นำไปใช้กับ
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2

วันที่เผยแพร่ต้นฉบับ: วันที่ 9 พฤษภาคม 2566

KB ID: 5025885

สําคัญ คุณควรใช้การอัปเดตความปลอดภัยของ Windows ที่เผยแพร่เมื่อวันที่ 8 กรกฎาคม 2025 หรือการอัปเดตที่ใหม่กว่าโดยเป็นส่วนหนึ่งของกระบวนการอัปเดตรายเดือนตามปกติของคุณ

บทความนี้ใช้กับองค์กรเหล่านั้นที่ควรเริ่มประเมินการลดปัญหาสําหรับการโจมตี Secure Boot ที่เปิดเผยต่อสาธารณชนโดยใช้เลี่ยงผ่าน BlackLotus UEFI bootkit นอกจากนี้ คุณอาจต้องการใช้ความเสถียรด้านความปลอดภัยเชิงรุกหรือเพื่อเริ่มเตรียมพร้อมสําหรับการเปิดตัว โปรดทราบว่ามัลแวร์นี้ต้องมีสิทธิ์เข้าถึงอุปกรณ์ทางกายภาพหรือระดับผู้ดูแลระบบ

ความระมัดระวัง หลังจากเปิดใช้งานการลดปัญหานี้บนอุปกรณ์แล้ว หมายความว่ามีการนําการแก้ไขไปใช้ จะไม่สามารถแปลงกลับได้หากคุณยังคงใช้การบูตแบบปลอดภัยบนอุปกรณ์นั้นต่อไป แม้การฟอร์แมตดิสก์ใหม่จะไม่ลบการเพิกถอนหากมีการใช้อยู่แล้ว โปรดตระหนักถึงผลกระทบที่เป็นไปได้ทั้งหมดและทดสอบอย่างละเอียดก่อนที่คุณจะใช้การเพิกถอนที่ระบุไว้ในบทความนี้กับอุปกรณ์ของคุณ

ในบทความนี้

บทสรุป

บทความนี้อธิบายถึงการป้องกันการบายพาสคุณลักษณะความปลอดภัยของการบูตแบบปลอดภัยที่เปิดเผยต่อสาธารณะที่ใช้ Bootkit BlackLotus UEFI ที่ติดตามโดย CVE-2023-24932 วิธีการเปิดใช้งานการลดปัญหา และคําแนะนําบนสื่อที่สามารถเริ่มต้นระบบได้ bootkit คือโปรแกรมที่เป็นอันตรายซึ่งออกแบบมาเพื่อโหลดให้เร็วที่สุดเท่าที่จะเป็นไปได้ในลําดับการบูตของอุปกรณ์เพื่อควบคุมการเริ่มต้นระบบปฏิบัติการ

การบูตแบบปลอดภัย ได้รับการแนะนําโดย Microsoft เพื่อสร้างเส้นทางที่ปลอดภัยและเชื่อถือได้จาก Unified Extensible Firmware Interface (UEFI) ผ่านลําดับการบูตที่เชื่อถือได้ของเคอร์เนลของ Windows การบูตแบบปลอดภัยช่วยป้องกันมัลแวร์ bootkit ในลําดับการบูต การปิดใช้งาน Secure Boot จะทําให้อุปกรณ์เสี่ยงต่อการติดมัลแวร์ใน Bootkit การแก้ไขการบายพาสการบูตแบบปลอดภัยที่อธิบายไว้ใน CVE-2023-24932 จําเป็นต้องมีการเพิกถอนตัวจัดการการบูต ซึ่งอาจทําให้เกิดปัญหาสําหรับการกําหนดค่าการบูตอุปกรณ์บางอย่าง

การลดปัญหาจากการบายพาสการบูตแบบปลอดภัยที่มีรายละเอียดใน CVE-2023-24932 จะรวมอยู่ในการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่เมื่อวันที่ 9 กรกฎาคม 2024 และการอัปเดตที่ใหม่กว่า อย่างไรก็ตาม การลดปัญหาเหล่านี้ไม่ได้เปิดใช้งานตามค่าเริ่มต้น ด้วยการอัปเดตเหล่านี้ เราขอแนะนําให้คุณเริ่มการประเมินการเปลี่ยนแปลงเหล่านี้ภายในสภาพแวดล้อมของคุณ กําหนดการที่สมบูรณ์จะอธิบายอยู่ในส่วน กําหนดเวลาของการอัปเดต

ก่อนที่คุณจะเปิดใช้งานการบรรเทาเหล่านี้ คุณควรตรวจสอบรายละเอียดในบทความนี้อย่างละเอียดและพิจารณาว่าคุณต้องเปิดใช้งานการบรรเทาหรือรอการอัปเดตในอนาคตจาก Microsoft หรือไม่ หากคุณเลือกที่จะเปิดใช้งานการบรรเทา คุณต้องตรวจสอบว่าอุปกรณ์ของคุณได้รับการอัปเดตและพร้อมแล้ว และทําความเข้าใจความเสี่ยงที่อธิบายไว้ในบทความนี้ 

ดําเนินการ 

สําหรับรุ่นนี้ ควรทําตามขั้นตอนต่อไปนี้:

ขั้นตอนที่ 1: ติดตั้งการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่เมื่อวันที่ 8 กรกฎาคม 2025 หรือการอัปเดตที่ใหม่กว่าในเวอร์ชันที่รองรับทั้งหมด

ขั้นตอนที่ 2: ประเมิน การเปลี่ยนแปลงและผลกระทบที่มีต่อสภาพแวดล้อมของคุณ

ขั้นตอนที่ 3: บังคับใช้การเปลี่ยนแปลง

ขอบเขตของผลกระทบ

อุปกรณ์ Windows ทั้งหมดที่เปิดใช้งานการป้องกันการบูตแบบปลอดภัยจะได้รับผลกระทบจาก Bootkit ของ BlackLotus การลดปัญหาพร้อมใช้งานสําหรับ Windows รุ่นที่รองรับ สําหรับรายการทั้งหมด โปรดดู CVE-2023-24932

ทําความเข้าใจเกี่ยวกับความเสี่ยง

ความเสี่ยงของมัลแวร์: สําหรับการโจมตี Bootkit ของ BlackLotus UEFI ที่อธิบายไว้ในบทความนี้เพื่อให้เป็นไปได้ ผู้โจมตีต้องได้รับสิทธิ์ระดับผู้ดูแลระบบบนอุปกรณ์หรือมีสิทธิ์การเข้าถึงทางกายภาพไปยังอุปกรณ์ ซึ่งสามารถทําได้โดยการเข้าถึงอุปกรณ์ทางกายภาพหรือจากระยะไกล เช่น โดยใช้ไฮเปอร์ไวเซอร์เพื่อเข้าถึง VM/cloud โดยทั่วไปผู้โจมตีจะใช้ช่องโหว่นี้เพื่อควบคุมอุปกรณ์ที่พวกเขาสามารถเข้าถึงได้อยู่แล้วและอาจดําเนินการแก้ไขได้ การแก้ไขในบทความนี้มีการป้องกันและแก้ไขไม่ได้ หากอุปกรณ์ของคุณถูกโจมตีแล้ว โปรดติดต่อผู้ให้บริการความปลอดภัยของคุณเพื่อขอความช่วยเหลือ

