สำคัญ บทความนี้ใช้แทนโดย KB5012170: การอัปเดตความปลอดภัยสําหรับ Secure Boot DBX
นำไปใช้กับ
การอัปเดตความปลอดภัยนี้ใช้กับ Windows เวอร์ชันต่อไปนี้เท่านั้น:
-
Windows Server 2012 x64 บิต
-
Windows Server 2012 R2 x64 บิต
-
Windows 8.1 x64 บิต
-
Windows Server 2016 x64 บิต
-
Windows Server 2019 x64 บิต
-
Windows 10 เวอร์ชัน 1607 x64 บิต
-
Windows 10 เวอร์ชัน 1803 x64 บิต
-
Windows 10 เวอร์ชัน 1809 x64 บิต
-
Windows 10 เวอร์ชัน 1909 x64 บิต
บทสรุป
การอัปเดตความปลอดภัยนี้ทําให้มีการปรับปรุง DBX การบูตแบบปลอดภัยสําหรับ Windows รุ่นที่ได้รับการสนับสนุนซึ่งแสดงอยู่ในส่วน "นําไปใช้กับ" การเปลี่ยนแปลงที่สำคัญ ได้แก่ต่อไปนี้:
-
อุปกรณ์ Windows ที่มีเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) สามารถใช้งานกับการเปิดใช้งาน Secure Boot ได้ Secure Boot Forbidden Signature Database (DBX) ป้องกันไม่ให้โมดูล UEFI โหลด การอัปเดตนี้จะเพิ่มโมดูลต่างๆ ลงใน DBX
มีช่องโหว่ของการเลี่ยงผ่านคุณลักษณะความปลอดภัยในการบูตแบบปลอดภัย ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ได้สําเร็จอาจเลี่ยงผ่านการบูตแบบปลอดภัยและโหลดซอฟต์แวร์ที่ไม่น่าเชื่อถือ การอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่โดยการเพิ่มลายเซ็นของโมดูล UEFI ที่มีช่องโหว่ไปยัง DBX
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ด้านความปลอดภัยนี้ โปรดดู CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass vulnerability.
ปัญหาที่ทราบแล้ว
ปัญหา |
วิธีแก้ไขปัญหา |
เฟิร์มแวร์ของผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) บางตัวอาจไม่อนุญาตให้ติดตั้งการอัปเดตนี้ |
เมื่อต้องการแก้ไขปัญหานี้ ให้ติดต่อ OEM เฟิร์มแวร์ของคุณ |
หาก BitLocker นโยบายกลุ่ม กําหนดค่าโปรไฟล์การตรวจสอบแพลตฟอร์ม TPM สําหรับการกําหนดค่าเฟิร์มแวร์ UEFI ดั้งเดิมถูกเปิดใช้งาน และ PCR7 ถูกเลือกตามนโยบาย อาจทําให้เกิดคีย์การกู้คืน BitLocker ที่จําเป็นบนอุปกรณ์บางอย่างที่ไม่สามารถทําการผูกข้อมูล PCR7 ได้ เมื่อต้องการดูสถานะการผูกข้อมูล PCR7 ให้เรียกใช้เครื่องมือ Microsoft System Information (Msinfo32.exe) ที่มีสิทธิ์ระดับผู้ดูแลระบบ |
เมื่อต้องการแก้ไขปัญหานี้ ให้เลือกทําอย่างใดอย่างหนึ่งต่อไปนี้ตามการกําหนดค่า Credential Guard ก่อนที่คุณจะปรับใช้การอัปเดตนี้:
|
คุณอาจป้อนการกู้คืน Bitlocker หากมีการกําหนดค่านโยบายกลุ่ม BitLocker ที่ขัดแย้งกันหลังจากเปิดใช้งาน BitLocker ในสภาพแวดล้อม การกู้คืน Bitlocker สามารถทริกเกอร์ได้เนื่องจากการตั้งค่านโยบายกลุ่มด้านล่าง:
|
หากการอัปเดตนี้ถูกนําไปใช้แล้วและอุปกรณ์ยังไม่ได้เริ่มระบบใหม่ ให้หยุด BitLocker ชั่วคราวและเริ่มระบบใหม่หลังจากทําตามขั้นตอนด้านล่าง:
|
การอัปเดตนี้อาจไม่ติดตั้งบนอุปกรณ์ที่มีไฟล์ตัวจัดการการเริ่มต้นระบบที่ไม่ใช่ของ Microsoft bootx64.efi ที่ไม่มีลายเซ็น อาจมีการเสนอและให้การอัปเดตนี้อีกครั้งผ่านWindows Update แต่อาจไม่ได้ติดตั้ง เมื่อคุณพยายามติดตั้งการอัปเดตนี้ด้วยตนเอง คุณอาจได้รับข้อผิดพลาด "ไม่ได้ติดตั้งการอัปเดตบางอย่าง" แสดงรายการ KB4565680 คุณยังสามารถตรวจสอบไฟล์ CBS Log ใน %systemroot%\logs\cbs สําหรับข้อผิดพลาดต่อไปนี้: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): ข้อผิดพลาดTRUST_E_NOSIGNATUREเกิดขึ้นในฟังก์ชัน Windows::WCP::SecureBoot::BasicInstaller::นิพจน์การติดตั้ง: ApplySecureBootUpdate( dwAvailableUpdates) |
เรากําลังพยายามแก้ไขปัญหาและคาดว่าจะมีแนวทางแก้ไขที่พร้อมใช้งานสําหรับ Windows 10 เวอร์ชัน 1909, Windows 10 เวอร์ชัน 2004 และ Windows 10 เวอร์ชัน 20H2 ในปลายเดือนมีนาคม Windows รุ่นที่รองรับที่เหลืออยู่คาดว่าจะมีโซลูชันที่พร้อมใช้งานในกลางเดือนเมษายน สําหรับคําแนะนําเพิ่มเติมก่อนการเผยแพร่ความละเอียด โปรดติดต่อผู้ผลิตอุปกรณ์ของคุณ (OEM) |
วิธีรับการอัปเดตนี้
วิธีที่ 1: Windows Update
การอัปเดตนี้สามารถใช้งานผ่านทาง Windows Update ซึ่งจะดาวน์โหลดและติดตั้งการอัปเดตนี้โดยอัตโนมัติ
วิธีที่ 2: Microsoft Update Catalog
เมื่อต้องการขอรับแพคเกจสแตนด์อโลนสําหรับการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog
วิธีที่ 3: Windows Server Update Services
การอัปเดตนี้สามารถใช้งานผ่านทาง Windows Server Update Services (WSUS) ได้ด้วย
ข้อกำหนดเบื้องต้น
ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งการอัปเดตสแตกบริการ (SSU) ล่าสุดแล้ว สําหรับข้อมูลเกี่ยวกับ SSU ล่าสุดสําหรับระบบปฏิบัติการของคุณ โปรดดู ADV990001 | Updatesสแตกบริการล่าสุด
ข้อมูลการเริ่มระบบใหม่
อุปกรณ์ของคุณไม่จําเป็นต้องเริ่มระบบใหม่เมื่อคุณใช้การอัปเดตนี้ หากคุณเปิดใช้งาน Credential Guard (โหมดความปลอดภัยเสมือน) Windows Defender อุปกรณ์ของคุณจะรีสตาร์ตสองครั้ง
ข้อมูลการแทนที่การอัปเดต
การอัปเดตนี้ไม่ได้แทนที่การอัปเดตที่ออกมาก่อนหน้านี้
ข้อมูลไฟล์
Windows 10 เวอร์ชัน 1909
ชื่อไฟล์ |
แฮช SHA1 |
แฮช SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้
ชื่อไฟล์ |
ขนาดไฟล์ |
วันที่ |
เวลา |
Dbupdate.bin |
46 |
23 ก.ย.-2562 |
23:13 |
Dbxupdate.bin |
1,368 |
23 ก.ย.-2562 |
23:13 |
Dbupdate.bin |
46 |
23 ก.ย.-2562 |
23:13 |
Dbxupdate.bin |
2,840 |
23 ก.ย.-2562 |
23:13 |
Tpmtasks.dll |
3,339 |
23 ก.ย.-2562 |
23:13 |
Tpmtasks.dll |
2,892 |
23 ก.ย.-2562 |
23:13 |
Windows 10 เวอร์ชัน 1809 และ Windows Server 2019
ชื่อไฟล์ |
แฮช SHA1 |
แฮช SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้
ชื่อไฟล์ |
ขนาดไฟล์ |
วันที่ |
เวลา |
Dbupdate.bin |
46 |
25 ก.ย.-2562 |
01:14 |
Dbxupdate.bin |
1,368 |
25 ก.ย.-2562 |
01:14 |
Dbupdate.bin |
46 |
25 ก.ย.-2562 |
01:14 |
Dbxupdate.bin |
2,840 |
25 ก.ย.-2562 |
01:14 |
Tpmtasks.dll |
1,998 |
25 ก.ย.-2562 |
01:14 |
Tpmtasks.dll |
1,568 |
25 ก.ย.-2562 |
01:14 |
Windows 10 เวอร์ชัน 1803
ชื่อไฟล์ |
แฮช SHA1 |
แฮช SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้ติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้
ชื่อไฟล์ |
เวอร์ชันของไฟล์ |
ขนาดไฟล์ |
วันที่ |
เวลา |
Dbupdate.bin |
ไม่สามารถใช้ได้ |
3 |
30 ต.ค.-2560 |
01:01 |
Dbxupdate.bin |
ไม่สามารถใช้ได้ |
7,361 |
10 ก.ย.-2562 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51,712 |
10 ก.ย.-2562 |
03:55 |
Windows 10 เวอร์ชัน 1607 และ Windows Server 2016
ชื่อไฟล์ |
แฮช SHA1 |
แฮช SHA256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้
ชื่อไฟล์ |
เวอร์ชันของไฟล์ |
ขนาดไฟล์ |
วันที่ |
เวลา |
Dbupdate.bin |
ไม่สามารถใช้ได้ |
2 |
03-ก.ย.-2562 |
22:05 |
Dbxupdate.bin |
ไม่สามารถใช้ได้ |
7,361 |
12-ก.ย.-2562 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16 ก.ย.-2562 |
05:04 |
Windows 8.1 และ Windows Server 2012 R2
ชื่อไฟล์ |
แฮช SHA1 |
แฮช SHA256 |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้
ชื่อไฟล์ |
เวอร์ชันของไฟล์ |
ขนาดไฟล์ |
วันที่ |
เวลา |
Dbupdate.bin |
ไม่สามารถใช้ได้ |
2 |
25 ก.ย.-2562 |
04:21 |
Dbxupdate.bin |
ไม่สามารถใช้ได้ |
7,361 |
25 ก.ย.-2562 |
04:21 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25 ก.ย.-2562 |
06:30 |
Windows Server 2012
ชื่อไฟล์ |
แฮช SHA1 |
แฮช SHA256 |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้
ชื่อไฟล์ |
เวอร์ชันของไฟล์ |
ขนาดไฟล์ |
วันที่ |
เวลา |
Dbupdate.bin |
ไม่สามารถใช้ได้ |
2 |
20 มิ.ย.-2562 |
00:06 |
Dbxupdate.bin |
ไม่สามารถใช้ได้ |
7,361 |
10 ก.ย.-2562 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25 ก.ย.-2562 |
04:30 |
แหล่งอ้างอิง
เรียนรู้เกี่ยวกับ คําศัพท์ ที่ Microsoft ใช้เพื่ออธิบายการอัปเดตซอฟต์แวร์