Windows 11 时间点还原功能概览
Windows 11 时间点还原功能概览
微软 11月21日发布的 Windows 11 Insider Preview Build 26220.7271 (Dev & Beta Channels) 公告中提到了一个新的功能“Point-in-time restore” - 时间点还原!这是在“快速计算机恢复” - QMR 之后又一个 Windows 恢复功能。时间点还原旨在使用户能够快速将设备恢复到之前备份的完整状态之下,帮助减少停机的时间,并有效简化故障排查所耗费的人力和时间成本。
该功能逻辑是通过 VSS 技术定期备份整个系统的状态,实现当需要对设备系统进行完整状态恢复时可通过 WinRE 加载并进行恢复。如果你已经安装了 26220.7271 便可以在 Windows “设置” 应用中定位到 “系统 - 恢复” 页面中找到“时间点还原”。
目前时间点还原包含以下几个选项:
- 功能开/关,如果为启用状态,还原点会自动被创建。如果当前硬盘容量大于200GB,则该功能默认启用,否则需要手动开启。
- 还原点频率,即控制备份的频率,可配置为每4,12,16,24小时备份一次。默认为每24小时备份一次。
- 还原点保留期,定义了还原点在系统上保存的时间长度,直到它们被自动删除。可配置为6,12,16,24,72小时。默认为72小时。
- 最大用量限制,定义了 VSS 在设备上捕获还原点所占的总容量的上限。最低为2G,默认为2%。我们可以分配更大的容量空间,未使用的剩余空间仍旧可以被系统使用,所以它不是一个固定的保留空间。
由于时间点还原在启用后是在后台自动执行捕获备份的,所以我们当前还无法确认它的实际进度。当我们要对系统进行完整的恢复时,只需要进入 Windows 高级启动模式即可在"疑难解答"页面中看到“时间点恢复”选项,如下图所示:
需要注意,如果设备之前启用了 BitLocker,必须获取恢复密钥才能使用时间点还原对设备进行恢复。
说到这里,gOxiA 肯定大家也会有一些疑惑,时间点还原看起来很像 Windows 的另一个功能 - “系统保护”/“系统还原”。
它们都基于 VSS 技术对硬盘数据进行快照,但却有很大的不同,具体可参考下表。
| 时间点还原 | 系统还原 | |
| 配置 | 系统设置 | 控制面板 |
| 触发 | 定时,仅自动 | 事件或手动 |
| 保留 | 每个还原点最长72小时 | 无限期 |
| 目标范围 | 全系统状态,包含用户数据 | 系统文件和设置,应用和用户数据范围各异 |
| 影响 | 设计以最小化存储影响 | 对存储空间的影响更大 |
| 管理 | 将支持强大的远程管理 | 无现代管理 |
此外,我们还需要关注时间点还原功能的以下方面:
- 恢复只能在 WinRE 本地发起。
- 如果硬盘已 Bitlocker 加密,Bitlocker 恢复密钥是必须的。
- 设备关机、睡眠或现代待机模式,重启或硬盘满载等情况下,将无法保证还原点能在配置的准确频率下被捕获。
- 使用 EFS 加密文件时可能会影响时间点恢复的可靠性。
- 对于拥有多个卷的设备,只有 MainOS 卷会被恢复。
- 不支持导出或挂载还原点作为独立映像。
本文最后的知识点,时间点还原是一种全面的恢复解决方案,意味着整个系统状态,包含用户文件、应用程序、设置、密码、证书等数据都会被恢复到所选的还原点状态,所以还原点之后的任何本地数据都会丢失。但存储在云服务(OneDrive)中的数据不会受到影响。由于时间点还原功能还处在测试预览状态,gOxiA 会密切关注这一功能的改进,并提交使用反馈!如果你有任何想法也可以一起交流探讨。
推荐官方文档:
HOWTO: 解决 Windows Insider 0x800BFA0E 错误
HOWTO: 解决 Windows Insider 0x800BFA0E 错误
好久没有分享关于排错的日志,今天简单分享一个最近遇到的 Windows Insider 0x800BFA0E 错误,该错误代码是 Windows Insider Program 专有的,而且官方没有披露相关代码的含义,在 Windows Insider Troubleshooting 中也没有找到任何线索,那我们该如何着手去排错呢?!
回顾该设备的历史情况,已加入到 Intune,使用 M365 账号的登录,先前可见 Windows 预览体验计划是被预先配置的,因为用户无法更改。转到 Intune 管理中心排查设备策略,初步怀疑与更新策略有关。
检查默认的更新策略,发现“启用预发布的内部版本”为未配置,查询 Intune 审核日志可见该策略之前有被重新修改,经确认该配置之前未启用状态,且发布频道设定为“Windows 预览体验计划 - 发布预览”,之后因某些设备要更改发布频道,则在 Intune 上变更了该策略以允许用户自行配置,之后该策略设置在设备端被取消,用户可自主控制 Windows Insider 频道,在加入过程中便于到了前面截图中的 0x800BFA0E 错误。
综上所述,问题应该发生在策略设置取消后,之前的配置信息残留在了某个位置。Windows 上重要的配置存储就是注册表了,当然也可能保存在某些文件中,比较繁琐的排查方法是检索那些关键词,例如先从微软官方文档中了解到发布频道的信息 - Deeper look at flighting,然后逐步去排查可疑信息的位置。
如果你也能够非常熟练使用 Sysinternals,那将变得非常容易。哦!说到这里我需要特别致敬一下我非常敬重的一个技术超群的殿堂级大佬 - Mark Russionovich,有幸在 2011 年亚特兰大见过一面,还拿到了亲笔签名的 Zero Day: A Novel!
炫完回归正题,经排查确认 Windows Insider 相关信息仅保存在注册表中,项值“WindowsSelfHost”,位于“HKLM\SOFTWARE\Microsoft”,如果你有兴趣可以逐一查阅其中的信息,那么下来要解决我们当前遇到的问题只需要删除 WindowsSelfHost 项即可,可以使用命令行,或者使用注册表编辑器,随你的喜好!
reg delete "HKLM\SOFTWARE\Microsoft\WindowsSelfHost" /f
最后重新启动设备便可手动重新注册并选择发布频道!
HOWTO: 升级 Secure Boot 证书解决2026年到期问题
HOWTO: 升级 Secure Boot 证书解决2026年到期问题
在开始我们今天的话题前应该先了解一下 Secure Boot(安全启动),它是基于 UEFI 提供的一项安全功能,确保设备加电启动后仅能够从受信任的程序执行启动。这是保护操作系统的第一步,它的工作原理十分容易理解,在设备 UEFI 中预置了受信证书,当我们的设备要执行启动的程序包含匹配的受信证书,则设备会继续执行启动,否则失败!
安全启动在 Windows 上通过其内核的受信任启动序列从 UEFI 创建安全可信的启动路径,其示意如下,这一过程首先验证固件是否已进行数字签名,从而降低固件 rootkit 的风险。然后,安全启动会检查操作系统之前运行的代码,并检查启动加载程序的数字签名。
Secure Boot 最初是在 Windows 8 总引入的,直至今日的 Windows 11。早前微软已公布相关的启动证书将于2026年过期,参考如下:
Microsoft Corporation KEK CA 2011,2026年6月到期,KEK,对 DB 和 DBX 进行签名更新,更新后:Microsoft Corporation KEK 2K CA 2023。
Microsoft Windows Production PCA 2011,2026年10月到期,DB,用于对 Windows 引导加载程序进行签名,更新后:Windows UEFI CA 2023。
Microsoft UEFI CA 2011,2026年6月到期,DB,对第三方引导加载程序和 EFI 应用程序进行签名,更新后:Microsoft UEFI CA 2023。
Microsoft UEFI CA 2011,2026年6月到期,DB,签署第三方选项 ROM,更新后:Microsoft Option ROM UEFI CA 2023。
如果你或你所管理的组织设备已启用 Secure Boot,则需要重点进行设备信息的调查汇总并指定响应的更新计划并着手开始实施。因为当这些 CA 过期后,系统将停止接收 Windows 启动管理器和安全启动组件的安全修补程序,并影响 Windows 设备的整体安全性。
首先,我们需要确认设备是否启用了 Secure Boot,可以通过 msinfo32 查看,或使用 PowerShell 命令:Confirm-SecureBootUEFI。
然后,联系或检查设备 OEM 供应商是否提供了对应的 UEFI 更新固件,根据说明进行操作。
更新固件后,可以通过检查以下注册表键值来进行确认是否应用了 Windows UEFI CA 2023 签名启动管理器。
“HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing”,UEFICA2023Status 值为 Updated 时表示已完成并应用更新。否则我们需要借助 OEM 的 UEFI 更新程序或微软提供的方案执行。
我们也可以在 PowerShell 中执行以下命令,进行 Windows UEFI CA 2023 的检查。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
当然,启动设备进入 UEFI 界面也是一个非常直接的方法。
是的,你没有看错前面的描述,微软也提供了更新 UEFI 固件证书的方法,但如果不适用当前设备,则需要由 OEM 提供支持。我们可以参考以下几种方案:
1. 安装 Windows Update,这是最简单有效的办法!注意:根据微软 KB5036210 的说明,从 2024年 2月 13日及之后发布的 Windows 更新包含了 Windows UEFI CA 2023 证书应用于 UEFI 安全启动允许签名数据库(DB)。
2. 对于组织用户,同理在满足基本系统版本需求的前提下,可以通过注册表、GPO 和 WinCS 的方式立刻开始更新。对于注册表,运行以下命令行。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
第一条命令将启动证书和启动管理器部署,第二条会立刻运行 AvailableUpdates 所对应的计划任务,否则需等待每 12小时运行一次。当重启设备后其键值变为 0x4100 后,可在执行上面的任务计划,触发启动管理器更新。整个过程 IT 人员都可以通过检查 UEFICA2023Status 和 UEFICA2023Error 注册表键值或 DB 和 DBX 事件(ID 1801,1808)进行跟踪。
3. 如果计划使用 GPO,可配置 计算机配置 - 管理模板 - Windows 组件 - Secure Boot,如下图所示。
4. 我们也可以使用 WinCS API 进行更新操作,执行下面的命令行可先进行查询。
WinCsFlags.exe /query --key F33E0C8E002,如下图所示如当前配置为 F33E0C8E001,则未应用新的证书。
执行下面的命令行以应用新证书。
WinCsFlags.exe /apply –-key “F33E0C8E002
注意:通过运行 WinCS 响应的命令并不意味着安全启动证书安装过程已启动或已完成,它仅指示对应的计划任务准备运行,我们也可以手动触发该计划任务,之后重启设备两次以确认正在使用更新的证书。
目前主要的设备 OEM 厂商(Lenovo、HP、Dell 等)都已经提供了更新支持。如果你所在的组织正面临该问题,可与 gOxiA 联系。
