Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

IMPORTANTE Este artigo é substituído por KB5012170: Atualização de segurança para O DBX de Arranque Seguro.

Aplica-se a

Esta atualização de segurança aplica-se apenas às seguintes versões do Windows:

  • Windows Server 2012 x64 bits

  • Windows Server 2012 R2 x64 bits

  • Windows 8.1 x64 bits

  • Windows Server 2016 x64 bits

  • Windows Server 2019 x64 bits

  • Windows 10, versão 1607 x64 bits

  • Windows 10, versão 1803 x64 bits

  • Windows 10, versão 1809 x64 bits

  • Windows 10, versão 1909 x64 bits 

Resumo

Esta atualização de segurança melhora o Secure Boot DBX para as versões suportadas do Windows listadas na secção "Aplica-se a". As alterações principais incluem o seguinte: 

  • Os dispositivos Windows com firmware baseado em UEFI (Extensible Firmware Interface) Unificado podem ser executados com o Arranque Seguro ativado. A Base de Dados de Assinatura Proibida de Arranque Seguro (DBX) impede o carregamento de módulos UEFI. Esta atualização adiciona módulos ao DBX.

    Existe uma vulnerabilidade de descontinuação da funcionalidade de segurança no arranque seguro. Um atacante que tenha explorado com êxito a vulnerabilidade pode ignorar o arranque seguro e carregar software não fidedigno.

    Esta atualização de segurança resolve a vulnerabilidade ao adicionar as assinaturas dos módulos UEFI vulneráveis conhecidos ao DBX.

Para saber mais sobre esta vulnerabilidade de segurança, consulte CVE-2020-0689 | Vulnerabilidade de Ignorar Funcionalidade de Segurança de Arranque Seguro da Microsoft.

Problemas conhecidos

Problema

Solução

Alguns firmwares do fabricante de equipamento original (OEM) podem não permitir a instalação desta atualização.

Para resolver este problema, contacte o seu OEM de firmware.

Se o BitLocker Política de Grupo Configurar o perfil de validação da plataforma TPM para configurações de firmware UEFI nativas estiver ativado e PCR7 estiver selecionado por política, poderá resultar na necessidade da chave de recuperação BitLocker em alguns dispositivos em que o enlace PCR7 não é possível.

Para ver o estado de enlace PCR7, execute a ferramenta Informações do Sistema Microsoft (Msinfo32.exe) com permissões administrativas.

Para solucionar este problema, efetue um dos seguintes procedimentos com base na configuração do credential guard antes de implementar esta atualização:

  • Num dispositivo que não tenha o Credential Gard ativado, execute o seguinte comando a partir de uma linha de comandos de Administrador para suspender o BitLocker durante 1 ciclo de reinício:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Em seguida, reinicie o dispositivo para retomar a proteção do BitLocker.

    Nota Não ative a proteção BitLocker sem reiniciar adicionalmente o dispositivo, uma vez que resultaria na recuperação do BitLocker.

  • Num dispositivo com o Credential Guard ativado, podem existir vários reinícios durante a atualização que requerem a suspensão do BitLocker. Execute o seguinte comando a partir de uma linha de comandos do Administrador para suspender o BitLocker durante 3 ciclos de reinício. Manage-bde –Protectores –Disable C: -RebootCount 3

    Espera-se que esta atualização reinicie o sistema duas vezes. Reinicie novamente o dispositivo para retomar a proteção do BitLocker.

    Nota Não ative a proteção BitLocker sem reiniciar adicionalmente, pois resultaria na recuperação do BitLocker.

Poderá introduzir a recuperação do Bitlocker se as definições de política de grupo bitLocker em conflito estiverem configuradas depois de o BitLocker ter sido ativado no ambiente. A recuperação do Bitlocker pode ser acionada devido a qualquer uma das definições de Política de Grupo abaixo:

Se esta atualização já tiver sido aplicada e o dispositivo não tiver sido reiniciado, suspenda o BitLocker e reinicie após seguir os passos abaixo:

  • Se uma configuração de PCR explícita tiver sido definida através da política de grupo ou se uma política estiver configurada para não permitir a utilização do arranque seguro para validação de integridade, suspenda e retome o BitLocker para limpar os conflitos de GP.

  • Se a política Exigir Autenticação adicional durante o arranque estiver configurada para exigir TPM e PIN, execute o seguinte comando a partir de uma linha de comandos Administrativa e introduza o PIN pretendido: manage-bde -protectores -add c: -TPMAndPin

  • Se a política Exigir Autenticação adicional durante o arranque estiver configurada para exigir uma chave de arranque, execute o seguinte comando para criar a chave de arranque: manage-bde -protectors -add c: -tpmandstartupkey <caminho para o diretório de chaves externas>

  • Se a política Exigir Autenticação adicional durante o arranque estiver configurada para exigir a chave de arranque e afixar, execute o seguinte comando a partir de Administração linha de comandos para criar o Pin e a chave de arranque. Quando lhe for pedido, introduza o PIN pretendido: manage-bde -protectors -add c: -tpmandpinandstartupkey <caminho para o diretório de chaves externas>

Esta atualização poderá não ser instalada em dispositivos com um ficheiro de gestor de arranque não assinado e não microsoftx64.efi.  Esta atualização pode ser disponibilizada e reativada através de Windows Update, mas pode não ser instalada.  Quando tenta instalar esta atualização manualmente, poderá receber um erro" Algumas atualizações não foram instaladas" com a lista KB4565680.  Também pode verificar o ficheiro de Registo do CBS em %systemroot%\logs\cbs para obter o seguinte erro: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Erro TRUST_E_NOSIGNATURE originado na função Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Estamos a trabalhar numa resolução e estimamos que estará disponível uma solução para Windows 10, versão 1909, Windows 10, versão 2004 e Windows 10, versão 20H2 no final de março.  Estima-se que as restantes versões suportadas do Windows tenham uma solução disponível em meados de abril.

Para obter orientações adicionais antes do lançamento da resolução, contacte o fabricante do dispositivo (OEM).

Como obter esta atualização

Método 1: Windows Update 

Esta atualização está disponível através do Windows Update. Será descarregada e instalada automaticamente.  

Método 2: Catálogo Microsoft Update 

Para obter o pacote autónomo para esta atualização, aceda ao site Catálogo Microsoft Update.

Método 3: Windows Server Update Services

Esta atualização também está disponível através do Windows Server Update Services (WSUS).

Pré-requisitos

Certifique-se de que tem a última atualização da pilha de manutenção (SSU) instalada. Para obter informações sobre a SSU mais recente do seu sistema operativo, consulte ADV990001 | Atualizações mais recentes da Pilha de Manutenção.

Informações para reiniciar 

O dispositivo não tem de ser reiniciado quando aplica esta atualização. Se tiver Windows Defender Credential Guard (Modo de Segurança Virtual) ativado, o dispositivo será reiniciado duas vezes.

Informações de substituição de atualizações 

Esta atualização não substitui nenhuma atualização disponibilizada anteriormente.

Informações de ficheiro

Windows 10, versão 1909 

Nome de ficheiro

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

A versão em inglês (Estados Unidos) desta atualização de software instala ficheiros que têm os atributos listados na tabela seguinte.

Nome de ficheiro

Tamanho do ficheiro

Data

Hora

Dbupdate.bin

46

23 set-2019

23:13

Dbxupdate.bin

1,368

23 set-2019

23:13

Dbupdate.bin

46

23 set-2019

23:13

Dbxupdate.bin

2,840

23 set-2019

23:13

Tpmtasks.dll

3,339

23 set-2019

23:13

Tpmtasks.dll

2,892

23 set-2019

23:13

Windows 10, versão 1809 e Windows Server 2019

Nome de ficheiro

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

A versão em inglês (Estados Unidos) desta atualização de software instala ficheiros que têm os atributos listados na tabela seguinte.

Nome de ficheiro

Tamanho do ficheiro

Data

Hora

Dbupdate.bin

46

25 set-2019

01:14

Dbxupdate.bin

1,368

25 set-2019

01:14

Dbupdate.bin

46

25 set-2019

01:14

Dbxupdate.bin

2,840

25 set-2019

01:14

Tpmtasks.dll

1,998

25 set-2019

01:14

Tpmtasks.dll

1,568

25 set-2019

01:14

Windows 10, versão 1803

Nome de ficheiro

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

A versão em inglês (Estados Unidos) desta atualização de software instala ficheiros que têm os atributos listados nas tabelas seguintes.

Nome de ficheiro

Versão do ficheiro

Tamanho do ficheiro

Data

Hora

Dbupdate.bin

Não aplicável

3

30-Out-2017

01:01

Dbxupdate.bin

Não aplicável

7,361

10 set-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10 set-2019

03:55

Windows 10, versão 1607 e Windows Server 2016

Nome de ficheiro

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

A versão em inglês (Estados Unidos) desta atualização de software instala ficheiros que têm os atributos listados na tabela seguinte. 

Nome de ficheiro

Versão do ficheiro

Tamanho do ficheiro

Data

Hora

Dbupdate.bin

Não aplicável

2

03-Set-2019

22:05

Dbxupdate.bin

Não aplicável

7,361

12-Set-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16 set-2019

05:04

Windows 8.1 e Windows Server 2012 R2

Nome de ficheiro

Hash SHA1

Hash SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

A versão em inglês (Estados Unidos) desta atualização de software instala ficheiros que têm os atributos listados na tabela seguinte.

Nome de ficheiro

Versão do ficheiro

Tamanho do ficheiro

Data

Hora

Dbupdate.bin

Não aplicável

2

25 set-2019

04:21

Dbxupdate.bin

Não aplicável

7,361

25 set-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25 set-2019

06:30


Windows Server 2012

Nome de ficheiro

Hash SHA1

Hash SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

A versão em inglês (Estados Unidos) desta atualização de software instala ficheiros que têm os atributos listados na tabela seguinte. 

Nome de ficheiro

Versão do ficheiro

Tamanho do ficheiro

Data

Hora

Dbupdate.bin

Não aplicável

2

20-Jun-2019

00:06

Dbxupdate.bin

Não aplicável

7,361

10 set-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25 set-2019

04:30

Referências

Saiba mais sobre a terminologia que a Microsoft utiliza para descrever as atualizações de software.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×