TÄRKEÄÄ Tämän artikkelin korvaa KB5012170: Suojatun käynnistyksen DBX suojauspäivitys.
Koskee seuraavia:
Tämä suojauspäivitys koskee vain seuraavia Windows-versioita:
-
Windows Server 2012 x64-bittinen
-
Windows Server 2012 R2 x64-bittinen
-
Windows 8,1 x64-bittinen
-
Windows Server 2016 x64-bittinen
-
Windows Server 2019 x64-bittinen
-
Windows 10, versio 1607 x64-bittinen
-
Windows 10, versio 1803 x64-bittinen
-
Windows 10, versio 1809 x64-bittinen
-
Windows 10, versio 1909 x64-bittinen
Yhteenveto
Tämä suojauspäivitys parantaa suojatun käynnistyksen DBX:ää tuetuille Windows-versioille, jotka on lueteltu "Koskee seuraavia" -osiossa. Seuraavassa luetellaan tärkeimpiä muutoksia:
-
Windows-laitteet, joissa on Unified Extensible Firmware Interface (UEFI) -pohjainen laiteohjelmisto, voidaan suorittaa suojatun käynnistyksen ollessa käytössä. Suojattu käynnistyksen kielletty allekirjoitustietokanta (DBX) estää UEFI-moduulien lataamisen. Tämä päivitys lisää moduulit DBX:lle.
Suojatussa käynnistyksessä on tietoturvaominaisuuden ohitushaavoittuvuus. Haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä saattaa ohittaa suojatun käynnistyksen ja ladata ei-luotetut ohjelmistot.
Tämä suojauspäivitys korjaa haavoittuvuuden lisäämällä tunnettujen haavoittuvassa asemassa olevien UEFI-moduulien allekirjoitukset DBX:een.
Lisätietoja tästä tietoturva-aukosta on artikkelissa CVE-2020-0689 | Microsoftin suojatun käynnistyksen suojausominaisuuden ohitushaavoittuvuus.
Tunnetut ongelmat
Ongelma |
Vaihtoehtoinen menetelmä |
Jotkin alkuperäiset laitevalmistajan laiteohjelmistot eivät ehkä salli tämän päivityksen asentamista. |
Voit ratkaista tämän ongelman ottamalla yhteyttä laiteohjelmiston alkuperäiseen laitevalmistajaan. |
Jos BitLocker ryhmäkäytäntö Määritä TPM-ympäristön kelpoisuustarkistusprofiili alkuperäisille UEFI-laiteohjelmistomäärityksille on otettu käyttöön ja PCR7 on valittu käytännöllä, se voi johtaa siihen, että BitLocker-palautusavainta tarvitaan joissakin laitteissa, joissa PCR7-sidonta ei ole mahdollista. Voit tarkastella PCR7-sidonnan tilaa suorittamalla Microsoftin järjestelmätietotyökalun (Msinfo32.exe) järjestelmänvalvojan oikeuksin. |
Voit kiertää ongelman tekemällä jonkin seuraavista tunnistetietosuojan määritysten perusteella ennen tämän päivityksen käyttöönottoa:
|
Voit siirtyä Bitlocker-palautukseen, jos ristiriitaiset BitLocker-ryhmäkäytäntöasetukset määritetään sen jälkeen, kun BitLocker on otettu käyttöön ympäristössä. Bitlocker-palautus voidaan käynnistää jonkin alla olevan ryhmäkäytäntö asetuksen vuoksi:
|
Jos tämä päivitys on jo otettu käyttöön eikä laite ole käynnistynyt uudelleen, keskeytä BitLocker ja käynnistä se uudelleen seuraavien ohjeiden mukaisesti:
|
Tämä päivitys ei ehkä asennu laitteisiin, joissa on allekirjoittamaton, muu kuin Microsoft bootx64.efi -käynnistyksen hallintatiedosto. Tämä päivitys voidaan tarjota ja asentaa uudelleen Windows Update kautta, mutta sitä ei ehkä asenneta. Kun yrität asentaa tämän päivityksen manuaalisesti, saatat saada virhesanoman KB4565680 "Joitakin päivityksiä ei ole asennettu". Voit myös tarkistaa CBS-lokitiedoston kohteessa %systemroot%\logs\cbs seuraavan virheen vuoksi: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Virhe TRUST_E_NOSIGNATURE peräisin funktiosta Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
Kehitämme parhaillaan ratkaisua ja arvioimme, että ratkaisu on saatavilla Windows 10, versiolle 1909, Windows 10, versiolle 2004 ja Windows 10, versiolle 20H2 maaliskuun lopulla. Jäljellä olevien tuettujen Windows-versioiden arvioidaan sisältävän ratkaisun huhtikuun puolivälissä. Jos haluat lisäohjeita ennen tarkkuuden julkaisua, ota yhteyttä laitteen valmistajaan (OEM). |
Tämän päivityksen hankkiminen
Tapa 1: Windows Update
Tämä päivitys on saatavilla Windows Updatesta. Se ladataan ja asennetaan automaattisesti.
Tapa 2: Microsoft Update -luettelo
Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta.
Tapa 3: Windows Server Update Services
Tämä päivitys on myös saatavilla Windows Server Update Servicesistä (WSUS).
Edellytykset
Varmista, että olet asentanut uusimman ylläpitopinon päivityksen (SSU). Lisätietoja käyttöjärjestelmän uusimmasta SSU:sta on ohjeaiheessa ADV990001 | Uusin ylläpitopino Päivitykset.
Uudelleenkäynnistystiedot
Laitteen ei tarvitse käynnistyä uudelleen, kun otat tämän päivityksen käyttöön. Jos sinulla on Windows Defender Credential Guard (Virtual Secure Mode) käytössä, laite käynnistyy uudelleen kaksi kertaa.
Päivityksen korvaustiedot
Tämä päivitys ei korvaa aiemmin julkaistua päivitystä.
Tiedostojen tiedot
Windows 10, versio 1909
Tiedostonimi |
SHA1-hajautusarvo |
SHA256-hajautusarvo |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.
Tiedostonimi |
Tiedostokoko |
Päivän |
Kellonaika |
Dbupdate.bin |
46 |
23.9.2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23.9.2019 |
23:13 |
Dbupdate.bin |
46 |
23.9.2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23.9.2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23.9.2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23.9.2019 |
23:13 |
Windows 10:n versio 1809 ja Windows Server 2019
Tiedostonimi |
SHA1-hajautusarvo |
SHA256-hajautusarvo |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA333F5FA5417088372 |
Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.
Tiedostonimi |
Tiedostokoko |
Päivän |
Kellonaika |
Dbupdate.bin |
46 |
25.9.2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25.9.2019 |
01:14 |
Dbupdate.bin |
46 |
25.9.2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25.9.2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25.9.2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25.9.2019 |
01:14 |
Windows 10, versio 1803
Tiedostonimi |
SHA1-hajautusarvo |
SHA256-hajautusarvo |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Tämän ohjelmistopäivityksen englanti (Yhdysvallat) -versio asentaa tiedostot, jotka sisältävät attribuutit, jotka on lueteltu seuraavissa taulukoissa.
Tiedostonimi |
Tiedostoversio |
Tiedostokoko |
Päivän |
Kellonaika |
Dbupdate.bin |
Ei ole |
3 |
30.10.2017 |
01:01 |
Dbxupdate.bin |
Ei ole |
7,361 |
10.9.2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51 712 |
10.9.2019 |
03:55 |
Windows 10, versio 1607 ja Windows Server 2016
Tiedostonimi |
SHA1-hajautusarvo |
SHA256-hajautusarvo |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.
Tiedostonimi |
Tiedostoversio |
Tiedostokoko |
Päivän |
Kellonaika |
Dbupdate.bin |
Ei ole |
2 |
03-syys-2019 |
22:05 |
Dbxupdate.bin |
Ei ole |
7,361 |
12.9.2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16.9.2019 |
05:04 |
Windows 8.1 ja Windows Server 2012 R2
Tiedostonimi |
SHA1-hajautusarvo |
SHA256-hajautusarvo |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A787491113838B9990 |
Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.
Tiedostonimi |
Tiedostoversio |
Tiedostokoko |
Päivän |
Kellonaika |
Dbupdate.bin |
Ei ole |
2 |
25.9.2019 |
4.21 |
Dbxupdate.bin |
Ei ole |
7,361 |
25.9.2019 |
4.21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25.9.2019 |
06:30 |
Windows Server 2012
Tiedostonimi |
SHA1-hajautusarvo |
SHA256-hajautusarvo |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.
Tiedostonimi |
Tiedostoversio |
Tiedostokoko |
Päivän |
Kellonaika |
Dbupdate.bin |
Ei ole |
2 |
20.6.2019 |
00:06 |
Dbxupdate.bin |
Ei ole |
7,361 |
10.9.2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25.9.2019 |
04:30 |
Lisätietoja
Lue lisätietoja terminologiasta , jota Microsoft käyttää ohjelmistopäivitysten kuvaamiseen.