Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

ΣΗΜΑΝΤΙΚΌ Αυτό το άρθρο υποστηρίζεται από την ενημέρωση KB5012170: Ενημέρωση ασφαλείας για ασφαλή εκκίνηση DBX.

Ισχύει για

Αυτή η ενημέρωση ασφαλείας ισχύει μόνο για τις ακόλουθες εκδόσεις των Windows:

  • Windows Server 2012 x64 bit

  • Windows Server 2012 R2 x64 bit

  • Windows 8,1 x64 bit

  • Windows Server 2016 x64 bit

  • Windows Server 2019 x64 bit

  • Windows 10, έκδοση 1607 x64 bit

  • Windows 10, έκδοση 1803 x64 bit

  • Windows 10, έκδοση 1809 x64 bit

  • Windows 10, έκδοση 1909 x64 bit 

Σύνοψη

Αυτή η ενημέρωση ασφαλείας βελτιώνει την Ασφαλή εκκίνηση DBX για τις υποστηριζόμενες εκδόσεις των Windows που αναφέρονται στην ενότητα "Ισχύει για". Στις βασικές αλλαγές περιλαμβάνονται οι εξής: 

  • Οι συσκευές Windows με υλικολογισμικό ενοποιημένης επεκτάσιμης διασύνδεσης υλικολογισμικού (UEFI) μπορούν να εκτελούνται με ενεργοποιημένη την Ασφαλή εκκίνηση. Η Βάση δεδομένων απαγορευμένης υπογραφής ασφαλούς εκκίνησης (DBX) αποτρέπει τη φόρτωση λειτουργικών μονάδων UEFI. Αυτή η ενημέρωση προσθέτει λειτουργικές μονάδες στο DBX.Υπάρχει μια ευπάθεια παράκαμψης δυνατοτήτων ασφαλείας κατά την ασφαλή εκκίνηση. Ένας εισβολέας που εκμεταλλεύτηκε με επιτυχία την ευπάθεια μπορεί να παρακάμψει την ασφαλή εκκίνηση και να φορτώσει μη αξιόπιστο λογισμικό.Αυτή η ενημέρωση ασφαλείας αντιμετωπίζει την ευπάθεια προσθέτοντας τις υπογραφές των γνωστών ευάλωτων λειτουργικών μονάδων UEFI στο DBX.

Για να μάθετε περισσότερα σχετικά με αυτή την ευπάθεια ασφαλείας, ανατρέξτε στο θέμα CVE-2020-0689 | Ευπάθεια παράκαμψης δυνατοτήτων ασφαλούς εκκίνησης της Microsoft.

Γνωστά προβλήματα

Ζήτημα

Λύση

Ορισμένο υλικολογισμικό κατασκευαστή πρωτότυπου εξοπλισμού (OEM) ενδέχεται να μην επιτρέπει την εγκατάσταση αυτής της ενημέρωσης.

Για να επιλύσετε αυτό το πρόβλημα, επικοινωνήστε με τον OEM υλικολογισμικού.

Αν το BitLocker Πολιτική ομάδας Ρύθμιση παραμέτρων προφίλ επικύρωσης πλατφόρμας TPM για εγγενείς ρυθμίσεις παραμέτρων υλικολογισμικού UEFI είναι ενεργοποιημένο και το PCR7 επιλέγεται βάσει πολιτικής, αυτό μπορεί να έχει ως αποτέλεσμα να απαιτείται το κλειδί αποκατάστασης BitLocker σε ορισμένες συσκευές όπου δεν είναι δυνατή η σύνδεση PCR7.

Για να προβάλετε την κατάσταση σύνδεσης του PCR7, εκτελέστε το εργαλείο Πληροφορίες συστήματος της Microsoft (Msinfo32.exe) με δικαιώματα διαχείρισης.

Για να επιλύσετε αυτό το πρόβλημα, κάντε ένα από τα εξής με βάση τη ρύθμιση παραμέτρων του credential guard πριν από την ανάπτυξη αυτής της ενημέρωσης:

  • Σε μια συσκευή στην οποία δεν είναι ενεργοποιημένα τα διαπιστευτήρια gard, εκτελέστε την ακόλουθη εντολή από μια γραμμή εντολών διαχειριστή για να αναστείλετε το BitLocker για 1 κύκλο επανεκκίνησης:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    Στη συνέχεια, επανεκκινήστε τη συσκευή για να συνεχίσετε την προστασία BitLocker.Σημείωση Μην ενεργοποιήσετε την προστασία BitLocker χωρίς επιπλέον επανεκκίνηση της συσκευής, καθώς θα έχει ως αποτέλεσμα την αποκατάσταση BitLocker.

  • Σε μια συσκευή με ενεργοποιημένο το Credential Guard, ενδέχεται να υπάρξουν πολλές επανεκκινήσεις κατά τη διάρκεια της ενημέρωσης που απαιτούν την αναστολή του BitLocker. Εκτελέστε την ακόλουθη εντολή από μια γραμμή εντολών διαχειριστή για να αναστείλετε το BitLocker για 3 κύκλους επανεκκίνησης. Manage-bde –Protectors –Disable C: -RebootCount 3

    Αυτή η ενημέρωση αναμένεται να επανεκκινήσει το σύστημα δύο φορές. Επανεκκινήστε ξανά τη συσκευή, για να επανενεργοποιήσετε την προστασία BitLocker.

    Σημείωση Μην ενεργοποιήσετε την προστασία BitLocker χωρίς επιπλέον επανεκκίνηση, καθώς θα έχει ως αποτέλεσμα την αποκατάσταση BitLocker.

Μπορείτε να εισέλθετε στην αποκατάσταση Bitlocker, εάν έχουν ρυθμιστεί οι παράμετροι των ρυθμίσεων πολιτικής ομάδας BitLocker σε διένεξη μετά την ενεργοποίηση του BitLocker στο περιβάλλον. Η αποκατάσταση Bitlocker μπορεί να ενεργοποιηθεί λόγω οποιασδήποτε από τις παρακάτω ρυθμίσεις Πολιτική ομάδας:

Αν αυτή η ενημέρωση έχει ήδη εφαρμοστεί και δεν έχει γίνει επανεκκίνηση της συσκευής, αναστείλετε το BitLocker και κάντε επανεκκίνηση αφού ακολουθήσετε τα παρακάτω βήματα:

  • Εάν έχει οριστεί ρητή ρύθμιση παραμέτρων PCR μέσω πολιτικής ομάδας ή έχει ρυθμιστεί να μην επιτρέπεται η χρήση ασφαλούς εκκίνησης για επικύρωση ακεραιότητας, αναστολή και συνέχιση του BitLocker για την απαλοιφή των διενέξεων GP.

  • Εάν η πολιτική απαίτησης πρόσθετου ελέγχου ταυτότητας κατά την εκκίνηση έχει ρυθμιστεί ώστε να απαιτεί TPM και PIN, εκτελέστε την ακόλουθη εντολή από μια γραμμή εντολών διαχείρισης και εισαγάγετε το επιθυμητό PIN: manage-bde -protectors -add c: -TPMAndPin

  • Εάν η πολιτική απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση έχει ρυθμιστεί ώστε να απαιτεί κλειδί εκκίνησης, εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε το κλειδί εκκίνησης: manage-bde -protectors -add c: -tpmandstartupkey <διαδρομή προς τον κατάλογο εξωτερικών κλειδιών>

  • Εάν η πολιτική Απαιτείται πρόσθετος έλεγχος ταυτότητας κατά την εκκίνηση έχει ρυθμιστεί ώστε να απαιτεί κλειδί εκκίνησης και καρφίτσωμα, εκτελέστε την ακόλουθη εντολή από Διαχείριση γραμμή εντολών για να δημιουργήσετε το πλήκτρο Pin και εκκίνησης. Όταν σας ζητηθεί, εισαγάγετε το PIN που θέλετε: manage-bde -protectors -add c: -tpmandpinandstartupkey <διαδρομή προς τον εξωτερικό κατάλογο κλειδιών>

