神基科技公司关于微软安全更新

(Windows 更新 KB5025885:与 CVE-2023-24932 关联的安全启动更新)的声明

更新时间:2023 年 6 月 5 日

背景

由于安全启动安全功能已被BlackLotus UEFI BootKit 绕过(该统一可扩展固件接口在CVE-2023-24932 下被跟踪),微软于 2023 年 5 月 9 日发布了 KB5025885 和安全更新,以管理 Windows 启动管理器的注销程序。

微软的安全更新分三个阶段¹,最后一个阶段是强制执行,永久缓解措施的最后执行阶段暂定在2024年第一季度实施。


风险影响

  • BlackLotus UEFI BootKit 漏洞允许攻击者保持对设备的控制并可能操纵设备。强烈建议所有客户应用 2023 年 5 月 9 日发布的 Windows 安全更新,以实施必要的安全缓解措施。
  • 注销程序将在 2024 年第一季度以编程方式强制执行。¹因此,如果设备更换了由旧启动管理器储存的硬盘,则在该强制执行日期后将无法启动。


微软详细说明

KB5025885: 如何管理 CVE-2023-24932 关联安全启动更新的Windows 启动管理器注销程序 - 微软支持


对 Getac 用户的操作

建议将所有开机启动的媒体升级到最新版本。Getac 建议我们的客户根据不同的方案遵循下面列出的操作步骤。Getac 将公布可启动映像的时间,包括恢复分区和 Getac Recovery Media Utility ("GRMU")² ISO 映像。

  • 对于当前使用 Getac 设备的客户:请继续进行 Windows 升级过程以安装最新版本的 Windows。
  • 强制注销后系统恢复或硬盘更换方案:
    • 使用 GRMU:

      请下载最新的 GRMU² ISO 映像文件并执行系统恢复。

    • 恢复分区²:

      Getac 将发布一个工具进行必要的修改。

常见问题解答

1在什么情况下系统会启动失败?

从2024年第一季度开始,微软将通过更新来执行注销。旧的启动管理器将被添加到禁用特征库中。如果设备属于以下任何涉及使用旧启动管理器的方案,那么它将在 2024 年第一季度之后启动失败。

  • 用户更换硬盘,并使用未更新到 2023 年 5 月 9 日发布的 KB 的操作系统启动。
  • 用户利用 GRMU 的原始映像进行USB启动。
  • 用户使用 USB 驱动器启动至原始 WinPE。
  • 设备经过 PXE 启动至原始操作系统。
  • 如果恢复分区没有更新的启动管理器或包含旧的启动管理器。
2如果 2024 年第一季度最后执行阶段后系统未能启动,应该怎么办?
在 BIOS 设置中禁用安全启动,更新到最新的 Windows 更新,然后启用安全启动。
3用户可以在 2024 年第一季度之前主动注销禁用的启动加载程序吗?
在应用微软 5 月 9 日的更新后,用户可以按照微软的指示主动注销将于2024年第一季度强制注销的旧的启动管理器。
4如果微软没有在设备上提供 Windows 版本的更新,应该怎么办?
用户可以通过 Windows update 手动更新 Windows 10 22H2 版本,其中还包括启动管理器更新。或者,用户可以利用 Getac 提供的恢复媒体(GRMU)更新到具有安全更新的版本。 ³

¹ 有关强制注销的细节和更新的时间,请参考微软的说明。
² ³ 某些 Getac 型号的 GRMU 映像将更新,以纳入微软 5 月 9 日的更新。新版 GRMU 和恢复分区工具的发布日期将另行公布。

Getac 免责声明: 本声明中提及的所有内容和其他信息,或因本声明所述问题而提供的所有信息,均按“原样”提供。Getac 特此明确声明不作任何形式的明示或暗示的保证,包括但不限于适销性、适合任何特定目的、不侵犯知识产权的保证。所有指定的产品、信息和数字均基于当前预期的初步数据,Getac 保留随时更改或更新其任何内容的权利,恕不另行通知。Getac 评估通过 Getac 内部分析或架构模拟或建模进行估计或模拟,可能并不代表用户本地安装和个体环境的实际风险。建议用户确定本声明在其指定环境中的适用性,并采取适当的措施。本声明的使用及由此产生的所有后果完全由用户自行承担责任、风险和费用。在任何情况下,对因此处包含的信息或用户决定根据此处信息采取的行动而引起或与之相关的任何及所有索赔、损害赔偿、成本或支出,包括但不限于利润损失、数据丢失、业务预期损失、补偿性、直接性、间接性、后果性、惩罚性、特殊或附带损害或业务中断,Getac 或其任何关联公司概不负责。Getac 保留解释本免责声明并在必要时予以更新的权利。