Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

BELANGRIJK Dit artikel wordt vervangen door KB5012170: Beveiligingsupdate voor Secure Boot DBX.

Van toepassing op

Deze beveiligingsupdate is alleen van toepassing op de volgende Windows-versies:

  • Windows Server 2012 x64-bits

  • Windows Server 2012 R2 x64-bits

  • Windows 8.1 x64-bits

  • Windows Server 2016 x64-bits

  • Windows Server 2019 x64-bits

  • Windows 10, versie 1607 x64-bits

  • Windows 10, versie 1803 x64-bits

  • Windows 10 versie 1809 x64-bits

  • Windows 10, versie 1909 x64-bits 

Samenvatting

Deze beveiligingsupdate brengt verbeteringen aan in Secure Boot DBX voor de ondersteunde Windows-versies die worden vermeld in de sectie 'Van toepassing op'. Belangrijke wijzigingen zijn onder meer: 

  • Windows-apparaten met UEFI-firmware (Unified Extensible Firmware Interface) kunnen worden uitgevoerd met Beveiligd opstarten ingeschakeld. De Database met verboden handtekening voor beveiligd opstarten (DBX) voorkomt dat UEFI-modules worden geladen. Met deze update worden modules toegevoegd aan de DBX.

    Er bestaat een beveiligingsprobleem met het omzeilen van beveiligingsfuncties bij beveiligd opstarten. Een aanvaller die misbruik heeft gemaakt van het beveiligingsprobleem, kan beveiligd opstarten omzeilen en niet-vertrouwde software laden.

    Deze beveiligingsupdate lost het beveiligingsprobleem op door de handtekeningen van de bekende kwetsbare UEFI-modules toe te voegen aan de DBX.

Zie CVE-2020-0689 | voor meer informatie over dit beveiligingsprobleem Beveiligingsfunctie van Microsoft Secure Boot: beveiligingsprobleem omzeilen.

Bekende problemen

Probleem

Tijdelijke oplossing

Sommige OEM-firmware (Original Equipment Manufacturer) staat de installatie van deze update mogelijk niet toe.

Neem contact op met de OEM van uw firmware om dit probleem op te lossen.

Als BitLocker groepsbeleid TPM-platformvalidatieprofiel configureren voor systeemeigen UEFI-firmwareconfiguraties is ingeschakeld en PCR7 is geselecteerd door beleid, kan dit ertoe leiden dat de BitLocker-herstelsleutel vereist is op sommige apparaten waarvoor PCR7-binding niet mogelijk is.

Als u de PCR7-bindingsstatus wilt weergeven, voert u het hulpprogramma Microsoft System Information (Msinfo32.exe) uit met beheerdersmachtigingen.

Als u dit probleem wilt oplossen, voert u een van de volgende handelingen uit op basis van credential guard-configuratie voordat u deze update implementeert:

  • Voer op een apparaat waarop Credential Gard niet is ingeschakeld de volgende opdracht uit vanaf een administrator-opdrachtprompt om BitLocker te onderbreken voor 1 herstartcyclus:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Start vervolgens het apparaat opnieuw op om de BitLocker-beveiliging te hervatten.

    Opmerking Schakel BitLocker-beveiliging niet in zonder het apparaat opnieuw op te starten, omdat dit zou leiden tot BitLocker-herstel.

  • Op een apparaat waarop Credential Guard is ingeschakeld, kunnen er tijdens de update meerdere herstarts zijn waarvoor BitLocker moet worden onderbroken. Voer de volgende opdracht uit vanaf een administrator-opdrachtprompt om BitLocker te onderbreken voor 3 herstartcycli. Manage-bde –Protectors – Disable C: -RebootCount 3

    Deze update zal het systeem naar verwachting twee keer opnieuw opstarten. Start het apparaat opnieuw op om de BitLocker-beveiliging te hervatten.

    Opmerking Schakel BitLocker-beveiliging niet in zonder bovendien opnieuw op te starten, omdat dit zou leiden tot BitLocker-herstel.

U kunt Bitlocker-herstel invoeren als conflicterende BitLocker-groepsbeleidsinstellingen zijn geconfigureerd nadat BitLocker is ingeschakeld in de omgeving. Bitlocker-herstel kan worden geactiveerd vanwege een van de onderstaande groepsbeleid instellingen:

Als deze update al is toegepast en het apparaat niet opnieuw is opgestart, onderbreekt u BitLocker en start u opnieuw op nadat u de onderstaande stappen hebt uitgevoerd:

  • Als een expliciete PCR-configuratie is ingesteld via groepsbeleid of als een beleid is geconfigureerd om het gebruik van beveiligd opstarten voor integriteitsvalidatie niet toe te laten, kunt u BitLocker onderbreken en hervatten om de GP-conflicten op te lossen.

  • Als het beleid Aanvullende verificatie vereisen tijdens opstarten is geconfigureerd om TPM en pincode te vereisen, voert u de volgende opdracht uit vanaf een opdrachtprompt Beheer en voert u de gewenste pincode in: manage-bde -protectors -add c: -TPMAndPin

  • Als het beleid Aanvullende verificatie vereisen tijdens het opstarten is geconfigureerd om een opstartsleutel te vereisen, voert u de volgende opdracht uit om de opstartsleutel te maken: manage-bde -protectors -add c: -tpmandstartupkey <pad naar externe sleutelmap>

  • Als het beleid Aanvullende verificatie vereisen tijdens het opstarten is geconfigureerd om opstartsleutel en -pincode te vereisen, voert u de volgende opdracht uit vanaf Beheer opdrachtprompt om vastmaken en opstartsleutel te maken. Voer de gewenste pincode in wanneer u hierom wordt gevraagd: manage-bde -protectors -add c: -tpmandpinandstartupkey <pad naar externe sleutelmap>

Deze update wordt mogelijk niet geïnstalleerd op apparaten met een niet-ondertekend, niet-Microsoft bootx64.efi boot manager-bestand.  Deze update wordt mogelijk aangeboden en opnieuw aangeboden via Windows Update, maar wordt mogelijk niet geïnstalleerd.  Wanneer u deze update handmatig probeert te installeren, krijgt u mogelijk de foutmelding 'Sommige updates zijn niet geïnstalleerd' met KB4565680.  U kunt ook het CBS-logboekbestand in %systemroot%\logs\cbs controleren op de volgende fout: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Fout TRUST_E_NOSIGNATURE afkomstig is van de functie Windows::WCP::SecureBoot::BasicInstaller::Install-expressie: ApplySecureBootUpdate( dwAvailableUpdates)

We werken aan een oplossing en schatten dat er eind maart een oplossing beschikbaar zal zijn voor Windows 10 versie 1909, Windows 10, versie 2004 en Windows 10, versie 20H2.  De resterende ondersteunde versies van Windows hebben naar schatting medio april een oplossing beschikbaar.

Neem contact op met de fabrikant van uw apparaat (OEM) voor aanvullende richtlijnen voordat de oplossing wordt uitgebracht.

Hoe u deze update kunt downloaden

Methode 1: Windows Update 

Deze update is beschikbaar via Windows Update. Deze wordt automatisch gedownload en geïnstalleerd.  

Methode 2: Microsoft Update-catalogus 

Als u het zelfstandige pakket voor deze update wilt downloaden, gaat u naar de website Microsoft Update-catalogus.

Methode 3: Windows Server Update Services

Deze update is ook beschikbaar via Windows Server Update Services (WSUS).

Vereisten

Zorg ervoor dat de laatste onderhoudsstackupdate (SSU) is geïnstalleerd. Zie ADV990001 | voor meer informatie over de nieuwste SSU voor uw besturingssysteem Meest recente Servicing Stack Updates.

Informatie over opnieuw opstarten 

Uw apparaat hoeft niet opnieuw op te starten wanneer u deze update toepast. Als u Windows Defender Credential Guard (virtuele beveiligde modus) hebt ingeschakeld, wordt uw apparaat twee keer opnieuw opgestart.

Informatie over vervangende update 

Deze update vervangt geen eerder uitgebrachte updates.

Bestandsinformatie

Windows 10, versie 1909 

Bestandsnaam

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.

Bestandsnaam

Bestandsgrootte

Datum

Tijd

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

1,368

23-sep-2019

23:13

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

2,840

23-sep-2019

23:13

Tpmtasks.dll

3,339

23-sep-2019

23:13

Tpmtasks.dll

2,892

23-sep-2019

23:13

Windows 10 versie 1809 en Windows Server 2019

Bestandsnaam

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.

Bestandsnaam

Bestandsgrootte

Datum

Tijd

Dbupdate.bin

46

25-sep-2019

01:14

Dbxupdate.bin

1,368

25-sep-2019

01:14

Dbupdate.bin

46

25-sep-2019

01:14

Dbxupdate.bin

2,840

25-sep-2019

01:14

Tpmtasks.dll

1,998

25-sep-2019

01:14

Tpmtasks.dll

1,568

25-sep-2019

01:14

Windows 10 versie 1803

Bestandsnaam

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Met de Engelse (Verenigde Staten) versie van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabellen worden vermeld.

Bestandsnaam

Bestandsversie

Bestandsgrootte

Datum

Tijd

Dbupdate.bin

Niet van toepassing

3

30-okt-2017

01:01

Dbxupdate.bin

Niet van toepassing

7,361

10-sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51.712

10-sep-2019

03:55

Windows 10, versie 1607 en Windows Server 2016

Bestandsnaam

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld. 

Bestandsnaam

Bestandsversie

Bestandsgrootte

Datum

Tijd

Dbupdate.bin

Niet van toepassing

2

03-sep-2019

22:05

Dbxupdate.bin

Niet van toepassing

7,361

12-sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44.032

16-sep-2019

05:04

Windows 8.1 en Windows Server 2012 R2

Bestandsnaam

SHA1-hash

SHA256-hash

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB33304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld.

Bestandsnaam

Bestandsversie

Bestandsgrootte

Datum

Tijd

Dbupdate.bin

Niet van toepassing

2

25-sep-2019

04:21

Dbxupdate.bin

Niet van toepassing

7,361

25-sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-sep-2019

06:30


Windows Server 2012

Bestandsnaam

SHA1-hash

SHA256-hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Met de Engelse versie (Verenigde Staten) van deze software-update worden bestanden geïnstalleerd met de kenmerken die in de volgende tabel worden vermeld. 

Bestandsnaam

Bestandsversie

Bestandsgrootte

Datum

Tijd

Dbupdate.bin

Niet van toepassing

2

20-jun-2019

00:06

Dbxupdate.bin

Niet van toepassing

7,361

10-sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95.232

25-sep-2019

04:30

Naslagwerken

Meer informatie over de terminologie die Microsoft gebruikt om software-updates te beschrijven.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×