Актуализация на защитата за защитено стартиране DBX: 12 януари 2021 г.

Отнася се за

Тази актуализация на защитата се прилага само към следните версии на Windows:

  • X64-битова версия на Windows Server 2012

  • X64-битова версия на Windows Server 2012 R2

  • X64-битова версия на Windows 8,1

  • X64-битова версия на Windows Server 2016

  • X64-битова версия на Windows Server 2019

  • Windows 10, версия 1607 x64-битова

  • Windows 10, версия 1803 x64-битова

  • Windows 10, версия 1809 x64-битова

  • Windows 10, версия 1909 x64-битова

Обобщена информация

Тази актуализация на защитата прави подобрения в защитеното стартиране DBX за поддържаните версии на Windows, които са посочени в секцията "важи за". Ключовите промени включват следното:

  • Устройства с Windows, на които се базира Фърмуерът на вградения разширяем Фърмуерен интерфейс (UEFI), могат да се изпълняват със защитено зареждане. Забранената база данни на защитеното зареждане (DBX) позволява на UEFI модулите да се зареждат. Тази актуализация добавя модули към DBX.

    Съществува уязвимост от заобикаляне на функцията за защита в защитената обувка. Хакер, който успешно използва уязвимостта, може да заобиколи защитеното зареждане и да зареди ненадежден софтуер.

    Тази актуализация на защитата разглежда уязвимостта, като добавя подписи на познатите уязвими UEFI модули към DBX.

За да научите повече за тази уязвимост на защитата, вижте CVE-2020-0689 | Уязвимост от заобикаляне на защитата на защитената обувка на Microsoft.

Известни проблеми

Въпрос

Заобиколно решение

Възможно е Фърмуерът на някои първоначални устройства (OEM) да не позволява инсталирането на тази актуализация.

За да отстраните този проблем, обърнете се към вашия фърмуер OEM.

Ако груповите правила за BitLocker конфигурират профил за валидиране на TPM платформата за локални конфигурации на фърмуера на UEFI е активиран и PCR7 е избрано от правилата, може да доведе до това, че ключът за възстановяване на BitLocker да се изисква на някои устройства, където не е възможно PCR7 свързване.

За да видите състоянието за обвързване на PCR7, изпълнете инструмента Microsoft System Information (Msinfo32.exe) с администраторски разрешения.

За да заобиколите този проблем, направете едно от следните неща в зависимост от конфигурацията на Guard за идентификационни данни, преди да разположите тази актуализация:

  • На устройство, което не е разрешена поддръжка на идентификационни данни, изпълнете следната команда от команден подкана за управление, за да прекратите BitLocker за 1 цикъл на отскачане:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    След това рестартирайте устройството, за да възобновите защитата с BitLocker.

    Забележка Не разрешавайте защитата от BitLocker, без допълнително рестартиране на устройството, тъй като това ще доведе до възстановяване на BitLocker.

  • На устройство, на което има активиран предпазител за идентификационни данни, може да има няколко рестартирания по време на актуализацията, за която е необходимо BitLocker да бъде временно прекратен. Изпълнете следната команда от команден ред на администратор, за да преустановите BitLocker за 3 рестартира цикъла. Управление – BDE – протектори – забрани C:-RebootCount 3

    Тази актуализация се очаква да рестартира системата два пъти. Рестартирайте устройството още веднъж, за да възобновите защитата с BitLocker.

    Забележка Не разрешавайте защитата от BitLocker без допълнително рестартиране, тъй като това ще доведе до възстановяване на BitLocker.

Можете да въведете възстановяване на BitLocker, ако са конфигурирани настройки на групови правила за защитено стартиране, след като BitLocker е разрешен в средата. Възстановяване на BitLocker може да се задейства поради някоя от настройките по-долу за групови правила:

Ако тази актуализация вече е приложена и устройството не се рестартира, преинсталирайте BitLocker и рестартирайте, след като изпълните стъпките по-долу:

  • Ако е зададена изрична конфигурация за PCR чрез групови правила или е конфигурирано да не се разрешава използването на защитено стартиране за проверка на целостта, да се прекрати и възобнови защитеното стартиране, за да се изчистят конфликтите в GP.

  • Ако изискваното допълнително удостоверяване по време на правилата за стартиране е конфигурирано да изисква TPM и ПИН, изпълнете следната команда от административна командна подкана и въведете желания ПИН: управление – BDE-протектори – Add c:-TPMAndPin

  • Ако изискваното допълнително удостоверяване по време на правилата за стартиране е конфигурирано да изисква начален ключ, изпълнете следната команда, за да създадете ключ за стартиране: управление – BDE-протектори – Add c:-tpmandstartupkey <path към директорията>за външни ключове

  • Ако изискване на допълнително удостоверяване по време на правилата за стартиране е конфигурирано да изисква ключ за стартиране и ПИН, изпълнете следната команда от командната подкана за администриране, за да създадете PIN и ключ за стартиране. Когато бъдете подканени, въведете желания ПИН: управление – BDE-протектори – Add c: -tpmandpinandstartupkey <Path към директорията за външни ключове>

Как да получите тази актуализация

Метод 1: актуализиране на Windows 

Тази актуализация е налична чрез Windows Update. Той ще се изтегли и инсталира автоматично.  

Метод 2: каталог за Microsoft Update 

За да получите самостоятелната опаковка за тази актуализация, отидете на уеб сайта на каталога на Microsoft Update .

Метод 3: Услуги за актуализиране на Windows Server

Тази актуализация е налична и чрез Windows Server Update Services (WSUS).

Предпоставки

Уверете се, че сте инсталирали последните актуализации на стека на обслужване (SSU). За информация относно най-новите SSU за вашата операционна система вижте ADV990001 | Последни актуализации за обслужващия стек.

Рестартирайте информацията 

Устройството ви не трябва да се рестартира, когато прилагате тази актуализация. Ако имате поддръжка за идентификационни данни на Windows Defender (виртуален защитен режим), вашето устройство ще се рестартира два пъти.

Актуализиране на информацията за заместване 

Тази актуализация не замества издадената преди това актуализация.

Информация за файла

Windows 10, версия 1909 

Име на файл

SHA1 хеш

SHA256 Hash

Windows 10.0-KB4535680-x64. msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Английската (САЩ) версия на тази актуализация на софтуера инсталира файловете, съдържащи атрибутите, които са изброени в таблицата по-долу.

Име на файл

Размер на файла

Дата

Време

Dbupdate. bin

46

23-Sep-2019

23:13

Dbxupdate. bin

1 368

23-Sep-2019

23:13

Dbupdate. bin

46

23-Sep-2019

23:13

Dbxupdate. bin

2 840

23-Sep-2019

23:13

Tpmtasks.dll

3 339

23-Sep-2019

23:13

Tpmtasks.dll

2 892

23-Sep-2019

23:13

Windows 10, версия 1809 и Windows Server 2019

Име на файл

SHA1 хеш

SHA256 Hash

Windows 10.0-KB4535680-x64. msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Английската (САЩ) версия на тази актуализация на софтуера инсталира файловете, съдържащи атрибутите, които са изброени в таблицата по-долу.

Име на файл

Размер на файла

Дата

Време

Dbupdate. bin

46

25-Sep-2019

01:14

Dbxupdate. bin

1 368

25-Sep-2019

01:14

Dbupdate. bin

46

25-Sep-2019

01:14

Dbxupdate. bin

2 840

25-Sep-2019

01:14

Tpmtasks.dll

1 998

25-Sep-2019

01:14

Tpmtasks.dll

1 568

25-Sep-2019

01:14

Windows 10, версия 1803

Име на файл

SHA1 хеш

SHA256 Hash

Windows 10.0-KB4535680-x64. msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Английската (САЩ) версия на тази актуализация на софтуера инсталира файловете, съдържащи атрибутите, които са изброени в таблиците по-долу.

Име на файл

Версия на файл

Размер на файла

Дата

Време

Dbupdate. bin

Не е приложимо

3

30-Oct-2017

01:01

Dbxupdate. bin

Не е приложимо

7 361

10-Sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10-Sep-2019

03:55

Windows 10, версия 1607 и Windows Server 2016

Име на файл

SHA1 хеш

SHA256 Hash

Windows 10.0-KB4535680-x64. msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Английската (САЩ) версия на тази актуализация на софтуера инсталира файловете, съдържащи атрибутите, които са изброени в таблицата по-долу. 

Име на файл

Версия на файл

Размер на файла

Дата

Време

Dbupdate. bin

Не е приложимо

2

03-Sep-2019

22:05

Dbxupdate. bin

Не е приложимо

7 361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44 032

16-Sep-2019

05:04

Windows 8,1 и Windows Server 2012 R2

Име на файл

SHA1 хеш

SHA256 Hash

Windows 8.1-KB4535680-x64. msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Английската (САЩ) версия на тази актуализация на софтуера инсталира файловете, съдържащи атрибутите, които са изброени в таблицата по-долу.

Име на файл

Версия на файл

Размер на файла

Дата

Време

Dbupdate. bin

Не е приложимо

2

25-Sep-2019

04:21

Dbxupdate. bin

Не е приложимо

7 361

25-Sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176 128

25-Sep-2019

06:30


Windows Server 2012

Име на файл

SHA1 хеш

SHA256 Hash

Windows8-RT-KB4535680-x64. msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Английската (САЩ) версия на тази актуализация на софтуера инсталира файловете, съдържащи атрибутите, които са изброени в таблицата по-долу. 

Име на файл

Версия на файл

Размер на файла

Дата

Време

Dbupdate. bin

Не е приложимо

2

20-Jun-2019

00:06

Dbxupdate. bin

Не е приложимо

7 361

10-Sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95 232

25-Sep-2019

04:30

Препратки

Научете повече за терминологията , която Microsoft използва, за да опише софтуерни актуализации.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×