Produits concernés

Cette mise à jour de sécurité s’applique uniquement aux versions Windows suivantes :

  • Windows Server 2012 x64 bits

  • Windows Server 2012 R2 x64 bits

  • Windows 8.1 x64 bits

  • Windows Server 2016 x64 bits

  • Windows Server 2019 x64 bits

  • Windows 10, version 1607 x64 bits

  • Windows 10, version 1803 x64 bits

  • Windows 10, version 1809 x64 bits

  • Windows 10, version 1909 x64 bits 

Résumé

Cette mise à jour de sécurité améliore le DBX de démarrage sécurisé pour les versions Windows qui sont répertoriées dans la section « S’applique à ». Les modifications principales sont notamment les suivantes : 

  • Windows microprogramme basé sur UEFI (Unified Extensible Firmware Interface) peut s’exécuter avec le démarrage sécurisé activé. La base de données DBX (Secure Boot Forbidden Signature Database) empêche le chargement des modules UEFI. Cette mise à jour ajoute des modules au DBX.

    Il existe une vulnérabilité de la fonctionnalité de sécurité qui contourne le démarrage sécurisé. Un pirate informatique qui a réussi à exploiter la vulnérabilité risque de contourner le démarrage sécurisé et le chargement des logiciels non sécurisés.

    Cette mise à jour de sécurité résout la vulnérabilité en ajoutant les signatures des modules UEFI vulnérables connus au DBX.

Pour en savoir plus sur cette faille de sécurité, consultez l’avis CVE-2020-0689 | Vulnérabilité de contournement de la fonctionnalité de sécurité dans le démarrage sécurisé de Microsoft.

Problèmes connus

Problème

Solution de contournement 

Certains microprogrammes du fabricant d’ordinateurs OEM (Original Equipment Manufacturer) peuvent ne pas autoriser l’installation de cette mise à jour.

Pour résoudre ce problème, contactez votre OEM de microprogramme.

Si une stratégie de groupe BitLocker Configurez le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives est activée et que PCR7 est sélectionné par stratégie, la clé de récupération BitLocker est requise sur certains appareils pour lequel la liaison PCR7 n’est pas possible.

Pour afficher l’état de liaison du PCR7, exécutez l’outil Microsoft System Information (Msinfo32.exe) avec des autorisations d’administration.

Pour contourner ce problème, avant de déployer cette mise à jour, vous devez d’après la configuration d’Credential Guard, faire l’une des solutions suivantes :

  • Sur un appareil sur qui n’a pas d’informations d’identification Gard activées, exécutez la commande suivante à partir d’une invite de commandes Administrateur pour suspendre BitLocker pour un cycle de redémarrage :

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Redémarrez ensuite l’appareil pour reprendre la protection BitLocker sécurité.

    Remarque N’activez pas BitLocker protection sans redémarrer l’appareil de manière supplémentaire, car cela entraînerait BitLocker récupération.

  • Sur un appareil sur qui Credential Guard est activé, plusieurs redémarrages de la mise à jour peuvent nécessiter BitLocker suspension. Exécutez la commande suivante à partir d’une invite de commandes Administrateur pour suspendre BitLocker trois cycles de redémarrage. Manage-bde –S –Disable C: -RebootCount 3

    Cette mise à jour devrait redémarrer le système à deux reprises. Redémarrez de nouveau l’appareil pour reprendre BitLocker protection.

    Remarque N’activez pas BitLocker protection de l’utilisateur sans redémarrage supplémentaire, car cela entraînerait BitLocker récupération.

Vous pouvez entrer une récupération Bitlocker si des conflits BitLocker paramètres de stratégie de groupe sont configurés une fois que BitLocker été activés dans l’environnement. La récupération Bitlocker peut être déclenchée en raison de l’un des paramètres de stratégie de groupe ci-dessous :

  • Configuration explicite obligatoire des liaisons DE PCR qui est différente de ce qui est déjà choisi par BitLocker.

  • Configuration du programme GP « Autoriser le démarrage sécurisé pour lavalidationde l’intégrité » pour autoriser le démarrage sécurisé pour la validation de l’intégrité, mais BitLocker utilise déjà un démarrage sécurisé (PCR7).

  • Configuration d’une stratégie de groupe de manière à exiger une authentification supplémentaire au démarrage, BitLocker a été configuré avant de déployer cette stratégie de groupe.

Si cette mise à jour a déjà été appliquée et que l’appareil n’a pas redémarré, suspendez l’BitLocker puis redémarrez après avoir suivi les étapes suivantes :

  • Si une configuration PCR explicite a été définie par le biais d’une stratégie de groupe ou d’une stratégie est configurée pour ne pas utiliser le démarrage sécurisé pour la validation de l’intégrité, suspendez et reprendre la BitLocker pour effacer les conflits de gp.

