10 LTSB

Windows 開機管理程式

Windows 無法啟動。 最近的硬體或軟體變更可能是原因。 若要解決這個問題:

  1. 插入 Windows 安裝光碟並重新啟動電腦。

  2. 選擇您的語言設定,然後按 [下一步]。

  3. 按一下 [修復您的電腦]。

如果您沒有此光碟,請連絡您的系統管理員或電腦製造商以取得協助。

狀態:OxcOe90002
資訊:發生未預期的錯誤。

Microsoft Hyper-V UEFI 已拒絕

Microsoft Hyper-V UEFI 

虛擬機器開機摘要

  1. SCSI 磁碟 (0,0)
    已拒絕映射雜湊 (DBX)。

  2. SCSI 磁碟 (0,0)
    已拒絕映射雜湊 (DBX)。

  3. 網路介面卡 (00155D96B3C9)
    開機載入器失敗。

未載入任何作業系統。 您的虛擬機器設定可能不正確。 結束並重新設定 VM,或按一下 [重新開機],再次重試目前的開機順序。

若要減輕這些錯誤,請遵循下列步驟:

  1. 您必須暫時停用安全開機。 依照 停用安全開機 中的步驟進行。 如果您使用的是 Surface 裝置,您必須依照 開啟 Surface UEFI 功能表 中的步驟進行。

  2. 將裝置啟動至 Windows。 如果您的系統設定為開機多個 Windows 版本,請啟動最新版的 Windows。

  3. 如果尚未安裝更新,請安裝 2023 年 5 月 9 日發行或更新版本。

  4. 開啟以系統管理員身分執行的命令提示字元視窗,個別輸入每個命令,然後按 Enter:

    mountvol q: /S

    xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Microsoft\Boot

    xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Boot\boot<arch>.efi

    xcopy %systemroot%\system32\SecureBootUpdates\SKUSiPolicy.p7b q:\EFI\Microsoft\Boot

    mountvol q: /D

    <arch> 是 x64、ia32 或 aa64,根據您裝置的架構而定。 您可以輸入下列命令來判斷,然後按 Enter:

    dir q:\EFI\Microsoft\Boot*.efi

  5. 重新開機裝置,並依照 重新啟用安全開機 中的指示操作。

錯誤影像

錯誤文字

如果 SKUSIPolicy.p7b 檔案在套用撤銷後遭到刪除,當Windows 10 或 Windows 11 啟動時,您可能會收到下列錯誤訊息。

[復原]

[復原]

您的電腦/裝置需要修復

發生未預期的錯誤。

錯誤碼: 0xc0e90002

您將需要使用修復工具。 如果您沒有任何安裝媒體 (像是光碟或 USB 裝置),請連絡您的電腦系統管理員或電腦/裝置製造商。

Microsoft Hyper-V UEFI

Microsoft Hyper-V UEFI

虛擬機器開機摘要

  1. SCSI Disk (0,0)
    The boot loader failed.

  2. SCSI Disk (0,0)
    The boot loader failed.

  3. Network Adapter (00155D96B3C9)
    The boot loader failed.

No operating system was loaded. Your virtual machine may be configured incorrectly.

 結束並重新設定 VM,或按一下 [重新開機],再次重試目前的開機順序。 

若要減輕這些錯誤,請遵循下列步驟:

  1. 您必須暫時停用安全開機。 若要這麼做,請依照 停用安全開機 中的步驟進行。 如果您使用的是 Surface 裝置,您必須依照 開啟 Surface UEFI 功能表 中的步驟進行。

  2. 將裝置啟動至 Windows。 如果您的系統設定為開機多個 Windows 版本,請啟動最新版的 Windows。

  3. 如果尚未安裝更新,請安裝在 2023 年 5 月 9 日或之後發行的更新。

  4. 開啟以系統管理員執行的命令提示視窗,分別輸入下列各命令,然後按 Enter:

    mountvol q: /S

    xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Microsoft\Boot

    xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Boot\boot<arch>.efi

    xcopy %systemroot%\system32\SecureBootUpdates\SKUSiPolicy.p7b q:\EFI\Microsoft\Boot

    mountvol q: /D

    <arch> 是 x64、ia32 或 aa64 的位置,根據您裝置的架構而定。 您可以輸入下列命令來判斷,然後按 Enter:

    dir q:\EFI\Microsoft\Boot*.efi

  5. 重新開機裝置,並依照 重新啟用安全開機 中的指示操作。

錯誤影像

錯誤文字

Windows 部署服務/PxE 網路開機錯誤

Windows 部署服務

Windows 部署服務 (伺服器 IP: nnn.nnn.nnn.nnn)

Windows 部署服務發生錯誤:

錯誤碼:0xc0000272

若要減輕此錯誤,請遵循下列步驟:

  • 使用 DISM 離線套件安裝 將 2023 年 5 月 9 日或更新版本的更新套用至部署伺服器上的 boot.wim 或 WinPE 映像。

參考

變更日期

變更描述

2023 年 12 月 16 日

  • 修訂了「更新時間」一節中第三個部署和強制執行的發行日期

2023 年 5 月 15 日

  • 已從「適用項目」區段移除不支援的作業系統 Windows 10 版本 21H1

2023 年 5 月 11 日

  • 在「部署指導方針」一節的步驟 1 中,新增升級至 Windows 11 版本 21H2 或 22H2 或某些 Windows 10 版本的警告注意事項。

2023 年 5 月 10 日

  • 已澄清使用最新累積更新的可下載 Windows 媒體即將推出

  • 已修正 [禁止] 一詞的拼字

2023 年 5 月 9 日

  • 已將其他支援的版本新增至 [適用對象] 區段

  • 已更新 [採取行動] 區段的步驟 1

  • 已更新 [部署指導方針] 區段的步驟 1

  • 已修正 [部署指導方針] 區段的步驟 3a 中的命令

  • 已修正 [疑難排解開機問題] 區段中 Hyper-V UEFI 影像的位置

2023 年 6 月 27 日

  • 已移除有關從 Windows 10 更新至較新版本 Windows 10 的注意事項,該版本在「部署指導方針」一節的「步驟 1: 安裝」下使用啟用套件。

2023 年 7 月 11 日

  • 將「2023 年 5 月 9 日」的執行個體更新為「2023 年 7 月 11 日」、「2023 年 5 月 9 日」和「2023 年 7 月 11 日」或「2023 年 5 月 9 日或之後日期」。

  • 在「部署指導方針」章節中,我們注意到所有 SafeOS 動態更新現在都可供更新 WinRE 磁碟分割。 此外,已移除 [警告] 方塊,因為此問題是由 SafeOS 動態更新的發行所解決。

  • 在 「3. 套用撤銷」一節,已修訂指示。

  • 在「Windows 事件記錄錯誤」章節中,已新增事件識別碼 276。

2023 年 8 月 25 日

  • 更新了各節的字詞,並新增了 2023 年 7 月 11 日發行與未來的 2024 版資訊。

  • 從 [避免可開機媒體的問題] 一節重新排列某些內容到 [更新可開機媒體] 一節。

  • 已更新「更新時間」一節,其中包含修訂的部署日期和資訊。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。

這項資訊有幫助嗎?

您對語言品質的滿意度如何?
以下何者是您會在意的事項?
按下 [提交] 後,您的意見反應將用來改善 Microsoft 產品與服務。 您的 IT 管理員將能夠收集這些資料。 隱私權聲明。

感謝您的意見反應!

×