一、引言2026年Windows最大的物理安全危机2026年5月12日安全研究员Nightmare-Eclipse又名Chaotic Eclipse公开了一个代号为YellowKey黄钥匙的零日漏洞彻底打破了Windows 11默认BitLocker加密的物理安全防线。该漏洞允许攻击者仅通过物理接触设备普通U盘在5分钟内绕过BitLocker全盘加密保护获取系统盘所有未加密数据且全程无需密码、无需网络、无需安装任何软件。与以往需要专业硬件或复杂技术的BitLocker绕过不同YellowKey的利用门槛极低公开的PoC代码几乎可以被任何人复制使用。截至2026年6月1日微软仍未发布正式安全补丁仅提供了临时缓解方案全球数以亿计的Windows 11设备正面临严峻的数据泄露风险。本文将从技术原理、攻击链复现、官方缓解措施到企业级加固方案对YellowKey漏洞进行全面深度解析并提供可直接使用的PowerShell脚本和配置指南。二、漏洞基础信息与影响范围2.1 漏洞基本档案项目详情CVE编号CVE-2026-45585漏洞代号YellowKey黄钥匙漏洞类型安全功能绕过CVSS 3.1评分6.8中高危CVSS 4.0评分7.1高危利用难度极低普通U盘重启即可公开时间2026-05-12微软状态已发布临时缓解方案正式补丁开发中披露方式非协调披露违反负责任披露原则2.2 受影响系统该漏洞仅存在于Windows 11及Windows Server 2025的WinRE恢复环境中Windows 10所有版本均不受影响客户端系统Windows 11 24H2、25H2、26H1仅x64架构服务器系统Windows Server 2025、Windows Server 2025 Core2.3 攻击前置条件攻击者可物理接触目标设备设备丢失、被盗、现场无人看管等场景目标设备使用TPM仅模式的BitLocker加密Windows 11默认配置目标设备未禁用WinRE恢复环境准备一枚普通NTFS/FAT格式U盘三、漏洞原理深度解析3.1 BitLocker TPM仅模式的工作机制要理解YellowKey漏洞首先需要了解BitLocker默认的TPM仅模式工作原理BitLocker是Windows原生的全卷加密技术其核心安全依赖于主板上的TPM 2.0安全芯片。在TPM仅模式下系统安装时BitLocker生成卷主密钥(VMK)并加密存储在TPM芯片中开机时TPM会验证系统启动链的完整性BIOS/UEFI、bootloader、内核等如果启动链未被篡改TPM自动释放VMK系统完成解密并正常启动整个过程无需用户输入任何密码或密钥微软设计这一模式的初衷是为了提升用户体验让加密过程对用户完全透明。但这也埋下了一个隐患只要能进入受信任的启动环境就能自动获得解密后的磁盘访问权限。3.2 WinRE恢复环境的设计缺陷YellowKey漏洞的根源在于Windows恢复环境(WinRE)的两个关键设计缺陷缺陷一WinRE自动解锁TPM保护的系统盘当系统启动进入WinRE时会执行与正常启动完全相同的TPM验证流程。如果验证通过WinRE会自动解锁BitLocker加密的系统盘并挂载为只读模式以便恢复工具能够访问和修复系统文件。缺陷二autofstx.exe的权限隔离缺失WinRE内置了一个名为autofstx.exe的工具全称是FsTx自动恢复实用程序。它的作用是在系统启动时自动扫描所有挂载卷包括外接U盘中的\System Volume Information\FsTx目录并重放其中的事务性NTFS(TxF)日志以修复可能的文件系统损坏。问题在于autofstx.exe以SYSTEM最高权限运行它会无条件重放任何外接存储设备中的TxF日志重放操作可以修改本地系统盘上的文件而不仅仅是日志所在的U盘3.3 完整攻击链流程图攻击者准备恶意U盘 ↓ 在U盘根目录创建\System Volume Information\FsTx目录 ↓ 写入包含删除winpeshl.ini指令的恶意TxF日志 ↓ 将U盘插入目标设备 ↓ 通过Shift重启进入WinRE恢复环境 ↓ WinRE自动运行autofstx.exe ↓ autofstx.exe重放U盘内的恶意TxF日志 ↓ 以SYSTEM权限删除WinRE系统盘上的winpeshl.ini ↓ 重启设备并按住Ctrl键 ↓ WinRE因配置文件缺失直接弹出SYSTEM级命令行 ↓ 系统盘已自动解锁攻击者可访问所有数据3.4 关键技术点TxF事务日志事务性NTFS(TxF)是Windows Vista引入的文件系统功能它允许将多个文件操作组合成一个原子事务要么全部成功要么全部失败。