微軟給出 Win11 Bitlocker 問題解決方案，后續(xù)將推送更新修復(fù)

IT之家 8 月 20 日消息，微軟上周確認(rèn) KB5012170 更新會(huì)導(dǎo)致一些問題，主要表現(xiàn)為 Secure Boot DBX 安全更新無法安裝。后續(xù)有更多用戶反饋說這不是唯一的問題，還存在一些其他與 BitLocker 相關(guān)的 Bug。

大量用戶在安裝該更新后啟動(dòng)到 BitLocker 恢復(fù)界面。根據(jù) The Register 以及微軟論壇、Reddit 和 Twitter 上的一些用戶反饋來看，Windows 11 會(huì)提示用戶在 BitLocker 恢復(fù)界面上輸入恢復(fù)密鑰。目前還不知道其他版本的 Windows 是否也受到影響。

根據(jù)初步調(diào)查結(jié)果，這一問題不會(huì)影響存儲(chǔ)的數(shù)據(jù)，這意味著用戶可以通過輸入存儲(chǔ)在微軟賬戶或活動(dòng)目錄中的密鑰重新獲得對(duì) PC 的控制權(quán)。

除此之外，還有用戶反饋稱，在安裝 KB5012170 后系統(tǒng)會(huì)將硬盤配置從 RAID 改為 AHCI。與 BitLocker 問題一樣，用戶可以將其系統(tǒng)改回 RAID 且不會(huì)丟失數(shù)據(jù)。不過目前，安全啟動(dòng) DBX 問題仍是唯一公認(rèn)的問題。

微軟表示，KB5012170 更新了數(shù)據(jù)庫 DBX，此前系統(tǒng)中存在一項(xiàng)安全功能漏洞，攻擊者可以繞過安全啟動(dòng)并加載不受信任的軟件。因此微軟不得不阻止來自第三方的證書，所以這次更新很重要，至少微軟認(rèn)為用戶不應(yīng)該跳過，盡管有太多太多的 Bug。

Windows 團(tuán)隊(duì)現(xiàn)給出了一個(gè)臨時(shí)解決方案來解決 BitLocker 問題。IT之家提醒，如果您不想暫停 BitLocker 功能，則需要耐心等待微軟后續(xù)發(fā)布一個(gè)更新來修復(fù)該 Bug。

如果 BitLocker 組策略為本機(jī) UEFI 固件配置啟用了 TPM 平臺(tái)驗(yàn)證配置文件，并且按策略選擇了 PCR7，則可能會(huì)導(dǎo)致更新無法安裝。

若要查看 PCR7 綁定狀態(tài)，請(qǐng)運(yùn)行具有管理權(quán)限的 Microsoft 系統(tǒng)信息 (Msinfo32.exe) 工具。

若要解決此問題，請(qǐng)?jiān)诓渴鸫烁轮皥?zhí)行以下操作之一：

• 在未啟用 Credential Gard 的設(shè)備上，從管理員命令提示符運(yùn)行以下命令以暫停 BitLocker 以進(jìn)行 1 次重啟周期：Manage-bde –Protectors –Disable C: -RebootCount 1 然后，部署更新并重啟設(shè)備以恢復(fù) BitLocker 保護(hù)。

• 在啟用了 Credential Guard 的設(shè)備上，從管理員命令提示符運(yùn)行以下命令，以暫停 BitLocker 2 個(gè)重啟周期：Manage-bde –Protectors –Disable C: -RebootCount 3 然后，部署更新并重啟設(shè)備以恢復(fù) BitLocker 保護(hù)。

注意：此問題僅影響安全啟動(dòng) DBX 的安全更新 (KB5012170)，不會(huì)影響 2022 年 8 月 9 日發(fā)布的最新累積安全更新。

解決方法：如果您的設(shè)備提示您必須輸入 BitLocker 密碼才能啟動(dòng) Windows。

• 如果您尚未安裝 KB5012170 并且在您的設(shè)備上啟用了 BitLocker，請(qǐng)按照以下說明在安裝前暫時(shí)禁用 BitLocker。

• 如果您安裝了 KB5012170 并且尚未重新啟動(dòng)您的設(shè)備，或者只重新啟動(dòng)了一次，請(qǐng)使用以下說明暫時(shí)覆蓋 BitLocker。

重要提示：如果您在安裝 KB5012170 后重新啟動(dòng)設(shè)備兩次或更多次，則您的設(shè)備不會(huì)受到此問題的影響。

解決方案

要在部署 KB5012170 時(shí)暫時(shí)掛起 BitLocker 或避免 BitLocker 恢復(fù)，請(qǐng)執(zhí)行以下步驟：

• 從管理員命令提示符處運(yùn)行以下命令：

• Manage-bde -protectors -disable%systemdrive% -rebootcount 2

• 如果尚未安裝更新 KB5012170，請(qǐng)安裝它。

• 重啟設(shè)備。

• 重新啟動(dòng)設(shè)備。

• BitLocker 應(yīng)在兩次啟動(dòng)后自動(dòng)啟用。

• 如果要手動(dòng)恢復(fù) BitLocker 以驗(yàn)證它是否已啟用，請(qǐng)使用以下命令：

• Manage bde -protectors -Enable%systemdrive%

• 后續(xù)步驟：我們正在研究解決方案，并將在下一個(gè)版本中提供更新。

受影響的平臺(tái)：

• 客戶端：Windows 11，版本 21H2

• 服務(wù)器：無

《微軟承認(rèn) KB5012170 系統(tǒng)更新存在問題，涉及 Win8.1、Win10、Win11 等》

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。