Список отзывов Secure Boot DBX для аннулирования уязвимых модулей

Весной 2022 года Windows 10 получит обновление для устранения потенциальной уязвимости в модуле конфигурации безопасной загрузки. В настоящее время список отзывов Secure Boot DBX с руководством по его применению находится в KB4575994.

Возможно, вы помните, что 29.07.2020 был опубликован совет по безопасности 200011 с описанием новой уязвимость безопасной загрузки. В связи с этим устройства, которые доверяют стороннему центру сертификации UEFI Майкрософт в своей конфигурации безопасной загрузки, могут быть уязвимы для злоумышленника, имеющего права администратора или физический доступ к устройству.

Отзыв безопасной загрузки DBX — KB4575994

Двоичные файлы обновления для безопасной загрузки размещены на этой веб-странице UEFI.

Выложенные файлы выглядят следующим образом:

1]Файл списка отзыва UEFI для x86 (32-разрядная версия)
2]Файл списка отзыва UEFI для x64 (64-разрядная версия)
3]Файл списка отзыва UEFI для ARM64

Вы можете предотвратить загрузку приложений, добавив эти хэши в DBX Secure Boot.

Примечание. Файлы расположены здесь в соответствии с архитектурой. Каждый размещенный файл содержит только хэши приложений, которые применимы к конкретной архитектуре, и пользователь должен соответственно применить подходящий файл к своему устройству. Кроме того, вы должны установить обновление, которое выйдет в ближайшие несколько месяцев в зависимости от архитектуры.

Внимание: прежде чем предпринимать какие-либо из этих действий, прочтите основную справочную статью об этой уязвимости. Ваша машина может не загрузиться после неправильной реализации метода.

Этот метод применим только тогда, когда выполняются следующие условия:

Вы уже проверили, доверяет ли устройство стороннему ЦС Unified Extensible Firmware Interface в вашей конфигурации безопасной загрузки. Для этого, –

  1. Нажмите Windows и X.
  2. Выберите — Windows PowerShell (администратор).
  3. Нажмите «Да» в приглашении UAC.
  4. Скопируйте и вставьте следующую команду –

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Corporation UEFI CA 2011’

Если ваше загрузочное приложение заблокировано этим обновлением, не полагайтесь на приложение.

Дополнительная информация

Внедрение обновления DBX в Windows —

После завершения проверки с положительным результатом выполните действия по обновлению Secure Boot DBX:

1. Загрузите соответствующий файл списка отзыва UEFI (Dbxupdate.bin) для вашей платформы с этого Веб-страница UEFI как сказано в KB4575994.

2. Вы должны разделить файл Dbxupdate.bin на основные компоненты, чтобы применить их с помощью команд PowerShell. Для этого выполните следующие действия:

а. Перейдите к Веб-страница галереи PowerShell и скачать скрипт.

б. Запустите приведенный ниже сценарий PowerShell в файле Dbxupdate.bin —

SplitDbxContent.ps1 «c:\path\to\file\dbxupdate.bin

в. Убедитесь, что команда создала следующие файлы:

Content.bin — обновить содержимое

Signature.p7 — подпись, разрешающая процесс обновления

3. В административном сеансе PowerShell выполните командлет Set-SecureBootUefi, чтобы применить обновление DBX:

Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

Ожидаемый результат

4. Перезагрузите компьютер, чтобы выполнить процесс установки обновления.

Чтобы узнать подробности о команде настройки безопасной загрузки и о том, как ее использовать для обновлений DBX, прочитайте Set-Secure.

Проверка успешного обновления

После успешного завершения шагов из предыдущего раздела и перезагрузки компьютера выполните эти шаги, чтобы убедиться, что обновление было применено. После успешной проверки ваша система больше не будет подвержена уязвимости GRUB.

  1. Перейти к Веб-страница GitHub затем загрузите сценарии проверки обновлений DBX.
  2. Распакуйте скрипты и бинарники из сжатого файла.

3. Выполните приведенный ниже сценарий PowerShell в папке, содержащей расширенные сценарии и двоичные файлы, чтобы проверить обновление DBX.

Check-Dbx.ps1 .\dbx-2021-April.bin’

Примечание. Если было применено обновление DBX, соответствующее версиям за июль 2020 г. или октябрь 2020 г. из этого файлового архива списка отзыва, вместо этого выполните следующую соответствующую команду:

Check-Dbx.ps1 ‘.\dbx-2020-July.bin’ Check-Dbx.ps1 ‘.\dbx-2020-October.bin’

4. Наконец, убедитесь, что вывод соответствует ожидаемому результату:

Совместимые версии –

Windows 10 для 32-разрядной версии
Windows 10 для x64-разрядной версии
Windows 10 2004 (32-разрядная версия)
Windows 10 2004 (ARM64)
Windows 10 2004 для x64-разрядной версии
Windows 10 1909 для 32-разрядной версии
Windows 10 1909 для ARM64
Windows 10 1909 для x64-разрядной версии
Windows 10 1903 для 32-разрядной версии
Windows 10 1903 для ARM64
Windows 10 1903 для x64-разрядной версии
Windows 10 1809 для 32-разрядной версии
Windows 10 1809 для ARM64
Windows 10 1809 для x64-разрядной версии
Windows 10 1803 для 32-разрядной версии
Windows 10 1803 для ARM64
Windows 10 1803 для x64-разрядной версии
Windows 10 1709 для 32-разрядной версии
Windows 10 1709 для ARM64
Windows 10 1709 для x64-разрядной версии
Windows 10 1607 для 32-разрядной версии
Windows 10 1607 для x64-разрядной версии
Windows 8.1 32-разрядная
Windows 8.1 x64-бит
Windows РТ 8.1
Windows Server, 2004 (установка ядра сервера)
Windows Server, 1909 (установка Server Core)
Windows Server, 1903 (установка ядра сервера)
Виндовс Сервер 2019
Windows Server 2019 (установка ядра сервера)
Виндовс сервер 2016
Windows Server 2016 (установка ядра сервера)
Windows Server 2012 R2
Windows Server 2012 R2 (установка ядра сервера)
Виндовс Сервер 2012
Windows Server 2012 (установка ядра сервера)

Видеть –

  1. Как установить Windows 11 без TPM и безопасной загрузки
  2. Как узнать, включена или выключена безопасная загрузка в Windows 10

Источник – поддержка Майкрософт

Это все!!

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *