Microsoft 安全公告 MS16-100 - 重要提示

安全启动安全更新（3179577）

发布时间： 2016 年 8 月 9 日

版本： 1.0

执行摘要

此安全更新可解决 Microsoft Windows 中的漏洞。 如果攻击者安装受影响的启动管理器并绕过 Windows 安全功能，则漏洞可能会允许绕过安全功能。

对于所有受支持的 Windows 8.1 版本、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10，此安全更新都被评为“重要”。 有关详细信息，请参阅 “受影响的软件和漏洞严重性分级 ”部分。

安全更新通过将受影响的启动管理器列入黑名单来解决漏洞。 有关漏洞的详细信息，请参阅 “漏洞信息 ”部分。

有关此更新的详细信息，请参阅 Microsoft 知识库文章3179577。

受影响的软件和漏洞严重性分级

以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期，要么不受影响。 若要确定软件版本或版本的支持生命周期，请参阅Microsoft 支持部门生命周期。

以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息，请参阅 8 月公告摘要中的 Exploitability Index。

^[1]此更新只能通过Windows 更新进行。

^[2]Windows 10 更新是累积更新。 每月安全版本包括影响 Windows 10 的漏洞的所有安全修补程序，以及非安全更新。 可通过 Microsoft 更新目录获取这些更新。

*汇报替换列仅显示被取代更新链中的最新更新。 有关替换的更新的完整列表，请转到 Microsoft 更新目录，搜索更新知识库(KB)编号，然后查看更新详细信息（更新替换的信息是在“程序包详细信息”选项卡上提供的）。

请注意 ，此公告中讨论的漏洞会影响 Windows Server 2016 Technical Preview 5。 为了免受漏洞的攻击，Microsoft 建议运行此操作系统的客户应用当前更新，该更新可从Windows 更新获取。 

漏洞信息

安全启动安全功能绕过漏洞 - CVE-2016-3320

当 Windows 安全启动加载受漏洞影响的启动管理器时，存在安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会禁用代码完整性检查，从而允许将测试签名的可执行文件和驱动程序加载到目标设备上。 此外，攻击者还可以绕过 BitLocker 的安全启动完整性验证和设备加密安全功能。

为了利用漏洞，获得管理权限或对目标设备具有物理访问权限的攻击者可以安装受影响的启动管理器。安全更新通过将受影响的启动管理器列入黑名单来解决漏洞。

下表包含指向常见漏洞和公开列表中的每个漏洞的标准条目的链接：

缓解因素

以下缓解因素可能对你的情况有所帮助：

• 若要利用漏洞，攻击者必须具有对目标设备的管理权限或物理访问权限。

解决方法

以下解决方法可能对你的情况有所帮助：

• 将 BitLocker 配置为使用受信任的平台模块 （TPM）+PIN 保护

  若要启用 TPM 和 PIN 保护程序，请启用增强的保护组策略，如下所示：

  1. 单击“开始”，单击“运行”，键入 gpedit.msc，然后单击“确定”打开本地组策略编辑器。
  2. 在“本地计算机策略”下，导航到 管理员istrative Templates>Windows 组件>BitLocker 驱动器加密>操作系统驱动器。
  3. 在右侧窗格中，双击“ 在启动时需要其他身份验证”。
  4. 在出现的对话框中，单击“ 已启用”。
  5. 在“选项”下，选择“需要 TPM”，并使用 TPM 要求启动 PIN。
  6. 单击“应用”并退出“本地组策略编辑器”。
  7. 使用 管理员istrator 权限打开命令提示符。
  8. 输入以下命令：

            manage-bde -protectors -add c: <or os="OS" volume="volume" letter="letter">-tpmandpin          

9. 出现 PIN 提示时，输入 4 位或 6 位数的 PIN。
10. 重新启动系统。

**解决方法的影响。 **

每次计算机重启时，都需要用户输入 PIN。

如何撤消解决方法

1. 单击“开始”，单击“运行”，键入 gpedit.msc，然后单击“确定”打开本地组策略编辑器。
2. 在本地计算机策略下，导航到管理员主模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器
3. 在右侧窗格中，双击“在启动时需要其他身份验证”
4. 在出现的对话框中，单击“ 已启用”。
5. 在“选项”下，选择“允许 TPM”和“允许使用 TPM 启动 PIN”。
6. 单击“应用”并退出“本地组策略编辑器”。
7. 重新启动系统。  

• 禁用 BitLocker 的安全启动完整性保护

  若要禁用安全启动，必须按顺序执行每个步骤。

1. 禁用 BitLocker
   1. 打开控制面板，然后单击 BitLocker 驱动器加密。
   2. 单击“关闭 BitLocker”
   3. 在 “BitLocker 驱动器加密 ”对话框中，单击“ 关闭 BitLocker”。
   4. 退出控制面板。
2. 禁用安全启动
   1. 单击“开始”，单击“运行”，键入 gpedit.msc，然后单击“确定”打开本地组策略编辑器。
   2. 在本地计算机策略下，导航到管理员主模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器
   3. 双击“ 允许安全启动”进行完整性验证。
   4. 在出现的对话框中，单击“ 已禁用”。
   5. 单击“应用”并退出“本地组策略编辑器”。
3. 重新启用 BitLocker
   1. 打开控制面板，然后单击 BitLocker 驱动器加密。
   2. 单击“ 打开 BitLocker”
   3. 在 “BitLocker 驱动器加密 ”对话框中，单击“ 打开 BitLocker”。
   4. 退出控制面板。

解决方法的影响。 

禁用安全启动可能会导致系统在更新固件版本或 BCD 设置时更频繁地进入 BitLocker 恢复模式。

如何撤消解决方法。 

1. 禁用 BitLocker
   1. 打开控制面板，然后单击 BitLocker 驱动器加密。
   2. 单击“关闭 BitLocker”
   3. 在 “BitLocker 驱动器加密 ”对话框中，单击“ 关闭 BitLocker”。
   4. 退出控制面板。
2. 启用安全启动
   1. 单击“开始”，单击“运行”，键入 gpedit.msc，然后单击“确定”打开本地组策略编辑器。
   2. 在本地计算机策略下，导航到管理员主模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器
   3. 双击“ 允许安全启动”进行完整性验证。
   4. 在出现的对话框中，单击“ 已启用”。
   5. 单击“应用”并退出“本地组策略编辑器”。
3. 重新启用 BitLocker
   1. 打开控制面板，然后单击 BitLocker 驱动器加密。
   2. 单击“ 打开 BitLocker”
   3. 在 “BitLocker 驱动器加密 ”对话框中，单击“ 打开 BitLocker”。
   4. 退出控制面板。

安全更新部署

有关安全更新部署信息，请参阅“执行摘要”中此处引用的 Microsoft 知识库文章。

致谢

Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息，请参阅确认。

免责声明

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修订

• V1.0（2016 年 8 月 9 日）：公告已发布。

页面生成的 2016-08-09 12：52-07：00。