Αυτή η ενημέρωση ενδέχεται να μην εγκατασταθεί σε συσκευές με ανυπόγραφο αρχείο διαχείρισης εκκίνησης που δεν είναι Microsoft bootx64.efi.  Αυτή η ενημέρωση μπορεί να προσφέρεται και να επαναoffered μέσω Windows Update, αλλά ενδέχεται να μην εγκαθίσταται.  Όταν προσπαθείτε να εγκαταστήσετε αυτήν την ενημέρωση με μη αυτόματο τρόπο, ενδέχεται να εμφανιστεί το σφάλμα "Ορισμένες ενημερώσεις δεν εγκαταστάθηκαν" με την ενημέρωση KB4565680.  Μπορείτε επίσης να ελέγξετε το αρχείο καταγραφής CBS στο %systemroot%\logs\cbs για το ακόλουθο σφάλμα: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Σφάλμα TRUST_E_NOSIGNATURE προέρχεται από τη συνάρτηση Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Καταβάλλουμε προσπάθειες για την εξεύρεση μιας λύσης που εκτιμούμε ότι θα είναι διαθέσιμη για Windows 10, έκδοση 1909, Windows 10, έκδοση 2004 και Windows 10, έκδοση 20H2 στα τέλη Μαρτίου.  Οι υπόλοιπες υποστηριζόμενες εκδόσεις των Windows εκτιμάται ότι έχουν μια λύση διαθέσιμη στα μέσα Απριλίου.

Για πρόσθετες οδηγίες πριν από την κυκλοφορία της ανάλυσης, επικοινωνήστε με τον κατασκευαστή της συσκευής σας (OEM).

Τρόπος λήψης αυτής της ενημέρωσης

Μέθοδος 1: Windows Update 

Αυτή η ενημέρωση είναι διαθέσιμη μέσω του Windows Update. Θα ληφθεί και θα εγκατασταθεί αυτόματα.  

Μέθοδος 2: Κατάλογος του Microsoft Update 

Για να λάβετε το μεμονωμένο πακέτο για αυτήν την ενημέρωση, μεταβείτε στην τοποθεσία web Κατάλογος του Microsoft Update.

Μέθοδος 3: Υπηρεσίες Windows Server Update Services

Αυτή η ενημέρωση είναι επίσης διαθέσιμη μέσω των Υπηρεσιών Windows Server Update Services (WSUS).

Προαπαιτούμενα

Βεβαιωθείτε ότι έχετε εγκαταστήσει την τελευταία ενημέρωση SSU (Servicing Stack Update). Για πληροφορίες σχετικά με την πιο πρόσφατη ενημέρωση SSU για το λειτουργικό σας σύστημα, ανατρέξτε στο θέμα ADV990001 | Τελευταία Ενημερώσεις στοίβας συντήρησης.

Πληροφορίες επανεκκίνησης 

Δεν χρειάζεται να γίνει επανεκκίνηση της συσκευής σας κατά την εφαρμογή αυτής της ενημέρωσης. Αν έχετε ενεργοποιήσει Windows Defender Credential Guard (Εικονική ασφαλής λειτουργία), η συσκευή σας θα επανεκκινηθεί δύο φορές.

Πληροφορίες αντικατάστασης ενημέρωσης 

Αυτή η ενημέρωση δεν αντικαθιστά καμία ενημέρωση που κυκλοφόρησε προηγουμένως.

Πληροφορίες αρχείων

Windows 10, έκδοση 1909 

Όνομα αρχείου

Κατακερματισμός SHA1

Κατακερματισμός SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Η αγγλική (Ηνωμένες Πολιτείες) έκδοση αυτής της ενημέρωσης λογισμικού εγκαθιστά αρχεία που έχουν τα χαρακτηριστικά που αναφέρονται στον παρακάτω πίνακα.

