Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

FONTOS Ezt a cikket felülírja a KB5012170: Biztonsági frissítés a Biztonságos rendszerindítási DBX-hez.

Érintett termékek

Ez a biztonsági frissítés csak a következő Windows-verziókra vonatkozik:

  • Windows Server 2012 x64 bites

  • Windows Server 2012 R2 x64 bites

  • Windows 8.1 x64 bites

  • x64 bites Windows Server 2016

  • Windows Server 2019 x64 bites

  • Windows 10, 1607 x64 bites verzió

  • Windows 10, 1803 x64 bites verzió

  • Windows 10, 1809-es verzió x64 bites

  • Windows 10, 1909 x64 bites verzió 

Összefoglalás

Ez a biztonsági frissítés továbbfejleszti a Biztonságos rendszerindítási DBX-et az "Érintett" szakaszban felsorolt támogatott Windows-verziókhoz. A legfőbb változások a következők: 

  • A Unified Extensible Firmware Interface (UEFI) alapú belső vezérlőprogrammal rendelkező Windows-eszközök a biztonságos rendszerindítás engedélyezésével futtathatók. A Secure Boot Forbidden Signature Database (DBX) megakadályozza az UEFI-modulok betöltését. Ez a frissítés modulokat ad hozzá a DBX-hez.Biztonsági funkció megkerülésével kapcsolatos biztonsági rés található a biztonságos rendszerindításban. A biztonsági rést sikeresen kihasználó támadó megkerülheti a biztonságos rendszerindítást, és betöltheti a nem megbízható szoftvereket.Ez a biztonsági frissítés úgy oldja meg a biztonsági rést, hogy hozzáadja az ismert sebezhető UEFI-modulok aláírását a DBX-hez.

További információ erről a biztonsági résről: CVE-2020-0689 | A Microsoft biztonságos rendszerindítási biztonsági funkció megkerülő biztonsági rése.

Ismert problémák

Probléma

Kerülő megoldás

Előfordulhat, hogy egyes eredeti berendezésgyártó (OEM) belső vezérlőprogramja nem engedélyezi a frissítés telepítését.

A probléma megoldásához lépjen kapcsolatba a belső vezérlőprogram oem-ével.

Ha a BitLocker Csoportházirend A TPM platformérvényesítési profil konfigurálása natív UEFI belső vezérlőprogram-konfigurációkhoz beállítás engedélyezve van, és a HÁZIREND a PCR7-et választja, előfordulhat, hogy a BitLocker helyreállítási kulcsra van szükség bizonyos eszközökön, ahol a PCR7-kötés nem lehetséges.

A PCR7 kötési állapotának megtekintéséhez futtassa a Microsoft Rendszerinformáció (Msinfo32.exe) eszközt rendszergazdai engedélyekkel.

A probléma kerülő megoldásához tegye az alábbiak egyikét a hitelesítő adatok őrének konfigurációja alapján a frissítés üzembe helyezése előtt:

  • Olyan eszközön, amelyen nincs engedélyezve a hitelesítő adatok gard szolgáltatása, futtassa a következő parancsot egy rendszergazdai parancssorból a BitLocker 1 újraindítási ciklusra való felfüggesztéséhez:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    Ezután indítsa újra az eszközt a BitLocker-védelem folytatásához.Megjegyzés Ne engedélyezze a BitLocker-védelmet az eszköz további újraindítása nélkül, mivel az a BitLocker helyreállítását eredményezné.

  • Olyan eszközön, amelyen engedélyezve van a Credential Guard, előfordulhat, hogy a frissítés során többször is újra kell indítani a BitLockert. Futtassa a következő parancsot egy rendszergazdai parancssorból a BitLocker 3 újraindítási ciklusra való felfüggesztéséhez. Manage-bde –Protectors –Disable C: -RebootCount 3

    Ez a frissítés várhatóan kétszer indítja újra a rendszert. A BitLocker-védelem folytatásához indítsa újra újra az eszközt.

    Megjegyzés Ne engedélyezze a BitLocker-védelmet a további újraindítás nélkül, mivel ez a BitLocker helyreállítását eredményezné.

