Pembaruan keamanan untuk boot DBX aman: 12 Januari 2021

Berlaku untuk

Pembaruan keamanan ini hanya berlaku untuk versi Windows berikut ini:

  • Windows Server 2012 x64-bit

  • Windows Server 2012 R2 x64-bit

  • Windows 8,1 x64-bit

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10, versi 1607 x64-bit

  • Windows 10, versi 1803 x64-bit

  • Windows 10, versi 1809 x64-bit

  • Windows 10, versi 1909 x64-bit

Ringkasan

Pembaruan keamanan ini membuat penyempurnaan untuk mengamankan boot DBX untuk versi Windows yang didukung yang tercantum di bagian "berlaku untuk". Perubahan utama meliputi hal berikut ini:

  • Perangkat Windows yang memiliki firmware terpadu extensible firmware Interface (UEFI) yang dapat dijalankan dengan booting aman yang diaktifkan. Database tanda tangan aman boot Forbidden (DBX) mencegah modul UEFI dimuat. Pembaruan ini menambahkan modul ke DBX.

    Kerentanan bypass fitur keamanan ada di boot aman. Penyerang yang berhasil dieksploitasi kerentanan mungkin mengabaikan boot aman dan memuat perangkat lunak yang tidak tepercaya.

    Pembaruan keamanan ini membahas kerentanan dengan menambahkan tanda tangan dari modul UEFI rentan yang diketahui ke DBX.

Untuk mempelajari selengkapnya tentang kerentanan keamanan ini, lihat CVE-2020-0689 | Kerentanan bypass fitur keamanan boot Microsoft aman.

Masalah yang diketahui

Kembali

Penyelesaian Masalah

Beberapa firmware produsen peralatan asli (OEM) mungkin tidak memperbolehkan penginstalan pembaruan ini.

Untuk mengatasi masalah ini, hubungi OEM firmware Anda.

Jika kebijakan grup BitLocker mengonfigurasi profil validasi platform TPM untuk konfigurasi firmware UEFI asli yang DIAKTIFKAN dan PCR7 dipilih berdasarkan kebijakan, maka mungkin mengakibatkan kunci pemulihan BitLocker yang diperlukan pada beberapa perangkat yang tidak memungkinkan pengikatan PCR7.

Untuk menampilkan PCR7 binding status, jalankan alat Microsoft System Information (Msinfo32.exe) dengan izin administratif.

Untuk mengatasi masalah ini, lakukan salah satu hal berikut ini berdasarkan konfigurasi penjaga kredensial sebelum Anda menyebarluaskan pembaruan ini:

  • Pada perangkat yang tidak memiliki kredensial Gard diaktifkan, jalankan perintah berikut dari wantian perintah administrator untuk menangguhkan BitLocker untuk 1 siklus reboot:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Lalu, mulai ulang perangkat untuk melanjutkan proteksi BitLocker.

    Catatan Jangan Aktifkan proteksi BitLocker tanpa perlu lagi memulai ulang perangkat karena akan mengakibatkan pemulihan BitLocker.

  • Pada perangkat yang memiliki penjaga kredensial diaktifkan, mungkin ada beberapa restart selama pembaruan yang mengharuskan BitLocker ditunda. Jalankan perintah berikut ini dari wantian perintah administrator untuk menangguhkan BitLocker selama 3 mulai siklus. Kelola-BDE – Protektor – Nonaktifkan C:-RebootCount 3

    Pembaruan ini diharapkan untuk memulai ulang sistem dua kali. Mulai ulang perangkat sekali lagi untuk melanjutkan proteksi BitLocker.

    Catatan Jangan Aktifkan proteksi BitLocker tanpa restart Selain itu akan mengakibatkan pemulihan BitLocker.

Anda dapat memasukkan pemulihan BitLocker jika pengaturan kebijakan grup BitLocker yang berkonflik dikonfigurasi setelah BitLocker diaktifkan di lingkungan. Pemulihan BitLocker dapat dipicu karena salah satu pengaturan kebijakan grup di bawah ini:

Jika pembaruan telah diterapkan dan perangkat tidak dimulai ulang, tangguhkan BitLocker dan mulai ulang setelah mengikuti langkah-langkah di bawah ini:

  • Jika konfigurasi PCR eksplisit telah diatur melalui kebijakan grup atau kebijakan dikonfigurasi untuk tidak mengizinkan penggunaan boot aman untuk validasi integritas, tangguhkan dan lanjutkan BitLocker untuk menghapus konflik GP.

  • Jika memerlukan autentikasi tambahan selama kebijakan startup dikonfigurasikan untuk memerlukan TPM dan pin, jalankan perintah berikut ini dari perintah administratif Command dan masukkan PIN yang diinginkan: Kelola-BDE-Protektor-Add c:-tpmandpin

  • Jika memerlukan autentikasi tambahan selama kebijakan startup dikonfigurasikan untuk memerlukan tombol mulai, jalankan perintah berikut ini untuk membuat kunci startup: Kelola-BDE-Protektor-Tambahkan c:-tpmandstartupkey <path to external Key Directory>

  • Jika memerlukan autentikasi tambahan selama kebijakan startup dikonfigurasikan untuk memerlukan kunci dan pin startup, jalankan perintah berikut dari prompt perintah admin untuk membuat tombol Sematkan dan pin. Saat diminta, masukkan PIN yang diinginkan: Kelola-BDE-Protektor-Tambahkan c: -tpmandpinandstartupkey jalur <ke direktori kunci eksternal>

Cara mendapatkan pembaruan ini

Metode 1: pembaruan Windows 

Pembaruan ini tersedia melalui pembaruan Windows. Akan diunduh dan diinstal secara otomatis.  

Metode 2: Katalog Pembaruan Microsoft 

Untuk mendapatkan paket mandiri untuk pembaruan ini, masuk ke situs web Katalog Pembaruan Microsoft .

Metode 3: Layanan pembaruan Windows Server

Pembaruan ini juga tersedia melalui Windows Server Update Services (WSUS).

Prasyarat

Pastikan Anda memiliki pembaruan stack Layanan (SSU) yang diinstal. Untuk informasi tentang SSU terbaru untuk sistem operasi Anda, lihat ADV990001 | Pembaruan tumpukan layanan terbaru.

Informasi mulai ulang 

Perangkat Anda tidak harus memulai ulang saat Anda menerapkan pembaruan ini. Jika Anda memiliki pengawal kredensial Windows Defender (virtual Secure mode), perangkat Anda akan dimulai ulang dua kali.

Informasi penggantian pemutakhiran 

Pembaruan ini tidak menggantikan pembaruan yang dirilis sebelumnya.

Informasi berkas

Windows 10, versi 1909 

Nama file

Hash SHA1

Hash SHA256

Windows 10.0-Kb4535680-x64. MSU

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Versi bahasa Inggris (Amerika Serikat) dari pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut.

Nama file

Ukuran file

Tanggal

Waktu

Dbupdate. bin

46

23-Sep-2019

23:13

Dbxupdate. bin

1.368

23-Sep-2019

23:13

Dbupdate. bin

46

23-Sep-2019

23:13

Dbxupdate. bin

2.840

23-Sep-2019

23:13

Tpmtasks.dll

3.339

23-Sep-2019

23:13

Tpmtasks.dll

2.892

23-Sep-2019

23:13

Windows 10, versi 1809 dan Windows Server 2019

Nama file

Hash SHA1

Hash SHA256

Windows 10.0-Kb4535680-x64. MSU

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Versi bahasa Inggris (Amerika Serikat) dari pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut.

Nama file

Ukuran file

Tanggal

Waktu

Dbupdate. bin

46

25-Sep-2019

01:14

Dbxupdate. bin

1.368

25-Sep-2019

01:14

Dbupdate. bin

46

25-Sep-2019

01:14

Dbxupdate. bin

2.840

25-Sep-2019

01:14

Tpmtasks.dll

1.998

25-Sep-2019

01:14

Tpmtasks.dll

1.568

25-Sep-2019

01:14

Windows 10, versi 1803

Nama file

Hash SHA1

Hash SHA256

Windows 10.0-Kb4535680-x64. MSU

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Versi bahasa Inggris (Amerika Serikat) dari pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut ini.

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate. bin

Not applicable

bintang

30-Oct-2017

01:01

Dbxupdate. bin

Not applicable

7.361

10-Sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51.712

10-Sep-2019

03:55

Windows 10, versi 1607 dan Windows Server 2016

Nama file

Hash SHA1

Hash SHA256

Windows 10.0-Kb4535680-x64. MSU

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Versi bahasa Inggris (Amerika Serikat) dari pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut. 

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate. bin

Not applicable

2

03-Sep-2019

22:05

Dbxupdate. bin

Not applicable

7.361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44.032

16-Sep-2019

05:04

Windows 8,1 dan Windows Server 2012 R2

Nama file

Hash SHA1

Hash SHA256

Windows 8.1-KB4535680-x64. MSU

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Versi bahasa Inggris (Amerika Serikat) dari pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut.

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate. bin

Not applicable

2

25-Sep-2019

04:21

Dbxupdate. bin

Not applicable

7.361

25-Sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176.128

25-Sep-2019

06:30


Windows Server 2012

Nama file

Hash SHA1

Hash SHA256

Windows8-RT-KB4535680-x64. MSU

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Versi bahasa Inggris (Amerika Serikat) dari pembaruan perangkat lunak ini menginstal file yang memiliki atribut yang tercantum dalam tabel berikut. 

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Dbupdate. bin

Not applicable

2

20-Jun-2019

00:06

Dbxupdate. bin

Not applicable

7.361

10-Sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95.232

25-Sep-2019

04:30

Referensi

Pelajari tentang terminologi yang digunakan Microsoft untuk menjelaskan pembaruan perangkat lunak.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×