如果你最近更新了 Windows 11的最新补丁,并且习惯用 Macrium Reflect等第三方系统备份软件做系统备份,可能会遇到一个让人头大的问题:备份还能做,但想挂载镜像浏览或恢复文件时,却报错了。
错误提示通常是“备份失败,因为 Microsoft VSS 在创建快照期间超时”或者代码 VSS_E_BAD_STATE。
这不是你的操作失误,而是微软在 4 月的补丁(KB5083769、KB5083631)里搞了个“大动作”。
微软说:为了安全,我把它封了
微软的解释很官方:这次更新强化了“易受攻击驱动程序阻止列表”(Vulnerable Driver Blocklist)。
具体来说,第三方系统备份软件(如Macrium Reflect)用来挂载镜像的内核驱动 psmounterex.sys 被列入了黑名单。微软认为,旧版本的这个驱动存在安全漏洞(CVE-2023-43896),可能被黑客利用进行越界写入或权限提升,从而破坏系统完整性。
所以,Windows 代码完整性服务直接拦截了它的加载。你可以理解为:微软觉得这把“钥匙”不安全,干脆把锁换了,不让你进门。
但故事没那么简单
奇怪的地方在于,Macrium 方面表示,他们早在 2023 年 10 月发布的版本(8.0.7690 和 8.1.7675)中,就已经修补了这个漏洞。
Macrium UK 支持团队的 Joe Allen 也出来发声:“这个问题只影响应用了最新 Win11 更新的 8.1 版本用户。在更新的版本(如版本 10)中,我们甚至不再使用这个驱动。”
这就有点尴尬了:用户明明用了修过漏洞的新版软件,却因为微软的“一刀切”策略,导致功能瘫痪。微软的阻止列表似乎没有及时区分“已修复”和“未修复”的版本,或者说,它识别的是驱动文件的签名或哈希,而不是版本号。
怎么判断你中招了?
如果你怀疑自己遇到了这个问题,可以打开“事件查看器”,在“Windows 日志” -> “系统”里找事件 ID 3077。如果看到关于 psmounterex.sys 被代码完整性策略阻止的记录,那就是实锤了。
临时解法:注册表破解(风险自负)
虽然微软建议等待软件厂商发布完全兼容的新驱动,但等着毕竟难受。网上已经有高手找到了临时绕过的方法:禁用驱动阻止列表。
注意:这会降低系统安全性,请谨慎操作,并在问题解决后恢复设置。
- 以管理员身份运行命令提示符(CMD)。
- 输入以下命令并回车:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI\Config" /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0 /f - 重启电脑。
这行命令把 VulnerableDriverBlocklistEnable 的值设为 0,相当于关掉了那道“安检门”。重启后,Macrium 应该就能正常挂载镜像了。
后续建议
- 升级软件:如果你还在用老版本的 Macrium Reflect,赶紧升级到最新版(尤其是版本 10 及以上),它们可能已经换用了新的驱动机制,不受此影响。
- 恢复设置:如果你用了上面的注册表破解,记得在 Macrium 发布正式修复或微软调整策略后,把那个值改回
1,重新开启保护。 - 关注官方动态:Macrium 表示正在调查,微软也可能在后续的累积更新中微调阻止列表的逻辑。
这次风波再次提醒我们:在 Windows 的世界里,系统更新和第三方软件的兼容性博弈,永远是一场猫鼠游戏。对于依赖备份这种“救命”功能的用户来说,保持软件最新,或许是最稳妥的防御。
评论