8月20日消息,微软上周确认KB5012170更新会导致一些问题,主要是无法安装SecureBootDBX安全更新.后来,更多用户反映这不是唯一的问题,还有一些其他与BitLocker相关的错误。大量用户在安装更新后启动到BitLocker恢复界面。根据TheRegister以及微软论坛、Reddit和Twitter上的一些用户反馈,Windows11会在BitLocker恢复界面提示用户输入恢复密钥。目前尚不清楚其他版本的Windows是否也受到影响。根据初步调查结果,该问题不会影响存储的数据,这意味着用户可以通过输入存储在其Microsoft帐户或ActiveDirectory中的密钥来重新获得对其PC的控制权。另外,有用户反馈安装KB5012170后,系统会将硬盘配置由RAID改为AHCI。与BitLocker问题一样,用户可以将他们的系统改回RAID而不会丢失数据。但就目前而言,安全启动DBX问题仍然是唯一公认的问题。微软表示,KB5012170更新了数据库DBX,原因是系统中的安全功能存在漏洞,可能允许攻击者绕过安全启动并加载不受信任的软件。所以微软不得不屏蔽来自第三方的证书,所以这个更新很重要,至少微软认为用户不应该跳过它,虽然有太多的bug。Windows团队现在有一个临时解决方案来解决BitLocker问题。IT之家提醒,如果不想暂停BitLocker功能,需要耐心等待微软发布更新修复bug。如果BitLocker组策略为本机UEFI固件配置启用了TPM平台验证配置文件,并且策略选择了PCR7,则可能导致更新安装失败。要查看PCR7绑定状态,请运行具有管理权限的Microsoft系统信息(Msinfo32.exe)工具。要解决此问题,请在部署此更新之前执行以下操作之一:在未启用CredentialGard的设备上,从管理员命令提示符运行以下命令以暂停BitLocker1个重启周期:Manage-bde–Protectors–DisableC:-RebootCount1然后,部署更新并重启设备以恢复BitLocker保护。在启用CredentialGuard的设备上,从管理员命令提示符处运行以下命令以将BitLocker暂停2个重启周期:Manage-bde–Protectors–DisableC:-RebootCount3然后,部署更新并重启设备以恢复BitLocker保护。注意:此问题仅影响安全启动DBX安全更新(KB5012170),不会影响2022年8月9日发布的最新累积安全更新。解决方法:如果您的设备提示您必须输入BitLocker密码才能启动Windows。如果您尚未安装KB5012170并且在您的设备上启用了BitLocker,请按照以下说明在安装前暂时禁用BitLocker。如果您安装了KB5012170并且没有重新启动您的设备,或者只重新启动了一次,请使用以下说明暂时覆盖BitLocker。重要提示:如果您在安装KB5012170后重启设备两次或更多次,则您的设备不受此问题的影响。解决方案要在部署KB5012170时临时暂停BitLocker或避免BitLocker恢复,请执行以下步骤:从管理员命令提示符运行以下命令:Manage-bde-protectors-disable%systemdrive%-rebootcount2如果尚未安装更新KB5012170,请安装它。重新启动设备。重启设备。BitLocker应该在两次引导后自动启用。如果您想手动恢复BitLocker以验证它是否已启用,请使用以下命令:管理bde-protectors-Enable%systemdrive%后续步骤:我们正在研究解决方案,并将在下一个版本中提供更新。受影响的平台:客户端:Windows11,版本21H2服务器:无
