Windows 10 神州网信政府版(用于基于x64的系统)的安全更新(KB4535680)
V2020-L
哈希值(SHA 256)
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372
改进及修补
- 具有统一可扩展固件接口(UEFI)固件的 Windows 设备可以在启用安全启动时运行。 安全启动禁止签名数据库(.DBX)阻止加载 UEFI 模块。 此更新会将模块添加到 .DBX。 安全启动中存在一个安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会绕过安全启动和加载不受信任的软件。 此安全更新通过将已知易受攻击的 UEFI 模块的签名添加到 .DBX 来解决此漏洞。
先决条件
安装本补丁前,请确保已安装最新的服务堆栈更新 SSU(KB4598480)
已知问题及解决办法
问题 | 解决方法 |
某些原始设备制造商(OEM)固件可能不允许安装此更新。 | 要解决此问题,请联系您的固件 OEM。 |
如果 BitLocker 组策略 配置用于本机 UEFI 固件配置的 TPM 平台验证配置文件已启用,并且策略选择了 PCR7,则可能会导致无法在某些设备上执行 bitlocker 恢复密钥,这些设备可能无法使用 PCR7 绑定。
若要查看 PCR7 绑定状态,请运行具有管理权限的 Microsoft System Information (Msinfo32)工具。 重要说明 从默认平台验证配置文件更改会影响设备的安全和可管理性。 根据 PCRs 的包含或排除,BitLocker 对平台修改(恶意或未经授权)的灵敏度将会增加或减少。 特别是,在省略 PCR7 的情况下设置此策略将替代 ” 允许完整性验证的安全启动 ” 组策略。 这将阻止 BitLocker 使用安全启动平台或启动配置数据(BCD)完整性验证。 设置此策略可能会在更新固件时导致 BitLocker 恢复。 如果将此策略设置为包括 PCR0,则必须先暂停 BitLocker,然后才能应用固件更新。 我们建议不要配置此策略,但要让 Windows 根据每台设备上的可用硬件,选择 PCR 配置文件以获得最佳安全和可用性组合。 |
若要解决此问题,请在部署此更新之前根据凭据保护配置执行下列操作之一:
Manage-bde –Protectors –Disable C: -RebootCount 1 然后,重新启动设备以恢复 BitLocker 保护。 注意不要在不重新启动设备的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。
Manage-bde –Protectors –Disable C: -RebootCount 3 此更新应重启系统两次。 再次重启设备以恢复 BitLocker 保护。 注意 不要在不重新启动的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。 |
用于CMOS-UE的更新
文件名 | 哈希值(SHA 256) | |
更新元文件 | KB4535680.tar.gz | AAB9164A3715B605DDA56D3270F267E9892EBD5DC642533F6A6EF9F7272D977F |
更新内容文件 | windows10.0-kb4535680-x64_bf60b4f375be3137e19d2095948f79e2d8336abe.cab | 39E3BA9D225B370F946C63E2D036F2D7B2977E512B3D9AB6097B79B1D2813304 |
V0-H
哈希值(SHA 256)
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551
改进及修补
- 具有统一可扩展固件接口(UEFI)固件的 Windows 设备可以在启用安全启动时运行。 安全启动禁止签名数据库(.DBX)阻止加载 UEFI 模块。 此更新会将模块添加到 .DBX。 安全启动中存在一个安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会绕过安全启动和加载不受信任的软件。 此安全更新通过将已知易受攻击的 UEFI 模块的签名添加到 .DBX 来解决此漏洞。
先决条件
安装本补丁前,请确保已安装最新的服务堆栈更新 SSU(KB4580398)
已知问题及解决办法
症状 | 解决方法 |
某些原始设备制造商(OEM)固件可能不允许安装此更新。 | 要解决此问题,请联系您的固件 OEM。 |
如果 BitLocker 组策略 配置用于本机 UEFI 固件配置的 TPM 平台验证配置文件已启用,并且策略选择了 PCR7,则可能会导致无法在某些设备上执行 bitlocker 恢复密钥,这些设备可能无法使用 PCR7 绑定。
若要查看 PCR7 绑定状态,请运行具有管理权限的 Microsoft System Information (Msinfo32)工具。 重要说明 从默认平台验证配置文件更改会影响设备的安全和可管理性。 根据 PCRs 的包含或排除,BitLocker 对平台修改(恶意或未经授权)的灵敏度将会增加或减少。 特别是,在省略 PCR7 的情况下设置此策略将替代 ” 允许完整性验证的安全启动 ” 组策略。 这将阻止 BitLocker 使用安全启动平台或启动配置数据(BCD)完整性验证。 设置此策略可能会在更新固件时导致 BitLocker 恢复。 如果将此策略设置为包括 PCR0,则必须先暂停 BitLocker,然后才能应用固件更新。 我们建议不要配置此策略,但要让 Windows 根据每台设备上的可用硬件,选择 PCR 配置文件以获得最佳安全和可用性组合。 |
若要解决此问题,请在部署此更新之前根据凭据保护配置执行下列操作之一:
Manage-bde –Protectors –Disable C: -RebootCount 1 然后,重新启动设备以恢复 BitLocker 保护。 注意不要在不重新启动设备的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。
Manage-bde –Protectors –Disable C: -RebootCount 3 此更新应重启系统两次。 再次重启设备以恢复 BitLocker 保护。 注意 不要在不重新启动的情况下启用 BitLocker 保护,因为它会导致 BitLocker 恢复。 |
用于CMOS-UE的更新
文件名 | 哈希值(SHA 256) | |
更新元文件 | KB4535680.tar.gz | 631B949ED28A798511FD584DCF163A75E5310EB856B0C4AB4047967A5C6BB1CF |
更新内容文件 | windows10.0-kb4535680-x64_03861748217e9b12a239b461ff7238bdc4e4ab88.cab | A6BA96839AAEE62E5004AA9878A1BB2B9E5DCD505AB4A8BC8DEC43F6853E84DB |