La actualización de arranque seguro de Windows 10 activa la recuperación de la clave de BitLocker

Microsoft ha reconocido un problema que afecta a los clientes de Windows 10 que han instalado la actualización de seguridad KB4535680 que aborda una vulnerabilidad de omisión de funciones de seguridad en el arranque seguro.

Arranque seguro es una función de seguridad que bloquea los cargadores de arranque del sistema operativo que no son de confianza en computadoras con firmware de Interfaz de firmware extensible unificada (UEFI) y un chip de Módulo de plataforma confiable (TPM) para evitar rootkit se cargue durante el proceso de arranque del sistema operativo.

Las versiones de Windows afectadas por esta vulnerabilidad incluyen varias versiones de Windows 10 (v1607 a v1909), Windows 8.1, Windows Server 2012 R2 y Windows Server 2012.

La actualización de seguridad pone BitLocker en modo de recuperación

Sin embargo, la instalación de la actualización de seguridad KB4535680 en sistemas que ejecutan versiones afectadas de Windows puede hacer que se solicite la clave de recuperación de BitLocker después del reinicio, según un problema conocido recientemente reconocido por Microsoft.

"Si la directiva de grupo de BitLocker Configure el perfil de validación de la plataforma TPM para configuraciones de firmware UEFI nativas está habilitado y PCR7 se selecciona según los criterios, es posible que se requiera la clave de recuperación de BitLocker en algunos dispositivos donde el emparejamiento de PCR7 no es posible ", Microsoft explica.

"Para ver el estado de enlace de PCR7, ejecute la herramienta de información del sistema de Microsoft (Msinfo32.exe) con permisos administrativos".

BitLocker es la función de cifrado de volumen completo de Microsoft que viene con todas las versiones de Windows a partir de Windows Vista y utiliza el algoritmo de cifrado XTS-AES para cifrar los discos duros de las computadoras o las unidades extraíbles para evitar el robo o la exposición de datos.

Usuarios que experimentan Recuperación de BitLocker los problemas pueden usar información proporcionada por Microsoft Aquí para localizar su clave de recuperación.

Vaya, el #Windows 10 La actualización de seguridad KB4535680 provoca muchos restablecimientos de BitLocker. ¿Alguien más tiene este problema? ¿Cómo resolver este problema en el mundo real con miles de dispositivos? ¡Gracias por adelantado!

- Dietmar Haimann (@DHaimann) 15 de febrero de 2021

Solución disponible

Según la configuración de Credential Gard del dispositivo, Microsoft recomienda suspender BitLocker para un ciclo de reinicio si Credential Gard está habilitado con el Manage-bde –Protectors –Disable C: -RebootCount 1 o durante tres ciclos de reinicio usando Manage-bde –Protectors –Disable C: -RebootCount 3.

De cualquier manera, suspender temporalmente BitLocker antes de instalar KB4535680 sirve como solución para el problema de recuperación de BitLocker.

Después de instalar la actualización de seguridad y reiniciar el sistema (tres veces seguidas si Credential Guard está habilitado), deberá reiniciar nuevamente para reanudar la protección de BitLocker.

Se recomienda a los administradores que no deseen aplicar esta solución alternativa o que no puedan programar la actualización para implementarla en entornos con cientos o miles de puntos finales que detengan la actualización saliente KB4535680 desde Endpoint Manager Configuration Manager (anteriormente System Center Configuration Manager).

Puede encontrar más información sobre mitigación y más detalles sobre este problema conocido en este Documento de soporte KB4535680.

H / T Nacido Günter