KB5012170 对许多 Windows 用户来说意义重大。 首先,它是一个补丁,要么安装没有问题,要么导致蓝屏死机 (BSOD)。 这也可能表明我们在系统上获取更新的驱动程序时遇到问题。 它可以演示用户如何跟不上 Bios 更新。 它表明一些 OEM 在他们销售的系统上启用了 Bitlocker(不一定以好的方式)。
简而言之,这是一个不断抬头的有问题的补丁。
KB5012170 也称为“安全启动 DBX 安全更新”,于今年早些时候发布,对安全启动禁止签名数据库 (DBX) 进行了改进。 具有基于统一可扩展固件接口 (UEFI) 的固件的 Windows 设备已启用安全启动。 它通过使用加密签名来验证进程和正在加载的软件的完整性,确保在引导过程中只能加载和执行受信任的软件。
安全启动通常与其他安全措施一起使用,例如可信平台模块 (TPM) 和支持密钥管理的引导加载程序。 它应该可以防止恶意软件和其他类型的可能危及安全的未经授权的软件。
通常在设备固件中实现,安全启动可以配置为仅允许加载使用可信密钥签名的可信软件; 不受信任的软件被阻止运行。
也就是说,安全启动中有一个安全功能绕过; 它专门将已知易受攻击的 UEFI 模块的签名添加到 DBX。 该漏洞被称为“Hole in the boot”,可用于绕过安全启动。 (注意:要发生任何攻击,攻击者都需要管理员权限或物理访问权限。)
这就是 KB5012170 发挥作用的地方。
在商用计算机、政府计算机或有针对性攻击风险的系统上,这是您想要安装的补丁。 但在未通过驱动程序和固件更新进行管理或定期更新的家用计算机或系统上,它弊大于利。 记录的副作用包括蓝屏死机和错误 0x800f0922,除非您阻止更新,否则它将尝试再次安装。 Reddit 帖子中的一位用户指出,他“需要重新启动我的计算机,并且更新正在等待重新启动以完成安装。 我重新启动,但我的电脑无法启动。 我收到错误为 0xc000021a 的蓝屏死机。” 这似乎发生在设置更改为禁用驱动程序强制执行的旧计算机上。
此时,对于家庭用户来说,最好的办法是使用 Blockapatch.com 上突出显示的工具之一来主动阻止 KB5012170。 好处不会超过风险。
此更新会产生第二个副作用。 启用了 Bitlocker 的工作站可能会触发对 Bitlocker 恢复密钥的请求。 对于使用自动启用 Bitlocker 的系统的消费者和家庭用户来说,这可能是个问题。 如果您不知道 Bitlocker 恢复密钥的存储位置,您可能需要从头开始重新安装 Windows。 (要确定您是否启用了 Bitlocker,请单击“文件资源管理器”并用鼠标右键单击您的 C 盘。如果您看到关闭 Bitlocker 的选项,请确保您知道 Bitlocker 恢复密钥的存储位置。如果您设置了您的 具有 Microsoft 帐户的计算机,它将存储在那里。如果您不确定 Bitlocker 恢复密钥所在的位置,请重置或禁用它。)
对于商业补丁程序,应该权衡副作用与不安装 KB5012170 的风险。 我没有看到很多商业 BSOD 报告,尽管我看到了系统在部署此更新时要求 Bitlocker 恢复密钥的报告。 因此,在部署它之前,请检查您的系统以确保其固件是最新的。
从历史上看,在业务设置中,您会在部署时安装固件更新,并且再也不会查看它们。 但在 Windows 10 和 Windows 11 中,您无法再安全地执行此操作。 确保您有一个流程来清点和评估固件并相应地进行更新。 固件应至少每年检查一次。 既然 Microsoft 已将功能发布改为年度发布节奏,请使用该计划来包括审查和更新固件、视频驱动程序、音频驱动程序以及与系统交互的其他关键硬件驱动程序。
由于 KB5012170(或类似的东西)可能会再次弹出,因此请通过主动阻止它或使您的固件和驱动程序保持最新来确保您的系统为它做好准备。 这是避免以后出现问题的最好方法。
