Sign in with Microsoft
Sign in or create an account.

適用於

此安全性更新僅適用于下列Windows版本:

  • Windows Server 2012 x64 位

  • Windows Server 2012R2 x64 位

  • Windows 8.1 x64 位

  • Windows Server 2016 x64 位

  • WindowsServer 2019 x64 位

  • Windows 10版本 1607 x64 位

  • Windows 10版本 1803 x64 位

  • Windows 10版本 1809 x64 位

  • Windows 10版本 1909 x64 位 

摘要

此安全性更新會針對 「Windows」一節中所列的支援版本,對 Secure Boot DBX 進行改良。 重要變更包括: 

  • Windows UEFI (UEFI) 具有統一可擴展的固件介面的裝置,可以在啟用安全啟動時執行。 DBX 中的安全啟動禁止 (資料庫) UEFI 模組無法載入。 此更新會將模組新增到 DBX。

    安全性功能忽略弱點存在於安全啟動中。 成功利用此漏洞的攻擊者可能會忽略安全啟動並載入不受信任的軟體。

    此安全性更新會新增已知容易受到攻擊的 UEFI 模組的簽名至 DBX,以解決此弱點。

要深入了解此安全性弱點,請參閱 CVE-2020-0689 | Microsoft 安全開機安全性功能略過弱點

已知問題

問題

因應措施 

部分原始設備製造商 (OEM) 或安裝此更新可能不允許。

若要解決此問題,請與您的固件 OEM 聯繫。

如果 BitLocker群組原則為原生UEFI固件設定設定 TPM 平臺驗證設定檔,且已根據原則選取了PCR7,可能會導致某些裝置無法進行PCR7 綁定時,需要 BitLocker 復原金鑰。

若要查看PCR7 裝訂狀態,請執行具有系統資訊 (Msinfo32.exe) 許可權的 Microsoft 系統資訊 (Msinfo32.exe) 工具。

若要解決此問題,請根據認證防護組組進行下列其中一項操作,然後再部署此更新:

  • 在未啟用認證 Gard 的裝置上,從系統管理員命令提示符執行下列命令,以暫停 BitLocker重新開機迴圈:

    Manage-bde –Protectors –Disable C: -RebootCount 1


    接著,重新開機裝置以繼續BitLocker保護。

    附注請勿在沒有BitLocker重新開機裝置的情況下啟用保護,因為這樣做會導致BitLocker復原。

  • 在啟用認證防護的裝置上,更新期間可能會多次重新開機,BitLocker暫停。 從系統管理員命令提示符執行下列命令,以暫停BitLocker重新開機 3 個週期。 Manage-bde –保護器 –停用 C:-RebootCount 3

    此更新預期會重新開機系統兩次。 再次重新開機裝置,以繼續BitLocker保護。

    附註: 請勿在沒有BitLocker重新開機的情況下啟用保護,因為這樣做會導致BitLocker復原。

如果已在環境中啟用群組原則BitLocker群組原則設定衝突,您可能會輸入 bitlocker 復原BitLocker Bitlocker 復原。 由於下列任何群組原則設定,可以觸發 Bitlocker 復原:

如果已應用此更新,且裝置尚未重新開機,請暫停BitLocker並遵循下列步驟後重新開機:

  • 如果已透過群組原則設定明確的PCR設定,或原則設定為不允許使用安全啟動進行完整性驗證,請暫停並BitLocker清除 GP 衝突。

  • 如果啟動期間需要額外的驗證策略已配置為需要 TPM 和 PIN,請從系統管理命令提示符執行下列命令,並輸入所需的PIN:manage-bde -保護程式 -add c:-TPMAndPin

  • 如果啟動期間需要額外驗證,則執行下列命令以建立啟動金鑰:manage-bde -保護程式 -add c:-tpm 和startupkey <外部金鑰目錄>

  • 如果啟動期間需要額外驗證的策略已配置為需要啟動鍵和釘釘,請從系統管理命令提示執行下列命令,以建立 Pin 和啟動鍵。 當系統提示時,輸入所需的PIN:manage-bde -保護程式 -add c:-tpmanDPInandstartupkey <外部金鑰目錄>

此更新可能無法安裝在具有未簽署、非 Microsoft bootx64.efi 啟動管理員檔案的裝置上。  此更新可能透過更新提供或重新Windows更新,但可能不會安裝。  當您嘗試手動安裝此更新時,您可能會收到一則錯誤,顯示 KB4565680「未安裝某些更新」。  您也可以檢查 %systemroot%\log\cbs 中的 CBS 記錄檔案,以檢查下列錯誤: 

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp (277) :錯誤 TRUST_E_NOSIGNATURE 源自函數 Windows::WCP::SecureBoot::BasicInstaller::Install expression:ApplySecureBootUpdate ( dwAvailableUpdates)

我們正在研究解決方案,並估計解決方案將在 3 月底提供 Windows 10、版本 1909、Windows 10、版本 2004 和 Windows 10 版本 20H2。  其餘的支援版本Windows預計于 4 月中提供解決方案。

如需解決方案發行前的其他指引,請與您的裝置製造商聯繫, (OEM) 。

如何取得此更新

方法 1:Windows Update 

您可以透過 Windows Update 取得此更新。 此更新將自動下載並安裝。  

方法 2:Microsoft Update Catalog 

若要取得此更新的獨立的套件,請前往 Microsoft Update目錄網站。

方法 3:Windows Server Update Services

此更新也會透過 Windows Server Update Services (WSUS) 提供。

先決條件

請確定您已安裝最新的維護堆疊更新 (SSU) 更新。 有關作業系統最新 SSU 的資訊,請參閱ADV990001 |最新的維護堆疊更新

重新啟動資訊 

當您申請此更新時,您的裝置不需要重新開機。 如果您已啟用Windows Defender Credential Guard (虛擬安全模式) ,您的裝置將會重新開機兩次。

更新取代資訊 

此更新不會取代任何先前發行的更新。

檔案資訊

Windows 10版本 1909 

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

66C7276B01FC94651BF0D63C969D42A8D229233D

F842005F83043E8C322E1CA5A01C5A7DC8EB0C316B3918750CE5A611DC9F

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

File name

File size

日期

時間

Dbupdate.bin

46

2019 年 9 月 23 日

23:13

Dbxupdate.bin

1,368

2019 年 9 月 23 日

23:13

Dbupdate.bin

46

2019 年 9 月 23 日

23:13

Dbxupdate.bin

2,840

2019 年 9 月 23 日

23:13

Tpmtasks.dll

3,339

2019 年 9 月 23 日

23:13

Tpmtasks.dll

2,892

2019 年 9 月 23 日

23:13

Windows 10版本 1809 和 Windows Server 2019

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

4A6F51365ED7F4C9AD34986AA2F61005AF267E24

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

File name

File size

日期

時間

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

1,368

25-Sep-2019

01:14

Dbupdate.bin

46

25-Sep-2019

01:14

Dbxupdate.bin

2,840

25-Sep-2019

01:14

Tpmtasks.dll

1,998

25-Sep-2019

01:14

Tpmtasks.dll

1,568

25-Sep-2019

01:14

Windows 10版本 1803

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

24C59946A58755DD26DA81F248895D224066D5F7

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

3

2017 年 10 月 30 日

01:01

Dbxupdate.bin

不適用

7,361

2019 年 9 月 10 日

01:21

Tpmtasks.dll

10.0.17134.1060

51,712

2019 年 9 月 10 日

03:55

Windows 10版本 1607 和 Windows Server 2016

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows10.0-KB4535680-x64.msu

980ED67D1AAEEB5BB8A6B79E68438BD402865443

93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。 

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

2

03-Sep-2019

22:05

Dbxupdate.bin

不適用

7,361

2019 年 9 月 12 日

01:01

Tpmtasks.dll

10.0.14393.3001

44,032

2019 年 9 月 16 日

05:04

Windows 8.1 和 Windows Server 2012 R2

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows8.1-KB4535680-x64.msu

1CD22F094D7465F7C88B958F0DFA9C7CB3304A44

EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

2

25-Sep-2019

04:21

Dbxupdate.bin

不適用

7,361

25-Sep-2019

04:21

Tpmtasks.dll

6.3.9600.19501

176,128

25-Sep-2019

06:30


Windows Server 2012

檔案名稱

SHA1 雜湊

SHA256 雜湊

Windows8-RT-KB4535680-x64.msu

B33D60C3A01588048F7EFEA16C275F282C811F56

78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。 

檔案名稱

檔案版本

檔案大小

日期

時間

Dbupdate.bin

不適用

2

2019 年 6 月 20 日

00:06

Dbxupdate.bin

不適用

7,361

2019 年 9 月 10 日

00:07

Tpmtasks.dll

6.2.9200.22884

95,232

25-Sep-2019

04:30

參考

了解 Microsoft 用來說明軟體更新的術語

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對語言品質的滿意度如何?
以下何者是您會在意的事項?

感謝您的意見反應!

×