KB4535680: Pembaruan keamanan untuk Secure Boot DBX: 12 Januari 2021

PENTING Artikel ini digantikan oleh KB5012170: Pembaruan keamanan untuk Secure Boot DBX.

Berlaku untuk

Pembaruan keamanan ini hanya berlaku untuk versi Windows berikut:

Windows Server 2012 x64-bit
Windows Server 2012 R2 x64-bit
Windows 8.1 x64-bit
Windows Server 2016 x64-bit
Windows Server 2019 x64-bit
Windows 10, versi 1607 x64-bit
Windows 10, versi 1803 x64-bit
Windows 10, versi 1809 x64-bit
Windows 10, versi 1909 x64-bit

Rangkuman

Pembaruan keamanan ini membuat penyempurnaan pada Secure Boot DBX untuk versi Windows yang didukung yang tercantum di bagian "Berlaku untuk". Perubahan utama meliputi hal berikut:

Perangkat Windows yang memiliki firmware berbasis Unified Extensible Firmware Interface (UEFI) dapat berjalan dengan Boot Aman diaktifkan. Secure Boot Forbidden Signature Database (DBX) mencegah modul UEFI memuat. Pembaruan ini menambahkan modul ke DBX.

Fitur keamanan melewati kerentanan ada dalam boot aman. Penyerang yang berhasil mengeksploitasi kerentanan mungkin melewati boot aman dan memuat perangkat lunak yang tidak tepercaya.

Pembaruan keamanan ini mengatasi kerentanan dengan menambahkan tanda tangan modul UEFI yang dikenal rentan ke DBX.

Untuk mempelajari selengkapnya tentang kerentanan keamanan ini, lihat | CVE-2020-0689 Microsoft Secure Boot Security Feature Bypass Vulnerability.

Masalah umum

Masalah

Solusi:

Beberapa firmware produsen peralatan asli (OEM) mungkin tidak mengizinkan penginstalan pembaruan ini.

Untuk mengatasi masalah ini, hubungi OEM firmware Anda.

Jika BitLocker Kebijakan Grup Mengonfigurasi profil validasi platform TPM untuk konfigurasi firmware UEFI asli diaktifkan dan PCR7 dipilih oleh kebijakan, hal ini dapat mengakibatkan kunci pemulihan BitLocker diperlukan di beberapa perangkat di mana pengikatan PCR7 tidak dimungkinkan.

Untuk menampilkan status pengikatan PCR7, jalankan alat Informasi Sistem Microsoft (Msinfo32.exe) dengan izin administratif.

Untuk mengatasi masalah ini, lakukan salah satu hal berikut ini berdasarkan konfigurasi penjaga kredensial sebelum Anda menyebarkan pembaruan ini:

Pada perangkat yang tidak mengaktifkan Gard Kredensial, jalankan perintah berikut dari prompt perintah Administrator untuk menangguhkan BitLocker untuk 1 siklus boot ulang:
Manage-bde –Protectors –Disable C: -RebootCount 1

Lalu, hidupkan ulang perangkat untuk melanjutkan perlindungan BitLocker.

Catatan Jangan aktifkan proteksi BitLocker tanpa perlu memulai ulang perangkat karena akan menghasilkan pemulihan BitLocker.
Pada perangkat yang mengaktifkan Kredensial Guard, mungkin ada beberapa kali mulai ulang selama pembaruan yang mengharuskan BitLocker ditangguhkan. Jalankan perintah berikut dari prompt perintah Administrator untuk menangguhkan BitLocker untuk 3 siklus mulai ulang. Manage-bde –Protectors –Disable C: -RebootCount 3

Pembaruan ini diharapkan dapat memulai ulang sistem dua kali. Hidupkan ulang perangkat sekali lagi untuk melanjutkan proteksi BitLocker.

Catatan Jangan aktifkan proteksi BitLocker tanpa perlu memulai ulang karena akan menghasilkan pemulihan BitLocker.

Anda dapat memasukkan pemulihan Bitlocker jika pengaturan kebijakan grup BitLocker yang berkonflik dikonfigurasi setelah BitLocker diaktifkan di lingkungan. Pemulihan bitlocker dapat dipicu karena salah satu pengaturan Kebijakan Grup di bawah ini:

Forcing Explicit configuration of PCR bindings that is different from what is already chosen by BitLocker.
Mengonfigurasi GP "Allow Secure Boot for integrity validation" untuk dis-allow Secure boot untuk validasi integritas tetapi BitLocker sudah menggunakan secure boot (PCR7).
Mengonfigurasi Kebijakan Grup ke Memerlukan Autentikasi tambahan selama startup tetapi BitLocker telah dikonfigurasi sebelum menyebarkan kebijakan grup ini.

Jika pembaruan ini telah diterapkan dan perangkat belum dimulai ulang, tangguhkan BitLocker dan mulai ulang setelah mengikuti langkah-langkah berikut:

Jika konfigurasi PCR eksplisit telah diatur melalui kebijakan grup atau kebijakan dikonfigurasi untuk tidak memperbolehkan penggunaan boot aman untuk validasi integritas, Tangguhkan dan lanjutkan BitLocker untuk menghapus konflik GP.
Jika kebijakan Memerlukan Autentikasi tambahan selama startup dikonfigurasi agar memerlukan TPM dan PIN, jalankan perintah berikut dari prompt perintah Administratif dan masukkan PIN yang diinginkan: manage-bde -protectors -add c: -TPMAndPin
Jika kebijakan Perlu Autentikasi tambahan selama startup dikonfigurasi untuk memerlukan kunci startup, jalankan perintah berikut untuk membuat kunci startup: manage-bde -protectors -add c: -tpmandstartupkey <jalur ke direktori kunci eksternal>
Jika kebijakan Perlu Autentikasi tambahan selama mulai dikonfigurasi agar memerlukan kunci startup dan sematkan, jalankan perintah berikut ini dari prompt perintah Admin untuk membuat pin dan tombol startup. Ketika diminta, masukkan PIN yang diinginkan: manage-bde -protectors -add c: -tpmandpinandstartupkey <jalur ke direktori kunci eksternal>

Pembaruan ini mungkin tidak diinstal di perangkat dengan file boot manager non-Microsoft bootx64.efi yang tidak ditandatangani. Pembaruan ini mungkin ditawarkan dan dicabut ulang melalui Windows Update tetapi mungkin tidak diinstal. Saat Anda mencoba menginstal pembaruan ini secara manual, Anda mungkin menerima kesalahan, "Beberapa pembaruan tidak diinstal" mencantumkan KB4565680. Anda juga dapat memeriksa berkas Log CBS dalam %systemroot%\logs\cbs untuk kesalahan berikut:

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Kesalahan TRUST_E_NOSIGNATURE berasal dari fungsi Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Kami sedang mengerjakan resolusi dan memperkirakan solusi akan tersedia untuk Windows 10, versi 1909, Windows 10, versi 2004 dan Windows 10, versi 20H2 pada akhir Maret. Versi Windows yang didukung lainnya diperkirakan memiliki solusi yang tersedia pada pertengahan April.

Untuk panduan tambahan sebelum rilis resolusi, silakan hubungi produsen perangkat Anda (OEM).

Cara mendapatkan pembaruan ini

Metode 1: Windows Update

Pembaruan ini tersedia melalui Windows Update. File akan diunduh dan diinstal secara otomatis. 

Metode 2: Katalog Pembaruan Microsoft

Untuk mendapatkan paket mandiri untuk pembaruan ini, masuk ke situs web Katalog Pembaruan Microsoft.

Metode 3: Layanan Pembaruan Windows Server

Pembaruan ini juga tersedia melalui Windows Server Update Services (WSUS).

Prasyarat

Pastikan Anda telah menginstal pembaruan tumpukan pelayanan (SSU, Servis Stack Update) terbaru. Untuk informasi tentang SSU terbaru untuk sistem operasi Anda, lihat ADV990001 | Updates Tumpukan Pelayanan Terbaru.

Mulai ulang informasi

Perangkat Anda tidak perlu memulai ulang saat Anda menerapkan pembaruan ini. Jika Anda mengaktifkan Pertahanan Windows Kredensial Guard (Mode Aman Virtual), perangkat Anda akan dimulai ulang dua kali.

Memperbarui informasi penggantian

Pembaruan ini tidak menggantikan pembaruan yang dirilis sebelumnya.