在星期二的补丁程序中，Microsoft将推出更新程序，以解决安全启动漏洞CVE-2020-0689中的问题。KB4535680是一个安全补丁程序，它将已知的易受攻击的UEFI模块的签名添加到DBX以解决该漏洞。

您可以照常通过Microsoft更新目录中的自动更新来接收补丁。无需重新启动设备即可完成安装。

Windows 10的KB4535680将修复UEFI安全启动漏洞

此更新将支持以下版本–

• Windows 10 v1909 x64位

• Windows 10 v1809 x64位

• Windows 10 v1803 x64位

• Windows 10 v1607 x64位

• Windows Server 2019 x64位

• Windows Server 2016 x64位

• Windows 8.1 x64位

• Windows Server 2012 R2 x64位

• Windows Server 2012 x64位

安全修补程序改进了受支持的Windows版本的安全启动DBX。

关键变更

具有基于UEFI的固件的Windows设备可以在启用安全启动的情况下运行。安全启动禁止签名数据库(DBX)阻止加载UEFI模块。此更新将模块添加到DBX。

能够绕过安全功能的漏洞存在于安全启动中。成功利用此漏洞的入侵者可能会绕过安全启动并加载不受信任的软件。

此安全补丁通过将已知易受攻击的UEFI模块的签名添加到DBX来解决该漏洞。

已知的问题

问题 解决方法

某些原始设备制造商(OEM)固件可能不允许安装此更新。 要解决此问题，请联系您的固件OEM。

如果 启用了“为本地UEFI固件配置BitLocker组策略 配置TPM平台验证配置文件”并且通过策略选择了PCR7，则可能会导致在某些无法进行PCR7绑定的设备上需要BitLocker恢复密钥。

要查看PCR7绑定状态，请以管理权限运行Microsoft系统信息(Msinfo32.exe)工具。

重要说明 从默认平台验证配置文件更改会影响设备的安全性和可管理性。根据PCR的包含或排除，BitLocker对平台修改(恶意或授权)的敏感性会增加或降低。具体来说，在省略PCR7的情况下设置此策略将覆盖“ 允许安全启动以进行完整性验证” 组策略。这样可以防止BitLocker将安全启动用于平台或启动配置数据(BCD)完整性验证。设置此策略可能导致固件更新时BitLocker恢复。如果将此策略设置为包括PCR0，则必须在应用固件更新之前挂起BitLocker。

我们建议不要配置此策略，而是让Windows根据每个设备上的可用硬件来选择PCR配置文件，以实现安全性和可用性的最佳组合。 要变通解决此问题，请在部署此更新之前，根据凭据保护配置执行以下操作之一：

•在未启用凭据保护的设备上，从管理员命令提示符处运行以下命令以将BitLocker挂起1个重新启动周期：

Manage-bde –Protectors –Disable C：-RebootCount 1

然后，重新启动设备以恢复BitLocker保护。

注意： 请勿在未另外重启设备的情况下启用BitLocker保护，因为这将导致BitLocker恢复。

•在启用了Credential Guard的设备上，更新过程中可能会多次重启，需要暂停BitLocker。从管理员命令提示符处运行以下命令，以将BitLocker挂起3个重新启动周期。

Manage-bde –Protectors –Disable C：-RebootCount 3

预期此更新将重新启动系统两次。再次重新启动设备以恢复BitLocker保护。

注意： 请勿启用BitLocker保护，除非另外重启，否则将导致BitLocker恢复。

如何下载KB4535680并在支持的Windows版本上安装

1]通过Windows更新

1. 单击搜索图标，键入更新，然后按Enter。

2. 选择–检查更新。

2]从Microsoft更新目录

1. 转到KB4535680直接下载链接–

2. 下载正确的文件，然后双击该文件进行安装。