(资料图)

我还没准备好对1月12日发布的安全补丁进行一目了然，我想警告您有关一个会影响HyperV服务器和某些消费者级别工作站的特定更新。

KB4535680，也称为安全启动DBX的安全更新：2021年1月12日，针对许多受支持的Windows版本对Secure Boot DBX进行了改进。其中包括Windows Server 2012 x64位; Windows Server 2012 x64位。Windows Server 2012 R2 x64位; Windows 8.1 x64位; Windows Server 2016 x64位; Windows Server 2019 x64位; Windows 10版本1607 x64位; Windows 10; 版本1803 x64位; Windows 10版本1809 x64位; 和Windows 10版本1909 x64位。关键更改会影响“具有[可]在可启用安全启动的情况下运行的，基于[具有]基于统一可扩展固件接口(UEFI)的固件的Windows设备。” 安全启动禁止签名数据库(DBX)可以防止恶意UEFI模块的加载;此更新添加了其他模块，以阻止可能成功利用此漏洞，绕过安全启动并加载不受信任的软件的恶意攻击者。

补丁说明指出：“如果启用了Windows Defender Credential Guard(虚拟安全模式)，则设备将重新启动两次。” 虽然这听起来不是一个已知的问题，但是我发现拥有启用HyperV的服务器会影响我的虚拟机的完整性。在我的情况下，重新引导主机服务器两次会触发虚拟机 进入保存状态。

通常，在修补HyperV主机服务器时，通常让底层的托管虚拟机“做自己的事”。当HyperV主机重新引导时，默认情况下可以将虚拟机设置为重新联机;否则，可以将虚拟机重新设置为联机。系统将暂时暂停Hyper V Management服务器，重新启动主机，并在重新启动后重新启动虚拟机。重新启动主机服务器时，让虚拟机保持运行对我来说是正常的。在这种情况下，当HyperV主机重新启动时，虚拟机不会恢复到运行状态。我不得不第三次重新启动HyperV主机，将其完全关闭，然后手动将其重新打开，以使我的虚拟机重新启动并运行。

如果在HyperV服务器上安装此更新，请计划首先手动关闭虚拟机。这样可确保在安装补丁之前，虚拟机将处于稳定状态并已停止。

从历史上看，这些DBX更新的表现不佳-即使在基于消费者的计算机上也是如此。过去的更新触发了未安装最新BIOS更新的HP系统中的问题。惠普在2020年2月发布的文档中详细说明了该问题。(HP和Microsoft都指出“如果系统上未安装最新的受支持的BIOS，则可能会阻止Windows 2004安装，Windows 2004更新或KB4524244或KB4535680更新。”)

那么，什么是极客甚至是非极客呢?请记住，如果您是使用诸如WSUS之类的工具来允许您控制和批准更新的企业修补程序，则应在将其安装到HyperV服务器上之前仔细评估KB4535680。如果您出于安全考虑而需要部署它，建议您在继续操作之前手动停止HyperV服务器上的任何虚拟机。