KB5012170 wiele znaczy dla wielu użytkowników systemu Windows. Po pierwsze, jest to łatka, która instaluje się bez problemów lub prowadzi do niebieskiego ekranu śmierci (BSOD). Może to również oznaczać, że mamy problemy z uzyskaniem zaktualizowanych sterowników w naszych systemach. Może to pokazać, że użytkownicy nie nadążają za aktualizacjami Bios. I pokazuje, że niektórzy producenci OEM włączają Bitlocker w sprzedawanych przez siebie systemach (niekoniecznie w dobry sposób).
Krótko mówiąc, jest to problematyczna łatka, która ciągle się pojawia.
Znana również jako „Aktualizacja zabezpieczeń dla bezpiecznego rozruchu DBX”, KB5012170 została wydana na początku tego roku i zawiera ulepszenia bazy sygnatur zabronionego bezpiecznego rozruchu (DBX). Urządzenia z systemem Windows z oprogramowaniem sprzętowym opartym na Unified Extensible Firmware Interface (UEFI) mają włączony bezpieczny rozruch. Zapewnia, że podczas procesu rozruchu można ładować i uruchamiać tylko zaufane oprogramowanie, używając podpisów kryptograficznych do weryfikacji integralności procesu i ładowanego oprogramowania.
Bezpieczny rozruch jest często używany z innymi środkami bezpieczeństwa, takimi jak moduły TPM (Trusted Platform Modules) i programy ładujące, które obsługują zarządzanie kluczami. Ma chronić przed złośliwym oprogramowaniem i innymi rodzajami nieautoryzowanego oprogramowania, które mogłoby zagrozić bezpieczeństwu.
Bezpieczny rozruch, zwykle zaimplementowany w oprogramowaniu sprzętowym urządzenia, można skonfigurować tak, aby zezwalał na ładowanie tylko zaufanego oprogramowania podpisanego zaufanym kluczem; niezatwierdzone oprogramowanie nie może działać.
To powiedziawszy, w Bezpiecznym rozruchu istnieje obejście funkcji bezpieczeństwa; w szczególności dodaje sygnatury znanych wrażliwych modułów UEFI do DBX. Luka w zabezpieczeniach nosi nazwę „Boot Hole” i może zostać wykorzystana do ominięcia bezpiecznego rozruchu. (Uwaga: aby doszło do ataku, osoba atakująca musiałaby mieć uprawnienia administratora lub dostęp fizyczny).
Tutaj do gry wchodzi KB5012170.
Na komputerach firmowych, komputerach rządowych lub systemach zagrożonych atakami ukierunkowanymi jest to typ poprawki, którą chcesz zainstalować. Ale na komputerach osobistych lub systemach, które nie są regularnie konserwowane lub aktualizowane za pomocą aktualizacji sterowników i oprogramowania układowego, może wyrządzić więcej szkody niż pożytku. Udokumentowane skutki uboczne obejmują BSOD i błąd 0x800f0922 i jeśli nie zablokujesz aktualizacji, spróbuje ona zainstalować ponownie. Jeden użytkownik w poście Reddit zauważył, że „Musiałem ponownie uruchomić komputer, a aktualizacja czekała na ponowne uruchomienie, aby zakończyć instalację. Uruchomiłem ponownie i mój komputer nie uruchomił się. Miałem BSOD z błędem 0xc000021a, wydaje się, że dzieje się to na starszych komputery z ustawieniami Zmodyfikowano, aby wyłączyć wymuszanie sterowników.
W tym momencie najlepszą rzeczą dla użytkowników domowych jest użycie jednego z polecanych narzędzi na Blockapatch.com, aby proaktywnie zablokować KB5012170. Korzyści nie przewyższają ryzyka.
Ta aktualizacja ma drugi efekt uboczny. Stacje robocze z włączoną funkcją Bitlocker mogą wyzwalać żądanie klucza odzyskiwania funkcji Bitlocker. Może to stanowić problem dla osób indywidualnych i osób z systemami, które mają automatycznie włączoną funkcję Bitlocker. Jeśli nie wiesz, gdzie jest przechowywany klucz odzyskiwania funkcji Bitlocker, może być konieczna ponowna instalacja systemu Windows od podstaw. (Aby ustalić, czy funkcja Bitlocker jest włączona, kliknij Eksplorator plików i kliknij prawym przyciskiem myszy dysk C. Jeśli zobaczysz opcję wyłączenia funkcji Bitlocker, upewnij się, że wiesz, gdzie jest przechowywany klucz odzyskiwania funkcji Bitlocker (jeśli na komputerze skonfigurowano konto Microsoft, będzie tam przechowywany. Jeśli nie wiesz, gdzie znajduje się klucz odzyskiwania funkcji Bitlocker, zresetuj go lub wyłącz.)
W przypadku profesjonalnych poprawek skutki uboczne należy porównać z ryzykiem niezainstalowania KB5012170. Nie widziałem wielu raportów o korporacyjnych BSOD, chociaż widziałem raporty o systemach wymagających klucza odzyskiwania Bitlocker podczas wdrażania tej aktualizacji. Dlatego przed wdrożeniem sprawdź swoje systemy, aby upewnić się, że oprogramowanie sprzętowe jest aktualne.
Historycznie rzecz biorąc, w środowiskach komercyjnych instalujesz aktualizacje oprogramowania układowego podczas wdrażania i nigdy nie sprawdzasz ich wstecz. Ale w systemach Windows 10 i Windows 11 nie możesz już być bezpieczny, robiąc to. Upewnij się, że istnieje proces inwentaryzacji i testowania oprogramowania sprzętowego oraz odpowiednich aktualizacji. Oprogramowanie układowe należy sprawdzać przynajmniej raz w roku. Teraz, gdy firma Microsoft przeniosła wydania funkcji na roczny cykl wydawniczy, użyj tego harmonogramu, aby uwzględnić przegląd i aktualizację oprogramowania układowego, sterowników wideo, sterowników audio i innych kluczowych sterowników sprzętowych, które współdziałają z systemem.
Ponieważ KB5012170 (lub coś podobnego) prawdopodobnie pojawi się ponownie, upewnij się, że Twój system jest na to przygotowany, proaktywnie go blokując lub aktualizując oprogramowanie układowe i sterowniki. To najlepszy sposób na uniknięcie problemów w przyszłości.
Prawa autorskie © 2022 IDG Communications, Inc.