Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

VIKTIG Denne artikkelen erstattes av KB5012170: Sikkerhetsoppdatering for sikker oppstart av DBX.

Gjelder for

Denne sikkerhetsoppdateringen gjelder bare for følgende Windows-versjoner:

  • Windows Server 2012 x64-biters

  • Windows Server 2012 R2 x64-biters

  • Windows 8,1 x64-biters

  • Windows Server 2016 x64-biters

  • Windows Server 2019 x64-biters

  • Windows 10, versjon 1607 x64-biters

  • Windows 10, versjon 1803 x64-biters

  • Windows 10, versjon 1809 x64-biters

  • Windows 10, versjon 1909 x64-biters 

Oppsummering

Denne sikkerhetsoppdateringen gjør forbedringer i Secure Boot DBX for støttede Windows-versjoner som er oppført i delen Gjelder for. Viktige endringer omfatter følgende: 

  • Windows-enheter som har UEFI-basert fastvare (Unified Extensible Firmware Interface) kan kjøre med Sikker oppstart aktivert. DBX (Secure Boot Forbidden Signature Database) hindrer at UEFI-moduler lastes inn. Denne oppdateringen legger til moduler i DBX.Det finnes et sikkerhetsproblem som kan føre til omgåelse av sikkerhetsfunksjon i sikker oppstart. En angriper som utnyttet sikkerhetsproblemet, kan omgå sikker oppstart og last ikke-klarert programvare.Denne sikkerhetsoppdateringen løser sikkerhetsproblemet ved å legge til signaturene til de kjente sårbare UEFI-modulene i DBX.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se CVE-2020-0689 | Sikkerhetsproblem i Microsoft Secure Boot Security Feature Bypass.

Kjente problemer

Problem

Løsning

Det kan hende at en original OEM-fastvare (originalutstyrsprodusent) ikke tillater installasjon av denne oppdateringen.

Hvis du vil løse dette problemet, kontakter du fastvare-OEM-en.

Hvis BitLocker gruppepolicy konfigurer valideringsprofil for TPM-plattform for opprinnelige UEFI-fastvarekonfigurasjoner er aktivert og PCR7 er valgt av policyen, kan det føre til at BitLocker-gjenopprettingsnøkkelen kreves på enkelte enheter der PCR7-binding ikke er mulig.

Hvis du vil vise bindingsstatusen for PCR7, kjører du verktøyet Microsoft Systeminformasjon (Msinfo32.exe) med administrative tillatelser.

Hvis du vil omgå dette problemet, gjør du ett av følgende basert på konfigurasjon av legitimasjonsbeskyttelse før du distribuerer denne oppdateringen:

  • På en enhet som ikke har legitimasjonsgard aktivert, kjører du følgende kommando fra en administratorkommandoledetekst for å suspendere BitLocker for én omstartssyklus:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    Start deretter enheten på nytt for å gjenoppta BitLocker-beskyttelsen.Merk Ikke aktiver BitLocker-beskyttelse uten å starte enheten på nytt i tillegg, da det ville resultere i BitLocker-gjenoppretting.

  • På en enhet som har Credential Guard aktivert, kan det være flere omstarter under oppdateringen som krever at BitLocker suspenderes. Kjør følgende kommando fra en ledetekst for administrator for å stoppe BitLocker i tre omstartssykluser. Manage-bde –Protectors –Disable C: -RebootCount 3

    Denne oppdateringen forventes å starte systemet på nytt to ganger. Start enheten på nytt for å gjenoppta BitLocker-beskyttelsen.

    Obs!   Ikke aktiver BitLocker-beskyttelse uten å starte på nytt i tillegg, da det vil resultere i BitLocker-gjenoppretting.

Du kan angi Bitlocker-gjenoppretting hvis motstridende innstillinger for BitLocker-gruppepolicy er konfigurert etter at BitLocker er aktivert i miljøet. Bitlocker-gjenoppretting kan utløses på grunn av noen av innstillingene nedenfor gruppepolicy:

Hvis denne oppdateringen allerede er tatt i bruk og enheten ikke har startet på nytt, stopper du BitLocker og starter på nytt etter å ha fulgt fremgangsmåten nedenfor:

  • Hvis en eksplisitt PCR-konfigurasjon er angitt gjennom gruppepolicy eller en policy er konfigurert til å forby bruk av sikker oppstart for integritetsvalidering, kan du avbryte og gjenoppta BitLocker for å fjerne GP-konfliktene.

  • Hvis krever ekstra godkjenning under oppstartspolicyen er konfigurert til å kreve TPM og PIN-kode, kjører du følgende kommando fra en administrativ ledetekst og angir ønsket PIN-kode: manage-bde -protectors -add c: -TPMAndPin

  • Hvis krev ekstra godkjenning under oppstartspolicyen er konfigurert til å kreve en oppstartsnøkkel, kjører du følgende kommando for å opprette oppstartsnøkkel: manage-bde -protectors -add c: -tpmandstartupkey <bane til ekstern nøkkelkatalog>

  • Hvis krev ekstra godkjenning under oppstartspolicyen er konfigurert til å kreve oppstartsnøkkel og PIN-kode, kjører du følgende kommando fra Admin ledetekst for å opprette PIN-kode og oppstartsnøkkel. Når du blir bedt om det, skriver du inn ønsket PIN-kode: manage-bde -protectors -add c: -tpmandpinandstartupkey <bane til ekstern nøkkelkatalog>

Denne oppdateringen kan ikke installeres på enheter med en usignert, ikke-Microsoft bootx64.efi boot manager-fil.  Denne oppdateringen kan bli tilbudt og reoffered gjennom Windows Update men kan ikke installeres.  Når du prøver å installere denne oppdateringen manuelt, kan det hende du får en feilmelding om at noen oppdateringer ikke ble installert, med KB4565680.  Du kan også kontrollere CBS-loggfilen i %systemroot%\logs\cbs for følgende feil: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Feil TRUST_E_NOSIGNATURE oppsto i funksjonen Windows::WCP::SecureBoot::BasicInstaller::Installer uttrykk: ApplySecureBootUpdate( dwAvailableUpdates)

Vi arbeider med en løsning og anslår at en løsning vil være tilgjengelig for Windows 10, versjon 1909, Windows 10, versjon 2004 og Windows 10, versjon 20H2 i slutten av mars.  De gjenværende støttede versjonene av Windows anslås å ha en løsning tilgjengelig i midten av april.

Hvis du vil ha mer veiledning før løsningen lanseres, kan du kontakte enhetsprodusenten (OEM).

Slik får du denne oppdateringen

Metode 1: Windows Update 

Denne oppdateringen er tilgjengelig via Windows Update. Den blir lastet ned og installert automatisk.  

Metode 2: Microsoft Update-katalog 

Hvis du vil ha den frittstående pakken for denne oppdateringen, kan du gå til nettstedet for Microsoft Update-katalogen.

Metode 3: Windows Server Update Services

Denne oppdateringen er også tilgjengelig via Windows Server Update Services (WSUS).

Forutsetninger

Kontroller at du har den siste servicestakkoppdateringen (SSU) installert. Hvis du vil ha informasjon om den nyeste SSU-en for operativsystemet ditt, kan du se ADV990001 | Nyeste servicestakk Oppdateringer.

Informasjon om omstart 

Enheten trenger ikke å starte på nytt når du bruker denne oppdateringen. Hvis du har aktivert Windows Defender Credential Guard (virtuell sikkermodus), starter enheten på nytt to ganger.

Erstatningsinformasjon om oppdatering 

Denne oppdateringen erstatter ikke tidligere utgitte oppdateringer.

Filinformasjon

Windows 10, versjon 1909 

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.

Filnavn

Filstørrelse

Dato

Tid

Dbupdate.bin

46

23.09.2019

23:13

Dbxupdate.bin

1,368

23.09.2019

23:13

Dbupdate.bin

46

23.09.2019

23:13

Dbxupdate.bin

2,840

23.09.2019

23:13

Tpmtasks.dll

3,339

23.09.2019

23:13

Tpmtasks.dll

2,892

23.09.2019

23:13

Windows 10 versjon 1809 og Windows Server 2019

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.

Filnavn

Filstørrelse

Dato

Tid

Dbupdate.bin

46

25.09.2019

01:14

Dbxupdate.bin

1,368

25.09.2019

01:14

Dbupdate.bin

46

25.09.2019

01:14

Dbxupdate.bin

2,840

25.09.2019

01:14

Tpmtasks.dll

1,998

25.09.2019

01:14

Tpmtasks.dll

1,568

25.09.2019

01:14

Windows 10, versjon 1803

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellene nedenfor.

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Dbupdate.bin

Ikke aktuelt

3

30.09.2017 kl.

01:01

Dbxupdate.bin

Ikke aktuelt

7,361

10.09.2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10.09.2019

03:55

Windows 10, versjon 1607 og Windows Server 2016

Filnavn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor. 

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Dbupdate.bin

Ikke aktuelt

2.

03.03.2019

22:05

Dbxupdate.bin

Ikke aktuelt

7,361

12.09.2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16.09.2019

05:04

Windows 8.1 og Windows Server 2012 R2

Filnavn

SHA1-hash

SHA256-hash

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor.

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Dbupdate.bin

Ikke aktuelt

2.

25.09.2019

04:21

Dbxupdate.bin

Ikke aktuelt

7,361

25.09.2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25.09.2019

06:30

Windows Server 2012

Filnavn

SHA1-hash

SHA256-hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Den engelske (USA) versjonen av denne programvareoppdateringen installerer filer som har attributtene som er oppført i tabellen nedenfor. 

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Dbupdate.bin

Ikke aktuelt

2.

20. juni 2019 kl.

00:06

Dbxupdate.bin

Ikke aktuelt

7,361

10.09.2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25.09.2019

04:30

Referanser

Finn ut mer om terminologien som Microsoft bruker til å beskrive programvareoppdateringer.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders