微软修复Windows BitLocker恢复漏洞,这些设备用户需注意
微软修复Windows BitLocker恢复漏洞,这些设备用户需注意
微软近期修复了一个影响Windows 10、Windows 11以及多个版本Windows Server的BitLocker恢复漏洞。该漏洞导致部分设备在更新后无法正常启动,而是显示蓝屏并要求输入恢复密钥。本文详细分析了该问题的原因、影响范围以及解决方案。
2024年8月19日更新:微软现已解决此错误。详情见下文。
五年前,在经历了一次漏洞百出的令人尴尬的Windows更新之后,微软发誓要做得更好。其清理计划的一部分包括引入“发布健康仪表板”,该仪表板记录每次更新时已知问题的状态。
当然,这种透明度是一件好事,但有时这些披露引发的问题比它们解决的问题更多。一个典型的例子是2024年7月的安全更新,发布健康仪表板标记为存在已知问题,影响运行Windows 10和Windows 11以及多个版本的Windows Server的pc。(请参阅“2024年7月的安全更新可能会引导设备进入BitLocker恢复。”)
在受影响的pc和服务器上,Windows拒绝启动到正常的登录屏幕,而是呈现一个蓝屏,如图所示:
微软的报告冷冰冰地指出:“在Windows更新后,这个屏幕通常不会出现。”该建议没有提供问题的原因,但它提供了一个线索:“如果你在隐私与安全->设备加密的设置中启用了设备加密选项,你更有可能面临这个问题。”
2024年8月19日更新:微软报告此问题现已解决。
输入恢复密钥后,Windows正常启动。如果你找不到恢复密钥,你的数据就永远丢失了。
这听起来很糟糕,但这个故事并不像媒体报道的那样令人担忧。过去一周我一直在研究这个问题。这是我的发现。
这种病菌有多普遍?
微软没有详细说明这个问题有多普遍,也没有说明是什么引发了这个问题,这是典型的令人沮丧的方式。显然,它并没有影响到每一台收到2024年7月安全更新的机器。(如果是这样的话,这条更新就会立即被撤下,并成为头版新闻。)在我测试过的任何一台机器上都没有出现这种情况,我也没有收到任何受此影响的读者的来信。当我在微软的社区论坛上搜索时,我没有找到任何与这个bug相关的报告。
在Reddit上,我确实发现一些网络管理员报告说,这个问题影响了他们组织中的多台机器。(请看这个帖子和这个帖子的例子。)似乎所有的设备都是惠普或联想的笔记本电脑,在企业网络上进行管理,并在2024年7月的补丁星期二更新发布中收到了固件更新。
当我向微软询问有关该问题范围的更多细节时,一位公司发言人说:“微软除了以下资源中可用的内容外,没有其他可分享的。”他提供了BitLocker技术概述的链接(突出显示了设备加密部分)和一篇题为“Windows 11中oem的BitLocker驱动器加密”的支持文章。
为什么会发生这种情况?
BitLocker是一个非常有效的安全选项,加密整个驱动器的内容,没有人可以访问其内容未经您的许可。BitLocker与可信平台模块(TPM)和安全启动功能一起工作,以安全地保存启动配置的指纹。
当你看到恢复提示时,这通常意味着启动过程对BitLocker来说有些不对劲。因此,它不会进入正常的登录屏幕,而是提示您输入恢复密钥。这可能由于各种原因而发生,这些原因可能与外部攻击者有关,也可能与外部攻击者无关。
在微软发言人向我指出的支持文章的一个单独部分中,有一个名为“BitLocker恢复场景”的部分列出了不少于15个“导致设备在启动Windows时进入BitLocker恢复模式的常见事件示例”。该列表包括一些在未经授权的人员试图访问设备上的数据时可能发生的典型操作,例如更改磁盘上的引导管理器或NTFS分区、禁用TPM或将受bitlocker保护的驱动器移动到新计算机中。
但你也可以通过升级关键的早期启动组件来触发BitLocker恢复,比如BIOS或UEFI固件升级,我怀疑这里发生了这种情况。固件升级应该在安装时暂停BitLocker加密,但似乎这并没有发生在有问题的笔记本电脑上。
BitLocker和设备加密有什么区别?
设备加密是所有为Windows 11设计的现代个人电脑的标准功能。它适用于所有Windows版本(包括家庭版),加密系统驱动器的内容。它是默认开启的,但只有当你用免费的微软账户或Entra ID账户登录时才会被激活。在这些情况下,恢复密钥会自动保存在您帐户的帐户仪表板中。
BitLocker硬盘加密是一项针对企业客户的功能,仅适用于Windows的专业版、企业版和教育版。它允许您加密系统卷以及辅助驱动器和可移动媒体,如USB闪存驱动器。这个版本的BitLocker包括一套完整的管理工具。
您的系统驱动器加密了吗?
设备加密功能是通过Windows设置中的一个简单的拨动开关控制的。在Windows 11中,你可以在设置>隐私与安全>设备加密中找到这个开关。
如果这个开关不可用,那么由于某种原因,您的系统不支持加密。一个常见的原因是TPM不可用;您可以使用管理员凭证打开系统信息实用程序(Msinfo32.exe)来查找详细信息。在“系统摘要”页面的底部,查找标记为“设备加密支持”的一行。
您是否保存了恢复密钥的备份副本?
如前所述,Windows会自动将恢复密钥的副本保存到您的Microsoft帐户中。如果提示您输入该密钥,您可以通过打开浏览器窗口(在PC, Mac或移动设备上)并访问microsoft.com/recoverykey找到它。
使用您在看到恢复提示的设备上使用的帐户登录。它会把你带到这样一个页面:
在那里,您可以搜索您的设备名称,并确认加密密钥是可访问的。BitLocker恢复屏幕包含一个Key ID;将该密钥开头的8个字符与网页上的密钥ID列进行比较,以确认您找到了正确的密钥。您可以将恢复密钥复制到文本文件中,将文本文件保存在云中的安全位置或USB闪存驱动器上,甚至可以打印恢复密钥并将其存储在需要时可以找到的安全位置。
如果你想用PowerShell找到你的加密密钥,以管理员的身份打开PowerShell,使用下面的命令:
这个过程会给你所有你需要的信息。
应该关闭加密吗?
如果你担心因BitLocker故障而被锁在电脑外的可能性,你可以通过进入设置页面并将设备加密页面滑动到关闭位置来关闭设备加密。
然而,这是一个不太可能影响你的问题的极端解决方案。如果你有一个恢复密钥的备份副本,你就不会有丢失数据的风险,而且你的数字生活完全不会被小偷偷走你的笔记本电脑并访问你的数据文件。