Windows10のセキュアブートのバグがBitLockerキー回復の問題を引き起こす

Microsoftは、BitLockerの回復モードをトリガーするWindows10のバグの修正に取り組んでいます。このバグは、セキュアブートの脆弱性に対処する最近の更新の一部としてWindows10に導入されました。

BitLocker回復モードのバグとは何ですか？

KB4535680アップデートは、2021年1月にWindowsシステムにリリースされました。

元の更新プログラムは、信頼できないオペレーティングシステムがコンピューターで起動するのをブロックするセキュリティ機能であるセキュアブートの問題を解決するために設計されたセキュリティ更新プログラムでした。その主な役割は、ルートキットやブートキットなどの危険なマルウェアタイプから保護することです。

ただし、KB4535680セキュリティ更新プログラムの副作用は、BitLockerに影響を与えるバグが誤って導入されたことです。トリガーされると、BitLocker回復モード機能が実行され、BitLocker回復キーが要求されます。詳細については、MicrosoftSecurityUpdateブログ全体を読むことができます。

ネイティブUEFIファームウェア構成のBitLockerグループポリシー構成TPMプラットフォーム検証プロファイルが有効になっていて、ポリシーによってPCR7が選択されている場合、PCR7バインディングが不可能な一部のデバイスでBitLocker回復キーが必要になることがあります。 。 。具体的には、PCR7を省略してこのポリシーを設定すると、整合性検証グループポリシーのセキュアブートを許可するが上書きされます。これにより、BitLockerがプラットフォームまたはブート構成データ（BCD）の整合性検証にセキュアブートを使用できなくなります。このポリシーを設定すると、ファームウェアの更新時にBitLockerが回復する可能性があります。

BitLocker回復モードのバグは、複数のWindowsバージョンに影響を及ぼしています：

• Windows Server2012x64ビット
• Windows Server 2012R2x64ビット
• Windows8.1x64ビット
• Windows Server2016x64ビット
• Windows Server2019x64ビット
• Windows10バージョン1607x64ビット
• Windows10バージョン1803x64ビット
• Windows10バージョン1809x64ビット
• Windows10バージョン1909x64ビット

このエラーが発生した場合は、MicrosoftBitLocker回復キーガイドを参照してください。

​​BitLocker回復モードのバグ回避策

BitLocker回復モードには回避策がありますが、デバイスの構成によって異なります。具体的には、デバイスのCredential Guardがどのように構成されているか、および更新プログラムを既にインストールしているかどうか。

デバイスがしない場合 Credential Guardが有効になっていて、アップデートがまだインストールされていない 、昇格したコマンドプロンプトから次のコマンドを実行して、「BitLockerを1回の再起動サイクルで一時停止する」ことができます。

Manage-bde –Protectors –Disable C: -RebootCount 1

コマンドを実行し、セキュリティ更新プログラム（他の便利なセキュリティ修正を含む）をインストールしてから、BitLocker回復モードに遭遇することなくシステムを再起動できます。

デバイスが持っている場合 Credential Guardがインストールされており、アップデートはまだインストールされていません 、複数回の再起動が必要になる場合があります。別のコマンドを実行して、BitLockerの一時停止数を3に増やすことができます。

Manage-bde –Protectors –Disable C: -RebootCount 3

いずれにせよ、BitLocker回復モードのバグに遭遇しても慌てる必要はありません。 Microsoftは、この問題のバグ修正にも取り組んでいます。