le support de démarrage Windows doit être mis à jour en raison des modifications apportées au démarrage sécurisé

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20276
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

le support de démarrage Windows doit être mis à jour en raison des modifications apportées au démarrage sécurisé

par Parisien_entraide »

2024-02-03_102008.jpg


CVE-2023-24932 : le support de démarrage Windows doit être mis à jour en raison des modifications apportées au démarrage sécurisé


RAPPEL

Pour chaque nouvelle version de logiciel de sauvegarde, il est plus que conseillé de refaire le support de démarrage/secours etc
C'est le cas par ex avec la sortie de Macrium en novembre 2023 mais pas que, car c'est commun à tous les ces types de programmes
https://forum.malekal.com/viewtopic.php ... 81#p547481

Idem pour les .ISO
Une image ISO sur une clé bootable ou un DVD doit également dater d'au moins mai 2023 ou plus.

Donc à chaque nouvelle version de vos programmes il faut impérativement refait le support de démarrage (le programme en tient compte)

Microsoft avait publié un très long article sur la KB5025885, qui tourne autour de la vulnérabilité de sécurité CVE-2023-24932.
Il s'agit d'une vulnérabilité de sécurité en contournant la fonctionnalité de sécurité Secure Boot. Cette vulnérabilité affecte toutes les versions Windows de 10, 11, Server et également Linux.
Microsoft avait révoqué via l'UEFI, les chargeurs de démarrage faillible

Les attaquants ayant accès à l'ordinateur, que ce soit directement ou à distance, pouvait contourner la fonction de démarrage sécurisé à l'aide du kit de démarrage BlackLotus UEFI. Il existe également un exploit en circulation à ce sujet.

Il est donc important que le support de démarrage sur une clé ou un disque dur externe soit également renouvelé et contienne la mise à jour du 9 mai ou plus, puisque celle liste est actualisée

La base de données Secure Boot Forbidden Signature Database ou Secure Boot DBX de Microsoft est essentiellement une liste de blocage pour les exécutables UEFI sur liste noire qui se sont révélés dangereux.

Microsoft comblera cette lacune en quatre phases

9.05.2023
Mises à jour pour Windows publiées à compter du 9 mai 2023 pour corriger les vulnérabilités décrites dans CVE-2023-24932. ( KB5026361 Windows 10, KB5026368 Windows 11 21H2, KB5026372 Windows 11 22H2)
Modifications apportées aux composants de démarrage Windows.
Deux fichiers de verrouillage pouvant être appliqués manuellement (une politique d'intégrité du code et une liste d'interdiction de démarrage sécurisé (DBX) mise à jour).

11.07.2023
Permet un déploiement plus simple et automatique des fichiers de verrouillage (politique de démarrage d'intégrité du code et liste d'interdiction de démarrage sécurisé (DBX)).
De nouveaux événements du journal des événements seront disponibles pour indiquer si le déploiement des fichiers de verrouillage a réussi ou non.
Package de mise à jour dynamique SafeOS pour Windows Recovery Environment (WinRE).
NOUVELLES mises à jour du 9 janvier 2024 pour Windows publiées à compter du 9 janvier 2024 incluent les éléments suivants : De nouvelles mesures d'atténuation pour bloquer des gestionnaires de démarrage vulnérables supplémentaires. Pour ces nouveaux remèdes, les médias doivent être mis à jour.

Nouvelle date de fin : modifiée du 9 juillet 2024 au 8 octobre 2024 : lorsque les mises à jour de la phase d'application seront publiées, les éléments suivants seront ajoutés : La révocation (politique de démarrage d'intégrité du code et liste d'interdiction de démarrage sécurisé) sera ajoutée après l'installation des mises à jour Windows. automatiquement appliqué sur tous les systèmes concernés et ne peut plus être désactivé.

A savoir, : Microsoft avait publié des instructions supplémentaires sur la façon de bloquer les gestionnaires de démarrage vulnérables.

https://support.microsoft.com/en-us/top ... 11119c5e91


Edit :

Octobre 2023
Signatures Kerberos PAC KB5020805 | Phase 5
Phase d’application complète. Supprime la prise en charge de la sous-clé de registre KrbtgtFullPacSignature , supprime la prise en charge du mode Audit et tous les tickets de service sans les nouvelles signatures PAC se verront refuser l'authentification.


Décembre 2023

Mises à jour des autorisations Active Directory (AD) KB5008383 | Phase 5
Phase finale de déploiement. La phase de déploiement finale peut commencer une fois que vous avez terminé les étapes répertoriées dans la section « Passer à l'action » de KB5008383 . Pour passer en mode Application , suivez les instructions de la section « Conseils de déploiement » pour définir les 28e et 29e bits de l' attribut dSHeuristics . Surveillez ensuite les événements 3044-3046. Ils signalent lorsque le mode Application a bloqué une opération d'ajout ou de modification LDAP qui aurait pu être précédemment autorisée en mode Audit .


________________

Evoqué sur le sujet : Attention avec le Dual BOOT Windows / Linux - Les réglages à connaître
https://forum.malekal.com/viewtopic.php?t=72654

Ex avec AOMEI Backupper
Une verison PRO avec clé légale est dispo sur le forum
https://forum.malekal.com/viewtopic.php ... 01#p546101
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20276
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: le support de démarrage Windows doit être mis à jour en raison des modifications apportées au démarrage sécurisé

par Parisien_entraide »

2024-03-11_140728.jpg


Microsoft a regroupé le processus de sécurisation (durcissement) de Windows 10, Windows 11 et Server dans un nouveau calendrier.


Source : https://support.microsoft.com/en-us/top ... 6721a6551b


Cela concerne

Code : Tout sélectionner

Windows Server 2012 
Windows Server 2012 R2 ESU 
Windows 10 Win 10 Ent LTSB 2016 
Win 10 IoT Ent LTSB 2016 
Windows Server 2016 
Windows 10 Enterprise version 1607 
Windows 10 Pro Education, version 1607 
Windows Server 2022 
Windows 10 Home and Pro, version 21H2 
Windows 10 Enterprise and Education, version 21H2 
Windows 10 IoT Enterprise, version 21H2
Windows 10 Home and Pro, version 22H2 
Windows 10 Enterprise Multi-Session, version 22H2
 Windows 10 Enterprise and Education, version 22H2 
Windows 10 IoT Enterprise, version 22H2 
Windows 11 Home and Pro, version 23H2 
Windows 11 Enterprise and Education, version 23H2 
Windows 11 Enterprise Multi-Session, version 23H2 
Windows 11 IoT Enterprise, version 23H2



Ce calendrier s'étend rétroactivement d'avril 2023 à février 2025 actuellement. Cela implique les signatures Kerberos PAC, une protection contre le contournement du démarrage sécurisé. Les modifications apportées au protocole Netlogon, ainsi que l'authentification basée sur un certificat (serveur).

2024-03-11_140832.jpg



Les dates restantes sont :

Avril 2024 : Protection du démarrage sécurisé – Troisième phase de déploiement. Cette phase ajoute des protections supplémentaires pour le gestionnaire de démarrage. Cette phase débutera au plus tôt le 9 avril 2024.

Octobre 2024 : Phase d’application obligatoire de la protection contre le démarrage sécurisé. Les interdictions (politique de démarrage d'intégrité du code et liste d'interdiction de démarrage sécurisé) sont appliquées par programme sur tous les systèmes concernés après l'installation des mises à jour Windows et ne peuvent plus être désactivées.

Février 2025 (serveur) Authentification basée sur les certificats - Mode d'application complète. Si un certificat ne peut pas être attribué de manière unique, l'authentification est refusée.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »