Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

SVARĪGI! Šo rakstu aizstāj KB5012170: Secure Boot DBX drošības atjauninājums.

Attiecas uz

Šis drošības atjauninājums attiecas tikai uz šādām Windows versijām:

  • Windows Server 2012 x64-bit

  • Windows Server 2012 R2 x64-bit

  • Windows 8,1 x64 bitu versija

  • Windows Server 2016 x64-bit

  • Windows Server 2019 x64-bit

  • Windows 10, versija 1607 x64 bitu

  • Windows 10, 1803 x64 bitu versija

  • Windows 10, versija 1809 x64 bitu

  • Windows 10, 1909 x64 bitu versija 

Kopsavilkums

Šis drošības atjauninājums uzlabo Secure Boot DBX atbalstītajām Windows versijām, kas norādītas sadaļā "Attiecas uz". Tālāk norādītas galvenās izmaiņas. 

  • Windows ierīces ar vienotām paplašināmām aparātprogrammatūras interfeisa (UEFI) aparātprogrammatūru var darbināt ar iespējotu drošo sāknēšanu. Drošā sāknēšana aizliegts paraksta datu bāze (DBX) neļauj ielādēt UEFI moduļus. Šis atjauninājums pievieno moduļus DBX.

    Drošības līdzeklis apiet ievainojamību drošā sāknēšanas sistēmā. Uzbrucējs, kurš sekmīgi izmantoja ievainojamību, var apiet drošu sāknēšanu un ielādēt neuzticamu programmatūru.

    Šis drošības atjauninājums novērš ievainojamību, pievienojot DBX zināmo neaizsargāto UEFI moduļu parakstus.

Lai uzzinātu vairāk par šo drošības ievainojamību, skatiet CVE-2020-0689 | Microsoft drošās sāknēšanas drošības līdzeklis apiet ievainojamību.

Zināmās problēmas

Problēma

Risinājums

Daži oriģinālā aprīkojuma ražotāja (OEM) aparātprogrammatūras var neļautu instalēt šo atjauninājumu.

Lai atrisinātu šo problēmu, sazinieties ar aparātprogrammatūru OEM.

Ja BitLocker grupas politika Konfigurēt TPM platformas validācijas profilu vietējo UEFI aparātprogrammatūras konfigurācijām ir iespējota un PCR7 ir atlasīta pēc politikas, tā var izraisīt BitLocker atkopšanas atslēgas pieprasīt dažās ierīcēs, kur PCR7 saistīšana nav iespējama.

Lai skatītu PCR7 saistīšanas statusu, palaidiet Microsoft sistēmas informācijas (Msinfo32.exe) rīku ar administratora atļaujām.

Lai novērstu šo problēmu, pirms šī atjauninājuma izvietošanas veiciet kādu no šīm darbībām, pamatojoties uz akreditācijas datu aizsardzība konfigurāciju:

  • Ierīcē, kurā nav iespējota akreditācijas datu gard, izpildiet administratora komandu komandu, lai aizturētu BitLocker 1 atkārtotas palaišanas ciklam:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Pēc tam restartējiet ierīci, lai atsāktu BitLocker aizsardzību.

    Piezīme Neiespējojiet BitLocker aizsardzību bez papildu ierīces restartēšanas, jo tas izraisītu BitLocker atkopšanu.

  • Ierīcē, kurā ir iespējots akreditācijas datu aizsardzība, atjaunināšanas laikā var būt vairākas restartēšanas, kuru dēļ tiek aizturēts BitLocker. Palaidiet administratora komandu uzvednē tālāk norādīto komandu, lai aizturētu BitLocker 3 restartēšanas cikliem. Manage-bde –Protectors –Disable C: -RebootCount 3

    Šis atjauninājums ir paredzēts, lai restartētu sistēmu divas reizes. Restartējiet ierīci vēlreiz, lai atsāktu BitLocker aizsardzību.

