KB4535680: turbevärskenduse for Secure Boot DBX: 12 Jaanuar 2021

Kehtib:

See turvavärskendus rakendub ainult järgmistele Windowsi versioonidele.

  • Windows Server 2012 x64-bitine versioon

  • Windows Server 2012 R2 x64-bitine versioon

  • Windows 8,1 x64-bitine versioon

  • Windows Server 2016 x64-bitine versioon

  • Windows Server 2019 x64-bitine versioon

  • Windows 10, versioon 1607 x64-bitine versioon

  • Windows 10, versioon 1803 x64-bitine versioon

  • Windows 10, versioon 1809 x64-bitine versioon

  • Windows 10, versioon 1909 x64-bitine versioon 

Kokkuvõte

Selle turvavärskenduse korral parandatakse Windowsi jaotises "kehtib järgmiste toodete kohta" loetletud toetatud Windowsi versioonide turbe algkäivituse DBX. Olulisemad muudatused hõlmavad järgmist. 

  • Windowsi seadmed, millel on Unified Extensible Firmware Interface (UEFI) põhinev püsivara, võivad töötada turvalise algkäivituse loaga. Turvaline algkäivituse keelatud signatuuri andmebaas (DBX) takistab UEFI moodulite laadimist. See värskendus lisab DBX-i moodulid.

    Turvalises algkäivituses on turvaelement ümbersõit haavatavust. Ründaja, kes edukalt kasutas haavatavuse, võib ümbersõit Secure Boot ja koormuse ebausaldusväärne tarkvara.

    Selle turvavärskenduse kaudu saate teada, kuidas lisada teadaolevalt haavatavate UEFI-moodulite allkirjad DBX-i.

Lisateavet selle turbe haavatavuse kohta leiate teemast CVE-2020-0689 | Microsoft Secure Boot Security funktsioon ümbersõit haavatavus.

Teadaolevad probleemid

Probleem

Lahendus

Mõni originaalseadmete tootja (OEM) püsivara ei pruugi selle värskenduse installimist lubada.

Probleemi lahendamiseks pöörduge oma püsivara OEM-i poole.

Kui BitLocker Group Policy konfigureerib TPM-i platvormi valideerimise profiili kohalike UEFI-püsivara konfiguratsioonide jaoks ja PCR7 on valitud poliitika järgi, võib selle tulemusena tekkida BitLockeri taastevõti, mida nõutakse mõnes seadmes, kus PCR7 sidumine pole võimalik.

PCR7 siduva oleku vaatamiseks käivitage Microsoft System Information (Msinfo32.exe) administraatoriõigustega tööriist.

Selle probleemi lahendamiseks tehke enne selle värskenduse juurutamist ühte järgmistest mandaadi valvuri konfiguratsioonist.

  • Kui seadmes, millel pole mandaati Gard lubatud, käivitage järgmine käsk administraatori käsuviiba kaudu, et peatada BitLocker for 1 reboot tsükkel.

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Seejärel taaskäivitage seade BitLockeri kaitse jätkamiseks.

    Märkus Ärge lubage BitLockeri kaitset, ilma et peaksite seadet täiendavalt taaskäivitama, kuna see põhjustaks BitLockeri taastamise.

  • Seadmes, kus on lubatud mandaatide valvur, võib selle värskenduse ajal olla mitu taaskäivitust, mis nõuavad BitLockeri peatamist. Käivitage järgmine käsk administraatori käsuviiba kaudu, et peatada BitLocker 3 taaskäivitada tsüklit. Manage-BDE – kaitsjad – keelake C:-RebootCount 3

    See värskendus peaks süsteemi kaks korda uuesti käivitama. BitLockeri kaitsmise jätkamiseks taaskäivitage seade uuesti.

    Märkus. Ärge lubage BitLockeri kaitset ilma täiendava taaskäivitamiseta, kuna see põhjustaks BitLockeri taastamise.

Kui BitLockeri rühmapoliitika sätted on konfigureeritud pärast seda, kui BitLocker on keskkonnas sisse lülitatud, võite sisestada BitLockeri taastamise. BitLockeri taastamise saab käivitada rühmapoliitika mõne rühmapoliitika sätete tõttu.

Kui see värskendus on juba rakendatud ja seade pole uuesti käivitunud, peatage BitLocker ja taaskäivitage pärast alljärgnevaid juhiseid.

  • Kui rühmapoliitika või poliitika abil on määratud selgesõnaline PCR-i konfiguratsioon, on konfigureeritud lubama turvalist algkäivitust terviklikkuse kinnitamiseks, peatada ja jätkata BitLockerit, et eemaldada GP konfliktid.

  • Kui suvand nõua Lisaautentimist käivitamise poliitika ajal on konfigureeritud nii, et see NÕUAks TPM-i ja PIN-koodi, käivitage järgmine käsk haldus Käsuviip ja sisestage soovitud PIN: Manage-BDE-Protectors-Add c:-TPMAndPin

  • Kui rakenduse käivitamise poliitika korral on konfigureeritud nõudma täiendavat autentimist , siis käivitage käivitusvõti käivitamiseks järgmine käsk: Manage-BDE-Protectors-Add c:-tpmandstartupkey <tee välise võtme kataloogi>

  • Kui suvand nõua Lisaautentimist käivitamise poliitika ajal on konfigureeritud nõudma käivitusvõti ja PIN-koodi, käivitage PIN-koodi ja käivitusvõti loomiseks järgmine käsk administraatori Käsuviip. Kui küsitakse, sisestage soovitud PIN-kood: Manage-BDE-Protectors-Add c: -tpmandpinandstartupkey <tee välise võtme kataloogi>

Seda värskendust ei pruugita installida seadmetes, mille allkirjastamata, mitte-Microsoft bootx64. EFI boot Manageri faili.  Seda värskendust võidakse pakkuda ja pakkuda uuesti Windows Update ' i kaudu, kuid seda ei pruugita installida.  Kui proovite seda värskendust käsitsi installida, võidakse kuvada tõrketeade, "mõnda värskendust ei installitud" KB4565680 loend.  CBS logifaili saate vaadata ka%SystemRoot%\logs\cbs järgmise tõrke korral. 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp (277): tõrge TRUST_E_NOSIGNATURE pärineb funktsiooni Windows:: WCP:: SecureBoot:: BasicInstaller:: Install Expression: ApplySecureBootUpdate (dwAvailableUpdates)

Töötame lahendusega ja prognoosime, et lahendus on saadaval opsüsteemis Windows 10, versioon 1909, Windows 10, versioon 2004 ja Windows 10, versioon 20H2 märtsi lõpus.  Ülejäänud Windowsi toetatud versioonid on hinnanguliselt saadaval aprilli keskel.

Täiendavate juhiste saamiseks enne otsuse vabastamist võtke ühendust oma seadme tootjaga (OEM).

Selle värskenduse hankimine

1. meetod: Windows Update 

See värskendus on saadaval Windows Update ' i kaudu. See laaditakse alla ja installitakse automaatselt.  

Meetod 2: Microsoft Update ' i kataloog 

Selle värskenduse eraldiseisva paketi saamiseks minge Microsofti värskenduste kataloogi veebisaidile.

3. meetod: Windows Server Update Services

See värskendus on saadaval ka Windows Server Update Services (WSUS) kaudu.

Eeltingimused

Veenduge, et olete installinud viimase teeninduse pinu värskenduse (SSU). Lisateavet operatsioonisüsteemi uusimate SSU kohta leiate teemast ADV990001 | Uusim teeninduse pinu värskendused.

Teabe taaskäivitamine 

Teie seade ei pea selle värskenduse rakendamisel uuesti käivitama. Kui teil on lubatud Windows Defenderi mandaatide valvur (Virtual Secure mode), taaskäivitub teie seade kaks korda.

Asenduse teabe värskendamine 

See värskendus ei asenda varem välja antud värskendusi.

Teave failiteave

Windows 10, versioon 1909 

Failinimi

SHA1 Hash

SHA256 Hash

Windows 10,0-KB4535680-x64. msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Selle tarkvaravärskenduse ingliskeelne (Ameerika Ühendriikide) versioon installib järgmises tabelis loetletud atribuutidega failid.

Failinimi

Failimaht

Kuupäeva

Ajal

Dbupdate. bin

46

23-sept-2019

23:13

Dbxupdate. bin

1 368

23-sept-2019

23:13

Dbupdate. bin

46

23-sept-2019

23:13

Dbxupdate. bin

2 840

23-sept-2019

23:13

Tpmtasks.dll

3 339

23-sept-2019

23:13

Tpmtasks.dll

2 892

23-sept-2019

23:13

Windows 10, versioon 1809 ja Windows Server 2019

Failinimi

SHA1 Hash

SHA256 Hash

Windows 10,0-KB4535680-x64. msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Selle tarkvaravärskenduse ingliskeelne (Ameerika Ühendriikide) versioon installib järgmises tabelis loetletud atribuutidega failid.

Failinimi

Failimaht

Kuupäeva

Ajal

Dbupdate. bin

46

25-sept-2019

01:14

Dbxupdate. bin

1 368

25-sept-2019

01:14

Dbupdate. bin

46

25-sept-2019

01:14

Dbxupdate. bin

2 840

25-sept-2019

01:14

Tpmtasks.dll

1 998

25-sept-2019

01:14

Tpmtasks.dll

1 568

25-sept-2019

01:14

Windows 10, versioon 1803

Failinimi

SHA1 Hash

SHA256 Hash

Windows 10,0-KB4535680-x64. msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Selle tarkvaravärskenduse ingliskeelne (Ameerika Ühendriikide) versioon installib järgmistes tabelites loetletud atribuutidega failid.

Failinimi

Versioon

Failimaht

Kuupäeva

Ajal

Dbupdate. bin

Pole rakendatav

3

30 – Oct – 2017

01:01

Dbxupdate. bin

Pole rakendatav

7 361

10-sept-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10-sept-2019

03:55

Windows 10, versioon 1607 ja Windows Server 2016

Failinimi

SHA1 Hash

SHA256 Hash

Windows 10,0-KB4535680-x64. msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Selle tarkvaravärskenduse ingliskeelne (Ameerika Ühendriikide) versioon installib järgmises tabelis loetletud atribuutidega failid. 

Failinimi

Versioon

Failimaht

Kuupäeva

Ajal

Dbupdate. bin

Pole rakendatav

2

03-SEP-2019

22:05

Dbxupdate. bin

Pole rakendatav

7 361

12-sept-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44 032

16-SEP-2019

05:04

Windows 8,1 ja Windows Server 2012 R2

Failinimi

SHA1 Hash

SHA256 Hash

Windows 8.1-KB4535680-x64. msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Selle tarkvaravärskenduse ingliskeelne (Ameerika Ühendriikide) versioon installib järgmises tabelis loetletud atribuutidega failid.

Failinimi

Versioon

Failimaht

Kuupäeva

Ajal

Dbupdate. bin

Pole rakendatav

2

25-sept-2019

04:21

Dbxupdate. bin

Pole rakendatav

7 361

25-sept-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176 128

25-sept-2019

06:30


Windows Server 2012

Failinimi

SHA1 Hash

SHA256 Hash

Windows8-RT-KB4535680-x64. msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Selle tarkvaravärskenduse ingliskeelne (Ameerika Ühendriikide) versioon installib järgmises tabelis loetletud atribuutidega failid. 

Failinimi

Versioon

Failimaht

Kuupäeva

Ajal

Dbupdate. bin

Pole rakendatav

2

20-Jun-2019

00:06

Dbxupdate. bin

Pole rakendatav

7 361

10-sept-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95 232

25-sept-2019

04:30

Viited

Siit leiate teavet selle kohta, mida Microsoft kasutab tarkvaravärskenduste kirjeldamiseks.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×