Windows 10 神州网信政府版(用于基于x64的系统)的安全更新(KB4535680)

服务支持

  • 首页   /  kb   /  
  • Windows 10 神州网信政府版(用于基于x64的系统)的安全更新(KB4535680)

Windows 10 神州网信政府版(用于基于x64的系统)的安全更新(KB4535680)

V2020-L

点此下载(205 KB)

哈希值(SHA 256)

E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372

改进及修补

  • 具有统一可扩展固件接口(UEFI)固件的 Windows 设备可以在启用安全启动时运行。 安全启动禁止签名数据库(.DBX)阻止加载 UEFI 模块。 此更新会将模块添加到 .DBX。 安全启动中存在一个安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会绕过安全启动和加载不受信任的软件。 此安全更新通过将已知易受攻击的 UEFI 模块的签名添加到 .DBX 来解决此漏洞。

先决条件

安装本补丁前,请确保已安装最新的服务堆栈更新 SSU(KB4598480

已知问题及解决办法

问题 解决方法
某些原始设备制造商(OEM)固件可能不允许安装此更新。 要解决此问题,请联系您的固件 OEM。
如果 BitLocker 组策略 配置用于本机 UEFI 固件配置的 TPM 平台验证配置文件已启用,并且策略选择了 PCR7,则可能会导致无法在某些设备上执行 bitlocker 恢复密钥,这些设备可能无法使用 PCR7 绑定。

若要查看 PCR7 绑定状态,请运行具有管理权限的 Microsoft System Information (Msinfo32)工具。

重要说明 从默认平台验证配置文件更改会影响设备的安全和可管理性。 根据 PCRs 的包含或排除,BitLocker 对平台修改(恶意或未经授权)的灵敏度将会增加或减少。 特别是,在省略 PCR7 的情况下设置此策略将替代 ” 允许完整性验证的安全启动 ” 组策略。 这将阻止 BitLocker 使用安全启动平台或启动配置数据(BCD)完整性验证。 设置此策略可能会在更新固件时导致 BitLocker 恢复。 如果将此策略设置为包括 PCR0,则必须先暂停 BitLocker,然后才能应用固件更新。 我们建议不要配置此策略,但要让 Windows 根据每台设备上的可用硬件,选择 PCR 配置文件以获得最佳安全和可用性组合。

 若要解决此问题,请在部署此更新之前根据凭据保护配置执行下列操作之一:

  • 在未启用凭据 Gard 的设备上,从管理员命令提示符处运行以下命令,以暂停 BitLocker 1 重启周期:

Manage-bde –Protectors –Disable C: -RebootCount 1

然后,重新启动设备以恢复 BitLocker 保护。 注意不要在不重新启动设备的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。

  • 在启用了 Credential Guard 的设备上,可能会在更新期间有多次重新启动,需要 BitLocker 暂停。 从管理员命令提示符运行以下命令,以便为3重启周期暂停 BitLocker。

Manage-bde –Protectors –Disable C: -RebootCount 3

此更新应重启系统两次。 再次重启设备以恢复 BitLocker 保护。

注意 不要在不重新启动的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。

用于CMOS-UE的更新

文件名 哈希值(SHA 256)
更新元文件 KB4535680.tar.gz AAB9164A3715B605DDA56D3270F267E9892EBD5DC642533F6A6EF9F7272D977F
更新内容文件 windows10.0-kb4535680-x64_bf60b4f375be3137e19d2095948f79e2d8336abe.cab 39E3BA9D225B370F946C63E2D036F2D7B2977E512B3D9AB6097B79B1D2813304

V0-H

点此下载(222.61 KB)

哈希值(SHA 256)

0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551

改进及修补

  • 具有统一可扩展固件接口(UEFI)固件的 Windows 设备可以在启用安全启动时运行。 安全启动禁止签名数据库(.DBX)阻止加载 UEFI 模块。 此更新会将模块添加到 .DBX。 安全启动中存在一个安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会绕过安全启动和加载不受信任的软件。 此安全更新通过将已知易受攻击的 UEFI 模块的签名添加到 .DBX 来解决此漏洞。

先决条件

安装本补丁前,请确保已安装最新的服务堆栈更新 SSU(KB4580398

已知问题及解决办法

症状 解决方法
某些原始设备制造商(OEM)固件可能不允许安装此更新。 要解决此问题,请联系您的固件 OEM。
如果 BitLocker 组策略 配置用于本机 UEFI 固件配置的 TPM 平台验证配置文件已启用,并且策略选择了 PCR7,则可能会导致无法在某些设备上执行 bitlocker 恢复密钥,这些设备可能无法使用 PCR7 绑定。

若要查看 PCR7 绑定状态,请运行具有管理权限的 Microsoft System Information (Msinfo32)工具。

重要说明 从默认平台验证配置文件更改会影响设备的安全和可管理性。 根据 PCRs 的包含或排除,BitLocker 对平台修改(恶意或未经授权)的灵敏度将会增加或减少。 特别是,在省略 PCR7 的情况下设置此策略将替代 ” 允许完整性验证的安全启动 ” 组策略。 这将阻止 BitLocker 使用安全启动平台或启动配置数据(BCD)完整性验证。 设置此策略可能会在更新固件时导致 BitLocker 恢复。 如果将此策略设置为包括 PCR0,则必须先暂停 BitLocker,然后才能应用固件更新。 我们建议不要配置此策略,但要让 Windows 根据每台设备上的可用硬件,选择 PCR 配置文件以获得最佳安全和可用性组合。

 若要解决此问题,请在部署此更新之前根据凭据保护配置执行下列操作之一:

  • 在未启用凭据 Gard 的设备上,从管理员命令提示符处运行以下命令,以暂停 BitLocker 1 重启周期:

Manage-bde –Protectors –Disable C: -RebootCount 1

然后,重新启动设备以恢复 BitLocker 保护。 注意不要在不重新启动设备的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。

  • 在启用了 Credential Guard 的设备上,可能会在更新期间有多次重新启动,需要 BitLocker 暂停。 从管理员命令提示符运行以下命令,以便为3重启周期暂停 BitLocker。

Manage-bde –Protectors –Disable C: -RebootCount 3

此更新应重启系统两次。 再次重启设备以恢复 BitLocker 保护。

注意 不要在不重新启动的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。

用于CMOS-UE的更新

文件名 哈希值(SHA 256)
更新元文件 KB4535680.tar.gz 631B949ED28A798511FD584DCF163A75E5310EB856B0C4AB4047967A5C6BB1CF
更新内容文件 windows10.0-kb4535680-x64_03861748217e9b12a239b461ff7238bdc4e4ab88.cab A6BA96839AAEE62E5004AA9878A1BB2B9E5DCD505AB4A8BC8DEC43F6853E84DB