KB4535680: Sicherheitsupdate für Secure Boot DBX: 12. Januar 2021

Problem

Problemumgehung

Manche OEM-Firmware (Original Equipment Manufacturer) lässt die Installation dieses Updates möglicherweise nicht zu.

Wenden Sie sich an Ihren Firmware-OEM, um dieses Problem zu beheben.

Wenn die BitLocker-Gruppenrichtlinie TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren aktiviert ist und PCR7 per Richtlinie ausgewählt wird, kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten verlangt wird, auf denen eine PCR7-Bindung nicht möglich ist.

Um den Status der PCR7-Bindung anzuzeigen, führen Sie das Microsoft-Tool „Systeminformationen“ (Msinfo32.exe) mit Administratorberechtigungen aus.

Um dieses Problem zu umgehen, führen Sie eine der folgenden Schritte basierend auf der Konfiguration der Überwachung von Anmeldeinformationen (Credential Guard) aus, bevor Sie dieses Update bereitstellen:

• Führen Sie auf einem Gerät, auf dem Credential Guard nicht aktiviert ist, den folgenden Befehl über eine Administratoreingabeaufforderung aus, um BitLocker für 1 Neustartzyklus auszusetzen:

  Manage-bde –Protectors –Disable C: -RebootCount 1

  
  Starten Sie dann das Gerät neu, um den BitLocker-Schutz fortzusetzen.
  
  Hinweis Aktivieren Sie den BitLocker-Schutz nicht, ohne zusätzlich das Gerät neu zu starten, da dies zu einer BitLocker-Wiederherstellung führen würde.

• Auf einem Gerät, auf dem Credential Guard aktiviert ist, kann es während des Updates mehrere Neustarts geben, bei denen BitLocker angehalten werden muss. Führen Sie den folgenden Befehl an einer Administratoreingabeaufforderung aus, um BitLocker für 3 Neustartzyklen auszusetzen. Manage-bde –Schutzvorrichtungen –Deaktivieren von C: -RebootCount 3

  Es wird erwartet, dass dieses Update das System zweimal neu startet. Starten Sie das Gerät noch einmal neu, um den BitLocker-Schutz fortzusetzen.

  Hinweis Aktivieren Sie den BitLocker-Schutz nicht ohne zusätzlichen Neustart, da dies zu einer Wiederherstellung von BitLocker führen würde.

Sie können die Bitlocker-Wiederherstellung aufrufen, wenn widersprüchliche BitLocker-Gruppenrichtlinieneinstellungen konfiguriert sind, nachdem BitLocker in der Umgebung aktiviert wurde. Die Wiederherstellung von Bitlocker kann durch eine der folgenden Gruppenrichtlinien-Einstellungen ausgelöst werden:

• Erzwingen einer expliziten Konfiguration von PCR-Bindungen die sich von der bereits von BitLocker ausgewählten unterscheidet.

• Konfigurieren von GP “Secure Boot für Integritätsüberprüfung zulassen” um Secure Boot für die Integritätsüberprüfung zu deaktivieren, aber BitLocker verwendet bereits Secure Boot (PCR7).

• Konfigurieren von Gruppenrichtlinien um Zusätzliche Authentifizierung während des Starts erforderlich zu machen aber BitLocker wurde konfiguriert, bevor diese Gruppenrichtlinie bereitgestellt wurde.

Wenn dieses Update bereits angewendet wurde und das Gerät noch nicht neu gestartet wurde, setzen Sie BitLocker aus und starten Sie es neu, nachdem Sie die folgenden Schritte ausgeführt haben:

• Wenn eine explizite PCR-Konfiguration über eine Gruppenrichtlinie festgelegt wurde oder eine Richtlinie so konfiguriert ist, dass die Verwendung von Secure Boot für die Integritätsüberprüfung nicht zulässig ist, müssen Sie BitLocker aussetzen und wieder aufnehmen, um die GP-Konflikte zu beseitigen.

• Wenn die Zusätzliche Authentifizierung während des Starts erforderlich Richtlinie so konfiguriert ist, dass TPM und PIN erforderlich sind, führen Sie den folgenden Befehl von einer administrativen Eingabeaufforderung aus und geben Sie die gewünschte PIN ein: manage-bde -protectors -add c: -TPMAndPin

• Wenn die Zusätzliche Authentifizierung während des Starts erforderlich Richtlinie so konfiguriert ist, dass ein Startschlüssel erforderlich ist, führen Sie den folgenden Befehl aus, um den Startschlüssel zu erstellen: manage-bde -protectors -add c: -tpmandstartupkey  <path to external key directory>

• Wenn die Zusätzliche Authentifizierung während des Starts erfordern Richtlinie so konfiguriert ist, dass der Startschlüssel und die PIN erforderlich sind, führen Sie den folgenden Befehl von der Admin-Eingabeaufforderung aus, um die PIN und den Startschlüssel zu erstellen. Wenn Sie dazu aufgefordert werden, geben Sie die gewünschte PIN ein: manage-bde -protectors -add c: -tpmandpinandstartupkey  <path to external key directory> 

Dieses Update kann möglicherweise nicht auf Geräten mit einer nicht signierten, nicht von Microsoft stammenden bootx64.efi-Bootmanagerdatei installiert werden.   Dieses Update wird möglicherweise über Windows Update angeboten und erneut angeboten, aber möglicherweise nicht installiert.  Wenn Sie versuchen, dieses Update manuell zu installieren, erhalten Sie möglicherweise die Fehlermeldung "Einige Updates wurden nicht installiert", in der KB4565680 aufgeführt ist.  Sie können auch die CBS-Protokolldatei in %systemroot%\logs\cbs auf den folgenden Fehler überprüfen: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Der Fehler TRUST_E_NOSIGNATURE ist in der Funktion Windows::WCP::SecureBoot::BasicInstaller::Install expression entstanden: ApplySecureBootUpdate( dwAvailableUpdates)

Wir arbeiten an einer Lösung und gehen davon aus, dass eine Lösung für Windows 10, Version 1909, Windows 10, Version 2004 und Windows 10, Version 20H2 Ende März verfügbar sein wird.  Für die übrigen unterstützten Windows-Versionen wird voraussichtlich Mitte April eine Lösung zur Verfügung stehen.

Wenn Sie vor der Freigabe der Resolution zusätzliche Hinweise benötigen, wenden Sie sich bitte an Ihren Gerätehersteller (OEM).