本ページでは、CVE-2023-24932(セキュアブートのセキュリティ機能のバイパスの脆弱性)に対応するための軽減策を有効にした場合に発生する可能性がある問題とその対処方法を案内しています。
1.発生事象
CVE-2023-24932(セキュアブートのセキュリティ機能のバイパスの脆弱性)に対応するための軽減策を有効にした場合、以下の問題が発生する可能性があります。
- ご購入済のOSインストールメディアから起動できない
- メインボードを交換した時にシステムディスクからOSを起動できない
2.発生条件
以下のすべての条件を満たす場合に発生します。
メインボードを交換した時には、本事象が発生しない場合でも、OS起動後に一部の復旧作業が必要になります。
- セキュアブートが有効
- 2024年7月以降の累積更新プログラムを適用
- Microsoft社サイトの「軽減策の展開ガイドライン」の手順を実行
3.対象製品
OSインストールメディアから起動できない事象については、下記のモデルが対象になります。
| カテゴリ |
モデル |
| ラックサーバ |
R110i-1, R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen), R110m-1M
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M, R120j-1M, R120j-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
R120k-1M, R120k-2M
|
| タワーサーバ |
T110i, T110i-S, T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
T110m(2nd-Gen), T110m-S(2nd-Gen)
T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
|
| 低価格エントリモデル(Gモデル) |
GT110i, GT110j
|
メインボードを交換した時にシステムディスクからOSを起動できない事象については、下記のモデルが対象になります。
| カテゴリ |
モデル |
| ラックサーバ |
R110i-1, R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen)
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M, R120j-1M, R120j-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
|
| タワーサーバ |
T110i, T110i-S, T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
|
| 低価格エントリモデル(Gモデル) |
GT110i, GT110j
|
4.対象OS
OSインストールメディアから起動できない事象、メインボードを交換した時にシステムディスクからOSを起動できない事象については、下記のOSが対象になります。
| OS |
Edition |
| Windows Server 2025 (x64) |
Standard / Datacenter / Essentials |
| Windows Server 2022 (x64) |
Standard / Datacenter / Essentials |
| Windows Server 2019 (x64) |
Standard / Datacenter / Essentials |
5.軽減策有効化の確認方法
DBXに古いセキュアブート証明書が格納されている場合、軽減策が有効になっています。
| カテゴリ |
モデル |
| ラックサーバ |
R110i-1
|
| タワーサーバ |
T110i, T110i-S, T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
T110m(2nd-Gen), T110m-S(2nd-Gen)
|
| 低価格エントリモデル(Gモデル) |
GT110i, GT110j
|
下記のドキュメントを参照し、確認してください。
セキュアブート_DBX更新確認手順
| カテゴリ |
モデル |
| ラックサーバ |
R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen), R110m-1M
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M, R120j-1M, R120j-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
R120k-1M, R120k-2M
|
| タワーサーバ |
T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
|
-
装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
-
システムユーティリティの以下のメニューから、DBXに証明書(Microsoft Windows Production PCA 2011)が格納されているかを確認します。
- DBXに格納されている証明書
System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Advanced Secure Boot Options > DBX - Forbidden Signatures Database > View Signatures
| カテゴリ |
モデル |
| ラックサーバ |
R110i-1
|
| タワーサーバ |
T110i, T110i-S
|
| 低価格エントリモデル(Gモデル) |
GT110i
|
上記のモデルはBIOS上では確認できませんので、Windows Server OS上から確認します。
- イベントビューア(システム)でID:1037を探し、インストールと失効リストが正常に適用されていることを確認します。
-
以下のPowerShellコマンドでTrueが返ってくることを確認します。
> [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
6.復旧方法
以下の手順で復旧してください。
本手順は、システム管理者または保守担当者による作業を想定しています。
OSインストールメディアから起動できない場合(OSインストールメディアからOSを再インストールできない場合)
| カテゴリ |
モデル |
| ラックサーバ |
R110i-1
|
| タワーサーバ |
T110i, T110i-S, T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
T110m(2nd-Gen), T110m-S(2nd-Gen)
|
| 低価格エントリモデル(Gモデル) |
GT110i, GT110j
|
-
下記の『セキュアブート_無効化・規定値リセット手順』の(1)~(5)を参照し、SETUPでセキュアブートを無効化します。
セキュアブート_無効化・規定値リセット手順
- 『セキュアブート_無効・規定値リセット手順』の(6)~(15)を参照し、SETUPでセキュアブートキー(セキュアブートバリアブル)を工場出荷時の規定値にリセットします。
- 問題の現象は回避された状態になりますので、OSインストールメディアから起動し、OSの再インストールもしくはリカバリを実施します。OSの再インストール、リカバリについては対象機器のインストレーションガイドをご参照ください。
-
下記の『セキュアブート有効化手順』を参照し、SETUPでセキュアブートを有効化します。
セキュアブート有効化手順
- 最新の累積更新プログラムを適用します。
- Microsoft社サイトの「軽減策の展開ガイドライン」の手順を実行します。
| カテゴリ |
モデル |
| ラックサーバ |
R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen), R110m-1M
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M, R120j-1M, R120j-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
