从上个月开始安装KB4535680更新的某些Windows 10用户遇到BitLocker的问题。

该更新于1月12日发布，以解决安全启动DBX的问题，但是一些用户抱怨该补丁正在触发BitLocker恢复。对于仅在一台计算机上使用BitLocker的人来说，这可能不是一个太大的问题，但是对于照顾许多系统的管理员而言，这则问题更大。

尽管KB4535680已有一个多月的历史了，但对于系统管理员来说，推迟一段时间安装更新是很常见的，因此问题的出现可能会稍晚一些。

正如指出的君特出生，系统管理员迪特马尔•海曼是在安装KB4535680更新后，那些经历BitLocker的问题之一。他在Twitter上写道：

哇，#Windows10安全更新KB4535680导致许多BitLocker恢复。 还有其他人有这个问题吗?如何在现实世界中用数千个设备解决此问题?提前致谢!

— Dietmar Haimann(@DHaimann)2021年2月15日

Microsoft已将BitLocker问题列为该更新的已知问题，并说：

如果 启用了“为本地UEFI固件配置BitLocker组策略 配置TPM平台验证配置文件”并且通过策略选择了PCR7，则可能会导致在某些无法进行PCR7绑定的设备上需要BitLocker恢复密钥。

要查看PCR7绑定状态，请以管理权限运行Microsoft系统信息(Msinfo32.exe)工具。

重要说明 从默认平台验证配置文件更改会影响设备的安全性和可管理性。根据PCR的包含或排除，BitLocker对平台修改(恶意或授权)的敏感性会增加或降低。具体来说，在省略PCR7的情况下设置此策略将覆盖“ 允许安全启动以进行完整性验证” 组策略。这样可以防止BitLocker将安全启动用于平台或启动配置数据(BCD)完整性验证。设置此策略可能导致固件更新时BitLocker恢复。如果将此策略设置为包括PCR0，则必须在应用固件更新之前挂起BitLocker。

我们建议不要配置此策略，而是让Windows根据每个设备上的可用硬件来选择PCR配置文件，以实现安全性和可用性的最佳组合。

该公司还警告：

在未另外重启设备的情况下，请勿启用BitLocker保护，因为这将导致BitLocker恢复。