KB4535680: обновление безопасности для безопасной загрузки DBX: 12 января 2021 г.

Проблема

Временное решение

Некоторые исходные встроенное ПО изготовителя оборудования (OEM) могут не разрешать установку этого обновления.

Чтобы устранить эту проблему, обратитесь к изготовителю встроенного ПО.

Если bitLocker групповая политика Настройка профиля проверки платформы доверенного платформы для собственных конфигураций встроенного ПО UEFI включен и политика выбирает PCR7, это может привести к тому, что ключ восстановления BitLocker потребуется на некоторых устройствах, где привязка PCR7 невозможна.

Чтобы просмотреть состояние привязки PCR7, запустите средство Microsoft System Information (Msinfo32.exe) с разрешениями администратора.

Чтобы решить эту проблему, перед развертыванием этого обновления выполните одно из следующих действий на основе конфигурации credential guard:

• На устройстве, на который не включены учетные данные Gard, выполните следующую команду из командной строки администратора, чтобы приостановить BitLocker для 1 цикла перезагрузки:

  Manage-bde –Protectors –Disable C: -RebootCount 1

  
  Затем перезапустите устройство, чтобы возобновить защиту BitLocker.
  
  Примечание Не включайте защиту BitLocker без дополнительного перезапуска устройства, так как это приведет к восстановлению BitLocker.

• На устройстве с включенным Credential Guard во время обновления может быть несколько перезапусков, требующих приостановки BitLocker. Выполните следующую команду из командной строки администратора, чтобы приостановить BitLocker на 3 циклах перезапуска. Manage-bde –Protectors –Disable C: -RebootCount 3

  Ожидается, что это обновление перезапустит систему два раза. Перезапустите устройство еще раз, чтобы возобновить защиту BitLocker.

  Примечание Не включайте защиту BitLocker без дополнительного перезапуска, так как это приведет к восстановлению BitLocker.

Вы можете ввести восстановление Bitlocker, если конфликтующие параметры групповой политики BitLocker настроены после включения BitLocker в среде. Восстановление Bitlocker может быть активировано из-за любого из следующих групповая политика параметров:

• Принудительное явное применение привязок PCR, отличающееся от того, что уже выбрано BitLocker.

• Настройка GP "Разрешить безопасную загрузку для проверки целостности", чтобы запретить безопасную загрузку для проверки целостности, но BitLocker уже использует безопасную загрузку (PCR7).

• Настройка групповая политика требовать дополнительную проверку подлинности во время запуска, но BitLocker был настроен перед развертыванием этой групповой политики.

Если это обновление уже применено и устройство не перезапущено, приостановите bitLocker и перезапустите его, выполнив следующие действия:

• Если с помощью групповой политики задана явная конфигурация PCR или настроена политика запрета использования безопасной загрузки для проверки целостности, приостановите и возобновите BitLocker, чтобы устранить конфликты групповой политики.

• Если политика Требовать дополнительную проверку подлинности во время запуска настроена так, чтобы требовать TPM и ПИН-код, выполните следующую команду в командной строке администратора и введите требуемый ПИН-код: manage-bde -protectors -add c: -TPMAndPin

• Если политика Требовать дополнительную проверку подлинности во время запуска настроена так, чтобы требовать ключ запуска, выполните следующую команду, чтобы создать ключ запуска: manage-bde -protectors -add c: -tpmandstartupkey <путь к внешнему каталогу ключей>

• Если политика Требовать дополнительную проверку подлинности во время запуска настроена так, чтобы требовать ключ запуска и закрепление, выполните следующую команду из командной строки Администратор, чтобы создать пин-код и ключ запуска. При появлении запроса введите нужный ПИН-код: manage-bde -protectors -add c: -tpmandpinandstartupkey <путь к внешнему каталогу ключей>

Это обновление может не устанавливаться на устройствах с неподписанным файлом диспетчера загрузки bootx64.efi сторонних версий.  Это обновление может предлагаться и повторно предоставляться через клиентский компонент Центра обновления Windows но может не устанавливаться.  При попытке установить это обновление вручную может появиться сообщение об ошибке "Некоторые обновления не установлены" со списком KB4565680.  Вы также можете проверить файл журнала CBS в %systemroot%\logs\cbs на наличие следующей ошибки: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): ошибка TRUST_E_NOSIGNATURE возникла в функции Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Мы работаем над решением и оцениваем, что решение будет доступно для Windows 10 версии 1909, Windows 10, версии 2004 и Windows 10 версии 20H2 в конце марта.  Остальные поддерживаемые версии Windows, по оценкам, имеют решение, доступное в середине апреля.

Чтобы получить дополнительные рекомендации перед выпуском разрешения, обратитесь к производителю устройства (OEM).