R120k-1M, R120k-2M
|
| タワーサーバ |
T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
|
-
以下の手順でセキュアブートを無効化します。
- 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
- システムユーティリティの以下のメニューをDisableに変更してセキュアブートを無効化します。
System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Attempt Secure Boot
- 変更後、F12キーを押して、設定を保存して装置を再起動します。
-
以下の手順でDBXに格納されている証明書を初期化します。
- 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
- システムユーティリティの以下のメニューでDBXを初期化します。
System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Advanced Secure Boot Options > DBX - Forbidden Signatures Database > Reset to platform defaults
- 変更後、F12キーを押して、設定を保存して装置を再起動してください。
- 問題の現象は回避された状態になりますので、OSインストールメディアから起動し、OSの再インストールもしくはリカバリを実施します。OSの再インストール、リカバリについては対象機器のインストレーションガイドをご参照ください。
-
- 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
- システムユーティリティの以下のメニューをEnableに変更してセキュアブートを有効化します。
System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Attempt Secure Boot
- 変更後、F12キーを押して、設定を保存して装置を再起動します。
- 最新の累積更新プログラムを適用します。
- Microsoft社サイトの「軽減策の展開ガイドライン」の手順を実行します。
メインボード交換でシステムディスクからOSを起動できない場合
| カテゴリ |
モデル |
| ラックサーバ |
R110i-1
|
| タワーサーバ |
T110i, T110i-S, T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
|
| 低価格エントリモデル(Gモデル) |
GT110i, GT110j
|
-
下記の『セキュアブート_無効化・規定値リセット手順』の(1)~(5)を参照し、SETUPでセキュアブートを無効化します。
セキュアブート_無効化・規定値リセット手順
- 『セキュアブート_無効・規定値リセット手順』の(6)~(15)を参照し、SETUPでセキュアブートキー(セキュアブートバリアブル)を工場出荷時の規定値にリセットします。
-
システムディスクからOSを起動します。
※保守サービス会社でメインボード交換した場合は、この状態でお客様への引き渡しが行われます。
-
コマンドプロンプトを管理者として実行し、次のコマンドでEFIシステムブートパーティション内のブートファイルを復元します。
※ 本操作は EFI システムパーティション内のファイルを削除します。
作業前に必ず影響範囲を確認し、必要に応じてバックアップを取得してください。
> mountvol s: /s
> del s:\*.* /f /s /q
> bcdboot %systemroot% /s S:
- 「ブートファイルが正常に作成されました」というメッセージを確認後、OSを再起動します。
-
下記の『セキュアブート有効化手順』を参照し、SETUPでセキュアブートを有効化します。
セキュアブート有効化手順
-
OSを起動後、既に適用済みの累積プログラムに含まれるセキュアブートキーを有効化します。
- レジストリエディターで以下のレジストリ値を設定
パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
キー:AvailableUpdates
値:0x8003 (REG_DWORD)
- タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
-
- 変更したレジストリ値が0x0000に戻っていることを確認
- Microsoft社サイトの「軽減策の展開ガイドライン」の手順を実行します。
| カテゴリ |
モデル |
| ラックサーバ |
R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen)
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
R120j-1M, R120j-2M
|
| タワーサーバ |
T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
|
-
以下の手順でセキュアブートを無効化します。
- 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
- システムユーティリティの以下のメニューをDisableに変更してセキュアブートを無効化します。
System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Attempt Secure Boot
- 変更後、F12キーを押して、設定を保存して装置を再起動します。
-
システムディスクからOSを起動します。
※保守サービス会社でメインボード交換した場合は、この状態でお客様への引き渡しが行われます。
-
コマンドプロンプトを管理者として実行し、次のコマンドでEFIシステムブートパーティション内のブートファイルを復元します。
※ 本操作は EFI システムパーティション内のファイルを削除します。
作業前に必ず影響範囲を確認し、必要に応じてバックアップを取得してください。
> mountvol s: /s
> del s:\*.* /f /s /q
> bcdboot %systemroot% /s S:
- 「ブートファイルが正常に作成されました」というメッセージを確認後、OSを再起動します。
-
- 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
- システムユーティリティの以下のメニューをEnableに変更してセキュアブートを有効化します。
System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Attempt Secure Boot
- 変更後、F12キーを押して、設定を保存して装置を再起動します。
-
OSを起動後、既に適用済みの累積プログラムに含まれるセキュアブートキーを有効化します。
- レジストリエディターで以下のレジストリ値を設定
パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
キー:AvailableUpdates
値:0x8003 (REG_DWORD)
- タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
-
- 変更したレジストリ値が0x0000に戻っていることを確認
- Microsoft社サイトの「軽減策の展開ガイドライン」の手順を実行します。
メインボード交換でシステムディスクからOSを起動できた場合
※保守サービス会社でメインボード交換した場合は、この状態でお客様への引き渡しが行われます。
OSを起動後、既に適用済みの累積プログラムに含まれるセキュアブートキーを有効化します。
- レジストリエディターで以下のレジストリ値を設定
パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
キー:AvailableUpdates
値:0x8003 (REG_DWORD)
- タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
-
- 変更したレジストリ値が0x0000に戻っていることを確認