Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

SVARBU Šį straipsnį pakeičia KB5012170: Saugos naujinimas, skirtas saugiosios įkrovos DBX.

Taikoma

Šis saugos naujinimas taikomas tik šioms "Windows" versijoms:

  • "Windows Server 2012" x64 bitų versija

  • "Windows Server 2012 R2" x64 bitų versija

  • "Windows 8",1 x64 bitų

  • "Windows Server 2016" x64 bitų versija

  • "Windows Server 2019" x64 bitų versija

  • Windows 10, 1607 x64 bitų versija

  • Windows 10 1803 x64 bitų versija

  • Windows 10 1809 x64 bitų versija

  • Windows 10 1909 x64 bitų versija 

Suvestinė

Šis saugos naujinimas pagerina apsaugotos įkrovos DBX palaikomoms "Windows" versijoms, nurodytoms skyriuje "Taikoma". Pagrindiniai pakeitimai: 

  • "Windows" įrenginiai, kuriuose yra bendroji išplėstinė programinės-aparatinės įrangos sąsaja (UEFI) pagrįsta programinė-aparatinė įranga, gali veikti su įgalinta saugiąja įkrova. Saugiosios įkrovos draudžiamos parašo duomenų bazės (DBX) neleidžia įkelti UEFI modulių. Šis naujinimas įtraukia modulius į DBX.

    Saugiojoje įkrovoje yra saugos funkcijos apėjimo pažeidžiamumas. Pažeidėjas, sėkmingai išnaudojęs pažeidžiamumą, gali apeiti saugią įkrovą ir įkelti nepatikimą programinę įrangą.

    Šis saugos naujinimas išsprendžia pažeidžiamumą įtraukdamas žinomų pažeidžiamų UEFI modulių parašus į DBX.

Norėdami sužinoti daugiau apie šį saugos pažeidžiamumą, žr . CVE-2020-0689 | "Microsoft" saugiosios įkrovos saugos funkcijos apėjimo pažeidžiamumas.

Žinomos problemos

Problema

Sprendimas

Kai kurios originalios įrangos gamintojo (OĮG) programinė-aparatinė įranga gali neleisti diegti šio naujinimo.

Norėdami išspręsti šią problemą, kreipkitės į programinės-aparatinės įrangos OĮG.

Jei "BitLocker" Grupės strategija Konfigūruoti TPM platformos tikrinimo profilį vietinėms UEFI programinės-aparatinės įrangos konfigūracijoms ir PCR7 pasirinkta pagal strategiją, kai kuriuose įrenginiuose, kuriuose PCR7 susiejimas neįmanomas, gali reikėti "BitLocker" atkūrimo rakto.

Norėdami peržiūrėti PCR7 susiejimo būseną, paleiskite "Microsoft" sistemos informacijos (Msinfo32.exe) įrankį administratoriaus teisėmis.

Norėdami išspręsti šią problemą, atlikite vieną iš toliau nurodytų veiksmų, atsižvelgdami į kredencialų apsaugos konfigūraciją prieš diegdami šį naujinimą:

  • Įrenginyje, kuriame neįgalintas kredencialų gardas, paleiskite šią administratoriaus komandą iš administratoriaus komandinės eilutės, kad sustabdytumėte "BitLocker" 1 perkrovimo ciklui:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Tada iš naujo paleiskite įrenginį, kad pratęstumėte "BitLocker" apsaugą.

    Pastaba Neįjunkite "BitLocker" apsaugos be papildomai iš naujo paleisdami įrenginį, nes tai lemtų "BitLocker" atkūrimą.

  • Įrenginyje, kuriame įjungta "Credential Guard", naujinimo metu gali būti keli paleidimai iš naujo, kuriems reikia sustabdyti "BitLocker". Vykdykite šią administratoriaus komandą iš administratoriaus komandinės eilutės, kad sustabdytumėte "BitLocker" 3 paleidimo iš naujo ciklus. Manage-bde -Protectors -Disable C: -RebootCount 3

    Tikimasi, kad šis naujinimas du kartus iš naujo paleis sistemą. Dar kartą paleiskite įrenginį iš naujo, kad tęstumėte "BitLocker" apsaugą.

    Pastaba Nejunkite "BitLocker" apsaugos be pakartotinio paleidimo iš naujo, nes tai lemtų "BitLocker" atkūrimą.

Galite įvesti "BitLocker" atkūrimą, jei nesuderinami "BitLocker" grupės strategijos parametrai sukonfigūruoti aplinkoje įgalinus "BitLocker". "BitLocker" atkūrimas gali būti paleistas dėl bet kurio iš toliau pateiktų Grupės strategija parametrų:

Jei šis naujinimas jau pritaikytas ir įrenginys nebuvo paleistas iš naujo, sustabdykite "BitLocker" ir paleiskite iš naujo atlikdami toliau nurodytus veiksmus:

  • Jei atskira PCR konfigūracija nustatyta naudojant grupės strategiją arba strategija sukonfigūruota neleisti naudoti saugios įkrovos vientisumo tikrinimui, sustabdykite ir tęskite "BitLocker", kad išvalytumėte GP konfliktus.

  • Jei strategija Reikalauti papildomo autentifikavimo paleisties metu sukonfigūruota reikalauti TPM ir PIN, administravimo komandinėje eilutėje vykdykite šią komandą ir įveskite norimą PIN: manage-bde -protectors -add c: -TPMAndPin

  • Jei strategija Reikalauti papildomo autentifikavimo paleisties metu sukonfigūruota reikalauti paleisties rakto, vykdykite šią komandą, kad sukurtumėte paleisties raktą: manage-bde -protectors -add c: -tpmandstartupkey <kelią į išorinio rakto katalogą>

  • Jei strategija Reikalauti papildomo autentifikavimo paleisties metu sukonfigūruota reikalauti paleisties rakto ir pin, vykdykite šią komandą iš Administratorius komandinę eilutę, kad sukurtumėte prisegimo ir paleisties raktą. Kai būsite paraginti, įveskite norimą PIN: manage-bde -protectors -add c: -tpmandpinandstartupkey <kelią į išorinio rakto katalogą>

Šis naujinimas gali būti neįdiegtas įrenginiuose, kuriuose yra nepasirašytas, ne "Microsoft bootx64.efi" įkrovos tvarkytuvo failas.  Šis naujinimas gali būti siūlomas ir įdiegtas per "Windows Update" bet gali būti neįdiegtas.  Kai bandote įdiegti šį naujinimą rankiniu būdu, galite gauti klaidos pranešimą, kuriame KB4565680 pateikiamas pranešimas "Kai kurie naujinimai neįdiegti".  Taip pat galite patikrinti, ar CBS žurnalo faile %systemroot%\logs\cbs nėra šios klaidos: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): klaidos TRUST_E_NOSIGNATURE atsirado dėl funkcijos Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Ieškome sprendimo ir numatome, kad Windows 10 versijai 1909, Windows 10, 2004 versijai ir Windows 10 20H2 versijai bus galima naudoti kovo pabaigoje.  Numatoma, kad likusios palaikomos "Windows" versijos turės sprendimą balandžio viduryje.

Jei reikia papildomų nurodymų prieš išleidžiant skiriamąją gebą, kreipkitės į įrenginio gamintoją (OĮG).

Kaip gauti šį naujinimą

1 būdas: „Windows Update“ 

Šį naujinimą galima atsisiųsti naudojant „Windows Update“. Jis bus atsisiųstas ir įdiegtas automatiškai.  

2 būdas: „Microsoft Update“ katalogas 

Norėdami gauti šio naujinimo atskirą paketą, eikite į "Microsoft Update" katalogo svetainę.

3 būdas: „Windows Server Update Services“

Šis naujinimas taip pat pasiekiamas iš „Windows Server Update Services“ (WSUS).

Būtinosios sąlygos

Įsitikinkite, kad įdiegėte paskutinį priežiūros rietuvės naujinimą (SSU). Informacijos apie naujausią operacinės sistemos SSU žr. ADV990001 | Naujausia priežiūros rietuvės Naujinimai.

Paleidimo iš naujo informacija 

Kai pritaikysite šį naujinimą, įrenginio nereikės paleisti iš naujo. Jei įjungėte "Windows" sargyba "Credential Guard" (virtualusis saugusis režimas), įrenginys bus paleistas iš naujo du kartus.

Informacija apie naujinimo keitimą 

Šis naujinimas nepakeičia anksčiau išleisto naujinimo.

Failo informacija

„Windows 10“ 1909 versija 

Failo pavadinimas

SHA1 maiša

SHA256 maiša

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Naudojant šio programinės įrangos naujinimo anglų k. (JAV) versiją įdiegiami failai, turintys tolesnėje lentelėje nurodytus atributus.

Failo pavadinimas

Failo dydis

Data

Laikas

Dbupdate.bin

46

2019 m. rugsėjo 23 d.

23:13

Dbxupdate.bin

1,368

2019 m. rugsėjo 23 d.

23:13

Dbupdate.bin

46

2019 m. rugsėjo 23 d.

23:13

Dbxupdate.bin

2,840

2019 m. rugsėjo 23 d.

23:13

Tpmtasks.dll

3,339

2019 m. rugsėjo 23 d.

23:13

Tpmtasks.dll

2,892

2019 m. rugsėjo 23 d.

23:13

„Windows 10“ versija 1809 ir „Windows Server 2019“

Failo pavadinimas

SHA1 maiša

SHA256 maiša

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Naudojant šio programinės įrangos naujinimo anglų k. (JAV) versiją įdiegiami failai, turintys tolesnėje lentelėje nurodytus atributus.

Failo pavadinimas

Failo dydis

Data

Laikas

Dbupdate.bin

46

2019 m. rugsėjo 25 d.

01:14

Dbxupdate.bin

1,368

2019 m. rugsėjo 25 d.

01:14

Dbupdate.bin

46

2019 m. rugsėjo 25 d.

01:14

Dbxupdate.bin

2,840

2019 m. rugsėjo 25 d.

01:14

Tpmtasks.dll

1,998

2019 m. rugsėjo 25 d.

01:14

Tpmtasks.dll

1,568

2019 m. rugsėjo 25 d.

01:14

„Windows 10“ 1803 versija

Failo pavadinimas

SHA1 maiša

SHA256 maiša

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Naudojant šio programinės įrangos naujinimo anglų kalbos (Jungtinės Valstijos) versiją, įdiegiami failai su tolesnėse lentelėse išvardytais atributais.

Failo pavadinimas

Failo versija

Failo dydis

Data

Laikas

Dbupdate.bin

Netaikoma

3

2017 m. spalio 30 d.

01:01

Dbxupdate.bin

Netaikoma

7,361

2019 m. rugsėjo 10 d.

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

2019 m. rugsėjo 10 d.

03:55

Windows 10 1607 versija ir "Windows Server 2016"

Failo pavadinimas

SHA1 maiša

SHA256 maiša

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Naudojant šio programinės įrangos naujinimo anglų k. (JAV) versiją įdiegiami failai, turintys tolesnėje lentelėje nurodytus atributus. 

Failo pavadinimas

Failo versija

Failo dydis

Data

Laikas

Dbupdate.bin

Netaikoma

2

2019 m. rugsėjo 03 d.

22:05

Dbxupdate.bin

Netaikoma

7,361

2019 m. rugsėjo 12 d.

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

2019 m. rugsėjo 16 d.

05:04

„Windows 8.1“ ir „Windows Server 2012 R2“

Failo pavadinimas

SHA1 maiša

SHA256 maiša

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Naudojant šio programinės įrangos naujinimo anglų k. (JAV) versiją įdiegiami failai, turintys tolesnėje lentelėje nurodytus atributus.

Failo pavadinimas

Failo versija

Failo dydis

Data

Laikas

Dbupdate.bin

Netaikoma

2

2019 m. rugsėjo 25 d.

04:21

Dbxupdate.bin

Netaikoma

7,361

2019 m. rugsėjo 25 d.

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

2019 m. rugsėjo 25 d.

06:30


Windows Server 2012

Failo pavadinimas

SHA1 maiša

SHA256 maiša

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Naudojant šio programinės įrangos naujinimo anglų k. (JAV) versiją įdiegiami failai, turintys tolesnėje lentelėje nurodytus atributus. 

Failo pavadinimas

Failo versija

Failo dydis

Data

Laikas

Dbupdate.bin

Netaikoma

2

2019 m. birželio 20 d.

00:06

Dbxupdate.bin

Netaikoma

7,361

2019 m. rugsėjo 10 d.

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

2019 m. rugsėjo 25 d.

04:30

Nuorodos

Sužinokite daugiau apie terminus , kuriuos "Microsoft" naudoja apibūdindama programinės įrangos naujinimus.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×