Windows10のセキュアブートバグがBitLockerキー回復の問題をトリガーする
Microsoftは、BitLockerの回復モードをトリガーするWindows10のバグの修正に取り組んでいます。このバグは、セキュアブートの脆弱性に対処する最近の更新プログラムの一部としてWindows10に導入されました。
BitLocker回復モードのバグとは何ですか?
KB4535680アップデートは、2021年1月にWindowsシステムにリリースされました。
元の更新プログラムは、信頼できないオペレーティングシステムがコンピューターで起動するのをブロックするセキュリティ機能であるセキュアブートの問題を解決するために設計されたセキュリティ更新プログラムでした。その主な役割は、ルートキットやブートキットなどの危険なマルウェアタイプから保護することです。
ただし、KB4535680セキュリティ更新プログラムの副作用は、BitLockerに影響するバグが誤って導入されたことです。トリガーされると、BitLocker回復モード機能が実行され、BitLocker回復キーが要求されます。詳細については、 Microsoft SecurityUpdateブログ全体を読むことができます。
ネイティブUEFIファームウェア構成のBitLockerグループポリシー構成TPMプラットフォーム検証プロファイルが有効になっていて、ポリシーによってPCR7が選択されている場合、PCR7バインドが不可能な一部のデバイスでBitLocker回復キーが必要になることがあります。 。 。具体的には、PCR7を省略してこのポリシーを設定すると、整合性検証グループポリシーのセキュアブートを許可するが上書きされます。これにより、BitLockerがプラットフォームまたはブート構成データ(BCD)の整合性検証にセキュアブートを使用できなくなります。このポリシーを設定すると、ファームウェアの更新時にBitLockerが回復する場合があります。
BitLocker回復モードのバグは、複数のWindowsバージョンに影響を及ぼしています。
- Windows Server 2012×64ビット
- Windows Server 2012 R2x64ビット
- Windows 8.1×64ビット
- Windows Server 2016×64ビット
- Windows Server 2019×64ビット
- Windows 10、バージョン1607×64ビット
- Windows 10、バージョン1803×64ビット
- Windows10、バージョン1809×64ビット
- Windows10、バージョン1909×64ビット
このエラーが発生した場合は、 MicrosoftBitLocker回復キーガイドを参照してください。
BitLocker回復モードのバグ回避策
BitLocker回復モードで利用可能な回避策がありますが、それはデバイスの構成によって異なります。具体的には、デバイスのCredential Guardがどのように構成されているか、および更新プログラムを既にインストールしているかどうか。
デバイスでCredentialGuardが有効になっておらず、更新プログラムがまだインストールされていない場合は、管理者特権のコマンドプロンプトから次のコマンドを実行して、「BitLockerを1回の再起動サイクルで一時停止する」ことができます。
Manage-bde –Protectors –Disable C: -RebootCount 1コマンドを実行し、セキュリティ更新プログラム(他の便利なセキュリティ修正を含む)をインストールしてから、BitLocker回復モードに遭遇することなくシステムを再起動できます。
デバイスは、資格ガードがインストールされていないと更新がまだインストールされていない場合は、複数の再起動が必要な場合があります。 BitLockerの一時停止カウントを3に増やす別のコマンドを実行できます。
Manage-bde –Protectors –Disable C: -RebootCount 3いずれにせよ、BitLocker回復モードのバグに遭遇しても慌てる必要はありません。 Microsoftは、この問題のバグ修正にも取り組んでいます。