KB4535680: saugos naujinimas, skirtas saugiam įkrovai DBX: sausio 12 d., 2021

Taikoma

Šis saugos naujinimas taikomas tik šioms "Windows" versijoms:

  • "Windows Server" 2012 x64 bitų

  • "Windows Server" 2012 R2 x64 bitų

  • "Windows 8,1" x64 bitų

  • "Windows Server" 2016 x64 bitų

  • "Windows Server" 2019 x64 bitų

  • "Windows 10", 1607 versija x64 bitų

  • "Windows 10", 1803 versija x64 bitų

  • "Windows 10", 1809 versija x64 bitų

  • "Windows 10", 1909 versija x64 bitų 

Suvestinė

Šis saugos naujinimas pagerina "Windows" palaikomų "Windows" versijų, nurodytų skyriuje "taikoma", "Boot DBX". Pagrindiniai pokyčiai apima šiuos dalykus: 

  • "Windows" įrenginiuose, kuriuose yra Unified Išplėstinė programinės-aparatinės įrangos sąsaja (UEFI) pagrįsta programinės-aparatinės įrangos galima paleisti Saugioji įkrova įgalinta. Saugiosios įkrovos uždraustų parašų duomenų bazė (DBX) neleidžia įkelti UEFI modulių. Šis naujinimas įtraukia modulių į DBX.

    Saugos funkcijos aplinkkelio pažeidžiamumas yra saugiame Boot. Pažeidėjas, sėkmingai išnaudojęs pažeidžiamumą, gali apeiti saugią įkrovą ir įkelti nepatikimą programinę įrangą.

    Šis saugos naujinimas skirtas pažeidžiamumui, įtraukdami žinomų pažeidžiamų UEFI modulių parašus į "DBX".

Norėdami sužinoti daugiau apie šią saugos pažeidžiamumą, žiūrėkite CVE-2020-0689 | "Microsoft" saugiųjų sistemų įkrovos saugos funkcija apeiti pažeidžiamumą.

Žinomos problemos

Problema

Sprendimas

Kai kurios originalios įrangos gamintojo (OĮG) programinės-aparatinės įrangos gali leisti diegti šį naujinimą.

Norėdami išspręsti šią problemą, kreipkitės į savo programinės-aparatinės įrangos OĮG.

Jei "BitLocker" grupės strategija Konfigūruokite TPM platformos tikrinimo profilį, skirtą VIETINĖMS UEFI programinės-aparatinės įrangos konfigūracijoms , ir "PCR7" pasirinkta pagal strategiją, gali būti, kad "BitLocker" atkūrimo rakto reikia kai kuriuose įrenginiuose, kurių PCR7 susiejimo neįmanoma.

Norėdami peržiūrėti PCR7 susiejimo būseną, paleiskite "Microsoft" sistemos informacijos (Msinfo32.exe) įrankį su administracinėmis teisėmis.

Norėdami išspręsti šią problemą, atlikite vieną iš šių veiksmų kredencialų apsaugos konfigūracijoje, prieš diegdami šį naujinimą:

  • Įrenginyje, kuriame neįjungtas kredencialų Gard, administratoriaus komandų eilutėje paleiskite šią komandą, kad sustabdytų "BitLocker" 1 perkrovimo ciklą:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Tada iš naujo paleiskite įrenginį, kad atnaujintumėte "BitLocker" apsaugą.

    Pastaba Negalima įgalinti "BitLocker" apsaugos be papildomai paleisti įrenginį, nes tai sukeltų "BitLocker" atkūrimą.

  • Įrenginyje, kuriame įgalintas kredencialų apsauga, naujinimo, kuriam reikia laikinai sustabdyti "BitLocker", gali būti keli iš naujo. Vykdykite šią komandą iš administratoriaus komandų eilutės, kad sustabdytų "BitLocker" 3 pakartotinio paleidimo ciklų. Manage-BDE – saugikliai – išjungti C:-Rebootskaičiavimo 3

    Šis naujinimas turėtų iš naujo paleisti sistemą du kartus. Dar kartą paleiskite įrenginį iš naujo, kad atnaujintumėte "BitLocker" apsaugą.

    Pastaba Nepaleiskite "BitLocker" apsaugos be papildomai paleisti, nes tai sukeltų "BitLocker" atkūrimą.

"BitLocker" atkūrimas gali būti, jei nesuderinamos "BitLocker" grupės strategijos parametrai sukonfigūruoti, kai "BitLocker" įgalinta aplinkoje. "BitLocker" atkūrimas gali būti paleidžiamas dėl bet kurio iš toliau nurodytų grupės strategijos parametrų:

Jei šis naujinimas jau buvo pritaikytas ir įrenginys nebuvo paleistas iš naujo, sustabdykite "BitLocker" ir paleiskite iš naujo atlikę toliau nurodytus veiksmus:

  • Jei aiški PGR konfigūracija nustatyta pagal grupės strategiją arba strategija yra sukonfigūruota neleisti naudoti saugiųjų įkrovą vientisumo patvirtinimui, laikinai sustabdyti ir tęsti "BitLocker", kad išvalytumėte bendrosios praktikos konfliktus.

  • Jei pareikalavimo papildomo autentifikavimo paleisties strategijoje SUKONFIGŪRUOTA reikalauti TPM ir PIN, vykdykite šią komandą iš administravimo komandų eilutės ir įveskite norimą PIN: Manage-BDE-saugikliai-Add c:-TPMAndPin

  • Jei paleidimo strategijoje reikalaujama papildomo autentifikavimo , kad būtų sukonfigūruotas reikalauti paleisties rakto, vykdykite šią komandą, kad sukurtumėte paleisties raktą: Manage-BDE-saugikliai – įtraukti c: – tpmandstartupkey <kelias į išorinio rakto katalogą>

  • Jei paleisties strategijoje reikalaujama papildomo autentifikavimo , kai reikia nustatyti paleisties raktą ir PIN, vykdykite šią komandą iš administratoriaus komandų eilutės, kad sukurtumėte PIN ir paleisties raktą. Kai būsite paraginti, įveskite norimą PIN: Manage-BDE-saugikliai – Add c: – tpmandpinandstartupkey <kelias į išorinio rakto katalogą>

Šis naujinimas gali nebūti diegiamas įrenginiuose su nepasirašytu, ne "Microsoft" bootx64. EFI boot Manager failu.  Šis naujinimas gali būti siūlomas ir siūlomas iš naujo naudojant "Windows Update", tačiau gali nepavykti įdiegti.  Kai bandote įdiegti šį naujinimą rankiniu būdu, galite gauti klaidos pranešimą "kai kurie naujinimai nebuvo įdiegti" sąrašo KB4565680.  Taip pat galite patikrinti CBS žurnalo failą%SystemRoot%\logs\cbs dėl šios klaidos: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp (277): klaidos TRUST_E_NOSIGNATURE atsirado funkcijoje "Windows":: WCP:: SecureBoot:: BasicInstaller::: įdiegtis

Mes dirbame su rezoliucija ir įvertiname sprendimą bus galima naudoti "Windows 10", "1909" versiją, "Windows 10", "2004" versiją ir "Windows 10", "20H2" versiją kovo mėn.  Likusios palaikomos "Windows" versijos yra apskaičiuotos, kad sprendimas būtų pasiekiamas balandžio viduryje.

Jei turite papildomų nurodymų prieš išraiškos leidimą, kreipkitės į įrenginio gamintoją (OEM).

Kaip gauti šį naujinimą

1 būdas: "Windows Update" 

Šį naujinimą galima atsisiųsti naudojant "Windows Update". Jis bus atsisiųstas ir įdiegtas automatiškai.  

2 būdas: "Microsoft Update" katalogas 

Norėdami gauti atskirą šio naujinimo paketą, eikite į "Microsoft Update" katalogo svetainę.

3 būdas: "Windows Server" naujinimo tarnybos

Šis naujinys taip pat pasiekiamas "Windows Server" naujinimo tarnybose (WSUS).

Būtinosios sąlygos

Įsitikinkite, kad įdiegėte vėliausią priežiūros rietuvės naujinimą (SSU). Informacijos apie naujausią "s" su jūsų operacinė sistema, ieškokite ADV990001 | Naujausi priežiūros rietuvės naujinimai.

Informacijos paleidimas iš naujo 

Jūsų įrenginiui nereikia paleisti iš naujo, kai pritaikote šį naujinimą. Jei turite įgalintą "Windows" sargybos kredencialų apsaugą (virtualaus saugaus režimo), jūsų įrenginys bus paleistas iš naujo du kartus.

Atnaujinti keitimo informaciją 

Šis naujinimas nepakeičia jokių anksčiau išleistų naujinimų.