Όνομα αρχείου

Μέγεθος αρχείου

Ημερομηνία

Ώρα

Dbupdate.bin

46

23-Σεπ-2019

23:13

Dbxupdate.bin

1,368

23-Σεπ-2019

23:13

Dbupdate.bin

46

23-Σεπ-2019

23:13

Dbxupdate.bin

2,840

23-Σεπ-2019

23:13

Tpmtasks.dll

3,339

23-Σεπ-2019

23:13

Tpmtasks.dll

2,892

23-Σεπ-2019

23:13

Windows 10, έκδοση 1809 και Windows Server 2019

Όνομα αρχείου

Κατακερματισμός SHA1

Κατακερματισμός SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Η αγγλική (Ηνωμένες Πολιτείες) έκδοση αυτής της ενημέρωσης λογισμικού εγκαθιστά αρχεία που έχουν τα χαρακτηριστικά που αναφέρονται στον παρακάτω πίνακα.

Όνομα αρχείου

Μέγεθος αρχείου

Ημερομηνία

Ώρα

Dbupdate.bin

46

25-Σεπ-2019

01:14

Dbxupdate.bin

1,368

25-Σεπ-2019

01:14

Dbupdate.bin

46

25-Σεπ-2019

01:14

Dbxupdate.bin

2,840

25-Σεπ-2019

01:14

Tpmtasks.dll

1,998

25-Σεπ-2019

01:14

Tpmtasks.dll

1,568

25-Σεπ-2019

01:14

Windows 10, έκδοση 1803

Όνομα αρχείου

Κατακερματισμός SHA1

Κατακερματισμός SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Η έκδοση στα Αγγλικά (Ηνωμένων Πολιτειών) αυτής της ενημέρωσης λογισμικού εγκαθιστά αρχεία με χαρακτηριστικά που αναφέρονται στους παρακάτω πίνακες.

Όνομα αρχείου

Έκδοση αρχείου

Μέγεθος αρχείου

Ημερομηνία

Ώρα

Dbupdate.bin

Δεν ισχύει

3

30-Οκτ-2017

01:01

Dbxupdate.bin

Δεν ισχύει

7,361

10-Σεπ-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10-Σεπ-2019

03:55

Windows 10, έκδοση 1607 και Windows Server 2016

Όνομα αρχείου

Κατακερματισμός SHA1

Κατακερματισμός SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Η αγγλική (Ηνωμένες Πολιτείες) έκδοση αυτής της ενημέρωσης λογισμικού εγκαθιστά αρχεία που έχουν τα χαρακτηριστικά που αναφέρονται στον παρακάτω πίνακα. 

Όνομα αρχείου

Έκδοση αρχείου

Μέγεθος αρχείου

Ημερομηνία

Ώρα

Dbupdate.bin

Δεν ισχύει

2

03-Σεπ-2019

22:05

Dbxupdate.bin

Δεν ισχύει

7,361

12-Σεπ-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16-Σεπ-2019

05:04

Windows 8.1 και Windows Server 2012 R2

Όνομα αρχείου

Κατακερματισμός SHA1

Κατακερματισμός SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Η αγγλική (Ηνωμένες Πολιτείες) έκδοση αυτής της ενημέρωσης λογισμικού εγκαθιστά αρχεία που έχουν τα χαρακτηριστικά που αναφέρονται στον παρακάτω πίνακα.

Όνομα αρχείου

Έκδοση αρχείου

Μέγεθος αρχείου

Ημερομηνία

Ώρα

Dbupdate.bin

Δεν ισχύει

2

25-Σεπ-2019

04:21

Dbxupdate.bin

Δεν ισχύει

7,361

25-Σεπ-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-Σεπ-2019

06:30

Windows Server 2012

Όνομα αρχείου

Κατακερματισμός SHA1

Κατακερματισμός SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Η αγγλική (Ηνωμένες Πολιτείες) έκδοση αυτής της ενημέρωσης λογισμικού εγκαθιστά αρχεία που έχουν τα χαρακτηριστικά που αναφέρονται στον παρακάτω πίνακα. 

Όνομα αρχείου

Έκδοση αρχείου

Μέγεθος αρχείου

Ημερομηνία

Ώρα

Dbupdate.bin

Δεν ισχύει

2

20-Ιουν-2019

00:06

Dbxupdate.bin

Δεν ισχύει

7,361

10-Σεπ-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-Σεπ-2019

04:30

Αναφορές

Ενημερωθείτε σχετικά με την ορολογία που χρησιμοποιεί η Microsoft για την περιγραφή ενημερώσεων λογισμικού.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας