IMPORTANT Acest articol este înlocuit de KB5012170: Actualizare de securitate pentru Secure Boot DBX.
Se aplică la
Această actualizare de securitate se aplică doar la următoarele versiuni de Windows:
-
Windows Server 2012 pe 64 de biți
-
Windows Server 2012 R2 pe 64 de biți
-
Windows 8.1 pe 64 de biți
-
Windows Server 2016 pe 64 de biți
-
Windows Server 2019 pe 64 de biți
-
Windows 10, versiunea 1607 x64-bit
-
Windows 10, versiunea 1803 x64-bit
-
Windows 10, versiunea 1809 x64-bit
-
Windows 10, versiunea 1909 x64-bit
Rezumat
Această actualizare de securitate aduce îmbunătățiri la Secure Boot DBX pentru versiunile de Windows acceptate listate în secțiunea "Se aplică la". Printre modificările cheie se numără următoarele:
-
Dispozitivele Windows care au firmware unificat Extensible Firmware Interface (UEFI) pot rula cu Secure Boot activat. Baza de date de semnături Secure Boot Forbidden Forbidden (DBX) împiedică încărcarea modulelor UEFI. Această actualizare adaugă module la DBX.
O vulnerabilitate de ocolire a caracteristicilor de securitate există în bootare sigură. Un atacator care a exploatat cu succes vulnerabilitatea poate ocoli bootarea securizată și încărca software care nu este de încredere. Această actualizare de securitate tratează vulnerabilitatea prin adăugarea semnăturilor modulelor UEFI vulnerabile cunoscute la DBX.
Pentru a afla mai multe despre această vulnerabilitate de securitate, consultați CVE-2020-0689 | Vulnerabilitate de ocolire a caracteristicii de securitate pentru bootare securizată Microsoft.
Probleme cunoscute
Problemă |
Soluție de evitare |
Este posibil ca unele firmware-ul producătorului de echipamente original (OEM) să nu permită instalarea acestei actualizări. |
Pentru a rezolva această problemă, contactați producătorul OEM de firmware. |
Dacă BitLocker Politică de grup Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native este activat și PCR7 este selectat prin politică, acest lucru poate duce la necesitatea cheii de recuperare BitLocker pe unele dispozitive în care legarea PCR7 nu este posibilă. Pentru a vizualiza starea legării PCR7, rulați instrumentul Microsoft System Information (Msinfo32.exe) cu permisiuni administrative. |
Pentru a rezolva această problemă, alegeți una dintre următoarele variante pe baza configurației protecției acreditărilor înainte de a implementa această actualizare:
|
Puteți introduce recuperare BitLocker dacă setările de politică de grup BitLocker conflictuale sunt configurate după ce BitLocker a fost activat în mediu. Recuperarea BitLocker poate fi declanșată din cauza oricăreia dintre setările de Politică de grup de mai jos:
|
Dacă această actualizare a fost deja aplicată și dispozitivul nu a repornit, suspendați BitLocker și reporniți după ce urmați pașii de mai jos:
|
Este posibil ca această actualizare să nu se instaleze pe dispozitive cu un fișier manager de bootare nesemnat, care nu este Microsoft bootx64.efi. Este posibil ca această actualizare să fie oferită și reofferată prin Windows Update, dar este posibil să nu se instaleze. Atunci când încercați să instalați manual această actualizare, este posibil să primiți o eroare, "Unele actualizări nu au fost instalate" listează KB4565680. De asemenea, puteți verifica fișierul jurnal CBS în %systemroot%\logs\cbs pentru următoarea eroare: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Eroarea TRUST_E_NOSIGNATURE își are originea în funcția Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
Lucrăm la o rezolvare și estimăm că va fi disponibilă o soluție pentru versiunea Windows 10, versiunea 1909, Windows 10, versiunea 2004 și Windows 10, versiunea 20H2 la sfârșitul lunii martie. Se estimează că versiunile de Windows acceptate rămase vor avea o soluție disponibilă la jumătatea lunii aprilie. Pentru instrucțiuni suplimentare înainte de lansarea rezoluției, contactați producătorul dispozitivului (OEM). |
Cum se obține această actualizare
Metoda 1: Windows Update
Această actualizare este disponibilă prin Windows Update. Va fi descărcată și instalată automat.
Metoda 2: Catalog Microsoft Update
Pentru a obține pachetul independent pentru această actualizare, accesați site-ul web Catalog Microsoft Update.
Metoda 3: Serviciile de actualizare Windows Server
Această actualizare este disponibilă prin Serviciile de actualizare Windows Server (WSUS).
Cerințe preliminare
Asigurați-vă că aveți cea mai recentă actualizare a stivei de servicii (SSU) instalată. Pentru informații despre cel mai recent SSU pentru sistemul dvs. de operare, consultați ADV990001 | Cea mai recentă Actualizări stivă de servicii.
Informații despre repornire
Dispozitivul dvs. nu trebuie să repornească atunci când aplicați această actualizare. Dacă ați activat Windows Defender Credential Guard (Modul securizat virtual), dispozitivul dvs. va reporni de două ori.
Informații despre înlocuirea actualizării
Această actualizare nu înlocuiește nicio actualizare lansată anterior.
Informații despre fișiere
Windows 10, versiunea 1909
Nume fișier |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.
Nume fișier |
Dimensiune fișier |
Dată |
Oră |
Dbupdate.bin |
46 |
23 septembrie 2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23 septembrie 2019 |
23:13 |
Dbupdate.bin |
46 |
23 septembrie 2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23 septembrie 2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23 septembrie 2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23 septembrie 2019 |
23:13 |
Windows 10, versiunea 1809 și Windows Server 2019
Nume fișier |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.
Nume fișier |
Dimensiune fișier |
Dată |
Oră |
Dbupdate.bin |
46 |
25 septembrie 2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25 septembrie 2019 |
01:14 |
Dbupdate.bin |
46 |
25 septembrie 2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25 septembrie 2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25 septembrie 2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25 septembrie 2019 |
01:14 |
Windows 10, versiunea 1803
Nume fișier |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Versiunea în limba engleză (Statele Unite) a acestei actualizări de software instalează fișiere care au atributele ce sunt listate în tabelele următoare.
Nume fișier |
Versiune fișier |
Dimensiune fișier |
Dată |
Oră |
Dbupdate.bin |
Nu se aplică |
3 |
30-Oct-2017 |
01:01 |
Dbxupdate.bin |
Nu se aplică |
7,361 |
10 septembrie 2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51,712 |
10 septembrie 2019 |
03:55 |
Windows 10, versiunea 1607 și Windows Server 2016
Nume fișier |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.
Nume fișier |
Versiune fișier |
Dimensiune fișier |
Dată |
Oră |
Dbupdate.bin |
Nu se aplică |
2 |
03 septembrie 2019 |
22:05 |
Dbxupdate.bin |
Nu se aplică |
7,361 |
12 septembrie 2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16 septembrie 2019 |
05:04 |
Windows 8.1 și Windows Server 2012 R2
Nume fișier |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.
Nume fișier |
Versiune fișier |
Dimensiune fișier |
Dată |
Oră |
Dbupdate.bin |
Nu se aplică |
2 |
25 septembrie 2019 |
04:21 |
Dbxupdate.bin |
Nu se aplică |
7,361 |
25 septembrie 2019 |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25 septembrie 2019 |
06:30 |
Windows Server 2012
Nume fișier |
Hash SHA1 |
Hash SHA256 |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033E4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software instalează fișiere care au atributele listate în tabelul următor.
Nume fișier |
Versiune fișier |
Dimensiune fișier |
Dată |
Oră |
Dbupdate.bin |
Nu se aplică |
2 |
20-Iun-2019 |
00:06 |
Dbxupdate.bin |
Nu se aplică |
7,361 |
10 septembrie 2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25 septembrie 2019 |
04:30 |
Referințe
Aflați despre terminologia pe care o utilizează Microsoft pentru a descrie actualizările de software.