Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

ВАЖНО Вы должны применить обновление для системы безопасности Windows, выпущенное 9 апреля 2024 г. или позже, в рамках регулярного ежемесячного обновления.

Эта статья относится к тем организациям, которые должны начать оценку мер по устранению рисков для общедоступного обхода безопасной загрузки, который используется bootkit UEFI BlackLotus. Кроме того, может потребоваться упреждающая позиция безопасности или начать подготовку к развертыванию. Обратите внимание, что эта вредоносная программа требует физического или административного доступа к устройству.

ОСТОРОЖНОСТЬЮ После включения устранения этой проблемы на устройстве, что означает, что меры по устранению рисков были применены, его невозможно будет отменить, если вы продолжите использовать безопасную загрузку на этом устройстве. Даже переформатирование диска не приведет к удалению отзывов, если они уже были применены. Обратите внимание на все возможные последствия и тщательно протестируйте, прежде чем применять к устройству описанные в этой статье действия отзыва.

В этой статье

Сводка

В этой статье описывается защита от общедоступного обхода функции безопасности безопасной загрузки, которая использует загрузочный код BlackLotus UEFI, отслеживаемый CVE-2023-24932, как включить средства устранения рисков, а также руководство по загрузочному носителю. Bootkit — это вредоносная программа, которая предназначена для загрузки как можно раньше в последовательности загрузки устройств для управления запуском операционной системы.

Безопасная загрузка рекомендуется корпорацией Майкрософт для создания безопасного и надежного пути от единого расширяемого интерфейса встроенного ПО (UEFI) через последовательность доверенной загрузки ядра Windows. Безопасная загрузка помогает предотвратить вредоносные программы bootkit в последовательности загрузки. Отключение безопасной загрузки ставит устройство под угрозу заражения вредоносными программами bootkit. Исправление обхода безопасной загрузки, описанного в CVE-2023-24932, требует отзыва диспетчеров загрузки. Это может вызвать проблемы для некоторых конфигураций загрузки устройств.

Меры по устранению рисков обхода безопасной загрузки, описанные в CVE-2023-24932 , включены в обновления для системы безопасности Windows, выпущенные 9 апреля 2024 г. или позже. Однако эти способы устранения рисков не включены по умолчанию. С помощью этих обновлений рекомендуется начать оценку этих изменений в среде. Полное расписание описано в разделе Время обновления .

Прежде чем включить эти меры по устранению рисков, следует тщательно изучить сведения, приведенные в этой статье, и определить, нужно ли включить эти меры по устранению рисков или дождаться будущих обновлений от корпорации Майкрософт. Если вы решили включить меры по устранению рисков, необходимо убедиться, что устройства обновлены и готовы, а также понимать риски, описанные в этой статье. 

Действие 

Для этого выпуска необходимо выполнить следующие действия.

Шаг 1. Установите обновление для системы безопасности Windows, выпущенное 9 апреля 2024 г. или позже, во всех поддерживаемых версиях.

Шаг 2. Оцените изменения и их влияние на вашу среду.

Шаг 3. Принудительное применение изменений.

Область воздействия

Все устройства Windows с включенной защитой безопасной загрузки зависят от загрузчика BlackLotus. Для поддерживаемых версий Windows доступны меры по устранению рисков. Полный список см. в разделе CVE-2023-24932.

Понимание рисков

Риск вредоносных программ: Чтобы был возможен описанный в этой статье эксплойт bootkit UEFI BlackLotus, злоумышленник должен получить права администратора на устройстве или физический доступ к устройству. Это можно сделать путем физического или удаленного доступа к устройству, например с помощью гипервизора для доступа к виртуальным машинам или облаку. Злоумышленник обычно использует эту уязвимость, чтобы продолжать управлять устройством, к которому он уже может получить доступ и, возможно, управлять им. Устранение рисков, приведенных в этой статье, является профилактическим и не корректирующим. Если устройство уже скомпрометировано, обратитесь за помощью к поставщику безопасности.