Előfordulhat, hogy a BitLocker-helyreállítást akkor adja meg, ha a BitLocker csoportházirend-beállításai ütköznek, miután a BitLocker engedélyezve lett a környezetben. A Bitlocker helyreállítása az alábbi Csoportházirend beállítások bármelyike miatt aktiválható:

Ha ez a frissítés már alkalmazva van, és az eszköz nem indul újra, az alábbi lépések végrehajtása után függessze fel a BitLockert, és indítsa újra:

  • Ha egy explicit PCR-konfiguráció csoportházirenden keresztül lett beállítva, vagy egy szabályzat úgy van konfigurálva, hogy ne használja a biztonságos rendszerindítást az integritás ellenőrzéséhez, a Gp-ütközések törléséhez függessze fel és folytassa a BitLockert.

  • Ha a További hitelesítés megkövetelése indításkor szabályzat úgy van konfigurálva, hogy megkövetelje a TPM-et és a PIN-kódot, futtassa a következő parancsot egy rendszergazdai parancssorból, és adja meg a kívánt PIN-kódot: manage-bde -protectors -add c: -TPMAndPin

  • Ha a További hitelesítés megkövetelése indításkor szabályzat úgy van konfigurálva, hogy indítókulcsot igényeljen, futtassa a következő parancsot az indítási kulcs létrehozásához: manage-bde -protectors -add c: -tpmandstartupkey <külső kulcs könyvtárának elérési útja>

  • Ha a További hitelesítés megkövetelése indításkor szabályzat úgy van konfigurálva, hogy indítási kulcsot és pin-kódot igényeljen, hajtsa végre a következő parancsot Rendszergazda parancssorból a Pin és az indítókulcs létrehozásához. Amikor a rendszer kéri, adja meg a kívánt PIN-kódot: manage-bde -protectors -add c: -tpmandpinandstartupkey <külső kulcskönyvtár elérési útja>

Előfordulhat, hogy ez a frissítés nem telepíthető aláíratlan, nem Microsoft bootx64.efi rendszerindítás-kezelő fájllal rendelkező eszközökre.  Előfordulhat, hogy ez a frissítés Windows Update érhető el, de nem telepíthető.  Amikor megpróbálja manuálisan telepíteni ezt a frissítést, a KB4565680-ra vonatkozó "Néhány frissítés nem lett telepítve" hibaüzenet jelenhet meg.  A CBS-naplófájlt a %systemroot%\logs\cbs fájlban is ellenőrizheti a következő hiba esetén: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): A hiba TRUST_E_NOSIGNATURE a Windows függvényből származik::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Dolgozunk a megoldáson, és becslésünk szerint március végén elérhető lesz egy megoldás a Windows 10 1909-es, Windows 10-es, 2004-es és Windows 10-es, 20H2-es verziójához.  A Windows többi támogatott verziója várhatóan április közepén elérhető megoldással rendelkezik.

A felbontás kiadása előtt további útmutatásért forduljon az eszköz gyártójához (OEM).

A frissítés beszerzése

1. módszer: Windows Update 

A frissítés elérhető a Windows Update szolgáltatáson keresztül. Letöltése és telepítése automatikusan megtörténik.  

2. módszer: Microsoft Update katalógus 

A frissítés különálló csomagjának beszerzéséhez látogasson el a Microsoft Update Catalog webhelyére.

3. módszer: Windows Server Update Services

A frissítés elérhető a Windows Server Update Services (WSUS) szolgáltatáson keresztül is.

Előfeltételek

Győződjön meg arról, hogy a legutóbbi karbantartási veremfrissítés (SSU) telepítve van. Az operációs rendszer legújabb SSU-járól az ADV990001 | A legújabb karbantartási verem Frissítések.

Újraindítási információk 

A frissítés alkalmazásakor az eszköznek nem kell újraindulnia. Ha Windows Defender Credential Guard (virtuális biztonságos mód) engedélyezve van, az eszköz kétszer újraindul.

A frissítések felváltásával kapcsolatos információk 

Ez a frissítés nem helyettesíti a korábban kiadott frissítéseket.

A fájlokkal kapcsolatos adatok

Windows 10, 1909-es verzió 

Fájlnév

SHA1-kivonat

SHA256-kivonat

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

A szoftverfrissítés angol (Egyesült Államok) verziója olyan fájlokat telepít, amelyek az alábbi táblázatban felsorolt attribútumokkal rendelkeznek.

Fájlnév

Fájlméret

Dátum

Idő

Dbupdate.bin

46

2019. szeptember 23.

23:13

Dbxupdate.bin

1,368

2019. szeptember 23.

23:13

Dbupdate.bin

46

2019. szeptember 23.

23:13

Dbxupdate.bin

2,840

2019. szeptember 23.

23:13

Tpmtasks.dll

3,339

2019. szeptember 23.

23:13

Tpmtasks.dll

2,892

2019. szeptember 23.

23:13

Windows 10, 1809-es verzió és Windows Server 2019

Fájlnév

SHA1-kivonat

SHA256-kivonat

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

A szoftverfrissítés angol (Egyesült Államok) verziója olyan fájlokat telepít, amelyek az alábbi táblázatban felsorolt attribútumokkal rendelkeznek.

Fájlnév

Fájlméret

Dátum

Idő

Dbupdate.bin

46

2019. szeptember 25.

01:14

Dbxupdate.bin

1,368

2019. szeptember 25.

01:14

Dbupdate.bin

46

2019. szeptember 25.

01:14

Dbxupdate.bin

2,840

2019. szeptember 25.

01:14

Tpmtasks.dll

1,998

2019. szeptember 25.

01:14

Tpmtasks.dll

1,568

2019. szeptember 25.

01:14

Windows 10, 1803-as verzió

Fájlnév

SHA1-kivonat

SHA256-kivonat

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

A szoftverfrissítés angol (egyesült államokbeli) verziója olyan fájlokat telepít, amelyek a következő táblázatokban felsorolt attribútumokkal rendelkeznek.

Fájlnév

Fájlverzió

Fájlméret

Dátum

Idő

Dbupdate.bin

Nem alkalmazható

3

2017. október 30.

01:01

Dbxupdate.bin

Nem alkalmazható

7,361

2019. szeptember 10.

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

2019. szeptember 10.

03:55

Windows 10, 1607-es és Windows Server 2016-es verzió

Fájlnév

SHA1-kivonat

SHA256-kivonat

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

A szoftverfrissítés angol (Egyesült Államok) verziója olyan fájlokat telepít, amelyek az alábbi táblázatban felsorolt attribútumokkal rendelkeznek. 

Fájlnév

Fájlverzió

Fájlméret

Dátum

Idő

Dbupdate.bin

Nem alkalmazható

2

2019. szeptember 3.

22:05

Dbxupdate.bin

Nem alkalmazható

7,361

2019. szeptember 12.

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

2019. szeptember 16.

05:04

Windows 8.1 és Windows Server 2012 R2

Fájlnév

SHA1-kivonat

SHA256-kivonat

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

A szoftverfrissítés angol (Egyesült Államok) verziója olyan fájlokat telepít, amelyek az alábbi táblázatban felsorolt attribútumokkal rendelkeznek.

Fájlnév

Fájlverzió

Fájlméret

Dátum

Idő

Dbupdate.bin

Nem alkalmazható

2

2019. szeptember 25.

04:21

Dbxupdate.bin

Nem alkalmazható

7,361

2019. szeptember 25.

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

2019. szeptember 25.

06:30

Windows Server 2012

Fájlnév

SHA1-kivonat

SHA256-kivonat

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

A szoftverfrissítés angol (Egyesült Államok) verziója olyan fájlokat telepít, amelyek az alábbi táblázatban felsorolt attribútumokkal rendelkeznek. 

Fájlnév

Fájlverzió

Fájlméret

Dátum

Idő

Dbupdate.bin

Nem alkalmazható

2

2019. június 20.

00:06

Dbxupdate.bin

Nem alkalmazható

7,361

2019. szeptember 10.

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

2019. szeptember 25.

04:30

Referenciák

Ismerje meg a Microsoft által a szoftverfrissítések leírására használt terminológiát .

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők