Microsoft 資訊安全公告 MS16-100 - 重要

  • 發行項

安全開機的安全性更新 (3179577)

發行日期:2016 年 8 月 9 日

**版本:**1.0

提要

此安全性更新可解決 Microsoft Windows 中的弱點。若攻擊者安裝受影響的開機管理程式,並略過 Windows 安全性功能,則此弱點可能允許繞過安全性功能。

對於所有受支援版本的 Windows Server 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10,此資訊安全更新的等級為「重大」。如需更多資訊,請參閱受影響的軟體與弱點嚴重性等級一節。

此安全性更新可將受影響的開機管理程式列入封鎖清單,進而解決這項弱點。如需有關此弱點的詳細資訊,請參閱<弱點資訊>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 3179577

受影響的軟體和弱點嚴重性等級

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 8 月份公告摘要中的<弱點索引>。

**作業系統** [**安全開機的安全性功能略過弱點 – CVE-2016-3320**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3320) **已取代更新**\*
**Windows 8.1**
[適用於 32 位元系統的 Windows 8.1](https://www.microsoft.com/download/details.aspx?familyid=19c5ba0d-de7b-41af-8db3-76d1ff6f79b2&displaylang=zh-tw) (3172729) **重要說明**  資訊安全功能略過
[適用於 64 位元系統的 Windows 8.1](https://www.microsoft.com/download/details.aspx?familyid=e0aedb91-f808-4ae8-86f4-46015f6b7c0b&displaylang=zh-tw) (3172729) **重要說明**  資訊安全功能略過
**Windows 2012 和 Windows Server 2012 R2**
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=224b85dd-5caf-4c9f-852f-88f2542f9a94&displaylang=zh-tw) (3172729) **重要說明**  資訊安全功能略過
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=14f74104-ff9e-4fe6-8bd0-2b749afb3171&displaylang=zh-tw) (3172729) **重要說明**  資訊安全功能略過
**Windows RT 8.1**
Windows RT 8.1[1] (3172729) **重要說明**  資訊安全功能略過
**Windows 10**
[適用於 32 位元系統的 Windows 10](https://support.microsoft.com/zh-tw/kb/3172729)[2] (3172729) **重要說明**  資訊安全功能略過
[適用於 64 位元系統的 Windows 10](https://support.microsoft.com/zh-tw/kb/3172729)[2] (3172729) **重要說明**  資訊安全功能略過
[適用於 32 位元系統的 Windows 10 1511 版](https://support.microsoft.com/zh-tw/kb/3172729)[2] (3172729) **重要說明**  資訊安全功能略過
[適用於 64 位元系統的 Windows 10 1511 版](https://support.microsoft.com/zh-tw/kb/3172729)[2] (3172729) **重要說明**  資訊安全功能略過
**Server Core 安裝選項**
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=224b85dd-5caf-4c9f-852f-88f2542f9a94&displaylang=zh-tw) (Server Core 安裝) (3172729) **重要說明**  資訊安全功能略過
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=14f74104-ff9e-4fe6-8bd0-2b749afb3171&displaylang=zh-tw) (Server Core 安裝) (3172729) **重要說明**  資訊安全功能略過
[1]更新僅透過 [Windows Update](https://go.microsoft.com/fwlink/?linkid=21130) 提供。

[2]Windows 10 更新具有累積性。每月安全性發行包含所有影響 Windows 10 的弱點修正程式,以及非安全性更新。更新透過 Microsoft Update Catalog 提供。

*「已取代更新」欄位僅顯示所有已取代更新鏈中的最新更新。如需完整的已取代更新清單,請前往 Microsoft Update Catalog,搜尋更新知識庫文章編號,然後檢視更新詳細資料 (已取代更新資訊位於 [套件詳細資料] 索引標籤)。

注意 此公告論及的資訊安全弱點會影響 Windows Server 2016 Technical Preview 5。若要保護系統免受此弱點影響,Microsoft 建議執行此作業系統的客戶套用最新更新,您可以透過 Windows Update 下載更新。 

弱點資訊

安全開機的安全性功能略過弱點 – CVE-2016-3320

當 Windows 安全開機不當地載入受弱點影響的開機管理程式時,便會存在安全性功能略過弱點的問題。成功利用此弱點的攻擊者可以停用程式碼完整性檢查,以便在目標裝置上載入測試所簽署的可執行檔和驅動程式。此外,攻擊者可以略過 BitLocker 和裝置加密資訊安全功能的安全開機完整性驗證。

獲得系統管理權限或目標裝置實際存取權的攻擊者,可以利用此弱點安裝受影響的開機管理程式。此安全性更新會藉由封鎖受影響的開機管理程式的方式解決此弱點。

下表包含一般弱點及安全風險清單中,各個弱點的標準項目連結:

弱點標題 CVE 編號 公開揭露 入侵風險
安全開機安全性功能略過弱點 CVE-2016-3320
### 緩和因素 下列[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)可能有助您解決問題: - 攻擊者必須具有系統管理權限,或具有目標裝置的實際存取權,才能利用此弱點。 ### 因應措施 下列[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)可能有助於您解決問題: - **設定 BitLocker 使用信賴平台模組 (TPM)+PIN 保護** 若要啟用 TPM 與 PIN 保護裝置,請啟用增強的保護群組原則,如下所示︰ 1. 按一下**開始**,再按**執行**,輸入 **gpedit.msc**,然後按一下**確定**以開啟「本機群組原則編輯器」。 2. 在 \[本機電腦原則\] 之下,瀏覽至 \[系統管理範本\] > \[Windows 元件\] > \[BitLocker 磁碟機加密\] > \[作業系統磁碟機\]。 3. 在右窗格中,按兩下 \[啟動時需要其他驗證\]。 4. 在出現的對話方塊中,按一下**啟用**。 5. 在 \[選項\] 之下,選取 \[需要 TPM\] 和 \[需要啟動 PIN 搭配 TPM\]。 6. 按一下**套用**並結束「本機群組原則編輯器」。 7. 使用系統管理權限開啟命令提示字元。 8. 輸入下列命令: ``` manage-bde -protectors -add c: -tpmandpin ``` 
9.  若要求輸入 PIN 時,請輸入一組 4 或 6 位數的 PIN。  
10. 重新啟動系統。

**因應措施的影響。**

每次電腦重新啟動時,使用者都需要輸入 PIN。

**如何復原因應措施**

1.  按一下**開始**,再按**執行**,輸入 **gpedit.msc**,然後按一下**確定**以開啟「本機群組原則編輯器」。  
2.  在**本機電腦原則**之下,瀏覽至 \[系統管理範本\]>\[Windows 元件\]>\[BitLocker 磁碟機加密\]>\[作業系統磁碟機\]  
3.  在右窗格中,按兩下「啟動時需要其他驗證」  
4.  在出現的對話方塊中,按一下**啟用**。  
5.  在 \[選項\] 之下,選取 \[允許 TPM\] 和 \[允許啟動 PIN 搭配 TPM\]。  
6.  按一下**套用**並結束「本機群組原則編輯器」。  
7.  重新啟動系統。  

  • 停用 BitLocker 的安全開機完整性保護

    若要停用安全開機,您必須依序執行下列步驟。

    1. 停用 BitLocker
      1. 開啟**[控制台]**,然後按一下 [BitLocker 磁碟機加密]。
      2. 按一下關閉 BitLocker
      3. 在 [BitLocker 磁碟機加密] 的對話方塊中,按一下 [關閉 BitLocker]。
      4. 結束 [控制台]。
    2. 停用安全開機
      1. 按一下開始,再按執行,輸入 gpedit.msc,然後按一下確定以開啟「本機群組原則編輯器」。
      2. 本機電腦原則之下,瀏覽至 [系統管理範本]>[Windows 元件]>[BitLocker 磁碟機加密]>[作業系統磁碟機]
      3. 按兩下允許安全開機完整性驗證
      4. 在出現的對話方塊中,按一下 [停用]。
      5. 按一下套用並結束「本機群組原則編輯器」。
    3. 重新啟用 BitLocker
      1. 開啟控制台,然後按一下 BitLocker 磁碟機加密。
      2. 按一下開啟 BitLocker
      3. 在 [BitLocker 磁碟機加密] 的對話方塊中,按一下 [開啟 BitLocker]。
      4. 結束 [控制台]。

    因應措施的影響。 

    停用安全開機可能會導致系統在您更新韌體版本或 BCD 設定時,更常進入 BitLocker 修復模式。

    如何復原因應措施。 

    1. 停用 BitLocker
      1. 開啟控制台,然後按一下 BitLocker 磁碟機加密。
      2. 按一下關閉 BitLocker
      3. 在 [BitLocker 磁碟機加密] 的對話方塊中,按一下 [關閉 BitLocker]。
      4. 結束 [控制台]。
    2. 啟用安全開機
      1. 按一下開始,再按執行,輸入 gpedit.msc,然後按一下確定以開啟「本機群組原則編輯器」。
      2. 本機電腦原則之下,瀏覽至 [系統管理範本]>[Windows 元件]>[BitLocker 磁碟機加密]>[作業系統磁碟機]
      3. 按兩下允許安全開機完整性驗證
      4. 在出現的對話方塊中,按一下啟用
      5. 按一下套用並結束「本機群組原則編輯器」。
    3. 重新啟用 BitLocker
      1. 開啟控制台,然後按一下 BitLocker 磁碟機加密。
      2. 按一下開啟 BitLocker
      3. 在 [BitLocker 磁碟機加密] 的對話方塊中,按一下 [開啟 BitLocker]。
      4. 結束 [控制台]。

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地揭露弱點來協助我們保護客戶。請參閱致謝以取得詳細資訊。

免責聲明

Microsoft 知識庫中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

頁面產生時間:2016-08-09 中午 12:52-07:00。