DÔLEŽITÉ Tento článok nahrádza KB5012170: Aktualizácia zabezpečenia pre systém Secure Boot DBX.
Vzťahuje sa na
Táto aktualizácia zabezpečenia sa vzťahuje len na nasledujúce verzie Windowsu:
-
Windows Server 2012 x64-bitová verzia
-
Windows Server 2012 R2 x64-bitová verzia
-
Windows 8,1 x64-bitová verzia
-
Windows Server 2016 x64-bitová verzia
-
Windows Server 2019 x64-bitová verzia
-
Windows 10, verzia 1607 x64-bitová
-
Windows 10, verzia 1803 x64-bitová
-
Windows 10, verzia 1809 x64-bitová
-
Windows 10, verzia 1909 x64-bitová
Zhrnutie
Táto aktualizácia zabezpečenia zlepšuje systém Secure Boot DBX pre podporované verzie windowsu uvedené v časti Vzťahuje sa na. Kľúčové zmeny:
-
Zariadenia s Windowsom, ktoré majú firmvér založený na technológii Unified Extensible Firmware Interface (UEFI), sa môžu spúšťať so zapnutým zabezpečeným spustením. Databáza DBX (Secure Boot Forbidden Signature Database) zabraňuje načítaniu modulov UEFI. Táto aktualizácia pridá moduly do databázy DBX.
V zabezpečenom spúšťaní existuje nedostatočné zabezpečenie funkcie zabezpečenia. Útočník, ktorý úspešne využil zraniteľnosť, môže obísť zabezpečené spustenie a načítať nedôveryhodný softvér. Táto aktualizácia zabezpečenia rieši zraniteľnosť pridaním podpisov známych zraniteľných modulov UEFI do databázy DBX.
Ďalšie informácie o tomto zraniteľnom zabezpečení nájdete v téme CVE-2020-0689 | Nedostatočné zabezpečenie zabezpečenia zabezpečeného spustenia od spoločnosti Microsoft.
Známe problémy
Problém |
Alternatívne riešenie |
Niektoré firmvéry výrobcu pôvodného zariadenia (OEM) možno nepovolia inštaláciu tejto aktualizácie. |
Ak chcete vyriešiť tento problém, obráťte sa na OEM firmvéru. |
Ak je funkcia BitLocker skupinová politika Konfigurácia overovacieho profilu platformy TPM pre natívne konfigurácie firmvéru UEFI zapnutá a pcr7 je vybratá politikou, môže to mať za následok, že v niektorých zariadeniach, v ktorých väzba PCR7 nie je možná, sa bude vyžadovať kľúč na obnovenie šifrovania BitLocker. Ak chcete zobraziť stav väzby PCR7, spustite nástroj Microsoft System Information (Msinfo32.exe) s povoleniami správcu. |
Ak chcete alternatívne riešenie tohto problému, pred nasadením tejto aktualizácie vykonajte niektorý z týchto krokov na základe konfigurácie ochrany poverení:
|
Obnovenie šifrovania BitLocker môžete zadať, ak sú po zapnutí zabezpečenia BitLocker v prostredí nakonfigurované konfliktné nastavenia skupinovej politiky šifrovania BitLocker. Obnovenie bitlockera je možné spustiť z dôvodu ktoréhokoľvek z nižšie uvedených nastavení skupinová politika:
|
Ak sa táto aktualizácia už použila a zariadenie sa nereštartovalo, po vykonaní nasledujúcich krokov odstavte šifrovanie BitLocker a reštartujte ho:
|
Táto aktualizácia sa možno nenainštaluje v zariadeniach s nepodpísaným súborom správcu bootx64.efi, ktorý nie je od spoločnosti Microsoft. Táto aktualizácia môže byť ponúkaná a z nej odvodená prostredníctvom Windows Update, ale nemusí sa inštalovať. Pri pokuse o manuálnu inštaláciu tejto aktualizácie sa môže zobraziť chyba Niektoré aktualizácie sa nenainštalovali a zobrazila sa aktualizácia KB4565680. Môžete tiež skontrolovať súbor denníka CBS v %systemroot%\logs\cbs pre nasledujúcu chybu: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Chyba TRUST_E_NOSIGNATURE vznikla vo funkcii Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
Pracujeme na riešení a odhadujeme, že riešenie bude koncom marca k dispozícii pre Windows 10, verziu 1909, Windows 10, verziu 2004 a Windows 10, verziu 20H2. Odhaduje sa, že zostávajúce podporované verzie Windowsu budú mať riešenie k dispozícii v polovici apríla. Ak potrebujete ďalšie pokyny pred vydaním rozlíšenia, obráťte sa na výrobcu zariadenia (OEM). |
Ako získať túto aktualizáciu
Spôsob 1: Windows Update
Táto aktualizácia je k dispozícii prostredníctvom služby Windows Update. Automaticky sa stiahne a nainštaluje.
Spôsob 2: Katalóg služby Microsoft Update
Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update.
Spôsob 3: Windows Server Update Services
Táto aktualizácia je k dispozícii aj zo služby Windows Server Update Services (WSUS).
Požiadavky
Skontrolujte, či máte nainštalovanú najnovšiu aktualizáciu zásobníka údržby (SSU). Informácie o najnovšej SSU pre váš operačný systém nájdete v téme ADV990001 | Najnovšia údržba stack Aktualizácie.
Informácie o reštartovaní
Keď použijete túto aktualizáciu, vaše zariadenie sa nemusí reštartovať. Ak máte zapnutú Windows Defender Credential Guard (virtuálny zabezpečený režim), zariadenie sa reštartuje dvakrát.
Informácie o nahradení aktualizácie
Táto aktualizácia nenahrádňuje žiadnu predtým vydanú aktualizáciu.
Informácie o súboroch
Windows 10, verzia 1909
Názov súboru |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.
Názov súboru |
Veľkosť súboru |
Dátum |
Čas |
Dbupdate.bin |
46 |
23. septembra 2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23. septembra 2019 |
23:13 |
Dbupdate.bin |
46 |
23. septembra 2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23. septembra 2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23. septembra 2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23. septembra 2019 |
23:13 |
Windows 10, verzia 1809, a Windows Server 2019
Názov súboru |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.
Názov súboru |
Veľkosť súboru |
Dátum |
Čas |
Dbupdate.bin |
46 |
25. sep 2019 |
01:14 |
Dbxupdate.bin |
1,368 |
25. sep 2019 |
01:14 |
Dbupdate.bin |
46 |
25. sep 2019 |
01:14 |
Dbxupdate.bin |
2,840 |
25. sep 2019 |
01:14 |
Tpmtasks.dll |
1,998 |
25. sep 2019 |
01:14 |
Tpmtasks.dll |
1,568 |
25. sep 2019 |
01:14 |
Windows 10, verzia 1803
Názov súboru |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
Anglická verzia tejto aktualizácie softvéru pre Spojené štáty nainštaluje súbory s atribútmi, ktoré sú uvedené v nasledujúcich tabuľkách.
Názov súboru |
Verzia súboru |
Veľkosť súboru |
Dátum |
Čas |
Dbupdate.bin |
Nevzťahuje sa |
3 |
30. októbra 2017 |
01:01 |
Dbxupdate.bin |
Nevzťahuje sa |
7,361 |
10. sep 2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51 712 |
10. sep 2019 |
03:55 |
Windows 10, verzia 1607 a Windows Server 2016
Názov súboru |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows 10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.
Názov súboru |
Verzia súboru |
Veľkosť súboru |
Dátum |
Čas |
Dbupdate.bin |
Nevzťahuje sa |
2 |
03. sep 2019 |
22:05 |
Dbxupdate.bin |
Nevzťahuje sa |
7,361 |
12. sep 2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16. sep 2019 |
05:04 |
Windows 8.1 a Windows Server 2012 R2
Názov súboru |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.
Názov súboru |
Verzia súboru |
Veľkosť súboru |
Dátum |
Čas |
Dbupdate.bin |
Nevzťahuje sa |
2 |
25. sep 2019 |
04:21 |
Dbxupdate.bin |
Nevzťahuje sa |
7,361 |
25. sep 2019 |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25. sep 2019 |
06:30 |
Windows Server 2012
Názov súboru |
SHA1 hash |
SHA256 hash |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
Anglická verzia tejto aktualizácie softvéru (USA) nainštaluje súbory s atribútmi uvedenými v nasledujúcej tabuľke.
Názov súboru |
Verzia súboru |
Veľkosť súboru |
Dátum |
Čas |
Dbupdate.bin |
Nevzťahuje sa |
2 |
20. júna 2019 |
00:06 |
Dbxupdate.bin |
Nevzťahuje sa |
7,361 |
10. sep 2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25. sep 2019 |
04:30 |
Referencie
Získajte informácie o terminológii , ktorú spoločnosť Microsoft používa na popis aktualizácií softvéru.