DŮLEŽITÉ Tento článek nahrazuje aktualizace KB5012170: Aktualizace zabezpečení pro zabezpečené spouštění DBX.
Platí pro
Tato aktualizace zabezpečení se vztahuje pouze na následující verze systému Windows:
-
Windows Server 2012 x64 bitů
-
Windows Server 2012 R2 x64 bitů
-
Windows 8.1 x64 bitů
-
Windows Server 2016 x64bitové verze
-
Windows Server 2019 x64 bitů
-
Windows 10, verze 1607 x64 bitů
-
Windows 10, verze 1803 x64 bitů
-
Windows 10 verze 1809 x64bitové
-
Windows 10, verze 1909 x64 bitů
Shrnutí
Tato aktualizace zabezpečení vylepšuje zabezpečené spouštění DBX pro podporované verze Windows uvedené v části Platí pro. Mezi klíčové změny patří:
-
Zařízení s Windows, která mají firmware založený na rozhraní UEFI (Unified Extensible Firmware Interface), můžou běžet s povoleným zabezpečeným spouštěním. Databáze zakázaných podpisů zabezpečeného spouštění (DBX) brání načítání modulů UEFI. Tato aktualizace přidává moduly do DBX.
Při zabezpečeném spouštění existuje chyba zabezpečení spočívající v obejití funkce zabezpečení. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, může obejít zabezpečené spouštění a načíst nedůvěryhodný software.
Tato aktualizace zabezpečení řeší toto ohrožení zabezpečení přidáním podpisů známých ohrožených modulů UEFI do DBX.
Další informace o této chybě zabezpečení najdete v článku CVE-2020-0689 | Ohrožení zabezpečení spočívající v obejití funkce zabezpečení zabezpečeného spouštění od Microsoftu
Známé problémy
Problém |
Alternativní řešení |
Některé firmware výrobce OEM (Original Equipment Manufacturer) nemusí umožňovat instalaci této aktualizace. |
Pokud chcete tento problém vyřešit, obraťte se na výrobce OEM firmwaru. |
Pokud je povolená možnost BitLocker Zásady skupiny Konfigurace profilu ověření platformy TPM pro nativní konfiguraci firmwaru UEFI a zásady vyberou PCR7, může to mít za následek vyžadování obnovovacího klíče nástroje BitLocker na některých zařízeních, na kterých není možné vytvořit vazbu PCR7. Pokud chcete zobrazit stav vazby PCR7, spusťte nástroj Microsoft System Information (Msinfo32.exe) s oprávněními správce. |
Pokud chcete tento problém vyřešit, proveďte před nasazením této aktualizace jednu z následujících akcí na základě konfigurace ochrany přihlašovacích údajů:
|
Pokud se po povolení bitlockeru v prostředí nakonfiguruje konfliktní nastavení zásad skupiny nástroje BitLocker, můžete přejít na obnovení nástroje BitLocker. Obnovení nástroje BitLocker je možné aktivovat kvůli některému z následujících nastavení Zásady skupiny:
|
Pokud už je tato aktualizace nainstalovaná a zařízení se nerestartovalo, pozastavte nástroj BitLocker a restartujte ho podle následujících kroků:
|
Tato aktualizace se nemusí nainstalovat na zařízení s nepodepsaným souborem správce spouštění bootx64.efi jiné společnosti než Microsoft. Tato aktualizace může být nabízena a nabízena prostřednictvím služba Windows Update ale nemusí být nainstalována. Při pokusu o ruční instalaci této aktualizace se může zobrazit chyba "Některé aktualizace nebyly nainstalovány" s výpisem KB4565680. V souboru protokolu CBS v %systemroot%\logs\cbs můžete také zkontrolovat následující chybu: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Chyba TRUST_E_NOSIGNATURE pochází z funkce Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
Pracujeme na řešení a odhadujeme, že řešení bude k dispozici pro Windows 10 verze 1909, Windows 10 verze 2004 a Windows 10 verze 20H2 na konci března. U zbývajících podporovaných verzí Windows se odhaduje, že řešení bude k dispozici v polovině dubna. Pokud potřebujete další pokyny před vydáním řešení, obraťte se na výrobce zařízení (OEM). |
Jak získat tuto aktualizaci
Metoda 1: Prostřednictvím služby Windows Update
Tato aktualizace je k dispozici prostřednictvím služby Windows Update. Stáhne se a nainstaluje automaticky.
Metoda 2: Prostřednictvím Katalogu služby Microsoft Update
Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web Katalog služby Microsoft Update.
Metoda 3: Prostřednictvím služby Windows Server Update Services
Tato aktualizace je také k dispozici prostřednictvím služby Windows Server Update Services (WSUS).
Předpoklady
Ujistěte se, že máte nainstalovanou nejnovější servisní aktualizaci zásobníku (SSU). Informace o nejnovější aktualizaci SSU pro váš operační systém najdete v tématu ADV990001 | Nejnovější Aktualizace zásobníku údržby.
Informace o restartování
Při instalaci této aktualizace se vaše zařízení nemusí restartovat. Pokud máte povolenou Windows Defender Credential Guard (virtuální zabezpečený režim), zařízení se restartuje dvakrát.
Informace o nahrazení aktualizace
Tato aktualizace nenahrazuje žádné dříve vydané aktualizace.
Informace o souborech
Windows 10 verze 1909
Název souboru |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.
Název souboru |
Velikost souboru |
Datum |
Čas |
Dbupdate.bin |
46 |
23. září 2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23. září 2019 |
23:13 |
Dbupdate.bin |
46 |
23. září 2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23. září 2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23. září 2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23. září 2019 |
23:13 |
Windows 10 verze 1809 a Windows Server 2019
Název souboru |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.
Název souboru |
Velikost souboru |
Datum |
Čas |
Dbupdate.bin |
46 |
25. září 2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25. září 2019 |
01:14 |
Dbupdate.bin |
46 |
25. září 2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25. září 2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25. září 2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25. září 2019 |
01:14 |
Windows 10 verze 1803
Název souboru |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Verze této aktualizace softwaru v angličtině (Spojené státy) nainstaluje soubory, které mají atributy uvedené v následujících tabulkách.
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Dbupdate.bin |
Není k dispozici |
3 |
30.října 2017 |
01:01 |
Dbxupdate.bin |
Není k dispozici |
7,361 |
10. září 2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51 712 |
10. září 2019 |
03:55 |
Windows 10 verze 1607 a Windows Server 2016
Název souboru |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Dbupdate.bin |
Není k dispozici |
2 |
03. září 2019 |
22:05 |
Dbxupdate.bin |
Není k dispozici |
7,361 |
12. září 2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16. září 2019 |
05:04 |
Windows 8.1 a Windows Server 2012 R2
Název souboru |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows8.1 KB4535680 x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B990 |
Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Dbupdate.bin |
Není k dispozici |
2 |
25. září 2019 |
04:21 |
Dbxupdate.bin |
Není k dispozici |
7,361 |
25. září 2019 |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25. září 2019 |
06:30 |
Windows Server 2012
Název souboru |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Dbupdate.bin |
Není k dispozici |
2 |
20. června 2019 |
00:06 |
Dbxupdate.bin |
Není k dispozici |
7,361 |
10. září 2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25. září 2019 |
04:30 |
Reference
Seznamte se s terminologií , kterou Microsoft používá k popisu aktualizací softwaru.