Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

VIGTIGT Denne artikel erstattes af KB5012170: Sikkerhedsopdatering til Sikker bootstart DBX.

Gælder for

Denne sikkerhedsopdatering gælder kun for følgende Versioner af Windows:

  • Windows Server 2012 x64-bit

  • Windows Server 2012 R2 x64-bit

  • Windows 8,1 x64-bit

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10, version 1607 x64-bit

  • Windows 10, version 1803 x64-bit

  • Windows 10, version 1809 x64-bit

  • Windows 10, version 1909 x64-bit 

Sammendrag

Denne sikkerhedsopdatering foretager forbedringer af Sikker bootstart DBX til de understøttede Windows-versioner, der er angivet i afsnittet "Gælder for". Vigtige ændringer omfatter følgende: 

  • Windows-enheder, der har UEFI-baseret firmware (Unified Extensible Firmware Interface), kan køre med Sikker bootstart aktiveret. DbX (Secure Boot Forbidden Signature Database) forhindrer, at UEFI-moduler indlæses. Denne opdatering føjer moduler til DBX.

    Der findes en sikkerhedsfunktions omgåelsessårbarhed i sikker bootstart. En hacker, der har udnyttet sårbarheden, kan omgå sikker bootstart og indlæse upålidelig software.

    Denne sikkerhedsopdatering løser sårbarheden ved at føje signaturer fra de kendte sårbare UEFI-moduler til DBX.

Du kan finde flere oplysninger om denne sikkerhedsrisiko under CVE-2020-0689 | Sikkerhedsfunktionen Microsoft Secure Boot Bypass.

Kendte problemer

Problem

Løsning

Nogle OEM-firmware (Original Equipment Manufacturer) tillader muligvis ikke installation af denne opdatering.

Du kan løse dette problem ved at kontakte firmware-OEM'en.

Hvis BitLocker Gruppepolitik Konfigurer TPM platform validation profile for native UEFI firmware configurations is enabled and PCR7 is selected by policy, it may result in the BitLocker recovery key being required on some devices where PCR7 binding is not possible.

Du kan få vist PCR7-bindingsstatussen ved at køre værktøjet Microsoft Systemoplysninger (Msinfo32.exe) med administrative tilladelser.

Du kan løse dette problem ved at gøre et af følgende baseret på konfiguration af Credential Guard, før du installerer denne opdatering:

  • Kør følgende kommando fra en administratorkommandoprompt for at afbryde BitLocker i 1 genstartscyklus på en enhed, der ikke har Credential Gard aktiveret:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Genstart derefter enheden for at fortsætte BitLocker-beskyttelsen.

    Bemærk Aktivér ikke BitLocker-beskyttelse uden desuden at genstarte enheden, da det ville resultere i BitLocker-genoprettelse.

  • På en enhed, hvor Credential Guard er aktiveret, kan der være flere genstarter under opdateringen, der kræver, at BitLocker afbrydes midlertidigt. Kør følgende kommando fra en administratorkommandoprompt for at afbryde BitLocker i 3 genstartscyklusser. Manage-bde –Protectors –Disable C: -RebootCount 3

    Denne opdatering forventes at genstarte systemet to gange. Genstart enheden igen for at fortsætte BitLocker-beskyttelsen.

    Bemærk! Aktivér ikke BitLocker-beskyttelse uden desuden at genstarte, da det ville resultere i BitLocker-genoprettelse.

Du kan angive Bitlocker-genoprettelse, hvis der er konfigureret modstridende indstillinger for BitLocker-gruppepolitik, når BitLocker er blevet aktiveret i miljøet. Bitlocker-genoprettelse kan udløses på grund af en af nedenstående Gruppepolitik indstillinger:

Hvis denne opdatering allerede er installeret, og enheden ikke er genstartet, skal du suspendere BitLocker og genstarte, når du har fulgt nedenstående trin:

  • Hvis der er konfigureret en eksplicit PCR-konfiguration via gruppepolitik, eller en politik er konfigureret til ikke at give tilladelse til brug af sikker start til validering af integritet, skal du afbryde og fortsætte BitLocker for at rydde GP-konflikterne.

  • Hvis politikken Kræv yderligere godkendelse under start er konfigureret til at kræve TPM og pinkode, skal du køre følgende kommando fra en administrativ kommandoprompt og angive den ønskede pinkode: manage-bde -protectors -add c: -TPMAndPin

  • Hvis politikken Kræv yderligere godkendelse under start er konfigureret til at kræve en startnøgle, skal du udføre følgende kommando for at oprette startnøglen: manage-bde -protectors -add c: -tpmandstartupkey <sti til ekstern nøglemappe>

  • Hvis politikken Kræv yderligere godkendelse under start er konfigureret til at kræve startnøgle og fastgøre, skal du udføre følgende kommando fra Administration kommandoprompt for at oprette Pinkode og startnøgle. Når du bliver bedt om det, skal du angive den ønskede pinkode: manage-bde -protectors -add c: -tpmandpinandstartupkey <sti til mappen med eksterne nøgler>

Denne opdatering installeres muligvis ikke på enheder med en usigneret, ikke-Microsoft bootx64.efi boot manager-fil.  Denne opdatering kan blive tilbudt og tilbudt igen via Windows Update, men installeres muligvis ikke.  Når du forsøger at installere denne opdatering manuelt, får du muligvis vist en fejlmeddelelse, "Nogle opdateringer blev ikke installeret", der viser KB4565680.  Du kan også kontrollere CBS-logfilen i %systemroot%\logs\cbs for følgende fejl: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Fejl TRUST_E_NOSIGNATURE opstod i funktionen Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Vi arbejder på en løsning og forventer, at en løsning vil være tilgængelig for Windows 10 version 1909, Windows 10, version 2004 og Windows 10 version 20H2 sidst i marts.  De resterende understøttede versioner af Windows skønnes at have en løsning tilgængelig i midten af april.

Du kan få yderligere vejledning før udgivelsen af opløsningen ved at kontakte producenten af enheden (OEM).

Sådan henter du denne opdatering

Metode 1: Windows Update 

Denne opdatering er tilgængelig via Windows Update. Den vil blive downloadet og installeret automatisk.  

Metode 2: Microsoft Update-katalog 

Du kan få den separate pakke til denne opdatering ved at gå til webstedet Microsoft Update-katalog.

Metode 3: Windows Server Update Services

Denne opdatering er også tilgængelig gennem Windows Server Update Services (WSUS).

Forudsætninger

Sørg for, at du har den seneste opdatering til behandlingsstakken (SSU – servicing stack update) installeret. Du kan få mere at vide om den nyeste SSU til dit operativsystem under ADV990001 | Seneste Opdateringer til behandlingsstakken.

Oplysninger om genstart 

Enheden behøver ikke at genstarte, når du anvender denne opdatering. Hvis du har Windows Defender Credential Guard (Virtuel sikker tilstand) aktiveret, genstartes enheden to gange.

Oplysninger om ny opdatering 

Denne opdatering erstatter ikke tidligere udsendte opdateringer.

Filoplysninger

Windows 10, version 1909 

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.

Filnavn

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

46

23. sep.-2019

23:13

Dbxupdate.bin

1,368

23. sep.-2019

23:13

Dbupdate.bin

46

23. sep.-2019

23:13

Dbxupdate.bin

2,840

23. sep.-2019

23:13

Tpmtasks.dll

3,339

23. sep.-2019

23:13

Tpmtasks.dll

2,892

23. sep.-2019

23:13

Windows 10 version 1809 og Windows Server 2019

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.

Filnavn

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

46

25. sep. 2019

01:14

Dbxupdate.bin

1,368

25. sep. 2019

01:14

Dbupdate.bin

46

25. sep. 2019

01:14

Dbxupdate.bin

2,840

25. sep. 2019

01:14

Tpmtasks.dll

1,998

25. sep. 2019

01:14

Tpmtasks.dll

1,568

25. sep. 2019

01:14

Windows 10 version 1803

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de egenskaber, som er angivet i følgende tabeller.

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Gælder ikke

3

30. oktober 2017

01:01

Dbxupdate.bin

Gælder ikke

7,361

10. sep. 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51.712

10. sep. 2019

03:55

Windows 10, version 1607 og Windows Server 2016

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel. 

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Gælder ikke

2

03-2019-2019

22:05

Dbxupdate.bin

Gælder ikke

7,361

12. sep. 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16. sep. 2019

05:04

Windows 8.1 og Windows Server 2012 R2

Filnavn

SHA1-hash

SHA256-hash

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Gælder ikke

2

25. sep. 2019

04:21

Dbxupdate.bin

Gælder ikke

7,361

25. sep. 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25. sep. 2019

06:30


Windows Server 2012

Filnavn

SHA1-hash

SHA256-hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel. 

Filnavn

Filversion

Filstørrelse

Dato

Klokkeslæt

Dbupdate.bin

Gælder ikke

2

20. juni 2019

00:06

Dbxupdate.bin

Gælder ikke

7,361

10. sep. 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25. sep. 2019

04:30

Referencer

Få mere at vide om den terminologi , som Microsoft bruger til at beskrive softwareopdateringer.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×