דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

חשוב מאמר זה מוחלף על-ידי KB5012170: עדכון אבטחה עבור DBX של אתחול מאובטח.

חל על

עדכון אבטחה זה חל רק על הגירסאות הבאות של Windows:

  • Windows Server 2012 x64-bit

  • Windows Server 2012 R2 x64 סיביות

  • Windows 8.1 x64 סיביות

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10, גירסה 1607 x64 סיביות

  • Windows 10, גירסה 1803 x64 סיביות

  • Windows 10, גירסה 1809 x64 סיביות

  • Windows 10, גירסה 1909 x64 סיביות 

סיכום

עדכון אבטחה זה מבצע שיפורים ב- Secure Boot DBX עבור הגירסאות הנתמכות של Windows המפורטות בסעיף "חל על". השינויים העיקריים כוללים את השינויים הבאים: 

  • מכשירי Windows בעלי קושחה מבוססת ממשק קושחה מורחב מאוחד (UEFI) יכולים לפעול עם אתחול מאובטח זמין. מסד הנתונים של החתימה האסורה של האתחול המאובטח (DBX) מונע טעינה של מודולי UEFI. עדכון זה מוסיף מודולים ל- DBX.

    קיימת פגיעות של עקיפת תכונת אבטחה באתחול מאובטח. תוקף שיצליח לנצל את הפגיעות עלול לעקוף אתחול מאובטח ולטעון תוכנה לא מהימנה.

    עדכון אבטחה זה מטפל בפגיעות על-ידי הוספת החתימות של מודולי UEFI החגיעים הידועים ל- DBX.

לקבלת מידע נוסף על פגיעות אבטחה זו, ראה CVE-2020-0689 | פגיעות של עקיפת תכונת אבטחה של אתחול מאובטח של Microsoft.

בעיות ידועות

בעיה

פתרון עוקף

ייתכן כי קושחה מסוימת של יצרן הציוד המקורי (OEM) לא תאפשר את התקנת העדכון.

כדי לפתור בעיה זו, פנה ליצרן הציוד המקורי של הקושחה.

אם BitLocker מדיניות קבוצתית קבע את תצורת פרופיל האימות של פלטפורמת TPM עבור תצורות קושחה מקוריות של UEFI מופעלת ו- PCR7 נבחר על-ידי מדיניות, ייתכן שמפתח השחזור של BitLocker יידרש במכשירים מסוימים שבהם לא ניתן לבצע איגוד PCR7.

כדי להציג את מצב האיגוד של PCR7, הפעל את הכלי Microsoft System Information (Msinfo32.exe) עם הרשאות ניהול.

כדי לעקוף בעיה זו, בצע אחת מהפעולות הבאות בהתבסס על תצורת credential guard לפני פריסת עדכון זה:

  • במכשיר שלא זמין בו Credential Gard, הפעל את הפקודה הבאה משורת פקודה של מנהל כדי להשעות את BitLocker עבור מחזור אתחול מחדש אחד:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    לאחר מכן, הפעל מחדש את המכשיר כדי לחדש את ההגנה של BitLocker.

    הערה אל תפעיל את ההגנה של BitLocker מבלי להפעיל מחדש את המכשיר בנוסף, מכיוון שהיא תגרום לשחזור של BitLocker.

  • במכשיר שבו Credential Guard זמין, עשויות להיות הפעלות מחדש מרובות במהלך העדכון הדורשות ש- BitLocker יושעה. הפעל את הפקודה הבאה משורת פקודה של מנהל מערכת כדי להשעות את BitLocker למשך 3 מחזורי הפעלה מחדש. Manage-bde –Protectors –Disable C: -RebootCount 3

    עדכון זה צפוי להפעיל מחדש את המערכת פעמיים. הפעל מחדש את המכשיר שוב כדי לחדש את ההגנה של BitLocker.

    הערה אל תפעיל את ההגנה של BitLocker מבלי לבצע הפעלה מחדש, מכיוון שהיא תגרום לשחזור של BitLocker.

ייתכן שתזין שחזור Bitlocker אם הגדרות מדיניות קבוצתית מתנגשות של BitLocker נקבעו לאחר ש- BitLocker הפך לזמין בסביבה. ניתן להפעיל שחזור של Bitlocker עקב כל אחת מההגדרות מדיניות קבוצתית הבאות:

  • אילוף תצורה מפורשת של איגודי PCR השונה מהתצורה שכבר נבחרה על-ידי BitLocker.

  • קביעת התצורה של GP "אפשר אתחול מאובטח לאימות תקינות" לא לאפשר אתחול מאובטח עבור אימות תקינות, אך BitLocker כבר משתמש באתחול מאובטח (PCR7).

  • קביעת תצורה מדיניות קבוצתית לדרוש אימות נוסף במהלך ההפעלה, אך התצורה של BitLocker נקבעה לפני פריסת מדיניות קבוצתית זו.

אם עדכון זה כבר הוחל והמכשיר לא הופעל מחדש, השעה את BitLocker והפעל אותו מחדש לאחר ביצוע השלבים הבאים:

  • אם תצורת PCR מפורשת הוגדרה באמצעות מדיניות קבוצתית או שתצורת מדיניות נקבעה לא לאפשר שימוש באתחול מאובטח לאימות תקינות, השהה וחדש את BitLocker כדי לנקות את ההתנגשויות של GP.

  • אם מדיניות דרוש אימות נוסף במהלך אתחול מוגדרת לדרוש TPM ו- PIN, הפעל את הפקודה הבאה משורת פקודה ניהולית והזן את מספר הזיהוי האישי הרצוי: manage-bde -protectors -add c: -TPMAndPin

  • אם מדיניות דרוש אימות נוסף במהלך ההפעלה מוגדרת לדרוש מפתח אתחול, בצע את הפקודה הבאה כדי ליצור מפתח אתחול: manage-bde -protectors -add c: -tpmandstartupkey <path to external key directory>

  • אם מדיניות דרוש אימות נוסף במהלך אתחול מוגדרת לדרוש מפתח אתחול והצמדה, בצע את הפקודה הבאה משורת מרכז הניהול כדי ליצור את מקש ההצמדה והאתחול. כאשר תתבקש, הזן את מספר הזיהוי האישי הרצוי: manage-bde -protectors -add c: -tpmandpinandstartupkey <נתיב אל ספריית מקשים חיצונית>

ייתכן שעדכון זה לא יותקן במכשירים עם קובץ מנהל אתחול שאינו של Microsoft bootx64.efi.  ייתכן שעדכון זה יוצע ויציע אותו מחדש Windows Update אך ייתכן שלא יותקן.  כאשר תנסה להתקין עדכון זה באופן ידני, ייתכן שתקבל הודעת שגיאה "עדכונים מסוימים לא הותקנו" המציין KB4565680.  באפשרותך גם לבדוק את קובץ יומן הרישום של CBS ב- %systemroot%\logs\cbs לקבלת השגיאה הבאה: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): שגיאה TRUST_E_NOSIGNATURE נוצרה בפונקציה Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

אנו פועלים למציאת פתרון ומעריכים כי הוא יהיה זמין עבור Windows 10, גירסה 1909, Windows 10, גירסה 2004 ו- Windows 10, גירסה 20H2 בסוף מרץ.  ההערכה היא שלגרסאות הנתמכות הנותרות של Windows יש פתרון זמין באמצע אפריל.

לקבלת הדרכה נוספת לפני שחרור הרזולוציה, פנה ליצרן המכשיר (OEM).

כיצד לקבל עדכון זה

שיטה 1: Windows Update 

עדכון זה זמין באמצעות Windows Update. ההורדה וההתקנה יתבצעו באופן אוטומטי.  

שיטה 2: Microsoft Update Catalog 

כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט Microsoft Update Catalog.

שיטה 3: Windows Server Update Services

עדכון זה זמין גם דרך Windows Server Update Services (WSUS).

דרישות מוקדמות

ודא שעדכון מערום השירות (SSU) האחרון מותקן אצלך. לקבלת מידע על ה- SSU העדכני ביותר עבור מערכת ההפעלה שלך, ראה ADV990001 | עדכון מערום השירות האחרון עדכונים.

מידע אודות הפעלה מחדש 

המכשיר שלך אינו חייב לפעול מחדש בעת החלת עדכון זה. אם הפעלת Windows Defender Credential Guard (מצב מאובטח וירטואלי), המכשיר שלך יופעל מחדש פעמיים.

