Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

VAŽNO Ovaj je članak zamjenjuje KB5012170: sigurnosno ažuriranje za DBX sigurnog pokretanja.

Vrijedi za

Ovo sigurnosno ažuriranje odnosi se samo na sljedeće verzije sustava Windows:

  • Windows Server 2012 – x64-bitna verzija

  • Windows Server 2012 R2 – x64-bitna verzija

  • Windows 8.1 x64-bitni

  • Windows Server 2016 – x64-bitna verzija

  • Windows Server 2019 – x64-bitna verzija

  • Windows 10, verzija 1607 x64-bitna

  • Windows 10, verzija 1803 x64-bitna

  • Windows 10, verzija 1809 x64-bitna

  • Windows 10, verzija 1909 x64-bitna 

Sažetak

Ovo sigurnosno ažuriranje poboljšava DBX sigurnog pokretanja za podržane verzije sustava Windows navedene u odjeljku "Odnosi se na". Ključne promjene obuhvaćaju sljedeće: 

  • Uređaji sa sustavom Windows s programom Unified Extensible Firmware Interface (UEFI) mogu se pokrenuti s omogućenim sigurnim pokretanjem. Baza podataka s zabranjenim potpisom sigurnog pokretanja (DBX) sprječava učitavanje modula UEFI. Ovo ažuriranje dodaje module u DBX.U sigurnom pokretanju postoji ranjivost zaobilaženje sigurnosnih značajki. Napadač koji je uspješno iskorištavao ranjivost može zaobići sigurno pokretanje i učitati nepouzdani softver.Ovo sigurnosno ažuriranje rješava ranjivost dodavanjem potpisa poznatih ranjivih UEFI modula u DBX.

Dodatne informacije o toj sigurnosnoj ranjivosti potražite u članku CVE-2020-0689 | Ranjivost zaobilaženje sigurnosnih značajki microsoftova sigurnog pokretanja.

Poznati problemi

Problem

Zaobilazno rješenje

Neka oprema proizvođača originalne opreme (OEM) možda neće dopustiti instalaciju ovog ažuriranja.

Da biste riješili taj problem, obratite se OEM-u opreme.

Ako je omogućena značajka BitLocker pravilnik grupe Konfiguriranje profila za provjeru valjanosti TPM platforme za nativne konfiguracije UEFI opreme, a PCR7 je odabran prema pravilniku, to može rezultirati obaveznim BitLocker ključem oporavka na nekim uređajima na kojima povezivanje PCR7 nije moguće.

Da biste pogledali status povezivanja PCR7, pokrenite alat Microsoft System Information (Msinfo32.exe) s administrativnim dozvolama.

Da biste zaobišli taj problem, učinite nešto od sljedećeg na temelju konfiguracije credential guard prije implementacije ovog ažuriranja:

  • Na uređaju na kojem nije omogućen Credential Gard pokrenite sljedeću naredbu administratorskog naredbenog retka da biste obustavljali BitLocker za 1 ciklus ponovnog pokretanja:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    Zatim ponovno pokrenite uređaj da biste nastavili bitLocker zaštitu.Napomena Nemojte omogućiti BitLocker zaštitu bez dodatnog ponovnog pokretanja uređaja kao što bi to rezultiralo BitLocker oporavkom.

  • Na uređaju na kojem je omogućen Credential Guard može biti više ponovnih pokretanja tijekom ažuriranja za koje je potrebno obustaviti BitLocker. Pokrenite sljedeću naredbu administratorskog naredbenog retka da biste obustavljali BitLocker za 3 ciklusa ponovnog pokretanja. Manage-bde –Protectors –Disable C: -RebootCount 3

    Očekuje se da će ovo ažuriranje ponovno pokrenuti sustav dva puta. Ponovno pokrenite uređaj da biste nastavili bitLocker zaštitu.

    Napomena Nemojte omogućiti BitLocker zaštitu bez dodatnog ponovnog pokretanja jer bi to rezultiralo BitLocker oporavkom.

Bitlocker oporavak možete unijeti ako su postavke pravilnika grupe bitLocker u sukobu konfigurirane nakon što je BitLocker omogućen u okruženju. Bitlocker oporavak može se pokrenuti zbog bilo koje od navedenih pravilnik grupe postavke:

  • Forcing Explicit configuration of PCR bindings that is different from what is already chosen by BitLocker.

  • Konfiguriranje GP-a "Allow Secure Boot for integrity validation" (Dopusti sigurno pokretanje radi provjere valjanosti integriteta) da bi se onemogućila provjera valjanosti integriteta, ali BitLocker već koristi sigurno pokretanje (PCR7).

  • Konfiguriranje pravilnik grupe zahtijeva dodatnu provjeru autentičnosti tijekom pokretanja, ali BitLocker je konfiguriran prije implementacije ovog pravilnika grupe.

Ako je ovo ažuriranje već primijenjeno, a uređaj se nije ponovno pokrenuo, obustavite BitLocker i ponovno ga pokrenite nakon sljedećih koraka:

  • Ako je eksplicitno konfiguriranje PCR-a postavljeno putem pravilnika grupe ili je pravilnik konfiguriran tako da onemogući korištenje sigurnog pokretanja radi provjere valjanosti integriteta, obustavite i nastavite BitLocker da biste očistili sukobe GP-a.

  • Ako je pravilnik Potrebna dodatna provjera autentičnosti tijekom pokretanja konfiguriran tako da zahtijeva TPM i PIN, pokrenite sljedeću naredbu iz administrativnog naredbenog retka i unesite željeni PIN: manage-bde -protectors -add c: -TPMAndPin

  • Ako je pravilnik Potrebna dodatna provjera autentičnosti tijekom pokretanja konfiguriran tako da zahtijeva ključ pokretanja, izvršite sljedeću naredbu da biste stvorili ključ pokretanja: manage-bde -protectors -add c: -tpmandstartupkey <put do vanjskog direktorija ključa>

  • Ako je pravilnik Potrebna dodatna provjera autentičnosti tijekom pokretanja konfiguriran tako da zahtijeva ključ za pokretanje i prikvačivanje, izvršite sljedeću naredbu iz Administrator naredbenog retka da biste stvorili pin i polazni ključ. Kada se to od vas zatraži, unesite željeni PIN: manage-bde -protectors -add c: -tpmandpinandstartupkey <put do vanjskog direktorija ključa>

Ovo se ažuriranje možda neće instalirati na uređajima s nepotpisanom datotekom upravitelja pokretanja koji nisu Microsoftovi bootx64.efi.  Ovo se ažuriranje može ponuditi i ponovno ponuditi putem Windows Update, ali se možda neće instalirati.  Kada pokušate ručno instalirati ovo ažuriranje, možda će vam se prikazati pogreška "Neka ažuriranja nisu instalirana" s popisom KB4565680.  Možete provjeriti i datoteku cbs zapisnika u %systemroot%\logs\cbs za sljedeću pogrešku: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Pogreška TRUST_E_NOSIGNATURE potječe iz funkcije Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Radimo na rješavanju tog problema i procjenjujemo da će rješenje biti dostupno za Windows 10, verziju 1909, Windows 10, verziju 2004 i Windows 10, verziju 20H2 kraja ožujka.  Procjenjuje se da su preostale podržane verzije sustava Windows dostupne sredinom travnja.

Dodatne smjernice prije izdavanja razlučivosti zatražite od proizvođača uređaja (OEM-a).

Kako preuzeti ovo ažuriranje

1. način: Windows Update 

Ovo ažuriranje je dostupno putem servisa Windows Update. Automatski će se preuzeti i instalirati.  

2. način: Katalog Microsoft Update 

Da biste nabavili samostalni paket za ovo ažuriranje, idite na web-mjesto Katalog Microsoft Update.

3. način: Windows Server Update Services

Ovo ažuriranje je također dostupno preko Windows Server Update Services (WSUS).

Preduvjeti

Provjerite imate li instalirano zadnje ažuriranje servisnog stoga (SSU). Informacije o najnovijem SSU-u za operacijski sustav potražite u članku ADV990001 | Najnoviji servisni stog Ažuriranja.

Informacije o ponovnom pokretanju 

Uređaj se ne mora ponovno pokrenuti kada primijenite ovo ažuriranje. Ako ste omogućili Windows Defender Credential Guard (virtualni sigurni način rada), uređaj će se ponovno pokrenuti dva puta.

Informacije o zamjeni ažuriranja 

Ovo ažuriranje ne zamjenjuje prethodno objavljeno ažuriranje.

Informacije o datoteci

Verzija 1909 sustava Windows 10 

Naziv datoteke

SHA1 ključ

SHA256 ključ

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Engleska (sjedinjena Američka) verzija ovog ažuriranja softvera instalira datoteke koje imaju atribute navedene u sljedećoj tablici.

Naziv datoteke

Veličina datoteke

Datum

Vrijeme

Dbupdate.bin

46

23. svibnja 2019.

23:13

Dbxupdate.bin

1,368

23. svibnja 2019.

23:13

Dbupdate.bin

46

23. svibnja 2019.

23:13

Dbxupdate.bin

2,840

23. svibnja 2019.

23:13

Tpmtasks.dll

3,339

23. svibnja 2019.

23:13

Tpmtasks.dll

2,892

23. svibnja 2019.

23:13

Windows 10, verzija 1809 i Windows Server 2019

Naziv datoteke

SHA1 ključ

SHA256 ključ

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Engleska (sjedinjena Američka) verzija ovog ažuriranja softvera instalira datoteke koje imaju atribute navedene u sljedećoj tablici.

Naziv datoteke

Veličina datoteke

Datum

Vrijeme

Dbupdate.bin

46

25. svibnja 2019.

01:14

Dbxupdate.bin

1,368

25. svibnja 2019.

01:14

Dbupdate.bin

46

25. svibnja 2019.

01:14

Dbxupdate.bin

2,840

25. svibnja 2019.

01:14

Tpmtasks.dll

1,998

25. svibnja 2019.

01:14

Tpmtasks.dll

1,568

25. svibnja 2019.

01:14

Verzija 1803 sustava Windows 10

Naziv datoteke

SHA1 ključ

SHA256 ključ

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Verzija ovog ažuriranja softvera na engleskom (Sjedinjene Američke Države) instalira datoteke koje imaju atribute koji su navedeni u sljedećim tablicama.

Naziv datoteke

Verzija datoteke

Veličina datoteke

Datum

Vrijeme

Dbupdate.bin

Nije primjenjivo

3

30. listopada 2017.

01:01

Dbxupdate.bin

Nije primjenjivo

7,361

10. svibnja 2019.

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10. svibnja 2019.

03:55

Windows 10, verzija 1607 i Windows Server 2016

Naziv datoteke

SHA1 ključ

SHA256 ključ

Windows10.0-KB4535680-x64.msu

980ED67D1AEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Engleska (sjedinjena Američka) verzija ovog ažuriranja softvera instalira datoteke koje imaju atribute navedene u sljedećoj tablici. 

Naziv datoteke

Verzija datoteke

Veličina datoteke

Datum

Vrijeme

Dbupdate.bin

Nije primjenjivo

2

03. svibnja 2019.

22:05

Dbxupdate.bin

Nije primjenjivo

7,361

12. svibnja 2019.

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16. rujna 2019.

05:04

Windows 8.1 i Windows Server 2012 R2

Naziv datoteke

SHA1 ključ

SHA256 ključ

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Engleska (sjedinjena Američka) verzija ovog ažuriranja softvera instalira datoteke koje imaju atribute navedene u sljedećoj tablici.

Naziv datoteke

Verzija datoteke

Veličina datoteke

Datum

Vrijeme

Dbupdate.bin

Nije primjenjivo

2

25. svibnja 2019.

04:21

Dbxupdate.bin

Nije primjenjivo

7,361

25. svibnja 2019.

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25. svibnja 2019.

06:30

Windows Server 2012

Naziv datoteke

SHA1 ključ

SHA256 ključ

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033E4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Engleska (sjedinjena Američka) verzija ovog ažuriranja softvera instalira datoteke koje imaju atribute navedene u sljedećoj tablici. 

Naziv datoteke

Verzija datoteke

Veličina datoteke

Datum

Vrijeme

Dbupdate.bin

Nije primjenjivo

2

20. lipnja 2019.

00:06

Dbxupdate.bin

Nije primjenjivo

7,361

10. svibnja 2019.

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25. svibnja 2019.

04:30

Reference

Informirajte se o terminologiji koju Microsoft koristi za opisivanje softverskih ažuriranja.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider