VIGTIGT Denne artikel erstattes af KB5012170: Sikkerhedsopdatering til Sikker bootstart DBX.
Gælder for
Denne sikkerhedsopdatering gælder kun for følgende Versioner af Windows:
-
Windows Server 2012 x64-bit
-
Windows Server 2012 R2 x64-bit
-
Windows 8,1 x64-bit
-
Windows Server 2016 x64-bit
-
Windows Server 2019 x64-bit
-
Windows 10, version 1607 x64-bit
-
Windows 10, version 1803 x64-bit
-
Windows 10, version 1809 x64-bit
-
Windows 10, version 1909 x64-bit
Sammendrag
Denne sikkerhedsopdatering foretager forbedringer af Sikker bootstart DBX til de understøttede Windows-versioner, der er angivet i afsnittet "Gælder for". Vigtige ændringer omfatter følgende:
-
Windows-enheder, der har UEFI-baseret firmware (Unified Extensible Firmware Interface), kan køre med Sikker bootstart aktiveret. DbX (Secure Boot Forbidden Signature Database) forhindrer, at UEFI-moduler indlæses. Denne opdatering føjer moduler til DBX.
Der findes en sikkerhedsfunktions omgåelsessårbarhed i sikker bootstart. En hacker, der har udnyttet sårbarheden, kan omgå sikker bootstart og indlæse upålidelig software.
Denne sikkerhedsopdatering løser sårbarheden ved at føje signaturer fra de kendte sårbare UEFI-moduler til DBX.
Du kan finde flere oplysninger om denne sikkerhedsrisiko under CVE-2020-0689 | Sikkerhedsfunktionen Microsoft Secure Boot Bypass.
Kendte problemer
Problem |
Løsning |
Nogle OEM-firmware (Original Equipment Manufacturer) tillader muligvis ikke installation af denne opdatering. |
Du kan løse dette problem ved at kontakte firmware-OEM'en. |
Hvis BitLocker Gruppepolitik Konfigurer TPM platform validation profile for native UEFI firmware configurations is enabled and PCR7 is selected by policy, it may result in the BitLocker recovery key being required on some devices where PCR7 binding is not possible. Du kan få vist PCR7-bindingsstatussen ved at køre værktøjet Microsoft Systemoplysninger (Msinfo32.exe) med administrative tilladelser. |
Du kan løse dette problem ved at gøre et af følgende baseret på konfiguration af Credential Guard, før du installerer denne opdatering:
|
Du kan angive Bitlocker-genoprettelse, hvis der er konfigureret modstridende indstillinger for BitLocker-gruppepolitik, når BitLocker er blevet aktiveret i miljøet. Bitlocker-genoprettelse kan udløses på grund af en af nedenstående Gruppepolitik indstillinger:
|
Hvis denne opdatering allerede er installeret, og enheden ikke er genstartet, skal du suspendere BitLocker og genstarte, når du har fulgt nedenstående trin:
|
Denne opdatering installeres muligvis ikke på enheder med en usigneret, ikke-Microsoft bootx64.efi boot manager-fil. Denne opdatering kan blive tilbudt og tilbudt igen via Windows Update, men installeres muligvis ikke. Når du forsøger at installere denne opdatering manuelt, får du muligvis vist en fejlmeddelelse, "Nogle opdateringer blev ikke installeret", der viser KB4565680. Du kan også kontrollere CBS-logfilen i %systemroot%\logs\cbs for følgende fejl: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Fejl TRUST_E_NOSIGNATURE opstod i funktionen Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
Vi arbejder på en løsning og forventer, at en løsning vil være tilgængelig for Windows 10 version 1909, Windows 10, version 2004 og Windows 10 version 20H2 sidst i marts. De resterende understøttede versioner af Windows skønnes at have en løsning tilgængelig i midten af april. Du kan få yderligere vejledning før udgivelsen af opløsningen ved at kontakte producenten af enheden (OEM). |
Sådan henter du denne opdatering
Metode 1: Windows Update
Denne opdatering er tilgængelig via Windows Update. Den vil blive downloadet og installeret automatisk.
Metode 2: Microsoft Update-katalog
Du kan få den separate pakke til denne opdatering ved at gå til webstedet Microsoft Update-katalog.
Metode 3: Windows Server Update Services
Denne opdatering er også tilgængelig gennem Windows Server Update Services (WSUS).
Forudsætninger
Sørg for, at du har den seneste opdatering til behandlingsstakken (SSU – servicing stack update) installeret. Du kan få mere at vide om den nyeste SSU til dit operativsystem under ADV990001 | Seneste Opdateringer til behandlingsstakken.
Oplysninger om genstart
Enheden behøver ikke at genstarte, når du anvender denne opdatering. Hvis du har Windows Defender Credential Guard (Virtuel sikker tilstand) aktiveret, genstartes enheden to gange.
Oplysninger om ny opdatering
Denne opdatering erstatter ikke tidligere udsendte opdateringer.
Filoplysninger
Windows 10, version 1909
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.
Filnavn |
Filstørrelse |
Dato |
Klokkeslæt |
Dbupdate.bin |
46 |
23. sep.-2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23. sep.-2019 |
23:13 |
Dbupdate.bin |
46 |
23. sep.-2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23. sep.-2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23. sep.-2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23. sep.-2019 |
23:13 |
Windows 10 version 1809 og Windows Server 2019
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.
Filnavn |
Filstørrelse |
Dato |
Klokkeslæt |
Dbupdate.bin |
46 |
25. sep. 2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25. sep. 2019 |
01:14 |
Dbupdate.bin |
46 |
25. sep. 2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25. sep. 2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25. sep. 2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25. sep. 2019 |
01:14 |
Windows 10 version 1803
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Den engelske (USA) version af denne softwareopdatering installerer filer, der har de egenskaber, som er angivet i følgende tabeller.
Filnavn |
Filversion |
Filstørrelse |
Dato |
Klokkeslæt |
Dbupdate.bin |
Gælder ikke |
3 |
30. oktober 2017 |
01:01 |
Dbxupdate.bin |
Gælder ikke |
7,361 |
10. sep. 2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51.712 |
10. sep. 2019 |
03:55 |
Windows 10, version 1607 og Windows Server 2016
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.
Filnavn |
Filversion |
Filstørrelse |
Dato |
Klokkeslæt |
Dbupdate.bin |
Gælder ikke |
2 |
03-2019-2019 |
22:05 |
Dbxupdate.bin |
Gælder ikke |
7,361 |
12. sep. 2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16. sep. 2019 |
05:04 |
Windows 8.1 og Windows Server 2012 R2
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.
Filnavn |
Filversion |
Filstørrelse |
Dato |
Klokkeslæt |
Dbupdate.bin |
Gælder ikke |
2 |
25. sep. 2019 |
04:21 |
Dbxupdate.bin |
Gælder ikke |
7,361 |
25. sep. 2019 |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25. sep. 2019 |
06:30 |
Windows Server 2012
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Den engelske (USA) version af denne softwareopdatering installerer filer, der har de attributter, der er angivet i følgende tabel.
Filnavn |
Filversion |
Filstørrelse |
Dato |
Klokkeslæt |
Dbupdate.bin |
Gælder ikke |
2 |
20. juni 2019 |
00:06 |
Dbxupdate.bin |
Gælder ikke |
7,361 |
10. sep. 2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25. sep. 2019 |
04:30 |
Referencer
Få mere at vide om den terminologi , som Microsoft bruger til at beskrive softwareopdateringer.