更新:2023年10月31日
重要性:
請注意,本聲明旨在通知您 Microsoft 發布之重要安全性更新。建議用戶查看指示並採行 Microsoft 之建議與下述操作(可能隨時更新)啟用繞過安全開機之保護功能,並避免潛在安全風險和系統故障。另請注意,Microsoft 宣布務必在進入最後強制執行之前完成建議之步驟,暫定於 2024 年 7 月 9 日之前。若未能依序完成要求的步驟,可開機媒體可能無法開機,並導致您的 Getac 裝置在 Microsoft 最後強制執行後無法開機。另請注意,由 Getac 發布具有或不具 Getac 品牌名稱之軟體(包括但不限於系統軟體)不在 Getac 保固範圍內。對於未遵循 Microsoft 安全性更新相關指示所產生之任何索賠、損害、成本或支出,Getac 概不負責。
背景
由於使用 CVE-2023-24932 追蹤的 BlackLotus UEFI bootkit 已經繞過路安全開機安全性功能,因此 Microsoft 已經採取行動,於 2023 年 5 月 9 日發布 KB5025885 和安全性更新,以管理 Windows 開機管理程式撤銷。
Microsoft 的安全性更新分為四個階段¹,最後階段為強制執行。最後強制執行階段排定於 2024 年 7 月 9 日,讓風險降低措施永久化
風險與影響
Microsoft 詳細說明
請查看微軟有關 CVE-2023-24932 最新安全性更新之公告。
KB5025885:如何管理與 CVE-2023-24932 有關之安全開機變更的Windows 開機管理程式撤銷 - Microsoft 支援
Getac 用戶的行動
建議將所有可開機媒體升級到最新版本,並且以新的開機管理程式更新。Getac 建議客戶根據不同情況,遵循以下概述的行動。Getac 將發布更新復原磁碟分割中之開機管理程式的可開機復原映像(以 Getac 復原媒體應用程序 (「GRMU」)² 生成)以及工具。
*針對客製化專案,2023 年 10 月 31 日後出貨之產品將附有 Microsoft 於 5 月 9 日發布之安全性更新。相關詳細資訊,請洽詢您的 SA。
**GRMU 不支援 X600 伺服器。相關詳細資訊,請洽詢服務團隊或銷售人員。
自 2024 年 7 月 9 日開始,Microsoft 將透過更新強制執行撤銷。舊開機管理程式將添加到禁止特徵資料庫中。某個裝置若屬於以下涉及使用舊開機管理程式的任一情況,在 2024 年 7 月 9 日後將無法開機。
套用 Microsoft 5 月 9 日的更新後,用戶可按照 Microsoft 的指示提早主動撤銷舊開機管理程式,Microsoft 預計將於 2024 年 7 月 9 日撤銷該管理程式。
若您遇到上述情況且無法將裝置開機,請參考以下常見問題集加以排除。
請在 BIOS 設定中,停用安全開機,更新到最新版的 Windows 更新,然後再啟用安全開機。
是的,只要 LTSC 仍在 Microsoft 生命週期內,就有包含在內。Win10 21H2 之後的 IOT 版本也將享有支援。詳細支援狀態請向 Microsoft 洽詢5.
一旦 Wi-Fi 或 Windows 更新啟用,MSFT 就會推播累積的更新,裝置將更新至具有安全性更新的版本。但 Getac 強烈建議更新至具有安全性更新的最新版本。
是的,必須有這兩道防護才能確保安全性。在2024 年 7 月 9 日最後強制執行之前,請務必確認您的裝置和所有可開機媒體(包括離線媒體)皆已更新且準備接受本次安全性強化變更。
1 有關撤銷及更新時間詳情,請參考 Microsoft 說明。
2 特定 Getac 型號的 GRMU 映像將進行更新,以便包含 Microsoft 5 月 9 日的更新。
3 有關 CVE-2023-24932 的 Microsoft 安全性更新僅支援 Windows 10 21H2 之後的版本。
4 以前述復原映像復原後,復原磁碟分割就會刪除。
5 版本支援相關資訊可能由 Microsoft 加以變更。 如需最新資訊,請直接向 Microsoft 洽詢。Microsoft 保留進行更改之權利,且這類更改與 Getac 無關。
6 一旦具有更新開機管理程式的新 GRMU 映像開放下載,舊的 GRMU 映像將無法再存取, 其將由包含已更新之開機管理程式的新映像所取代。
7 Microsoft 的知識庫 (KB) 僅提供 21H2 以後之 Windows 10 版本的安全性更新。然而,原始復原媒體會以和訂購時相同的版本出貨。因此,若微軟的安全性更新不支援目前版本,Getac 將提供最新的可更新版本 Windows 10 22H2。
8 若您透過 Microsoft 大量授權從 Windows 11 Pro 降級為 Windows 10 Pro,請與 Microsoft 聯繫尋求復原協助和進一步資訊。
9 請查看 Microsoft 的安全性頁面,瞭解自我撤銷的詳細資訊。
Getac 免責聲明: 無論是本聲明中提到、或因本聲明所述問題引起而提供,所有內容和其他資訊均按「原樣」提供。Getac 特此明確放棄任何明示或暗示的保證,包括但不限於商品性能、任何特定用途之適用性、不侵犯智慧財產權的保證。指定的所有產品、資訊和數字都是基於當前預期得出的初步結果,Getac 保留隨時變更或更新當中任何內容的權利,恕不另行通知。Getac 評估是採用 Getac 內部分析或結構模擬或建模,來進行估計或模擬,但不代表對用戶本地安裝和個人環境的實際風險。建議用戶自行判定本聲明是否適用於其指定環境,並採取適當的行動。使用本聲明及該使用的所有後果,完成由用戶自行承擔責任、風險和費用。在任何情況下,Getac 或其任一關係企業均不對任何索賠、損害、費用或開支負責,包括但不限於因本聲明所載資訊或用戶據此而決定採取的行動所致或與之相關的利潤損失、數據丟失、業務預期損失、賠償,或是直接、間接、後果性、懲罰性、特殊或附帶損害或業務中斷。Getac 保留權利,得解釋本免責聲明,並得在必要時予以更新。
