KB4535680: оновлення системи безпеки для безпечного завантаження DBX: 12 січня 2021 р.

Проблема

Тимчасове вирішення

Деякі мікропрограми виробника оригінального обладнання (OEM) можуть не дозволяти інсталяцію цього оновлення.

Щоб вирішити цю проблему, зверніться до виробника мікропрограми.

Якщо BitLocker Групова політика Активовано функцію настроювання профілю перевірки платформи TPM для вбудованих конфігурацій мікропрограм UEFI та вибрано ПЛР7 за політикою, це може призвести до того, що ключ відновлення BitLocker потрібен на деяких пристроях, де не можна зв'язати ПЛR7.

Щоб переглянути стан зв'язування ПЛР7, запустіть засіб Microsoft System Information (Msinfo32.exe) з адміністративними дозволами.

Щоб вирішити цю проблему, виконайте одну з наведених нижче дій на основі конфігурації засобу захисту облікових даних, перш ніж розгортати це оновлення:

• На пристрої, на який не ввімкнуто credential Gard, виконайте таку команду з командного рядка адміністратора, щоб призупинити цикл перезавантаження BitLocker для 1:

  Manage-bde –Protectors –Disable C: -RebootCount 1

  
  Потім перезавантажте пристрій, щоб відновити захист BitLocker.
  
  Примітка Не вмикайте захист BitLocker без додаткового перезавантаження пристрою, оскільки це призведе до відновлення BitLocker.

• На пристрої з увімкненим Credential Guard під час оновлення може бути кілька перезавантажень, для яких потрібно призупинити роботу BitLocker. Виконайте наведену нижче команду в командному рядку адміністратора, щоб призупинити bitLocker для 3 циклів перезавантаження. Manage-bde –Protectors –Disable C: -RebootCount 3

  Очікується, що це оновлення перезавантажить систему два рази. Перезавантажте пристрій ще раз, щоб відновити захист BitLocker.

  Нотатка Не вмикайте захист BitLocker без додаткового перезавантаження, оскільки це призведе до відновлення BitLocker.

Ви можете ввести відновлення Bitlocker, якщо конфліктні параметри групової політики BitLocker налаштовано після ввімкнення BitLocker в середовищі. Відновлення Bitlocker може бути ініційовано через будь-які з наведених нижче настройок Групова політика:

• Змушуючи явну конфігурацію прив'язування ПЛР , яка відрізняється від того, що вже вибрано BitLocker.

• Настроювання GP "Дозволити безпечне завантаження для перевірки цілісності", щоб заборонити безпечне завантаження для перевірки цілісності, але BitLocker вже використовує безпечне завантаження (PCR7).

• Настроювання Групова політика на Обов'язкова додаткова автентифікація під час запуску, але BitLocker настроєно перед розгортанням цієї групової політики.

Якщо це оновлення вже застосовано та пристрій не перезавантажився, призупиніть BitLocker та перезавантажте пристрій, виконавши наведені нижче дії.

• Якщо явну конфігурацію ПЛР налаштовано за допомогою групової політики або політику настроєно на заборона використання безпечного завантаження для перевірки цілісності, призупиніть і відновіть BitLocker, щоб очистити конфлікти GP.

• Якщо для параметра Потрібна додаткова автентифікація під час політики запуску налаштовано обов'язковий TPM і PIN-код, виконайте таку команду в командному рядку адміністрування та введіть потрібний PIN-код: manage-bde -protectors -add c: -TPMAndPin

• Якщо для параметра Потрібна додаткова автентифікація під час політики запуску настроєно обов'язковий ключ запуску, виконайте таку команду, щоб створити ключ запуску: manage-bde -protectors -add c: -tpmandstartupkey <шлях до зовнішнього каталогу ключів>

• Якщо для параметра Потрібна додаткова автентифікація під час політики запуску настроєно обов'язковий ключ запуску та закріплення, виконайте наведену нижче команду з командного рядка Admin, щоб створити ключ закріплення та запуску. Коли з'явиться відповідний запит, введіть потрібний PIN-код: manage-bde -protectors -add c: -tpmandpinandstartupkey <шлях до зовнішнього каталогу ключів>

Це оновлення може не інсталюватися на пристроях із непідписаним файлом диспетчера завантаження( не Microsoft bootx64.efi).  Це оновлення може бути запропоновано й повторно виконати через Windows Update але не інсталювати.  Під час спроби інсталювати це оновлення вручну може з'явитися повідомлення про помилку "Деякі оновлення не інстальовано" зі списком KB4565680.  Також можна перевірити файл журналу CBS у %systemroot%\logs\cbs на наявність такої помилки: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): помилка TRUST_E_NOSIGNATURE виникла у функції Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Ми працюємо над вирішенням цієї проблеми, і очікуємо, що рішення буде доступне для Windows 10 версії 1909, Windows 10 версії 2004 та Windows 10 версії 20H2 наприкінці березня.  За оцінками, решта підтримуваних версій Windows доступні в середині квітня.

Щоб отримати додаткові вказівки перед випуском роздільної здатності, зверніться до виробника пристрою (OEM).