Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

TÄRKEÄÄ Tämän artikkelin korvaa KB5012170: Suojatun käynnistyksen DBX suojauspäivitys.

Koskee seuraavia:

Tämä suojauspäivitys koskee vain seuraavia Windows-versioita:

  • Windows Server 2012 x64-bittinen

  • Windows Server 2012 R2 x64-bittinen

  • Windows 8,1 x64-bittinen

  • Windows Server 2016 x64-bittinen

  • Windows Server 2019 x64-bittinen

  • Windows 10, versio 1607 x64-bittinen

  • Windows 10, versio 1803 x64-bittinen

  • Windows 10, versio 1809 x64-bittinen

  • Windows 10, versio 1909 x64-bittinen 

Yhteenveto

Tämä suojauspäivitys parantaa suojatun käynnistyksen DBX:ää tuetuille Windows-versioille, jotka on lueteltu "Koskee seuraavia" -osiossa. Seuraavassa luetellaan tärkeimpiä muutoksia: 

  • Windows-laitteet, joissa on Unified Extensible Firmware Interface (UEFI) -pohjainen laiteohjelmisto, voidaan suorittaa suojatun käynnistyksen ollessa käytössä. Suojattu käynnistyksen kielletty allekirjoitustietokanta (DBX) estää UEFI-moduulien lataamisen. Tämä päivitys lisää moduulit DBX:lle.

    Suojatussa käynnistyksessä on tietoturvaominaisuuden ohitushaavoittuvuus. Haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä saattaa ohittaa suojatun käynnistyksen ja ladata ei-luotetut ohjelmistot.

    Tämä suojauspäivitys korjaa haavoittuvuuden lisäämällä tunnettujen haavoittuvassa asemassa olevien UEFI-moduulien allekirjoitukset DBX:een.

Lisätietoja tästä tietoturva-aukosta on artikkelissa CVE-2020-0689 | Microsoftin suojatun käynnistyksen suojausominaisuuden ohitushaavoittuvuus.

Tunnetut ongelmat

Ongelma

Vaihtoehtoinen menetelmä

Jotkin alkuperäiset laitevalmistajan laiteohjelmistot eivät ehkä salli tämän päivityksen asentamista.

Voit ratkaista tämän ongelman ottamalla yhteyttä laiteohjelmiston alkuperäiseen laitevalmistajaan.

Jos BitLocker ryhmäkäytäntö Määritä TPM-ympäristön kelpoisuustarkistusprofiili alkuperäisille UEFI-laiteohjelmistomäärityksille on otettu käyttöön ja PCR7 on valittu käytännöllä, se voi johtaa siihen, että BitLocker-palautusavainta tarvitaan joissakin laitteissa, joissa PCR7-sidonta ei ole mahdollista.

Voit tarkastella PCR7-sidonnan tilaa suorittamalla Microsoftin järjestelmätietotyökalun (Msinfo32.exe) järjestelmänvalvojan oikeuksin.

Voit kiertää ongelman tekemällä jonkin seuraavista tunnistetietosuojan määritysten perusteella ennen tämän päivityksen käyttöönottoa:

  • Jos laitteessa ei ole Credential Gardia käytössä, suorita seuraava komento Järjestelmänvalvojan komentokehotteesta, jos haluat keskeyttää BitLockerin 1 uudelleenkäynnistysjakson ajan:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Käynnistä sitten laite uudelleen ja jatka BitLocker-suojausta.

    Huomautus Älä ota BitLocker-suojausta käyttöön käynnistämättä laitetta uudelleen, sillä se johtaisi BitLocker-palautukseen.

  • Laitteessa, jossa on Credential Guard käytössä, päivityksen aikana voi olla useita uudelleenkäynnistyksiä, jotka edellyttävät BitLockerin keskeyttämistä. Suorita seuraava komento Järjestelmänvalvojan komentokehotteesta, jos haluat keskeyttää BitLockerin kolme uudelleenkäynnistysjaksoa. Manage-bde –Protectors –Disable C: -RebootCount 3

    Tämän päivityksen odotetaan käynnistävän järjestelmän uudelleen kaksi kertaa. Käynnistä laite uudelleen ja jatka BitLocker-suojausta.

    Huomautus Älä ota BitLocker-suojausta käyttöön käynnistämättä sitä uudelleen, sillä se johtaisi BitLocker-palautukseen.

Voit siirtyä Bitlocker-palautukseen, jos ristiriitaiset BitLocker-ryhmäkäytäntöasetukset määritetään sen jälkeen, kun BitLocker on otettu käyttöön ympäristössä. Bitlocker-palautus voidaan käynnistää jonkin alla olevan ryhmäkäytäntö asetuksen vuoksi:

Jos tämä päivitys on jo otettu käyttöön eikä laite ole käynnistynyt uudelleen, keskeytä BitLocker ja käynnistä se uudelleen seuraavien ohjeiden mukaisesti:

  • Jos eksplisiittinen PCR-määritys on määritetty ryhmäkäytännön avulla tai käytäntö on määritetty hylkäämään suojatun käynnistyksen käyttäminen eheyden tarkistamista varten, keskeytä ja jatka BitLockeria gp-ristiriitojen poistamiseksi.

  • Jos Edellytä lisätodennusta käynnistyksen aikana -käytäntö on määritetty edellyttämään TPM- ja PIN-turvapiiriä, suorita seuraava komento Hallinta-komentokehotteesta ja anna haluamasi PIN-koodi: manage-bde -protectors -add c: -TPMAndPin

  • Jos Edellytä lisätodennusta käynnistyksen aikana -käytäntö on määritetty edellyttämään käynnistysavainta, luo käynnistysavain suorittamalla seuraava komento: manage-bde -protectors -add c: -tpmandstartupkey <polku ulkoisen avaimen hakemistoon>

  • Jos Edellytä lisätodennusta käynnistyksen aikana -käytäntö on määritetty edellyttämään käynnistysavainta ja pin-koodia, luo Kiinnitä- ja käynnistysavain suorittamalla seuraava komento Hallinta komentokehotteesta. Anna pyydettäessä haluamasi PIN-koodi: manage-bde -protectors -add c: -tpmandpinandstartupkey <polku ulkoisen avaimen hakemistoon>

Tämä päivitys ei ehkä asennu laitteisiin, joissa on allekirjoittamaton, muu kuin Microsoft bootx64.efi -käynnistyksen hallintatiedosto.  Tämä päivitys voidaan tarjota ja asentaa uudelleen Windows Update kautta, mutta sitä ei ehkä asenneta.  Kun yrität asentaa tämän päivityksen manuaalisesti, saatat saada virhesanoman KB4565680 "Joitakin päivityksiä ei ole asennettu".  Voit myös tarkistaa CBS-lokitiedoston kohteessa %systemroot%\logs\cbs seuraavan virheen vuoksi: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Virhe TRUST_E_NOSIGNATURE peräisin funktiosta Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Kehitämme parhaillaan ratkaisua ja arvioimme, että ratkaisu on saatavilla Windows 10, versiolle 1909, Windows 10, versiolle 2004 ja Windows 10, versiolle 20H2 maaliskuun lopulla.  Jäljellä olevien tuettujen Windows-versioiden arvioidaan sisältävän ratkaisun huhtikuun puolivälissä.

Jos haluat lisäohjeita ennen tarkkuuden julkaisua, ota yhteyttä laitteen valmistajaan (OEM).

Tämän päivityksen hankkiminen

Tapa 1: Windows Update 

Tämä päivitys on saatavilla Windows Updatesta. Se ladataan ja asennetaan automaattisesti.  

Tapa 2: Microsoft Update -luettelo 

Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta.

Tapa 3: Windows Server Update Services

Tämä päivitys on myös saatavilla Windows Server Update Servicesistä (WSUS).

