VIKTIG Denne artikkelen erstattes av KB5012170: Sikkerhetsoppdatering for sikker oppstart av DBX.
Gjelder for
Denne sikkerhetsoppdateringen gjelder bare for følgende Windows-versjoner:
-
Windows Server 2012 x64-biters
-
Windows Server 2012 R2 x64-biters
-
Windows 8,1 x64-biters
-
Windows Server 2016 x64-biters
-
Windows Server 2019 x64-biters
-
Windows 10, versjon 1607 x64-biters
-
Windows 10, versjon 1803 x64-biters
-
Windows 10, versjon 1809 x64-biters
-
Windows 10, versjon 1909 x64-biters
Oppsummering
Denne sikkerhetsoppdateringen gjør forbedringer i Secure Boot DBX for støttede Windows-versjoner som er oppført i delen Gjelder for. Viktige endringer omfatter følgende:
-
Windows-enheter som har UEFI-basert fastvare (Unified Extensible Firmware Interface) kan kjøre med Sikker oppstart aktivert. DBX (Secure Boot Forbidden Signature Database) hindrer at UEFI-moduler lastes inn. Denne oppdateringen legger til moduler i DBX.
Det finnes et sikkerhetsproblem som kan føre til omgåelse av sikkerhetsfunksjon i sikker oppstart. En angriper som utnyttet sikkerhetsproblemet, kan omgå sikker oppstart og last ikke-klarert programvare. Denne sikkerhetsoppdateringen løser sikkerhetsproblemet ved å legge til signaturene til de kjente sårbare UEFI-modulene i DBX.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se CVE-2020-0689 | Sikkerhetsproblem i Microsoft Secure Boot Security Feature Bypass.
Kjente problemer
Problem |
Løsning |
Det kan hende at en original OEM-fastvare (originalutstyrsprodusent) ikke tillater installasjon av denne oppdateringen. |
Hvis du vil løse dette problemet, kontakter du fastvare-OEM-en. |
Hvis BitLocker gruppepolicy konfigurer valideringsprofil for TPM-plattform for opprinnelige UEFI-fastvarekonfigurasjoner er aktivert og PCR7 er valgt av policyen, kan det føre til at BitLocker-gjenopprettingsnøkkelen kreves på enkelte enheter der PCR7-binding ikke er mulig. Hvis du vil vise bindingsstatusen for PCR7, kjører du verktøyet Microsoft Systeminformasjon (Msinfo32.exe) med administrative tillatelser. |
Hvis du vil omgå dette problemet, gjør du ett av følgende basert på konfigurasjon av legitimasjonsbeskyttelse før du distribuerer denne oppdateringen:
|
Du kan angi Bitlocker-gjenoppretting hvis motstridende innstillinger for BitLocker-gruppepolicy er konfigurert etter at BitLocker er aktivert i miljøet. Bitlocker-gjenoppretting kan utløses på grunn av noen av innstillingene nedenfor gruppepolicy:
|
Hvis denne oppdateringen allerede er tatt i bruk og enheten ikke har startet på nytt, stopper du BitLocker og starter på nytt etter å ha fulgt fremgangsmåten nedenfor:
|
Denne oppdateringen kan ikke installeres på enheter med en usignert, ikke-Microsoft bootx64.efi boot manager-fil. Denne oppdateringen kan bli tilbudt og reoffered gjennom Windows Update men kan ikke installeres. Når du prøver å installere denne oppdateringen manuelt, kan det hende du får en feilmelding om at noen oppdateringer ikke ble installert, med KB4565680. Du kan også kontrollere CBS-loggfilen i %systemroot%\logs\cbs for følgende feil: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Feil TRUST_E_NOSIGNATURE oppsto i funksjonen Windows::WCP::SecureBoot::BasicInstaller::Installer uttrykk: ApplySecureBootUpdate( dwAvailableUpdates) |
Vi arbeider med en løsning og anslår at en løsning vil være tilgjengelig for Windows 10, versjon 1909, Windows 10, versjon 2004 og Windows 10, versjon 20H2 i slutten av mars. De gjenværende støttede versjonene av Windows anslås å ha en løsning tilgjengelig i midten av april. Hvis du vil ha mer veiledning før løsningen lanseres, kan du kontakte enhetsprodusenten (OEM). |
Slik får du denne oppdateringen
Metode 1: Windows Update
Denne oppdateringen er tilgjengelig via Windows Update. Den blir lastet ned og installert automatisk.
Metode 2: Microsoft Update-katalog
Hvis du vil ha den frittstående pakken for denne oppdateringen, kan du gå til nettstedet for Microsoft Update-katalogen.
Metode 3: Windows Server Update Services
Denne oppdateringen er også tilgjengelig via Windows Server Update Services (WSUS).
Forutsetninger
Kontroller at du har den siste servicestakkoppdateringen (SSU) installert. Hvis du vil ha informasjon om den nyeste SSU-en for operativsystemet ditt, kan du se ADV990001 | Nyeste servicestakk Oppdateringer.
Informasjon om omstart
Enheten trenger ikke å starte på nytt når du bruker denne oppdateringen. Hvis du har aktivert Windows Defender Credential Guard (virtuell sikkermodus), starter enheten på nytt to ganger.
Erstatningsinformasjon om oppdatering
Denne oppdateringen erstatter ikke tidligere utgitte oppdateringer.
Filinformasjon
Windows 10, versjon 1909
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.
Filnavn |
Filstørrelse |
Dato |
Tid |
Dbupdate.bin |
46 |
23.09.2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23.09.2019 |
23:13 |
Dbupdate.bin |
46 |
23.09.2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23.09.2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23.09.2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23.09.2019 |
23:13 |
Windows 10 versjon 1809 og Windows Server 2019
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.
Filnavn |
Filstørrelse |
Dato |
Tid |
Dbupdate.bin |
46 |
25.09.2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25.09.2019 |
01:14 |
Dbupdate.bin |
46 |
25.09.2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25.09.2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25.09.2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25.09.2019 |
01:14 |
Windows 10, versjon 1803
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellene nedenfor.
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Dbupdate.bin |
Ikke aktuelt |
3 |
30.09.2017 kl. |
01:01 |
Dbxupdate.bin |
Ikke aktuelt |
7,361 |
10.09.2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51 712 |
10.09.2019 |
03:55 |
Windows 10, versjon 1607 og Windows Server 2016
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Dbupdate.bin |
Ikke aktuelt |
2. |
03.03.2019 |
22:05 |
Dbxupdate.bin |
Ikke aktuelt |
7,361 |
12.09.2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16.09.2019 |
05:04 |
Windows 8.1 og Windows Server 2012 R2
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Dbupdate.bin |
Ikke aktuelt |
2. |
25.09.2019 |
04:21 |
Dbxupdate.bin |
Ikke aktuelt |
7,361 |
25.09.2019 |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25.09.2019 |
06:30 |
Windows Server 2012
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Dbupdate.bin |
Ikke aktuelt |
2. |
20. juni 2019 kl. |
00:06 |
Dbxupdate.bin |
Ikke aktuelt |
7,361 |
10.09.2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25.09.2019 |
04:30 |
Referanser
Finn ut mer om terminologien som Microsoft bruker til å beskrive programvareoppdateringer.