Se connecter avec Microsoft
Connectez-vous ou créez un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

IMPORTANT Cet article est remplacé par KB5012170: Correctif de sécurité pour Secure Boot DBX.

S’applique à

Cette mise à jour de sécurité s’applique uniquement aux versions suivantes de Windows :

  • Windows Server 2012 x64

  • Windows Server 2012 R2 x64

  • Windows 8.1 x64

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10, version 1607 x64-bit

  • Windows 10 version 1803 x64

  • Windows 10, version 1809 x64-bit

  • Windows 10, version 1909 x64-bit 

Résumé

Cette mise à jour de sécurité apporte des améliorations à la base DBX de démarrage sécurisé pour les versions Windows prises en charge répertoriées dans la section « S’applique à ». Les modifications principales sont notamment les suivantes : 

  • Les appareils Windows disposant d’un microprogramme UEFI (Unified Extensible Firmware Interface) peuvent fonctionner avec le démarrage sécurisé activé. La base de données de signatures interdites (DBX) du démarrage sécurisé empêche le chargement des modules UEFI. Cette mise à jour ajoute des modules à la base DBX.

    Il existe une vulnérabilité de contournement de la fonctionnalité de sécurité dans le démarrage sécurisé. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner le démarrage sécurisé et charger des logiciels non approuvés.

    Cette mise à jour de sécurité corrige cette vulnérabilité en ajoutant les signatures des modules UEFI vulnérables connus à la base DBX.

Pour en savoir plus sur cette vulnérabilité de sécurité, consultez CVE-2020-0689 | Vulnérabilité du contournement de la fonction de sécurité de Microsoft Secure Boot.

Problèmes connus

Problème

Solution de contournement

Il est possible que certains microprogrammes de fabricants d’ordinateurs (OEM) n’autorisent pas l’installation de cette mise à jour.

Pour résoudre ce problème, contactez le fabricant OEM du microprogramme.

Si la stratégie de groupe BitLocker Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif est activée et que PCR7 est sélectionné par stratégie, la clé de récupération BitLocker peut être requise sur certains appareils où la liaison PCR7 est impossible.

Pour afficher le statut de liaison PCR7, exécutez l’outil Informations système de Microsoft (Msinfo32.exe) avec des autorisations d’administration.

Pour contourner ce problème, effectuez l’une des opérations suivantes en fonction de la configuration Credential Gard avant de déployer cette mise à jour :

  • Sur un appareil où Credential Gard n’est pas activé, exécutez la commande suivante à partir d’une invite de commandes exécutée en tant qu’administrateur afin de suspendre BitLocker pour un cycle de redémarrage :

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Ensuite, redémarrez l’appareil pour reprendre la protection BitLocker.

    Remarque N’activez pas la protection BitLocker sans redémarrer également l’appareil, car cela entraînerait une récupération BitLocker.

  • Sur un appareil où Credential Gard est activé, il peut y avoir plusieurs redémarrages au cours de la mise à jour qui nécessitent la suspension de BitLocker. Exécutez la commande suivante à partir d’une invite de commandes exécutée en tant qu’administrateur pour suspendre BitLocker pour 3 cycles de redémarrage. Manage-bde –Protectors –Disable C: -RebootCount 3

    Cette mise à jour devrait entraîner deux redémarrages du système. Redémarrez l’appareil une fois de plus pour reprendre la protection BitLocker.

    Remarque N’activez pas la protection BitLocker sans redémarrer en plus, car cela entraînerait une récupération BitLocker.

Vous pouvez entrer dans la récupération BitLocker si les paramètres de stratégie de groupe BitLocker en conflit sont configurés après l’activation de BitLocker dans l’environnement. La récupération Bitlocker peut être déclenchée en raison de l’un des paramètres stratégie de groupe ci-dessous :

Si cette mise à jour a déjà été appliquée et que l’appareil n’a pas redémarré, suspendez BitLocker et redémarrez après avoir suivi les étapes ci-dessous :

  • Si une configuration PCR explicite a été définie par le biais d’une stratégie de groupe ou si une stratégie est configurée pour interdire l’utilisation du démarrage sécurisé pour la validation de l’intégrité, suspendez et reprenez BitLocker pour effacer les conflits de stratégie de groupe.