    Piezīme Neiespējojiet BitLocker aizsardzību bez papildu restartēšanas, jo tādējādi tiek izraisīta BitLocker atkopšana.

Varat ievadīt Bitlocker atkopšanu, ja konfliktējoši BitLocker grupas politikas iestatījumi ir konfigurēti pēc BitLocker iespējošanas vidē. Bitlocker atkopšanas aktivizēšanu var izraisīt kāds no tālāk norādītajiem grupas politika iestatījumiem.

Ja šis atjauninājums jau ir lietots un ierīce nav restartēta, aizapturiet BitLocker un restartējiet pēc šādu darbību veikšanas:

  • Ja tieša PCR konfigurācija ir iestatīta, izmantojot grupas politiku vai politika ir konfigurēta tā, lai neatļautu izmantot drošo sāknēšanu integritātes validācijai, aizturiet un atsāciet BitLocker, lai notīrītu GP konfliktus.

  • Ja startēšanas politikas laikā pieprasīt papildu autentifikāciju , lai pieprasītu TPM un PIN, izpildiet tālāk norādīto komandu administratora komandu uzvednē un ievadiet vēlamo PIN kodu: manage-bde -protectors -add c: -TPMAndPin

  • Ja startēšanas politikas pieprasīt papildu autentifikāciju ir konfigurēta tā, lai būtu nepieciešama startēšanas atslēga, izpildiet šo komandu, lai izveidotu startēšanas atslēgu: manage-bde -protectors -add c: -tpmandstartupkey <path to external key directory>

  • Ja startēšanas politikā Pieprasīt papildu autentifikāciju startēšanas laikā ir konfigurēta startēšanas atslēga un piespraušana, izpildiet tālāk norādīto komandu no Administrēšana uzvednes, lai izveidotu pin un startēšanas atslēgu. Pēc uzaicinājuma ievadiet vajadzīgo PIN kodu: manage-bde -protectors -add c: -tpmandpinandstartupkey <ceļš uz ārējās atslēgas direktoriju>

Šo atjauninājumu nevar instalēt ierīcēs, kurās ir neparakstīts fails, kas nav Microsoft bootx64.efi boot manager fails.  Šis atjauninājums var tikt piedāvāts un to Windows Update bet nevar instalēt.  Mēģinot manuāli instalēt šo atjauninājumu, var tikt parādīts kļūdas ziņojums "Daži atjauninājumi netika instalēti", kurā uzskaitīti KB4565680.  Varat arī pārbaudīt CBS žurnālfailu sistēmā %systemroot%\logs\cbs, lai iegūtu šādu kļūdu: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): TRUST_E_NOSIGNATURE kļūda radās funkcijā Windows:WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Mēs strādājam, lai rastu risinājumu, kas, izmantojot Windows 10, Windows 10, 2004 un Windows 10, versiju 20H2, būs pieejams Windows 10, Windows 10 versijai un Windows 10 versijai 20H2 marta beigās.  Tiek prognozēts, ka atlikušajā Windows atbalstītajā versijā risinājums ir pieejams aprīļa vidū.

Lai iegūtu papildu norādījumus pirms izšķirtspējas izlaišanas, sazinieties ar ierīces ražotāju (OEM).

Atjauninājuma iegūšana

1. metode: Windows Update 

Šis atjauninājums ir pieejams, izmantojot pakalpojumu Windows Update. Tas tiks lejupielādēts un instalēts automātiski.  

2. metode: Microsoft Update katalogs 

Lai iegūtu šī atjauninājuma savrupo pakotni, dodieties uz vietni Microsoft atjauninājumu katalogs.

3. metode: Windows Server Update Services

Šis atjauninājums ir arī pieejams, izmantojot Windows Server Update Services (WSUS).

Priekšnosacījumi

Pārliecinieties, vai jums ir instalēts jaunākais apkalpošanas steka atjauninājums (SSU). Informāciju par jaunāko SSU jūsu operētājsistēmai skatiet ADV990001 | Jaunākā apkalpošanas grēdas Atjauninājumi.

