BELANGRIJK Dit artikel wordt vervangen door KB5012170: Beveiligingsupdate voor Secure Boot DBX.
Van toepassing op
Deze beveiligingsupdate is alleen van toepassing op de volgende Windows-versies:
-
Windows Server 2012 x64-bits
-
Windows Server 2012 R2 x64-bits
-
Windows 8.1 x64-bits
-
Windows Server 2016 x64-bits
-
Windows Server 2019 x64-bits
-
Windows 10, versie 1607 x64-bits
-
Windows 10, versie 1803 x64-bits
-
Windows 10 versie 1809 x64-bits
-
Windows 10, versie 1909 x64-bits
Samenvatting
Deze beveiligingsupdate brengt verbeteringen aan in Secure Boot DBX voor de ondersteunde Windows-versies die worden vermeld in de sectie 'Van toepassing op'. Belangrijke wijzigingen zijn onder meer:
-
Windows-apparaten met UEFI-firmware (Unified Extensible Firmware Interface) kunnen worden uitgevoerd met Beveiligd opstarten ingeschakeld. De Database met verboden handtekening voor beveiligd opstarten (DBX) voorkomt dat UEFI-modules worden geladen. Met deze update worden modules toegevoegd aan de DBX.
Er bestaat een beveiligingsprobleem met het omzeilen van beveiligingsfuncties bij beveiligd opstarten. Een aanvaller die misbruik heeft gemaakt van het beveiligingsprobleem, kan beveiligd opstarten omzeilen en niet-vertrouwde software laden.
Deze beveiligingsupdate lost het beveiligingsprobleem op door de handtekeningen van de bekende kwetsbare UEFI-modules toe te voegen aan de DBX.
Bekende problemen
Probleem |
Tijdelijke oplossing |
Sommige OEM-firmware (Original Equipment Manufacturer) staat de installatie van deze update mogelijk niet toe. |
Neem contact op met de OEM van uw firmware om dit probleem op te lossen. |
Als BitLocker groepsbeleid TPM-platformvalidatieprofiel configureren voor systeemeigen UEFI-firmwareconfiguraties is ingeschakeld en PCR7 is geselecteerd door beleid, kan dit ertoe leiden dat de BitLocker-herstelsleutel vereist is op sommige apparaten waarvoor PCR7-binding niet mogelijk is. Als u de PCR7-bindingsstatus wilt weergeven, voert u het hulpprogramma Microsoft System Information (Msinfo32.exe) uit met beheerdersmachtigingen. |
Als u dit probleem wilt oplossen, voert u een van de volgende handelingen uit op basis van credential guard-configuratie voordat u deze update implementeert:
|
U kunt Bitlocker-herstel invoeren als conflicterende BitLocker-groepsbeleidsinstellingen zijn geconfigureerd nadat BitLocker is ingeschakeld in de omgeving. Bitlocker-herstel kan worden geactiveerd vanwege een van de onderstaande groepsbeleid instellingen:
|
Als deze update al is toegepast en het apparaat niet opnieuw is opgestart, onderbreekt u BitLocker en start u opnieuw op nadat u de onderstaande stappen hebt uitgevoerd:
|
Deze update wordt mogelijk niet geïnstalleerd op apparaten met een niet-ondertekend, niet-Microsoft bootx64.efi boot manager-bestand. Deze update wordt mogelijk aangeboden en opnieuw aangeboden via Windows Update, maar wordt mogelijk niet geïnstalleerd. Wanneer u deze update handmatig probeert te installeren, krijgt u mogelijk de foutmelding 'Sommige updates zijn niet geïnstalleerd' met KB4565680. U kunt ook het CBS-logboekbestand in %systemroot%\logs\cbs controleren op de volgende fout: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Fout TRUST_E_NOSIGNATURE afkomstig is van de functie Windows::WCP::SecureBoot::BasicInstaller::Install-expressie: ApplySecureBootUpdate( dwAvailableUpdates) |
We werken aan een oplossing en schatten dat er eind maart een oplossing beschikbaar zal zijn voor Windows 10 versie 1909, Windows 10, versie 2004 en Windows 10, versie 20H2. De resterende ondersteunde versies van Windows hebben naar schatting medio april een oplossing beschikbaar. Neem contact op met de fabrikant van uw apparaat (OEM) voor aanvullende richtlijnen voordat de oplossing wordt uitgebracht. |
Hoe u deze update kunt downloaden
Methode 1: Windows Update
Deze update is beschikbaar via Windows Update. Deze wordt automatisch gedownload en geïnstalleerd.
Methode 2: Microsoft Update-catalogus
Als u het zelfstandige pakket voor deze update wilt downloaden, gaat u naar de website Microsoft Update-catalogus.
Methode 3: Windows Server Update Services
Deze update is ook beschikbaar via Windows Server Update Services (WSUS).
Vereisten
Zorg ervoor dat de laatste onderhoudsstackupdate (SSU) is geïnstalleerd. Zie ADV990001 | voor meer informatie over de nieuwste SSU voor uw besturingssysteem Meest recente Servicing Stack Updates.
Informatie over opnieuw opstarten
Uw apparaat hoeft niet opnieuw op te starten wanneer u deze update toepast. Als u Windows Defender Credential Guard (virtuele beveiligde modus) hebt ingeschakeld, wordt uw apparaat twee keer opnieuw opgestart.
Informatie over vervangende update
Deze update vervangt geen eerder uitgebrachte updates.
Bestandsinformatie
Windows 10, versie 1909
Bestandsnaam |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.
Bestandsnaam |
Bestandsgrootte |
Datum |
Tijd |
Dbupdate.bin |
46 |
23-sep-2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23-sep-2019 |
23:13 |
Dbupdate.bin |
46 |
23-sep-2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23-sep-2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23-sep-2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23-sep-2019 |
23:13 |
Windows 10 versie 1809 en Windows Server 2019
Bestandsnaam |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.
Bestandsnaam |
Bestandsgrootte |
Datum |
Tijd |
Dbupdate.bin |
46 |
25-sep-2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25-sep-2019 |
01:14 |
Dbupdate.bin |
46 |
25-sep-2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25-sep-2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25-sep-2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25-sep-2019 |
01:14 |
Windows 10 versie 1803
Bestandsnaam |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Met de Engelse (Verenigde Staten) versie van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabellen worden vermeld.
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Dbupdate.bin |
Niet van toepassing |
3 |
30-okt-2017 |
01:01 |
Dbxupdate.bin |
Niet van toepassing |
7,361 |
10-sep-2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51.712 |
10-sep-2019 |
03:55 |
Windows 10, versie 1607 en Windows Server 2016
Bestandsnaam |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Dbupdate.bin |
Niet van toepassing |
2 |
03-sep-2019 |
22:05 |
Dbxupdate.bin |
Niet van toepassing |
7,361 |
12-sep-2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44.032 |
16-sep-2019 |
05:04 |
Windows 8.1 en Windows Server 2012 R2
Bestandsnaam |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB33304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Dbupdate.bin |
Niet van toepassing |
2 |
25-sep-2019 |
04:21 |
Dbxupdate.bin |
Niet van toepassing |
7,361 |
25-sep-2019 |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25-sep-2019 |
06:30 |
Windows Server 2012
Bestandsnaam |
SHA1-hash |
SHA256-hash |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Dbupdate.bin |
Niet van toepassing |
2 |
20-jun-2019 |
00:06 |
Dbxupdate.bin |
Niet van toepassing |
7,361 |
10-sep-2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95.232 |
25-sep-2019 |
04:30 |
Naslagwerken
Meer informatie over de terminologie die Microsoft gebruikt om software-updates te beschrijven.