  • Si la stratégieExiger une authentification supplémentaire au démarrage est configurée pour exiger le module de plateforme sécurisée et le code confidentiel, exécutez la commande suivante à partir d’une invite de commandes d’administration et entrez le code PIN souhaité :manage-bde -protectors -add c: -TPMAndPin

  • Si la stratégie Exiger une authentification supplémentaire au démarrage est configurée pour exiger une clé de démarrage, exécutez la commande suivante pour créer une clé de démarrage : manage-bde -protectors -add c: -tpmandstartupkey <chemin d’accès au répertoire de clé externe>

  • Si la stratégie Exiger une authentification supplémentaire au démarrage est configurée pour exiger une clé de démarrage et un code confidentiel, exécutez la commande suivante à partir de l’invite de commandes Administrateur pour créer un code pin et une clé de démarrage. Lorsque vous y êtes invité, entrez le code confidentiel souhaité : manage-bde -protectors -add c: -tpmandpinandstartupkey <chemin d’accès au répertoire de clé externe>

Cette mise à jour risque de ne pas s’installer sur les appareils avec un fichier de gestionnaire de démarrage non signé non Microsoft bootx64.efi .  Cette mise à jour peut être proposée et réoffoffée via Windows Update, mais peut ne pas être installée.  Lorsque vous essayez d’installer cette mise à jour manuellement, vous pouvez recevoir une erreur. « Certaines mises à jour n’ont pas été installées », indiquant KB4565680.  Vous pouvez également rechercher l’erreur suivante dans le fichier journal CBS dans %systemroot%\logs\cbs : 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277) : erreur TRUST_E_NOSIGNATURE provient de la fonction Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Nous travaillons à une résolution et estimez qu’une solution sera disponible pour Windows 10, version 1909, Windows 10, version 2004 et Windows 10, version 20H2 fin mars.  Les autres versions prises en charge de Windows sont estimées avoir une solution disponible mi-avril.

Pour obtenir des conseils supplémentaires avant la publication de la résolution, contactez le fabricant de votre appareil (OEM).

Comment obtenir cette mise à jour

Méthode 1 : Windows Update 

Cette mise à jour est disponible via Windows Update. Elle sera téléchargée et installée automatiquement.  

Méthode 2 : Catalogue Microsoft Update 

Pour obtenir le package correspondant à cette mise à jour, accédez au Catalogue Microsoft Update.

Méthode 3 : Windows Server Update Services

Cette mise à jour est également disponible par le biais de Windows Server Update Services (WSUS).

Conditions préalables

Assurez-vous d’avoir installé la dernière mise à jour de la pile de maintenance (SSU). Pour plus d’informations sur le dernier SSU de votre système d’exploitation, consultez ADV990001 | Dernières mises à jour de la pile de maintenance.

Informations sur le redémarrage 

Il n’est pas nécessaire de redémarrer votre appareil après avoir appliqué cette mise à jour. Si vous avez activé Windows Defender Credential Guard (mode sécurisé virtuel), votre appareil redémarrera deux fois.

Informations sur le remplacement de la mise à jour 

Cette mise à jour ne remplace aucune mise à jour précédemment publiée.

Informations de fichier

Windows 10, version 1909 

Nom de fichier

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.

Nom de fichier

Taille du fichier

Date

Heure

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

1,368

23-sep-2019

23:13

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

2,840

23-sep-2019

23:13

Tpmtasks.dll

3,339

23-sep-2019

23:13

Tpmtasks.dll

2,892

23-sep-2019

23:13

Windows 10 version 1809 et Windows Server 2019

Nom de fichier

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.

Nom de fichier

Taille du fichier

Date

Heure

Dbupdate.bin

46

25-sep-2019

1,401

Dbxupdate.bin

1,368

25-sep-2019

1,401

Dbupdate.bin

46

25-sep-2019

1,401

Dbxupdate.bin

2,840

25-sep-2019

1,401

Tpmtasks.dll

1,998

25-sep-2019

1,401

Tpmtasks.dll

1,568

25-sep-2019

1,401

Windows 10, version 1803

Nom de fichier

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous.

Nom de fichier

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

3

30-Oct-2017

01:01

Dbxupdate.bin

Non applicable

7,361

10-sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10-sep-2019

03:55

Windows 10, version 1607 et Windows Server 2016

Nom de fichier

Hachage SHA-1

Hachage SHA-256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous. 

Nom de fichier

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

2

03-Sep-2019

22:05

Dbxupdate.bin

Non applicable

7,361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16-sep-2019

05:04

Windows 8.1 et Windows Server 2012 R2

Nom de fichier

Hachage SHA-1

Hachage SHA-256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.

Nom de fichier

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

2

25-sep-2019

21:04

Dbxupdate.bin

Non applicable

7,361

25-sep-2019

21:04

Tpmtasks.dll

6.3.9600.19501

176,128

25-sep-2019

06:30


Windows Server 2012

Nom de fichier

Hachage SHA-1

Hachage SHA-256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous. 

Nom de fichier

Version du fichier

Taille du fichier

Date

Heure

Dbupdate.bin

Non applicable

2

20-juin-2019

06:00

Dbxupdate.bin

Non applicable

7,361

10-sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-sep-2019

04:30

Références

Découvrez la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions de vos commentaires.

×