На прошлой неделе корпорация Microsoft выпустила свои последние обновления Patch Tuesday (KB5087544 для Windows 10 и KB5089549 для Windows 11), а также соответствующие обновления для восстановления. Официальный инструмент Media Creation Tool также был обновлен. Однако стоит предупредить: обновление для Windows 11 может вызвать проблемы с установкой, для которых компания выпустила обходные пути; кроме того, оно остается уязвимым перед «MiniPlasma» — уязвимостью безопасности, которую мы освещали ранее сегодня.
С положительной стороны, Microsoft незаметно внесла полезное улучшение с новым обновлением Patch Tuesday, добавив новую папку Secure Boot в корневой каталог системы, обычно диск C. Ресурс Neowin заметил это изменение при просмотре.
По какой-то причине компания забыла упомянуть об этом в первоначальных примечаниях к выпуску, но позже исправила это, добавив информацию: «Добавлена заметка о выпуске Secure Boot: это обновление добавляет новую папку SecureBoot в каталог C:\Windows на совместимых устройствах». Таким образом, с этим обновлением Microsoft скомпоновала все необходимые ресурсы в одном месте в папке “ExampleRolloutScripts”. По сути, эти скрипты позволяют ИТ-администраторам и системным администраторам автоматизировать установки посредством развертывания GPO (Group Policy Object), а также отслеживать статус обновления Secure Boot в соответствующих корпоративных сценариях. Они охватывают как Фазу 1 (обнаружение и мониторинг статуса), так и Фазу 2 (завершение развертывания обновленных сертификатов).
Таким образом, новая папка Secure Boot содержит следующие примеры скриптов PowerShell:
- Detect-SecureBootCertUpdateStatus.ps1: Собирает данные о статусе устройств.
- Aggregate-SecureBootData.ps1: Генерирует отчеты и информационные панели.
- Deploy-GPO-SecureBootCollection.ps1: Автоматизирует создание GPO для сбора данных.
- Start-SecureBootRolloutOrchestrator.ps1: Полностью автоматизированная, непрерывная оркестровка с автоматическим развертыванием GPO для установки сертификатов.
-
Deploy-OrchestratorTask.ps1: Развертывает оркестратор в виде запланированной задачи Windows для автоматического развертывания.
-
Get-SecureBootRolloutStatus.ps1: Просмотр статуса развертывания сертификата Secure Boot с любой рабочей станции.
-
Enable-SecureBootUpdateTask.ps1: Включает задачу обновления Secure Boot.
Для тех, кто не в курсе, в начале 2024 года Microsoft объявила об обновлении ключей Secure Boot, поскольку в 2026 году им исполнится 15 лет, и тогда же они должны истечь. В связи с этим новые сертификаты 2023 года были развернуты с последними обновлениями Windows 11. Обновленные сертификаты загрузчика и Secure Boot имеют решающее значение для защиты от вредоносного ПО, такого как загрузочные вирусы (bootkits). Если вы помните, Microsoft поясняла, что это стало причиной многократных перезагрузок.
Если вы домашний пользователь и задаетесь вопросом, есть ли у вас необходимые обновленные сертификаты, Microsoft добавила полезный маркер в приложении Безопасность Windows для распознавания этого.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen
