KB4535680: Ενημέρωση ασφαλείας για ασφαλή εκκίνηση DBX: 12 Ιανουαρίου 2021

Ζήτημα

Λύση

Ορισμένο υλικολογισμικό κατασκευαστή πρωτότυπου εξοπλισμού (OEM) ενδέχεται να μην επιτρέπει την εγκατάσταση αυτής της ενημέρωσης.

Για να επιλύσετε αυτό το πρόβλημα, επικοινωνήστε με τον OEM υλικολογισμικού.

Αν το BitLocker Πολιτική ομάδας Ρύθμιση παραμέτρων προφίλ επικύρωσης πλατφόρμας TPM για εγγενείς ρυθμίσεις παραμέτρων υλικολογισμικού UEFI είναι ενεργοποιημένο και το PCR7 επιλέγεται βάσει πολιτικής, αυτό μπορεί να έχει ως αποτέλεσμα να απαιτείται το κλειδί αποκατάστασης BitLocker σε ορισμένες συσκευές όπου δεν είναι δυνατή η σύνδεση PCR7.

Για να προβάλετε την κατάσταση σύνδεσης του PCR7, εκτελέστε το εργαλείο Πληροφορίες συστήματος της Microsoft (Msinfo32.exe) με δικαιώματα διαχείρισης.

Για να επιλύσετε αυτό το πρόβλημα, κάντε ένα από τα εξής με βάση τη ρύθμιση παραμέτρων του credential guard πριν από την ανάπτυξη αυτής της ενημέρωσης:

• Σε μια συσκευή στην οποία δεν είναι ενεργοποιημένα τα διαπιστευτήρια gard, εκτελέστε την ακόλουθη εντολή από μια γραμμή εντολών διαχειριστή για να αναστείλετε το BitLocker για 1 κύκλο επανεκκίνησης:

  Manage-bde –Protectors –Disable C: -RebootCount 1

  
  Στη συνέχεια, επανεκκινήστε τη συσκευή για να συνεχίσετε την προστασία BitLocker.
  
  Σημείωση Μην ενεργοποιήσετε την προστασία BitLocker χωρίς επιπλέον επανεκκίνηση της συσκευής, καθώς θα έχει ως αποτέλεσμα την αποκατάσταση BitLocker.

• Σε μια συσκευή με ενεργοποιημένο το Credential Guard, ενδέχεται να υπάρξουν πολλές επανεκκινήσεις κατά τη διάρκεια της ενημέρωσης που απαιτούν την αναστολή του BitLocker. Εκτελέστε την ακόλουθη εντολή από μια γραμμή εντολών διαχειριστή για να αναστείλετε το BitLocker για 3 κύκλους επανεκκίνησης. Manage-bde –Protectors –Disable C: -RebootCount 3

  Αυτή η ενημέρωση αναμένεται να επανεκκινήσει το σύστημα δύο φορές. Επανεκκινήστε ξανά τη συσκευή, για να επανενεργοποιήσετε την προστασία BitLocker.

  Σημείωση Μην ενεργοποιήσετε την προστασία BitLocker χωρίς επιπλέον επανεκκίνηση, καθώς θα έχει ως αποτέλεσμα την αποκατάσταση BitLocker.

Μπορείτε να εισέλθετε στην αποκατάσταση Bitlocker, εάν έχουν ρυθμιστεί οι παράμετροι των ρυθμίσεων πολιτικής ομάδας BitLocker σε διένεξη μετά την ενεργοποίηση του BitLocker στο περιβάλλον. Η αποκατάσταση Bitlocker μπορεί να ενεργοποιηθεί λόγω οποιασδήποτε από τις παρακάτω ρυθμίσεις Πολιτική ομάδας:

• Επιβολή ρητής ρύθμισης παραμέτρων των συνδέσεων PCR που είναι διαφορετικές από αυτήν που έχει ήδη επιλεγεί από το BitLocker.

