北京
企业IT部门最近有点头疼。4月安全更新装完,部分电脑直接锁死——蓝屏跳出来要BitLocker恢复密钥。微软4月14日承认这事,说影响Win10、Win11和Windows Server,但修复补丁却只给了Win11 25H2。Win10和Server用户?继续等着吧。
这事得从BitLocker说起。这是Windows自带的磁盘加密功能,本意是防数据盗窃。但有个副作用:硬件改动或TPM(可信平台模块)更新后,它容易进恢复模式。正常解锁过的驱动器不会触发,可一旦触发,用户就得掏48位恢复密钥才能进系统。
微软说,这次中招的是"不推荐"的组策略配置。具体点,就是启用了"为原生UEFI固件配置配置TPM平台验证配置文件"这条策略。企业环境常见,个人设备基本碰不上。所以微软觉得,普通用户不用太慌。
但企业IT不这么想。4月更新(KB5083769)装完,第一批重启的机器直接进恢复界面。微软的解释是:某些TPM验证设置下,启动文件更新会导致PCR7(平台配置寄存器7)配置无效,触发保护机制。
周二发布的KB5089549补丁,只解决了Win11 25H2的问题。微软明确说,Win10和Windows Server的永久修复"计划在未来更新中提供"。没给时间表。
临时方案倒是给了:部署4月更新前,先删掉那条组策略,确保BitLocker绑定用PCR7配置。但这对已经中招的机器没用——它们已经锁了,得先解锁才能改配置。
这也不是第一次了。2022年8月,KB5012170更新后大批设备卡在恢复界面。2024年8月,微软才修好7月更新引发的类似问题。今年5月,Win10又出了紧急补丁,处理5月更新导致的密钥请求。算下来,BitLocker恢复问题三年至少闹了四回。
本周二的5月补丁更热闹:120个漏洞,17个标记为"严重"。但企业IT的注意力,大概还在那些没拿到补丁的旧系统上。
一个细节值得玩味:微软把修复优先给了最新的Win11 25H2,而不是用户基数更大的Win10。官方说法是技术原因,但企业客户难免多想——这是逼着我们升级?
对IT管理员来说,现实选择很有限:要么暂缓4月更新,要么接受部分机器锁死的风险,手动处理恢复密钥。无论哪种,都是额外的工作量。而那个"未来更新"到底什么时候来,微软没说。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
