Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 8.1 Windows Server 2016, all editions Windows Server 2019 Windows 10

適用於

此安全性更新僅適用於下列 Windows 伺服器版本:

  • Windows Server 2012 x64 位元

  • Windows Server 2012 R2 x64 位元

  • Windows 8.1 x64 位元

  • Windows Server 2016 x64 位元

  • Windows Server 2019 x64 位元

  • Windows 10 1607 版 x64 位元

  • Windows 10 版本 1803 x64 位元

  • Windows 10 版本 1809 x64 位元

  • Windows 10 版本 1909 x64 位元 

摘要

此安全性更新對「套用於」一節所列的受支援 Windows 10 版本進行改善。 重要變更包括下列各項: 

  • 具有整合可延伸韌體介面 (UEFI) 韌體的 Windows 裝置可以在安全開機啟用時執行。 安全開機 Forbidden Signature Database (DBX) 會阻止載入 UEFI 模組。 此更新會在 DBX 中新增模組。 安全開機中存在安全性功能略過弱點。 成功利用此弱點的攻擊者可能會略過安全開機,並載入不受信任的軟體。 此安全性更新會在 DBX 中新增已知易受攻擊的 UEFI 模組的簽章,藉此解決此弱點。

要深入了解此安全性弱點,請參閱 CVE-2020-0689 | Microsoft 安全開機安全性功能略過弱點

已知問題

問題

因應措施

有些 原始設備製造商 (OEM) 韌體可能不允許安裝此更新。

若要解決此問題,請連絡您的韌體 OEM。

如果已啟用 [設定原生 UEFI 韌體設定的 TPM 平台驗證設定檔] BitLocker 群組原則,並由原則選取 PCR7,則可能會導致某些不可能進行 PCR7 繫結的裝置要求 BitLocker 修復金鑰。

要檢視 PCR7 繫結狀態,請以系統管理權限執行 Microsoft System Information (Msinfo32.exe) 工具。

要解決此問題,請先根據 Credential Guard 設定執行下列其中一項動作,然後再部署此更新:

  • 在未啟用 Credential Guard 的裝置中,在管理員命令提示字元後執行下列命令,讓 BitLocker 暫止 1 個重新開機週期:

    Manage-bde –Protectors –Disable C: -RebootCount 1

    然後,將裝置重新開機以恢復 BitLocker 保護。附註 若不另外重新開機,請不要啟用 BitLocker 保護,因為這樣會導致 BitLocker 復原。

  • 在已啟用 Credential Guard 的裝置中,更新期間可能會有多次重新開機,需要暫止 BitLocker。 在管理員命令提示字元後執行下列命令,讓 BitLocker 暫止 3 個重新開機週期。 Manage-bde –Protectors –Disable C: -RebootCount 3

    此更新應會重新開機系統兩次。 再次重新啟動裝置,即可恢復 BitLocker 保護。

    注意 若不另外重新開機,請不要啟用 BitLocker 保護,因為這樣會導致 BitLocker 復原。

如果在環境中啟用 BitLocker 之後設定了衝突的 BitLocker 群組原則設定,您可能會進入 Bitlocker 復原。 由於下列任一群組原則設定,可能會觸發 Bitlocker 復原:

如果已套用此更新且尚未重新啟動裝置,請暫停 BitLocker 並依照下列步驟重新開機:

  • 如果已透過群組原則設定明確的 PCR 設定,或將原則設定為停止使用安全開機來進行完整性驗證來,請暫停並繼續 BitLocker 以清除 GP 衝突。

  • 如果將 在啟動期間需要額外驗證 原則設定為要求 TPM 和 PIN,請從系統管理命令提示字元執行下列命令,然後輸入想要的 PIN:manage-bde -protectors -add c: -TPMAndPin

  • 如果將 在啟動期間需要額外驗證 原則設定為需要啟動金鑰,請執行下列命令來建立啟動金鑰:manage-bde -protectors -add c: -tpmandstartupkey  <外部金鑰目錄的路徑>

  • 如果將 在啟動期間需要額外驗證 原則設定為需要啟動鍵和 PIN 碼,請從系統管理員命令提示字元執行下列命令以建立 Pin 碼和啟動金鑰。 出現提示時,輸入所需的 PIN 碼:manage-bde -protectors -add c: -tpmandpinandstartupkey <外部金鑰目錄的路徑> 

此更新可能無法在含有未簽署、非 Microsoft bootx64.efi 開機管理器檔案的裝置上進行安裝。  此更新可能會透過 Windows Update 提供及再次提供,但可能無法安裝。  當您嘗試手動安裝此更新時,您可能會收到列出 KB4565680 的「尚未安裝某些更新」錯誤。  您也可以在 %systemroot%\logs\tw 中檢查 CBS 記錄檔來瞭解下列錯誤: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): 錯誤 TRUST_E_NOSIGNATURE 源於函數 Windows::WCP::SecureBoot::BasicInstaller::安裝運算式: ApplySecureBootUpdate( dwAvailableUpdates)

我們正在努力研究解決方案,並估計在 3 月底的提供適用於 Windows 10 版本 1909、Windows 10 版本 2004 和 Windows 10 版本 20H2 的方案。  其餘支援的 Windows 版本估計會在 4 月中提供方案。

如需解決方案發行前的其他指導方針,請連絡您的裝置製造商 (OEM)。

如何取得此更新

方法 1:Windows Update 

可透過 Windows Update 取得此更新。 將自動下載並安裝此更新。  

方法 2:Microsoft Update Catalog 

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

方法 3:Windows Server Update Services

此更新也會透過 Windows Server Update Services (WSUS) 提供。

必要條件

確定您已安裝最新的服務堆疊更新 (SSU)。 如需有關作業系統的最新 SSU 詳細資訊,請參閱 ADV990001 | 最新服務堆疊更新

重新啟動資訊 

套用此更新後不必重新啟動電腦。 如果啟用了 Windows Defender Credential Guard(虛擬安全模式),您的設備將重新開機兩次。

更新取代資訊 

此更新不會取代任何先前發行的更新。

檔案詳細資訊

Windows 10 1909 版 

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

檔案名稱

檔案大小

日期

時間

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

1,368

23-Sep-2019

23:13

Dbupdate.bin

46

23-Sep-2019

23:13

Dbxupdate.bin

2,840

23-Sep-2019

23:13

Tpmtasks.dll

3,339

23-Sep-2019

23:13

Tpmtasks.dll

2,892

23-Sep-2019

23:13

Windows 10 1809 版和 Windows Server 2019

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

檔案名稱

檔案大小

日期

時間

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

1,368

25-Sep-2019

01:14

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

2,840

25-Sep-2019

01:14

Tpmtasks.dll

1,998

25-Sep-2019

01:14

Tpmtasks.dll

1,568

25-Sep-2019

01:14

Windows 10 版本 1803

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

此軟體更新的英文 (美國) 版本會安裝具有下表所列屬性的檔案。

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

3

30-Oct-2017

01:01

Dbxupdate.bin

不適用

7,361

10-Sep-2019

21:01

Tpmtasks.dll

10.0.17134.1060

51,712

10-Sep-2019

03:55

Windows 10 版本 1607 和 Windows Server 2016

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。 

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

2

03-Sep-2019

22:05

Dbxupdate.bin

不適用

7,361

12-Sep-2019

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

2019 年 9 月 16 日

05:04

Windows 8.1 和 Windows Server 2012 R2

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

2

25-Sep-2019

21:04

Dbxupdate.bin

不適用

7,361

25-Sep-2019

21:04

Tpmtasks.dll

6.3.9600.19501

176,128

25-Sep-2019

06:30

Windows Server 2012

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。 

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

2

20-Jun-2019

00:06

Dbxupdate.bin

不適用

7,361

10-Sep-2019

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-Sep-2019

04:30

參考

了解 Microsoft 用來說明軟體更新的術語

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。