• Ρύθμιση παραμέτρων GP "Να επιτρέπεται η ασφαλής εκκίνηση για επικύρωση ακεραιότητας" για κατάργηση της ασφαλούς εκκίνησης για επικύρωση ακεραιότητας, αλλά το BitLocker χρησιμοποιεί ήδη ασφαλή εκκίνηση (PCR7).

• Ρύθμιση παραμέτρων Πολιτική ομάδας να απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση, αλλά το BitLocker έχει ρυθμιστεί πριν από την ανάπτυξη αυτής της πολιτικής ομάδας.

Αν αυτή η ενημέρωση έχει ήδη εφαρμοστεί και δεν έχει γίνει επανεκκίνηση της συσκευής, αναστείλετε το BitLocker και κάντε επανεκκίνηση αφού ακολουθήσετε τα παρακάτω βήματα:

• Εάν έχει οριστεί ρητή ρύθμιση παραμέτρων PCR μέσω πολιτικής ομάδας ή έχει ρυθμιστεί να μην επιτρέπεται η χρήση ασφαλούς εκκίνησης για επικύρωση ακεραιότητας, αναστολή και συνέχιση του BitLocker για την απαλοιφή των διενέξεων GP.

• Εάν η πολιτική απαίτησης πρόσθετου ελέγχου ταυτότητας κατά την εκκίνηση έχει ρυθμιστεί ώστε να απαιτεί TPM και PIN, εκτελέστε την ακόλουθη εντολή από μια γραμμή εντολών διαχείρισης και εισαγάγετε το επιθυμητό PIN: manage-bde -protectors -add c: -TPMAndPin

• Εάν η πολιτική απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση έχει ρυθμιστεί ώστε να απαιτεί κλειδί εκκίνησης, εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε το κλειδί εκκίνησης: manage-bde -protectors -add c: -tpmandstartupkey <διαδρομή προς τον κατάλογο εξωτερικών κλειδιών>

• Εάν η πολιτική Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση έχει ρυθμιστεί ώστε να απαιτεί κλειδί εκκίνησης και καρφίτσωμα, εκτελέστε την ακόλουθη εντολή από Διαχείριση γραμμή εντολών για να δημιουργήσετε το πλήκτρο Pin και εκκίνησης. Όταν σας ζητηθεί, εισαγάγετε το PIN που θέλετε: manage-bde -protectors -add c: -tpmandpinandstartupkey <διαδρομή προς τον εξωτερικό κατάλογο κλειδιών>

Αυτή η ενημέρωση ενδέχεται να μην εγκατασταθεί σε συσκευές με ανυπόγραφο αρχείο διαχείρισης εκκίνησης που δεν είναι Microsoft bootx64.efi.  Αυτή η ενημέρωση μπορεί να προσφέρεται και να επαναoffered μέσω Windows Update, αλλά ενδέχεται να μην εγκαθίσταται.  Όταν προσπαθείτε να εγκαταστήσετε αυτήν την ενημέρωση με μη αυτόματο τρόπο, ενδέχεται να εμφανιστεί το σφάλμα "Ορισμένες ενημερώσεις δεν εγκαταστάθηκαν" με την ενημέρωση KB4565680.  Μπορείτε επίσης να ελέγξετε το αρχείο καταγραφής CBS στο %systemroot%\logs\cbs για το ακόλουθο σφάλμα: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Σφάλμα TRUST_E_NOSIGNATURE προέρχεται από τη συνάρτηση Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Καταβάλλουμε προσπάθειες για την εξεύρεση μιας λύσης που εκτιμούμε ότι θα είναι διαθέσιμη για Windows 10, έκδοση 1909, Windows 10, έκδοση 2004 και Windows 10, έκδοση 20H2 στα τέλη Μαρτίου.  Οι υπόλοιπες υποστηριζόμενες εκδόσεις των Windows εκτιμάται ότι έχουν μια λύση διαθέσιμη στα μέσα Απριλίου.

Για πρόσθετες οδηγίες πριν από την κυκλοφορία της ανάλυσης, επικοινωνήστε με τον κατασκευαστή της συσκευής σας (OEM).