8 月 20 日消息,微软上周确认 KB5012170 更新会导致一些问题,主要表现为 Secure Boot DBX 安全更新无法安装。后续有更多用户反馈说这不是唯一的问题,还存在一些其他与 BitLocker 相关的 Bug。
大量用户在安装该更新后启动到 BitLocker 恢复界面。根据 The Register 以及微软论坛、Reddit 和 Twitter 上的一些用户反馈来看,Windows 11 会提示用户在 BitLocker 恢复界面上输入恢复密钥。目前还不知道其他版本的 Windows 是否也受到影响。
根据初步调查结果,这一问题不会影响存储的数据,这意味着用户可以通过输入存储在微软账户或活动目录中的密钥重新获得对 PC 的控制权。
除此之外,还有用户反馈称,在安装 KB5012170 后系统会将硬盘配置从 RAID 改为 AHCI。与 BitLocker 问题一样,用户可以将其系统改回 RAID 且不会丢失数据。不过目前,安全启动 DBX 问题仍是唯一公认的问题。
微软表示,KB5012170 更新了数据库 DBX,此前系统中存在一项安全功能漏洞,攻击者可以绕过安全启动并加载不受信任的软件。因此微软不得不阻止来自第三方的证书,所以这次更新很重要,至少微软认为用户不应该跳过,尽管有太多太多的 Bug。
Windows 团队现给出了一个临时解决方案来解决 BitLocker 问题。提醒,如果您不想暂停 BitLocker 功能,则需要耐心等待微软后续发布一个更新来修复该 Bug。
如果 BitLocker 组策略为本机 UEFI 固件配置启用了 TPM 平台验证配置文件,并且按策略选择了 PCR7,则可能会导致更新无法安装。
若要查看 PCR7 绑定状态,请运行具有管理权限的 Microsoft 系统信息 Msinfo32.exe) 工具。
若要解决此问题,请在部署此更新之前执行以下操作之一:
在未启用 Credential Gard 的设备上,从管理员命令提示符运行以下命令以暂停 BitLocker 以进行 1 次重启周期:Manage-bde –Protectors –Disable C: -RebootCount 1 然后,部署更新并重启设备以恢复 BitLocker 保护。
在启用了 Credential Guard 的设备上,从管理员命令提示符运行以下命令,以暂停 BitLocker 2 个重启周期:Manage-bde –Protectors –Disable C: -RebootCount 3 然后,部署更新并重启设备以恢复 BitLocker 保护。
注意:此问题仅影响安全启动 DBX 的安全更新 KB5012170),不会影响 2022 年 8 月 9 日发布的最新累积安全更新。
解决方法:如果您的设备提示您必须输入 BitLocker 密码才能启动 Windows。
如果您尚未安装 KB5012170 并且在您的设备上启用了 BitLocker,请按照以下说明在安装前暂时禁用 BitLocker。
如果您安装了 KB5012170 并且尚未重新启动您的设备,或者只重新启动了一次,请使用以下说明暂时覆盖 BitLocker。
重要提示:如果您在安装 KB5012170 后重新启动设备两次或更多次,则您的设备不会受到此问题的影响。
解决方案
要在部署 KB5012170 时暂时挂起 BitLocker 或避免 BitLocker 恢复,请执行以下步骤:
从管理员命令提示符处运行以下命令:
Manage-bde -protectors -disable%systemdrive% -rebootcount 2
如果尚未安装更新 KB5012170,请安装它。
重启设备。
重新启动设备。
BitLocker 应在两次启动后自动启用。
如果要手动恢复 BitLocker 以验证它是否已启用,请使用以下命令:
Manage bde -protectors -Enable%systemdrive%
后续步骤:我们正在研究解决方案,并将在下一个版本中提供更新。
受影响的平台:
客户端:Windows 11,版本 21H2
服务器:无
《微软承认 KB5012170 系统更新存在问题,涉及 Win8.1、Win10、Win11 等》