Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

QUAN TRỌNG Bài viết này được thay thế bằng KB5012170: Bản cập nhật bảo mật cho Khởi động An toàn DBX.

Áp dụng cho

Bản cập nhật bảo mật này chỉ áp dụng cho các phiên bản Windows sau:

  • Windows Server 2012 x64 bit

  • Windows Server 2012 R2 x64 bit

  • Windows 8,1 x64 bit

  • Windows Server 2016 x64 bit

  • Windows Server 2019 x64 bit

  • Windows 10, phiên bản 1607 x64 bit

  • Windows 10, phiên bản 1803 x64 bit

  • Windows 10, phiên bản 1809 x64 bit

  • Windows 10, phiên bản 1909 x64 bit 

Tóm tắt

Bản cập nhật bảo mật này cải tiến Tính năng Khởi động An toàn DBX cho các phiên bản Windows được hỗ trợ được liệt kê trong mục "Áp dụng cho". Các thay đổi quan trọng bao gồm: 

  • Các thiết bị Windows có vi chương trình dựa trên Unified Extensible Firmware Interface (UEFI) có thể chạy khi đã bật Khởi động An toàn. Cơ sở dữ liệu chữ ký bị cấm khởi động an toàn (DBX) ngăn không cho tải mô-đun UEFI. Bản cập nhật này thêm mô-đun vào DBX.

    Một tính năng bảo mật bỏ qua lỗ hổng bảo mật tồn tại trong khởi động an toàn. Kẻ tấn công đã khai thác thành công lỗ hổng bảo mật có thể bỏ qua khởi động an toàn và tải phần mềm không đáng tin cậy.

    Bản cập nhật bảo mật này khắc phục lỗ hổng bằng cách thêm chữ ký của mô-đun UEFI dễ bị tổn thương vào DBX.

Để tìm hiểu thêm về lỗ hổng bảo mật này, hãy xem CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass vulnerability.

Sự cố đã biết

Vấn đề

Giải pháp

Một số nhà sản xuất thiết bị gốc (OEM) vi chương trình có thể không cho phép cài đặt bản cập nhật này.

Để khắc phục sự cố này, hãy liên hệ với OEM vi chương trình của bạn.

Nếu bitLocker chính sách nhóm Cấu hình cấu hình xác thực nền tảng TPM cho cấu hình vi chương trình UEFI gốc được bật và PCR7 được chọn theo chính sách, điều này có thể dẫn đến yêu cầu khóa khôi phục BitLocker trên một số thiết bị không thể gắn kết PCR7.

Để xem trạng thái ràng buộc PCR7, hãy chạy công cụ Thông tin Hệ thống Microsoft (Msinfo32.exe) với các quyền quản trị.

Để tránh sự cố này, hãy thực hiện một trong các thao tác sau dựa trên cấu hình credential guard trước khi bạn triển khai bản cập nhật này:

  • Trên thiết bị không bật Credential Gard, hãy chạy lệnh sau từ dấu nhắc lệnh Người quản trị để tạm ngừng BitLocker cho chu kỳ khởi động lại 1:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    Sau đó, khởi động lại thiết bị để tiếp tục bảo vệ BitLocker.

    Lưu ý Không bật tính năng bảo vệ BitLocker mà không khởi động lại thiết bị thêm vì sẽ dẫn đến sự phục hồi BitLocker.

  • Trên thiết bị đã bật Credential Guard, có thể khởi động lại nhiều lần trong quá trình cập nhật yêu cầu tạm ngừng BitLocker. Chạy lệnh sau từ dấu nhắc lệnh Người quản trị để tạm ngừng BitLocker cho 3 chu kỳ khởi động lại. Manage-bde –Protectors –Disable C: -RebootCount 3

    Dự kiến, bản cập nhật này sẽ khởi động lại hệ thống hai lần. Khởi động lại thiết bị một lần nữa để tiếp tục bảo vệ BitLocker.

    Lưu ý Không bật tính năng bảo vệ BitLocker mà không khởi động lại thêm vì sẽ dẫn đến việc khôi phục BitLocker.

Bạn có thể nhập phục hồi Bitlocker nếu xung đột cài đặt chính sách nhóm BitLocker được đặt cấu hình sau khi BitLocker đã được bật trong môi trường. Bitlocker recovery can be triggered due to any of the below chính sách nhóm settings:

  • Bắt buộc Cấu hình rõ ràng của ràng buộc PCR khác với cấu hình đã được BitLocker chọn.

  • Cấu hình GP "Cho phép khởi động an toàn để xác thực tính toàn vẹn" để dis-allow Secure boot for integrity validation but BitLocker is already using secure boot (PCR7).

  • Đặt cấu hình chính sách nhóm Yêu cầu Xác thực Bổ sung trong khi khởi động nhưng BitLocker đã được đặt cấu hình trước khi triển khai chính sách nhóm này.

Nếu bản cập nhật này đã được áp dụng và thiết bị chưa khởi động lại, hãy tạm ngừng BitLocker và khởi động lại sau khi làm theo các bước dưới đây:

  • Nếu cấu hình PCR rõ ràng đã được đặt thông qua chính sách nhóm hoặc chính sách được đặt cấu hình để không cho phép sử dụng tính năng khởi động an toàn để xác thực tính toàn vẹn, hãy Tạm ngừng và tiếp tục BitLocker để xóa các xung đột GP.

  • Nếu chính sách Yêu cầu Xác thực bổ sung trong quá trình khởi động được đặt cấu hình để yêu cầu TPM và MÃ PIN, hãy chạy lệnh sau từ dấu nhắc lệnh Quản trị và nhập mã PIN mong muốn: manage-bde -protectors -add c: -TPMAndPin

  • Nếu chính sách Yêu cầu xác thực bổ sung trong quá trình khởi động được đặt cấu hình để yêu cầu khóa khởi động, hãy thực hiện lệnh sau để tạo khóa khởi động: manage-bde -protectors -add c: -tpmandstartupkey <path to external key directory>

  • Nếu chính sách Yêu cầu xác thực bổ sung trong quá trình khởi động được đặt cấu hình để yêu cầu khóa khởi động và mã pin, hãy thực thi lệnh sau từ dấu nhắc lệnh Quản trị để tạo mã Pin và khóa khởi động. Khi được nhắc, hãy nhập mã PIN mong muốn: manage-bde -protectors -add c: -tpmandpinandstartupkey < dẫn tới thư mục khóa bên ngoài>

Bản cập nhật này có thể không cài đặt trên các thiết bị có tệp trình quản lý khởi động bootx64.efi không được ký của Microsoft.  Bản cập nhật này có thể được cung cấp và cung cấp lại thông qua Windows Update nhưng có thể không cài đặt được.  Khi cố gắng cài đặt bản cập nhật này theo cách thủ công, bạn có thể gặp lỗi "Một số bản cập nhật chưa được cài đặt" liệt kê KB4565680.  Bạn cũng có thể kiểm tra tệp Nhật ký CBS trong %systemroot%\logs\cbs để biết lỗi sau: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): Lỗi TRUST_E_NOSIGNATURE có nguồn gốc từ chức năng Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Chúng tôi đang tìm cách giải quyết và dự kiến sẽ đưa ra giải pháp cho Windows 10, phiên bản 1909, Windows 10, phiên bản 2004 và Windows 10, phiên bản 20H2 vào cuối tháng 3.  Các phiên bản Windows được hỗ trợ còn lại dự kiến sẽ có giải pháp vào giữa tháng 4.

Để biết thêm hướng dẫn trước khi phát hành độ phân giải, vui lòng liên hệ với nhà sản xuất thiết bị (OEM).

Cách tải bản cập nhật này

Phương pháp 1: Windows Update 

Bạn có thể tải bản cập nhật này qua Windows Update. Bản cập nhật này sẽ tự động được tải xuống và cài đặt.  

Phương pháp 2: Danh mục Microsoft Update 

Để tải gói độc lập cho bản cập nhật này, hãy truy cập trang web Danh mục Microsoft Update.

Phương pháp 3: Dịch vụ Cập nhật Windows Server

Bản cập nhật này cũng có sẵn qua Dịch vụ Cập nhật Windows Server (WSUS).

Điều kiện tiên quyết

Đảm bảo bạn đã cài đặt bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất. Để biết thông tin về SSU mới nhất cho hệ điều hành của bạn, hãy xem ADV990001 | Bản xếp chồng Dịch vụ Cập nhật.

Thông tin về khởi động lại 

Thiết bị của bạn không phải khởi động lại khi áp dụng bản cập nhật này. Nếu bạn đã bật Bộ bảo vệ Windows Credential Guard (Chế độ Bảo mật Ảo), thiết bị của bạn sẽ khởi động lại hai lần.

Thông tin về việc thay thế bản cập nhật 

Bản cập nhật này không thay thế bất kỳ bản cập nhật nào đã phát hành trước đó.

Thông tin tệp

Windows 10, phiên bản 1909 

Tên tệp

Hàm băm SHA1

Hàm băm SHA256

Windows10.0-KB4535680-x64.msu

66c7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau đây.

Tên tệp

Kích thước tệp

Ngày

Giờ

Dbupdate.bin

46

Ngày 23 tháng 9 năm 2019

23:13

Dbxupdate.bin

1,368

Ngày 23 tháng 9 năm 2019

23:13

Dbupdate.bin

46

Ngày 23 tháng 9 năm 2019

23:13

Dbxupdate.bin

2,840

Ngày 23 tháng 9 năm 2019

23:13

Tpmtasks.dll

3,339

Ngày 23 tháng 9 năm 2019

23:13

Tpmtasks.dll

2,892

Ngày 23 tháng 9 năm 2019

23:13

Windows 10, phiên bản 1809 và Windows Server 2019

Tên tệp

Hàm băm SHA1

Hàm băm SHA256

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau đây.

Tên tệp

Kích thước tệp

Ngày

Giờ

Dbupdate.bin

46

Ngày 25 tháng 9 năm 2019

01:14

Dbxupdate.bin

1,368

Ngày 25 tháng 9 năm 2019

01:14

Dbupdate.bin

46

Ngày 25 tháng 9 năm 2019

01:14

Dbxupdate.bin

2,840

Ngày 25 tháng 9 năm 2019

01:14

Tpmtasks.dll

1,998

Ngày 25 tháng 9 năm 2019

01:14

Tpmtasks.dll

1,568

Ngày 25 tháng 9 năm 2019

01:14

Windows 10, phiên bản 1803

Tên tệp

Hàm băm SHA1

Hàm băm SHA256

Windows10.0-KB4535680-x64.msu

24C59946A58755DDD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này sẽ cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau.

Tên tệp

Phiên bản tệp

Kích thước tệp

Ngày

Giờ

Dbupdate.bin

Không áp dụng

3

Ngày 30 tháng 10 năm 2017

01:01

Dbxupdate.bin

Không áp dụng

7,361

Ngày 10 tháng 9 năm 2019

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

Ngày 10 tháng 9 năm 2019

03:55

Windows 10, phiên bản 1607 và Windows Server 2016

Tên tệp

Hàm băm SHA1

Hàm băm SHA256

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau đây. 

Tên tệp

Phiên bản tệp

Kích thước tệp

Ngày

Giờ

Dbupdate.bin

Không áp dụng

2

Ngày 3 tháng 9 năm 2019

22:05

Dbxupdate.bin

Không áp dụng

7,361

Ngày 12 tháng 9 năm 2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

Ngày 16 tháng 9 năm 2019

05:04

Windows 8.1 và Windows Server 2012 R2

Tên tệp

Hàm băm SHA1

Hàm băm SHA256

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau đây.

Tên tệp

Phiên bản tệp

Kích thước tệp

Ngày

Giờ

Dbupdate.bin

Không áp dụng

2

Ngày 25 tháng 9 năm 2019

04:21

Dbxupdate.bin

Không áp dụng

7,361

Ngày 25 tháng 9 năm 2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

Ngày 25 tháng 9 năm 2019

06:30


Windows Server 2012

Tên tệp

Hàm băm SHA1

Hàm băm SHA256

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau đây. 

Tên tệp

Phiên bản tệp

Kích thước tệp

Ngày

Giờ

Dbupdate.bin

Không áp dụng

2

Ngày 20 tháng 6 năm 2019

00:06

Dbxupdate.bin

Không áp dụng

7,361

Ngày 10 tháng 9 năm 2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

Ngày 25 tháng 9 năm 2019

04:30

Tham khảo

Tìm hiểu về thuật ngữ mà Microsoft sử dụng để mô tả các bản cập nhật phần mềm.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×