Носитель для восстановления: Если после применения мер защиты возникла проблема с устройством, и устройство становится недоступным, возможно, вам не удастся запустить или восстановить устройство с существующего носителя. Необходимо обновить носитель для восстановления или установки, чтобы он работал с устройством, на которое применены меры по устранению рисков.

Проблемы с встроенным ПО: Когда Windows применяет описанные в этой статье меры по устранению рисков, она должна полагаться на встроенное ПО UEFI устройства для обновления значений безопасной загрузки (обновления применяются к ключу базы данных (БД) и ключу запрещенной подписи (DBX)). В некоторых случаях у нас есть опыт работы с устройствами, на которых происходит сбой обновлений. Мы работаем с производителями устройств, чтобы протестировать эти ключевые обновления на максимально возможном количестве устройств.

ПРИМЕЧАНИЕ Сначала протестируйте эти способы устранения рисков на одном устройстве для каждого класса устройства в вашей среде, чтобы обнаружить возможные проблемы с встроенным ПО. Не развертывайте широко перед подтверждением оценки всех классов устройств в вашей среде.

Восстановление BitLocker. Некоторые устройства могут переходить к восстановлению BitLocker. Перед включением мер по устранению рисков обязательно сохраните копию ключа восстановления BitLocker .

Известные проблемы

Проблемы с встроенным ПО:Не все встроенное ПО устройства успешно обновит базу данных безопасной загрузки или DBX. В случаях, о которых мы знаем, мы сообщили о проблеме производителю устройства. Дополнительные сведения о событиях, зарегистрированных в журнале, см. в разделе KB5016061: События обновления переменной безопасной загрузки DB и DBX . Обратитесь к производителю устройства для получения обновлений встроенного ПО. Если устройство не поддерживается, корпорация Майкрософт рекомендует обновить его.

Известные проблемы с встроенным ПО:

ПРИМЕЧАНИЕ Следующие известные проблемы не влияют на установку обновлений от 9 апреля 2024 г. В большинстве случаев меры по устранению неполадок не применяются при наличии известных проблем. См. сведения о каждой известной проблеме.

  • HP: КОМПАНИЯ HP обнаружила проблему с установкой мер по устранению рисков на компьютерах с рабочими станциями HP Z4G4 и выпустит обновленное встроенное ПО Z4G4 UEFI (BIOS) в ближайшие недели. Чтобы обеспечить успешную установку защиты, она будет заблокирована на настольных рабочих станциях до тех пор, пока обновление не станет доступным. Клиенты должны всегда обновляться до последней версии BIOS системы перед применением мер по устранению рисков.

  • Устройства HP с безопасностью "Уверенный запуск": Для установки мер по устранению рисков этим устройствам требуются последние обновления встроенного ПО от HP. Устранение рисков блокируется до обновления встроенного ПО. Установите последнее обновление встроенного ПО со страницы поддержки HPs — официальное скачивание драйверов и программного обеспечения HP | Поддержка HP.

  • Устройства на основе Arm64: Устранение неполадок блокируется из-за известных проблем с встроенным ПО UEFI на устройствах на основе Qualcomm. Корпорация Майкрософт работает с Qualcomm для решения этой проблемы. Qualcomm предоставит исправление производителям устройств. Обратитесь к производителю устройства, чтобы определить, доступно ли исправление этой проблемы. Корпорация Майкрософт добавит обнаружение, чтобы обеспечить применение мер по устранению рисков на устройствах при обнаружении фиксированного встроенного ПО. Если на устройстве под управлением Arm64 нет встроенного ПО Qualcomm, настройте следующий раздел реестра, чтобы включить устранение рисков.

    Подраздел реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Имя значения ключа

    SkipDeviceCheck

    Тип данных

    REG_DWORD

    Данные

    1

  • Apple:Компьютеры Mac с чипом безопасности Apple T2 поддерживают безопасную загрузку. Однако обновление переменных, связанных с безопасностью UEFI, доступно только в рамках обновлений macOS. Ожидается, что пользователи Boot Camp увидят запись журнала событий с идентификатором события 1795 в Windows, связанную с этими переменными. Дополнительные сведения об этой записи журнала см. в разделе KB5016061: События обновления для базы данных безопасной загрузки и переменных DBX.

  • Vmware:В средах виртуализации на основе VMware виртуальная машина с процессором на базе x86 с включенной безопасной загрузкой не загрузится после применения мер по устранению рисков. Корпорация Майкрософт координирует работу с VMware для решения этой проблемы.

  • Системы на основе TPM 2.0:  Эти системы, использующие Windows Server 2012 и Windows Server 2012 R2, не могут развернуть средства устранения рисков, выпущенные в обновлении безопасности от 9 апреля 2024 г., из-за известных проблем совместимости с измерениями доверенного платформенного модуля. Обновления для системы безопасности от 9 апреля 2024 г. заблокируют устранение рисков No 2 (диспетчер загрузки) и No 3 (обновление DBX) в затронутых системах.

    Корпорация Майкрософт знает об этой проблеме, и в будущем будет выпущено обновление для разблокировки систем на основе TPM 2.0.

    Чтобы проверка версию доверенного платформенного модуля, щелкните правой кнопкой мыши Пуск, выберите команду Выполнить и введите tpm.msc. В правом нижнем углу центральной области в разделе Сведения об изготовителе доверенного платформенного модуля должно появиться значение Версии спецификации.

  • Шифрование конечной точки Symantec: Защита от безопасной загрузки не может применяться к системам, в которых установлено шифрование конечной точки Symantec. Корпорация Майкрософт и Symantec знают о проблеме и будут устранены в будущем обновлении.

Рекомендации по этому выпуску

Для этого выпуска выполните следующие два шага.

Шаг 1. Установка обновления для системы

безопасности Windows Установите ежемесячное обновление для системы безопасности Windows, выпущенное 9 апреля 2024 г. или позже на поддерживаемых устройствах Windows. Эти обновления включают в себя устранение рисков для CVE-2023-24932, но не включены по умолчанию. Все устройства Windows должны выполнить этот шаг независимо от того, планируется ли развертывание мер по устранению рисков.

Шаг 2. Оценка изменений

Мы рекомендуем сделать следующее:

  • Изучите первые два способа устранения рисков, которые позволяют обновить базу данных безопасной загрузки и диспетчер загрузки.

  • Просмотрите обновленное расписание.

  • Начните тестирование первых двух способов устранения рисков для репрезентативных устройств из вашей среды.

  • Начните планирование этапа развертывания, который будет выполняться 9 июля 2024 г.

Шаг 3. Принудительное применение изменений

Мы рекомендуем вам понять риски, которые описаны в разделе Понимание рисков.

  • Изучите влияние на восстановление и другие загрузочные носители.

  • Начните тестирование третьего средства устранения рисков, которое не соответствует сертификату подписи, используемому для всех предыдущих диспетчеров загрузки Windows.

Рекомендации по развертыванию мер по устранению рисков

Прежде чем выполнить эти действия для применения мер, установите ежемесячное обновление windows, выпущенное 9 апреля 2024 г. или позже на поддерживаемых устройствах Windows. Это обновление включает меры по устранению рисков для CVE-2023-24932, но они не включены по умолчанию. Все устройства Windows должны выполнить этот шаг независимо от вашего плана, чтобы включить меры по устранению рисков.

ПРИМЕЧАНИЕ Если вы используете BitLocker, убедитесь, что резервная копия ключа восстановления BitLocker создана. Вы можете выполнить следующую команду из командной строки администратора и заметить 48-значный числовой пароль:

manage-bde -protectors -get %systemdrive%

Чтобы развернуть обновление и применить отмены, выполните следующие действия.

  1. Установите обновленные определения сертификатов в базу данных.

    На этом шаге будет добавлен сертификат Windows UEFI CA 2023 в базу данных UEFI Secure Boot Signature Database (DB). Добавив этот сертификат в базу данных, встроенное ПО устройства будет доверять загрузочным приложениям, подписанным этим сертификатом.

    1. Откройте командную строку администратора и задайте regkey для выполнения обновления базы данных, введя следующую команду:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      ВАЖНО Не забудьте перезапустить устройство два раза, чтобы завершить установку обновления, прежде чем переходить к шагам 2 и 3.

    2. Выполните следующую команду PowerShell от имени администратора и убедитесь, что база данных успешно обновлена. Эта команда должна возвращать значение True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Обновите диспетчер загрузки на устройстве.

    На этом шаге на устройстве будет установлено приложение диспетчера загрузки, подписанное с помощью сертификата "Windows UEFI CA 2023".

    1. Откройте командную строку администратора и задайте ключ, чтобы установить подписанный диспетчер загрузки windows UEFI CA 2023:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Перезапустите устройство два раза.

    3. Как администратор, подключите раздел EFI, чтобы подготовить его к проверке:

      mountvol s: /s

    4. Убедитесь, что файл "s:\efi\microsoft\boot\bootmgfw.efi" подписан сертификатом Windows UEFI CA 2023. Для этого выполните указанные ниже действия.

      1. Нажмите кнопку Пуск, введите командную строку в поле Поиск, а затем выберите командная строка.

      2. В окне командной строки введите следующую команду и нажмите клавишу ВВОД:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. В диспетчере файлов щелкните правой кнопкой мыши файл C:\bootmgfw_2023.efi, выберите пункт Свойства, а затем выберите вкладку Цифровые подписи .

      4. В списке Подпись убедитесь, что цепочка сертификатов включает Windows UEFI CA 2023. Цепочка сертификатов должна соответствовать следующему снимку экрана:

        Сертификаты

  3. Включите отзыв.

    Список запрещенных UEFI (DBX) используется для блокировки загрузки ненадежных модулей UEFI. На этом шаге при обновлении DBX в DBX будет добавлен сертификат Windows Production CA 2011. Это приведет к тому, что все диспетчеры загрузки, подписанные этим сертификатом, больше не будут доверенными.

    ПРЕДУПРЕЖДЕНИЕ. Перед применением третьего решения создайте флэш-накопитель для восстановления, которое можно использовать для загрузки системы. Дополнительные сведения о том, как это сделать, см. в разделе Обновление установок носителя Windows.

    Если система переходит в незагрузочное состояние, выполните действия, описанные в разделе Процедура восстановления, чтобы сбросить устройство в состояние предварительного отзыва.

    1. Добавьте сертификат Windows Production PCA 2011 в список запрещенных UEFI (DBX). Для этого откройте окно командной строки от имени администратора, введите следующую команду и нажмите клавишу ВВОД:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Перезапустите устройство два раза и убедитесь, что оно полностью перезагрузилось.

    3. Убедитесь, что список установки и отзыва успешно применен, найдите событие 1037 в журнале событий.

      Сведения о событии 1037 см. в разделе KB5016061: События обновления переменной db и DBX. Или выполните следующую команду PowerShell от имени администратора и убедитесь, что возвращается значение True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Загрузочный носитель

Важно обновить загрузочный носитель после начала этапа развертывания в вашей среде. Руководство и средства по обновлению носителя будут предоставлены вовремя к этапу развертывания. Этап развертывания должен начаться 9 июля 2024 г.

Примеры загрузочных носителей и носителей восстановления, затронутых этой проблемой:

  • Загрузочный носитель, созданный с помощью команды Создать диск восстановления.

  • Резервные копии Windows, которые были созданы до применения мер по устранению рисков. Они не будут напрямую использоваться для восстановления установки Windows после включения отзывов на вашем устройстве.

  • Пользовательский cd/DVD-диск или раздел восстановления, созданный вами, производителем устройства (OEM) или предприятиями.