TxF日志文件存储在每个卷的\System Volume Information\FsTx目录下记录了所有未提交的文件系统事务。YellowKey漏洞利用的正是TxF日志的重放机制。攻击者可以在自己的电脑上创建一个包含特定文件删除操作的TxF事务然后将生成的日志文件复制到U盘中。当WinRE中的autofstx.exe重放这个日志时就会在目标系统上执行相同的文件删除操作。四、完整攻击链复现步骤以下是YellowKey漏洞的完整复现步骤仅用于安全研究目的步骤1制作恶意U盘准备一个空U盘格式化为NTFS或FAT32格式在U盘根目录创建System Volume Information文件夹在该文件夹内创建FsTx子文件夹将公开PoC中的恶意TxF日志文件复制到FsTx目录下步骤2触发漏洞将恶意U盘插入目标Windows 11设备按住Shift键同时点击开始菜单中的重启按钮系统将自动进入WinRE恢复环境等待WinRE加载完成系统会自动重启在重启过程中按住Ctrl键不放系统将直接弹出一个黑色的命令提示符窗口步骤3访问加密数据此时弹出的命令提示符运行在SYSTEM权限下并且BitLocker加密的系统盘已经被自动解锁并挂载为C:盘。攻击者可以执行以下操作# 查看系统盘所有文件 dir C:\ # 复制用户文档到U盘 xcopy C:\Users\用户名\Documents D:\备份 /E /H /R # 导出系统注册表 reg export HKLM\SYSTEM D:\system.reg reg export HKLM\SAM D:\sam.reg整个攻击过程耗时不超过5分钟且几乎没有任何日志残留PoC中的恶意文件会在执行后自动删除。五、微软官方临时缓解方案详解在正式补丁发布前微软于2026年5月20日发布了官方临时缓解方案核心思路是禁用WinRE中的autofstx.exe程序从根源切断漏洞利用路径。5.1 官方PowerShell缓解脚本以下是微软官方提供的PowerShell脚本可一键完成缓解操作# .SYNOPSIS 从WinRE的BootExecute注册表值中移除autofstx.exe .DESCRIPTION 此脚本用于缓解CVE-2026-45585 YellowKey漏洞 它会挂载WinRE镜像修改其注册表然后重新建立BitLocker信任 .NOTES 必须以管理员身份运行 此修改不会影响系统正常使用 微软正式补丁发布后会自动保留此缓解措施 ## 检查管理员权限if(-not([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)){Write-Error请以管理员身份运行此脚本exit1}# 检查WinRE是否启用$reagentcOutput reagentc/infoif($reagentcOutput-matchWindows RE 状态:.*已禁用){Write-HostWinRE已禁用无需应用此缓解措施exit0}# 挂载WinRE镜像mkdir C:\WinREMount-Force|Out-Nulldism/mount-wim/wimfile:C:\Recovery\WindowsRE\winre.wim/index:1/mountdir:C:\WinREMount# 加载WinRE的SYSTEM注册表配置单元reg load HKLM\WinRE_SYSTEM C:\WinREMount\Windows\System32\config\SYSTEM# 读取当前BootExecute值$bootExecuteGet-ItemProperty-PathHKLM:\WinRE_SYSTEM\ControlSet001\Control\Session Manager-NameBootExecute|Select-Object-ExpandProperty BootExecute# 移除autofstx.exe条目$newBootExecute$bootExecute|Where-Object{$_-neautofstx.exe}# 写回修改后的值Set-ItemProperty-PathHKLM:\WinRE_SYSTEM\ControlSet001\Control\Session Manager-NameBootExecute-Value$newBootExecute# 卸载注册表配置单元reg unload HKLM\WinRE_SYSTEM# 卸载并提交WinRE镜像dism/unmount-wim/mountdir:C:\WinREMount/commit# 重新建立WinRE的BitLocker信任reagentc/disable reagentc/enable# 清理临时目录rmdirC:\WinREMount-ForceWrite-Host缓解措施已成功应用Write-Host请重启电脑使更改生效5.2 脚本执行说明将上述代码保存为Remove-AutoFsTxFromWinRE.ps1右键点击开始菜单选择Windows PowerShell(管理员)执行以下命令允许脚本运行Set-ExecutionPolicyRemoteSigned-Scope CurrentUser运行脚本.\Remove-AutoFsTxFromWinRE.ps1重启电脑使更改生效5.3 企业批量部署对于企业环境可以通过以下方式批量部署此缓解措施使用Microsoft Intune将脚本推送到所有受影响设备使用组策略的启动脚本功能执行使用SCCM/MECM进行大规模部署微软确认此缓解措施不会影响系统的正常功能和恢复能力且在正式补丁发布后无需回滚补丁会自动保留此修改。六、最佳实践TPMPIN模式完整配置指南虽然禁用autofstx.exe可以有效缓解YellowKey漏洞但将BitLocker从TPM仅模式切换为TPMPIN模式才是最彻底、最长期的解决方案。TPMPIN模式要求用户在开机时输入PIN码才能解锁磁盘即使攻击者能够物理接触设备也无法绕过身份验证。6.1 个人用户配置步骤前置要求设备主板已启用TPM 2.0芯片Windows 11标配当前BitLocker已开启拥有管理员权限已备份BitLocker恢复密钥至关重要配置步骤打开控制面板进入【系统和安全】→【BitLocker驱动器加密】找到已加密的系统盘通常是C:盘点击【更改启动时的解锁方式】在弹出的窗口中选择需要PIN才能启动输入并确认您的PIN码建议使用6位以上数字或启用增强PIN使用字母数字组合点击【设置PIN】按钮完成配置重启电脑验证配置是否生效6.2 启用增强PIN字母数字组合默认情况下BitLocker PIN只能使用数字。如果需要更高的安全性可以启用增强PIN允许使用字母、数字和特殊字符按WinR键输入gpedit.msc打开本地组策略编辑器导航到计算机配置→管理模板→Windows组件→BitLocker驱动器加密→操作系统驱动器双击右侧的允许用于启动的增强PIN策略选择已启用然后点击【确定】按照上述步骤重新设置PIN码此时就可以使用字母数字组合了6.3 企业级组策略批量配置对于企业环境可以通过组策略强制所有设备使用TPMPIN模式在域控制器上打开组策略管理控制台创建一个新的组策略对象并链接到相应的OU编辑组策略导航到计算机配置\管理模板\Windows组件\BitLocker驱动器加密\操作系统驱动器配置以下策略策略名称推荐值说明启动时需要额外的身份验证已启用强制使用TPMPIN配置TPM启动PIN使用TPM时需要启动PIN不允许仅TPM模式允许用于启动的增强PIN已启用允许使用字母数字PIN为启动配置最小PIN长度已启用最小长度8位提高PIN强度将BitLocker恢复信息存储在Active Directory中已启用自动备份恢复密钥到AD刷新客户端组策略gpupdate /force七、漏洞影响评估与风险分析7.1 不同场景的风险等级场景风险等级说明经常携带外出的笔记本电脑极高丢失或被盗后数据极易泄露办公室无人看管的台式机高内部人员或访客可轻易利用机房内的服务器中物理访问受限但仍存在内部威胁家中的台式机低物理访问控制严格已配置TPMPIN的设备无完全不受此漏洞影响7.2 对企业的影响YellowKey漏洞对企业的影响尤为严重数据泄露风险员工笔记本电脑丢失或被盗后企业敏感数据客户信息、财务数据、知识产权等将完全暴露合规风险许多行业法规如GDPR、HIPAA、PCI DSS要求对敏感数据进行有效加密此漏洞可能导致企业违反合规要求取证困难攻击过程几乎没有日志残留难以追踪和调查业务中断攻击者不仅可以读取数据还可以修改系统文件植入恶意软件导致业务中断7.3 常见误区澄清❌误区一YellowKey破解了AES加密算法✅事实YellowKey没有破解任何加密算法它只是绕过了身份验证机制直接获取了已经解密的磁盘访问权限❌误区二Windows 10也会受到影响✅事实此漏洞仅存在于Windows 11和Windows Server 2025的WinRE中Windows 10完全不受影响❌误区三TPMPIN模式也能被绕过✅事实微软和多位独立安全研究人员已确认TPMPIN模式完全不受此漏洞影响❌误区四禁用USB端口可以防止攻击✅事实攻击者还可以通过修改EFI分区来植入恶意TxF日志禁用USB端口不能完全防范此漏洞八、前瞻性思考WinRE安全设计的反思YellowKey漏洞的爆发暴露了微软在WinRE安全设计上的重大缺陷也引发了业界对Windows恢复环境安全性的广泛讨论。8.1 过度信任本地存储WinRE的设计理念是帮助用户修复无法启动的系统因此它被赋予了极高的权限并且过度信任本地存储设备。微软显然没有考虑到物理攻击者可以利用这种信任来绕过安全机制。未来的WinRE设计应该遵循最小权限原则只有在用户明确授权的情况下才能解锁BitLocker加密盘禁止自动处理外接存储设备中的文件系统日志对恢复环境中的所有操作进行严格的权限控制和审计8.2 TPM仅模式的安全局限性YellowKey漏洞再次证明TPM仅模式不足以提供足够的物理安全保护。虽然它可以防止硬盘被移除后在其他电脑上读取但无法防止攻击者在原设备上利用系统漏洞绕过加密。微软应该重新考虑BitLocker的默认配置将TPMPIN作为新设备的默认加密模式简化PIN码的设置流程降低用户使用门槛提供更灵活的身份验证选项如生物识别、智能卡等8.3 恢复环境的安全隔离WinRE作为一个独立的操作系统应该与主系统进行更严格的安全隔离使用单独的密钥加密WinRE镜像禁止WinRE访问主系统的敏感数据对WinRE中的所有工具进行沙箱化处理九、常见问题解答Q1我已经禁用了WinRE还需要应用其他缓解措施吗A如果您已经完全禁用了WinRE恢复环境那么您的设备不会受到YellowKey漏洞的影响。但请注意禁用WinRE会导致您无法使用系统恢复功能如系统还原、自动修复等。Q2应用了微软的缓解脚本后还需要切换到TPMPIN模式吗A虽然微软的缓解脚本可以有效防止YellowKey漏洞但我们仍然强烈建议您切换到TPMPIN模式。这不仅可以防范此漏洞还可以提高BitLocker的整体安全性防范未来可能出现的其他物理攻击。Q3如果我忘记了PIN码怎么办A如果您忘记了PIN码可以使用BitLocker恢复密钥来解锁系统。因此在设置PIN码之前一定要确保已经备份了恢复密钥。建议将恢复密钥打印出来并保存在安全的地方不要存储在电脑上。Q4微软什么时候会发布正式补丁A截至2026年6月1日微软尚未公布正式补丁的发布日期。微软表示正在积极开发补丁并将在完成测试后通过Windows Update推送。建议您持续关注微软安全公告。Q5此漏洞可以被远程利用吗A不可以。YellowKey漏洞只能在物理接触设备的情况下被利用无法通过网络远程攻击。十、总结与后续关注YellowKey漏洞CVE-2026-45585是近年来影响最广泛的BitLocker绕过漏洞它利用Windows恢复环境的设计缺陷让物理攻击者可以轻易绕过默认配置的BitLocker加密保护。在微软发布正式补丁之前所有使用Windows 11 24H2/25H2/26H1和Windows Server 2025的用户都应该立即采取以下防护措施优先将BitLocker从TPM仅模式切换为TPMPIN模式最彻底的解决方案如果暂时无法切换运行本文提供的微软官方PowerShell脚本禁用autofstx.exe加强设备的物理安全管理避免设备丢失或无人看管定期备份重要数据以防万一我们将持续关注微软的补丁发布动态并在第一时间更新本文内容。同时也建议企业安全团队加强对物理安全的重视建立完善的设备管理和数据保护体系。
CVE-2026-45585 YellowKey深度解析:物理访问5分钟绕过BitLocker全盘加密(附完整缓解脚本与配置指南)
一、引言2026年Windows最大的物理安全危机2026年5月12日安全研究员Nightmare-Eclipse又名Chaotic Eclipse公开了一个代号为YellowKey黄钥匙的零日漏洞彻底打破了Windows 11默认BitLocker加密的物理安全防线。该漏洞允许攻击者仅通过物理接触设备普通U盘在5分钟内绕过BitLocker全盘加密保护获取系统盘所有未加密数据且全程无需密码、无需网络、无需安装任何软件。与以往需要专业硬件或复杂技术的BitLocker绕过不同YellowKey的利用门槛极低公开的PoC代码几乎可以被任何人复制使用。截至2026年6月1日微软仍未发布正式安全补丁仅提供了临时缓解方案全球数以亿计的Windows 11设备正面临严峻的数据泄露风险。本文将从技术原理、攻击链复现、官方缓解措施到企业级加固方案对YellowKey漏洞进行全面深度解析并提供可直接使用的PowerShell脚本和配置指南。二、漏洞基础信息与影响范围2.1 漏洞基本档案项目详情CVE编号CVE-2026-45585漏洞代号YellowKey黄钥匙漏洞类型安全功能绕过CVSS 3.1评分6.8中高危CVSS 4.0评分7.1高危利用难度极低普通U盘重启即可公开时间2026-05-12微软状态已发布临时缓解方案正式补丁开发中披露方式非协调披露违反负责任披露原则2.2 受影响系统该漏洞仅存在于Windows 11及Windows Server 2025的WinRE恢复环境中Windows 10所有版本均不受影响客户端系统Windows 11 24H2、25H2、26H1仅x64架构服务器系统Windows Server 2025、Windows Server 2025 Core2.3 攻击前置条件攻击者可物理接触目标设备设备丢失、被盗、现场无人看管等场景目标设备使用TPM仅模式的BitLocker加密Windows 11默认配置目标设备未禁用WinRE恢复环境准备一枚普通NTFS/FAT格式U盘三、漏洞原理深度解析3.1 BitLocker TPM仅模式的工作机制要理解YellowKey漏洞首先需要了解BitLocker默认的TPM仅模式工作原理BitLocker是Windows原生的全卷加密技术其核心安全依赖于主板上的TPM 2.0安全芯片。在TPM仅模式下系统安装时BitLocker生成卷主密钥(VMK)并加密存储在TPM芯片中开机时TPM会验证系统启动链的完整性BIOS/UEFI、bootloader、内核等如果启动链未被篡改TPM自动释放VMK系统完成解密并正常启动整个过程无需用户输入任何密码或密钥微软设计这一模式的初衷是为了提升用户体验让加密过程对用户完全透明。但这也埋下了一个隐患只要能进入受信任的启动环境就能自动获得解密后的磁盘访问权限。3.2 WinRE恢复环境的设计缺陷YellowKey漏洞的根源在于Windows恢复环境(WinRE)的两个关键设计缺陷缺陷一WinRE自动解锁TPM保护的系统盘当系统启动进入WinRE时会执行与正常启动完全相同的TPM验证流程。如果验证通过WinRE会自动解锁BitLocker加密的系统盘并挂载为只读模式以便恢复工具能够访问和修复系统文件。缺陷二autofstx.exe的权限隔离缺失WinRE内置了一个名为autofstx.exe的工具全称是FsTx自动恢复实用程序。它的作用是在系统启动时自动扫描所有挂载卷包括外接U盘中的\System Volume Information\FsTx目录并重放其中的事务性NTFS(TxF)日志以修复可能的文件系统损坏。问题在于autofstx.exe以SYSTEM最高权限运行它会无条件重放任何外接存储设备中的TxF日志重放操作可以修改本地系统盘上的文件而不仅仅是日志所在的U盘3.3 完整攻击链流程图攻击者准备恶意U盘 ↓ 在U盘根目录创建\System Volume Information\FsTx目录 ↓ 写入包含删除winpeshl.ini指令的恶意TxF日志 ↓ 将U盘插入目标设备 ↓ 通过Shift重启进入WinRE恢复环境 ↓ WinRE自动运行autofstx.exe ↓ autofstx.exe重放U盘内的恶意TxF日志 ↓ 以SYSTEM权限删除WinRE系统盘上的winpeshl.ini ↓ 重启设备并按住Ctrl键 ↓ WinRE因配置文件缺失直接弹出SYSTEM级命令行 ↓ 系统盘已自动解锁攻击者可访问所有数据3.4 关键技术点TxF事务日志事务性NTFS(TxF)是Windows Vista引入的文件系统功能它允许将多个文件操作组合成一个原子事务要么全部成功要么全部失败。TxF日志文件存储在每个卷的\System Volume Information\FsTx目录下记录了所有未提交的文件系统事务。YellowKey漏洞利用的正是TxF日志的重放机制。攻击者可以在自己的电脑上创建一个包含特定文件删除操作的TxF事务然后将生成的日志文件复制到U盘中。当WinRE中的autofstx.exe重放这个日志时就会在目标系统上执行相同的文件删除操作。四、完整攻击链复现步骤以下是YellowKey漏洞的完整复现步骤仅用于安全研究目的步骤1制作恶意U盘准备一个空U盘格式化为NTFS或FAT32格式在U盘根目录创建System Volume Information文件夹在该文件夹内创建FsTx子文件夹将公开PoC中的恶意TxF日志文件复制到FsTx目录下步骤2触发漏洞将恶意U盘插入目标Windows 11设备按住Shift键同时点击开始菜单中的重启按钮系统将自动进入WinRE恢复环境等待WinRE加载完成系统会自动重启在重启过程中按住Ctrl键不放系统将直接弹出一个黑色的命令提示符窗口步骤3访问加密数据此时弹出的命令提示符运行在SYSTEM权限下并且BitLocker加密的系统盘已经被自动解锁并挂载为C:盘。攻击者可以执行以下操作# 查看系统盘所有文件 dir C:\ # 复制用户文档到U盘 xcopy C:\Users\用户名\Documents D:\备份 /E /H /R # 导出系统注册表 reg export HKLM\SYSTEM D:\system.reg reg export HKLM\SAM D:\sam.reg整个攻击过程耗时不超过5分钟且几乎没有任何日志残留PoC中的恶意文件会在执行后自动删除。五、微软官方临时缓解方案详解在正式补丁发布前微软于2026年5月20日发布了官方临时缓解方案核心思路是禁用WinRE中的autofstx.exe程序从根源切断漏洞利用路径。5.1 官方PowerShell缓解脚本以下是微软官方提供的PowerShell脚本可一键完成缓解操作# .SYNOPSIS 从WinRE的BootExecute注册表值中移除autofstx.exe .DESCRIPTION 此脚本用于缓解CVE-2026-45585 YellowKey漏洞 它会挂载WinRE镜像修改其注册表然后重新建立BitLocker信任 .NOTES 必须以管理员身份运行 此修改不会影响系统正常使用 微软正式补丁发布后会自动保留此缓解措施 ## 检查管理员权限if(-not([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)){Write-Error请以管理员身份运行此脚本exit1}# 检查WinRE是否启用$reagentcOutput reagentc/infoif($reagentcOutput-matchWindows RE 状态:.*已禁用){Write-HostWinRE已禁用无需应用此缓解措施exit0}# 挂载WinRE镜像mkdir C:\WinREMount-Force|Out-Nulldism/mount-wim/wimfile:C:\Recovery\WindowsRE\winre.wim/index:1/mountdir:C:\WinREMount# 加载WinRE的SYSTEM注册表配置单元reg load HKLM\WinRE_SYSTEM C:\WinREMount\Windows\System32\config\SYSTEM# 读取当前BootExecute值$bootExecuteGet-ItemProperty-PathHKLM:\WinRE_SYSTEM\ControlSet001\Control\Session Manager-NameBootExecute|Select-Object-ExpandProperty BootExecute# 移除autofstx.exe条目$newBootExecute$bootExecute|Where-Object{$_-neautofstx.exe}# 写回修改后的值Set-ItemProperty-PathHKLM:\WinRE_SYSTEM\ControlSet001\Control\Session Manager-NameBootExecute-Value$newBootExecute# 卸载注册表配置单元reg unload HKLM\WinRE_SYSTEM# 卸载并提交WinRE镜像dism/unmount-wim/mountdir:C:\WinREMount/commit# 重新建立WinRE的BitLocker信任reagentc/disable reagentc/enable# 清理临时目录rmdirC:\WinREMount-ForceWrite-Host缓解措施已成功应用Write-Host请重启电脑使更改生效5.2 脚本执行说明将上述代码保存为Remove-AutoFsTxFromWinRE.ps1右键点击开始菜单选择Windows PowerShell(管理员)执行以下命令允许脚本运行Set-ExecutionPolicyRemoteSigned-Scope CurrentUser运行脚本.\Remove-AutoFsTxFromWinRE.ps1重启电脑使更改生效5.3 企业批量部署对于企业环境可以通过以下方式批量部署此缓解措施使用Microsoft Intune将脚本推送到所有受影响设备使用组策略的启动脚本功能执行使用SCCM/MECM进行大规模部署微软确认此缓解措施不会影响系统的正常功能和恢复能力且在正式补丁发布后无需回滚补丁会自动保留此修改。六、最佳实践TPMPIN模式完整配置指南虽然禁用autofstx.exe可以有效缓解YellowKey漏洞但将BitLocker从TPM仅模式切换为TPMPIN模式才是最彻底、最长期的解决方案。TPMPIN模式要求用户在开机时输入PIN码才能解锁磁盘即使攻击者能够物理接触设备也无法绕过身份验证。6.1 个人用户配置步骤前置要求设备主板已启用TPM 2.0芯片Windows 11标配当前BitLocker已开启拥有管理员权限已备份BitLocker恢复密钥至关重要配置步骤打开控制面板进入【系统和安全】→【BitLocker驱动器加密】找到已加密的系统盘通常是C:盘点击【更改启动时的解锁方式】在弹出的窗口中选择需要PIN才能启动输入并确认您的PIN码建议使用6位以上数字或启用增强PIN使用字母数字组合点击【设置PIN】按钮完成配置重启电脑验证配置是否生效6.2 启用增强PIN字母数字组合默认情况下BitLocker PIN只能使用数字。如果需要更高的安全性可以启用增强PIN允许使用字母、数字和特殊字符按WinR键输入gpedit.msc打开本地组策略编辑器导航到计算机配置→管理模板→Windows组件→BitLocker驱动器加密→操作系统驱动器双击右侧的允许用于启动的增强PIN策略选择已启用然后点击【确定】按照上述步骤重新设置PIN码此时就可以使用字母数字组合了6.3 企业级组策略批量配置对于企业环境可以通过组策略强制所有设备使用TPMPIN模式在域控制器上打开组策略管理控制台创建一个新的组策略对象并链接到相应的OU编辑组策略导航到计算机配置\管理模板\Windows组件\BitLocker驱动器加密\操作系统驱动器配置以下策略策略名称推荐值说明启动时需要额外的身份验证已启用强制使用TPMPIN配置TPM启动PIN使用TPM时需要启动PIN不允许仅TPM模式允许用于启动的增强PIN已启用允许使用字母数字PIN为启动配置最小PIN长度已启用最小长度8位提高PIN强度将BitLocker恢复信息存储在Active Directory中已启用自动备份恢复密钥到AD刷新客户端组策略gpupdate /force七、漏洞影响评估与风险分析7.1 不同场景的风险等级场景风险等级说明经常携带外出的笔记本电脑极高丢失或被盗后数据极易泄露办公室无人看管的台式机高内部人员或访客可轻易利用机房内的服务器中物理访问受限但仍存在内部威胁家中的台式机低物理访问控制严格已配置TPMPIN的设备无完全不受此漏洞影响7.2 对企业的影响YellowKey漏洞对企业的影响尤为严重数据泄露风险员工笔记本电脑丢失或被盗后企业敏感数据客户信息、财务数据、知识产权等将完全暴露合规风险许多行业法规如GDPR、HIPAA、PCI DSS要求对敏感数据进行有效加密此漏洞可能导致企业违反合规要求取证困难攻击过程几乎没有日志残留难以追踪和调查业务中断攻击者不仅可以读取数据还可以修改系统文件植入恶意软件导致业务中断7.3 常见误区澄清❌误区一YellowKey破解了AES加密算法✅事实YellowKey没有破解任何加密算法它只是绕过了身份验证机制直接获取了已经解密的磁盘访问权限❌误区二Windows 10也会受到影响✅事实此漏洞仅存在于Windows 11和Windows Server 2025的WinRE中Windows 10完全不受影响❌误区三TPMPIN模式也能被绕过✅事实微软和多位独立安全研究人员已确认TPMPIN模式完全不受此漏洞影响❌误区四禁用USB端口可以防止攻击✅事实攻击者还可以通过修改EFI分区来植入恶意TxF日志禁用USB端口不能完全防范此漏洞八、前瞻性思考WinRE安全设计的反思YellowKey漏洞的爆发暴露了微软在WinRE安全设计上的重大缺陷也引发了业界对Windows恢复环境安全性的广泛讨论。8.1 过度信任本地存储WinRE的设计理念是帮助用户修复无法启动的系统因此它被赋予了极高的权限并且过度信任本地存储设备。微软显然没有考虑到物理攻击者可以利用这种信任来绕过安全机制。未来的WinRE设计应该遵循最小权限原则只有在用户明确授权的情况下才能解锁BitLocker加密盘禁止自动处理外接存储设备中的文件系统日志对恢复环境中的所有操作进行严格的权限控制和审计8.2 TPM仅模式的安全局限性YellowKey漏洞再次证明TPM仅模式不足以提供足够的物理安全保护。虽然它可以防止硬盘被移除后在其他电脑上读取但无法防止攻击者在原设备上利用系统漏洞绕过加密。微软应该重新考虑BitLocker的默认配置将TPMPIN作为新设备的默认加密模式简化PIN码的设置流程降低用户使用门槛提供更灵活的身份验证选项如生物识别、智能卡等8.3 恢复环境的安全隔离WinRE作为一个独立的操作系统应该与主系统进行更严格的安全隔离使用单独的密钥加密WinRE镜像禁止WinRE访问主系统的敏感数据对WinRE中的所有工具进行沙箱化处理九、常见问题解答Q1我已经禁用了WinRE还需要应用其他缓解措施吗A如果您已经完全禁用了WinRE恢复环境那么您的设备不会受到YellowKey漏洞的影响。但请注意禁用WinRE会导致您无法使用系统恢复功能如系统还原、自动修复等。Q2应用了微软的缓解脚本后还需要切换到TPMPIN模式吗A虽然微软的缓解脚本可以有效防止YellowKey漏洞但我们仍然强烈建议您切换到TPMPIN模式。这不仅可以防范此漏洞还可以提高BitLocker的整体安全性防范未来可能出现的其他物理攻击。Q3如果我忘记了PIN码怎么办A如果您忘记了PIN码可以使用BitLocker恢复密钥来解锁系统。因此在设置PIN码之前一定要确保已经备份了恢复密钥。建议将恢复密钥打印出来并保存在安全的地方不要存储在电脑上。Q4微软什么时候会发布正式补丁A截至2026年6月1日微软尚未公布正式补丁的发布日期。微软表示正在积极开发补丁并将在完成测试后通过Windows Update推送。建议您持续关注微软安全公告。Q5此漏洞可以被远程利用吗A不可以。YellowKey漏洞只能在物理接触设备的情况下被利用无法通过网络远程攻击。十、总结与后续关注YellowKey漏洞CVE-2026-45585是近年来影响最广泛的BitLocker绕过漏洞它利用Windows恢复环境的设计缺陷让物理攻击者可以轻易绕过默认配置的BitLocker加密保护。在微软发布正式补丁之前所有使用Windows 11 24H2/25H2/26H1和Windows Server 2025的用户都应该立即采取以下防护措施优先将BitLocker从TPM仅模式切换为TPMPIN模式最彻底的解决方案如果暂时无法切换运行本文提供的微软官方PowerShell脚本禁用autofstx.exe加强设备的物理安全管理避免设备丢失或无人看管定期备份重要数据以防万一我们将持续关注微软的补丁发布动态并在第一时间更新本文内容。同时也建议企业安全团队加强对物理安全的重视建立完善的设备管理和数据保护体系。
