ВАЖНО Тази статия е заместена от KB5012170: Актуализация на защитата за DBX на защитено стартиране.
Прилага се за
Тази актуализация на защитата се отнася само за следните версии на Windows:
-
Windows Server 2012 x64-bit
-
Windows Server 2012 R2 x64-bit
-
Windows 8.1 x64-битова версия
-
Windows Server 2016 x64-bit
-
Windows Server 2019 x64-bit
-
Windows 10 версия 1607 x64-битова
-
Windows 10 версия 1803 x64-bit
-
Windows 10 версия 1809 x64-bit
-
Windows 10 версия 1909 x64-bit
Резюме
Тази актуализация на защитата прави подобрения в DBX на защитеното стартиране за поддържаните версии на Windows, изброени в раздела "Отнася се за". Ключовите промени включват следното:
-
Устройства с Windows, които имат фърмуер, базиран на унифициран разширяем интерфейс за фърмуер (UEFI), могат да работят с разрешено защитено стартиране. Базата данни за подписи от забранено зареждане (DBX) не позволява зареждането на UEFI модули. Тази актуализация добавя модули към DBX.
Уязвимост при заобикаляне на функция за защита съществува при защитено стартиране. Атакуващ, който успешно е използвал уязвимостта, може да заобиколи защитеното стартиране и да зареди ненадежден софтуер.
Тази актуализация на защитата обръща внимание на уязвимостта чрез добавяне на подписи на известни уязвими UEFI модули към DBX.
За да научите повече за тази уязвимост на защитата, вижте CVE-2020-0689 | Уязвимост при заобикаляне на функцията за защита при защитено стартиране на Microsoft.
Известни проблеми
Проблем |
Заобиколно решение |
Възможно е някои производители на оригинално оборудване (OEM) да не позволяват инсталирането на тази актуализация. |
За да решите този проблем, свържете се с вашия OEM на фърмуера. |
Ако BitLocker групови правила Конфигуриране на профил за проверка на платформата на TPM за вградени UEFI конфигурации на фърмуера е разрешено и PCR7 е избран по правила, това може да доведе до това ключът за възстановяване на BitLocker да се изисква на някои устройства, където свързването с PCR7 не е възможно. За да видите състоянието на обвързване на PCR7, изпълнете инструмента Microsoft System Information (Msinfo32.exe) с административни разрешения. |
За да заобиколите този проблем, направете едно от следните неща въз основа на конфигурацията на credential guard, преди да разположите тази актуализация:
|
Може да въведете възстановяване на Bitlocker, ако са конфигурирани конфликтни настройки на групови правила за BitLocker, след като BitLocker е разрешен в среда. Възстановяването на Bitlocker може да бъде задействано поради някоя от настройките по-долу групови правила:
|
Ако тази актуализация вече е приложена и устройството не се е рестартирало, преустановете BitLocker и рестартирайте след като изпълните стъпките по-долу:
|
Тази актуализация може да не се инсталира на устройства с неподписан файл на диспечера за зареждане, който не е на Microsoft bootx64.efi. Тази актуализация може да се предлага и предоставя повторно чрез актуализиране на Windows, но може да не се инсталира. Когато се опитате да инсталирате тази актуализация ръчно, може да получите съобщение за грешка "Някои актуализации не са инсталирани" в списъка KB4565680. Можете също да проверите регистрационния файл на CBS в %systemroot%\logs\cbs за следната грешка: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Грешката TRUST_E_NOSIGNATURE възникна от функция Windows::WCP::SecureBoot::BasicInstaller::Израз за инсталиране: ApplySecureBootUpdate( dwAvailableUpdates) |
Работим върху решение и смятаме, че такова ще бъде налично за Windows 10, версия 1909, Windows 10, версия 2004 и Windows 10, версия 20H2 в края на март. Очаква се останалите поддържани версии на Windows да имат налично решение в средата на април. За допълнителни указания преди издаването на разделителната способност се свържете с производителя на вашето устройство (OEM). |
Как да изтеглите тази актуализация
Метод 1: Чрез Windows Update
Тази актуализация е налична чрез Windows Update. Тя ще се изтегли и инсталира автоматично.
Метод 2: Каталог на Microsoft Update
За да изтеглите самостоятелния пакет с актуализацията, отидете на уеб сайта Каталог на Microsoft Update.
Метод 3: Windows Server Update Services
Тази актуализация също е налична чрез Windows Server Update Services (WSUS).
Предварителни изисквания
Уверете се, че сте инсталирали последната групова актуализация на услуги (SSU). За информация относно най-новата SSU за вашата операционна система вж. ADV990001 | Най-новата групова Актуализации на услуги.
Информация за рестартиране
Устройството не трябва да се рестартира, когато приложите тази актуализация. Ако сте разрешили Windows Defender Credential Guard (виртуален защитен режим), устройството ще се рестартира два пъти.
Информация за заместване на актуализация
Тази актуализация не замества никоя издадена по-рано актуализация.
Информация за файлове
Windows 10, версия 1909
Име на файл |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0 – KB4535680 – x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.
Име на файл |
Размер на файл |
Дата |
Час |
Dbupdate.bin |
46 |
23 септември 2019 г. |
23:13 |
Dbxupdate.bin |
1,368 |
23 септември 2019 г. |
23:13 |
Dbupdate.bin |
46 |
23 септември 2019 г. |
23:13 |
Dbxupdate.bin |
2,840 |
23 септември 2019 г. |
23:13 |
Tpmtasks.dll |
3,339 |
23 септември 2019 г. |
23:13 |
Tpmtasks.dll |
2,892 |
23 септември 2019 г. |
23:13 |
Windows 10, версия 1809 и Windows Server 2019
Име на файл |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0 – KB4535680 – x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.
Име на файл |
Размер на файл |
Дата |
Час |
Dbupdate.bin |
46 |
25 септември 2019 г. |
01:14 |
Dbxupdate.bin |
1,368 |
25 септември 2019 г. |
01:14 |
Dbupdate.bin |
46 |
25 септември 2019 г. |
01:14 |
Dbxupdate.bin |
2,840 |
25 септември 2019 г. |
01:14 |
Tpmtasks.dll |
1,998 |
25 септември 2019 г. |
01:14 |
Tpmtasks.dll |
1,568 |
25 септември 2019 г. |
01:14 |
Windows 10, версия 1803
Име на файл |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0 – KB4535680 – x64.msu |
24C59946A58755DDD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблиците по-долу.
Име на файл |
Версия на файл |
Размер на файл |
Дата |
Час |
Dbupdate.bin |
Неприложимо |
3 |
30 октомври 2017 г. |
01:01 |
Dbxupdate.bin |
Неприложимо |
7,361 |
10 септември 2019 г. |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51,712 |
10 септември 2019 г. |
03:55 |
Windows 10, версия 1607 и Windows Server 2016
Име на файл |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0 – KB4535680 – x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.
Име на файл |
Версия на файл |
Размер на файл |
Дата |
Час |
Dbupdate.bin |
Неприложимо |
2 |
03 септември 2019 г. |
22:05 |
Dbxupdate.bin |
Неприложимо |
7,361 |
12 септември 2019 г. |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16 септември 2019 г. |
05:04 |
Windows 8.1 и Windows Server 2012 R2
Име на файл |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows8.1 – KB4535680 – x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.
Име на файл |
Версия на файл |
Размер на файл |
Дата |
Час |
Dbupdate.bin |
Неприложимо |
2 |
25 септември 2019 г. |
04:21 |
Dbxupdate.bin |
Неприложимо |
7,361 |
25 септември 2019 г. |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25 септември 2019 г. |
06:30 |
Windows Server 2012
Име на файл |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Версията на английски език (САЩ) на тази актуализация на софтуера инсталира файлове, които имат атрибутите, изброени в таблицата по-долу.
Име на файл |
Версия на файл |
Размер на файл |
Дата |
Час |
Dbupdate.bin |
Неприложимо |
2 |
20 юни 2019 г. |
00:06 |
Dbxupdate.bin |
Неприложимо |
7,361 |
10 септември 2019 г. |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25 септември 2019 г. |
04:30 |
Справочни материали
Научете повече за терминологията , която Microsoft използва за описване на актуализациите на софтуера.