KB5012170 — это многое для многих пользователей Windows. Во-первых, это патч, который либо устанавливается без проблем, либо приводит к синему экрану смерти (BSOD). Это также может указывать на то, что у нас есть проблема с обновлением драйверов в наших системах. Это может продемонстрировать, как пользователи не поспевают за обновлениями Bios. И это показывает, что некоторые OEM-производители включают Bitlocker в своих системах (не обязательно в хорошем смысле).
Короче говоря, это проблемный патч, который продолжает поднимать голову.
Также известное как «Обновление безопасности для безопасной загрузки DBX», KB5012170 было выпущено ранее в этом году и вносит улучшения в базу данных запрещенных подписей безопасной загрузки (DBX). На устройствах Windows с прошивкой на основе Unified Extensible Firmware Interface (UEFI) включена безопасная загрузка. Это гарантирует, что только доверенное программное обеспечение может быть загружено и выполнено во время процесса загрузки, используя криптографические подписи для проверки целостности процесса и загружаемого программного обеспечения.
Безопасная загрузка часто используется с другими мерами безопасности, такими как доверенные платформенные модули (TPM) и загрузчики, поддерживающие управление ключами. Предполагается, что он защищает от вредоносных программ и других типов несанкционированного программного обеспечения, которые могут поставить под угрозу безопасность.
Обычно реализованная в микропрограмме устройства, безопасная загрузка может быть настроена так, чтобы разрешать загрузку только доверенного программного обеспечения, подписанного доверенным ключом; запуск ненадежного программного обеспечения запрещен.
Тем не менее, в Secure Boot есть обход функции безопасности; он специально добавляет сигнатуры известных уязвимых модулей UEFI в DBX. Уязвимость называется «Дыра в загрузке» и может быть использована для обхода Secure Boot. (Примечание: для любой атаки злоумышленнику потребуются права администратора или физический доступ.)
На рабочих компьютерах, государственных компьютерах или системах, подверженных риску целенаправленной атаки, вы должны установить именно этот патч. Но на домашних компьютерах или системах, которые не управляются или не обновляются регулярно с помощью обновлений драйверов и микропрограмм, это может принести больше вреда, чем пользы. Задокументированные побочные эффекты включают BSOD и ошибку 0x800f0922, и если вы не заблокируете обновление, оно попытается установить его снова. Один пользователь в сообщении Reddit отметил, что ему «необходимо было перезагрузить компьютер, а обновление ожидало перезагрузки для завершения установки. Я перезагрузился, и мой компьютер не запустился. Я получил BSOD с ошибкой 0xc000021a». Похоже, это происходит на старых компьютерах с измененными настройками для отключения принудительного применения драйверов.
На данный момент для домашних пользователей лучше всего использовать один из инструментов, выделенных на Blockapatch.com , для активной блокировки KB5012170. Преимущества не перевешивают риски.
Это обновление имеет второй побочный эффект. Рабочие станции с включенным Bitlocker могут инициировать запрос ключа восстановления Bitlocker. Это может быть проблемой для обычных и домашних пользователей с системами, в которых Bitlocker включен автоматически. Если вы не знаете, где хранится ваш ключ восстановления Bitlocker, возможно, вам придется переустановить Windows с нуля. (Чтобы определить, включен ли у вас Bitlocker, нажмите «Проводник» и щелкните правой кнопкой мыши диск C. Если вы видите возможность выключить Bitlocker, убедитесь, что вы знаете, где хранится ваш ключ восстановления Bitlocker. Если вы настроили свой компьютер с учетной записью Microsoft, он будет храниться там . Если вы не знаете, где находится ваш ключ восстановления Bitlocker, сбросьте или отключите его.)
Для бизнес-патчеров побочные эффекты следует сопоставлять с рисками отказа от установки KB5012170. Я не видел много отчетов о BSOD для бизнеса, хотя я видел отчеты о системах, требующих ключ восстановления Bitlocker при развертывании этого обновления. Таким образом, перед его развертыванием проверьте свои системы, чтобы убедиться, что их прошивка обновлена.
Исторически сложилось так, что в бизнес-настройках вы устанавливаете обновления встроенного ПО при развертывании и никогда не проверяете их снова. Но с Windows 10 и Windows 11 вы больше не можете быть в безопасности. Убедитесь, что у вас есть процесс инвентаризации и оценки встроенного ПО и его обновления. Прошивку следует пересматривать не реже одного раза в год. Теперь, когда корпорация Майкрософт перевела выпуски функций на ежегодную частоту выпуска, используйте этот график, чтобы включить проверку и обновление встроенного ПО, видеодрайверов, аудиодрайверов и других ключевых аппаратных драйверов, взаимодействующих с системой.
Поскольку KB5012170 (или что-то подобное), вероятно, снова появится, убедитесь, что ваша система готова к этому, либо предварительно заблокировав его, либо обновив прошивку и драйверы. Это лучший способ избежать проблем в будущем.