本文主要介紹:在星期二的補(bǔ)丁程序中�����,Microsoft將推出更新程序�����,以解決安全啟動漏洞CVE-2020-0689中的問題。KB4535680是一個安全補(bǔ)丁程序���,它將已知的易受攻擊的UEFI模塊的簽名添加到DBX以
在星期二的補(bǔ)丁程序中�,Microsoft將推出更新程序��,以解決安全啟動漏洞CVE-2020-0689中的問題����。KB4535680是一個安全補(bǔ)丁程序�����,它將已知的易受攻擊的UEFI模塊的簽名添加到DBX以解決該漏洞����。
您可以照常通過Microsoft更新目錄中的自動更新來接收補(bǔ)丁。無需重新啟動設(shè)備即可完成安裝����。
Windows 10的KB4535680將修復(fù)UEFI安全啟動漏洞
此更新將支持以下版本–
• Windows 10 v1909 x64位
• Windows 10 v1809 x64位
• Windows 10 v1803 x64位
• Windows 10 v1607 x64位
• Windows Server 2019 x64位
• Windows Server 2016 x64位
• Windows 8.1 x64位
• Windows Server 2012 R2 x64位
• Windows Server 2012 x64位
安全修補(bǔ)程序改進(jìn)了受支持的Windows版本的安全啟動DBX。
關(guān)鍵變更
具有基于UEFI的固件的Windows設(shè)備可以在啟用安全啟動的情況下運(yùn)行����。安全啟動禁止簽名數(shù)據(jù)庫(DBX)阻止加載UEFI模塊。此更新將模塊添加到DBX。
能夠繞過安全功能的漏洞存在于安全啟動中����。成功利用此漏洞的入侵者可能會繞過安全啟動并加載不受信任的軟件。
此安全補(bǔ)丁通過將已知易受攻擊的UEFI模塊的簽名添加到DBX來解決該漏洞�。
已知的問題
問題 解決方法
某些原始設(shè)備制造商(OEM)固件可能不允許安裝此更新。 要解決此問題���,請聯(lián)系您的固件OEM�����。
如果 啟用了“為本地UEFI固件配置BitLocker組策略 配置TPM平臺驗(yàn)證配置文件”并且通過策略選擇了PCR7����,則可能會導(dǎo)致在某些無法進(jìn)行PCR7綁定的設(shè)備上需要BitLocker恢復(fù)密鑰�。
要查看PCR7綁定狀態(tài),請以管理權(quán)限運(yùn)行Microsoft系統(tǒng)信息(Msinfo32.exe)工具��。
重要說明 從默認(rèn)平臺驗(yàn)證配置文件更改會影響設(shè)備的安全性和可管理性���。根據(jù)PCR的包含或排除���,BitLocker對平臺修改(惡意或授權(quán))的敏感性會增加或降低�。具體來說�,在省略PCR7的情況下設(shè)置此策略將覆蓋“ 允許安全啟動以進(jìn)行完整性驗(yàn)證” 組策略。這樣可以防止BitLocker將安全啟動用于平臺或啟動配置數(shù)據(jù)(BCD)完整性驗(yàn)證�。設(shè)置此策略可能導(dǎo)致固件更新時BitLocker恢復(fù)。如果將此策略設(shè)置為包括PCR0���,則必須在應(yīng)用固件更新之前掛起B(yǎng)itLocker�����。
我們建議不要配置此策略,而是讓W(xué)indows根據(jù)每個設(shè)備上的可用硬件來選擇PCR配置文件��,以實(shí)現(xiàn)安全性和可用性的最佳組合����。 要變通解決此問題,請?jiān)诓渴鸫烁轮?��,根?jù)憑據(jù)保護(hù)配置執(zhí)行以下操作之一:
•在未啟用憑據(jù)保護(hù)的設(shè)備上�����,從管理員命令提示符處運(yùn)行以下命令以將BitLocker掛起1個重新啟動周期:
Manage-bde –Protectors –Disable C:-RebootCount 1
然后�,重新啟動設(shè)備以恢復(fù)BitLocker保護(hù)。
注意: 請勿在未另外重啟設(shè)備的情況下啟用BitLocker保護(hù)��,因?yàn)檫@將導(dǎo)致BitLocker恢復(fù)����。
•在啟用了Credential Guard的設(shè)備上,更新過程中可能會多次重啟�����,需要暫停BitLocker����。從管理員命令提示符處運(yùn)行以下命令,以將BitLocker掛起3個重新啟動周期��。
Manage-bde –Protectors –Disable C:-RebootCount 3
預(yù)期此更新將重新啟動系統(tǒng)兩次��。再次重新啟動設(shè)備以恢復(fù)BitLocker保護(hù)��。
注意: 請勿啟用BitLocker保護(hù)��,除非另外重啟�����,否則將導(dǎo)致BitLocker恢復(fù)。
如何下載KB4535680并在支持的Windows版本上安裝
1]通過Windows更新
1. 單擊搜索圖標(biāo)����,鍵入更新,然后按Enter���。
2. 選擇–檢查更新�����。
2]從Microsoft更新目錄
1. 轉(zhuǎn)到KB4535680直接下載鏈接–
2. 下載正確的文件�,然后雙擊該文件進(jìn)行安裝�����。
