Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

PENTING Artikel ini digantikan oleh KB5012170: Pembaruan keamanan untuk Secure Boot DBX.

Berlaku untuk

Pembaruan keamanan ini hanya berlaku untuk versi Windows berikut:

  • Windows Server 2012 x64-bit

  • Windows Server 2012 R2 x64-bit

  • Windows 8.1 x64-bit

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10, versi 1607 x64-bit

  • Windows 10, versi 1803 x64-bit

  • Windows 10, versi 1809 x64-bit

  • Windows 10, versi 1909 x64-bit 

Rangkuman

Pembaruan keamanan ini membuat penyempurnaan pada Secure Boot DBX untuk versi Windows yang didukung yang tercantum di bagian "Berlaku untuk". Perubahan utama meliputi hal berikut: 

  • Perangkat Windows yang memiliki firmware berbasis Unified Extensible Firmware Interface (UEFI) dapat berjalan dengan Boot Aman diaktifkan. Secure Boot Forbidden Signature Database (DBX) mencegah modul UEFI memuat. Pembaruan ini menambahkan modul ke DBX.

    Fitur keamanan melewati kerentanan ada dalam boot aman. Penyerang yang berhasil mengeksploitasi kerentanan mungkin melewati boot aman dan memuat perangkat lunak yang tidak tepercaya.

    Pembaruan keamanan ini mengatasi kerentanan dengan menambahkan tanda tangan modul UEFI yang dikenal rentan ke DBX.

Untuk mempelajari selengkapnya tentang kerentanan keamanan ini, lihat | CVE-2020-0689 Microsoft Secure Boot Security Feature Bypass Vulnerability.

Masalah umum

Masalah

Solusi:

Beberapa firmware produsen peralatan asli (OEM) mungkin tidak mengizinkan penginstalan pembaruan ini.

Untuk mengatasi masalah ini, hubungi OEM firmware Anda.

Jika BitLocker Kebijakan Grup Mengonfigurasi profil validasi platform TPM untuk konfigurasi firmware UEFI asli diaktifkan dan PCR7 dipilih oleh kebijakan, hal ini dapat mengakibatkan kunci pemulihan BitLocker diperlukan di beberapa perangkat di mana pengikatan PCR7 tidak dimungkinkan.

Untuk menampilkan status pengikatan PCR7, jalankan alat Informasi Sistem Microsoft (Msinfo32.exe) dengan izin administratif.

Untuk mengatasi masalah ini, lakukan salah satu hal berikut ini berdasarkan konfigurasi penjaga kredensial sebelum Anda menyebarkan pembaruan ini:

  • Pada perangkat yang tidak mengaktifkan Gard Kredensial, jalankan perintah berikut dari prompt perintah Administrator untuk menangguhkan BitLocker untuk 1 siklus boot ulang:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Lalu, hidupkan ulang perangkat untuk melanjutkan perlindungan BitLocker.

    Catatan Jangan aktifkan proteksi BitLocker tanpa perlu memulai ulang perangkat karena akan menghasilkan pemulihan BitLocker.

  • Pada perangkat yang mengaktifkan Kredensial Guard, mungkin ada beberapa kali mulai ulang selama pembaruan yang mengharuskan BitLocker ditangguhkan. Jalankan perintah berikut dari prompt perintah Administrator untuk menangguhkan BitLocker untuk 3 siklus mulai ulang. Manage-bde –Protectors –Disable C: -RebootCount 3

    Pembaruan ini diharapkan dapat memulai ulang sistem dua kali. Hidupkan ulang perangkat sekali lagi untuk melanjutkan proteksi BitLocker.

    Catatan Jangan aktifkan proteksi BitLocker tanpa perlu memulai ulang karena akan menghasilkan pemulihan BitLocker.

Anda dapat memasukkan pemulihan Bitlocker jika pengaturan kebijakan grup BitLocker yang berkonflik dikonfigurasi setelah BitLocker diaktifkan di lingkungan. Pemulihan bitlocker dapat dipicu karena salah satu pengaturan Kebijakan Grup di bawah ini:

Jika pembaruan ini telah diterapkan dan perangkat belum dimulai ulang, tangguhkan BitLocker dan mulai ulang setelah mengikuti langkah-langkah berikut:

  • Jika konfigurasi PCR eksplisit telah diatur melalui kebijakan grup atau kebijakan dikonfigurasi untuk tidak memperbolehkan penggunaan boot aman untuk validasi integritas, Tangguhkan dan lanjutkan BitLocker untuk menghapus konflik GP.

  • Jika kebijakan Memerlukan Autentikasi tambahan selama startup dikonfigurasi agar memerlukan TPM dan PIN, jalankan perintah berikut dari prompt perintah Administratif dan masukkan PIN yang diinginkan: manage-bde -protectors -add c: -TPMAndPin

  • Jika kebijakan Perlu Autentikasi tambahan selama startup dikonfigurasi untuk memerlukan kunci startup, jalankan perintah berikut untuk membuat kunci startup: manage-bde -protectors -add c: -tpmandstartupkey <jalur ke direktori kunci eksternal>

  • Jika kebijakan Perlu Autentikasi tambahan selama mulai dikonfigurasi agar memerlukan kunci startup dan sematkan, jalankan perintah berikut ini dari prompt perintah Admin untuk membuat pin dan tombol startup. Ketika diminta, masukkan PIN yang diinginkan: manage-bde -protectors -add c: -tpmandpinandstartupkey <jalur ke direktori kunci eksternal>

Pembaruan ini mungkin tidak diinstal di perangkat dengan file boot manager non-Microsoft bootx64.efi yang tidak ditandatangani.  Pembaruan ini mungkin ditawarkan dan dicabut ulang melalui Windows Update tetapi mungkin tidak diinstal.  Saat Anda mencoba menginstal pembaruan ini secara manual, Anda mungkin menerima kesalahan, "Beberapa pembaruan tidak diinstal" mencantumkan KB4565680.  Anda juga dapat memeriksa berkas Log CBS dalam %systemroot%\logs\cbs untuk kesalahan berikut: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Kesalahan TRUST_E_NOSIGNATURE berasal dari fungsi Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Kami sedang mengerjakan resolusi dan memperkirakan solusi akan tersedia untuk Windows 10, versi 1909, Windows 10, versi 2004 dan Windows 10, versi 20H2 pada akhir Maret.  Versi Windows yang didukung lainnya diperkirakan memiliki solusi yang tersedia pada pertengahan April.

Untuk panduan tambahan sebelum rilis resolusi, silakan hubungi produsen perangkat Anda (OEM).

Cara mendapatkan pembaruan ini

Metode 1: Windows Update 

Pembaruan ini tersedia melalui Windows Update. File akan diunduh dan diinstal secara otomatis.  

Metode 2: Katalog Pembaruan Microsoft 

Untuk mendapatkan paket mandiri untuk pembaruan ini, masuk ke situs web Katalog Pembaruan Microsoft.

Metode 3: Layanan Pembaruan Windows Server

Pembaruan ini juga tersedia melalui Windows Server Update Services (WSUS).

Prasyarat

Pastikan Anda telah menginstal pembaruan tumpukan pelayanan (SSU, Servis Stack Update) terbaru. Untuk informasi tentang SSU terbaru untuk sistem operasi Anda, lihat ADV990001 | Updates Tumpukan Pelayanan Terbaru.

Mulai ulang informasi 

Perangkat Anda tidak perlu memulai ulang saat Anda menerapkan pembaruan ini. Jika Anda mengaktifkan Pertahanan Windows Kredensial Guard (Mode Aman Virtual), perangkat Anda akan dimulai ulang dua kali.

Memperbarui informasi penggantian 

Pembaruan ini tidak menggantikan pembaruan yang dirilis sebelumnya.

Informasi file

Windows 10, versi 1909 

Nama file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Versi bahasa Inggris (Amerika Serikat) pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut ini.

Nama file

Ukuran file

Tanggal

Waktu

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

1,368

23-Sep-2019

23:13

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

2,840

23-Sep-2019

23:13

Tpmtasks.dll

3,339

23-Sep-2019

23:13

Tpmtasks.dll

2,892

23-Sep-2019

23:13

Windows 10, versi 1809 dan Windows Server 2019

Nama file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA541708372

Versi bahasa Inggris (Amerika Serikat) pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut ini.

Nama file

Ukuran file

Tanggal

Waktu

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

1,368

25-Sep-2019

01:14

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

2,840

25-Sep-2019

01:14

Tpmtasks.dll

1,998

25-Sep-2019

01:14

Tpmtasks.dll

1,568

25-Sep-2019

01:14

Windows 10, versi 1803

Nama file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Versi bahasa Inggris (Amerika Serikat) pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut ini.

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate.bin

Tidak berlaku

3

30-Okt-2017

01:01

Dbxupdate.bin

Tidak berlaku

7,361

10-Sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10-Sep-2019

03:55

Windows 10, versi 1607 dan Windows Server 2016

Nama file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Versi bahasa Inggris (Amerika Serikat) pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut ini. 

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate.bin

Tidak berlaku

2

03-Sep-2019

22:05

Dbxupdate.bin

Tidak berlaku

7,361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16-Sep-2019

05:04

Windows 8.1 dan Windows Server 2012 R2

Nama file

Hash SHA1

Hash SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Versi bahasa Inggris (Amerika Serikat) pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut ini.

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate.bin

Tidak berlaku

2

25-Sep-2019

04:21

Dbxupdate.bin

Tidak berlaku

7,361

25-Sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-Sep-2019

06:30


Windows Server 2012

Nama file

Hash SHA1

Hash SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Versi bahasa Inggris (Amerika Serikat) pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut ini. 

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate.bin

Tidak berlaku

2

20-Jun-2019

00:06

Dbxupdate.bin

Tidak berlaku

7,361

10-Sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-Sep-2019

04:30

Referensi

Pelajari tentang terminologi yang digunakan Microsoft untuk menjelaskan pembaruan perangkat lunak.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×