  • Si la stratégie Exiger une authentification supplémentaire pendant le démarrage est configurée de manière à exiger la saisie TPM et le code confidentiel, exécutez la commande suivante à partir d’une invite de commandes d’administration, puis entrez le code confidentiel souhaité : manage-bde -général -add c: -TPMAndPin

  • Si la stratégie Exiger une authentification supplémentaire pendant la stratégie de démarrage est configurée de manière à nécessiter une clé de démarrage, exécutez la commande suivante pour créer la clé de démarrage : manage-bde -contrôles -add c: -tpmandstartupkey <path to external key directory>

  • Si la stratégie Exiger une authentification supplémentaire pendant le démarrage est configurée de manière à exiger la touche de démarrage et l’épingler, exécutez la commande suivante de l’invite de commandes Administrateur pour créer Épingler et clé de démarrage. Lorsque vous y est invité, entrez le code confidentiel souhaité : manage-bde -rôles -add c: -tpmandpinandstartkey <path to external key directory>

Il est possible que cette mise à jour ne s’installe pas sur les appareils dont le fichier de démarrage non Microsoft bootx64.efi n’est pas signé.  Cette mise à jour peut être proposée et réinstallée via Windows Mise à jour, mais n’est peut-être pas installée.  Lorsque vous essayez d’installer cette mise à jour manuellement, le message d’erreur « Certaines mises à jour n’ont pas été installées » peut s’insérez dans la liste KB4565680.  Vous pouvez également vérifier l’erreur suivante dans le fichier journal LOG DANS %systemroot%\logs\souhaitez que l’erreur suivante se soit produite : 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.correcte(277) : TRUST_E_NOSIGNATURE d’erreur provient de la fonction Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Nous travaillons à une résolution et estimons qu’une solution sera disponible pour Windows 10, version 1909, Windows 10, version 2004 et Windows 10, version 20H2 fin mars.  Nous estimons qu’Windows autres versions de la version prise en charge disposent d’une solution disponible mi-avril.

Pour obtenir des instructions supplémentaires avant de publier la résolution, contactez le fabricant de votre appareil (OEM).

Comment obtenir cette mise à jour

Méthode 1 : Windows Update 

Cette mise à jour est disponible via Windows Update. Elle sera téléchargée et installée automatiquement.  

Méthode 2 : Catalogue Microsoft Update 

Pour obtenir le package autonome pour cette mise à jour, allez sur le site web du catalogue de mises à jour Microsoft.

Méthode 3 : Windows Server Update Services

Cette mise à jour est également disponible par le biais de Windows Server Update Services (WSUS).

Conditions préalables

Assurez-vous que vous avez installé la dernière mise à jour de la pile de maintenance. Pour plus d’informations sur la dernière version du système d’exploitation SSU pour votre système d’exploitation, voir ADV990001 | Dernières mises à jour de la pile de maintenance.

Informations sur le redémarrage 

Votre appareil n’a pas à redémarrer lorsque vous appliquez cette mise à jour. Si vous avez Windows Defender Credential Guard (Mode de sécurité virtuelle) activé, votre appareil redémarrera deux fois.

Informations sur le remplacement de la mise à jour 

Cette mise à jour ne remplace aucune mise à jour déjà publiée.

Informations sur les fichiers

Windows 10, version 1909 

File name

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.

File name

File size

Date

Heure

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

1,368

23-sep-2019

23:13

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

2,840

23-sep-2019

23:13

Tpmtasks.dll

3,339

23-sep-2019

23:13

Tpmtasks.dll

2,892

23-sep-2019

23:13

Windows 10, version 1809 et Windows Server 2019

File name

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.

File name

File size

Date

Heure

Dbupdate.bin

46

25-sep-2019

01:14

Dbxupdate.bin

1,368

25-sep-2019

01:14

Dbupdate.bin

46

25-sep-2019

01:14

Dbxupdate.bin

2,840

25-sep-2019

01:14

Tpmtasks.dll

1,998

25-sep-2019

01:14

Tpmtasks.dll

1,568

25-sep-2019

01:14

Windows 10, version 1803

File name

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous.

File name

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

3

30 octobre 2017

01:01

Dbxupdate.bin

Non applicable

7,361

10-sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10-sep-2019

03:55

Windows 10, version 1607 et Windows Server 2016

File name

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous. 

File name

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

2

03-Sep-2019

22:05

Dbxupdate.bin

Non applicable

7,361

12-sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16-sep-2019

05:04

Windows 8.1 et Windows Server 2012 R2

File name

Hachage SHA-1

Hachage SHA-256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.

File name

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

2

25-sep-2019

04:21

Dbxupdate.bin

Non applicable

7,361

25-sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-sep-2019

06:30


Windows Server 2012

File name

Hachage SHA-1

Hachage SHA-256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous. 

File name

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

2

20-juin-2019

06:00

Dbxupdate.bin

Non applicable

7,361

10-sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-sep-2019

04:30

Références

En savoir plus à propos de la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la traduction ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions pour vos commentaires.

×