2024 年 8 月补丁星期二更新中出现的问题
每年的补丁星期二事件有时会给用户带来相当大的麻烦,去年八月就发生了一起重大事件。微软发布的安全更新破坏了 Windows 11 和各种 Linux 发行版的双启动配置。受影响的系统包括 Debian、Ubuntu、Linux Mint、Zorin OS 和 Puppy Linux 等流行的 GNU/Linux 发行版。
微软的回应
为了应对这些挑战,微软在几天后发布了一个略显复杂的解决方案。该解决方案要求用户调整策略中的多项设置并修改注册表,以缓解启动问题。微软将根本原因归咎于 SBAT(安全启动高级目标定位)系统中的一个缺陷,该系统是 Windows 11 八月补丁星期二更新(KB5041585)的一部分。
了解安全启动高级目标 (SBAT)
对于不熟悉SBAT的人来说,它通过验证安全启动DBX (Secure Boot DBX) 来阻止使用过时且可能存在漏洞的引导加载程序,在维护系统安全方面发挥着至关重要的作用。该数据库包含一个列入黑名单的UEFI可执行文件列表,旨在保护用户免受安全威胁。微软就此问题提供了进一步的说明:
安装 2024 年 8 月 Windows 安全更新 (KB5041585) 或相应的预览更新后,双启动系统用户可能会遇到 Linux 启动问题。问题似乎出在“SBAT 自检失败:违反安全策略”上。这组更新为 Windows 设备实现了一项 SBAT 设置,用于阻止旧式、不安全的启动管理器。然而,此设置并非针对被检测到双启动的设备而设计的。遗憾的是,在某些配置下,双启动检测无法识别自定义安装方法,从而错误地应用了 SBAT 限制。
最新补丁中的解决方案
本周传来好消息,微软发布了 2025 年 5 月补丁星期二更新(编号为 KB5058405),有效解决了上述问题。此更新也是 Windows 11 的首个热补丁,对于受此长期漏洞影响的用户来说,这是一个值得关注的里程碑。
发表回复