Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

IMPORTANT Acest articol este înlocuit de KB5012170: Actualizare de securitate pentru Secure Boot DBX.

Se aplică la

Această actualizare de securitate se aplică doar la următoarele versiuni de Windows:

  • Windows Server 2012 pe 64 de biți

  • Windows Server 2012 R2 pe 64 de biți

  • Windows 8.1 pe 64 de biți

  • Windows Server 2016 pe 64 de biți

  • Windows Server 2019 pe 64 de biți

  • Windows 10, versiunea 1607 x64-bit

  • Windows 10, versiunea 1803 x64-bit

  • Windows 10, versiunea 1809 x64-bit

  • Windows 10, versiunea 1909 x64-bit 

Rezumat

Această actualizare de securitate aduce îmbunătățiri la Secure Boot DBX pentru versiunile de Windows acceptate listate în secțiunea "Se aplică la". Printre modificările cheie se numără următoarele: 

  • Dispozitivele Windows care au firmware unificat Extensible Firmware Interface (UEFI) pot rula cu Secure Boot activat. Baza de date de semnături Secure Boot Forbidden Forbidden (DBX) împiedică încărcarea modulelor UEFI. Această actualizare adaugă module la DBX.

    O vulnerabilitate de ocolire a caracteristicilor de securitate există în bootare sigură. Un atacator care a exploatat cu succes vulnerabilitatea poate ocoli bootarea securizată și încărca software care nu este de încredere.

    Această actualizare de securitate tratează vulnerabilitatea prin adăugarea semnăturilor modulelor UEFI vulnerabile cunoscute la DBX.

Pentru a afla mai multe despre această vulnerabilitate de securitate, consultați CVE-2020-0689 | Vulnerabilitate de ocolire a caracteristicii de securitate pentru bootare securizată Microsoft.

Probleme cunoscute

Problemă

Soluție de evitare

Este posibil ca unele firmware-ul producătorului de echipamente original (OEM) să nu permită instalarea acestei actualizări.

Pentru a rezolva această problemă, contactați producătorul OEM de firmware.

Dacă BitLocker Politică de grup Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native este activat și PCR7 este selectat prin politică, acest lucru poate duce la necesitatea cheii de recuperare BitLocker pe unele dispozitive în care legarea PCR7 nu este posibilă.

Pentru a vizualiza starea legării PCR7, rulați instrumentul Microsoft System Information (Msinfo32.exe) cu permisiuni administrative.

Pentru a rezolva această problemă, alegeți una dintre următoarele variante pe baza configurației protecției acreditărilor înainte de a implementa această actualizare:

  • Pe un dispozitiv care nu are Activat Credential Gard, rulați următoarea comandă dintr-o linie de comandă Administrator pentru a suspenda BitLocker pentru un ciclu de repornire:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Apoi reporniți dispozitivul pentru a relua protecția BitLocker.

    Notă Nu activați protecția BitLocker fără a reporni suplimentar dispozitivul, deoarece ar duce la recuperarea BitLocker.

  • Pe un dispozitiv care are Activat Credential Guard, pot exista mai multe reporniri în timpul actualizării care necesită suspendarea BitLocker. Rulați următoarea comandă dintr-o linie de comandă Administrator pentru a suspenda BitLocker pentru 3 cicluri de repornire. Manage-bde –Protectors –Disable C: -RebootCount 3

    Se așteaptă ca această actualizare să repornească sistemul de două ori. Reporniți dispozitivul încă o dată pentru a relua protecția BitLocker.

    Notă Nu activați protecția BitLocker fără repornire suplimentară, deoarece ar duce la recuperarea BitLocker.

Puteți introduce recuperare BitLocker dacă setările de politică de grup BitLocker conflictuale sunt configurate după ce BitLocker a fost activat în mediu. Recuperarea BitLocker poate fi declanșată din cauza oricăreia dintre setările de Politică de grup de mai jos:

Dacă această actualizare a fost deja aplicată și dispozitivul nu a repornit, suspendați BitLocker și reporniți după ce urmați pașii de mai jos:

  • Dacă o configurație PCR explicită a fost setată prin politica de grup sau o politică este configurată să nu permită utilizarea bootării securizate pentru validarea integrității, suspendați și reluați BitLocker pentru a șterge conflictele GP.

  • Dacă politica Solicitați autentificare suplimentară în timpul pornirii este configurată să solicite TPM și PIN, rulați următoarea comandă dintr-o linie de comandă administrativă și introduceți codul PIN dorit: manage-bde -protectors -add c: -TPMAndPin

  • Dacă politica Solicitați autentificare suplimentară în timpul pornirii este configurată să solicite o cheie de pornire, executați următoarea comandă pentru a crea cheia de pornire: manage-bde -protectors -add c: -tpmandstartupkey <cale către directorul de chei externe>

  • Dacă politica Solicitați autentificare suplimentară în timpul pornirii este configurată să solicite tasta de pornire și să fixeze, executați următoarea comandă de la Admin linie de comandă pentru a crea cheia de fixare și de pornire. Atunci când vi se solicită, introduceți codul PIN dorit: manage-bde -protectors -add c: -tpmandpinandstartupkey <cale către directorul de chei externe>

Este posibil ca această actualizare să nu se instaleze pe dispozitive cu un fișier manager de bootare nesemnat, care nu este Microsoft bootx64.efi.  Este posibil ca această actualizare să fie oferită și reofferată prin Windows Update, dar este posibil să nu se instaleze.  Atunci când încercați să instalați manual această actualizare, este posibil să primiți o eroare, "Unele actualizări nu au fost instalate" listează KB4565680.  De asemenea, puteți verifica fișierul jurnal CBS în %systemroot%\logs\cbs pentru următoarea eroare: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Eroarea TRUST_E_NOSIGNATURE își are originea în funcția Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Lucrăm la o rezolvare și estimăm că va fi disponibilă o soluție pentru versiunea Windows 10, versiunea 1909, Windows 10, versiunea 2004 și Windows 10, versiunea 20H2 la sfârșitul lunii martie.  Se estimează că versiunile de Windows acceptate rămase vor avea o soluție disponibilă la jumătatea lunii aprilie.

Pentru instrucțiuni suplimentare înainte de lansarea rezoluției, contactați producătorul dispozitivului (OEM).

Cum se obține această actualizare

Metoda 1: Windows Update 

Această actualizare este disponibilă prin Windows Update. Va fi descărcată și instalată automat.  

Metoda 2: Catalog Microsoft Update 

Pentru a obține pachetul independent pentru această actualizare, accesați site-ul web Catalog Microsoft Update.

Metoda 3: Serviciile de actualizare Windows Server

Această actualizare este disponibilă prin Serviciile de actualizare Windows Server (WSUS).

Cerințe preliminare

Asigurați-vă că aveți cea mai recentă actualizare a stivei de servicii (SSU) instalată. Pentru informații despre cel mai recent SSU pentru sistemul dvs. de operare, consultați ADV990001 | Cea mai recentă Actualizări stivă de servicii.

Informații despre repornire 

Dispozitivul dvs. nu trebuie să repornească atunci când aplicați această actualizare. Dacă ați activat Windows Defender Credential Guard (Modul securizat virtual), dispozitivul dvs. va reporni de două ori.

Informații despre înlocuirea actualizării 

Această actualizare nu înlocuiește nicio actualizare lansată anterior.

Informații despre fișiere

Windows 10, versiunea 1909 

Nume fișier

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.

Nume fișier

Dimensiune fișier

Dată

Oră

Dbupdate.bin

46

23 septembrie 2019

23:13

Dbxupdate.bin

1,368

23 septembrie 2019

23:13

Dbupdate.bin

46

23 septembrie 2019

23:13

Dbxupdate.bin

2,840

23 septembrie 2019

23:13

Tpmtasks.dll

3,339

23 septembrie 2019

23:13

Tpmtasks.dll

2,892

23 septembrie 2019

23:13

Windows 10, versiunea 1809 și Windows Server 2019

Nume fișier

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.

Nume fișier

Dimensiune fișier

Dată

Oră

Dbupdate.bin

46

25 septembrie 2019

01:14

Dbxupdate.bin

1,368

25 septembrie 2019

01:14

Dbupdate.bin

46

25 septembrie 2019

01:14

Dbxupdate.bin

2,840

25 septembrie 2019

01:14

Tpmtasks.dll

1,998

25 septembrie 2019

01:14

Tpmtasks.dll

1,568

25 septembrie 2019

01:14

Windows 10, versiunea 1803

Nume fișier

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Versiunea în limba engleză (Statele Unite) a acestei actualizări de software instalează fișiere care au atributele ce sunt listate în tabelele următoare.

Nume fișier

Versiune fișier

Dimensiune fișier

Dată

Oră

Dbupdate.bin

Nu se aplică

3

30-Oct-2017

01:01

Dbxupdate.bin

Nu se aplică

7,361

10 septembrie 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10 septembrie 2019

03:55

Windows 10, versiunea 1607 și Windows Server 2016

Nume fișier

Hash SHA1

Hash SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor. 

Nume fișier

Versiune fișier

Dimensiune fișier

Dată

Oră

Dbupdate.bin

Nu se aplică

2

03 septembrie 2019

22:05

Dbxupdate.bin

Nu se aplică

7,361

12 septembrie 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16 septembrie 2019

05:04

Windows 8.1 și Windows Server 2012 R2

Nume fișier

Hash SHA1

Hash SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.

Nume fișier

Versiune fișier

Dimensiune fișier

Dată

Oră

Dbupdate.bin

Nu se aplică

2

25 septembrie 2019

04:21

Dbxupdate.bin

Nu se aplică

7,361

25 septembrie 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25 septembrie 2019

06:30


Windows Server 2012

Nume fișier

Hash SHA1

Hash SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033E4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor. 

Nume fișier

Versiune fișier

Dimensiune fișier

Dată

Oră

Dbupdate.bin

Nu se aplică

2

20-Iun-2019

00:06

Dbxupdate.bin

Nu se aplică

7,361

10 septembrie 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25 septembrie 2019

04:30

Referințe

Aflați despre terminologia pe care o utilizează Microsoft pentru a descrie actualizările de software.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×