Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

ВАЖНО Тази статия е заместена от KB5012170: Актуализация на защитата за DBX на защитено стартиране.

Прилага се за

Тази актуализация на защитата се отнася само за следните версии на Windows:

  • Windows Server 2012 x64-bit

  • Windows Server 2012 R2 x64-bit

  • Windows 8.1 x64-битова версия

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10 версия 1607 x64-битова

  • Windows 10 версия 1803 x64-bit

  • Windows 10 версия 1809 x64-bit

  • Windows 10 версия 1909 x64-bit 

Резюме

Тази актуализация на защитата прави подобрения в DBX на защитеното стартиране за поддържаните версии на Windows, изброени в раздела "Отнася се за". Ключовите промени включват следното: 

  • Устройства с Windows, които имат фърмуер, базиран на унифициран разширяем интерфейс за фърмуер (UEFI), могат да работят с разрешено защитено стартиране. Базата данни за подписи от забранено зареждане (DBX) не позволява зареждането на UEFI модули. Тази актуализация добавя модули към DBX.

    Уязвимост при заобикаляне на функция за защита съществува при защитено стартиране. Атакуващ, който успешно е използвал уязвимостта, може да заобиколи защитеното стартиране и да зареди ненадежден софтуер.

    Тази актуализация на защитата обръща внимание на уязвимостта чрез добавяне на подписи на известни уязвими UEFI модули към DBX.

За да научите повече за тази уязвимост на защитата, вижте CVE-2020-0689 | Уязвимост при заобикаляне на функцията за защита при защитено стартиране на Microsoft.

Известни проблеми

Проблем

Заобиколно решение

Възможно е някои производители на оригинално оборудване (OEM) да не позволяват инсталирането на тази актуализация.

За да решите този проблем, свържете се с вашия OEM на фърмуера.

Ако BitLocker групови правила Конфигуриране на профил за проверка на платформата на TPM за вградени UEFI конфигурации на фърмуера е разрешено и PCR7 е избран по правила, това може да доведе до това ключът за възстановяване на BitLocker да се изисква на някои устройства, където свързването с PCR7 не е възможно.

За да видите състоянието на обвързване на PCR7, изпълнете инструмента Microsoft System Information (Msinfo32.exe) с административни разрешения.

За да заобиколите този проблем, направете едно от следните неща въз основа на конфигурацията на credential guard, преди да разположите тази актуализация:

  • На устройство, което няма разрешено Credential Gard, изпълнете следната команда от команден прозорец на администратора, за да преустановите BitLocker за 1 цикъл на рестартиране:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    След това рестартирайте устройството, за да възобновите защитата на BitLocker.

    Забележка Не разрешавайте защитата с BitLocker, без допълнително да рестартирате устройството, тъй като това ще доведе до възстановяване на BitLocker.

  • На устройство, което има разрешен Credential Guard, може да има няколко рестартирания по време на актуализацията, които изискват временно преустановяване на BitLocker. Изпълнете следната команда от команден прозорец на администратор, за да преустановите BitLocker за 3 цикъла на рестартиране. Manage-bde –Протектори – Забраняване на C: -RebootCount 3

    Тази актуализация се очаква да рестартира системата два пъти. Рестартирайте устройството отново, за да възобновите защитата с BitLocker.

    Забележка Не разрешавайте защитата с BitLocker без допълнително рестартиране, тъй като това ще доведе до възстановяване на BitLocker.

Може да въведете възстановяване на Bitlocker, ако са конфигурирани конфликтни настройки на групови правила за BitLocker, след като BitLocker е разрешен в среда. Възстановяването на Bitlocker може да бъде задействано поради някоя от настройките по-долу групови правила:

Ако тази актуализация вече е приложена и устройството не се е рестартирало, преустановете BitLocker и рестартирайте след като изпълните стъпките по-долу:

  • Ако е зададена изрична PCR конфигурация чрез групови правила или ако правило е конфигурирано да забранява използването на защитено стартиране за проверка на целостта, преустановете и възобновете BitLocker, за да изчистите конфликтите с GP.

  • Ако правилото Изисквай допълнително удостоверяване по време на стартиране е конфигурирано да изисква TPM и ПИН, изпълнете следната команда от административния команден прозорец и въведете желания ПИН код: manage-bde -protectors -add c: -TPMAndPin

  • Ако правилото Изисквай допълнително удостоверяване по време на стартиране е конфигурирано да изисква ключ за стартиране, изпълнете следната команда, за да създадете ключ за стартиране: manage-bde -protectors -add c: -tpmandstartupkey <път до директорията с външен ключ>

  • Ако правилото Изисквай допълнително удостоверяване по време на стартиране е конфигурирано да изисква ключ за стартиране и закачване, изпълнете следната команда от Администрация команден прозорец, за да създадете ключ за закачване и стартиране. Когато получите подкана, въведете желания ПИН код: manage-bde -protectors -add c: -tpmandpinandstartupkey <път до директорията с външни ключове>

Тази актуализация може да не се инсталира на устройства с неподписан файл на диспечера за зареждане, който не е на Microsoft bootx64.efi.  Тази актуализация може да се предлага и предоставя повторно чрез актуализиране на Windows, но може да не се инсталира.  Когато се опитате да инсталирате тази актуализация ръчно, може да получите съобщение за грешка "Някои актуализации не са инсталирани" в списъка KB4565680.  Можете също да проверите регистрационния файл на CBS в %systemroot%\logs\cbs за следната грешка: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Грешката TRUST_E_NOSIGNATURE възникна от функция Windows::WCP::SecureBoot::BasicInstaller::Израз за инсталиране: ApplySecureBootUpdate( dwAvailableUpdates)

Работим върху решение и смятаме, че такова ще бъде налично за Windows 10, версия 1909, Windows 10, версия 2004 и Windows 10, версия 20H2 в края на март.  Очаква се останалите поддържани версии на Windows да имат налично решение в средата на април.

За допълнителни указания преди издаването на разделителната способност се свържете с производителя на вашето устройство (OEM).

Как да изтеглите тази актуализация

Метод 1: Чрез Windows Update 

Тази актуализация е налична чрез Windows Update. Тя ще се изтегли и инсталира автоматично.  

Метод 2: Каталог на Microsoft Update 

За да изтеглите самостоятелния пакет с актуализацията, отидете на уеб сайта Каталог на Microsoft Update.

Метод 3: Windows Server Update Services

Тази актуализация също е налична чрез Windows Server Update Services (WSUS).

Предварителни изисквания

Уверете се, че сте инсталирали последната групова актуализация на услуги (SSU). За информация относно най-новата SSU за вашата операционна система вж. ADV990001 | Най-новата групова Актуализации на услуги.

Информация за рестартиране 

Устройството не трябва да се рестартира, когато приложите тази актуализация. Ако сте разрешили Windows Defender Credential Guard (виртуален защитен режим), устройството ще се рестартира два пъти.

Информация за заместване на актуализация 

Тази актуализация не замества никоя издадена по-рано актуализация.

Информация за файлове

Windows 10, версия 1909 

Име на файл

SHA1 hash

SHA256 hash

Windows 10.0 – KB4535680 – x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.

Име на файл

Размер на файл

Дата

Час

Dbupdate.bin

46

23 септември 2019 г.

23:13

Dbxupdate.bin

1,368

23 септември 2019 г.

23:13

Dbupdate.bin

46

23 септември 2019 г.

23:13

Dbxupdate.bin

2,840

23 септември 2019 г.

23:13

Tpmtasks.dll

3,339

23 септември 2019 г.

23:13

Tpmtasks.dll

2,892

23 септември 2019 г.

23:13

Windows 10, версия 1809 и Windows Server 2019

Име на файл

SHA1 hash

SHA256 hash

Windows 10.0 – KB4535680 – x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.

Име на файл

Размер на файл

Дата

Час

Dbupdate.bin

46

25 септември 2019 г.

01:14

Dbxupdate.bin

1,368

25 септември 2019 г.

01:14

Dbupdate.bin

46

25 септември 2019 г.

01:14

Dbxupdate.bin

2,840

25 септември 2019 г.

01:14

Tpmtasks.dll

1,998

25 септември 2019 г.

01:14

Tpmtasks.dll

1,568

25 септември 2019 г.

01:14

Windows 10, версия 1803

Име на файл

SHA1 hash

SHA256 hash

Windows 10.0 – KB4535680 – x64.msu

24C59946A58755DDD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблиците по-долу.

Име на файл

Версия на файл

Размер на файл

Дата

Час

Dbupdate.bin

Неприложимо

3

30 октомври 2017 г.

01:01

Dbxupdate.bin

Неприложимо

7,361

10 септември 2019 г.

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10 септември 2019 г.

03:55

Windows 10, версия 1607 и Windows Server 2016

Име на файл

SHA1 hash

SHA256 hash

Windows 10.0 – KB4535680 – x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу. 

Име на файл

Версия на файл

Размер на файл

Дата

Час

Dbupdate.bin

Неприложимо

2

03 септември 2019 г.

22:05

Dbxupdate.bin

Неприложимо

7,361

12 септември 2019 г.

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16 септември 2019 г.

05:04

Windows 8.1 и Windows Server 2012 R2

Име на файл

SHA1 hash

SHA256 hash

Windows8.1 – KB4535680 – x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.

Име на файл

Версия на файл

Размер на файл

Дата

Час

Dbupdate.bin

Неприложимо

2

25 септември 2019 г.

04:21

Dbxupdate.bin

Неприложимо

7,361

25 септември 2019 г.

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25 септември 2019 г.

06:30


Windows Server 2012

Име на файл

SHA1 hash

SHA256 hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу. 

Име на файл

Версия на файл

Размер на файл

Дата

Час

Dbupdate.bin

Неприложимо

2

20 юни 2019 г.

00:06

Dbxupdate.bin

Неприложимо

7,361

10 септември 2019 г.

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25 септември 2019 г.

04:30

Справочни материали

Научете повече за терминологията , която Microsoft използва за описване на актуализациите на софтуера.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×