Gjelder

Denne sikkerhetsoppdateringen gjelder bare for følgende Windows-versjoner:

  • Windows Server 2012 x64-biters

  • Windows Server 2012 R2 x64-biters

  • Windows 8,1 x64-biters

  • Windows Server 2016 x64-biters

  • Windows Server 2019 x64-biters

  • Windows 10, versjon 1607 x64-biters

  • Windows 10, versjon 1803 x64-biters

  • Windows 10, versjon 1809 x64-biters

  • Windows 10, versjon 1909 x64-biters 

Sammendrag

Denne sikkerhetsoppdateringen gjør forbedringer i Secure Boot DBX for de støttede Windows-versjonene som er oppført under Gjelder for. Viktige endringer omfatter følgende: 

  • Windows-enheter som har UEFI-basert fastvare (Unified Extensible Firmware Interface) kan kjøre med Sikker oppstart aktivert. DBX (Secure Boot Forbidden Signature Database) hindrer at UEFI-moduler laster inn. Denne oppdateringen legger til moduler i DBX.

    Et sikkerhetsproblem omgår et sikkerhetsproblem finnes i en sikker oppstart. En angriper som klarer å utnytte sikkerhetsproblemet, kan hoppe over sikker oppstart og innlasting av uklarert programvare.

    Denne sikkerhetsoppdateringen løser sikkerhetsproblemet ved å legge til signaturene til de kjente sårbare UEFI-modulene i DBX.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se TORB-2020-0689 | Omgå sikkerhetsproblem i Microsoft Secure Boot Security Feature.

Kjente problemer

Problem

Omgå problemet

Noen opprinnelig utstyrsprodusents (OEM)-fastvare tillater kanskje ikke installasjon av denne oppdateringen.

Kontakt OEM-fastvaren for å løse dette problemet.

Hvis BitLocker-gruppepolicy konfigurerer TPM-plattformvalideringsprofil for opprinnelige konfigurasjoner av UEFI-fastvare er aktivert og PCR7 velges av policy, kan det føre til at BitLocker-gjenopprettingsnøkkelen kreves på enkelte enheter der PCR7-binding ikke er mulig.

Hvis du vil vise PCR7-bindingsstatusen, kan du kjøre verktøyet Microsoft Systeminformasjon (Msinfo32.exe) med administrative tillatelser.

Du kan omgå dette problemet ved å gjøre ett av følgende, basert på konfigurasjon for credential guard før du distribuerer denne oppdateringen:

  • På en enhet som ikke har Legitimasjonsgard aktivert, kjører du følgende kommando fra en ledetekst for administrator om å oppheve BitLocker for én omstartssyklus:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Start deretter enheten på nytt for å gjenoppta BitLocker-beskyttelsen.

    Obs! Ikke aktiver BitLocker-beskyttelse uten ekstra omstart av enheten, da det fører til BitLocker-gjenoppretting.

  • På en enhet som har Credential Guard aktivert, kan det være flere omstarter under oppdateringen som krever at BitLocker er deaktivert. Kjør følgende kommando fra en administratorkommando for å oppheve BitLocker i tre omstartsykluser. Manage-bde –Protectors –Disable C: -RebootCount 3

    Denne oppdateringen forventes å starte systemet på nytt to ganger. Start enheten på nytt for å gjenoppta BitLocker-beskyttelsen.

    Obs! Ikke aktiver BitLocker-beskyttelse uten ekstra omstart, da det fører til BitLocker-gjenoppretting.

Du kan angi BitLocker-gjenoppretting hvis konflikterende gruppepolicyinnstillinger for BitLocker er konfigurert etter at BitLocker er aktivert i miljøet. Bitlocker-gjenoppretting kan utløses på grunn av noen av gruppepolicyinnstillingene nedenfor:

  • Tvinge eksplisitt konfigurasjon av PCR-bindinger som er forskjellig fra det som allerede er valgt av BitLocker.

  • Konfigurere GP " Tillat sikker oppstartforintegritetsvalidering " for å deaktivere sikker oppstart for integritetsvalidering, men BitLocker bruker allerede sikker oppstart (PCR7).

  • Konfigurere gruppepolicy til å kreve ekstra godkjenning under oppstart, men BitLocker er konfigurert før denne gruppepolicyen distribueres.

Hvis denne oppdateringen allerede er brukt og enheten ikke har startet på nytt, stopper du BitLocker og starter på nytt etter å ha fulgt fremgangsmåten nedenfor:

  • Hvis en eksplisitt PCR-konfigurasjon er angitt gjennom gruppepolicy, eller en policy er konfigurert til å ikke tillate bruk av sikker oppstart for validering av integritet, kan du sperre og gjenoppta BitLocker for å fjerne GP-konfliktene.

  • Hvis policyen Krev ekstra godkjenning under oppstart er konfigurert til å kreve TPM og PIN-kode, kjører du følgende kommando fra en administrativ ledetekst og angir ønsket PIN-kode: manage-bde -protectors -add c: -TPMAndPin

  • Hvis policyen Krev ekstra godkjenning under oppstart er konfigurert til å kreve en oppstartsnøkkel, kjører du følgende kommando for å opprette oppstartsnøkkelen: manage-bde -protectors -add c: -tpmandstartupkey <bane til ekstern nøkkelkatalog>

  • Hvis policyen Krev ekstra godkjenning under oppstart er konfigurert til å kreve oppstartsnøkkel og pin-kode, kjører du følgende kommando fra ledeteksten Administrator for å opprette PIN-kode og oppstartsnøkkel. Når du blir bedt om det, skriver du inn den ønskede PIN-koden: manage-bde -protectors -add c: -tpmandpinandstartupkey <bane til ekstern>

Denne oppdateringen kan ikke installeres på enheter med en fil for en ikke-signert oppstartsfil som ikke er Microsoft Bootx64.efi.  Denne oppdateringen kan bli tilbudt og tilbudt på nytt via Windows Update, men kan bli ikke installert.  Når du prøver å installere denne oppdateringen manuelt, kan det hende du får en feilmelding om at noen oppdateringer ikke er installert, og viser KB4565680.  Du kan også kontrollere CBS-loggfilen i %systemroot%\logs\cbs for følgende feil: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Feil TRUST_E_NOSIGNATURE oppstod i funksjonen Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Vi arbeider med en løsning og anslår at en løsning vil være tilgjengelig for Windows 10, versjon 1909, Windows 10, versjon 2004 og Windows 10, versjon 20H2 i slutten av mars.  De gjenstående versjonene av Windows som støttes, er beregnet til å ha en løsning tilgjengelig i midten av april.

Hvis du vil ha mer veiledning før oppløsningen lanseres, kan du kontakte enhetsprodusenten (OEM).

Slik får du denne oppdateringen

Metode 1: Windows Update 

Denne oppdateringen er tilgjengelig via Windows Update. Det lastes ned og installeres automatisk.  

Metode 2: Microsoft Update-katalog 

Hvis du vil ha den frittstående pakken for denne oppdateringen, kan du gå til nettstedet for Microsoft Update-katalogen.

Metode 3: Windows Server Update Services

Denne oppdateringen er også tilgjengelig via Windows Server Update Services (WSUS).

Forutsetninger

Kontroller at du har den siste stabeloppdateringen (SSU) installert. Hvis du vil ha informasjon om den nyeste SSU-en for operativsystemet ditt, kan du se ADV990001 | De nyeste oppdateringene for vedlikeholdsstakken.

Omstartsinformasjon 

Enheten trenger ikke å startes på nytt når du bruker denne oppdateringen. Hvis du har Windows Defender Credential Guard (virtuell sikkermodus) aktivert, starter enheten på nytt to ganger.

Oppdatere erstatningsinformasjon 

Denne oppdateringen erstatter ikke noen tidligere utgitt oppdatering.

Filinformasjon

Windows 10, versjon 1909 

Filnavn

SHA1 hash

SHA256 hash

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.

Filnavn

Filstørrelse

Dato

Klokkeslett

Dbupdate.bin

46

23.1.2019

23:13

Dbxupdate.bin

1,368

23.1.2019

23:13

Dbupdate.bin

46

23.1.2019

23:13

Dbxupdate.bin

2,840

23.1.2019

23:13

Tpmtasks.dll

3,339

23.1.2019

23:13

Tpmtasks.dll

2,892

23.1.2019

23:13

Windows 10, versjon 1809 og Windows Server 2019

Filnavn

SHA1 hash

SHA256 hash

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.

Filnavn

Filstørrelse

Dato

Klokkeslett

Dbupdate.bin

46

25. september 2019

01:14

Dbxupdate.bin

1,368

25. september 2019

01:14

Dbupdate.bin

46

25. september 2019

01:14

Dbxupdate.bin

2,840

25. september 2019

01:14

Tpmtasks.dll

1,998

25. september 2019

01:14

Tpmtasks.dll

1,568

25. september 2019

01:14

Windows 10, versjon 1803

Filnavn

SHA1 hash

SHA256 hash

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellene nedenfor.

Filnavn

Filversjon

Filstørrelse

Dato

Klokkeslett

Dbupdate.bin

Gjelder ikke

3

30.oktober 2017

01:01

Dbxupdate.bin

Gjelder ikke

7,361

10. september 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10. september 2019

03:55

Windows 10, versjon 1607 og Windows Server 2016

Filnavn

SHA1 hash

SHA256 hash

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor. 

Filnavn

Filversjon

Filstørrelse

Dato

Klokkeslett

Dbupdate.bin

Gjelder ikke

2

03.03.2019

22:05

Dbxupdate.bin

Gjelder ikke

7,361

12. september 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16. september 2019

05:04

Windows 8.1 og Windows Server 2012 R2

Filnavn

SHA1 hash

SHA256 hash

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.

Filnavn

Filversjon

Filstørrelse

Dato

Klokkeslett

Dbupdate.bin

Gjelder ikke

2

25. september 2019

04:21

Dbxupdate.bin

Gjelder ikke

7,361

25. september 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25. september 2019

06:30


Windows Server 2012

Filnavn

SHA1 hash

SHA256 hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor. 

Filnavn

Filversjon

Filstørrelse

Dato

Klokkeslett

Dbupdate.bin

Gjelder ikke

2

20.11.2019

00:06

Dbxupdate.bin

Gjelder ikke

7,361

10. september 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25. september 2019

04:30

Referanser

Lær om terminologien som Microsoft bruker til å beskrive programvareoppdateringer.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med kvaliteten på oversettelsen?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×