KB4535680: Secure Boot DBX turbevärskendus: 12. jaanuar 2021

Probleem

Ajutine lahendus

Mõni originaalseadmete tootja (OEM) püsivara ei pruugi selle värskenduse installimist lubada.

Selle probleemi lahendamiseks pöörduge oma püsivara OEM-i poole.

Kui BitLocker Rühmapoliitika Konfigureeri TPM-i platvormi valideerimisprofiil UEFI püsivara omakonfiguratsioonide jaoks on lubatud ja POLIITIKA valib PCR7, võib see põhjustada BitLockeri taastevõtme nõudmise mõnes seadmes, kus PCR7 sidumine pole võimalik.

PCR7 sidumise oleku vaatamiseks käivitage administraatoriõigustega Tööriist Microsoft System Information (Msinfo32.exe).

Selle probleemi ajutiseks lahendamiseks tehke enne selle värskenduse juurutamist identimisteabe konfiguratsiooni põhjal ühte järgmistest.

• Seadmes, kus identimisteave gard pole lubatud, käivitage administraatori käsuviibas järgmine käsk BitLockeri peatamiseks ühe taaskäivitamistsükli jaoks:

  Manage-bde –Protectors –Disable C: -RebootCount 1

  
  Seejärel taaskäivitage seade BitLockeri kaitse jätkamiseks.
  
  Märkus Ärge lubage BitLockeri kaitset ilma seadme täiendava taaskäivitamiseta, kuna see tooks kaasa BitLockeri taaste.

• Seadmes, kus on lubatud Credential Guard, võib värskenduse ajal olla mitu taaskäivitamist, mis nõuavad BitLockeri peatamist. BitLockeri peatamiseks kolmeks taaskäivitamistsükliks käivitage administraatori käsuviiba kaudu järgmine käsk. Manage-bde –Protectors –Disable C: -RebootCount 3

  See värskendus peaks süsteemi kaks korda taaskäivitama. BitLockeri kaitse jätkamiseks taaskäivitage seade uuesti.

  Märkus Ärge lubage BitLockeri kaitset ilma täiendava taaskäivitamiseta, kuna see tooks kaasa BitLockeri taaste.

Kui BitLockeri rühmapoliitika sätted on konfigureeritud pärast seda, kui BitLocker on keskkonnas lubatud, võite sisestada BitLockeri taasteteenuse. Bitlockeri taastet saab käivitada järgmiste Rühmapoliitika sätete tõttu.

• Jõustada PCR-i sidumiste selgesõnaline konfigureerimine , mis erineb BitLockeri poolt juba valitud konfiguratsioonist.

• GP "Allow Secure Boot for integrity validation" konfigureerimine, et keelata turvaline algkäivitus tervikluse valideerimiseks, kuid BitLocker kasutab juba turvalist algkäivitust (PCR7).

• Rühmapoliitika konfigureerimine valikule Nõua käivitamisel täiendavat autentimist, kuid BitLocker on konfigureeritud enne selle rühmapoliitika juurutamist.

Kui see värskendus on juba rakendatud ja seade pole taaskäivitatud, peatage BitLocker ja taaskäivitage pärast alltoodud juhiseid.

• Kui rühmapoliitika kaudu on määratud selge PCR-i konfiguratsioon või kui poliitika on konfigureeritud tervikluse valideerimiseks turvalise algkäivituse abil keelama, peatage GP konfliktide kõrvaldamine BitLockeriga ja jätkake seda.

• Kui käivituspoliitika Nõua täiendavat autentimist on konfigureeritud nõudma TPM-i ja PIN-koodi, käivitage halduskäsuviiba kaudu järgmine käsk ja sisestage soovitud PIN-kood: manage-bde -protectors -add c: -TPMAndPin

• Kui poliitika Nõua käivitamisel täiendavat autentimist on konfigureeritud nõudma käivitusvõtit, käivitage käivitusvõtme loomiseks järgmine käsk: manage-bde -protectors -add c: -tpmandstartupkey <välise võtme kataloogi tee>

• Kui poliitika Nõua käivitamisel täiendavat autentimist on konfigureeritud nõudma käivitusvõtit ja kinnitust, käivitage kinnita ja käivitusvõtme loomiseks käsuviiba Haldus käsuviiba kaudu järgmine käsk. Viiba kuvamisel sisestage soovitud PIN-kood: manage-bde -protectors -add c: -tpmandpinandstartupkey <välise võtme kataloogi tee>

Seda värskendust ei pruugita installida seadmetesse, kus on allkirjastamata, mitte-Microsoft bootx64.efi algkäivitushalduri fail.  Võimalik, et seda värskendust pakutakse ja antakse uuesti Windows Update kaudu, kuid seda ei pruugita installida.  Kui proovite seda värskendust käsitsi installida, võidakse kuvada tõrketeade "Mõnda värskendust ei installitud" (kb4565680).  Samuti saate kontrollida CBS-i logifailist asukohas %systemroot%\logs\cbs järgmist tõrget: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): tõrge TRUST_E_NOSIGNATURE pärinevad funktsioonist Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Töötame lahenduse leidmise nimel ja prognoosi kohaselt on see märtsi lõpus saadaval Windows 10 versiooni 1909 Windows 10 versiooni 2004 ja Windows 10 versiooni 20H2 jaoks.  Ülejäänud toetatud Windowsi versioonid on hinnanguliselt saadaval aprilli keskel.

Täiendavaid juhiseid enne eraldusvõime väljaandmist võtke ühendust oma seadme tootjaga (OEM).