สื่อการกู้คืน: หากคุณพบปัญหากับอุปกรณ์หลังจากใช้การบรรเทาและอุปกรณ์กลายเป็นไม่สามารถบูตได้ คุณอาจไม่สามารถเริ่มต้นหรือกู้คืนอุปกรณ์ของคุณจากสื่อที่มีอยู่ได้ การกู้คืนหรือการติดตั้งสื่อจะต้องได้รับการอัปเดตเพื่อให้สามารถทํางานร่วมกับอุปกรณ์ที่มีการแก้ไข

ปัญหาเฟิร์มแวร์: เมื่อ Windows นําการแก้ไขที่อธิบายไว้ในบทความนี้ไปใช้ จะต้องใช้เฟิร์มแวร์ UEFI ของอุปกรณ์เพื่ออัปเดตค่าการบูตแบบปลอดภัย (การอัปเดตจะถูกนําไปใช้กับคีย์ฐานข้อมูล (DB) และ Forbidden Signature Key (DBX)) ในบางกรณี เรามีประสบการณ์เกี่ยวกับอุปกรณ์ที่ทําให้การอัปเดตล้มเหลว เรากําลังทํางานร่วมกับผู้ผลิตอุปกรณ์เพื่อทดสอบการอัปเดตที่สําคัญเหล่านี้ในอุปกรณ์ให้มากที่สุดเท่าที่จะเป็นไปได้

โน้ต โปรดทดสอบการลดเหล่านี้บนอุปกรณ์เดียวต่อคลาสอุปกรณ์ในสภาพแวดล้อมของคุณเพื่อตรวจหาปัญหาเฟิร์มแวร์ที่อาจเกิดขึ้นก่อน อย่าปรับใช้อย่างกว้างขวางก่อนที่จะยืนยันว่ามีการประเมินคลาสอุปกรณ์ทั้งหมดในสภาพแวดล้อมของคุณ

การกู้คืน BitLocker: อุปกรณ์บางเครื่องอาจเข้าสู่การกู้คืน BitLocker ตรวจสอบให้แน่ใจว่าเก็บสําเนาของ คีย์การกู้คืน BitLocker ของคุณ ไว้ก่อนที่จะเปิดใช้งานการบรรเทา

ปัญหาที่พบ

ปัญหาเฟิร์มแวร์:เฟิร์มแวร์ของอุปกรณ์เพียงเฟิร์มแวร์เดียวเท่านั้นที่จะอัปเดต Secure Boot DB หรือ DBX ได้ ในกรณีที่เราทราบเราได้รายงานปัญหาไปยังผู้ผลิตอุปกรณ์ ดู KB5016061: เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับรายละเอียดเกี่ยวกับเหตุการณ์ที่บันทึก โปรดติดต่อผู้ผลิตอุปกรณ์สําหรับการอัปเดตเฟิร์มแวร์ หากอุปกรณ์ไม่รองรับ Microsoft ขอแนะนําให้อัปเกรดอุปกรณ์

ปัญหาเฟิร์มแวร์ที่ทราบแล้ว:

โน้ต ปัญหาที่ทราบต่อไปนี้ไม่มีผลกระทบ และจะไม่ป้องกันการติดตั้งการอัปเดตของวันที่ 8 กรกฎาคม 2025 หรือใหม่กว่า ในกรณีส่วนใหญ่ การแก้ไขจะไม่นําไปใช้เมื่อมีปัญหาที่ทราบแล้ว ดูรายละเอียดที่ทราบแล้วแต่ละปัญหา

  • อุปกรณ์ HP ที่มี Sure Start Security: อุปกรณ์เหล่านี้จําเป็นต้องมีการอัปเดตเฟิร์มแวร์ล่าสุดจาก HP เพื่อติดตั้งการบรรเทา การบรรเทาจะถูกบล็อกจนกว่าเฟิร์มแวร์จะได้รับการอัปเดต ติดตั้งการอัปเดตเฟิร์มแวร์ล่าสุดจากหน้าสนับสนุน HP — ดาวน์โหลดโปรแกรมควบคุมและซอฟต์แวร์อย่างเป็นทางการของ HP | ดาวน์โหลดซอฟต์แวร์ ฝ่ายสนับสนุนของ HP

  • อุปกรณ์ที่ใช้ Arm64: การบรรเทาจะถูกบล็อกเนื่องจากปัญหาเฟิร์มแวร์ UEFI ที่รู้จักกับอุปกรณ์ที่ใช้ Qualcomm Microsoft กําลังทํางานกับ Qualcomm เพื่อแก้ไขปัญหานี้ Qualcomm จะมอบการแก้ไขให้กับผู้ผลิตอุปกรณ์ ติดต่อผู้ผลิตอุปกรณ์ของคุณเพื่อตรวจสอบว่ามีการแก้ไขปัญหานี้หรือไม่ Microsoft จะเพิ่มการตรวจหาเพื่ออนุญาตให้สามารถนําการบรรเทาไปใช้กับอุปกรณ์เมื่อตรวจพบเฟิร์มแวร์แบบคงที่ หากอุปกรณ์ที่ใช้ Arm64 ของคุณไม่มีเฟิร์มแวร์ Qualcomm ให้กําหนดค่ารีจิสทรีคีย์ต่อไปนี้เพื่อเปิดใช้งานการแก้ไข

    คีย์ย่อยของรีจิสทรี

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    ชื่อค่าคีย์

    SkipDeviceCheck

    ชนิดข้อมูล

    REG_DWORD

    ข้อมูล

    1

  • แอปเปิล:คอมพิวเตอร์ Mac ที่มีชิปความปลอดภัยของ Apple T2 สนับสนุนการบูตแบบปลอดภัย อย่างไรก็ตาม การอัปเดตตัวแปรที่เกี่ยวข้องกับความปลอดภัย UEFI จะพร้อมใช้งานเป็นส่วนหนึ่งของการอัปเดต macOS เท่านั้น ผู้ใช้ Boot Camp คาดว่าจะเห็นรายการบันทึกเหตุการณ์ของรหัสเหตุการณ์ 1795 ใน Windows ที่เกี่ยวข้องกับตัวแปรเหล่านี้ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับรายการบันทึกนี้ ดูที่ KB5016061: เหตุการณ์การอัปเดตตัวแปร Secure Boot DB และ DBX

  • VMware:ในสภาพแวดล้อมการจําลองเสมือนที่ใช้ VMware VM ที่ใช้ตัวประมวลผล x86 ที่เปิดใช้งาน Secure Boot จะไม่สามารถเริ่มต้นระบบได้หลังจากใช้การแก้ไข Microsoft กําลังประสานงานกับ VMware เพื่อแก้ไขปัญหานี้

  • ระบบที่ใช้ TPM 2.0:  ระบบเหล่านี้ที่ทํางาน Windows Server 2012 และ Windows Server 2012 R2 ไม่สามารถปรับใช้การแก้ไขที่เผยแพร่ในการอัปเดตความปลอดภัย 9 กรกฎาคม 2024 หรือใหม่กว่าเนื่องจากปัญหาความเข้ากันได้ที่ทราบแล้วกับการวัด TPM การอัปเดตความปลอดภัยวันที่ 9 กรกฎาคม 2024 หรือใหม่กว่าจะบล็อกการแก้ไข #2 (ตัวจัดการการเริ่มต้นระบบ) และ #3 (การอัปเดต DBX) บนระบบที่ได้รับผลกระทบMicrosoft ทราบถึงปัญหาและการอัปเดตจะเผยแพร่ในอนาคตเพื่อยกเลิกการบล็อกระบบที่ใช้ TPM 2.0เมื่อต้องการตรวจสอบเวอร์ชัน TPM ของคุณ ให้คลิกขวาที่ เริ่ม คลิก เรียกใช้ แล้วพิมพ์ tpm.msc ที่ด้านล่างขวาของบานหน้าต่างศูนย์ภายใต้ ข้อมูลผู้ผลิต TPM คุณควรเห็นค่าสําหรับ เวอร์ชันข้อมูลจําเพาะ

  • การเข้ารหัสลับจุดสิ้นสุด Symantec: การแก้ไขการบูตแบบปลอดภัยไม่สามารถใช้กับระบบที่ติดตั้งการเข้ารหัสลับจุดสิ้นสุดของ Symantec Microsoft และ Symantec ทราบถึงปัญหาและจะได้รับการแก้ไขในการอัปเดตในอนาคต

แนวทางสําหรับการเผยแพร่นี้

สําหรับรุ่นนี้ ให้ทําตามขั้นตอนสองขั้นตอนต่อไปนี้

ขั้นตอนที่ 1: ติดตั้งการอัปเดต ความปลอดภัยของ Windows ติดตั้งการอัปเดตความปลอดภัยรายเดือนของ Windows ที่เผยแพร่เมื่อวันที่ 8 กรกฎาคม 2025 หรือการอัปเดตที่ใหม่กว่าบนอุปกรณ์ Windows ที่รองรับ การอัปเดตเหล่านี้รวมถึงการลดปัญหาสําหรับ CVE-2023-24932 แต่ไม่ได้เปิดใช้งานตามค่าเริ่มต้น อุปกรณ์ Windows ทั้งหมดควรทําขั้นตอนนี้ไม่ว่าคุณจะวางแผนที่จะปรับใช้การบรรเทาปัญหาหรือไม่

ขั้นตอนที่ 2: ประเมินการเปลี่ยนแปลง เราขอแนะนําให้คุณทําดังต่อไปนี้:

  • ทําความเข้าใจกับการบรรเทาสองวิธีแรกที่อนุญาตให้อัปเดต Secure Boot DB และอัปเดตตัวจัดการการเริ่มต้นระบบ

  • ตรวจสอบกําหนดการที่อัปเดตแล้ว

  • เริ่มทดสอบการบรรเทาสองวิธีแรกกับอุปกรณ์ตัวแทนจากสภาพแวดล้อมของคุณ

  • เริ่มวางแผนสําหรับการปรับใช้

ขั้นตอนที่ 3: บังคับใช้การเปลี่ยนแปลง

เราสนับสนุนให้คุณเข้าใจความเสี่ยงที่เรียกว่าในส่วน การทําความเข้าใจความเสี่ยง

  • ทําความเข้าใจผลกระทบต่อการกู้คืนและสื่อที่สามารถเริ่มระบบได้อื่นๆ

  • เริ่มการทดสอบการแก้ไขครั้งที่สามที่ไม่เชื่อถือใบรับรองการเซ็นชื่อที่ใช้สําหรับตัวจัดการการเริ่มต้นระบบ Windows รุ่นก่อนหน้าทั้งหมด

แนวทางการปรับใช้การลดปัญหา

ก่อนที่จะทําตามขั้นตอนเหล่านี้เพื่อนําการแก้ไขปัญหาไปใช้ ให้ติดตั้งการอัปเดตการให้บริการรายเดือนของ Windows ที่เผยแพร่เมื่อวันที่ 8 กรกฎาคม 2025 หรือการอัปเดตในภายหลังบนอุปกรณ์ Windows ที่รองรับ การอัปเดตนี้มีการแก้ไขสําหรับ CVE-2023-24932 แต่ไม่ได้เปิดใช้งานตามค่าเริ่มต้น อุปกรณ์ Windows ทั้งหมดควรทําขั้นตอนนี้โดยไม่คํานึงถึงแผนของคุณเพื่อเปิดใช้งานการบรรเทา

โน้ต หากคุณใช้ BitLocker ตรวจสอบให้แน่ใจว่าคีย์การกู้คืน BitLocker ของคุณได้รับการสํารองไว้แล้ว คุณสามารถเรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบและจดรหัสผ่านตัวเลข 48 หลัก:

manage-bde -protectors -get %systemdrive%

เมื่อต้องการปรับใช้การอัปเดตและใช้การเพิกถอน ให้ทําตามขั้นตอนเหล่านี้:

  1. ติดตั้งข้อกําหนดใบรับรองที่ปรับปรุงแล้วลงใน DB

    ขั้นตอนนี้จะเพิ่มใบรับรอง "Windows UEFI CA 2023" ลงใน UEFI "Secure Boot Signature Database" (DB) ด้วยการเพิ่มใบรับรองนี้ลงใน DB เฟิร์มแวร์ของอุปกรณ์จะเชื่อถือแอปพลิเคชันการเริ่มต้นระบบที่เซ็นชื่อโดยใบรับรองนี้

    1. ตั้งค่ารีจิสทรีคีย์เพื่อดําเนินการอัปเดตเป็น DB เมื่อต้องการทําเช่นนี้ ให้เปิดหน้าต่าง พร้อมท์คําสั่ง ในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้แยกต่างหาก แล้วกด Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. เรียกใช้คําสั่ง PowerShell ต่อไปนี้ในฐานะผู้ดูแลระบบ และตรวจสอบว่า DB ได้รับการอัปเดตเรียบร้อยแล้ว คําสั่งนี้ควรแสดงเป็น True

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

      หมายเหตุ อาจจําเป็นต้องเริ่มระบบใหม่หากมีการเปิดใช้งานคุณลักษณะโหมดความปลอดภัยเสมือนบนอุปกรณ์ ซึ่งรวมถึงคุณลักษณะต่างๆ เช่น Credential Guard, Device Guard และ Windows Hello

  2. อัปเดตตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ของคุณ

    ขั้นตอนนี้จะติดตั้งแอปพลิเคชันตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ของคุณซึ่งลงชื่อด้วยใบรับรอง "'Windows UEFI CA 2023"

    1. ตั้งค่ารีจิสทรีคีย์เพื่อติดตั้งตัวจัดการการบูตที่ลงชื่อว่า "'Windows UEFI CA 2023" เมื่อต้องการทําเช่นนี้ ให้เปิดหน้าต่าง พร้อมท์คําสั่ง ในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้แยกต่างหาก แล้วกด Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. ในฐานะผู้ดูแลระบบ ติดตั้งพาร์ติชัน EFI เพื่อให้พร้อมสําหรับการตรวจสอบ:

      mountvol s: /s

    3. ตรวจสอบว่าไฟล์ "s:\efi\microsoft\boot\bootmgfw.efi" ได้รับการรับรองโดยใบรับรอง "Windows UEFI CA 2023" เมื่อต้องการดำเนินการดังกล่าวนี้ ให้ปฏิบัติตามขั้นตอนต่อไปนี้:

      1. คลิก เริ่ม พิมพ์ พร้อมท์คําสั่ง ในกล่อง ค้นหา แล้วคลิก พร้อมท์คําสั่ง

      2. ในหน้าต่าง พร้อมท์คําสั่ง ให้พิมพ์คําสั่งต่อไปนี้ แล้วกด Enter:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. ในตัวจัดการไฟล์ ให้คลิกขวาที่ไฟล์ C:\bootmgfw_2023.efi คลิก คุณสมบัติ แล้วเลือกแท็บ ลายเซ็นดิจิทัล

      4. ในรายการ ลายเซ็น ให้ยืนยันว่าสายใบรับรองมี Windows UEFI CA 2023 สายใบรับรองควรตรงกับสกรีนช็อตต่อไปนี้:ใบ รับรอง

  3. เปิดใช้งานการเพิกถอน

    รายการ UEFI Forbidden (DBX) ใช้เพื่อบล็อกโมดูล UEFI ที่ไม่น่าเชื่อถือจากการโหลด ในขั้นตอนนี้ การอัปเดต DBX จะเพิ่มใบรับรอง "Windows Production CA 2011" ไปยัง DBX ซึ่งจะทําให้ผู้จัดการการเริ่มต้นระบบทั้งหมดที่เซ็นชื่อโดยใบรับรองนี้ไม่น่าเชื่อถืออีกต่อไป

    คําเตือน: ก่อนที่จะใช้การบรรเทาครั้งที่สาม ให้สร้างแฟลชไดรฟ์การกู้คืนที่สามารถใช้ในการบูตระบบ สําหรับข้อมูลเกี่ยวกับวิธีการดําเนินการนี้ โปรดดูส่วน การอัปเดตสื่อการติดตั้ง Windows

    หากระบบของคุณเข้าสู่สถานะที่ไม่สามารถเริ่มต้นระบบได้ ให้ทําตามขั้นตอนในส่วน กระบวนการกู้คืน เพื่อรีเซ็ตอุปกรณ์ให้เป็นสถานะก่อนการเพิกถอน

    1. เพิ่มใบรับรอง "Windows Production PCA 2011" ลงในรายการ การบูตแบบปลอดภัย UEFI Forbidden (DBX) เมื่อต้องการทําเช่นนี้ ให้เปิดหน้าต่าง พร้อมท์คําสั่ง ในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้แยกต่างหาก แล้วกด Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    2. ตรวจสอบว่าการติดตั้งและรายการเพิกถอนถูกนําไปใช้สําเร็จโดยการค้นหาเหตุการณ์ 1037 ในบันทึกเหตุการณ์สําหรับข้อมูลเกี่ยวกับเหตุการณ์ 1037 ดูที่ KB5016061: เหตุการณ์การอัปเดตตัวแปร Secure Boot DB และ DBX หรือเรียกใช้คําสั่ง PowerShell ต่อไปนี้ในฐานะผู้ดูแลระบบ และตรวจสอบให้แน่ใจว่าคําสั่งส่งกลับจริง:

      [System.Text.Encoding]::ASCII GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

  4. ใช้การอัปเดต SVN กับเฟิร์มแวร์ ตัวจัดการการเริ่มต้นระบบที่ปรับใช้ในขั้นตอนที่ 2 มีฟีเจอร์การเพิกถอนตนเองใหม่ในตัว เมื่อตัวจัดการการเริ่มต้นระบบเริ่มทํางาน ตัวจัดการจะดําเนินการตรวจสอบด้วยตนเองโดยการเปรียบเทียบหมายเลขรุ่นที่ปลอดภัย (SVN) ที่เก็บไว้ในเฟิร์มแวร์ กับ SVN ที่อยู่ในตัวจัดการการเริ่มต้นระบบ หาก SVN ตัวจัดการการเริ่มต้นระบบต่ํากว่า SVN ที่เก็บอยู่ในเฟิร์มแวร์ ตัวจัดการการเริ่มต้นระบบจะปฏิเสธที่จะเรียกใช้ คุณลักษณะนี้ป้องกันไม่ให้ผู้โจมตีย้อนกลับเป็นตัวจัดการการเริ่มต้นระบบเป็นเวอร์ชันที่เก่ากว่าที่ไม่ได้อัปเดตในการอัปเดตในอนาคต เมื่อมีการแก้ไขปัญหาด้านความปลอดภัยที่สําคัญในตัวจัดการการเริ่มต้นระบบ หมายเลข SVN จะเพิ่มขึ้นทั้งในตัวจัดการการเริ่มต้นระบบและการอัปเดตเฟิร์มแวร์ การอัปเดตทั้งสองจะเผยแพร่ในการอัปเดตแบบสะสมเดียวกันเพื่อให้แน่ใจว่าอุปกรณ์ที่มีการแก้ไขได้รับการป้องกัน ทุกครั้งที่อัปเดต SVN สื่อที่สามารถเริ่มต้นระบบได้จะต้องได้รับการอัปเดต ตั้งแต่วันที่ 9 กรกฎาคม 2024 เป็นต้นไป การอัปเดต SVN จะถูกเพิ่มมากขึ้นในตัวจัดการการเริ่มต้นระบบและการอัปเดตเฟิร์มแวร์ การอัปเดตเฟิร์มแวร์เป็นตัวเลือกเพิ่มเติมและสามารถใช้งานได้โดยทําตามขั้นตอนนี้:

    1. ใช้การอัปเดต SVN กับเฟิร์มแวร์ เมื่อต้องการทําเช่นนี้ ให้เปิดหน้าต่าง พร้อมท์คําสั่ง ในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้แยกต่างหาก แล้วกด Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

      Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

การอัปเดตสื่อการติดตั้ง Windows

โน้ต เมื่อสร้างธัมป์ไดรฟ์ USB ที่สามารถบูตได้ ตรวจสอบให้แน่ใจว่าได้ฟอร์แมตไดรฟ์โดยใช้ระบบไฟล์ FAT32

คุณสามารถใช้แอปพลิเคชัน สร้างไดรฟ์การกู้คืน โดยทําตามขั้นตอนเหล่านี้ สื่อนี้สามารถใช้เพื่อติดตั้งอุปกรณ์ใหม่ในกรณีที่มีปัญหาหลัก เช่น ฮาร์ดแวร์ล้มเหลว คุณจะสามารถใช้ไดรฟ์การกู้คืนเพื่อติดตั้ง Windows ใหม่ได้

  1. ไปยังอุปกรณ์ที่มีการนําการอัปเดตของวันที่ 8 กรกฎาคม 2025 หรือใหม่กว่า ไปใช้ขั้นตอนแรกในการแก้ไข (การอัปเดต Secure Boot DB)

  2. จากเมนู เริ่มต้น ค้นหาแอปเพล็ตแผงควบคุม "สร้างไดรฟ์การกู้คืน" และทําตามคําแนะนําเพื่อสร้างไดรฟ์การกู้คืน

  3. เมื่อติดตั้งแฟลชไดรฟ์ที่สร้างขึ้นใหม่ (ตัวอย่างเช่น เป็นไดรฟ์ "D:") ให้เรียกใช้คําสั่งต่อไปนี้ในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้ แล้วกด Enter:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

หากคุณจัดการสื่อที่สามารถติดตั้งได้ในสภาพแวดล้อมของคุณโดยใช้ สื่อการติดตั้ง Windows Update ด้วยคําแนะนําสําหรับการปรับปรุงแบบไดนามิก ให้ทําตามขั้นตอนเหล่านี้ ขั้นตอนเพิ่มเติมเหล่านี้จะสร้างแฟลชไดรฟ์ที่สามารถบูตได้ที่ใช้ไฟล์การเริ่มต้นระบบที่เซ็นชื่อโดยใบรับรองการเซ็นชื่อ "Windows UEFI CA 2023"

  1. ไปยังอุปกรณ์ที่มีการนําการอัปเดตของวันที่ 8 กรกฎาคม 2025 หรือใหม่กว่า ไปใช้ขั้นตอนแรกในการแก้ไข (การอัปเดต Secure Boot DB)

  2. ทําตามขั้นตอนในลิงก์ด้านล่างเพื่อสร้างสื่อที่มีการนําการอัปเดตแบบไดนามิกไปใช้เมื่อวันที่ 8 กรกฎาคม 2025 หรือใหม่กว่า: อัปเดตสื่อการติดตั้ง Windows ด้วยการปรับปรุงแบบไดนามิก

  3. วางเนื้อหาของสื่อบนธัมป์ไดรฟ์ USB และต่อธัมบ์ไดรฟ์เป็นตัวอักษรไดรฟ์ ตัวอย่างเช่น ต่อเชื่อมธัมป์ไดรฟ์เป็น "D:"

  4. เรียกใช้คําสั่งต่อไปนี้จากหน้าต่างคําสั่งในฐานะผู้ดูแลระบบ พิมพ์แต่ละคําสั่งต่อไปนี้ แล้วกด Enter

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

หากอุปกรณ์มีการตั้งค่าการบูตแบบปลอดภัยรีเซ็ตเป็นค่าเริ่มต้นหลังจากใช้การบรรเทา อุปกรณ์จะไม่บูต เพื่อแก้ไขปัญหานี้ แอปพลิเคชันซ่อมแซมจะรวมอยู่กับการอัปเดตของวันที่ 9 กรกฎาคม 2024 ที่สามารถใช้เพื่อนําใบรับรอง "Windows UEFI CA 2023" ไปใช้กับ DB (การลดปัญหา #1) อีกครั้ง

โน้ต อย่าใช้แอปพลิเคชันซ่อมแซมนี้บนอุปกรณ์หรือระบบที่อธิบายไว้ในส่วน ปัญหาที่ทราบ

  1. ไปยังอุปกรณ์ที่มีการนําการอัปเดตวันที่ 8 กรกฎาคม 2025 หรือใหม่กว่าไปใช้

  2. ในหน้าต่างคําสั่ง ให้คัดลอกแอปการกู้คืนไปยังแฟลชไดรฟ์โดยใช้คําสั่งต่อไปนี้ (สมมติให้แฟลชไดรฟ์เป็นไดรฟ์ "D:") พิมพ์แต่ละคําสั่งแยกกัน แล้วกด Enter:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi

  3. บนอุปกรณ์ที่มีการตั้งค่าการบูตแบบปลอดภัยรีเซ็ตเป็นค่าเริ่มต้น ให้ใส่แฟลชไดรฟ์ เริ่มระบบของอุปกรณ์ใหม่ และเริ่มต้นระบบจากแฟลชไดรฟ์

เวลาของการอัปเดต

Updates จะเผยแพร่ดังนี้:

  • การปรับใช้ครั้งแรก ระยะนี้เริ่มต้นด้วยการอัปเดตที่เผยแพร่เมื่อวันที่ 9 พฤษภาคม 2023 และให้การแก้ไขพื้นฐานด้วยขั้นตอนด้วยตนเองเพื่อเปิดใช้งานการแก้ไขเหล่านั้น

  • การปรับใช้ที่สอง ระยะนี้เริ่มต้นด้วยการอัปเดตที่เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2023 ซึ่งเพิ่มขั้นตอนง่ายๆ เพื่อเปิดใช้งานการลดปัญหา

  • ระยะการประเมิน ขั้นตอนนี้เริ่มต้นขึ้นเมื่อวันที่ 9 เมษายน 2024 และเพิ่มการแก้ไขตัวจัดการการเริ่มต้นระบบเพิ่มเติม

  • ระยะการปรับใช้ ระยะนี้เริ่มต้นในเดือนกรกฎาคม 2024 ลูกค้าควรเริ่มใช้การแก้ไขและอัปเดตสื่อทันที

  • ระยะการบังคับใช้ ขั้นตอนการบังคับใช้ที่จะทําให้การแก้ไขถาวร วันที่สําหรับระยะนี้จะถูกประกาศในภายหลัง

หมายเหตุ กําหนดการการเผยแพร่อาจได้รับการแก้ไขตามความจําเป็น

ระยะนี้ถูกแทนที่ด้วยการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่เมื่อวันที่ 9 เมษายน 2024 และการอัปเดตที่ใหม่กว่า

ระยะนี้ถูกแทนที่ด้วยการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่เมื่อวันที่ 9 เมษายน 2024 และการอัปเดตที่ใหม่กว่า

ในขั้นตอนนี้ เราขอให้คุณทดสอบการเปลี่ยนแปลงเหล่านี้ในสภาพแวดล้อมของคุณเพื่อให้แน่ใจว่าการเปลี่ยนแปลงทํางานได้อย่างถูกต้องกับอุปกรณ์ตัวอย่างที่เป็นตัวแทนและเพื่อรับประสบการณ์ในการเปลี่ยนแปลง

โน้ต แทนที่จะพยายามทํารายการอย่างครบถ้วนและทําให้ผู้จัดการการเริ่มต้นระบบมีช่องโหว่อย่างไม่น่าเชื่อถือดังที่เราทําในขั้นตอนการปรับใช้ก่อนหน้านี้ เรากําลังเพิ่มใบรับรองการลงนาม "Windows Production PCA 2011" ลงใน Secure Boot Disallow List (DBX) เพื่อไม่ให้ผู้จัดการการเริ่มต้นระบบทั้งหมดที่เซ็นชื่อด้วยใบรับรองนี้ไม่น่าเชื่อถือ นี่เป็นวิธีที่เชื่อถือได้มากขึ้นในการตรวจสอบให้แน่ใจว่าผู้จัดการการเริ่มต้นระบบก่อนหน้านี้ทั้งหมดไม่น่าเชื่อถือ

Updates สําหรับ Windows ที่เผยแพร่เมื่อวันที่ 9 เมษายน 2024 และการอัปเดตที่ใหม่กว่า ให้เพิ่มรายการต่อไปนี้:

  • การควบคุมการลดปัญหาใหม่สามตัวที่แทนที่การบรรเทาที่เผยแพร่ในปี 2023 การควบคุมการลดปัญหาแบบใหม่มีดังนี้:

    • ตัวควบคุมเพื่อปรับใช้ใบรับรอง "Windows UEFI CA 2023" กับ DB การบูตแบบปลอดภัย เพื่อเพิ่มความเชื่อถือสําหรับตัวจัดการการเริ่มต้นระบบ Windows ที่เซ็นชื่อโดยใบรับรองนี้ โปรดทราบว่าใบรับรอง "Windows UEFI CA 2023" อาจได้รับการติดตั้งโดย Windows Update รุ่นก่อนหน้านี้

    • ตัวควบคุมเพื่อปรับใช้ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อโดยใบรับรอง "Windows UEFI CA 2023"

    • ตัวควบคุมเพื่อเพิ่ม "Windows Production PCA 2011" ไปยัง Secure Boot DBX ซึ่งจะบล็อกตัวจัดการการเริ่มต้นระบบ Windows ทั้งหมดที่เซ็นชื่อโดยใบรับรองนี้

  • ความสามารถในการเปิดใช้งานการปรับใช้การบรรเทาในขั้นตอนต่างๆ ได้อย่างอิสระ เพื่อให้สามารถควบคุมการปรับใช้การแก้ไขในสภาพแวดล้อมของคุณได้ตามความต้องการของคุณมากขึ้น

  • การบรรเทาจะเชื่อมต่อกันเพื่อไม่ให้สามารถปรับใช้ในลําดับที่ไม่ถูกต้อง

  • เหตุการณ์เพิ่มเติมเพื่อทราบสถานะของอุปกรณ์ขณะที่ใช้การบรรเทา ดู KB5016061: เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์

ระยะนี้เกิดขึ้นเมื่อเราสนับสนุนให้ลูกค้าเริ่มปรับใช้การแก้ไขและจัดการการอัปเดตสื่อใดๆ การอัปเดตรวมถึงการเปลี่ยนแปลงต่อไปนี้:

  • เพิ่มการสนับสนุนสําหรับหมายเลขเวอร์ชันที่ปลอดภัย (SVN) และการตั้งค่า SVN ที่อัปเดตในเฟิร์มแวร์

ต่อไปนี้เป็นเค้าร่างของขั้นตอนในการปรับใช้ในองค์กร

หมายเหตุ คําแนะนําเพิ่มเติมที่จะมาพร้อมกับการอัปเดตบทความนี้ในภายหลัง

  • ปรับใช้การบรรเทาครั้งแรกกับอุปกรณ์ทั้งหมดในองค์กรหรือกลุ่มอุปกรณ์ที่มีการจัดการในองค์กร ซึ่งรวมถึง:

    • การเลือกใช้การลดครั้งแรกที่เพิ่มใบรับรองการลงนาม "Windows UEFI CA 2023" ลงในเฟิร์มแวร์ของอุปกรณ์

    • การตรวจสอบว่าอุปกรณ์ได้เพิ่มใบรับรองการลงชื่อ "Windows UEFI CA 2023" เสร็จเรียบร้อยแล้ว

  • ปรับใช้การลดครั้งที่สองที่ใช้ตัวจัดการการบูตที่อัปเดตกับอุปกรณ์

  • อัปเดตการกู้คืนหรือสื่อที่สามารถเริ่มระบบได้ภายนอกที่ใช้กับอุปกรณ์เหล่านี้

  • ปรับใช้การบรรเทาที่สามที่เปิดใช้งานการเพิกถอนใบรับรอง "Windows Production CA 2011" โดยการเพิ่มไปยัง DBX ในเฟิร์มแวร์

  • ปรับใช้การลดที่สี่ที่อัปเดตหมายเลขเวอร์ชันที่ปลอดภัย (SVN) ให้กับเฟิร์มแวร์

ระยะการบังคับใช้จะไม่เริ่มต้นก่อนเดือนมกราคม 2026 และเราจะให้คําเตือนล่วงหน้าอย่างน้อยหกเดือนในบทความนี้ก่อนที่ระยะนี้จะเริ่มต้น เมื่อมีการเผยแพร่การอัปเดตสําหรับขั้นตอนการบังคับใช้ การอัปเดตจะรวมถึงรายการต่อไปนี้:

  • ใบรับรอง "Windows Production PCA 2011" จะถูกเพิกถอนโดยอัตโนมัติโดยการเพิ่มลงใน Secure Boot UEFI Forbidden List (DBX) บนอุปกรณ์ที่สามารถใช้งานได้ การอัปเดตเหล่านี้จะถูกบังคับใช้ทางโปรแกรมหลังจากติดตั้งการอัปเดตสําหรับ Windows ไปยังระบบที่ได้รับผลกระทบทั้งหมดโดยไม่มีตัวเลือกที่จะปิดใช้งาน

ข้อผิดพลาดในบันทึกเหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2023-24932

รายการบันทึกเหตุการณ์ของ Windows ที่เกี่ยวข้องกับการอัปเดต DB และ DBX มีอธิบายรายละเอียดใน KB5016061: เหตุการณ์การอัปเดตตัวแปร DB การบูตแบบปลอดภัยและ DBX

เหตุการณ์ "ความสําเร็จ" ที่เกี่ยวข้องกับการใช้การแก้ไขจะแสดงอยู่ในตารางต่อไปนี้

ขั้นตอนการลดปัญหา

ID เหตุการณ์

หมายเหตุ

การใช้การอัปเดต DB

1036

เพิ่มใบรับรอง PCA2023 ไปยัง DB แล้ว

กําลังปรับปรุงตัวจัดการการเริ่มต้นระบบ

1799

PCA2023 ใช้ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อแล้ว

การใช้การอัปเดต DBX

1037

มีการนําการอัปเดต DBX ที่ไม่เชื่อถือใบรับรองการลงชื่อ PCA2011 ไปใช้

คําถามที่ถามบ่อย (FAQ)

อัปเดตระบบปฏิบัติการ Windows ทั้งหมดด้วยการอัปเดตที่วางจําหน่ายในวันที่ 9 กรกฎาคม 2024 หรือหลังจากนั้นก่อนที่คุณจะใช้การเพิกถอน คุณอาจไม่สามารถเริ่ม Windows รุ่นใดๆ ที่ไม่ได้รับการอัปเดตเป็นการอัปเดตอย่างน้อยในวันที่ 9 กรกฎาคม 2024 หลังจากที่คุณใช้การเพิกถอน ทําตามคําแนะนําในส่วน การแก้ไขปัญหาการบูต

การแก้ไขปัญหาการเริ่มต้นระบบ

หลังจากมีการนําการแก้ไขทั้งสามรายการไปใช้ เฟิร์มแวร์ของอุปกรณ์จะไม่เริ่มต้นระบบโดยใช้ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อโดย Windows Production PCA 2011 ความล้มเหลวในการบูตที่ได้รับรายงานโดยเฟิร์มแวร์เป็นข้อมูลเฉพาะอุปกรณ์ โปรดดูส่วน ขั้นตอนการกู้คืน

ขั้นตอนการกู้คืน

หากมีบางอย่างผิดปกติขณะใช้การลดปัญหา และคุณไม่สามารถเริ่มระบบอุปกรณ์ของคุณได้ หรือคุณจําเป็นต้องเริ่มระบบจากสื่อภายนอก (เช่น ธัมบ์ไดรฟ์ หรือการบูตแบบ PXE) ให้ลองทําตามคําแนะนําต่อไปนี้:

  1. ปิดการบูตแบบปลอดภัยขั้นตอนนี้แตกต่างกันระหว่างผู้ผลิตอุปกรณ์และรุ่นต่างๆ เข้าสู่เมนู UEFI BIOS ของอุปกรณ์ของคุณ และไปที่การตั้งค่าการบูตแบบปลอดภัยและปิด ตรวจสอบเอกสารประกอบจากผู้ผลิตอุปกรณ์ของคุณเพื่อดูข้อมูลเฉพาะเกี่ยวกับกระบวนการนี้ สามารถดูรายละเอียดเพิ่มเติมได้ใน การปิดใช้งานการบูตแบบปลอดภัย

  2. รีเซ็ตคีย์การบูตแบบปลอดภัยเป็นค่าเริ่มต้นจากโรงงาน

    หากอุปกรณ์สนับสนุนการรีเซ็ตคีย์การบูตแบบปลอดภัยเป็นค่าเริ่มต้นจากโรงงาน ให้ดําเนินการนี้ทันที

    โน้ต ผู้ผลิตอุปกรณ์บางรายมีตัวเลือก "ล้าง" และ "รีเซ็ต" สําหรับตัวแปรการบูตแบบปลอดภัย ซึ่งในกรณีนี้ควรใช้ "รีเซ็ต" เป้าหมายคือการใส่ตัวแปร Secure Boot กลับไปเป็นค่าเริ่มต้นของผู้ผลิต

    อุปกรณ์ของคุณควรเริ่มทํางานทันที แต่โปรดทราบว่ามีความเสี่ยงที่จะเกิดมัลแวร์ในชุดการบูต ตรวจสอบให้แน่ใจว่าได้ทําขั้นตอนที่ 5 ของกระบวนการกู้คืนนี้เพื่อเปิดใช้งานการบูตแบบปลอดภัยอีกครั้ง

  3. ลองเริ่ม Windows จากดิสก์ระบบ

    1. เข้าสู่ระบบ Windows

    2. เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบเพื่อคืนค่าไฟล์การบูตในพาร์ติชันการบูตระบบ EFI พิมพ์แต่ละคําสั่งแยกกัน แล้วกด Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. การเรียกใช้ BCDBoot ส่งกลับ "สร้างไฟล์การเริ่มต้นระบบเรียบร้อยแล้ว" หลังจากข้อความนี้ปรากฏขึ้น ให้รีสตาร์ตอุปกรณ์กลับไปยัง Windows

  4. หากขั้นตอนที่ 3 กู้คืนอุปกรณ์ไม่สําเร็จ ให้ติดตั้ง Windows ใหม่

    1. เริ่มอุปกรณ์จากสื่อการกู้คืนที่มีอยู่

    2. ดําเนินการติดตั้ง Windows โดยใช้สื่อการกู้คืน

    3. เข้าสู่ระบบ Windows

    4. รีสตาร์ต Windows เพื่อตรวจสอบว่าอุปกรณ์เริ่มต้นระบบกลับไปยัง Windows

  5. เปิดใช้งานการบูตแบบปลอดภัยอีกครั้งและเริ่มระบบของอุปกรณ์ใหม่เข้าสู่เมนู UEFI ของอุปกรณ์ และนําทางไปยังการตั้งค่าการบูตแบบปลอดภัยและเปิด ตรวจสอบเอกสารประกอบจากผู้ผลิตอุปกรณ์ของคุณเพื่อดูข้อมูลเฉพาะเกี่ยวกับกระบวนการนี้ สามารถดูข้อมูลเพิ่มเติมได้ในส่วน "เปิดใช้งานการบูตแบบปลอดภัยอีกครั้ง"

แหล่งอ้างอิง

ผลิตภัณฑ์ของบริษัทอื่นที่กล่าวถึงในบทความนี้ ผลิตโดยบริษัทที่ไม่เกี่ยวข้องกับ Microsoft เราไม่รับประกันไม่ว่าโดยนัยหรือโดยอื่นใดเกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้

วันที่เปลี่ยนแปลง

คําอธิบายเกี่ยวกับการเปลี่ยนแปลง

วันที่ 21 ตุลาคม 2568

  • ลบส่วน "สื่อที่สามารถเริ่มระบบได้" ออกสื่อที่สามารถเริ่มระบบได้ การอัปเดตสื่อที่สามารถเริ่มต้นระบบได้เป็นสิ่งสําคัญเมื่อขั้นตอนการปรับใช้เริ่มต้นในสภาพแวดล้อมของคุณคําแนะนําสําหรับการอัปเดตสื่อที่สามารถเริ่มต้นระบบได้จะมาพร้อมกับการอัปเดตในอนาคตของบทความนี้ ดูส่วนถัดไปเพื่อ

วันที่ 8 กันยายน 2568

  • ลบสิ่งต่อไปนี้ออกจากส่วน "ปัญหาเฟิร์มแวร์ที่ทราบแล้ว" ตามที่ได้แก้ไขแล้ว:HP: HP พบปัญหาเกี่ยวกับการติดตั้งการลดปัญหาบนพีซีของเวิร์กสเตชัน HP Z4G4 และจะเผยแพร่เฟิร์มแวร์ UEFI (BIOS) Z4G4 ที่อัปเดตแล้วในสัปดาห์หน้า เพื่อให้แน่ใจว่าการติดตั้งการบรรเทาสําเร็จ ระบบจะบล็อกไว้บนเวิร์กสเตชันเดสก์ท็อปจนกว่าการอัปเดตจะพร้อมใช้งาน ลูกค้าควรอัปเดตเป็น BIOS ระบบล่าสุดก่อนใช้การลดปัญหาเสมอ

วันที่ 10 กรกฎาคม 2568

  • อัปเดตวันที่ของวันที่ 9 กรกฎาคม 2024 เป็น 8 กรกฎาคม 2025 ในส่วนใหญ่ที่เกิดขึ้นในบทความนี้

วันที่ 24 มิถุนายน 2568

  • เพิ่มหมายเหตุต่อไปนี้ในขั้นตอนที่ 1b ในส่วน "แนวทางการปรับใช้การลดปัญหา" หมายเหตุ อาจจําเป็นต้องเริ่มระบบใหม่หากเปิดใช้งานฟีเจอร์โหมดความปลอดภัยเสมือนบนอุปกรณ์ ซึ่งรวมถึงคุณลักษณะต่างๆ เช่น Credential Guard, Device Guard และ Windows Hello

วันที่ 5 พฤษภาคม 2568

  • ลบบันทึกย่อสําคัญต่อไปนี้ในขั้นตอนที่ 1a ในส่วน "แนวทางการปรับใช้การลดปัญหา":สําคัญ ตรวจสอบให้แน่ใจว่าได้เริ่มระบบของอุปกรณ์ใหม่สองครั้งเพื่อดําเนินการติดตั้งการอัปเดตให้เสร็จสมบูรณ์ก่อนดําเนินการต่อในขั้นตอนที่ 2 และ 3

  • เพิ่มคําสั่งที่สองในขั้นตอนที่ 1a ในส่วน "แนวทางการปรับใช้การลดปัญหา": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • เพิ่มคําสั่งที่สองในขั้นตอนที่ 3a ในส่วน "แนวทางการปรับใช้การลดปัญหา": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • นําขั้นตอนต่อไปนี้ออก (ก่อนหน้านี้คือขั้นตอนที่ 3b) ในส่วน "แนวทางการปรับใช้การลดปัญหา": รีสตาร์ตอุปกรณ์สองครั้ง และยืนยันว่าได้เริ่มระบบใหม่ทั้งหมดแล้ว

  • เพิ่มคําสั่งที่สองในขั้นตอนที่ 2a ในส่วน "อัปเดตตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ของคุณ": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • ลบขั้นตอนต่อไปนี้ (ก่อนหน้านี้คือขั้นตอนที่ 2b) ในส่วน "อัปเดตตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ของคุณ": รีสตาร์ตอุปกรณ์สองครั้ง

  • เพิ่มคําสั่งที่สองในขั้นตอนที่ 4a ในส่วน "นําการอัปเดต SVN ไปใช้กับเฟิร์มแวร์": Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • ลบขั้นตอนต่อไปนี้ (ก่อนหน้านี้คือขั้นตอนที่ 4b) ในส่วน "นําการอัปเดต SVN ไปใช้กับเฟิร์มแวร์" รีสตาร์ตอุปกรณ์สองครั้ง

วันที่ 13 กุมภาพันธ์ 2568

  • เปลี่ยนขั้นตอนที่ 4a ของส่วน "แนวทางการปรับใช้การลดปัญหา" จาก "เปิดพร้อมท์คําสั่งของผู้ดูแลระบบ และเรียกใช้คําสั่งต่อไปนี้เพื่อติดตั้ง "'Windows UEFI CA 2023" signed boot manager" เป็น "เปิดพร้อมท์คําสั่งของผู้ดูแลระบบ และเรียกใช้คําสั่งต่อไปนี้เพื่อนําการอัปเดต SVN ไปใช้กับเฟิร์มแวร์"

วันที่ 24 มกราคม 2568

  • อัปเดตข้อมูลวันที่ในส่วน "วันที่ที่จะประกาศ – ระยะการบังคับใช้"

9 กรกฎาคม 2024

  • อัปเดต "ขั้นตอนที่ 2: ประเมินการเปลี่ยนแปลง" เพื่อนําวันที่ 9 กรกฎาคม 2024 ออก

  • อัปเดตการเกิดขึ้นทั้งหมดของวันที่ 9 เมษายน 2024 เป็นวันที่ 9 กรกฎาคม 2024 ยกเว้นในส่วน "ระยะเวลาการอัปเดต"

  • อัปเดตส่วน "สื่อที่สามารถเริ่มต้นระบบได้" และแทนที่เนื้อหาด้วย "คําแนะนําสําหรับการอัปเดตสื่อที่สามารถเริ่มต้นระบบได้จะมาพร้อมกับการอัปเดตในอนาคต"

  • อัปเดต "9 กรกฎาคม 2024 หรือใหม่กว่า – ระยะการปรับใช้เริ่มต้น" ในส่วน "กําหนดเวลาการอัปเดต"

  • เพิ่มขั้นตอนที่ 4 "นําการอัปเดต SVN ไปใช้กับเฟิร์มแวร์" ในส่วน "แนวทางการปรับใช้การลดปัญหา"

9 เมษายน 2024

  • การเปลี่ยนแปลงอย่างกว้างขวางในขั้นตอน ข้อมูล แนวทาง และวันที่ โปรดทราบว่าการเปลี่ยนแปลงก่อนหน้านี้บางรายการถูกลบออกเนื่องจากการเปลี่ยนแปลงที่ครอบคลุมที่ทําในวันที่นี้

วันที่ 16 ธันวาคม 2566

  • แก้ไขวันที่เผยแพร่สําหรับการปรับใช้และการบังคับใช้ที่สามในส่วน "กําหนดเวลาของการอัปเดต"

วันที่ 15 พฤษภาคม 2566

  • ลบ Windows 10 ระบบปฏิบัติการที่ไม่ได้รับการสนับสนุน เวอร์ชัน 21H1 ออกจากส่วน "นําไปใช้กับ"

วันที่ 11 พฤษภาคม 2566

  • เพิ่มหมายเหตุข้อควรระวังในขั้นตอนที่ 1 ในส่วน "แนวทางการปรับใช้" เกี่ยวกับการอัปเกรดเป็น Windows 11 เวอร์ชัน 21H2 หรือ 22H2 หรือ Windows 10 บางเวอร์ชัน

วันที่ 10 พฤษภาคม 2566

  • อธิบายว่าสื่อ Windows ที่ดาวน์โหลดได้อัปเดตด้วย Updates สะสมล่าสุดจะพร้อมใช้งานในเร็วๆ นี้

  • แก้ไขการสะกดคํา "ห้าม" แล้ว

วันที่ 9 พฤษภาคม 2566

  • เพิ่มเวอร์ชันที่ได้รับการสนับสนุนเพิ่มเติมในส่วน "นําไปใช้กับ"

  • อัปเดตขั้นตอนที่ 1 ของส่วน "ดําเนินการ"

  • อัปเดตขั้นตอนที่ 1 ของส่วน "แนวทางการปรับใช้"

  • แก้ไขคําสั่งในขั้นตอนที่ 3a ของส่วน "แนวทางการ Deploment"

  • แก้ไขการจัดวางอิมเมจ Hyper-V UEFI ในส่วน "การแก้ไขปัญหาการบูต"

วันที่ 27 มิถุนายน 2566

  • ลบหมายเหตุเกี่ยวกับการอัปเดตจาก Windows 10 เป็นเวอร์ชันที่ใหม่กว่าของ Windows 10 ที่ใช้แพคเกจการเปิดใช้งานภายใต้ขั้นตอนที่ 1:ติดตั้งในส่วน "แนวทางการปรับใช้"

11 กรกฎาคม 2023

  • อัปเดตอินสแตนซ์ของวันที่ "9 พฤษภาคม 2023" เป็น "11 กรกฎาคม 2023" "9 พฤษภาคม 2023 และ 11 กรกฎาคม 2023" หรือเป็น "9 พฤษภาคม 2023 หรือใหม่กว่า"

  • ในส่วน "แนวทางการปรับใช้" เราทราบว่าการอัปเดตแบบไดนามิก SafeOS ทั้งหมดพร้อมใช้งานสําหรับการอัปเดตพาร์ติชัน WinRE แล้ว นอกจากนี้ กล่องข้อควรระวังถูกลบออกเนื่องจากปัญหาได้รับการแก้ไขโดยการเผยแพร่การอัปเดตแบบไดนามิก SafeOS

  • ใน "3. ใช้ส่วนการเพิกถอน" คําแนะนําได้รับการแก้ไขแล้ว

  • ในส่วน "ข้อผิดพลาดในบันทึกเหตุการณ์ของ Windows" รหัสเหตุการณ์ 276 จะถูกเพิ่ม

วันที่ 25 สิงหาคม 2566

  • อัปเดตส่วนต่างๆ สําหรับการใช้คําและเพิ่มข้อมูลการเผยแพร่วันที่ 11 กรกฎาคม 2023 และรุ่นในอนาคต 2024

  • การจัดเรียงเนื้อหาบางส่วนจากส่วน "การหลีกเลี่ยงปัญหาเกี่ยวกับสื่อที่สามารถเริ่มต้นระบบได้" เป็นส่วน "กําลังอัปเดตสื่อที่สามารถเริ่มต้นระบบได้"

  • อัปเดตส่วน "กําหนดเวลาของการอัปเดต" ด้วยวันที่และข้อมูลการปรับใช้ที่แก้ไขแล้ว
Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง