- 19,455
- 40
- 8 Ноя 2022
Инцидент с BitLocker стал неожиданным сюрпризом даже для тех, кто не знал о его существовании.
Обновление безопасности KB5058379, выпущенное Microsoft 13 мая в рамках майского Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся для части пользователей Windows 10. После его установки и перезагрузки некоторые устройства автоматически загружаются в среду восстановления WinRE и требуют ключ восстановления BitLocker, что свидетельствует о сбое в проверке целостности системы.
По данным администраторов, уже сейчас подтверждены десятки случаев, когда ноутбуки от Lenovo, Dell и HP не загружались без ручного ввода ключа или вовсе переставали запускаться. Проблема затрагивает не все устройства, но случаи достаточно многочисленны, чтобы говорить о наличии бага, связанного с обновлением.
Один из пользователей Reddit Для просмотра ссылки Войдиили Зарегистрируйся , что на шести ноутбуках в его организации после установки обновления возникли абсолютно разные проблемы, в том числе запрос ключа BitLocker. Подобные жалобы также Для просмотра ссылки Войди или Зарегистрируйся на официальных форумах Microsoft.
Некоторые пользователи Для просмотра ссылки Войдиили Зарегистрируйся решение, отключив технологию Intel Trusted Execution Technology (TXT) в BIOS. Это аппаратная функция, предназначенная для проверки доверенности компонентов до запуска защищённых операций. Однако у отключения TXT и сопутствующих опций есть своя цена — это может повлиять на работу виртуализации и ослабить защиту системы.
Согласно одному из сообщений на Reddit, представители Microsoft признали наличие известной проблемы с KB5058379 и уже передали её в команду разработки. Формально компания пока не сделала официального заявления, однако один из пользователей процитировал поддержку Microsoft, подтвердившую наличие «триггера восстановления BitLocker на устройствах с Windows 10» после установки обновления.
Вот краткая инструкция, как восстановить систему после установки обновления KB5058379, если устройство загружается в BitLocker Recovery:
<h3> 1. Отключить Secure Boot </h3> — Зайдите в BIOS/UEFI (DEL/F2/F10/F12 при запуске компьютера).
— Найдите параметр Secure Boot и установите значение Disabled.
<h3> 2. Отключить Intel TXT (Trusted Execution Technology) </h3> <h4> В BIOS/UEFI: </h4> — Найдите параметр с названием Intel TXT, Trusted Execution или OS Kernel DMA Support.
— Установите значение Disabled.
<h3> 3. Отключить виртуализацию (если проблема сохраняется, или не нашли Intel TXT) </h3> В BIOS/UEFI отключите следующие параметры:
— Intel VT-x (VTX).
— Intel VT-d (VTD).
<h3> 4. Отключить Изоляцию ядра Windows </h3> <h4>Через интерфейс Windows:</h4> <h4> — Откройте <b>Параметры → Безопасность Windows → Открыть службу «Безопасность Windows» → Безопасность устройства.
— Найдите раздел Изоляция ядра.
— Выберите Сведения об изоляции ядра и переведите ползунок Защита локальной системы безопасности в положение Выкл.
</b></h4> <h4> Через реестр: </h4> — Нажмите Win+R, укажите «regedit» и нажмите Enter
— Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard
— Проверьте значение Enabled:
Если «0» или параметр отсутствует — изоляция ядра уже отключена;
Если «1» — защита включена. Нужно указать «0» и перезагрузить устройство.
<h3> 5. Отключить изоляцию ядра через редактор групповых политик (если невозможно отключить через Параметры/Реестр) </h3> — Нажмите Win+R, укажите «gpedit.msc» и нажмите Enter
— Перейдите к Конфигурация компьютера → Административные шаблоны → Система → Device Guard → Включить средство обеспечения безопасности на основе виртуализации — Кликните по пункту дважды и установите в значение Отключено.
— Перезагрузите устройство.
Совет: лучше не делать всё сразу, а начинать с минимальных изменений — в первую очередь отключите Secure Boot и Intel TXT, прежде чем переходить к отключению виртуализации и остальных параметров. Это поможет сохранить баланс между восстановлением доступа и уровнем безопасности.
Обновление безопасности KB5058379, выпущенное Microsoft 13 мая в рамках майского Для просмотра ссылки Войди
По данным администраторов, уже сейчас подтверждены десятки случаев, когда ноутбуки от Lenovo, Dell и HP не загружались без ручного ввода ключа или вовсе переставали запускаться. Проблема затрагивает не все устройства, но случаи достаточно многочисленны, чтобы говорить о наличии бага, связанного с обновлением.
Один из пользователей Reddit Для просмотра ссылки Войди
Некоторые пользователи Для просмотра ссылки Войди
Согласно одному из сообщений на Reddit, представители Microsoft признали наличие известной проблемы с KB5058379 и уже передали её в команду разработки. Формально компания пока не сделала официального заявления, однако один из пользователей процитировал поддержку Microsoft, подтвердившую наличие «триггера восстановления BitLocker на устройствах с Windows 10» после установки обновления.
Вот краткая инструкция, как восстановить систему после установки обновления KB5058379, если устройство загружается в BitLocker Recovery:
<h3> 1. Отключить Secure Boot </h3> — Зайдите в BIOS/UEFI (DEL/F2/F10/F12 при запуске компьютера).
— Найдите параметр Secure Boot и установите значение Disabled.
<h3> 2. Отключить Intel TXT (Trusted Execution Technology) </h3> <h4> В BIOS/UEFI: </h4> — Найдите параметр с названием Intel TXT, Trusted Execution или OS Kernel DMA Support.
— Установите значение Disabled.
<h3> 3. Отключить виртуализацию (если проблема сохраняется, или не нашли Intel TXT) </h3> В BIOS/UEFI отключите следующие параметры:
— Intel VT-x (VTX).
— Intel VT-d (VTD).
<h3> 4. Отключить Изоляцию ядра Windows </h3> <h4>Через интерфейс Windows:</h4> <h4> — Откройте <b>Параметры → Безопасность Windows → Открыть службу «Безопасность Windows» → Безопасность устройства.
— Найдите раздел Изоляция ядра.
— Выберите Сведения об изоляции ядра и переведите ползунок Защита локальной системы безопасности в положение Выкл.
</b></h4> <h4> Через реестр: </h4> — Нажмите Win+R, укажите «regedit» и нажмите Enter
— Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard
— Проверьте значение Enabled:
Если «0» или параметр отсутствует — изоляция ядра уже отключена;
Если «1» — защита включена. Нужно указать «0» и перезагрузить устройство.
<h3> 5. Отключить изоляцию ядра через редактор групповых политик (если невозможно отключить через Параметры/Реестр) </h3> — Нажмите Win+R, укажите «gpedit.msc» и нажмите Enter
— Перейдите к Конфигурация компьютера → Административные шаблоны → Система → Device Guard → Включить средство обеспечения безопасности на основе виртуализации — Кликните по пункту дважды и установите в значение Отключено.
— Перезагрузите устройство.
Совет: лучше не делать всё сразу, а начинать с минимальных изменений — в первую очередь отключите Secure Boot и Intel TXT, прежде чем переходить к отключению виртуализации и остальных параметров. Это поможет сохранить баланс между восстановлением доступа и уровнем безопасности.
- Источник новости
- www.securitylab.ru
