IMPORTANTE Questo articolo è stato superato da KB5012170: Aggiornamento della sicurezza per l'avvio protetto DBX.
Si applica a
Questo aggiornamento della sicurezza si applica solo alle versioni seguenti di Windows:
-
Windows Server 2012 x64 bit
-
Windows Server 2012 R2 x64 bit
-
Windows 8.1 x64 bit
-
Windows Server 2016 x64 bit
-
Windows Server 2019 x64 bit
-
Windows 10, versione 1607 a x64 bit
-
Windows 10, versione 1803 x64 bit
-
Windows 10, versione 1809 x64 bit
-
Windows 10, versione 1909 a x64 bit
Riassunto
Questo aggiornamento della sicurezza apporta miglioramenti a Secure Boot DBX per le versioni di Windows supportate elencate nella sezione "Si applica a". Le principali modifiche includono quanto segue:
-
I dispositivi Windows con firmware basato su UEFI (Unified Extensible Firmware Interface) possono essere eseguiti con Avvio protetto abilitato. Il database DBX (Secure Boot Forbidden Signature Database) impedisce il caricamento dei moduli UEFI. Questo aggiornamento aggiunge moduli a DBX.
Esiste una vulnerabilità di bypass della funzionalità di sicurezza nell'avvio protetto. Un utente malintenzionato che ha sfruttato la vulnerabilità potrebbe ignorare l'avvio protetto e caricare software non attendibile.
Questo aggiornamento della sicurezza risolve la vulnerabilità aggiungendo le firme dei moduli UEFI vulnerabili noti al DBX.
Per ulteriori informazioni su questa vulnerabilità di protezione, vedi CVE-2020-0689 | Vulnerabilità bypass della funzionalità Microsoft Secure Boot Security.
Problemi noti
Problema |
Soluzione alternativa |
Alcuni firmware OEM (Original Equipment Manufacturer) potrebbero non consentire l'installazione di questo aggiornamento. |
Per risolvere il problema, contatta l'OEM del firmware. |
Se BitLocker Criteri di gruppo Configure TPM platform validation profile for native UEFI firmware configurations is enabled and PCR7 is selected by policy, it may result in it may result in bitLocker recovery key being required on some devices where PCR7 binding is not possible. Per visualizzare lo stato di associazione PCR7, eseguire lo strumento Microsoft System Information (Msinfo32.exe) con autorizzazioni amministrative. |
Per risolvere questo problema, eseguire una delle operazioni seguenti in base alla configurazione di protezione credenziali prima di distribuire questo aggiornamento:
|
È possibile immettere il ripristino di Bitlocker se le impostazioni dei criteri di gruppo bitLocker in conflitto sono configurate dopo l'abilitazione di BitLocker nell'ambiente. Il ripristino di BitLocker può essere attivato a causa di una delle impostazioni di Criteri di gruppo seguenti:
|
Se questo aggiornamento è già stato applicato e il dispositivo non si è riavviato, sospendi BitLocker e riavvia dopo aver eseguito i passaggi seguenti:
|
Questo aggiornamento potrebbe non essere installato nei dispositivi con un file di boot manager non firmato e non Microsoft bootx64.efi. Questo aggiornamento potrebbe essere offerto e offerto tramite Windows Update ma potrebbe non essere installato. Quando tenti di installare questo aggiornamento manualmente, potresti ricevere un errore "Alcuni aggiornamenti non sono stati installati" che elenca KB4565680. È anche possibile controllare il file di registro CBS in %systemroot%\logs\cbs per il seguente errore: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Errore TRUST_E_NOSIGNATURE originato nella funzione Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
Microsoft sta lavorando al problema e prevede che una soluzione sarà disponibile per Windows 10, versione 1909, Windows 10, versione 2004 e Windows 10, versione 20H2 alla fine di marzo. Si stima che le altre versioni supportate di Windows abbiano una soluzione disponibile a metà aprile. Per altre indicazioni prima del rilascio della risoluzione, contatta il produttore del dispositivo (OEM). |
Come ottenere l'aggiornamento
Metodo 1: Windows Update
Questo aggiornamento è disponibile tramite Windows Update. Verrà scaricato e installato automaticamente.
Metodo 2: Microsoft Update Catalog
Per scaricare il pacchetto autonomo per questo aggiornamento, vai al sito Web Microsoft Update Catalog.
Metodo 3: Windows Server Update Services
Questo aggiornamento è disponibile anche tramite Windows Server Update Services (WSUS).
Prerequisiti
Assicurati di avere installato l'ultimo aggiornamento dello stack di manutenzione. Per informazioni sull'aggiornamento dello stack di manutenzione più recente per il sistema operativo in uso, vedi ADV990001 | Ultimo Aggiornamenti dello stack di manutenzione.
Informazioni sul riavvio
Non è necessario riavviare il dispositivo quando si applica questo aggiornamento. Se è abilitata Windows Defender Credential Guard (modalità protetta virtuale), il dispositivo verrà riavviato due volte.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento non sostituisce gli aggiornamenti rilasciati in precedenza.
Informazioni sui file
Windows 10, versione 1909
Nome file |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.
Nome file |
Dimensioni file |
Data |
Ora |
Dbupdate.bin |
46 |
23-settembre 2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23-settembre 2019 |
23:13 |
Dbupdate.bin |
46 |
23-settembre 2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23-settembre 2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23-settembre 2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23-settembre 2019 |
23:13 |
Windows 10, versione 1809 e Windows Server 2019
Nome file |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.
Nome file |
Dimensioni file |
Data |
Ora |
Dbupdate.bin |
46 |
25 settembre 2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25 settembre 2019 |
01:14 |
Dbupdate.bin |
46 |
25 settembre 2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25 settembre 2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25 settembre 2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25 settembre 2019 |
01:14 |
Windows 10, versione 1803
Nome file |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
La versione inglese (Stati Uniti) di questo aggiornamento software consente di installare i file con gli attributi elencati nelle tabelle seguenti.
Nome file |
Versione file |
Dimensioni file |
Data |
Ora |
Dbupdate.bin |
Non applicabile |
3 |
30-Ott-2017 |
01:01 |
Dbxupdate.bin |
Non applicabile |
7,361 |
10 settembre 2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51.712 |
10 settembre 2019 |
03:55 |
Windows 10, versione 1607 e Windows Server 2016
Nome file |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.
Nome file |
Versione file |
Dimensioni file |
Data |
Ora |
Dbupdate.bin |
Non applicabile |
2 |
03-settembre 2019 |
22:05 |
Dbxupdate.bin |
Non applicabile |
7,361 |
12-settembre 2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44.032 |
16-settembre 2019 |
05:04 |
Windows 8.1 e Windows Server 2012 R2
Nome file |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.
Nome file |
Versione file |
Dimensioni file |
Data |
Ora |
Dbupdate.bin |
Non applicabile |
2 |
25 settembre 2019 |
04.21 |
Dbxupdate.bin |
Non applicabile |
7,361 |
25 settembre 2019 |
04.21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25 settembre 2019 |
06:30 |
Windows Server 2012
Nome file |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.
Nome file |
Versione file |
Dimensioni file |
Data |
Ora |
Dbupdate.bin |
Non applicabile |
2 |
20 giugno 2019 |
00:06 |
Dbxupdate.bin |
Non applicabile |
7,361 |
10 settembre 2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95.232 |
25 settembre 2019 |
04:30 |
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.