Патч KB4535680 для Windows 10 отметился новым багом — вызывает BitLocker
Microsoft признала наличие проблемы, с которой столкнулись пользователи Windows 10, установившие обновление безопасности под идентификатором KB4535680. Оказалось, что проблемный патч активирует режим восстановления BitLocker.
Изначально разработчики выпустили KB4535680, чтобы устранить уязвимость, позволяющую обойти защитную функцию Secure Boot. Напомним, что Secure Boot блокирует недоверенные загрузчики операционной системы на компьютерах с прошивкой Unified Extensible Firmware Interface (UEFI) и чипом Trusted Platform Module (TPM).
В сущности, этот механизм призван противостоять руткитам, которые пытаются загрузиться одновременно с операционной системой. При этом патч KB4535680 актуален для многих версий ОС: Windows 10 (с 1607 по 1909), Windows 8.1, Windows Server 2012 R2 и Windows Server 2012.
Однако после установки этого апдейта затронутые версии Windows запрашивали ключ восстановления BitLocker после очередной перезагрузки устройства. BitLocker впервые появился в Windows Vista, с тех пор он поставляется с каждой версией ОС и позволяет полностью зашифровать диск. Функция использует алгоритм XTS-AES.
Microsoft уже признала наличие нового бага и даже опубликовала инструкцию, которая поможет затронутым пользователям найти ключ восстановления. Также дополнительную информацию по устранению проблемы и подробности бага можно найти в этой статье.
Читайте также
Компания R-Vision представила новую версию аналитической платформы кибербезопасности R-Vision SENSE — 1.5. От коммерческого релиза, вышедшего в мае, ее отличает ряд новых возможностей, в частности, способность дообучаться и переобучаться для своевременной актуализации шаблонов поведения.
Пользователь теперь может настраивать интервалы автоматического дообучения, исходя из условий конкретной инфраструктуры. Это позволит, по словам разработчиков, сократить задержки в передаче новых сведений экспертам и уменьшить количество повторяющихся ложноположительных аномалий.
Более того, новая возможность позволяет регулировать периодичность сброса устаревшего контекста по объектам наблюдения, а также избавиться от эффекта накопления полномочий в таких случаях, как смена ролей сотрудника в компании.
Другие нововведения в R-Vision SENSE :
Также разработчики расширили функциональность работы с дашбордами, оптимизировали процесс работы с агрегированной сущностью «Пользователь» и улучшили таймлайн. В карточке пользователей появилась история изменений — все обновления объекта теперь отражаются в отдельной вкладке.
«В новой версии R-Vision SENSE нам удалось автоматизировать большой блок работы пользователя с системой, в частности, с инструментами поведенческого анализа, — комментирует Виктор Никуличев, менеджер продукта R-Vision SENSE. — Как результат, с конечного пользователя снялась нагрузка о принятии решения и организации процессов дообучения или переобучения — мы адаптировали систему к самостоятельному обучению. Кроме того, такой процесс позволяет адекватно и своевременно реагировать на изменения инфраструктуры, что является основой поведенческого анализа. Следующими шагами для улучшения будут расширение аналитических способностей платформы — простых правил и экспертов, а также функциональных возможностей для пользователя, в том числе по работе с аналитическими инструментами и ретроспективному анализу».
question
Just checking in to see if the information provided was helpful.
If the reply helped you, please remember to accept as answer.
If no, please reply and tell us the current situation in order to provide further help.
We have not get information from you for several days.
If the reply is useful for you, please accept as answer. It will be helpful to other members who have same questions.
If you have any other confuse, please reply to us directly
5 Answers
See if this fix helps you:
Note: Included link in this reply refers to blog post by a trusted Microsoft MVP.
@OmarRodriguez-5397
Hi,
Error 0x800f0922 also means that you have less than 500 MB in system reserved partition.
You can try any third party partition tool and use its resize feature to extend the system reserved partition space to fix error 0x800F0922 in Windows 10 update.
https://www.partitionwizard.com/partitionmagic/0x800f0922-windows-10.html
Please note: Information posted in the given link is hosted by a third party. Microsoft does not guarantee the accuracy and effectiveness of information.
Hope above information can help you.
============================================
If the Answer is helpful, please click «Accept Answer» and upvote it.
Note: Please follow the steps in our documentation to enable e-mail notifications if you want to receive the related email notification for this thread.
KB4535680: обновление системы безопасности для безопасной загрузки DBX: 12 января 2021 г.
Относится к
Это обновление для системы безопасности относится только к следующим версиям Windows:
64-битная версия Windows Server 2012
64-битная версия Windows Server 2012 R2
64-битная версия Windows Server 2016
64-битная версия Windows Server 2019
Windows 10 версии 1607 x64-bit
Windows 10 версии 1803 x64-бит
Windows 10 версии 1809 x64-bit
Windows 10 версии 1909 x64-bit
Аннотация
Это обновление для системы безопасности вносит улучшения в DBX secure Boot DBX для поддерживаемых версий Windows, перечисленных в разделе «Применяется к». К основным изменениям относятся следующие:
Устройства с Windows с единым extensible Firmware Interface (UEFI) могут запускаться с включенной безопасной загрузкой. DBX предотвращает загрузку модулей UEFI. Это обновление добавит модули в DBX.
При безопасном загрузке есть функция безопасности, минуя уязвимость. Злоумышленник, который успешно использовал эту уязвимость, может обойти безопасный загрузку и загрузить неподтверченное программное обеспечение.
Это обновление для системы безопасности позволяет решить эту уязвимость, добавив в нее подписи известных уязвимых модулей UEFI.
Дополнительные информацию об этой уязвимости безопасности см. в | Обход уязвимости функции безопасности загрузки Майкрософт.
Известные проблемы
Некоторые изготовители оборудования (OEM) могут не допускает установки этого обновления.
Чтобы устранить эту проблему, обратитесь к OEM-данной программы.
Если политика bitLocker Group Policy configure TPM platform validation profile for native UEFI firmware configurations is enabled and PCR7 is selected by policy, it may result in the BitLocker recovery key required on some devices where PCR7 binding is not possible.
Чтобы просмотреть состояние привязки PCR7, запустите средство Microsoft System Information (Msinfo32.exe) с разрешениями администратора.
Чтобы решить эту проблему, перед развертыванием этого обновления сделайте одно из следующего на основе конфигурации credential guard:
На устройстве, на которое не включено устройство Credential Gard, запустите следующую команду из командной команды администратора, чтобы приостановить BitLocker на 1 цикл перезагрузки:
Затем перезапустите устройство, чтобы возобновить защиту BitLocker.
Примечание Не взимите защиту BitLocker без перезапуска устройства, так как это приведет к восстановлению BitLocker.
Ожидается, что это обновление перезапустится два раза. Снова перезапустите устройство, чтобы возобновить защиту BitLocker.
Примечание. Не в включаете защиту BitLocker без ее перезапуска, так как это приведет к восстановлению BitLocker.
Восстановление BitLocker можно ввести, если после включения BitLocker в среде настроены конфликтующие параметры групповой политики BitLocker. Восстановление BitLocker может быть активно в связи с одним из параметров групповой политики, которые параметров ниже:
Принудительное принудительное настройка привязки PCR, которая отличается от уже выбранных в BitLocker.
Настройка GP»Разрешитьбезопасную загрузку для проверки целостности данных» для блокировки безопасного загрузки для проверки целостности данных, но BitLocker уже использует безопасную загрузку (PCR7).
Настройка групповой политики так, чтобы требовать дополнительную проверку подлинности во время запуска, но перед развертыванием групповой политики настроен BitLocker.
Если это обновление уже было применено и устройство не было перезапущено, приостановите BitLocker и перезапустите его после следующих действий:
Если явная конфигурация PCR настроена с помощью групповой политики или политика настроена на блокировку с помощью безопасного загрузки для проверки целостности данных, приостановка и возобновление BitLocker для очистки конфликтов GP.
Это обновление может не устанавливаться на устройствах с неподписаным файлом загрузки (не microsoft bootx64.efi). Это обновление может быть предложено и повторно обновлено через Windows Update, но не установить. При попытке установить это обновление вручную может возникнуть ошибка «Некоторые обновления не установлены» со списком KB4565680. Вы также можете проверить файл журнала CBS в папке %systemroot%\logs\cbs на следующее сообщение об ошибке:
onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): ошибка TRUST_E_NOSIGNATURE возникла в функции Windows:WCP::SecureBoot::BasicInstaller:Install expression: ApplySecureBootUpdate( dwAvailableUpdates)
Мы работаем над решением и оцениваем, что решение будет доступно для Windows 10 версии 1909, Windows 10, версии 2004 и Windows 10 версии 20H2 в конце марта. Остальные поддерживаемые версии Windows должны быть доступны в середине апреля.
Для получения дополнительных инструкций перед выпуском разрешения обратитесь к изготовителю устройства (OEM).
Как получить это обновление
Способ 1. Обновление Windows
Это обновление доступно в Обновлении Windows. Он будет скачит и установлен автоматически.
Способ 2. Каталог обновлений Майкрософт
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.
Способ 3: cлужбы Windows Server Update Services
Это обновление также доступно в cлужбы Windows Server Update Services (WSUS).
Предварительные условия
Убедитесь, что установлено последнее обновление стеком обслуживания (SSU). Сведения о последних SSU для вашей операционной системы см. в | Последние обновления стеком обслуживания.
Необходимость перезагрузки
Вашему устройству не нужно перезапускать устройство при применении этого обновления. Если у вас Защитник Windows Credential Guard (виртуальный безопасный режим), устройство будет перезапущено два раза.
Сведения о замене обновлений
Это обновление не заменяет ни одного из ранее выпущенных обновлений.
Пользователи Windows 7 должны установить патчи KB4474419 и KB4490628, чтобы получать обновления
Ранее все обновления доставлялись с помощью SHA-1 и SHA-2. Алгоритм хеширования SHA-1 имеет ряд известных недостатков, и Microsoft планирует отказаться от SHA-1 и полностью перейти на улучшенный алгоритм SHA-2 в сентябре 2019 года.
Хотя данное изменение не представляет какой-либо проблемы для Windows 8.1, Windows 10 и соответствующих им серверных версий, этого нельзя сказать о Windows 7 и Windows Server 2008. Причина проста: обновления SHA-2 не поддерживаются в данных операционных системах.
Любое обновление, которое поставляется исключительно в SHA-2 версии и подписано только с помощью SHA-2, невозможно верифицировать на устройствах Windows 7 или Windows Server 2008. Это означает, что такие обновления не будут устанавливаться на устройствах под управлением данных версий Windows, пока не будет установлен патч для обновлений SHA-2.
Microsoft опубликовала график событий, связанных с переходом на SHA-2, на странице поддержки:
| Целевая дата | Событие | Применяется для |
|---|---|---|
| 12 марта, 2019 | В качестве обновлений безопасности выпущены патчи KB4474419 и KB4490628, которые добавляют поддержку SHA-2. | Windows 7 SP1, Windows Server 2008 R2 SP1 |
| 12 марта, 2019 | Для WSUS 3.0 с пакетом обновления SP2 выпущен патч KB4484071, который добавляет поддержку доставки обновлений, подписанных с помощью SHA-2. Для тех пользователей, которые используют WSUS 3.0 SP2, этот патч должен быть установлен не позднее 18 июня 2019 года. | WSUS 3.0 SP2 |
| 9 апреля, 2019 | В качестве обновления безопасности выпущены патч KB4493730, в котором добавлена поддержка SHA-2 для служебного стека (SSU). | Windows Server 2008 SP2 |
| 18 июня, 2019 | Цифровые подписи обновлений Windows 10 будут изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не потребуется. | Windows 10 1709, Windows 10 1803, Windows 10 1809, Windows Server 2019 |
| 18 июня, 2019 | Обязательно: для клиентов, использующих WSUS 3.0 SP2, патч поддержки SHA-2 KB4484071 должен быть установлен к этой дате. | WSUS 3.0 SP2 |
| 16 июля, 2019 | Обязательно: Для обновления устаревших версий Windows потребуется установить патчи поддержки SHA-2. Установка патчей поддержки, выпущеных в марте и апреле, потребуется для продолжения получения обновлений для этих версий Windows. | Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2 |
| 16 июля, 2019 | Цифровые подписи обновлений Windows 10 изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не требуется. | Windows 10 1507, Windows 10 1607, Windows 10 1703 |
| 13 августа, 2019 | Содержимое обновлений для старых версий Windows подписано SHA-2 (встроенные подписанные двоичные файлы и каталоги). Никаких действий со стороны клиента не требуется. | Windows 7 SP1, Windows Server 2008 R2 SP1 |
| 10 сентября, 2019 | Устаревшие цифровые подписи обновлений Windows будут изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не потребуется. | Windows Server 2012, Windows 8.1, Windows Server 2012 R2 |
Обновления, выпущенные до 12 июня 2019 года, по-прежнему будут доступны в виде SHA-1 версий, в противном случае произошла бы полная блокировка получения каких-либо обновлений.
Устройства, на которых не установлен патч SHA-2, перестанут получать обновления, начиная с 16 июля 2019 года до тех пор, пока патч не будет установлен в системе.
В целях обеспечения безопасности, обновления операционной системы Windows в настоящее время имеют двойную подпись с использованием алгоритмов хеширования SHA-1 и SHA-2. Проверка подлинности позволяет убедиться, что обновления поставляются непосредственно от корпорации Майкрософт и не были подменены во время доставки. Из-за ряда недостатков алгоритма SHA-1 и необходимости соответствия современным отраслевым стандартам Microsoft станет подписывать обновления Windows, исключительно с помощью более безопасного алгоритма SHA-2.
Профиль | Отправить PM | Цитировать