Edellytykset

Varmista, että olet asentanut uusimman ylläpitopinon päivityksen (SSU). Lisätietoja käyttöjärjestelmän uusimmasta SSU:sta on ohjeaiheessa ADV990001 | Uusin ylläpitopino Päivitykset.

Uudelleenkäynnistystiedot 

Laitteen ei tarvitse käynnistyä uudelleen, kun otat tämän päivityksen käyttöön. Jos sinulla on Windows Defender Credential Guard (Virtual Secure Mode) käytössä, laite käynnistyy uudelleen kaksi kertaa.

Päivityksen korvaustiedot 

Tämä päivitys ei korvaa aiemmin julkaistua päivitystä.

Tiedostojen tiedot

Windows 10, versio 1909 

Tiedostonimi

SHA1-hajautusarvo

SHA256-hajautusarvo

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.

Tiedostonimi

Tiedostokoko

Päivän

Kellonaika

Dbupdate.bin

46

23.9.2019

23:13

Dbxupdate.bin

1,368

23.9.2019

23:13

Dbupdate.bin

46

23.9.2019

23:13

Dbxupdate.bin

2,840

23.9.2019

23:13

Tpmtasks.dll

3,339

23.9.2019

23:13

Tpmtasks.dll

2,892

23.9.2019

23:13

Windows 10:n versio 1809 ja Windows Server 2019

Tiedostonimi

SHA1-hajautusarvo

SHA256-hajautusarvo

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA333F5FA5417088372

Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.

Tiedostonimi

Tiedostokoko

Päivän

Kellonaika

Dbupdate.bin

46

25.9.2019

01:14

Dbxupdate.bin

1,368

25.9.2019

01:14

Dbupdate.bin

46

25.9.2019

01:14

Dbxupdate.bin

2,840

25.9.2019

01:14

Tpmtasks.dll

1,998

25.9.2019

01:14

Tpmtasks.dll

1,568

25.9.2019

01:14

Windows 10, versio 1803

Tiedostonimi

SHA1-hajautusarvo

SHA256-hajautusarvo

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Tämän ohjelmistopäivityksen englanti (Yhdysvallat) -versio asentaa tiedostot, jotka sisältävät attribuutit, jotka on lueteltu seuraavissa taulukoissa.

Tiedostonimi

Tiedostoversio

Tiedostokoko

Päivän

Kellonaika

Dbupdate.bin

Ei ole

3

30.10.2017

01:01

Dbxupdate.bin

Ei ole

7,361

10.9.2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10.9.2019

03:55

Windows 10, versio 1607 ja Windows Server 2016

Tiedostonimi

SHA1-hajautusarvo

SHA256-hajautusarvo

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa. 

Tiedostonimi

Tiedostoversio

Tiedostokoko

Päivän

Kellonaika

Dbupdate.bin

Ei ole

2

03-syys-2019

22:05

Dbxupdate.bin

Ei ole

7,361

12.9.2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16.9.2019

05:04

Windows 8.1 ja Windows Server 2012 R2

Tiedostonimi

SHA1-hajautusarvo

SHA256-hajautusarvo

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A787491113838B9990

Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa.

Tiedostonimi

Tiedostoversio

Tiedostokoko

Päivän

Kellonaika

Dbupdate.bin

Ei ole

2

25.9.2019

4.21

Dbxupdate.bin

Ei ole

7,361

25.9.2019

4.21

Tpmtasks.dll

6.3.9600.19501

176,128

25.9.2019

06:30


Windows Server 2012

Tiedostonimi

SHA1-hajautusarvo

SHA256-hajautusarvo

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio asentaa tiedostot, joiden määritteet on lueteltu seuraavassa taulukossa. 

Tiedostonimi

Tiedostoversio

Tiedostokoko

Päivän

Kellonaika

Dbupdate.bin

Ei ole

2

20.6.2019

00:06

Dbxupdate.bin

Ei ole

7,361

10.9.2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25.9.2019

04:30

Lisätietoja

Lue lisätietoja terminologiasta , jota Microsoft käyttää ohjelmistopäivitysten kuvaamiseen.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×