Informācija par restartēšanu 

Pēc šī atjauninājuma lietošanas ierīce nav jārestartē. Ja jums ir Windows Defender akreditācijas datu aizsardzība (virtuālais drošais režīms), ierīce tiks restartēta divas reizes.

Informācija par atjauninājuma aizstāšanu 

Šis atjauninājums neaizstāj nevienu iepriekš izlaistu atjauninājumu.

Informācija par failiem

Windows 10, versija 1909 

Faila nosaukums

SHA1 jaukšana

SHA256 jaukšana

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Šī programmatūras atjauninājuma angļu (ASV) versija instalē failus, kuru atribūti ir norādīti tālāk esošajā tabulā.

Faila nosaukums

Faila lielums

Datums

Laiks

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

1,368

23-Sep-2019

23:13

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

2,840

23-Sep-2019

23:13

Tpmtasks.dll

3,339

23-Sep-2019

23:13

Tpmtasks.dll

2,892

23-Sep-2019

23:13

Windows 10 versija 1809 un Windows Server 2019

Faila nosaukums

SHA1 jaukšana

SHA256 jaukšana

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Šī programmatūras atjauninājuma angļu (ASV) versija instalē failus, kuru atribūti ir norādīti tālāk esošajā tabulā.

Faila nosaukums

Faila lielums

Datums

Laiks

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

1,368

25-Sep-2019

01:14

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

2,840

25-Sep-2019

01:14

Tpmtasks.dll

1,998

25-Sep-2019

01:14

Tpmtasks.dll

1,568

25-Sep-2019

01:14

Windows 10, versija 1803

Faila nosaukums

SHA1 jaukšana

SHA256 jaukšana

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Šā programmatūras atjauninājuma angļu (ASV) versija instalē failus, kam ir atribūti, kuri ir uzskaitīti turpmākajās tabulās.

Faila nosaukums

Faila versija

Faila lielums

Datums

Laiks

Dbupdate.bin

Nav attiecināms

3

30-Okt-2017

01:01

Dbxupdate.bin

Nav attiecināms

7,361

10-Sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10-Sep-2019

03:55

Windows 10, versija 1607 un Windows Server 2016

Faila nosaukums

SHA1 jaukšana

SHA256 jaukšana

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Šī programmatūras atjauninājuma angļu (ASV) versija instalē failus, kuru atribūti ir norādīti tālāk esošajā tabulā. 

Faila nosaukums

Faila versija

Faila lielums

Datums

Laiks

Dbupdate.bin

Nav attiecināms

2

03-Sep-2019

22:05

Dbxupdate.bin

Nav attiecināms

7,361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16-Sep-2019

05:04

Windows 8.1 un Windows Server 2012 R2

Faila nosaukums

SHA1 jaukšana

SHA256 jaukšana

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Šī programmatūras atjauninājuma angļu (ASV) versija instalē failus, kuru atribūti ir norādīti tālāk esošajā tabulā.

Faila nosaukums

Faila versija

Faila lielums

Datums

Laiks

Dbupdate.bin

Nav attiecināms

2

25-Sep-2019

04:21

Dbxupdate.bin

Nav attiecināms

7,361

25-Sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-Sep-2019

06:30


Windows Server 2012

Faila nosaukums

SHA1 jaukšana

SHA256 jaukšana

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Šī programmatūras atjauninājuma angļu (ASV) versija instalē failus, kuru atribūti ir norādīti tālāk esošajā tabulā. 

Faila nosaukums

Faila versija

Faila lielums

Datums

Laiks

Dbupdate.bin

Nav attiecināms

2

20-Jūn-2019

00:06

Dbxupdate.bin

Nav attiecināms

7,361

10-Sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-Sep-2019

04:30

Uzziņas

Uzziniet par terminoloģiju , ko Microsoft izmanto, lai aprakstītu programmatūras atjauninājumus.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×