重要说明 本文已被 KB5012170:安全启动 DBX 的安全更新取代。
适用对象
此安全更新仅适用于以下 Windows 版本:
-
Windows Server 2012 x64 位
-
Windows Server 2012 R2 x64 位
-
Windows 8.1 x64 位
-
Windows Server 2016 x64 位
-
Windows Server 2019 x64 位
-
Windows 10 版本 1607 x64 位
-
Windows 10 版本 1803 x64 位
-
Windows 10 版本 1809 x64 位
-
Windows 10 版本 1909 x64 位
摘要
此安全更新改进了“应用于”部分中列出的受支持的 Windows 版本的 Secure Boot DBX。 关键更改包括以下内容:
-
具有基于统一可扩展固件接口 (UEFI) 的固件的 Windows 设备,可以在启用 Secure Boot 的情况下运行。 Secure Boot 禁止签名数据库 (DBX) 可防止加载 UEFI 模块。 此更新将模块添加到 DBX。
安全启动中存在安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会绕过 Secure Boot,并加载不受信任的软件。
此安全更新通过向 DBX 添加已知易受攻击的 UEFI 模块的签名来解决该漏洞。
若要详细了解此安全漏洞,CVE-2020-0689 | Microsoft 安全启动安全功能绕过漏洞。
已知问题
问题 |
解决方法 |
某些原始设备制造商 (OEM) 固件可能不允许安装此更新。 |
要解决此问题,请与你的固件 OEM 联系。 |
如果启用了 BitLocker 组策略配置本机 UEFI 固件配置的 TPM 平台验证配置文件,并且按策略选择了 PCR7,则可能导致某些无法进行 PCR7 绑定的设备需要 BitLocker 恢复密钥。 若要查看 PCR7 绑定状态,请运行具有管理权限的 Microsoft 系统信息 (Msinfo32.exe) 工具。 |
若要解决此问题,请根据凭据保护配置执行以下操作之一,然后再部署此更新:
|
如果在环境中启用 BitLocker 后配置了冲突的 BitLocker 组策略设置,则可能会进入 Bitlocker 恢复过程。 Bitlocker 恢复可通过以下任何组策略设置触发:
|
如果已应用此更新,但设备尚未重启,请在执行以下步骤后暂停 BitLocker 并重启:
|
此更新可能不会安装在具有未签名的非 Microsoft bootx64.efi 启动管理器文件的设备上。 此更新可能通过 Windows 更新网站提供和重新提供,但可能无法安装。 尝试手动安装此更新时,可能会收到列出 KB4565680 的错误“某些更新未安装”。 你还可以检查 %systemroot%\logs\cbs 中的 CBS 日志文件是否存在以下错误: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): 错误 TRUST_E_NOSIGNATURE 源自函数 Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
我们正在研究解决方案,并预计将于 3 月底推出一个适用于 Windows 10 版本 1909、Windows 10 版本 2004 和 Windows 10 版本 20H2 的解决方案。 其余受支持的 Windows 版本预计将在 4 月中旬推出解决方案。 有关在发布解决方案之前的其他指导,请联系设备制造商 (OEM)。 |
如何获取此更新
方法 1:Windows 更新
可以通过 Windows 更新获取此更新。 此更新会自动下载并安装。
方法 2:Microsoft 更新目录
若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。
方法 3:Windows Server Update Service
此更新也可通过 Windows Server Update Services (WSUS) 获取。
先决条件
确保已安装最新的服务堆栈更新 (SSU) 。 有关操作系统的最新 SSU 的信息,请参阅ADV990001 | 最新服务堆栈更新。
重启信息
应用此更新时,无需重新启动设备。 如果启用了 Windows Defender Credential Guard(虚拟安全模式),你的设备将重新启动两次。
更新替代信息
此更新不会替换任何以前发布的更新。
文件信息
Windows 10 版本 1909
文件名 |
SHA1 哈希 |
SHA256 哈希 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
此软件更新的英语(美国)版本会安装具有下表所列属性的文件。
文件名 |
文件大小 |
日期 |
时间 |
Dbupdate.bin |
46 |
2019 年 9 月 23 日 |
23:13 |
Dbxupdate.bin |
1,368 |
2019 年 9 月 23 日 |
23:13 |
Dbupdate.bin |
46 |
2019 年 9 月 23 日 |
23:13 |
Dbxupdate.bin |
2,840 |
2019 年 9 月 23 日 |
23:13 |
Tpmtasks.dll |
3,339 |
2019 年 9 月 23 日 |
23:13 |
Tpmtasks.dll |
2,892 |
2019 年 9 月 23 日 |
23:13 |
Windows 10 版本 1809 和 Windows Server 2019
文件名 |
SHA1 哈希 |
SHA256 哈希 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
此软件更新的英语(美国)版本会安装具有下表所列属性的文件。
文件名 |
文件大小 |
日期 |
时间 |
Dbupdate.bin |
46 |
2019 年 9 月 25 日 |
01:14 |
Dbxupdate.bin |
1,368 |
2019 年 9 月 25 日 |
01:14 |
Dbupdate.bin |
46 |
2019 年 9 月 25 日 |
01:14 |
Dbxupdate.bin |
2,840 |
2019 年 9 月 25 日 |
01:14 |
Tpmtasks.dll |
1,998 |
2019 年 9 月 25 日 |
01:14 |
Tpmtasks.dll |
1,568 |
2019 年 9 月 25 日 |
01:14 |
Windows 10 版本 1803
文件名 |
SHA1 哈希 |
SHA256 哈希 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
此软件更新程序的英语(美国)版将安装具有下表所列属性的文件。
文件名 |
文件版本 |
文件大小 |
日期 |
时间 |
Dbupdate.bin |
不适用 |
3 |
2017 年 10 月 30 日 |
01:01 |
Dbxupdate.bin |
不适用 |
7,361 |
2019 年 9 月 10 日 |
21:01 |
Tpmtasks.dll |
10.0.17134.1060 |
51,712 |
2019 年 9 月 10 日 |
03:55 |
Windows 10 版本 1607 和 Windows Server 2016
文件名 |
SHA1 哈希 |
SHA256 哈希 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
此软件更新的英语(美国)版本会安装具有下表所列属性的文件。
文件名 |
文件版本 |
文件大小 |
日期 |
时间 |
Dbupdate.bin |
不适用 |
2 |
2019 年 9 月 3 日 |
22:05 |
Dbxupdate.bin |
不适用 |
7,361 |
2019 年 9 月 12 日 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
2019 年 9 月 16 日 |
05:04 |
Windows 8.1 和 Windows Server 2012 R2
文件名 |
SHA1 哈希 |
SHA256 哈希 |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
此软件更新的英语(美国)版本会安装具有下表所列属性的文件。
文件名 |
文件版本 |
文件大小 |
日期 |
时间 |
Dbupdate.bin |
不适用 |
2 |
2019 年 9 月 25 日 |
21:04 |
Dbxupdate.bin |
不适用 |
7,361 |
2019 年 9 月 25 日 |
21:04 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
2019 年 9 月 25 日 |
06:30 |
Windows Server 2012
文件名 |
SHA1 哈希 |
SHA256 哈希 |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
此软件更新的英语(美国)版本会安装具有下表所列属性的文件。
文件名 |
文件版本 |
文件大小 |
日期 |
时间 |
Dbupdate.bin |
不适用 |
2 |
2019 年 6 月 20 日 |
00:06 |
Dbxupdate.bin |
不适用 |
7,361 |
2019 年 9 月 10 日 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
2019 年 9 月 25 日 |
04:30 |
参考
了解 Microsoft 用于描述软件更新的术语。