  • ISO (путем скачивания или с помощью ADK).

  • Сетевая загрузка:

    • Службы развертывания Windows.

    • Службы загрузки среды выполнения предварительной загрузки (службы загрузки PXE).

    • Microsoft Deployment Toolkit.

    • Загрузка HTTPS.

  • Установочный и восстанавливаемой носитель OEM.

  • Официальные носители Windows от корпорации Майкрософт, в том числе:

  • Среда предустановки Windows.

  • Windows, установленная на физическом оборудовании или виртуальных машинах.

  • ОС проверки Windows.

Если вы используете загрузочный носитель с личным устройством Windows, перед применением отзыва может потребоваться выполнить одно или несколько из следующих действий:

  • Если вы используете личное программное обеспечение резервного копирования для сохранения содержимого устройства, обязательно выполните полную резервную копию после применения мер по устранению рисков от 9 апреля 2024 г.

  • Если вы используете загрузочный образ диска (ISO), компакт-диск или DVD-носитель, обновите носитель, следуя инструкциям, которые будут предоставлены позже.

Для крупных предприятий

  • Ознакомьтесь с подробными рекомендациями и скриптами для обновления установочного носителя Windows с помощью динамического обновления.

  • Если в вашей среде поддерживаются сценарии загрузки или восстановления сети, вам потребуется обновить все носители и образы. Это может включать следующие параметры загрузки или восстановления:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Службы развертывания Windows.

    • PxE Boot.

    • Загрузка ПО HTTPS и другие сценарии загрузки сети.

  • Один из способов сделать это — использовать автономную установку пакета DISM для образов, обслуживаемых этими сценариями. Сюда входит обновление загрузочных файлов, предлагаемых этими службами.

  • Если вы используете программное обеспечение резервного копирования для сохранения содержимого установки Windows в образ восстановления, обязательно выполните полную резервную копию после применения мер по устранению рисков от 9 апреля 2024 г. Обязательно создайте резервную копию раздела диска EFI в дополнение к разделу операционной системы Windows. Четко определите резервные копии, сделанные до применения 9 апреля 2024 г. мер по сравнению с теми, которые были сделаны после применения мер.

Изготовители компьютеров Windows

Обновление установного носителя Windows

ПРИМЕЧАНИЕ При создании загрузочного флэш-накопителя обязательно отформатируйте диск с помощью файловой системы FAT32.

Вы можете использовать приложение Create Recovery Drive (Создать диск восстановления ), выполнив следующие действия. Этот носитель можно использовать для переустановки устройства. Если возникла серьезная проблема, например сбой оборудования, вы сможете использовать диск восстановления для переустановки Windows.

  1. Перейдите на устройство, на котором были применены обновления от 9 апреля 2024 г. и первый шаг по устранению рисков (обновление базы данных безопасной загрузки).

  2. В меню Пуск найдите апплет "Создать диск восстановления" и следуйте инструкциям по созданию диска восстановления.

  3. После подключения только что созданного флэш-накопителя (например, как диск "D:"), выполните следующие команды от имени администратора. Введите каждую из следующих команд и нажмите клавишу ВВОД:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Если вы управляете устанавливаемым носителем в своей среде с помощью руководства по обновлению установочного носителя Windows с помощью динамического обновления , выполните следующие действия. Эти дополнительные действия помогут создать загрузочное устройство флэш-памяти, использующее загрузочные файлы, подписанные сертификатом подписи Windows UEFI CA 2023.

  1. Перейдите на устройство, на котором были применены обновления от 9 апреля 2024 г. и первый шаг по устранению рисков (обновление базы данных безопасной загрузки).

  2. Выполните действия по ссылке ниже, чтобы создать носитель с обновлениями от 9 апреля 2024 г. Обновление установочного носителя Windows с помощью динамического обновления

  3. Поместите содержимое носителя на USB-накопитель и подключите его в качестве буквы диска. Например, подключите диск с большим пальцем как "D:".

  4. Выполните следующие команды в командном окне от имени администратора. Введите каждую из следующих команд и нажмите клавишу ВВОД.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Если после применения мер защиты устройство сбрасывает параметры безопасной загрузки до значений по умолчанию, устройство не загружается. Чтобы устранить эту проблему, в состав обновлений от 9 апреля 2024 г. входит приложение восстановления, которое можно использовать для повторного применения сертификата Windows UEFI CA 2023 в базе данных (устранение неполадок No 1).

ПРИМЕЧАНИЕ Не используйте это приложение восстановления на устройстве или в системе, описанных в разделе Известные проблемы .

  1. Перейдите на устройство, на котором были применены обновления от 9 апреля 2024 г.

  2. В командном окне скопируйте приложение восстановления на флэш-накопитель с помощью следующих команд (при условии, что флэш-накопитель является диском "D:"). Введите каждую команду отдельно и нажмите клавишу ВВОД:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. На устройстве, для которого параметры безопасной загрузки сбрасываются до значений по умолчанию, вставьте флэш-накопитель, перезагрузите устройство и загрузите его с флэш-памяти.

Сроки обновления

Обновления выпускаются следующим образом:

  • Начальное развертывание Этот этап начался с обновлений, выпущенных 9 мая 2023 г., и для включения этих мер были предоставлены основные действия по устранению рисков вручную.

  • Второе развертывание Этот этап начался с обновлений, выпущенных 11 июля 2023 г., которые добавили упрощенные шаги по устранению проблемы.

  • Этап оценки Этот этап начнется 9 апреля 2024 г. и добавит дополнительные меры по устранению рисков диспетчера загрузки.

  • Заключительный этап развертывания Именно тогда мы будем поощрять всех клиентов к развертыванию мер по устранению рисков и обновлению носителя.

  • Этап принудительного применения Этап принудительного применения, который сделает устранение рисков постоянным. Дата этого этапа будет объявлена позже.

Примечание Расписание выпуска может быть изменено при необходимости.

Этот этап был заменен выпуском обновлений для системы безопасности Windows 9 апреля 2024 г. или позже.

Этот этап был заменен выпуском обновлений для системы безопасности Windows 9 апреля 2024 г. или позже.

На этом этапе мы просим вас протестировать эти изменения в среде, чтобы убедиться, что изменения правильно работают с репрезентативными примерами устройств и получить опыт работы с изменениями.

ПРИМЕЧАНИЕ Вместо того, чтобы пытаться получить полный список и не доверять уязвимым диспетчерам загрузки, как это было на предыдущих этапах развертывания, мы добавляем сертификат подписи Windows Production PCA 2011 в список запретов безопасной загрузки (DBX), чтобы не доверять всем диспетчерам загрузки, подписанным этим сертификатом. Это более надежный метод, гарантирующий, что все предыдущие диспетчеры загрузки не являются доверенными.

Обновления для Windows, выпущенной 9 апреля 2024 г. или позже, добавьте следующее:

  • Три новых элемента управления для устранения рисков, которые заменяют средства устранения рисков, выпущенные в 2023 году. Новые элементы управления устранением рисков:

    • Элемент управления для развертывания сертификата Windows UEFI CA 2023 в базе данных безопасной загрузки, чтобы добавить доверие к диспетчерам загрузки Windows, подписанным этим сертификатом. Обратите внимание, что сертификат Windows UEFI CA 2023, возможно, был установлен с помощью более раннего обновления Windows.

    • Элемент управления для развертывания диспетчера загрузки, подписанный сертификатом Windows UEFI CA 2023.

    • Элемент управления для добавления "Windows Production PCA 2011" в базу данных безопасной загрузки DBX, которая блокирует все диспетчеры загрузки Windows, подписанные этим сертификатом.

  • Возможность включать развертывание мер по устранению рисков поэтапно независимо, чтобы обеспечить больший контроль при развертывании мер по устранению рисков в вашей среде в зависимости от ваших потребностей.

  • Меры по устранению рисков блокируются, поэтому их нельзя развернуть в неправильном порядке.

  • Дополнительные события для получения сведений о состоянии устройств при применении мер по устранению рисков. Дополнительные сведения о событиях см. в разделе KB5016061: события обновления переменной безопасной загрузки DB и DBX.

На этом этапе мы рекомендуем клиентам приступить к развертыванию мер по устранению рисков и управлению любыми обновлениями мультимедиа. В обновления будут добавлены следующие изменения:

  • Руководство и инструменты, помогающие в обновлении мультимедиа.

  • Обновлен блок DBX для отзыва дополнительных диспетчеров загрузки.

Этап принудительного применения будет по крайней мере через шесть месяцев после этапа развертывания. При выпуске обновлений для этапа принудительного применения они будут включать в себя следующее:

  • Сертификат Windows Production PCA 2011 будет автоматически отозван, добавив его в список запрещенных UEFI для безопасной загрузки (DBX) на устройствах с поддержкой. Эти обновления будут применяться программными средствами после установки обновлений для Windows во всех затронутых системах без возможности отключения.

Ошибки журнала событий Windows, связанные с CVE-2023-24932

Записи журнала событий Windows, связанные с обновлением базы данных и DBX, подробно описаны в KB5016061: События обновления переменной безопасной загрузки и DBX.

События успеха, связанные с применением мер по устранению рисков, перечислены в следующей таблице.

Шаг устранения рисков

Идентификатор события

Примечания

Применение обновления базы данных

1036

Сертификат PCA2023 добавлен в базу данных.

Обновление диспетчера загрузки

1799

Применен PCA2023 подписанный диспетчер загрузки.

Применение обновления DBX

1037

Было применено обновление DBX, которое не соответствует сертификату подписи PCA2011.

Часто задаваемые вопросы

Обновите все операционные системы Windows обновлениями, выпущенными 9 апреля 2024 г. или позже, прежде чем применять отмены. После применения отзывов вы не сможете запустить любую версию Windows, которая не была обновлена по крайней мере до обновлений, выпущенных 9 апреля 2024 г. Следуйте указаниям в разделе Устранение неполадок с загрузкой .

Устранение неполадок с загрузкой

После применения всех трех мер по устранению рисков встроенное ПО устройства не будет загружаться с помощью диспетчера загрузки, подписанного Windows Production PCA 2011. Сбои загрузки, о которых сообщает встроенное ПО, зависят от устройства. См. раздел Процедура восстановления .

Процедура восстановления

Если что-то пошло не так при применении мер, и вы не можете запустить устройство или вам нужно начать с внешнего носителя (например, с диска большого пальца или загрузки PXE), попробуйте выполнить следующие действия.

  1. Отключите безопасную загрузку.

    Эта процедура отличается в разных производителях устройств и моделях. Войдите в меню UEFI BIOS для своих устройств, перейдите к параметрам безопасной загрузки и отключите его. Сведения об этом процессе см. в документации от производителя устройства. Дополнительные сведения см. в разделе Отключение безопасной загрузки.

  2. Сбросьте ключи безопасной загрузки до заводских значений по умолчанию.

    Если устройство поддерживает сброс ключей безопасной загрузки до заводских значений по умолчанию, выполните это действие сейчас.

    ПРИМЕЧАНИЕ Некоторые производители устройств имеют параметр "Очистить" и "Сброс" для переменных безопасной загрузки, и в этом случае следует использовать "Reset". Цель состоит в том, чтобы вернуть переменные безопасной загрузки к значениям производителей по умолчанию.

    Устройство должно запуститься сейчас, но обратите внимание, что оно уязвимо для вредоносных программ загрузочного комплекта. Обязательно выполните шаг 5 этого процесса восстановления, чтобы повторно включить безопасную загрузку.

  3. Попробуйте запустить Windows с системного диска.

    1. Вход в Windows.

    2. Выполните следующие команды из командной строки администратора, чтобы восстановить загрузочные файлы в системном загрузочном разделе EFI. Введите каждую команду отдельно и нажмите клавишу ВВОД:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. При выполнении BCDBoot возвращается сообщение "Загрузочные файлы успешно созданы". После отображения этого сообщения перезапустите устройство обратно в Windows.

  4. Если шаг 3 не удалось восстановить устройство, переустановите Windows.

    1. Запустите устройство с существующего носителя для восстановления.

    2. Перейдите к установке Windows с помощью носителя восстановления.

    3. Вход в Windows.

    4. Перезапустите Windows, чтобы убедиться, что устройство запускается обратно в Windows.

  5. Повторно включите безопасную загрузку и перезапустите устройство.

    Войдите в меню UEFI устройства, перейдите к параметрам безопасной загрузки и включите его. Сведения об этом процессе см. в документации от производителя устройства. Дополнительные сведения см. в разделе "Повторное включение безопасной загрузки".

Ссылки

Сторонние продукты, которые рассматриваются в этой статье, производятся компаниями, которые не зависят от Майкрософт. Мы не предоставляем никаких гарантий,подразумеваемых или иных, в отношении производительности или надежности этих продуктов.

Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.

Дата изменения

Описание изменения

9 апреля 2024 г.

  • Обширные изменения в процедурах, информации, руководствах и датах. Обратите внимание, что некоторые предыдущие изменения были удалены в результате обширных изменений, внесенных в эту дату.

16 декабря 2023 г.

  • Изменены даты выпуска для третьего развертывания и принудительного применения в разделе "Время обновления".

15 мая 2023 г.

  • Удален неподдерживаемый Windows 10 ОС версии 21H1 из раздела "Применимо к".

11 мая 2023 г.

  • В разделе "Рекомендации по развертыванию" добавлено примечание ПРЕДОСТЕРЕЖЕНИЕ к шагу 1 об обновлении до Windows 11, версии 21H2 или 22H2 или некоторых версий Windows 10.

10 мая 2023 г.

  • Уточнено, что скачиваемый носитель Windows, обновленный с помощью последней накопительной Обновления, скоро станет доступен.

  • Исправлено написание слова "Запрещено".

9 мая 2023 г.

  • Добавлены дополнительные поддерживаемые версии в раздел "Применимо к".

  • Обновлен шаг 1 раздела "Принять меры".

  • Обновлен шаг 1 раздела "Рекомендации по развертыванию".

  • Исправлены команды, приведенные в шаге 3a раздела "Рекомендации по депломенту".

  • Исправлено размещение образов UEFI Hyper-V в разделе "Устранение неполадок с загрузкой".

27 июня 2023 г.

  • Удалено примечание об обновлении с Windows 10 до более поздней версии Windows 10 которая использует пакет включения в разделе Шаг 1:Установка в разделе "Рекомендации по развертыванию".

11 июля 2023 г.

  • Обновлены экземпляры даты "9 мая 2023 г." до "11 июля 2023 г.", "9 мая 2023 г. и 11 июля 2023 г." или "9 мая 2023 г. или позже".

  • В разделе "Рекомендации по развертыванию" мы отметим, что все динамические обновления SafeOS теперь доступны для обновления разделов WinRE. Кроме того, поле ПРЕДОСТЕРЕЖЕНИЕ было удалено, так как проблема устранена выпуском динамических обновлений SafeOS.

  • В "3. Применение отзыва", инструкции были изменены.

  • В разделе "Ошибки журнала событий Windows" добавляется идентификатор события 276.

25 августа 2023 г.

  • Обновлены различные разделы для формулировки и добавлены сведения о выпуске от 11 июля 2023 г. и будущих выпусках за 2024 г.

  • Переупорядочение некоторого содержимого из раздела "Предотвращение проблем с загрузочным носителем" на раздел "Обновление загрузочного носителя".

  • Обновлен раздел "Время обновления" с измененными датами и сведениями о развертывании.
Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×