Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

Vzťahuje sa na

Táto aktualizácia zabezpečenia sa vzťahuje len na nasledujúce verzie Windowsu:

  • Windows Server 2012 x64-bitová verzia

  • Windows Server 2012 R2 x64-bitová verzia

  • Windows 8,1 x64-bitová verzia

  • Windows Server 2016 x64-bitová verzia

  • Windows Server 2019 x64-bitová verzia

  • Windows 10, verzia 1607 x64-bitová

  • Windows 10, verzia 1803 x64-bitová

  • Windows 10, verzia 1809 x64-bitová

  • Windows 10, verzia 1909 x64-bitová 

Zhrnutie

Táto aktualizácia zabezpečenia zlepšuje systém Secure Boot DBX pre podporované verzie windowsu uvedené v časti Vzťahuje sa na. Kľúčové zmeny: 

  • Zariadenia s Windowsom, ktoré majú firmvér založený na technológii Unified Extensible Firmware Interface (UEFI), sa môžu spúšťať so zapnutým zabezpečeným spustením. Databáza DBX (Secure Boot Forbidden Signature Database) zabraňuje načítaniu modulov UEFI. Táto aktualizácia pridá moduly do databázy DBX.V zabezpečenom spúšťaní existuje nedostatočné zabezpečenie funkcie zabezpečenia. Útočník, ktorý úspešne využil zraniteľnosť, môže obísť zabezpečené spustenie a načítať nedôveryhodný softvér.Táto aktualizácia zabezpečenia rieši zraniteľnosť pridaním podpisov známych zraniteľných modulov UEFI do databázy DBX.

Ďalšie informácie o tomto zraniteľnom zabezpečení nájdete v téme CVE-2020-0689 | Nedostatočné zabezpečenie zabezpečenia zabezpečeného spustenia od spoločnosti Microsoft.

Známe problémy

Problém

Alternatívne riešenie

Niektoré firmvéry výrobcu pôvodného zariadenia (OEM) možno nepovolia inštaláciu tejto aktualizácie.

Ak chcete vyriešiť tento problém, obráťte sa na OEM firmvéru.

Ak je funkcia BitLocker skupinová politika Konfigurácia overovacieho profilu platformy TPM pre natívne konfigurácie firmvéru UEFI zapnutá a pcr7 je vybratá politikou, môže to mať za následok, že v niektorých zariadeniach, v ktorých väzba PCR7 nie je možná, sa bude vyžadovať kľúč na obnovenie šifrovania BitLocker.

Ak chcete zobraziť stav väzby PCR7, spustite nástroj Microsoft System Information (Msinfo32.exe) s povoleniami správcu.

Ak chcete alternatívne riešenie tohto problému, pred nasadením tejto aktualizácie vykonajte niektorý z týchto krokov na základe konfigurácie ochrany poverení:

  • V zariadení, ktoré nemá povolenú funkciu Gard poverení, spustite nasledujúci príkaz z príkazového riadka správcu a pozastavte šifrovanie BitLocker na 1 cyklus reštartovania:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    Potom reštartujte zariadenie a obnovte ochranu šifrovania BitLocker.Poznámka Nepovoľte ochranu šifrovania BitLocker bez ďalšieho reštartovania zariadenia, pretože by to viedlo k obnove šifrovania BitLocker.

  • V zariadení, ktoré má zapnutú funkciu Credential Guard, sa počas aktualizácie môže vyskytnúť viacero reštartov, ktoré vyžadujú pozastavenie šifrovania BitLocker. Spustením nasledujúceho príkazu z príkazového riadka správcu odstavíte uzamknutie BitLocker na 3 cykly reštartovania. Manage-bde –Protectors –Disable C: -RebootCount 3

    Očakáva sa, že táto aktualizácia reštartuje systém dvakrát. Znova reštartujte zariadenie a obnovte ochranu šifrovania BitLocker.

    Poznámka Nepovoľte ochranu šifrovaním BitLocker bez ďalšieho reštartovania, pretože by to malo za následok obnovenie šifrovania BitLocker.

Obnovenie šifrovania BitLocker môžete zadať, ak sú po zapnutí zabezpečenia BitLocker v prostredí nakonfigurované konfliktné nastavenia skupinovej politiky šifrovania BitLocker. Obnovenie bitlockera je možné spustiť z dôvodu ktoréhokoľvek z nižšie uvedených nastavení skupinová politika:

Ak sa táto aktualizácia už použila a zariadenie sa nereštartovalo, po vykonaní nasledujúcich krokov odstavte šifrovanie BitLocker a reštartujte ho:

  • Ak explicitná konfigurácia PCR bola nastavená prostredníctvom skupinovej politiky alebo politika je nakonfigurovaná tak, aby zakázala používanie zabezpečeného spustenia pre overenie integrity, pozastaviť a obnoviť BitLocker na vymazanie konfliktov GP.

  • Ak je politika spustenia nakonfigurovaná tak, aby vyžadovala modul TPM a PIN, spustite nasledujúci príkaz z príkazového riadka správcu a zadajte požadovaný PIN kód: manage-bde -protectors -add c: -TPMAndPin

  • Ak je politika spustenia nakonfigurovaná tak, aby vyžadovala spúšťací kľúč, spustite nasledujúci príkaz na vytvorenie spúšťacieho kľúča: manage-bde -protectors -add c: -tpmandstartupkey <cestu k adresáru externých kľúčov>

  • Ak je politika spustenia nakonfigurovaná tak, aby vyžadovala spúšťací kľúč a pripnutie, spustite nasledujúci príkaz z príkazového riadka Spravovanie a vytvorte pin a spúšťací kľúč. Po zobrazení výzvy zadajte požadovaný PIN kód: manage-bde -protectors -add c: -tpmandpinandstartupkey <cestu k adresáru externých kľúčov>

Táto aktualizácia sa možno nenainštaluje v zariadeniach s nepodpísaným súborom správcu bootx64.efi, ktorý nie je od spoločnosti Microsoft.  Táto aktualizácia môže byť ponúkaná a z nej odvodená prostredníctvom Windows Update, ale nemusí sa inštalovať.  Pri pokuse o manuálnu inštaláciu tejto aktualizácie sa môže zobraziť chyba Niektoré aktualizácie sa nenainštalovali a zobrazila sa aktualizácia KB4565680.  Môžete tiež skontrolovať súbor denníka CBS v %systemroot%\logs\cbs pre nasledujúcu chybu: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Chyba TRUST_E_NOSIGNATURE vznikla vo funkcii Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Pracujeme na riešení a odhadujeme, že riešenie bude koncom marca k dispozícii pre Windows 10, verziu 1909, Windows 10, verziu 2004 a Windows 10, verziu 20H2.  Odhaduje sa, že zostávajúce podporované verzie Windowsu budú mať riešenie k dispozícii v polovici apríla.

Ak potrebujete ďalšie pokyny pred vydaním rozlíšenia, obráťte sa na výrobcu zariadenia (OEM).

Ako získať túto aktualizáciu

Spôsob 1: Windows Update 

Táto aktualizácia je k dispozícii prostredníctvom služby Windows Update. Automaticky sa stiahne a nainštaluje.  

Spôsob 2: Katalóg služby Microsoft Update 

Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update.

Spôsob 3: Windows Server Update Services

Táto aktualizácia je k dispozícii aj zo služby Windows Server Update Services (WSUS).

Požiadavky

Skontrolujte, či máte nainštalovanú najnovšiu aktualizáciu zásobníka údržby (SSU). Informácie o najnovšej SSU pre váš operačný systém nájdete v téme ADV990001 | Najnovšia údržba stack Aktualizácie.

Informácie o reštartovaní 

Keď použijete túto aktualizáciu, vaše zariadenie sa nemusí reštartovať. Ak máte zapnutú Windows Defender Credential Guard (virtuálny zabezpečený režim), zariadenie sa reštartuje dvakrát.

Informácie o nahradení aktualizácie 

Táto aktualizácia nenahrádňuje žiadnu predtým vydanú aktualizáciu.

Informácie o súboroch

Windows 10, verzia 1909 

Názov súboru

SHA1 hash

SHA256 hash

Windows 10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.

Názov súboru

Veľkosť súboru

Dátum

Čas

Dbupdate.bin

46

23. septembra 2019

23:13

Dbxupdate.bin

1,368

23. septembra 2019

23:13

Dbupdate.bin

46

23. septembra 2019

23:13

Dbxupdate.bin

2,840

23. septembra 2019

23:13

Tpmtasks.dll

3,339

23. septembra 2019

23:13

Tpmtasks.dll

2,892

23. septembra 2019

23:13

Windows 10, verzia 1809, a Windows Server 2019

Názov súboru

SHA1 hash

SHA256 hash

Windows 10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.

Názov súboru

Veľkosť súboru

Dátum

Čas

Dbupdate.bin

46

25. sep 2019

01:14

Dbxupdate.bin

1,368

25. sep 2019

01:14

Dbupdate.bin

46

25. sep 2019

01:14

Dbxupdate.bin

2,840

25. sep 2019

01:14

Tpmtasks.dll

1,998

25. sep 2019

01:14

Tpmtasks.dll

1,568

25. sep 2019

01:14

Windows 10, verzia 1803

Názov súboru

SHA1 hash

SHA256 hash

Windows 10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Anglická verzia tejto aktualizácie softvéru pre Spojené štáty nainštaluje súbory s atribútmi, ktoré sú uvedené v nasledujúcich tabuľkách.

Názov súboru

Verzia súboru

Veľkosť súboru

Dátum

Čas

Dbupdate.bin

Nevzťahuje sa

3

30. októbra 2017

01:01

Dbxupdate.bin

Nevzťahuje sa

7,361

10. sep 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10. sep 2019

03:55

Windows 10, verzia 1607 a Windows Server 2016

Názov súboru

SHA1 hash

SHA256 hash

Windows 10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke. 

Názov súboru

Verzia súboru

Veľkosť súboru

Dátum

Čas

Dbupdate.bin

Nevzťahuje sa

2

03. sep 2019

22:05

Dbxupdate.bin

Nevzťahuje sa

7,361

12. sep 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16. sep 2019

05:04

Windows 8.1 a Windows Server 2012 R2

Názov súboru

SHA1 hash

SHA256 hash

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.

Názov súboru

Verzia súboru

Veľkosť súboru

Dátum

Čas

Dbupdate.bin

Nevzťahuje sa

2

25. sep 2019

04:21

Dbxupdate.bin

Nevzťahuje sa

7,361

25. sep 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25. sep 2019

06:30

Windows Server 2012

Názov súboru

SHA1 hash

SHA256 hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke. 

Názov súboru

Verzia súboru

Veľkosť súboru

Dátum

Čas

Dbupdate.bin

Nevzťahuje sa

2

20. júna 2019

00:06

Dbxupdate.bin

Nevzťahuje sa

7,361

10. sep 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25. sep 2019

04:30

Referencie

Získajte informácie o terminológii , ktorú spoločnosť Microsoft používa na popis aktualizácií softvéru.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.