WAŻNE Ten artykuł został zastępuje aktualizację KB5012170: aktualizacja zabezpieczeń dla bazy danych bezpiecznego rozruchu.
Dotyczy:
Ta aktualizacja zabezpieczeń ma zastosowanie tylko do następujących wersji systemu Windows:
-
Windows Server 2012 x64-bitowa
-
Windows Server 2012 R2 x64-bitowy
-
Windows 8.1 x64-bitowa
-
Windows Server 2016 x64-bitowa
-
Windows Server 2019 w wersji x64-bitowej
-
Windows 10, wersja 1607 x64-bitowa
-
Windows 10, wersja 1803 x64-bitowa
-
Windows 10, wersja 1809 x64-bitowa
-
Windows 10, wersja 1909 x64-bitowa
Podsumowanie
Ta aktualizacja zabezpieczeń wprowadza ulepszenia w systemie DBX bezpiecznego rozruchu dla obsługiwanych wersji systemu Windows wymienionych w sekcji "Dotyczy". Najważniejsze wprowadzone zmiany:
-
Urządzenia z systemem Windows z oprogramowaniem układowym opartym na interfejsie Unified Extensible Firmware Interface (UEFI) mogą działać z włączonym bezpiecznym rozruchem. Baza danych DBX (Secure Boot Forbidden Signature Database) uniemożliwia ładowanie modułów UEFI. Ta aktualizacja dodaje moduły do bazy danych.
W bezpiecznym rozruchu występuje luka obejścia funkcji zabezpieczeń. Atakujący, który pomyślnie wykorzystał tę lukę, może pominąć bezpieczny rozruch i załadować niezaufane oprogramowanie.
Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach, dodając sygnatury znanych wrażliwych modułów UEFI do bazy danych DBX.
Aby dowiedzieć się więcej o tej luki w zabezpieczeniach, zobacz CVE-2020-0689 | Luka w zabezpieczeniach bezpiecznego rozruchu firmy Microsoft— obejście.
Znane problemy
Problem |
Obejście |
Niektóre oryginalne oprogramowanie układowe producenta sprzętu (OEM) może nie zezwalać na zainstalowanie tej aktualizacji. |
Aby rozwiązać ten problem, skontaktuj się z OEM oprogramowania układowego. |
Jeśli funkcja BitLocker zasady grupy Konfigurowanie profilu sprawdzania poprawności platformy modułu TPM dla natywnych konfiguracji oprogramowania układowego UEFI jest włączona, a pcr7 jest wybierany przez zasady, może to spowodować wymaganie klucza odzyskiwania funkcji BitLocker na niektórych urządzeniach, na których powiązanie PCR7 nie jest możliwe. Aby wyświetlić stan powiązania PCR7, uruchom narzędzie Microsoft System Information (Msinfo32.exe) z uprawnieniami administracyjnymi. |
Aby obejść ten problem, przed wdrożeniem tej aktualizacji wykonaj jedną z następujących czynności na podstawie konfiguracji credential guard:
|
Jeśli ustawienia zasad grupy funkcji BitLocker są skonfigurowane po włączeniu funkcji BitLocker w środowisku, możesz wprowadzić funkcję odzyskiwania funkcji Bitlocker. Odzyskiwanie funkcji Bitlocker może być wyzwalane ze względu na dowolne z poniższych ustawień zasady grupy:
|
Jeśli ta aktualizacja została już zastosowana i urządzenie nie zostało ponownie uruchomione, wstrzymaj funkcję BitLocker i uruchom ponownie po wykonaniu poniższych czynności:
|
Ta aktualizacja może nie zostać zainstalowana na urządzeniach z niepodpisanym plikiem menedżera rozruchu non-Microsoft bootx64.efi. Ta aktualizacja może być oferowana i ponownie oferowana za pośrednictwem Windows Update ale może nie zostać zainstalowana. Podczas próby zainstalowania tej aktualizacji ręcznie może zostać wyświetlony komunikat o błędzie "Niektóre aktualizacje nie zostały zainstalowane" z listą KB4565680. Możesz również sprawdzić plik dziennika CBS w %systemroot%\logs\cbs pod kątem następującego błędu: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): TRUST_E_NOSIGNATURE błędu pochodzi z funkcji Windows::WCP::SecureBoot::BasicInstaller::Install wyrażenie: ApplySecureBootUpdate( dwAvailableUpdates) |
Pracujemy nad rozwiązaniem i szacujemy, że będzie ono dostępne dla Windows 10, wersja 1909, Windows 10, wersja 2004 i Windows 10, wersja 20H2 pod koniec marca. Szacuje się, że pozostałe obsługiwane wersje systemu Windows będą miały rozwiązanie dostępne w połowie kwietnia. Aby uzyskać dodatkowe wskazówki przed wydaniem rozdzielczości, skontaktuj się z producentem urządzenia (OEM). |
Jak uzyskać tę aktualizację
Metoda 1: Windows Update
Ta aktualizacja jest dostępna za pośrednictwem usługi Windows Update. Aktualizacja zostanie pobrana i zainstalowana automatycznie.
Metoda 2: Wykaz usługi Microsoft Update
Aby uzyskać autonomiczny pakiet tej aktualizacji, przejdź do witryny internetowej Wykaz usługi Microsoft Update.
Metoda 3: Windows Server Update Services
Ta aktualizacja jest również dostępna przez usługi Windows Server Update Services (WSUS).
Wymagania wstępne
Upewnij się, że zainstalowano najnowszą aktualizację stosu obsługi (SSU). Aby uzyskać informacje o najnowszej SSU dla twojego systemu operacyjnego, zobacz ADV990001 | Aktualizacje stosu najnowszej obsługi.
Informacje o ponownym uruchamianiu
Po zastosowaniu tej aktualizacji urządzenie nie musi ponownie uruchamiać się. Jeśli masz włączoną funkcję Windows Defender Credential Guard (Wirtualny tryb bezpieczny), urządzenie zostanie ponownie uruchomione dwa razy.
Informacje o zastępowaniu aktualizacji
Ta aktualizacja nie zastępuje żadnej wcześniej wydanej aktualizacji.
Informacje o plikach
Windows 10 w wersji 1909
Nazwa pliku |
Skrót SHA1 |
Skrót SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Wersja angielska (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki z atrybutami wymienionymi w poniższej tabeli.
Nazwa pliku |
Rozmiar pliku |
Data |
Godzina |
Dbupdate.bin |
46 |
23 września 2019 r. |
23:13 |
Dbxupdate.bin |
1,368 |
23 września 2019 r. |
23:13 |
Dbupdate.bin |
46 |
23 września 2019 r. |
23:13 |
Dbxupdate.bin |
2,840 |
23 września 2019 r. |
23:13 |
Tpmtasks.dll |
3,339 |
23 września 2019 r. |
23:13 |
Tpmtasks.dll |
2,892 |
23 września 2019 r. |
23:13 |
Windows 10 w wersji 1809 i Windows Server 2019
Nazwa pliku |
Skrót SHA1 |
Skrót SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Wersja angielska (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki z atrybutami wymienionymi w poniższej tabeli.
Nazwa pliku |
Rozmiar pliku |
Data |
Godzina |
Dbupdate.bin |
46 |
25 września 2019 r. |
01:14 |
Dbxupdate.bin |
1,368 |
25 września 2019 r. |
01:14 |
Dbupdate.bin |
46 |
25 września 2019 r. |
01:14 |
Dbxupdate.bin |
2,840 |
25 września 2019 r. |
01:14 |
Tpmtasks.dll |
1,998 |
25 września 2019 r. |
01:14 |
Tpmtasks.dll |
1,568 |
25 września 2019 r. |
01:14 |
Windows 10 w wersji 1803
Nazwa pliku |
Skrót SHA1 |
Skrót SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
W wersji tej aktualizacji oprogramowania w języku angielskim (Stany Zjednoczone) są instalowane pliki o atrybutach wymienionych w tabelach poniżej.
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Dbupdate.bin |
Nie dotyczy |
3 |
30-paź-2017 |
01:01 |
Dbxupdate.bin |
Nie dotyczy |
7,361 |
10 września 2019 r. |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51 712 |
10 września 2019 r. |
03:55 |
Windows 10, wersja 1607 i Windows Server 2016
Nazwa pliku |
Skrót SHA1 |
Skrót SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Wersja angielska (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki z atrybutami wymienionymi w poniższej tabeli.
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Dbupdate.bin |
Nie dotyczy |
2 |
03-wrz-2019 |
22:05 |
Dbxupdate.bin |
Nie dotyczy |
7,361 |
12 września 2019 r. |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16 września 2019 r. |
05:04 |
Windows 8.1 i Windows Server 2012 z dodatkiem R2
Nazwa pliku |
Skrót SHA1 |
Skrót SHA256 |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
Wersja angielska (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki z atrybutami wymienionymi w poniższej tabeli.
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Dbupdate.bin |
Nie dotyczy |
2 |
25 września 2019 r. |
04:21 |
Dbxupdate.bin |
Nie dotyczy |
7,361 |
25 września 2019 r. |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25 września 2019 r. |
06:30 |
Windows Server 2012
Nazwa pliku |
Skrót SHA1 |
Skrót SHA256 |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Wersja angielska (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki z atrybutami wymienionymi w poniższej tabeli.
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Dbupdate.bin |
Nie dotyczy |
2 |
20 czerwca 2019 r. |
00:06 |
Dbxupdate.bin |
Nie dotyczy |
7,361 |
10 września 2019 r. |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25 września 2019 r. |
04:30 |
Informacje pomocnicze
Dowiedz się więcej o terminologii używanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.