Microsoft 安全公告 MS16-100 - 重要

安全启动安全更新 (3179577)

发布日期：2016 年 8 月 9 日

**版本：**1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果攻击者安装了一个受影响的引导管理器并绕过 Windows 安全功能，则此漏洞可能允许绕过安全功能。

对于所有受支持的 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10 版本，此安全更新程序的等级为“重要”。有关详细信息，请参阅受影响的软件和漏洞严重等级部分。

此安全更新程序通过将受影响的引导管理器列入黑名单来修复漏洞。有关此漏洞的详细信息，请参阅漏洞信息部分。

有关此更新程序的详细信息，请参阅 Microsoft 知识库文章 3179577。

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。要确定软件版本的支持生命周期，请参阅 Microsoft 支持生命周期。

以下严重等级假设漏洞可能造成最大影响。有关在此安全公告发布 30 天内，漏洞利用的安全等级和安全影响的可能性的信息，请参阅 8 月公告摘要中的利用指数。

**操作系统**	[**安全启动安全功能绕过漏洞 – CVE-2016-3320**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3320)	**替代的更新程序**\*
**Windows 8.1**
[Windows 8.1（用于 32 位系统）](https://www.microsoft.com/download/details.aspx?familyid=19c5ba0d-de7b-41af-8db3-76d1ff6f79b2&displaylang=zh-cn) (3172729)	**重要**  安全功能绕过	无
[Windows 8.1（用于基于 x64 的系统）](https://www.microsoft.com/download/details.aspx?familyid=e0aedb91-f808-4ae8-86f4-46015f6b7c0b&displaylang=zh-cn) (3172729)	**重要**  安全功能绕过	无
**Windows Server 2012 和 Windows Server 2012 R2**
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=224b85dd-5caf-4c9f-852f-88f2542f9a94&displaylang=zh-cn) (3172729)	**重要**  安全功能绕过	无
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=14f74104-ff9e-4fe6-8bd0-2b749afb3171&displaylang=zh-cn) (3172729)	**重要**  安全功能绕过	无
**Windows RT 8.1**
Windows RT 8.1[1] (3172729)	**重要**  安全功能绕过	无
**Windows 10**
[Windows 10（用于 32 位系统）](https://support.microsoft.com/zh-cn/kb/3172729)[2] (3172729)	**重要**  安全功能绕过	无
[Windows 10（用于基于 x64 的系统）](https://support.microsoft.com/zh-cn/kb/3172729)[2] (3172729)	**重要**  安全功能绕过	无
[Windows 10 版本 1511（用于 32 位系统）](https://support.microsoft.com/zh-cn/kb/3172729)[2] (3172729)	**重要**  安全功能绕过	无
[Windows 10 版本 1511（用于基于 x64 的系统）](https://support.microsoft.com/zh-cn/kb/3172729)[2] (3172729)	**重要**  安全功能绕过	无
**服务器核心安装选项**
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=224b85dd-5caf-4c9f-852f-88f2542f9a94&displaylang=zh-cn)（服务器核心安装） (3172729)	**重要**  安全功能绕过	无
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=14f74104-ff9e-4fe6-8bd0-2b749afb3171&displaylang=zh-cn)（服务器核心安装） (3172729)	**重要**  安全功能绕过	无

^[1]此更新程序仅通过 Windows 更新提供。

^[2]Windows 10 更新程序是累积更新。除了非安全更新之外，每月安全发布还包括针对影响 Windows 10 的漏洞的所有安全修补程序。可以通过 Microsoft 更新目录获取这些更新程序。

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新程序的完整列表，请转到 Microsoft 更新目录，搜索更新程序知识库文章编号，然后查看更新程序详细信息（替代的更新程序信息位于“程序包详细信息”选项卡中）。

注意 此公告中所讨论的漏洞影响 Windows Server 2016 Technical Preview 5。要防止这些漏洞，Microsoft 建议运行此操作系统的客户应用最新的更新程序，此更新程序可从 Windows 更新获取。 

漏洞信息

安全启动安全功能绕过漏洞 – CVE-2016-3320

Windows 安全启动错误地加载受安全功能绕过漏洞影响的引导管理器时，则存在该漏洞。成功利用此漏洞的攻击者可以禁用代码完整性检查，从而允许将经测试签名的可执行文件和驱动程序加载到目标设备。此外，攻击者可以绕过 BitLocker 和设备加密安全功能的安全启动完整性验证。

要利用该漏洞，已获取管理权限或对目标设备具有物理访问权限的攻击者可以安装受影响的引导管理器。此安全更新通过将受影响的引导管理器列为黑名单以修复漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接：

漏洞标题	CVE 编号	已公开披露	已被利用
安全启动安全功能绕过漏洞	CVE-2016-3320	否	否

### 缓解因素 以下[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)在你遇到的情形中可能会有所帮助： - 要利用此漏洞，攻击者必须具有管理权限或目标设备的物理访问权限。 ### 变通办法 以下[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)在您遇到的情形中可能会有所帮助： - **配置 BitLocker 以使用可信平台模块 (TPM)+PIN 保护** 要启用 TPM 和 PIN 保护器，则启用加强的保护组策略，如下所示： 1. 单击**开始**，单击**运行**，键入 **gpedit.msc**，然后单击**确定**以打开组策略编辑器。 2. 在**本地计算机策略**下，导航到管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。 3. 在右窗格中，双击**启动时需要其他身份验证**。 4. 在出现的对话框中，单击**已启用**。 5. 在**选项**下，选择**需要 TPM**和**需要启动 PIN 和 TPM**。 6. 单击**应用**并关闭本地组策略编辑器。 7. 使用管理员权限打开命令提示符。 8. 输入下列命令： ``` manage-bde -protectors -add c: -tpmandpin ```

9.  提示输入 PIN 时，输入 4 或 6 位 PIN。  
10. 重启系统。

**变通办法的影响。**

每次重启计算机时用户将需要输入 PIN。

**如何撤消变通方法**

1.  单击**开始**，单击**运行**，键入 **gpedit.msc**，然后单击**确定**以打开组策略编辑器。  
2.  在**本地计算机策略**下，导航到管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。  
3.  在右窗格中，双击“启动时需要其他身份验证”。  
4.  在出现的对话框中，单击**已启用**。  
5.  在“选项”下，取消选择“允许 TPM”和“允许启动 PIN 和 TPM”。  
6.  单击**应用**并关闭本地组策略编辑器。  
7.  重启系统。  

• 禁用 BitLocker 的安全启动完整性保护

  要禁用安全启动，必须按顺序执行以下各个步骤。

  1. 禁用 BitLocker
     a. 打开“控制面板”，然后单击“BitLocker 驱动器加密”。
     b. 单击“关闭 BitLocker”。
     c. 在 BitLocker 驱动器加密对话框中，单击关闭 BitLocker。
     d. 退出控制面板。
  2. 禁用安全启动
     a. 单击开始，单击运行，键入 gpedit.msc，然后单击确定以打开组策略编辑器。
     b. 在本地计算机策略下，导航到管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
     c. 双击允许安全启动完整性验证。
     d. 在出现的对话框中，单击已禁用。
     e. 单击应用并关闭本地组策略编辑器。
  3. 重新启用 BitLocker
     a. 打开控制面板，然后单击BitLocker 驱动器加密。
     b. 单击打开 BitLocker
     c. 在 BitLocker 驱动器加密对话框中，单击打开 BitLocker。
     d. 退出控制面板。

  变通办法的影响。

  禁用安全启动可能导致在更新固件版本或 BCD 设置时系统更频繁地进入 BitLocker 恢复模式。

  如何撤消变通办法。

  1. 禁用 BitLocker
     a. 打开控制面板，然后单击BitLocker 驱动器加密。
     b. 单击关闭 BitLocker。
     c. 在 BitLocker 驱动器加密对话框中，单击关闭 BitLocker。
     d. 退出控制面板。
  2. 启用安全启动
     a. 单击开始，单击运行，键入 gpedit.msc，然后单击确定以打开组策略编辑器。
     b. 在本地计算机策略下，导航到管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
     c. 双击允许安全启动完整性验证。
     d. 在出现的对话框中，单击已启用。
     e. 单击应用并关闭本地组策略编辑器。
  3. 重新启用 BitLocker
     a. 打开控制面板，然后单击BitLocker 驱动器加密。
     b. 单击打开 BitLocker
     c. 在 BitLocker 驱动器加密对话框中，单击打开 BitLocker。
     d. 退出控制面板。

安全更新程序部署

有关安全更新程序部署信息，请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息，请参阅鸣谢。

免责声明

Microsoft 知识库中的信息“按原样”提供，没有任何形式的担保。Microsoft 不作任何明示或暗示保证，包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。

修订

• V1.0（2016 年 8 月 9 日）：公告已发布。

页面生成时间：2016-08-09 12:52-07:00。