適用先
Windows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

重要 この記事は、KB5012170: セキュア ブート DBX 用のセキュリティ更新プログラムに置き換えられます。

適用対象

このセキュリティ更新プログラムは、以下の Windows バージョンにのみ適用されます。

  • Windows Server 2012 x64 ビット

  • Windows Server 2012 R2 x64 ビット

  • Windows 8.1 x64 ビット

  • Windows Server 2016 x64 ビット

  • Windows Server 2019 x64 ビット

  • Windows 10 Version 1607 x64 ビット

  • Windows 10、バージョン 1803 x64 ビット

  • Windows 10、バージョン 1809 x64 ビット

  • Windows 10、バージョン 1909 x64 ビット 

要約

このセキュリティ更新プログラムは、「適用対象」セクションに記載されているサポートされている Windows バージョンのセキュア ブート DBX を改善します。 主要な変更点としては、次のようなものがあります。 

  • Unified Extensible Firmware Interface (UEFI) ベースのファームウェアを搭載した Windows デバイスは、セキュア ブートを有効にして実行できます。 Secure Boot Forbidden Signature Database (DBX) により、UEFI モジュールの読み込みができなくなります。 この更新プログラムにより、モジュールが DBX に追加されます。 セキュア ブートにセキュリティ機能のバイパスの脆弱性が存在します。 脆弱性の悪用に成功した攻撃者は、セキュア ブートをバイパスし、信頼できないソフトウェアを読み込む可能性があります。 このセキュリティ更新プログラムは、既知の脆弱な UEFI モジュールの署名を DBX に追加することにより、この脆弱性に対処します。

このセキュリティの脆弱性の詳細については、「CVE-2020-0689 | Microsoft セキュア ブートセキュリティ機能のバイパスの脆弱性」を参照してください。

既知の問題

問題

回避策

一部の相手先ブランド供給 (OEM) ファームウェアでは、この更新プログラムのインストールが許可されていない場合があります。

この問題を解決するには、ファームウェア OEM にお問い合わせください。

BitLocker グループ ポリシー [ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] が有効で、ポリシーによって PCR7 が選択されている場合、PCR7 バインドが不可能な一部のデバイスで BitLocker 回復キーが必要になる場合があります。

PCR7 バインド状態を表示するには、管理者権限で Microsoft システム情報 (Msinfo32.exe) ツールを実行します。

この問題を回避するには、この更新プログラムを展開する前に、Credential Guard の構成に基づいて次のいずれかを実行します。

  • Credential Guard が有効になっていないデバイスで、管理者コマンド プロンプトから次のコマンドを実行して、BitLocker を 1 回の再起動サイクルで一時停止します。

    Manage-bde –Protectors –Disable C: -RebootCount 1

    次に、デバイスを再起動して BitLocker 保護を再開します。 BitLocker の回復が発生するため、デバイスを追加で再起動せずに BitLocker 保護を有効にしないでください。

  • Credential Guard が有効になっているデバイスでは、更新中に BitLocker の中断が必要な再起動が複数回発生する場合があります。 管理者コマンド プロンプトから次のコマンドを実行して、BitLocker を 3 回の再起動サイクルで一時停止します。 Manage-bde –保護機能の –無効化 C: -RebootCount 3

    この更新プログラムにより、システムが 2 回再起動する予定です。 デバイスをもう一度再起動して、BitLocker 保護を再開します。

    BitLocker の回復につながるため、追加で再起動せずに BitLocker 保護を有効にしないでください。

環境で BitLocker が有効になった後に競合する BitLocker グループ ポリシー設定が構成されている場合は、Bitlocker 回復を入力できます。 次のいずれかのグループ ポリシー設定により、Bitlocker 回復をトリガーできます。

この更新プログラムが既に適用されていて、デバイスが再起動されていない場合は、次の手順に従って BitLocker を中断し、再起動します。

  • 明示的な PCR 構成がグループ ポリシーを使用して設定されているか、ポリシーが整合性検証にセキュア ブートの使用を禁止するように構成されている場合は、BitLocker を中断および再開して GP の競合をクリアします。

  • 起動時に追加の認証を要求する ポリシーが TPM と PIN を要求するように構成されている場合、 管理コマンド プロンプトから次のコマンドを実行し、目的の PIN を入力します: manage-bde -protectors -add c: -TPMAndPin

  • スタートアップ 時に追加の認証を要求する ポリシーがスタートアップ キーを必要とするように構成されている場合は、次のコマンドを実行してスタートアップ キーを作成します: manage-bde -protectors -add c: -tpmandstartupkey  <外部キー ディレクトリへのパス>

  • 起動時に追加の認証を要求する ポリシーがスタートアップ キーと PIN を必要とするように構成されている場合、 管理コマンド プロンプトから次のコマンドを実行して、Pin キーとスタートアップ キーを作成します。 プロンプトが表示されたら、必要な PIN を 入力します: manage-bde -protectors -add c: -tpmandpinandstartupkey <外部キー ディレクトリへのパス>

この更新プログラムは、Microsoft 以外の署名されていない bootx64.efi ブート マネージャー ファイルを持つデバイスにはインストールされない可能性があります。  この更新プログラムは、Windows Updateを通じて提供および提供される可能性がありますが、インストールされない可能性があります。  この更新プログラムを手動でインストールしようとすると、「一部の更新プログラムがインストールされませんでした」というエラーが表示され、KB4565680 が一覧表示される場合があります。  %systemroot%\logs\cbs の CBS ログ ファイルで次のエラーを確認することもできます: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Error TRUST_E_NOSIGNATURE originated in function Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

解決に取り組んでおり、Windows 10、バージョン 1909、Windows 10、バージョン 2004、Windows 10、バージョン 20H2 のソリューションが 3 月末に利用可能になると見積もっています。  サポートされている残りのバージョンの Windows では、4 月中旬にソリューションが利用可能と見積もられます。

解決策のリリース前の追加のガイダンスについては、デバイスの製造元 (OEM) にお問い合わせください。

この更新プログラムの入手方法

方法 1: Windows Update 

この更新プログラムは、Windows Update を介して利用可能です。 ダウンロードとインストールは自動的に行われます。  

方法 2: Microsoft Update カタログ 

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに アクセスしてください。

方法 3: Windows Server 更新サービス

この更新プログラムは、Windows Server Update Services (WSUS) を介して入手することもできます。

前提条件

最新のサービス スタック更新プログラム (SSU) がインストールされていることを確認します。 お使いのオペレーティング システムの最新の SSU の詳細については、「ADV990001 | 最新のサービス スタック更新プログラム」 を参照してください。

再起動に関する情報 

この更新プログラムを適用するときに、デバイスを再起動する必要はありません。 Windows Defender Credential Guard (仮想セキュア モード) を有効にしている場合、デバイスは 2 回再起動されます。

更新プログラムの置き換えに関する情報 

この更新プログラムを適用しても、これまでにリリースされた更新プログラムが置き換えられることはありません。

ファイル情報

Windows 10 Version 1909 

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

ファイル名

ファイル サイズ

日付

時刻

Dbupdate.bin

46

2019 年 9 月 23 日

23:13

Dbxupdate.bin

1,368

2019 年 9 月 23 日

23:13

Dbupdate.bin

46

2019 年 9 月 23 日

23:13

Dbxupdate.bin

2,840

2019 年 9 月 23 日

23:13

Tpmtasks.dll

3,339

2019 年 9 月 23 日

23:13

Tpmtasks.dll

2,892

2019 年 9 月 23 日

23:13

Windows 10 Version 1809 および Windows Server 2019

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

ファイル名

ファイル サイズ

日付

時刻

Dbupdate.bin

46

2019 年 9 月 25 日

1,401

Dbxupdate.bin

1,368

2019 年 9 月 25 日

1,401

Dbupdate.bin

46

2019 年 9 月 25 日

1,401

Dbxupdate.bin

2,840

2019 年 9 月 25 日

1,401

Tpmtasks.dll

1,998

2019 年 9 月 25 日

1,401

Tpmtasks.dll

1,568

2019 年 9 月 25 日

1,401

Windows 10 Version 1803

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

英語 (米国) バージョンのこのソフトウェア更新プログラムで、次の一覧の属性を持つファイルがインストールされます。

ファイル名

ファイルのバージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

該当なし

3

2017 年 10 月 30 日

01:01

Dbxupdate.bin

該当なし

7,361

2019 年 9 月 10 日

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

2019 年 9 月 10 日

03:55

Windows 10、バージョン 1607 および Windows Server 2016

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。 

ファイル名

ファイルのバージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

該当なし

2

2019 年 9 月 3 日

22:05

Dbxupdate.bin

該当なし

7,361

2019 年 9 月 12 日

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

2019 年 9 月 16 日

05:04

Windows 8.1 および Windows Server 2012 R2

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

ファイル名

ファイルのバージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

該当なし

2

2019 年 9 月 25 日

21:04

Dbxupdate.bin

該当なし

7,361

2019 年 9 月 25 日

21:04

Tpmtasks.dll

6.3.9600.19501

176,128

2019 年 9 月 25 日

06:30

Windows Server 2012

ファイル名

SHA1 ハッシュ

SHA256 ハッシュ

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。 

ファイル名

ファイルのバージョン

ファイル サイズ

日付

時刻

Dbupdate.bin

該当なし

2

2019 年 6 月 20 日

00:06

Dbxupdate.bin

該当なし

7,361

2019 年 9 月 10 日

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

2019 年 9 月 25 日

16:30

参考文献

Microsoft がソフトウェア更新プログラムについて説明するために使用する 用語 について説明します。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター