重要 本文已由 KB5012170:適用於安全開機 DBX 的安全性更新。
適用於
此安全性更新僅適用於下列 Windows 伺服器版本:
-
Windows Server 2012 x64 位元
-
Windows Server 2012 R2 x64 位元
-
Windows 8.1 x64 位元
-
Windows Server 2016 x64 位元
-
Windows Server 2019 x64 位元
-
Windows 10 1607 版 x64 位元
-
Windows 10 版本 1803 x64 位元
-
Windows 10 版本 1809 x64 位元
-
Windows 10 版本 1909 x64 位元
摘要
此安全性更新對「套用於」一節所列的受支援 Windows 10 版本進行改善。 重要變更包括下列各項:
-
具有整合可延伸韌體介面 (UEFI) 韌體的 Windows 裝置可以在安全開機啟用時執行。 安全開機 Forbidden Signature Database (DBX) 會阻止載入 UEFI 模組。 此更新會在 DBX 中新增模組。
安全開機中存在安全性功能略過弱點。 成功利用此弱點的攻擊者可能會略過安全開機,並載入不受信任的軟體。
此安全性更新會在 DBX 中新增已知易受攻擊的 UEFI 模組的簽章,藉此解決此弱點。
要深入了解此安全性弱點,請參閱 CVE-2020-0689 | Microsoft 安全開機安全性功能略過弱點。
已知問題
|
問題 |
因應措施 |
|
有些 原始設備製造商 (OEM) 韌體可能不允許安裝此更新。 |
若要解決此問題,請連絡您的韌體 OEM。 |
|
如果已啟用 [設定原生 UEFI 韌體設定的 TPM 平台驗證設定檔] BitLocker 群組原則,並由原則選取 PCR7,則可能會導致某些不可能進行 PCR7 繫結的裝置要求 BitLocker 修復金鑰。 要檢視 PCR7 繫結狀態,請以系統管理權限執行 Microsoft System Information (Msinfo32.exe) 工具。 |
要解決此問題,請先根據 Credential Guard 設定執行下列其中一項動作,然後再部署此更新:
|
|
如果在環境中啟用 BitLocker 之後設定了衝突的 BitLocker 群組原則設定,您可能會進入 Bitlocker 復原。 由於下列任一群組原則設定,可能會觸發 Bitlocker 復原:
|
如果已套用此更新且尚未重新啟動裝置,請暫停 BitLocker 並依照下列步驟重新開機:
|
|
此更新可能無法在含有未簽署、非 Microsoft bootx64.efi 開機管理器檔案的裝置上進行安裝。 此更新可能會透過 Windows Update 提供及再次提供,但可能無法安裝。 當您嘗試手動安裝此更新時,您可能會收到列出 KB4565680 的「尚未安裝某些更新」錯誤。 您也可以在 %systemroot%\logs\tw 中檢查 CBS 記錄檔來瞭解下列錯誤: onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): 錯誤 TRUST_E_NOSIGNATURE 源於函數 Windows::WCP::SecureBoot::BasicInstaller::安裝運算式: ApplySecureBootUpdate( dwAvailableUpdates) |
我們正在努力研究解決方案,並估計在 3 月底的提供適用於 Windows 10 版本 1909、Windows 10 版本 2004 和 Windows 10 版本 20H2 的方案。 其餘支援的 Windows 版本估計會在 4 月中提供方案。 如需解決方案發行前的其他指導方針,請連絡您的裝置製造商 (OEM)。 |
如何取得此更新
方法 1:Windows Update
可透過 Windows Update 取得此更新。 將自動下載並安裝此更新。
方法 2:Microsoft Update Catalog
若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
方法 3:Windows Server Update Services
此更新也會透過 Windows Server Update Services (WSUS) 提供。
必要條件
確定您已安裝最新的服務堆疊更新 (SSU)。 如需有關作業系統的最新 SSU 詳細資訊,請參閱 ADV990001 | 最新服務堆疊更新。
重新啟動資訊
套用此更新後不必重新啟動電腦。 如果啟用了 Windows Defender Credential Guard(虛擬安全模式),您的設備將重新開機兩次。
更新取代資訊
此更新不會取代任何先前發行的更新。
檔案詳細資訊
Windows 10 1909 版
|
檔案名稱 |
SHA1 雜湊 |
SHA256 雜湊 |
|---|---|---|
|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。
|
檔案名稱 |
檔案大小 |
日期 |
時間 |
|
Dbupdate.bin |
46 |
23-Sep-2019 |
23:13 |
|
Dbxupdate.bin |
1,368 |
23-Sep-2019 |
23:13 |
|
Dbupdate.bin |
46 |
23-Sep-2019 |
23:13 |
|
Dbxupdate.bin |
2,840 |
23-Sep-2019 |
23:13 |
|
Tpmtasks.dll |
3,339 |
23-Sep-2019 |
23:13 |
|
Tpmtasks.dll |
2,892 |
23-Sep-2019 |
23:13 |
Windows 10 1809 版和 Windows Server 2019
|
檔案名稱 |
SHA1 雜湊 |
SHA256 雜湊 |
|---|---|---|
|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。
|
檔案名稱 |
檔案大小 |
日期 |
時間 |
|
Dbupdate.bin |
46 |
25-Sep-2019 |
01:14 |
|
Dbxupdate.bin |
1,368 |
25-Sep-2019 |
01:14 |
|
Dbupdate.bin |
46 |
25-Sep-2019 |
01:14 |
|
Dbxupdate.bin |
2,840 |
25-Sep-2019 |
01:14 |
|
Tpmtasks.dll |
1,998 |
25-Sep-2019 |
01:14 |
|
Tpmtasks.dll |
1,568 |
25-Sep-2019 |
01:14 |
Windows 10 版本 1803
|
檔案名稱 |
SHA1 雜湊 |
SHA256 雜湊 |
|---|---|---|
|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
此軟體更新的英文 (美國) 版本會安裝具有下表所列屬性的檔案。
|
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
|
Dbupdate.bin |
不適用 |
3 |
30-Oct-2017 |
01:01 |
|
Dbxupdate.bin |
不適用 |
7,361 |
10-Sep-2019 |
21:01 |
|
Tpmtasks.dll |
10.0.17134.1060 |
51,712 |
10-Sep-2019 |
03:55 |
Windows 10 版本 1607 和 Windows Server 2016
|
檔案名稱 |
SHA1 雜湊 |
SHA256 雜湊 |
|---|---|---|
|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。
|
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
|
Dbupdate.bin |
不適用 |
2 |
03-Sep-2019 |
22:05 |
|
Dbxupdate.bin |
不適用 |
7,361 |
12-Sep-2019 |
01:01 |
|
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
2019 年 9 月 16 日 |
05:04 |
Windows 8.1 和 Windows Server 2012 R2
|
檔案名稱 |
SHA1 雜湊 |
SHA256 雜湊 |
|---|---|---|
|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。
|
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
|
Dbupdate.bin |
不適用 |
2 |
25-Sep-2019 |
21:04 |
|
Dbxupdate.bin |
不適用 |
7,361 |
25-Sep-2019 |
21:04 |
|
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25-Sep-2019 |
06:30 |
Windows Server 2012
|
檔案名稱 |
SHA1 雜湊 |
SHA256 雜湊 |
|---|---|---|
|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。
|
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
|
Dbupdate.bin |
不適用 |
2 |
20-Jun-2019 |
00:06 |
|
Dbxupdate.bin |
不適用 |
7,361 |
10-Sep-2019 |
00:07 |
|
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25-Sep-2019 |
04:30 |
參考
了解 Microsoft 用來說明軟體更新的術語。
