目录
- 使用三种颜色作为快速指示:
- 为什么Windows安全现在检查安全启动?
如果你已经忘记了“黑莲花病毒”是怎么回事,我们快速回顾一下。BlackLotus UEFI Bootkit(编号CVE-2023-24932)是一种能够在UEFI环境下执行的恶意程序,它可以绕过Windows的安全启动(Secure Boot)保护,在系统启动早期加载恶意代码,极难被检测和清除。
为了修复这个漏洞,微软从2023年5月开始推出了阶段性补丁,并且由于修复措施会刷新UEFI固件、拉黑旧版Windows启动管理器,导致2023年5月9日之前的ISO镜像、U盘启动器、WinPE等都可能无法启动,因此微软给了用户很长的过渡期。
最初微软计划分为三个阶段,后来调整为五个阶段:
- ①第一阶段(2023.5.9):发布KB5025885,将病毒和旧版启动管理器加入黑名单DBX,但需要手动启用。
- ②第二阶段(2023.7.11):新增WinRE支持,简化手动启用命令。
- ③第三阶段(2024.4.9后):吊销旧证书“Windows Production PCA 2011”,改用新证书“Windows UEFI CA 2023”签名启动管理器。
- ④第四阶段(2024.7.9后):鼓励客户主动部署缓解措施,并提醒旧证书即将过期。
- ⑤第五阶段:强制执行!
今天是我写的本系列的第5篇文章,意味着第五阶段的到来~
最近,在“设置-Windows安全中心-设备安全性”中新增了安全启动检查。
使用三种颜色作为快速指示:
- 🟢绿色勾选:安全启动基本没问题,但表象之下还有更复杂的情况。
- 🟡黄色感叹号(警告):安全启动正在运行,但最新的证书(CA-2023)尚未启用或使用。
- 🔴红色X(停止标志,错误/问题):设备无法接收必要的更新来保障Windows启动过程的安全
为什么Windows安全现在检查安全启动?
BlackLotus已曝光3年,最近,由于一个不可忽视的“硬期限”到来,微软终于加速了进程——安全启动的旧证书要过期了。这个硬期限是啥?
证书15年大限已到:安全启动功能随Windows 8在2012年引入,其使用的证书最早于2011年颁发。按照证书15年的有效期,这批旧证书将在2026年到期。一旦过期,依赖旧证书签名的启动管理器、驱动程序等将无法通过安全启动验证,可能导致大量系统无法正常引导。
微软新增了这个条目,需要一个用户可见的方式来显示设备是否已收到更新的2023证书。直到现在,除非用户深入UEFI或使用PowerShell,否则安全启动状态是看不到的。
不过即便是“绿色勾选”的提示信息,也不是完全相同的,官网给了以下几种提示:
微软表示,从2026年5月开始,还将推出更多类似安全启动警告的系统级通知,进一步提醒用户完成必要的证书更新。届时,如果你尚未安装新证书,系统可能会通过弹窗或通知中心进行提醒。
核心提示:一旦安装了该更新,旧版本的镜像(bootmgfw.efi文件使用PCA2011签名证书)将彻底无法使用,新版镜像中的bootmgfw.efi文件均使用了PCA2023数字签名。
如果你只是一个普通Windows用户,不想深究技术细节,记住一句话即可:保持系统自动更新开启,微软会帮你搞定。
官方地址:https://support.microsoft.com/en-us/topic/secure-boot-certificate-update-status-in-the-windows-security-app-5ce39986-7dd2-4852-8c21-ef30dd04f046
文章来自互联网,只做分享使用。发布者:,转转请注明出处:https://www.pqqc.com/cheku/25953.html
