KB4535680: Sikkerhedsopdatering til Secure Boot DBX: 12. januar 2021

Gælder for

Denne sikkerhedsopdatering gælder kun for følgende Windows-versioner:

  • Windows Server 2012 x64-bit

  • Windows Server 2012 R2 x64-bit

  • Windows 8.1 x64-bit

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10, version 1607 x64-bit

  • Windows 10, version 1803 x64-bit

  • Windows 10, version 1809 x64-bit

  • Windows 10, version 1909 x64-bit 

Oversigt

Denne sikkerhedsopdatering foretager forbedringer af Secure Boot DBX for de understøttede Windows-versioner, der er angivet i afsnittet "Gælder for". Vigtige ændringer omfatter følgende: 

  • Windows-enheder, der har UEFI(Unified Extensible Firmware Interface), kan køre med Secure Boot aktiveret. DBX (Secure Boot Forbidden Signature Database) forhindrer, at UEFI-moduler indlæses. Denne opdatering føjer moduler til DBX'en.

    Der findes en sikkerhedsfunktion til at omgå sikkerhedsrisikoen i sikker start. En hacker, der er blevet udnyttet sikkerhedsrisikoen, kan springe sikker start over og indlæse software, der ikke er tillid til.

    Denne sikkerhedsopdatering adresserer sikkerhedsrisikoen ved at føje signaturer fra kendte følsomme UEFI-moduler til DBX'en.

Du kan få mere at vide om denne sikkerhedsrisiko under CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability.

Kendte problemer

Problem

Løsning

Oem-firmware (original equipment manufacturer) tillader muligvis ikke installation af denne opdatering.

Du kan løse dette problem ved at kontakte din OEM-firmware.

Hvis BitLocker Gruppepolitik Konfigurer TPM-platformvalideringsprofil for oprindelige UEFI-firmwarekonfigurationer er aktiveret, og PCR7 er valgt af politik, kan det medføre, at BitLocker-genoprettelsesnøglen er påkrævet på visse enheder, hvor PCR7-binding ikke er mulig.

Hvis du vil have vist PCR7-bindingsstatus, skal du køre værktøjet Microsoft Systemoplysninger (Msinfo32.exe) med administrative tilladelser.

For at omgå dette problem skal du gøre et af følgende baseret på konfigurationen af Credential Guard, før du installerer denne opdatering:

  • På en enhed, der ikke har Credential Gard aktiveret, skal du køre følgende kommando fra en administratorkommandoprompt for at suspendere BitLocker i én genstartscyklus:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Genstart derefter enheden for at genoptage BitLocker-beskyttelsen.

    Bemærk! Aktivér ikke BitLocker-beskyttelse uden at genstarte enheden yderligere, da det vil medføre BitLocker-genoprettelse.

  • På en enhed, der har Credential Guard aktiveret, kan der være flere genstarter under opdateringen, der kræver, at BitLocker afbrydes. Kør følgende kommando fra en administratorkommandoprompt for at suspendere BitLocker i tre genstartscyklusser. Manage-bde –Ide –Deaktiver C: -RebootCount 3

    Denne opdatering forventes at genstarte systemet to gange. Genstart enheden igen for at genoptage BitLocker-beskyttelsen.

    Bemærk! Aktivér ikke BitLocker-beskyttelse uden at genstarte igen, da det medfører BitLocker-genoprettelse.

Du kan angive BitLocker-genoprettelse, hvis modstridende indstillinger for BitLocker-gruppepolitikken konfigureres, når BitLocker er blevet aktiveret i miljøet. BitLocker-genoprettelse kan udløses på grund af en af nedenstående Gruppepolitik indstillinger:

Hvis denne opdatering allerede er blevet anvendt, og enheden ikke er genstartet, skal du afbryde BitLocker og genstarte efter at have fulgt nedenstående trin:

  • Hvis en eksplicit PCR-konfiguration er blevet indstillet via gruppepolitik, eller en politik er konfigureret til ikke at tillade brug af sikker start til validering af integritet, skal du suspendere og genoptage BitLocker for at rydde GP-konflikterne.

  • Hvis Kræv yderligere godkendelse under startpolitik er konfigureret til at kræve TPM og pinkode, skal du køre følgende kommando fra en administrativ kommandoprompt og angive den ønskede pinkode: manage-bde -prompts -add c: -TPMAndPin

  • Hvis Kræv yderligere godkendelse under startpolitik er konfigureret til at kræve en startnøgle, skal du udføre følgende kommando for at oprette en startnøgle: manage-bde -vist -add c: -tpmandstartupkey <sti til ekstern nøglemappe>

  • Hvis Kræv yderligere godkendelse under startpolitik er konfigureret til at kræve startnøgle og pinkode, skal du udføre følgende kommando fra kommandoprompten Administrator for at oprette pinkode og startnøgle. Når du bliver bedt om det, skal du angive den ønskede pinkode: manage-bde -directorys -add c: -tpmandpinandstartupkey <sti til ekstern nøglemappe>

Denne opdatering installeres muligvis ikke på enheder med en usigneret, ikke-Microsoft bootx64.efi boot manager-fil.  Denne opdatering kan tilbydes og geninstalleres via Windows Update, men installeres muligvis ikke.  Når du forsøger at installere denne opdatering manuelt, får du muligvis vist fejlmeddelelsen "Nogle opdateringer blev ikke installeret" med listen KB4565680.  Du kan også kontrollere OPERATIVSYSTEMET-logfilen i %systemroot%\logs\\ for følgende fejl: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Fejl TRUST_E_NOSIGNATURE stammer fra funktionen Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Vi arbejder på en løsning og vurderer, at en løsning vil være tilgængelig for Windows 10, version 1909, Windows 10, version 2004 og Windows 10, version 20H2 i slutningen af marts.  De resterende understøttede versioner af Windows forventes at have en løsning tilgængelig i midten af april.

Kontakt producenten af enheden (OEM) for at få yderligere vejledning, før opløsningen udgives.

Sådan får du denne opdatering

Metode 1: Windows Update 

Denne opdatering er tilgængelig via Windows Update. Den downloades og installeres automatisk.  

Metode 2: Microsoft Update-katalog 

Hvis du vil hente den enkeltstående pakke til denne opdatering, skal du gå til webstedet for Microsoft Update-kataloget.

Metode 3: Windows Server Update Services

Denne opdatering er også tilgængelig via Windows Server Update Services (WSUS).

Forudsætninger

Sørg for, at du har den seneste opdatering til stabelvedligeholdelse (SSU) installeret. Du kan finde oplysninger om den nyeste SSU til dit operativsystem under ADV990001 | Seneste opdateringer til serviceringsstakken.

Oplysninger om genstart 

Enheden behøver ikke at genstarte, når du anvender denne opdatering. Hvis du har Windows Defender Credential Guard (virtuel sikker tilstand) aktiveret, genstartes enheden to gange.

Opdater oplysninger om udskiftning 

Denne opdatering erstatter ikke tidligere udgivne opdateringer.

Filoplysninger

Windows 10, version 1909 

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.

Filnavn

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

46

23- sep-2019

23:13

Dbxupdate.bin

1,368

23- sep-2019

23:13

Dbupdate.bin

46

23- sep-2019

23:13

Dbxupdate.bin

2,840

23- sep-2019

23:13

Tpmtasks.dll

3,339

23- sep-2019

23:13

Tpmtasks.dll

2,892

23- sep-2019

23:13

Windows 10, version 1809 og Windows Server 2019

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.

Filnavn

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

46

25- sep-2019

01:14

Dbxupdate.bin

1,368

25- sep-2019

01:14

Dbupdate.bin

46

25- sep-2019

01:14

Dbxupdate.bin

2,840

25- sep-2019

01:14

Tpmtasks.dll

1,998

25- sep-2019

01:14

Tpmtasks.dll

1,568

25- sep-2019

01:14

Windows 10, version 1803

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabeller.

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Ikke relevant

3

30-okt-2017

01:01

Dbxupdate.bin

Ikke relevant

7,361

10-02-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10-02-2019

03:55

Windows 10, version 1607 og Windows Server 2016

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel. 

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Ikke relevant

2

03-sep-2019

22:05

Dbxupdate.bin

Ikke relevant

7,361

12- sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16.sep.2019

05:04

Windows 8.1 og Windows Server 2012 R2

Filnavn

SHA1-hash

SHA256-hash

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Ikke relevant

2

25- sep-2019

04:21

Dbxupdate.bin

Ikke relevant

7,361

25- sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25- sep-2019

06:30


Windows Server 2012

Filnavn

SHA1-hash

SHA256-hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel. 

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Ikke relevant

2

20-Jun-2019

00:06

Dbxupdate.bin

Ikke relevant

7,361

10-02-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25- sep-2019

04:30

Referencer

Få mere at vide om terminologien, som Microsoft bruger til at beskrive softwareopdateringer.

Har du brug for mere hjælp?

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Deltag i Microsoft insiders

Var disse oplysninger nyttige?

Tak for din feedback!

×