Failo informacija

"Windows 10", 1909 versija 

Failo vardas

SHA1 maiša

SHA256 maiša

"Windows 10,0-KB4535680-x64. msu"

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Šio programinės įrangos naujinimo versija anglų (Jungtinės Valstijos) įdiegia failus, kurie turi šioje lentelėje išvardytus atributus.

Failo vardas

Failo dydis

Datos

Laiko

Dbupdate. dėžę

46

23 – Sep – 2019

23:13

Dbxupdate. dėžę

1 368

23 – Sep – 2019

23:13

Dbupdate. dėžę

46

23 – Sep – 2019

23:13

Dbxupdate. dėžę

2 840

23 – Sep – 2019

23:13

Tpmtasks.dll

3 339

23 – Sep – 2019

23:13

Tpmtasks.dll

2 892

23 – Sep – 2019

23:13

"Windows 10", 1809 versija ir "Windows Server 2019"

Failo vardas

SHA1 maiša

SHA256 maiša

"Windows 10,0-KB4535680-x64. msu"

4A6B51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Šio programinės įrangos naujinimo versija anglų (Jungtinės Valstijos) įdiegia failus, kurie turi šioje lentelėje išvardytus atributus.

Failo vardas

Failo dydis

Datos

Laiko

Dbupdate. dėžę

46

25 – Sep – 2019

01:14

Dbxupdate. dėžę

1 368

25 – Sep – 2019

01:14

Dbupdate. dėžę

46

25 – Sep – 2019

01:14

Dbxupdate. dėžę

2 840

25 – Sep – 2019

01:14

Tpmtasks.dll

1 998

25 – Sep – 2019

01:14

Tpmtasks.dll

1 568

25 – Sep – 2019

01:14

"Windows 10", 1803 versija

Failo vardas

SHA1 maiša

SHA256 maiša

"Windows 10,0-KB4535680-x64. msu"

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Šio programinės įrangos naujinimo versija anglų (Jungtinės Valstijos) įdiegia failus, kurie turi šiose lentelėse išvardytus atributus.

Failo vardas

Failo versija

Failo dydis

Datos

Laiko

Dbupdate. dėžę

Netaikoma

3

30-UŠT-2017

01:01

Dbxupdate. dėžę

Netaikoma

7 361

10 – Sep – 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10 – Sep – 2019

03:55

"Windows 10", 1607 versija ir "Windows Server 2016"

Failo vardas

SHA1 maiša

SHA256 maiša

"Windows 10,0-KB4535680-x64. msu"

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Šio programinės įrangos naujinimo versija anglų (Jungtinės Valstijos) įdiegia failus, kurie turi šioje lentelėje išvardytus atributus. 

Failo vardas

Failo versija

Failo dydis

Datos

Laiko

Dbupdate. dėžę

Netaikoma

2

03 – Sep – 2019

22:05

Dbxupdate. dėžę

Netaikoma

7 361

12 – Sep – 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44 032

16 – Sep – 2019

05:04

"Windows" 8,1 ir "Windows Server 2012 R2"

Failo vardas

SHA1 maiša

SHA256 maiša

"Windows 8.1-Kb4535680-x64. msu"

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Šio programinės įrangos naujinimo versija anglų (Jungtinės Valstijos) įdiegia failus, kurie turi šioje lentelėje išvardytus atributus.

Failo vardas

Failo versija

Failo dydis

Datos

Laiko

Dbupdate. dėžę

Netaikoma

2

25 – Sep – 2019

04:21

Dbxupdate. dėžę

Netaikoma

7 361

25 – Sep – 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176 128

25 – Sep – 2019

06:30


"Windows Server" 2012

Failo vardas

SHA1 maiša

SHA256 maiša

Windows8-RT-KB4535680-x64. msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Šio programinės įrangos naujinimo versija anglų (Jungtinės Valstijos) įdiegia failus, kurie turi šioje lentelėje išvardytus atributus. 

Failo vardas

Failo versija

Failo dydis

Datos

Laiko

Dbupdate. dėžę

Netaikoma

2

20 – Jun – 2019

00:06

Dbxupdate. dėžę

Netaikoma

7 361

10 – Sep – 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95 232

25 – Sep – 2019

04:30

Nuorodos

Sužinokite apie terminologiją , kurią "Microsoft" naudoja programinės įrangos naujinimams apibūdinti.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Ar esate patenkinti vertimo kokybe?

Kas turėjo įtakos jūsų patirčiai?

Turite daugiau atsiliepimų? (Pasirinktinai)

Dėkojame už jūsų atsiliepimus!

×