某些BIOS版本可能包含AMI测试密钥，这可能会损害安全引导保护-联想乐享知识库

某些BIOS版本可能包含AMI测试密钥，这可能会损害安全引导保护 分类:Y系列 问题:漏洞与防护 Lenovo 安全公告：LEN-7806 潜在影响：具有本地访问权限的攻击者可能会损害安全引导。 重要性：高 影响范围：Lenovo 特定产品 摘要描述： 安全引导是一个安全标准，它可帮助确保您的 PC 仅使用受信任的软件引导。PC 启动后，固件会检查各引导软件（包括固件驱动程序（Option ROM）和操作系统）的签名。如果签名有效，PC 将引导至受信任的操作系统。 某些运行 AMI BIOS 固件的 Lenovo 系统的 BIOS 版本中错误地包含了测试证书或“测试密钥”。这可能导致安全引导无法在受影响的系统上按照预期正常运行，并且可能允许具有本地或物理系统访问权限的攻击者使用受信任的引导列表外的软件引导系统。 解决方案: 应采取哪些措施进行自我保护： 如果用户正在运行受影响的 BIOS 版本，则其需要将其 BIOS 更新至已经修复的版本。此外，即便系统当前运行的是未受影响的最新 BIOS 版本，但如果系统出厂时配备的是受影响的 BIOS 版本，则其仍可能会受到影响。 要确定您的特定系统是否会受到影响，您可以运行 Microsoft PowerShell 脚本（可在此处获取）。如果系统包含测试密钥，此脚本将输出以下信息：“System is using the AMI Test certificate”，此时，您应执行以下步骤。 如果系统正运行未受影响的 BIOS 版本，请务必执行以下步骤，将测试密钥更换为有效密钥： 1、如果已启用 Bitlocker，请将其暂停或禁用。 - 对于 Windows 8，请单击“开始”，输入“manage bitlocker”，从结果列表中选择该项，然后选择“关闭 BitLocker”（若其处于启用状态）。 - 对于 Windows 10，请单击“开始”，输入“manage bitlocker”，从结果列表中选择该项，单击“系统和安全性”，然后单击“BitLocker 驱动器加密”。 选择“关闭 BitLocker”（若其处于启用状态）。 2、在系统引导时，进入 BIOS 设置界面以进行手动更新。有关进入 BIOS 设置界面的说明，请参阅您的系统文档。 3、转至“安全”->“安全引导” 。 4、选择“重置为设置模式”选项，按“Enter”键，将平台重置为设置模式。 5、选择“恢复出厂密钥”选项，按“Enter”键，将安全引导状态更改回用户模式。 6、保存设置，然后退出设置界面。 7、如果需要，请重新启用 Bitlocker。 产品影响： 该问题仅影响装有 AMI 提供的 BIOS 固件的 Lenovo 产品。受影响的产品列举如下。 未列出的品牌（如 ThinkPad 和 IdeaPad）不使用 AMI 固件，因此不受此漏洞影响。 如需了解您的特定系统是否会受到影响，请运行 Microsoft PowerShell 脚本（可在此处获取）。 请单击此处，了解更多信息。 ThinkCentre ThinkServer ThinkStation 致谢： Lenovo 谨此对报告此问题的 Jan Schermer 表示感谢。 其他信息和参考资料： CVE-2016-5247 https://technet.microsoft.com/en-us/library/hh824987.aspx 修订历史： 版本 日期 描述 1 8/25/2016 初始版本 ThinkCentre 产品 修复程序所需的最低 BIOS 版本 Web 链接 ThinkCentre E93 (SFF) FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre E93 (TWR) FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M6500t/s - 仅限中国 FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M6600 FWKT31A http://support.lenovo.com/us/en/downloads/DS105487 ThinkCentre M6600q FWKT31A http://support.lenovo.com/us/en/downloads/DS105487 ThinkCentre M6600t/s FWKT31A http://support.lenovo.com/us/en/downloads/DS105487 ThinkCentre M73p FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M800 FWKT31A http://support.lenovo.com/us/en/downloads/DS105487 ThinkCentre M83 (SFF) FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M83 (Tiny) FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M83 (TWR) FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M8500t/s - 仅限中国 FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M8600t/s FWKT31A http://support.lenovo.com/us/en/downloads/DS105487 ThinkCentre M900 FWKT31A http://support.lenovo.com/us/en/downloads/DS105487 ThinkCentre M93 FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M93P (SFF) FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M93P (TWR) FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkCentre M93P Tiny FBKTC5A https://support.lenovo.com/us/en/olddownloads/ds035753 ThinkS