使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。

重要说明 本文已被 KB5012170:安全启动 DBX 的安全更新取代。

适用对象

此安全更新仅适用于以下 Windows 版本:

  • Windows Server 2012 x64 位

  • Windows Server 2012 R2 x64 位

  • Windows 8.1 x64 位

  • Windows Server 2016 x64 位

  • Windows Server 2019 x64 位

  • Windows 10 版本 1607 x64 位

  • Windows 10 版本 1803 x64 位

  • Windows 10 版本 1809 x64 位

  • Windows 10 版本 1909 x64 位 

摘要

此安全更新改进了“应用于”部分中列出的受支持的 Windows 版本的 Secure Boot DBX。 关键更改包括以下内容: 

  • 具有基于统一可扩展固件接口 (UEFI) 的固件的 Windows 设备,可以在启用 Secure Boot 的情况下运行。 Secure Boot 禁止签名数据库 (DBX) 可防止加载 UEFI 模块。 此更新将模块添加到 DBX。

    安全启动中存在安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会绕过 Secure Boot,并加载不受信任的软件。

    此安全更新通过向 DBX 添加已知易受攻击的 UEFI 模块的签名来解决该漏洞。

若要详细了解此安全漏洞,CVE-2020-0689 | Microsoft 安全启动安全功能绕过漏洞

已知问题

问题

解决方法

某些原始设备制造商 (OEM) 固件可能不允许安装此更新。

要解决此问题,请与你的固件 OEM 联系。

如果启用了 BitLocker 组策略配置本机 UEFI 固件配置的 TPM 平台验证配置文件,并且按策略选择了 PCR7,则可能导致某些无法进行 PCR7 绑定的设备需要 BitLocker 恢复密钥。

若要查看 PCR7 绑定状态,请运行具有管理权限的 Microsoft 系统信息 (Msinfo32.exe) 工具。

若要解决此问题,请根据凭据保护配置执行以下操作之一,然后再部署此更新:

  • 在未启用“凭据保护”的设备上,从管理员命令提示符运行以下命令,将 BitLocker 挂起 1 个重新启动周期:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    然后,重新启动设备以恢复 BitLocker 保护。

    注意:如果不再次重新启动设备,请不要启用 BitLocker 保护,因为这样会导致 BitLocker 恢复。

  • 在启用了“凭据保护”的设备上,更新期间可能会多次重新启动,需要挂起 BitLocker。 从管理员命令提示符运行以下命令,将 BitLocker 挂起 3 个重新启动周期。 Manage-bde –Protectors –Disable C: -RebootCount 3

    此更新预计重新启动系统两次。 再次重新启动设备以恢复 BitLocker 保护。

    注意 如果不再次重新启动,请不要启用 BitLocker 保护,因为这样会导致 BitLocker 恢复。

如果在环境中启用 BitLocker 后配置了冲突的 BitLocker 组策略设置,则可能会进入 Bitlocker 恢复过程。 Bitlocker 恢复可通过以下任何组策略设置触发:

如果已应用此更新,但设备尚未重启,请在执行以下步骤后暂停 BitLocker 并重启:

  • 如果已通过组策略设置了显式 PCR 配置,或者将某个策略配置为不允许使用安全启动进行完整性验证,请暂停并恢复 BitLocker 以清除组策略冲突。

  • 如果“在启动期间需要其他身份验证”策略被配置为需要 TPM 和 PIN,请从管理命令提示符运行以下命令并输入所需的 PIN:manage-bde -protectors -add c: -TPMAndPin

  • 如果“在启动期间需要其他身份验证”策略被配置为需要启动密钥,请执行以下命令来创建启动密钥:manage-bde -protectors -add c: -tpmandstartupkey  <指向外部密钥目录的路径>

  • 如果“在启动期间需要其他身份验证”策略被配置为需要启动密钥和 PIN,请从管理命令提示符处执行以下命令,以创建 PIN 和启动密钥。 出现提示时,请输入所需的 PIN:manage-bde -protectors -add c: -tpmandpinandstartupkey  <指向外部密钥目录的路径>

此更新可能不会安装在具有未签名的非 Microsoft bootx64.efi 启动管理器文件的设备上。  此更新可能通过 Windows 更新网站提供和重新提供,但可能无法安装。  尝试手动安装此更新时,可能会收到列出 KB4565680 的错误“某些更新未安装”。  你还可以检查 %systemroot%\logs\cbs 中的 CBS 日志文件是否存在以下错误: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): 错误 TRUST_E_NOSIGNATURE 源自函数 Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

我们正在研究解决方案,并预计将于 3 月底推出一个适用于 Windows 10 版本 1909、Windows 10 版本 2004 和 Windows 10 版本 20H2 的解决方案。  其余受支持的 Windows 版本预计将在 4 月中旬推出解决方案。

有关在发布解决方案之前的其他指导,请联系设备制造商 (OEM)。

如何获取此更新

方法 1:Windows 更新 

可以通过 Windows 更新获取此更新。 此更新会自动下载并安装。  

方法 2:Microsoft 更新目录 

若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。

方法 3:Windows Server Update Service

此更新也可通过 Windows Server Update Services (WSUS) 获取。

先决条件

确保已安装最新的服务堆栈更新 (SSU) 。 有关操作系统的最新 SSU 的信息,请参阅ADV990001 | 最新服务堆栈更新

重启信息 

应用此更新时,无需重新启动设备。 如果启用了 Windows Defender Credential Guard(虚拟安全模式),你的设备将重新启动两次。

更新替代信息 

此更新不会替换任何以前发布的更新。

文件信息

Windows 10 版本 1909 

文件名

SHA1 哈希

SHA256 哈希

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

此软件更新的英语(美国)版本会安装具有下表所列属性的文件。

文件名

文件大小

日期

时间

Dbupdate.bin

46

2019 年 9 月 23 日

23:13

Dbxupdate.bin

1,368

2019 年 9 月 23 日

23:13

Dbupdate.bin

46

2019 年 9 月 23 日

23:13

Dbxupdate.bin

2,840

2019 年 9 月 23 日

23:13

Tpmtasks.dll

3,339

2019 年 9 月 23 日

23:13

Tpmtasks.dll

2,892

2019 年 9 月 23 日

23:13

Windows 10 版本 1809 和 Windows Server 2019

文件名

SHA1 哈希

SHA256 哈希

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

此软件更新的英语(美国)版本会安装具有下表所列属性的文件。

文件名

文件大小

日期

时间

Dbupdate.bin

46

2019 年 9 月 25 日

01:14

Dbxupdate.bin

1,368

2019 年 9 月 25 日

01:14

Dbupdate.bin

46

2019 年 9 月 25 日

01:14

Dbxupdate.bin

2,840

2019 年 9 月 25 日

01:14

Tpmtasks.dll

1,998

2019 年 9 月 25 日

01:14

Tpmtasks.dll

1,568

2019 年 9 月 25 日

01:14

Windows 10 版本 1803

文件名

SHA1 哈希

SHA256 哈希

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

此软件更新程序的英语(美国)版将安装具有下表所列属性的文件。

文件名

文件版本

文件大小

日期

时间

Dbupdate.bin

不适用

3

2017 年 10 月 30 日

01:01

Dbxupdate.bin

不适用

7,361

2019 年 9 月 10 日

21:01

Tpmtasks.dll

10.0.17134.1060

51,712

2019 年 9 月 10 日

03:55

Windows 10 版本 1607 和 Windows Server 2016

文件名

SHA1 哈希

SHA256 哈希

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

此软件更新的英语(美国)版本会安装具有下表所列属性的文件。 

文件名

文件版本

文件大小

日期

时间

Dbupdate.bin

不适用

2

2019 年 9 月 3 日

22:05

Dbxupdate.bin

不适用

7,361

2019 年 9 月 12 日

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

2019 年 9 月 16 日

05:04

Windows 8.1 和 Windows Server 2012 R2

文件名

SHA1 哈希

SHA256 哈希

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

此软件更新的英语(美国)版本会安装具有下表所列属性的文件。

文件名

文件版本

文件大小

日期

时间

Dbupdate.bin

不适用

2

2019 年 9 月 25 日

21:04

Dbxupdate.bin

不适用

7,361

2019 年 9 月 25 日

21:04

Tpmtasks.dll

6.3.9600.19501

176,128

2019 年 9 月 25 日

06:30


Windows Server 2012

文件名

SHA1 哈希

SHA256 哈希

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

此软件更新的英语(美国)版本会安装具有下表所列属性的文件。 

文件名

文件版本

文件大小

日期

时间

Dbupdate.bin

不适用

2

2019 年 6 月 20 日

00:06

Dbxupdate.bin

不适用

7,361

2019 年 9 月 10 日

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

2019 年 9 月 25 日

04:30

参考

了解 Microsoft 用于描述软件更新的术语

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。 你的 IT 管理员将能够收集此数据。 隐私声明。

谢谢您的反馈!

×