Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

ВАЖНО Эта статья заменена kb5012170: обновление системы безопасности для безопасной загрузки DBX.

Применимо к:

Это обновление для системы безопасности применяется только к следующим версиям Windows:

  • Windows Server 2012 x64-разрядная версия

  • Windows Server 2012 R2 x64-bit

  • Windows 8.1 x64-bit

  • Windows Server 2016 x64-разрядная версия

  • Windows Server 2019 x64-bit

  • Windows 10 версии 1607 x64-bit

  • Windows 10 версии 1803 x64-bit

  • Windows 10, версия 1809 x64-разрядная версия

  • Windows 10, версия 1909 x64-bit 

Сводка

Это обновление для системы безопасности вносит улучшения в безопасную загрузку DBX для поддерживаемых версий Windows, перечисленных в разделе "Применимо к". Ключевые изменения включают следующее: 

  • Устройства Windows с встроенным ПО на основе UEFI могут работать с включенной безопасной загрузкой. База данных запрещенной сигнатуры безопасной загрузки (DBX) предотвращает загрузку модулей UEFI. Это обновление добавляет модули в DBX.

    При безопасной загрузке существует уязвимость обхода функций безопасности. Злоумышленник, который успешно воспользовался этой уязвимостью, может обойти безопасную загрузку и загрузить ненадежное программное обеспечение.

    Это обновление для системы безопасности устраняет уязвимость, добавляя в DBX сигнатуры известных уязвимых модулей UEFI.

Дополнительные сведения об этой уязвимости безопасности см. в статье CVE-2020-0689 | Уязвимость обхода функции безопасности безопасной загрузки (Майкрософт).

Известные проблемы

Проблема

Временное решение

Некоторые исходные встроенное ПО изготовителя оборудования (OEM) могут не разрешать установку этого обновления.

Чтобы устранить эту проблему, обратитесь к изготовителю встроенного ПО.

Если bitLocker групповая политика Настройка профиля проверки платформы доверенного платформы для собственных конфигураций встроенного ПО UEFI включен и политика выбирает PCR7, это может привести к тому, что ключ восстановления BitLocker потребуется на некоторых устройствах, где привязка PCR7 невозможна.

Чтобы просмотреть состояние привязки PCR7, запустите средство Microsoft System Information (Msinfo32.exe) с разрешениями администратора.

Чтобы решить эту проблему, перед развертыванием этого обновления выполните одно из следующих действий на основе конфигурации credential guard:

  • На устройстве, на который не включены учетные данные Gard, выполните следующую команду из командной строки администратора, чтобы приостановить BitLocker для 1 цикла перезагрузки:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Затем перезапустите устройство, чтобы возобновить защиту BitLocker.

    Примечание Не включайте защиту BitLocker без дополнительного перезапуска устройства, так как это приведет к восстановлению BitLocker.

  • На устройстве с включенным Credential Guard во время обновления может быть несколько перезапусков, требующих приостановки BitLocker. Выполните следующую команду из командной строки администратора, чтобы приостановить BitLocker на 3 циклах перезапуска. Manage-bde –Protectors –Disable C: -RebootCount 3

    Ожидается, что это обновление перезапустит систему два раза. Перезапустите устройство еще раз, чтобы возобновить защиту BitLocker.

    Примечание Не включайте защиту BitLocker без дополнительного перезапуска, так как это приведет к восстановлению BitLocker.

Вы можете ввести восстановление Bitlocker, если конфликтующие параметры групповой политики BitLocker настроены после включения BitLocker в среде. Восстановление Bitlocker может быть активировано из-за любого из следующих групповая политика параметров:

Если это обновление уже применено и устройство не перезапущено, приостановите bitLocker и перезапустите его, выполнив следующие действия:

  • Если с помощью групповой политики задана явная конфигурация PCR или настроена политика запрета использования безопасной загрузки для проверки целостности, приостановите и возобновите BitLocker, чтобы устранить конфликты групповой политики.

  • Если политика Требовать дополнительную проверку подлинности во время запуска настроена так, чтобы требовать TPM и ПИН-код, выполните следующую команду в командной строке администратора и введите требуемый ПИН-код: manage-bde -protectors -add c: -TPMAndPin

  • Если политика Требовать дополнительную проверку подлинности во время запуска настроена так, чтобы требовать ключ запуска, выполните следующую команду, чтобы создать ключ запуска: manage-bde -protectors -add c: -tpmandstartupkey <путь к внешнему каталогу ключей>

  • Если политика Требовать дополнительную проверку подлинности во время запуска настроена так, чтобы требовать ключ запуска и закрепление, выполните следующую команду из командной строки Администратор, чтобы создать пин-код и ключ запуска. При появлении запроса введите нужный ПИН-код: manage-bde -protectors -add c: -tpmandpinandstartupkey <путь к внешнему каталогу ключей>

Это обновление может не устанавливаться на устройствах с неподписанным файлом диспетчера загрузки bootx64.efi сторонних версий.  Это обновление может предлагаться и повторно предоставляться через клиентский компонент Центра обновления Windows но может не устанавливаться.  При попытке установить это обновление вручную может появиться сообщение об ошибке "Некоторые обновления не установлены" со списком KB4565680.  Вы также можете проверить файл журнала CBS в %systemroot%\logs\cbs на наличие следующей ошибки: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): ошибка TRUST_E_NOSIGNATURE возникла в функции Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Мы работаем над решением и оцениваем, что решение будет доступно для Windows 10 версии 1909, Windows 10, версии 2004 и Windows 10 версии 20H2 в конце марта.  Остальные поддерживаемые версии Windows, по оценкам, имеют решение, доступное в середине апреля.

Чтобы получить дополнительные рекомендации перед выпуском разрешения, обратитесь к производителю устройства (OEM).

Порядок получения обновления

Способ 1. Центр обновления Windows 

Это обновление доступно в Центре обновления Windows. Оно будет загружено и установлено автоматически.  

Способ 2. Каталог Центра обновления Майкрософт 

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.

Способ 3. Windows Server Update Services

Это обновление также доступно в Windows Server Update Services (WSUS).

Предварительные требования

Убедитесь, что установлено последнее обновление стека обслуживания (SSU). Сведения о последней версии SSU для операционной системы см. в статье ADV990001 | Последние Обновления стека обслуживания.

Сведения о перезапуске 

При применении этого обновления устройство не требуется перезагружать. Если вы включили Защитник Windows Credential Guard (виртуальный безопасный режим), устройство перезагрузится два раза.

Сведения о замене обновления 

Это обновление не заменяет ранее выпущенные обновления.

Сведения о файлах

Windows 10 версии 1909 

Имя файла

Хэш SHA1

Хэш SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Версия этого обновления на английском языке (США) устанавливает файлы с атрибутами, перечисленными в следующей таблице.

Имя файла

Размер файла

Дата

Время

Dbupdate.bin

46

23 сентября 2019 г.

23:13

Dbxupdate.bin

1,368

23 сентября 2019 г.

23:13

Dbupdate.bin

46

23 сентября 2019 г.

23:13

Dbxupdate.bin

2,840

23 сентября 2019 г.

23:13

Tpmtasks.dll

3,339

23 сентября 2019 г.

23:13

Tpmtasks.dll

2,892

23 сентября 2019 г.

23:13

Windows 10, версия 1809, и Windows Server 2019

Имя файла

Хэш SHA1

Хэш SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Версия этого обновления на английском языке (США) устанавливает файлы с атрибутами, перечисленными в следующей таблице.

Имя файла

Размер файла

Дата

Время

Dbupdate.bin

46

25 сентября 2019 г.

01:14

Dbxupdate.bin

1,368

25 сентября 2019 г.

01:14

Dbupdate.bin

46

25 сентября 2019 г.

01:14

Dbxupdate.bin

2,840

25 сентября 2019 г.

01:14

Tpmtasks.dll

1,998

25 сентября 2019 г.

01:14

Tpmtasks.dll

1,568

25 сентября 2019 г.

01:14

Windows 10 версии 1803

Имя файла

Хэш SHA1

Хэш SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Версия этого обновления ПО на английском языке (Соединенные Штаты) устанавливает файлы с атрибутами, которые перечислены в таблице ниже.

Имя файла

Версия файла

Размер файла

Дата

Время

Dbupdate.bin

Неприменимо

3

30 октября 2017 г.

01:01

Dbxupdate.bin

Неприменимо

7,361

10 сентября 2019 г.

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10 сентября 2019 г.

03:55

Windows 10 версии 1607 и Windows Server 2016

Имя файла

Хэш SHA1

Хэш SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Версия этого обновления на английском языке (США) устанавливает файлы с атрибутами, перечисленными в следующей таблице. 

Имя файла

Версия файла

Размер файла

Дата

Время

Dbupdate.bin

Неприменимо

2

03 сентября 2019 г.

22:05

Dbxupdate.bin

Неприменимо

7,361

12 сентября 2019 г.

01:01

Tpmtasks.dll

10.0.14393.3001

44 032

16 сентября 2019 г.

05:04

Windows 8.1 и Windows Server 2012 R2

Имя файла

Хэш SHA1

Хэш SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Версия этого обновления на английском языке (США) устанавливает файлы с атрибутами, перечисленными в следующей таблице.

Имя файла

Версия файла

Размер файла

Дата

Время

Dbupdate.bin

Неприменимо

2

25 сентября 2019 г.

04:21

Dbxupdate.bin

Неприменимо

7,361

25 сентября 2019 г.

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25 сентября 2019 г.

06:30


Windows Server 2012

Имя файла

Хэш SHA1

Хэш SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Версия этого обновления на английском языке (США) устанавливает файлы с атрибутами, перечисленными в следующей таблице. 

Имя файла

Версия файла

Размер файла

Дата

Время

Dbupdate.bin

Неприменимо

2

20 июня 2019 г.

00:06

Dbxupdate.bin

Неприменимо

7,361

10 сентября 2019 г.

00:07

Tpmtasks.dll

6.2.9200.22884

95 232

25 сентября 2019 г.

04:30

Ссылки

Сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×