神基科技公司关于微软安全更新

(Windows 更新 KB5025885:与 CVE-2023-24932 关联的安全启动更新)的声明

更新时间:2023/10/31

重要提示:

请注意,本声明是为了通知您微软发布的重要安全更新。用户应阅读微软及以下建议的指引,并采取可能不时更新的行动,以启用安全启动绕过的保护,避免潜在的安全风险和系统故障。另请注意,微软宣布其建议的步骤必须在进入最终执行之前完成,最终执行暂定不早于 2024 年 7 月 9 日。如果未按顺序完成所需步骤,可启动介质可能无法启动,并导致您的 Getac 设备在微软最终强制执行之后无法启动。此外,请注意,Getac 发行的带有或不带有 Getac 品牌名称的软件(包括但不限于系统软件)不包括在 Getac 的保修范围内。对于未遵循有关微软安全更新的说明所产生的任何索赔、损害、成本或费用,Getac 概不承担责任。

背景

由于安全启动安全功能已被BlackLotus UEFI BootKit 绕过(该统一可扩展固件接口在CVE-2023-24932 下被跟踪),微软于 2023 年 5 月 9 日发布了 KB5025885 和安全更新,以管理 Windows 启动管理器的注销程序。

微软的安全更新分为四个阶段¹,最后一个阶段是强制执行。最后执行阶段将于 2024 年 7 月 9 日实施永久性缓解措施


风险影响

  • BlackLotus UEFI BootKit 漏洞允许攻击者保持对设备的控制并可能操纵设备。强烈建议所有客户应用 2023 年 5 月 9 日(第一次保护)和 2024 年 1 月 9 日(第二次保护)发布的 Windows 安全更新来实施必要的安全缓解措施。
  • 吊销将于 2024 年 7 月 9 日以编程方式强制执行。¹ 因此,如果设备更换了由旧启动管理器保留的硬盘,则可能无法在强制执行日期之后启动。


微软详细说明

请查看微软关于 CVE-2023-24932 最新安全更新的公告。

KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support


对 Getac 用户的操作

建议将所有可启动介质升级到最新版本,并使用新的启动管理器进行更新。Getac 建议我们的客户根据不同的方案遵循下面概述的操作。Getac将发布可启动恢复映像(由Getac恢复介质实用程序(“GRMU“)创建²)和工具来更新恢复分区中的启动管理器。

  • 如表A所示,将发布带有最新安全更新³和启动管理器的新货品。对于2024年1月9日的新货品,安全更新将在微软发布后准备好。Getac将在映像计划发布后公布其状态。有关详细列表,请参阅表A:<更新HDI实施日期>
  • 对于目前使用Getac设备的客户(2023年7月31日前发货)
    请确保MIS部门了解以下概述的信息,并确认旧的启动管理器已被删除或更新。这对于防止2024年7月9日微软执行阶段之后出现任何启动问题至关重要。
      • 请继续进行Windows升级以安装最新版本的Windows更新,并咨询您的MIS部门以了解详细的缓解措施。请确保更新微软发布的所有更新。目前,有两个已公布的更新版本(2023年5月9日和2024年1月9日版本)
      • 恢复分区:请使用Getac服务门户上提供的Getac恢复分区补丁工具更新恢复分区中的启动管理器。在使用Getac恢复分区补丁工具之前,请确保您已经完成了5月9日之后发布的微软安全更新版本。该步骤对于为恢复分区内的启动管理器提供适当便利至关重要。如果客户决定启用吊销⁹,请在每次使用微软的更新进行更新时重复此步骤,以确保恢复分区包含最新的引导加载程序。
  • 强制吊销后通过恢复映像或更换硬盘恢复系统的场景:
    请确保使用下面的恢复映像进行系统恢复6
      • 使用GRMU8:
        请通过GRMU²从https://support.getac.com/Service/FileReader/Index?fileid=109165&cateid=100038下载带有安全更新的最新Windows映像7,以生成恢复介质并执行系统恢复4。支持的型号列表(如表A所示):<更新映像实施日期>。2023年5月9日和2024年1月9日两个版本都需要确保安全性。对于不在列表上的定制项目,请联系您的客户经理和FAE(现场应用工程师)。

表 A:<更新映像实施日期>

模式
(包括-EX, -IP产品变体)
支持操作系统OS版本 带有安全更新实施日期的新货品*
(2023年5月9日版本)
已更新恢复映像发布日期
(2023年5月9日版本)
已更新恢复映像发布日期
(2024年1月9日版本)
X500G3, T800G2 Windows 10 (22H2)
Windows 10 IoT (21H2)
2023-07-31 2023-10-17 TBD
UX10G2/G2-R, V110G6, B360G1 Windows 10 (22H2)
Windows 11 (22H2)
2023-07-31 2023-10-17 TBD
F110G6, K120G2/G2-R, S410G4, A140G2, X600, UX10G3, B360G2, V110G7 Windows 10 (22H2) 2023-07-31 2023-10-17 TBD
Windows 11 (22H2) 2023-10-19 2023-10-17 TBD
X600 Server Server 2022 2023-07-31 N/A** N/A

*对于定制项目,2023-10-31之后的货品将随附5月9日的微软安全更新。详情请咨询您的SA(销售代表)。

**GRMU不支持X600 Server。详情请咨询服务团队或销售。

常见问题解答

1在什么情况下系统会启动失败?

从2024年7月9日开始,微软将通过更新来执行吊销。旧的启动管理器将被添加到禁用特征库中。如果设备属于以下任何涉及使用旧启动管理器的方案,那么它将在2024年7月9日之后启动失败。

  • 用户更换硬盘,并使用未更新到 2023 年 5 月 9 日发布的 KB 的操作系统启动。
  • 用户利用 GRMU 的原始映像进行USB启动。
  • 用户使用 USB 驱动器启动至原始 WinPE。
  • 设备经过 PXE 启动至原始操作系统。
  • 如果恢复分区没有更新的启动管理器或包含旧的启动管理器。
2用户可以在 2024 年第一季度之前主动注销禁用的启动加载程序吗?
在应用微软5月9日的更新后,用户可以按照微软的指示自愿提前吊销微软原本计划于2024年7月9日吊销的旧启动管理器。
3如果由于“2024年7月9日执行的最后阶段”或用户“手动吊销旧启动管理器”而导致启动失败,我们应该预备哪些应急方案?
  • 启动管理器:如果用户选择旧的启动管理器进行启动,它将闪黑屏并返回到启动管理器。
  • 恢复分区:系统将在恢复分区开始时停止。
  • 系统启动:系统将跳过这个启动设备,并使用旧的启动管理器引导下一个启动设备。

如果您遇到上述情况而无法启动设备,请参考以下常见问题解答(FAQ)。

4如果 2024 年7月9日最后执行阶段后系统未能启动,应该怎么办?
请在BIOS设置中禁用安全启动,更新到最新的Windows更新,然后再启用安全启动。
5IOT LTSC版本是否会从这些安全更新中获得支持?
是,只要LTSC还在微软生命周期内,就会被包含在内获得支持。Win10 21H2之后的IOT版本也将得到支持。请向微软查询详细的支持状态5
6如果IOT LTSC客户禁用Windows更新或互联网,设备是否会在2024年7月9日之后无法启动?
一旦重新启用Wi-Fi或Windows Update,微软将推送累积的更新。该设备将更新到具有安全更新的版本。但是,Getac强烈建议使用安全更新以更新到最新版本。
7我是否需要在2023年5月9日和2024年1月9日同时更新两个版本?
是,需要两套保护措施来确保安全。在2024年7月9日最终实施阶段之前,请确保您的设备和所有可启动介质(包括离线介质)已更新并准备好进行此安全强化更改。

1 有关强制注销的细节和更新的时间,请参考微软的说明。
2 某些 Getac 型号的GRMU映像将更新,以纳入微软5月9日的更新。
3 微软关于CVE-2023-24932的安全更新仅支持Windows 10 21H2之后的版本。
4 使用上述恢复映像恢复后,恢复分区将被删除。
5 有关版本支持的信息可能由微软更改。 有关最新信息,请直接与微软联系。微软保留更改的权利,且此类更改与Getac无关。
6 一旦可以下载带有更新的启动管理器的新GRMU映像,就不能再访问旧的GRMU映像。它们将被包含更新的启动管理器的新映像所取代。
7 微软知识库(KB)只提供21H2之后的Windows 10版本的安全更新。但是,原始恢复介质随订购时的版本一起发货。因此,如果微软的安全更新不支持当前版本,Getac将提供具有更新功能的最新版本Windows 10 22H2。
8 如果您通过微软批量许可将Windows 10 Pro从Windows 11 Pro降级,请联系微软以获得恢复帮助和更多信息。
9 请查看微软的安全页面了解自我吊销的详细信息


Getac 免责声明: 本声明中提及的所有内容和其他信息,或因本声明所述问题而提供的所有信息,均按“原样”提供。Getac 特此明确声明不作任何形式的明示或暗示的保证,包括但不限于适销性、适合任何特定目的、不侵犯知识产权的保证。所有指定的产品、信息和数字均基于当前预期的初步数据,Getac 保留随时更改或更新其任何内容的权利,恕不另行通知。Getac 评估通过 Getac 内部分析或架构模拟或建模进行估计或模拟,可能并不代表用户本地安装和个体环境的实际风险。建议用户确定本声明在其指定环境中的适用性,并采取适当的措施。本声明的使用及由此产生的所有后果完全由用户自行承担责任、风险和费用。在任何情况下,对因此处包含的信息或用户决定根据此处信息采取的行动而引起或与之相关的任何及所有索赔、损害赔偿、成本或支出,包括但不限于利润损失、数据丢失、业务预期损失、补偿性、直接性、间接性、后果性、惩罚性、特殊或附带损害或业务中断,Getac 或其任何关联公司概不负责。Getac 保留解释本免责声明并在必要时予以更新的权利。