מידע על החלפת עדכון 

עדכון זה אינו מחליף אף עדכון שפורסם בעבר.

פרטי הקובץ

Windows 10, גרסה 1909 

שם הקובץ

קוד hash של SHA1

קוד hash של SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

הגירסה האנגלית (ארצות הברית) של עדכון תוכנה זה מתקינת קבצים הכוללים את התכונות המפורטות בטבלה הבאה.

שם הקובץ

גודל הקובץ

תאריך

שעה

Dbupdate.bin

46

מ-23 בספט' 2019

23:13

Dbxupdate.bin

1,368

מ-23 בספט' 2019

23:13

Dbupdate.bin

46

מ-23 בספט' 2019

23:13

Dbxupdate.bin

2,840

מ-23 בספט' 2019

23:13

Tpmtasks.dll

3,339

מ-23 בספט' 2019

23:13

Tpmtasks.dll

2,892

מ-23 בספט' 2019

23:13

Windows 10, גירסה 1809 ו- Windows Server 2019

שם הקובץ

קוד hash של SHA1

קוד hash של SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

הגירסה האנגלית (ארצות הברית) של עדכון תוכנה זה מתקינת קבצים הכוללים את התכונות המפורטות בטבלה הבאה.

שם הקובץ

גודל הקובץ

תאריך

שעה

Dbupdate.bin

46

מ-25 בספט' 2019

01:14

Dbxupdate.bin

1,368

מ-25 בספט' 2019

01:14

Dbupdate.bin

46

מ-25 בספט' 2019

01:14

Dbxupdate.bin

2,840

מ-25 בספט' 2019

01:14

Tpmtasks.dll

1,998

מ-25 בספט' 2019

01:14

Tpmtasks.dll

1,568

מ-25 בספט' 2019

01:14

Windows 10, גרסה 1803

שם הקובץ

קוד hash של SHA1

קוד hash של SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

הגרסה האנגלית (ארצות הברית) של עדכון תוכנה זה מתקינה קבצים שכוללים את המאפיינים המפורטים בטבלאות הבאות.

שם הקובץ

גרסת הקובץ

גודל הקובץ

תאריך

שעה

Dbupdate.bin

לא ישים

3

30-אוק-2017

01:01

Dbxupdate.bin

לא ישים

7,361

10-ספטמבר 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10-ספטמבר 2019

03:55

Windows 10, גירסה 1607 ו- Windows Server 2016

שם הקובץ

קוד hash של SHA1

קוד hash של SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

הגירסה האנגלית (ארצות הברית) של עדכון תוכנה זה מתקינת קבצים הכוללים את התכונות המפורטות בטבלה הבאה. 

שם הקובץ

גרסת הקובץ

גודל הקובץ

תאריך

שעה

Dbupdate.bin

לא ישים

2

בין ה- 3 בספטמבר 2019

22:05

Dbxupdate.bin

לא ישים

7,361

מ-12 בספט' 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

בין ה-16 בספטמבר 2019

05:04

Windows 8.1 ו- Windows Server 2012 R2

שם הקובץ

קוד hash של SHA1

קוד hash של SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

הגירסה האנגלית (ארצות הברית) של עדכון תוכנה זה מתקינת קבצים הכוללים את התכונות המפורטות בטבלה הבאה.

שם הקובץ

גרסת הקובץ

גודל הקובץ

תאריך

שעה

Dbupdate.bin

לא ישים

2

מ-25 בספט' 2019

04:21

Dbxupdate.bin

לא ישים

7,361

מ-25 בספט' 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

מ-25 בספט' 2019

06:30


Windows Server 2012

שם הקובץ

קוד hash של SHA1

קוד hash של SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

הגירסה האנגלית (ארצות הברית) של עדכון תוכנה זה מתקינת קבצים הכוללים את התכונות המפורטות בטבלה הבאה. 

שם הקובץ

גרסת הקובץ

גודל הקובץ

תאריך

שעה

Dbupdate.bin

לא ישים

2

20-יונ-2019

00:06

Dbxupdate.bin

לא ישים

7,361

10-ספטמבר 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

מ-25 בספט' 2019

04:30

ספרי עזר

למד על המינוח שבו Microsoft משתמשת כדי לתאר עדכוני תוכנה.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×