Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

IMPORTANTE Este artículo se sustituye por KB5012170: Actualización de seguridad para DBX de arranque seguro.

Se aplica a

Esta actualización de seguridad se aplica únicamente a las siguientes versiones de Windows:

  • Windows Server 2012 de x64 bits

  • Windows Server 2012 R2 de x64 bits

  • Windows 8.1 de x64 bits

  • Windows Server 2016 de x64 bits

  • Windows Server 2019 de x64 bits

  • Windows 10, versión 1607 de x64 bits

  • Windows 10, versión 1803 x64 bits

  • Windows 10, versión 1809 x64 bits

  • Windows 10, versión 1909 de x64 bits 

Resumen

Esta actualización de seguridad introduce mejoras en el DBX de arranque seguro de las versiones compatibles de Windows que se enumeran en la sección "Se aplica a". Entre los principales cambios se encuentran los siguientes: 

  • Los dispositivos Windows que tengan firmware basado en Unified Extensible Firmware Interface (UEFI) se pueden ejecutar con el arranque seguro habilitado. El Forbidden Signature Database de arranque seguro (DBX) impide que se carguen módulos UEFI. Esta actualización agrega módulos al DBX. Existe una vulnerabilidad de omisión de características de seguridad en el arranque seguro. Un atacante que se aproveche correctamente de la vulnerabilidad podría omitir el arranque seguro y cargar software que no es de confianza. Esta actualización de seguridad soluciona la vulnerabilidad al añadir al DBX las firmas de los módulos UEFI conocidos y vulnerables.

Para obtener más información sobre esta vulnerabilidad de seguridad, consulte CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability.

Problemas conocidos

Incidencia

Solución

Es posible que algunos firmwares de fabricantes de equipos originales (OEM) no permitan la instalación de esta actualización.

Para resolver este problema, póngase en contacto con el OEM del firmware.

Si la directiva de grupo de BitLocker Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware UEFI nativo está habilitada y PCR7 está seleccionado por la directiva, puede que algunos dispositivos en los que el enlace PCR7 no es posible soliciten la clave de recuperación de BitLocker.

Para ver el estado del enlace PCR7, ejecute la herramienta Información del sistema de Microsoft (Msinfo32.exe) con permisos administrativos.

Para solucionar este problema, realice una de las siguientes acciones en función de la configuración de protección de credenciales antes de implementar esta actualización:

  • En un dispositivo que no tenga la protección de credenciales habilitada, ejecute el siguiente comando desde el símbolo del sistema de administrador para suspender BitLocker durante un ciclo de reinicio:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    A continuación, reinicie el dispositivo para reanudar la protección de BitLocker.Nota No habilite la protección de BitLocker sin reiniciar además el dispositivo, ya que no hacerlo daría lugar a la recuperación de BitLocker.

  • En un dispositivo con la protección de credenciales habilitada, puede que haya varios reinicios durante la actualización que requieran que se suspenda BitLocker. Ejecute el siguiente comando desde el símbolo del sistema de administrador para suspender BitLocker durante 3 ciclos de reinicio. Manage-bde –Protectors –Disable C: -RebootCount 3

    Se espera que esta actualización reinicie el sistema dos veces. Reinicie el dispositivo una vez más para reanudar la protección de BitLocker.

    Nota No habilite la protección de BitLocker sin además reiniciarlo, ya que no hacerlo daría lugar a la recuperación de BitLocker.

Puede especificar la recuperación de BitLocker si se configuran configuraciones de directiva de grupo de BitLocker en conflicto después de habilitar BitLocker en el entorno. La recuperación de BitLocker se puede desencadenar debido a cualquiera de las siguientes opciones de configuración de directiva de grupo:

Si esta actualización ya se ha aplicado y el dispositivo no se ha reiniciado, suspenda BitLocker y reinícielo después de seguir estos pasos:

  • Si se ha establecido una configuración de PCR explícita a través de una directiva de grupo o una directiva está configurada para no permitir el uso del arranque seguro para la validación de la integridad, suspenda y reanude BitLocker para borrar los conflictos de GP.

  • Si la directiva Requerir autenticación adicional durante el inicio está configurada para requerir un TPM y PIN, ejecute el siguiente comando desde un símbolo del sistema administrativo e introduzca el PIN deseado: manage-bde -protectors -add c: -TPMAndPin

  • Si la directiva Requerir autenticación adicional durante el inicio está configurada para requerir una clave de inicio, ejecute el siguiente comando para crear la clave de inicio: manage-bde -protectors -add c: -tpmandstartupkey  <path to external key directory>

  • Si la directiva Requerir autenticación adicional durante el inicio está configurada para requerir la clave de inicio y el pin, ejecute el siguiente comando desde el símbolo del sistema de administración para crear el pin y la clave de inicio. Cuando se le solicite, escriba el PIN deseado: manage-bde -protectors -add c: -tpmandpinandstartupkey  <path to external key directory> 

Es posible que esta actualización no se instale en dispositivos con un archivo administrador de arranque bootx64.efi no firmado y que no sea de Microsoft.  Esta actualización se puede ofrecer y volver a realizar a través de Windows Update, pero es posible que no se instale.  Al intentar instalar esta actualización manualmente, es posible que reciba un error. "Algunas actualizaciones no se instalaron" con KB4565680.  También puede comprobar el archivo de registro de CBS en %systemroot%\logs\cbs para ver el siguiente error: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Error TRUST_E_NOSIGNATURE originado en la función Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Estamos trabajando en una resolución y estimamos que habrá una solución disponible para Windows 10, versión 1909, Windows 10, versión 2004 y Windows 10, versión 20H2 a finales de marzo.  Se estima que las versiones compatibles restantes de Windows tendrán una solución disponible a mediados de abril.

Para obtener instrucciones adicionales antes del lanzamiento de la resolución, póngase en contacto con el fabricante del dispositivo (OEM).

Cómo obtener esta actualización

Método 1: Windows Update 

Esta actualización está disponible a través de Windows Update. Se descargará e instalará automáticamente.  

Método 2: Catálogo de Microsoft Update 

Para obtener el paquete independiente para esta actualización, ve al sitio web Catálogo de Microsoft Update.

Método 3: Windows Server Update Services

Esta actualización también está disponible a través de Windows Server Update Services (WSUS).

Requisitos previos

Asegúrese de tener instalada la última actualización de la pila de servicio (SSU). Para obtener más información sobre la actualización de SSU más reciente para su sistema operativo, consulte ADV990001 | Actualizaciones de la pila de mantenimiento más recientes.

Información de reinicio 

No es necesario que reinicie el equipo una vez aplicada esta actualización. Si tiene habilitado Credential Guard de Windows Defender (Modo seguro virtual), el dispositivo se reiniciará dos veces.

Información de reemplazo de actualización 

Esta actualización no reemplaza ninguna otra publicada anteriormente.

Información de archivo

Windows 10, versión 1909 

Nombre de archivo

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Con la versión en inglés (Estados Unidos) de esta actualización de software, se instalan archivos que cuentan con los atributos que se incluyen en la siguiente tabla.

Nombre de archivo

Tamaño de archivo

Fecha

Hora

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

1368

23-Sep-2019

23:13

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

2,840

23-Sep-2019

23:13

Tpmtasks.dll

3339

23-Sep-2019

23:13

Tpmtasks.dll

2892

23-Sep-2019

23:13

Windows 10 versión 1809 y Windows Server 2019

Nombre de archivo

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Con la versión en inglés (Estados Unidos) de esta actualización de software, se instalan archivos que cuentan con los atributos que se incluyen en la siguiente tabla.

Nombre de archivo

Tamaño de archivo

Fecha

Hora

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

1368

25-Sep-2019

01:14

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

2,840

25-Sep-2019

01:14

Tpmtasks.dll

1998

25-Sep-2019

01:14

Tpmtasks.dll

1568

25-Sep-2019

01:14

Windows 10, versión 1803

Nombre de archivo

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Con la versión en inglés (Estados Unidos) de esta actualización de software, se instalan archivos que cuentan con los atributos que se incluyen en las siguientes tablas.

Nombre de archivo

File version

Tamaño de archivo

Fecha

Hora

Dbupdate.bin

No aplicable

3

30-Oct-2017

01:01

Dbxupdate.bin

No aplicable

7361

10-Sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10-Sep-2019

03:55

Windows 10, versión 1607 y Windows Server 2016

Nombre de archivo

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Con la versión en inglés (Estados Unidos) de esta actualización de software, se instalan archivos que cuentan con los atributos que se incluyen en la siguiente tabla. 

Nombre de archivo

File version

Tamaño de archivo

Fecha

Hora

Dbupdate.bin

No aplicable

2

03-Sep-2019

22:05

Dbxupdate.bin

No aplicable

7361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44 032

16-Sep-2019

05:04

Windows 8.1 y Windows Server 2012 R2

Nombre de archivo

Hash SHA1

Hash SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Con la versión en inglés (Estados Unidos) de esta actualización de software, se instalan archivos que cuentan con los atributos que se incluyen en la siguiente tabla.

Nombre de archivo

File version

Tamaño de archivo

Fecha

Hora

Dbupdate.bin

No aplicable

2

25-Sep-2019

21:04

Dbxupdate.bin

No aplicable

7361

25-Sep-2019

21:04

Tpmtasks.dll

6.3.9600.19501

176,128

25-Sep-2019

06:30

Windows Server 2012

Nombre de archivo

Hash SHA1

Hash SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Con la versión en inglés (Estados Unidos) de esta actualización de software, se instalan archivos que cuentan con los atributos que se incluyen en la siguiente tabla. 

Nombre de archivo

File version

Tamaño de archivo

Fecha

Hora

Dbupdate.bin

No aplicable

2

20-Junio-2019

06:00

Dbxupdate.bin

No aplicable

7361

10-Sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-Sep-2019

04:30

Referencias

Obtenga información sobre la terminología que usa Microsoft para describir las actualizaciones de software.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders