Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

VIKTIGT Den här artikeln ersätts av KB5012170: Säkerhetsuppdatering för SÄKER start DBX.

Gäller för

Den här säkerhetsuppdateringen gäller endast följande Windows-versioner:

  • Windows Server 2012 x64-bitars

  • Windows Server 2012 R2 x64-bitars

  • Windows 8.1 x64-bitars

  • Windows Server 2016 x64-bitars

  • Windows Server 2019 x64-bitars

  • Windows 10 version 1607 x64-bitars

  • Windows 10 version 1803 x64-bitars

  • Windows 10 version 1809 x64-bitars

  • Windows 10 version 1909 x64-bitars 

Sammanfattning

Den här säkerhetsuppdateringen gör förbättringar av DBX för säker start för de Windows-versioner som stöds som anges i avsnittet "Gäller". Exempel på viktiga ändringar: 

  • Windows-enheter som har UEFI-baserad inbyggd programvara (Unified Extensible Firmware Interface) kan köras med Säker start aktiverat. Dbx (Secure Boot Forbidden Signature Database) förhindrar att UEFI-moduler läses in. Den här uppdateringen lägger till moduler i DBX.

    Det finns en säkerhetsfunktion som kringgår säkerhetsrisker vid säker start. En angripare som har utnyttjat säkerhetsrisken kan kringgå säker start och läsa in opålitlig programvara.

    Den här säkerhetsuppdateringen åtgärdar säkerhetsrisken genom att lägga till signaturer för de kända sårbara UEFI-modulerna i DBX.

Mer information om den här säkerhetsrisken finns i CVE-2020-0689 | Säkerhetsfunktion kringgår säkerhetsrisker för Microsoft Secure Boot.

Kända problem

Problem

Tillfällig lösning

Vissa inbyggd programvara från oem-tillverkare kanske inte tillåter installation av den här uppdateringen.

Lös problemet genom att kontakta OEM-tillverkaren för den inbyggda programvaran.

Om BitLocker grupprincip Konfigurera TPM-plattformens verifieringsprofil för inbyggda UEFI-konfigurationer är aktiverat och PCR7 väljs av principen, kan det resultera i att BitLocker-återställningsnyckeln krävs på vissa enheter där PCR7-bindning inte är möjlig.

Om du vill visa STATUS för PCR7-bindning kör du verktyget Microsoft Systeminformation (Msinfo32.exe) med administratörsbehörighet.

Du kan lösa problemet genom att göra något av följande baserat på konfigurering av skydd för autentiseringsuppgifter innan du distribuerar den här uppdateringen:

  • På en enhet som inte har Credential Gard aktiverat kör du följande kommando från en kommandotolk för administratör för att pausa BitLocker i en omstartscykel:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Starta sedan om enheten för att återuppta BitLocker-skyddet.

    Observera Aktivera inte BitLocker-skydd utan att starta om enheten eftersom det skulle resultera i BitLocker-återställning.

  • På en enhet med Credential Guard aktiverat kan det finnas flera omstarter under uppdateringen som kräver att BitLocker pausas. Kör följande kommando från en kommandotolk för administratör för att pausa BitLocker i 3 omstartscykler. Manage-bde –Protectors –Disable C: -RebootCount 3

    Den här uppdateringen förväntas starta om systemet två gånger. Starta om enheten igen för att återuppta BitLocker-skyddet.

    Obs! Aktivera inte BitLocker-skydd utan att starta om eftersom det skulle resultera i BitLocker-återställning.

Du kan ange Bitlocker-återställning om bitLocker-grupprincipinställningar i konflikt har konfigurerats när BitLocker har aktiverats i miljön. Bitlocker-återställning kan utlösas på grund av någon av inställningarna nedan grupprincip:

Om den här uppdateringen redan har installerats och enheten inte har startats om pausar du BitLocker och startar om efter att du har utfört stegen nedan:

  • Om en explicit PCR-konfiguration har angetts via en grupprincip eller om en princip har konfigurerats för att inte tillåta säker start för verifiering av integritet kan du pausa och återuppta BitLocker för att rensa GP-konflikterna.

  • Om principen Kräv ytterligare autentisering vid start är konfigurerad för att kräva TPM och PIN kör du följande kommando från en kommandotolk för administration och anger önskad PIN-kod: manage-bde -protectors -add c: -TPMAndPin

  • Om principen Kräv ytterligare autentisering vid start är konfigurerad för att kräva en startnyckel kör du följande kommando för att skapa startnyckel: manage-bde -protectors -add c: -tpmandstartupkey <sökväg till katalogen med externa nycklar>

  • Om principen Kräv ytterligare autentisering vid start är konfigurerad för att kräva startnyckel och pin-kod kör du följande kommando från Admin kommandotolk för att skapa Pin-kod och startnyckel. Ange önskad PIN-kod när du uppmanas till det: manage-bde -protectors -add c: -tpmandpinandstartupkey <sökväg till extern nyckelkatalog>

Den här uppdateringen kanske inte installeras på enheter med en osignerad bootx64.efi-fil som inte är en Microsoft bootx64.efi-starthanterare.  Den här uppdateringen kan erbjudas och erbjudas på nytt via Windows Update men kanske inte installeras.  När du försöker installera den här uppdateringen manuellt kan du få felmeddelandet "Vissa uppdateringar installerades inte" med en lista över KB4565680.  Du kan också söka efter följande fel i CBS-loggfilen i %systemroot%\logs\cbs: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Fel TRUST_E_NOSIGNATURE har sitt ursprung i funktionen Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Vi arbetar med en lösning som förväntas bli tillgänglig för Windows 10 version 1909, Windows 10 version 2004 och Windows 10 version 20H2 i slutet av mars.  De återstående versionerna av Windows som stöds beräknas ha en tillgänglig lösning i mitten av april.

Kontakta enhetstillverkaren (OEM) om du vill ha mer vägledning innan upplösningen släpps.

Så här hämtar du uppdateringen

Metod 1: Windows Update 

Den här uppdateringen är tillgänglig via Windows Update. Den laddas ned och installeras automatiskt.  

Metod 2: Microsoft Update Catalog 

Om du vill hämta det fristående paketet för den här uppdateringen går du till webbplatsen Microsoft Update Catalog.

Metod 3: Windows Server Update Services

Den här uppdateringen är även tillgänglig via Windows Server Update Services (WSUS).

Krav

Kontrollera att du har den senaste Servicing Stack-uppdateringen (SSU) installerad. Mer information om den senaste SSU-versionen för ditt operativsystem finns i ADV990001 | Senaste Servicing Stack-Uppdateringar.

Information om omstart 

Enheten behöver inte startas om när du installerar den här uppdateringen. Om du har aktiverat Windows Defender Credential Guard (virtuellt säkert läge) startas enheten om två gånger.

Ersättningsinformation om uppdateringen 

Den här uppdateringen ersätter inte tidigare släppta uppdateringar.

Filinformation

Windows 10 version 1909 

Filnamn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Den engelska versionen (USA) av den här programuppdateringen installerar filer som har attributen som visas i följande tabell.

Filnamn

Filstorlek

Datum

Tid

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

1,368

23-sep-2019

23:13

Dbupdate.bin

46

23-sep-2019

23:13

Dbxupdate.bin

2,840

23-sep-2019

23:13

Tpmtasks.dll

3,339

23-sep-2019

23:13

Tpmtasks.dll

2,892

23-sep-2019

23:13

Windows 10 version 1809 och Windows Server 2019

Filnamn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Den engelska versionen (USA) av den här programuppdateringen installerar filer som har attributen som visas i följande tabell.

Filnamn

Filstorlek

Datum

Tid

Dbupdate.bin

46

25-sep-2019

01:14

Dbxupdate.bin

1,368

25-sep-2019

01:14

Dbupdate.bin

46

25-sep-2019

01:14

Dbxupdate.bin

2,840

25-sep-2019

01:14

Tpmtasks.dll

1,998

25-sep-2019

01:14

Tpmtasks.dll

1,568

25-sep-2019

01:14

Windows 10 version 1803

Filnamn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Den engelska versionen (USA) av den här programuppdateringen installerar filer som har de attribut som listas i följande tabeller.

Filnamn

Filversion

Filstorlek

Datum

Tid

Dbupdate.bin

Inte tillämpligt

3

30 oktober 2017

01:01

Dbxupdate.bin

Inte tillämpligt

7,361

10-sep-2019

01:21

Tpmtasks.dll

10.0.17134.1060

51 712

10-sep-2019

03:55

Windows 10 version 1607 och Windows Server 2016

Filnamn

SHA1-hash

SHA256-hash

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Den engelska versionen (USA) av den här programuppdateringen installerar filer som har attributen som visas i följande tabell. 

Filnamn

Filversion

Filstorlek

Datum

Tid

Dbupdate.bin

Inte tillämpligt

2

03-sep-2019

22:05

Dbxupdate.bin

Inte tillämpligt

7,361

12-sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16-sep-2019

05:04

Windows 8.1 och Windows Server 2012 R2

Filnamn

SHA1-hash

SHA256-hash

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Den engelska versionen (USA) av den här programuppdateringen installerar filer som har attributen som visas i följande tabell.

Filnamn

Filversion

Filstorlek

Datum

Tid

Dbupdate.bin

Inte tillämpligt

2

25-sep-2019

04:21

Dbxupdate.bin

Inte tillämpligt

7,361

25-sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-sep-2019

06:30


Windows Server 2012

Filnamn

SHA1-hash

SHA256-hash

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Den engelska versionen (USA) av den här programuppdateringen installerar filer som har attributen som visas i följande tabell. 

Filnamn

Filversion

Filstorlek

Datum

Tid

Dbupdate.bin

Inte tillämpligt

2

20 juni 2019

00:06

Dbxupdate.bin

Inte tillämpligt

7,361

10-sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-sep-2019

04:30

Referenser

Läs mer om den terminologi som Microsoft använder för att beskriva programuppdateringar.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×