在星期二的補丁程序中，Microsoft將推出更新程序，以解決安全啟動漏洞CVE-2020-0689中的問題。KB4535680是一個安全補丁程序，它將已知的易受攻擊的UEFI模塊的簽名添加到DBX以解決該漏洞。

您可以照常通過Microsoft更新目錄中的自動更新來接收補丁。無需重新啟動設(shè)備即可完成安裝。

Windows 10的KB4535680將修復UEFI安全啟動漏洞

此更新將支持以下版本–

• Windows 10 v1909 x64位

• Windows 10 v1809 x64位

• Windows 10 v1803 x64位

• Windows 10 v1607 x64位

• Windows Server 2019 x64位

• Windows Server 2016 x64位

• Windows 8.1 x64位

• Windows Server 2012 R2 x64位

• Windows Server 2012 x64位

安全修補程序改進了受支持的Windows版本的安全啟動DBX。

關(guān)鍵變更

具有基于UEFI的固件的Windows設(shè)備可以在啟用安全啟動的情況下運行。安全啟動禁止簽名數(shù)據(jù)庫(DBX)阻止加載UEFI模塊。此更新將模塊添加到DBX。

能夠繞過安全功能的漏洞存在于安全啟動中。成功利用此漏洞的入侵者可能會繞過安全啟動并加載不受信任的軟件。

此安全補丁通過將已知易受攻擊的UEFI模塊的簽名添加到DBX來解決該漏洞。

已知的問題

問題 解決方法

某些原始設(shè)備制造商(OEM)固件可能不允許安裝此更新。 要解決此問題，請聯(lián)系您的固件OEM。

如果 啟用了“為本地UEFI固件配置BitLocker組策略 配置TPM平臺驗證配置文件”并且通過策略選擇了PCR7，則可能會導致在某些無法進行PCR7綁定的設(shè)備上需要BitLocker恢復密鑰。

要查看PCR7綁定狀態(tài)，請以管理權(quán)限運行Microsoft系統(tǒng)信息(Msinfo32.exe)工具。

重要說明 從默認平臺驗證配置文件更改會影響設(shè)備的安全性和可管理性。根據(jù)PCR的包含或排除，BitLocker對平臺修改(惡意或授權(quán))的敏感性會增加或降低。具體來說，在省略PCR7的情況下設(shè)置此策略將覆蓋“ 允許安全啟動以進行完整性驗證” 組策略。這樣可以防止BitLocker將安全啟動用于平臺或啟動配置數(shù)據(jù)(BCD)完整性驗證。設(shè)置此策略可能導致固件更新時BitLocker恢復。如果將此策略設(shè)置為包括PCR0，則必須在應(yīng)用固件更新之前掛起B(yǎng)itLocker。

我們建議不要配置此策略，而是讓Windows根據(jù)每個設(shè)備上的可用硬件來選擇PCR配置文件，以實現(xiàn)安全性和可用性的最佳組合。 要變通解決此問題，請在部署此更新之前，根據(jù)憑據(jù)保護配置執(zhí)行以下操作之一：

•在未啟用憑據(jù)保護的設(shè)備上，從管理員命令提示符處運行以下命令以將BitLocker掛起1個重新啟動周期：

Manage-bde –Protectors –Disable C：-RebootCount 1

然后，重新啟動設(shè)備以恢復BitLocker保護。

注意： 請勿在未另外重啟設(shè)備的情況下啟用BitLocker保護，因為這將導致BitLocker恢復。

•在啟用了Credential Guard的設(shè)備上，更新過程中可能會多次重啟，需要暫停BitLocker。從管理員命令提示符處運行以下命令，以將BitLocker掛起3個重新啟動周期。

Manage-bde –Protectors –Disable C：-RebootCount 3

預期此更新將重新啟動系統(tǒng)兩次。再次重新啟動設(shè)備以恢復BitLocker保護。

注意： 請勿啟用BitLocker保護，除非另外重啟，否則將導致BitLocker恢復。

如何下載KB4535680并在支持的Windows版本上安裝

1]通過Windows更新

1. 單擊搜索圖標，鍵入更新，然后按Enter。

2. 選擇–檢查更新。

2]從Microsoft更新目錄

1. 轉(zhuǎn)到KB4535680直接下載鏈接–

2. 下載正確的文件，然后雙擊該文件進行安裝。