Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

IMPORTANTE Questo articolo è stato superato da KB5012170: Aggiornamento della sicurezza per l'avvio protetto DBX.

Si applica a

Questo aggiornamento della sicurezza si applica solo alle versioni seguenti di Windows:

  • Windows Server 2012 x64 bit

  • Windows Server 2012 R2 x64 bit

  • Windows 8.1 x64 bit

  • Windows Server 2016 x64 bit

  • Windows Server 2019 x64 bit

  • Windows 10, versione 1607 a x64 bit

  • Windows 10, versione 1803 x64 bit

  • Windows 10, versione 1809 x64 bit

  • Windows 10, versione 1909 a x64 bit 

Riassunto

Questo aggiornamento della sicurezza apporta miglioramenti a Secure Boot DBX per le versioni di Windows supportate elencate nella sezione "Si applica a". Le principali modifiche includono quanto segue: 

  • I dispositivi Windows con firmware basato su UEFI (Unified Extensible Firmware Interface) possono essere eseguiti con Avvio protetto abilitato. Il database DBX (Secure Boot Forbidden Signature Database) impedisce il caricamento dei moduli UEFI. Questo aggiornamento aggiunge moduli a DBX.

    Esiste una vulnerabilità di bypass della funzionalità di sicurezza nell'avvio protetto. Un utente malintenzionato che ha sfruttato la vulnerabilità potrebbe ignorare l'avvio protetto e caricare software non attendibile.

    Questo aggiornamento della sicurezza risolve la vulnerabilità aggiungendo le firme dei moduli UEFI vulnerabili noti al DBX.

Per ulteriori informazioni su questa vulnerabilità di protezione, vedi CVE-2020-0689 | Vulnerabilità bypass della funzionalità Microsoft Secure Boot Security.

Problemi noti

Problema

Soluzione alternativa

Alcuni firmware OEM (Original Equipment Manufacturer) potrebbero non consentire l'installazione di questo aggiornamento.

Per risolvere il problema, contatta l'OEM del firmware.

Se BitLocker Criteri di gruppo Configure TPM platform validation profile for native UEFI firmware configurations is enabled and PCR7 is selected by policy, it may result in it may result in bitLocker recovery key being required on some devices where PCR7 binding is not possible.

Per visualizzare lo stato di associazione PCR7, eseguire lo strumento Microsoft System Information (Msinfo32.exe) con autorizzazioni amministrative.

Per risolvere questo problema, eseguire una delle operazioni seguenti in base alla configurazione di protezione credenziali prima di distribuire questo aggiornamento:

  • In un dispositivo in cui Credential Gard non è abilitato, esegui il comando seguente da un prompt dei comandi dell'amministratore per sospendere BitLocker per un ciclo di riavvio:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Riavvia quindi il dispositivo per riprendere la protezione BitLocker.

    Nota Non abilitare la protezione BitLocker senza riavviare ulteriormente il dispositivo in quanto si tradurrà in un ripristino di BitLocker.

  • In un dispositivo in cui è abilitato Credential Guard potrebbero essere presenti più riavvii durante l'aggiornamento che richiedono la sospensione di BitLocker. Esegui il comando seguente da un prompt dei comandi dell'amministratore per sospendere BitLocker per 3 cicli di riavvio. Manage-bde -Protectors –Disable C: -RebootCount 3

    Questo aggiornamento dovrebbe riavviare il sistema due volte. Riavvia di nuovo il dispositivo per riprendere la protezione BitLocker.

    Nota Non abilitare la protezione BitLocker senza riavviare ulteriormente, perché ciò comporterebbe il ripristino di BitLocker.

È possibile immettere il ripristino di Bitlocker se le impostazioni dei criteri di gruppo bitLocker in conflitto sono configurate dopo l'abilitazione di BitLocker nell'ambiente. Il ripristino di BitLocker può essere attivato a causa di una delle impostazioni di Criteri di gruppo seguenti:

Se questo aggiornamento è già stato applicato e il dispositivo non si è riavviato, sospendi BitLocker e riavvia dopo aver eseguito i passaggi seguenti:

  • Se è stata impostata una configurazione PCR esplicita tramite criteri di gruppo o se è configurato un criterio per impedire l'uso dell'avvio protetto per la convalida dell'integrità, sospendi e riattiva BitLocker per cancellare i conflitti relativi ai criteri di gruppo.

  • Se il criterio Richiedi autenticazione aggiuntiva durante l'avvio è configurato per richiedere TPM e PIN, esegui il comando seguente da un prompt dei comandi amministrativo e immetti il PIN desiderato: manage-bde -protectors -add c: -TPMAndPin

  • Se il criterio Richiedi autenticazione aggiuntiva durante l'avvio è configurato per richiedere una chiave di avvio, esegui il comando seguente per creare la chiave di avvio: manage-bde -protectors -add c: -tpmandstartupkey <percorso alla directory di chiave esterna>

  • Se il criterio Richiedi autenticazione aggiuntiva durante l'avvio è configurato per richiedere la chiave di avvio e il pin, eseguire il comando seguente da Amministrazione prompt dei comandi per creare Pin e chiave di avvio. Quando richiesto, immetti il PIN desiderato: manage-bde -protectors -add c: -tpmandpinandstartupkey <percorso alla directory di chiave esterna>

Questo aggiornamento potrebbe non essere installato nei dispositivi con un file di boot manager non firmato e non Microsoft bootx64.efi.  Questo aggiornamento potrebbe essere offerto e offerto tramite Windows Update ma potrebbe non essere installato.  Quando tenti di installare questo aggiornamento manualmente, potresti ricevere un errore "Alcuni aggiornamenti non sono stati installati" che elenca KB4565680.  È anche possibile controllare il file di registro CBS in %systemroot%\logs\cbs per il seguente errore: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Errore TRUST_E_NOSIGNATURE originato nella funzione Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Microsoft sta lavorando al problema e prevede che una soluzione sarà disponibile per Windows 10, versione 1909, Windows 10, versione 2004 e Windows 10, versione 20H2 alla fine di marzo.  Si stima che le altre versioni supportate di Windows abbiano una soluzione disponibile a metà aprile.

Per altre indicazioni prima del rilascio della risoluzione, contatta il produttore del dispositivo (OEM).

Come ottenere l'aggiornamento

Metodo 1: Windows Update 

Questo aggiornamento è disponibile tramite Windows Update. Verrà scaricato e installato automaticamente.  

Metodo 2: Microsoft Update Catalog 

Per scaricare il pacchetto autonomo per questo aggiornamento, vai al sito Web Microsoft Update Catalog.

Metodo 3: Windows Server Update Services

Questo aggiornamento è disponibile anche tramite Windows Server Update Services (WSUS).

Prerequisiti

Assicurati di avere installato l'ultimo aggiornamento dello stack di manutenzione. Per informazioni sull'aggiornamento dello stack di manutenzione più recente per il sistema operativo in uso, vedi ADV990001 | Ultimo Aggiornamenti dello stack di manutenzione.

Informazioni sul riavvio 

Non è necessario riavviare il dispositivo quando si applica questo aggiornamento. Se è abilitata Windows Defender Credential Guard (modalità protetta virtuale), il dispositivo verrà riavviato due volte.

Informazioni sulla sostituzione dell'aggiornamento 

Questo aggiornamento non sostituisce gli aggiornamenti rilasciati in precedenza.

Informazioni sui file

Windows 10, versione 1909 

Nome file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.

Nome file

Dimensioni file

Data

Ora

Dbupdate.bin

46

23-settembre 2019

23:13

Dbxupdate.bin

1,368

23-settembre 2019

23:13

Dbupdate.bin

46

23-settembre 2019

23:13

Dbxupdate.bin

2,840

23-settembre 2019

23:13

Tpmtasks.dll

3,339

23-settembre 2019

23:13

Tpmtasks.dll

2,892

23-settembre 2019

23:13

Windows 10, versione 1809 e Windows Server 2019

Nome file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.

Nome file

Dimensioni file

Data

Ora

Dbupdate.bin

46

25 settembre 2019

01:14

Dbxupdate.bin

1,368

25 settembre 2019

01:14

Dbupdate.bin

46

25 settembre 2019

01:14

Dbxupdate.bin

2,840

25 settembre 2019

01:14

Tpmtasks.dll

1,998

25 settembre 2019

01:14

Tpmtasks.dll

1,568

25 settembre 2019

01:14

Windows 10, versione 1803

Nome file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

La versione inglese (Stati Uniti) di questo aggiornamento software consente di installare i file con gli attributi elencati nelle tabelle seguenti.

Nome file

Versione file

Dimensioni file

Data

Ora

Dbupdate.bin

Non applicabile

3

30-Ott-2017

01:01

Dbxupdate.bin

Non applicabile

7,361

10 settembre 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51.712

10 settembre 2019

03:55

Windows 10, versione 1607 e Windows Server 2016

Nome file

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente. 

Nome file

Versione file

Dimensioni file

Data

Ora

Dbupdate.bin

Non applicabile

2

03-settembre 2019

22:05

Dbxupdate.bin

Non applicabile

7,361

12-settembre 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44.032

16-settembre 2019

05:04

Windows 8.1 e Windows Server 2012 R2

Nome file

Hash SHA1

Hash SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente.

Nome file

Versione file

Dimensioni file

Data

Ora

Dbupdate.bin

Non applicabile

2

25 settembre 2019

04.21

Dbxupdate.bin

Non applicabile

7,361

25 settembre 2019

04.21

Tpmtasks.dll

6.3.9600.19501

176,128

25 settembre 2019

06:30


Windows Server 2012

Nome file

Hash SHA1

Hash SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

La versione inglese (Stati Uniti) di questo aggiornamento software installa i file con gli attributi elencati nella tabella seguente. 

Nome file

Versione file

Dimensioni file

Data

Ora

Dbupdate.bin

Non applicabile

2

20 giugno 2019

00:06

Dbxupdate.bin

Non applicabile

7,361

10 settembre 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95.232

25 settembre 2019

04:30

Riferimenti

Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×