Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

DŮLEŽITÉ Tento článek nahrazuje aktualizace KB5012170: Aktualizace zabezpečení pro zabezpečené spouštění DBX.

Platí pro

Tato aktualizace zabezpečení se vztahuje pouze na následující verze systému Windows:

  • Windows Server 2012 x64 bitů

  • Windows Server 2012 R2 x64 bitů

  • Windows 8.1 x64 bitů

  • Windows Server 2016 x64bitové verze

  • Windows Server 2019 x64 bitů

  • Windows 10, verze 1607 x64 bitů

  • Windows 10, verze 1803 x64 bitů

  • Windows 10 verze 1809 x64bitové

  • Windows 10, verze 1909 x64 bitů 

Shrnutí

Tato aktualizace zabezpečení vylepšuje zabezpečené spouštění DBX pro podporované verze Windows uvedené v části Platí pro. Mezi klíčové změny patří: 

  • Zařízení s Windows, která mají firmware založený na rozhraní UEFI (Unified Extensible Firmware Interface), můžou běžet s povoleným zabezpečeným spouštěním. Databáze zakázaných podpisů zabezpečeného spouštění (DBX) brání načítání modulů UEFI. Tato aktualizace přidává moduly do DBX.

    Při zabezpečeném spouštění existuje chyba zabezpečení spočívající v obejití funkce zabezpečení. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, může obejít zabezpečené spouštění a načíst nedůvěryhodný software.

    Tato aktualizace zabezpečení řeší toto ohrožení zabezpečení přidáním podpisů známých ohrožených modulů UEFI do DBX.

Další informace o této chybě zabezpečení najdete v článku CVE-2020-0689 | Ohrožení zabezpečení spočívající v obejití funkce zabezpečení zabezpečeného spouštění od Microsoftu

Známé problémy

Problém

Alternativní řešení

Některé firmware výrobce OEM (Original Equipment Manufacturer) nemusí umožňovat instalaci této aktualizace.

Pokud chcete tento problém vyřešit, obraťte se na výrobce OEM firmwaru.

Pokud je povolená možnost BitLocker Zásady skupiny Konfigurace profilu ověření platformy TPM pro nativní konfiguraci firmwaru UEFI a zásady vyberou PCR7, může to mít za následek vyžadování obnovovacího klíče nástroje BitLocker na některých zařízeních, na kterých není možné vytvořit vazbu PCR7.

Pokud chcete zobrazit stav vazby PCR7, spusťte nástroj Microsoft System Information (Msinfo32.exe) s oprávněními správce.

Pokud chcete tento problém vyřešit, proveďte před nasazením této aktualizace jednu z následujících akcí na základě konfigurace ochrany přihlašovacích údajů:

  • Na zařízení, které nemá povolenou službu Credential Gard, spuštěním následujícího příkazu z příkazového řádku správce pozastavte BitLocker po dobu 1 cyklu restartování:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Potom restartujte zařízení, aby se ochrana nástrojem BitLocker obnovila.

    Poznámka Nepovolujte ochranu nástrojem BitLocker bez dalšího restartování zařízení, protože by to vedlo k obnovení nástroje BitLocker.

  • Na zařízení s povolenou ochranou Credential Guard může během aktualizace dojít k několika restartováním, která vyžadují pozastavení nástroje BitLocker. Spuštěním následujícího příkazu z příkazového řádku správce pozastavte nástroj BitLocker po dobu 3 cyklů restartování. Manage-bde –Protectors –Disable C: -RebootCount 3

    Očekává se, že tato aktualizace restartuje systém dvakrát. Znovu restartujte zařízení, aby se obnovila ochrana nástrojem BitLocker.

    Poznámka Nepovolujte ochranu nástrojem BitLocker bez dalšího restartování, protože by to vedlo k obnovení nástroje BitLocker.

Pokud se po povolení bitlockeru v prostředí nakonfiguruje konfliktní nastavení zásad skupiny nástroje BitLocker, můžete přejít na obnovení nástroje BitLocker. Obnovení nástroje BitLocker je možné aktivovat kvůli některému z následujících nastavení Zásady skupiny:

Pokud už je tato aktualizace nainstalovaná a zařízení se nerestartovalo, pozastavte nástroj BitLocker a restartujte ho podle následujících kroků:

  • Pokud byla explicitní konfigurace PCR nastavena prostřednictvím zásad skupiny nebo je zásada nakonfigurovaná tak, aby nepovolovala použití zabezpečeného spouštění pro ověření integrity, pozastavte a obnovte BitLocker, aby se konflikty zásad skupiny vyčistit.

  • Pokud je zásada Vyžadovat další ověřování během spouštění nakonfigurovaná tak, aby vyžadovala čip TPM a PIN kód, spusťte následující příkaz z příkazového řádku pro správu a zadejte požadovaný PIN kód: manage-bde -protectors -add c: -TPMAndPin.

  • Pokud je zásada Vyžadovat další ověřování během spouštění nakonfigurovaná tak, aby vyžadovala spouštěcí klíč, vytvořte spouštěcí klíč spuštěním následujícího příkazu: manage-bde -protectors -add c: -tpmandstartupkey <cestu k adresáři externího klíče>

  • Pokud je zásada Vyžadovat další ověřování při spuštění nakonfigurovaná tak, aby vyžadovala spouštěcí klíč a pin, spusťte následující příkaz z Správa příkazového řádku a vytvořte pin a spouštěcí klíč. Po zobrazení výzvy zadejte požadovaný PIN kód: manage-bde -protectors -add c: -tpmandpinandstartupkey <cestu k adresáři externího klíče>

Tato aktualizace se nemusí nainstalovat na zařízení s nepodepsaným souborem správce spouštění bootx64.efi jiné společnosti než Microsoft.  Tato aktualizace může být nabízena a nabízena prostřednictvím služba Windows Update ale nemusí být nainstalována.  Při pokusu o ruční instalaci této aktualizace se může zobrazit chyba "Některé aktualizace nebyly nainstalovány" s výpisem KB4565680.  V souboru protokolu CBS v %systemroot%\logs\cbs můžete také zkontrolovat následující chybu: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Chyba TRUST_E_NOSIGNATURE pochází z funkce Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Pracujeme na řešení a odhadujeme, že řešení bude k dispozici pro Windows 10 verze 1909, Windows 10 verze 2004 a Windows 10 verze 20H2 na konci března.  U zbývajících podporovaných verzí Windows se odhaduje, že řešení bude k dispozici v polovině dubna.

Pokud potřebujete další pokyny před vydáním řešení, obraťte se na výrobce zařízení (OEM).

Jak získat tuto aktualizaci

Metoda 1: Prostřednictvím služby Windows Update 

Tato aktualizace je k dispozici prostřednictvím služby Windows Update. Stáhne se a nainstaluje automaticky.  

Metoda 2: Prostřednictvím Katalogu služby Microsoft Update 

Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web Katalog služby Microsoft Update.

Metoda 3: Prostřednictvím služby Windows Server Update Services

Tato aktualizace je také k dispozici prostřednictvím služby Windows Server Update Services (WSUS).

Předpoklady

Ujistěte se, že máte nainstalovanou nejnovější servisní aktualizaci zásobníku (SSU). Informace o nejnovější aktualizaci SSU pro váš operační systém najdete v tématu ADV990001 | Nejnovější Aktualizace zásobníku údržby.

Informace o restartování 

Při instalaci této aktualizace se vaše zařízení nemusí restartovat. Pokud máte povolenou Windows Defender Credential Guard (virtuální zabezpečený režim), zařízení se restartuje dvakrát.

Informace o nahrazení aktualizace 

Tato aktualizace nenahrazuje žádné dříve vydané aktualizace.

Informace o souborech

Windows 10 verze 1909 

Název souboru

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.

Název souboru

Velikost souboru

Datum

Čas

Dbupdate.bin

46

23. září 2019

23:13

Dbxupdate.bin

1,368

23. září 2019

23:13

Dbupdate.bin

46

23. září 2019

23:13

Dbxupdate.bin

2,840

23. září 2019

23:13

Tpmtasks.dll

3,339

23. září 2019

23:13

Tpmtasks.dll

2,892

23. září 2019

23:13

Windows 10 verze 1809 a Windows Server 2019

Název souboru

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.

Název souboru

Velikost souboru

Datum

Čas

Dbupdate.bin

46

25. září 2019

01:14

Dbxupdate.bin

1,368

25. září 2019

01:14

Dbupdate.bin

46

25. září 2019

01:14

Dbxupdate.bin

2,840

25. září 2019

01:14

Tpmtasks.dll

1,998

25. září 2019

01:14

Tpmtasks.dll

1,568

25. září 2019

01:14

Windows 10 verze 1803

Název souboru

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Verze této aktualizace softwaru v angličtině (Spojené státy) nainstaluje soubory, které mají atributy uvedené v následujících tabulkách.

Název souboru

Verze souboru

Velikost souboru

Datum

Čas

Dbupdate.bin

Není k dispozici

3

30.října 2017

01:01

Dbxupdate.bin

Není k dispozici

7,361

10. září 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10. září 2019

03:55

Windows 10 verze 1607 a Windows Server 2016

Název souboru

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce. 

Název souboru

Verze souboru

Velikost souboru

Datum

Čas

Dbupdate.bin

Není k dispozici

2

03. září 2019

22:05

Dbxupdate.bin

Není k dispozici

7,361

12. září 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16. září 2019

05:04

Windows 8.1 a Windows Server 2012 R2

Název souboru

Hash SHA1

Hash SHA256

Windows8.1 KB4535680 x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B990

Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce.

Název souboru

Verze souboru

Velikost souboru

Datum

Čas

Dbupdate.bin

Není k dispozici

2

25. září 2019

04:21

Dbxupdate.bin

Není k dispozici

7,361

25. září 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25. září 2019

06:30


Windows Server 2012

Název souboru

Hash SHA1

Hash SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Anglická (USA) verze této aktualizace softwaru nainstaluje soubory, které mají atributy uvedené v následující tabulce. 

Název souboru

Verze souboru

Velikost souboru

Datum

Čas

Dbupdate.bin

Není k dispozici

2

20. června 2019

00:06

Dbxupdate.bin

Není k dispozici

7,361

10. září 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25. září 2019

04:30

Reference

Seznamte se s terminologií , kterou Microsoft používá k popisu aktualizací softwaru.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×