Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

สำคัญ บทความนี้ใช้แทนโดย KB5012170: การอัปเดตความปลอดภัยสําหรับ Secure Boot DBX

นำไปใช้กับ

การอัปเดตความปลอดภัยนี้ใช้กับ Windows เวอร์ชันต่อไปนี้เท่านั้น:

  • Windows Server 2012 x64 บิต

  • Windows Server 2012 R2 x64 บิต

  • Windows 8.1 x64 บิต

  • Windows Server 2016 x64 บิต

  • Windows Server 2019 x64 บิต

  • Windows 10 เวอร์ชัน 1607 x64 บิต

  • Windows 10 เวอร์ชัน 1803 x64 บิต

  • Windows 10 เวอร์ชัน 1809 x64 บิต

  • Windows 10 เวอร์ชัน 1909 x64 บิต 

บทสรุป

การอัปเดตความปลอดภัยนี้ทําให้มีการปรับปรุง DBX การบูตแบบปลอดภัยสําหรับ Windows รุ่นที่ได้รับการสนับสนุนซึ่งแสดงอยู่ในส่วน "นําไปใช้กับ" การเปลี่ยนแปลงที่สำคัญ ได้แก่ต่อไปนี้: 

  • อุปกรณ์ Windows ที่มีเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) สามารถใช้งานกับการเปิดใช้งาน Secure Boot ได้ Secure Boot Forbidden Signature Database (DBX) ป้องกันไม่ให้โมดูล UEFI โหลด การอัปเดตนี้จะเพิ่มโมดูลต่างๆ ลงใน DBXมีช่องโหว่ของการเลี่ยงผ่านคุณลักษณะความปลอดภัยในการบูตแบบปลอดภัย ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ได้สําเร็จอาจเลี่ยงผ่านการบูตแบบปลอดภัยและโหลดซอฟต์แวร์ที่ไม่น่าเชื่อถือการอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่โดยการเพิ่มลายเซ็นของโมดูล UEFI ที่มีช่องโหว่ไปยัง DBX

เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ด้านความปลอดภัยนี้ โปรดดู CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass vulnerability.

ปัญหาที่ทราบแล้ว

ปัญหา

วิธีแก้ไขปัญหา

เฟิร์มแวร์ของผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) บางตัวอาจไม่อนุญาตให้ติดตั้งการอัปเดตนี้

เมื่อต้องการแก้ไขปัญหานี้ ให้ติดต่อ OEM เฟิร์มแวร์ของคุณ

หาก BitLocker นโยบายกลุ่ม กําหนดค่าโปรไฟล์การตรวจสอบแพลตฟอร์ม TPM สําหรับการกําหนดค่าเฟิร์มแวร์ UEFI ดั้งเดิมถูกเปิดใช้งาน และ PCR7 ถูกเลือกตามนโยบาย อาจทําให้เกิดคีย์การกู้คืน BitLocker ที่จําเป็นบนอุปกรณ์บางอย่างที่ไม่สามารถทําการผูกข้อมูล PCR7 ได้

เมื่อต้องการดูสถานะการผูกข้อมูล PCR7 ให้เรียกใช้เครื่องมือ Microsoft System Information (Msinfo32.exe) ที่มีสิทธิ์ระดับผู้ดูแลระบบ

เมื่อต้องการแก้ไขปัญหานี้ ให้เลือกทําอย่างใดอย่างหนึ่งต่อไปนี้ตามการกําหนดค่า Credential Guard ก่อนที่คุณจะปรับใช้การอัปเดตนี้:

  • บนอุปกรณ์ที่ไม่ได้เปิดใช้งาน Credential Gard ให้เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบเพื่อหยุด BitLocker ชั่วคราวสําหรับรอบการเริ่มระบบใหม่ 1 รอบ:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    จากนั้นรีสตาร์ตอุปกรณ์เพื่อดําเนินการป้องกัน BitLocker ต่อหมาย เหตุ อย่าเปิดใช้งานการป้องกัน BitLocker โดยไม่รีสตาร์ตอุปกรณ์เพิ่มเติม เนื่องจากจะทําให้มีการกู้คืน BitLocker

  • บนอุปกรณ์ที่เปิดใช้งาน Credential Guard อาจมีการเริ่มระบบใหม่หลายครั้งระหว่างการอัปเดตที่จําเป็นต้องหยุด BitLocker ให้หยุดชั่วคราว เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบเพื่อหยุด BitLocker ชั่วคราวสําหรับรอบการเริ่มระบบใหม่ 3 รอบ Manage-bde –Protectors –Disable C: -RebootCount 3

    การอัปเดตนี้คาดว่าจะเริ่มระบบใหม่สองครั้ง รีสตาร์ตอุปกรณ์อีกครั้งเพื่อดําเนินการป้องกัน BitLocker ต่อ

    หมายเหตุ อย่าเปิดใช้งานการป้องกัน BitLocker โดยไม่รีสตาร์ตเพิ่มเติมเนื่องจากอาจส่งผลให้มีการกู้คืน BitLocker

คุณอาจป้อนการกู้คืน Bitlocker หากมีการกําหนดค่านโยบายกลุ่ม BitLocker ที่ขัดแย้งกันหลังจากเปิดใช้งาน BitLocker ในสภาพแวดล้อม การกู้คืน Bitlocker สามารถทริกเกอร์ได้เนื่องจากการตั้งค่านโยบายกลุ่มด้านล่าง:

หากการอัปเดตนี้ถูกนําไปใช้แล้วและอุปกรณ์ยังไม่ได้เริ่มระบบใหม่ ให้หยุด BitLocker ชั่วคราวและเริ่มระบบใหม่หลังจากทําตามขั้นตอนด้านล่าง:

การอัปเดตนี้อาจไม่ติดตั้งบนอุปกรณ์ที่มีไฟล์ตัวจัดการการเริ่มต้นระบบที่ไม่ใช่ของ Microsoft bootx64.efi ที่ไม่มีลายเซ็น  อาจมีการเสนอและให้การอัปเดตนี้อีกครั้งผ่านWindows Update แต่อาจไม่ได้ติดตั้ง  เมื่อคุณพยายามติดตั้งการอัปเดตนี้ด้วยตนเอง คุณอาจได้รับข้อผิดพลาด "ไม่ได้ติดตั้งการอัปเดตบางอย่าง" แสดงรายการ KB4565680  คุณยังสามารถตรวจสอบไฟล์ CBS Log ใน %systemroot%\logs\cbs สําหรับข้อผิดพลาดต่อไปนี้: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): ข้อผิดพลาดTRUST_E_NOSIGNATUREเกิดขึ้นในฟังก์ชัน Windows::WCP::SecureBoot::BasicInstaller::นิพจน์การติดตั้ง: ApplySecureBootUpdate( dwAvailableUpdates)

เรากําลังพยายามแก้ไขปัญหาและคาดว่าจะมีแนวทางแก้ไขที่พร้อมใช้งานสําหรับ Windows 10 เวอร์ชัน 1909, Windows 10 เวอร์ชัน 2004 และ Windows 10 เวอร์ชัน 20H2 ในปลายเดือนมีนาคม  Windows รุ่นที่รองรับที่เหลืออยู่คาดว่าจะมีโซลูชันที่พร้อมใช้งานในกลางเดือนเมษายน

สําหรับคําแนะนําเพิ่มเติมก่อนการเผยแพร่ความละเอียด โปรดติดต่อผู้ผลิตอุปกรณ์ของคุณ (OEM)

วิธีรับการอัปเดตนี้

วิธีที่ 1: Windows Update 

การอัปเดตนี้สามารถใช้งานผ่านทาง Windows Update ซึ่งจะดาวน์โหลดและติดตั้งการอัปเดตนี้โดยอัตโนมัติ  

วิธีที่ 2: Microsoft Update Catalog 

เมื่อต้องการขอรับแพคเกจสแตนด์อโลนสําหรับการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog

วิธีที่ 3: Windows Server Update Services

การอัปเดตนี้สามารถใช้งานผ่านทาง Windows Server Update Services (WSUS) ได้ด้วย

ข้อกำหนดเบื้องต้น

ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งการอัปเดตสแตกบริการ (SSU) ล่าสุดแล้ว สําหรับข้อมูลเกี่ยวกับ SSU ล่าสุดสําหรับระบบปฏิบัติการของคุณ โปรดดู ADV990001 | Updatesสแตกบริการล่าสุด

ข้อมูลการเริ่มระบบใหม่ 

อุปกรณ์ของคุณไม่จําเป็นต้องเริ่มระบบใหม่เมื่อคุณใช้การอัปเดตนี้ หากคุณเปิดใช้งาน Credential Guard (โหมดความปลอดภัยเสมือน) Windows Defender อุปกรณ์ของคุณจะรีสตาร์ตสองครั้ง

ข้อมูลการแทนที่การอัปเดต 

การอัปเดตนี้ไม่ได้แทนที่การอัปเดตที่ออกมาก่อนหน้านี้

ข้อมูลไฟล์

Windows 10 เวอร์ชัน 1909 

ชื่อไฟล์

แฮช SHA1

แฮช SHA256

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้

ชื่อไฟล์

ขนาดไฟล์

วันที่

เวลา

Dbupdate.bin

46

23 ก.ย.-2562

23:13

Dbxupdate.bin

1,368

23 ก.ย.-2562

23:13

Dbupdate.bin

46

23 ก.ย.-2562

23:13

Dbxupdate.bin

2,840

23 ก.ย.-2562

23:13

Tpmtasks.dll

3,339

23 ก.ย.-2562

23:13

Tpmtasks.dll

2,892

23 ก.ย.-2562

23:13

Windows 10 เวอร์ชัน 1809 และ Windows Server 2019

ชื่อไฟล์

แฮช SHA1

แฮช SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้

ชื่อไฟล์

ขนาดไฟล์

วันที่

เวลา

Dbupdate.bin

46

25 ก.ย.-2562

01:14

Dbxupdate.bin

1,368

25 ก.ย.-2562

01:14

Dbupdate.bin

46

25 ก.ย.-2562

01:14

Dbxupdate.bin

2,840

25 ก.ย.-2562

01:14

Tpmtasks.dll

1,998

25 ก.ย.-2562

01:14

Tpmtasks.dll

1,568

25 ก.ย.-2562

01:14

Windows 10 เวอร์ชัน 1803

ชื่อไฟล์

แฮช SHA1

แฮช SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้ติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้

ชื่อไฟล์

เวอร์ชันของไฟล์

ขนาดไฟล์

วันที่

เวลา

Dbupdate.bin

ไม่สามารถใช้ได้

3

30 ต.ค.-2560

01:01

Dbxupdate.bin

ไม่สามารถใช้ได้

7,361

10 ก.ย.-2562

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

10 ก.ย.-2562

03:55

Windows 10 เวอร์ชัน 1607 และ Windows Server 2016

ชื่อไฟล์

แฮช SHA1

แฮช SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้ 

ชื่อไฟล์

เวอร์ชันของไฟล์

ขนาดไฟล์

วันที่

เวลา

Dbupdate.bin

ไม่สามารถใช้ได้

2

03-ก.ย.-2562

22:05

Dbxupdate.bin

ไม่สามารถใช้ได้

7,361

12-ก.ย.-2562

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

16 ก.ย.-2562

05:04

Windows 8.1 และ Windows Server 2012 R2

ชื่อไฟล์

แฮช SHA1

แฮช SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้

ชื่อไฟล์

เวอร์ชันของไฟล์

ขนาดไฟล์

วันที่

เวลา

Dbupdate.bin

ไม่สามารถใช้ได้

2

25 ก.ย.-2562

04:21

Dbxupdate.bin

ไม่สามารถใช้ได้

7,361

25 ก.ย.-2562

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25 ก.ย.-2562

06:30

Windows Server 2012

ชื่อไฟล์

แฮช SHA1

แฮช SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

เวอร์ชันภาษาอังกฤษ (สหรัฐอเมริกา) ของการอัปเดตซอฟต์แวร์นี้จะติดตั้งไฟล์ที่มีแอตทริบิวต์ที่แสดงอยู่ในตารางต่อไปนี้ 

ชื่อไฟล์

เวอร์ชันของไฟล์

ขนาดไฟล์

วันที่

เวลา

Dbupdate.bin

ไม่สามารถใช้ได้

2

20 มิ.ย.-2562

00:06

Dbxupdate.bin

ไม่สามารถใช้ได้

7,361

10 ก.ย.-2562

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25 ก.ย.-2562

04:30

แหล่งอ้างอิง

เรียนรู้เกี่ยวกับ คําศัพท์ ที่ Microsoft ใช้เพื่ออธิบายการอัปเดตซอฟต์แวร์

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย