文章总结： Windows11就地升级（23H2至25H2）存在持续错误，会静默删除802.1X有线身份验证配置文件，导致企业工作站完全离线。问题源于升级过程清除C:\Windows\dot3svc\Policies文件夹内容，阻止设备通过组策略恢复配置。管理员需将设备连接非802.1X端口后手动运行gpupdate/force恢复。微软尚未发布官方修复，建议升级前备份策略文件或使用部署脚本注入恢复命令。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,终端安全,解决方案

据称，Windows 11 23H2 到 25H2 的升级会导致网络连接中断

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月4日 12:47 北京

据报道，Windows 11 就地升级中存在一个持续存在的错误，该错误会清除关键的 802.1X 有线身份验证配置，导致企业工作站完全离线，直到进行手动干预。

Reddit 的 r/sysadmin 社区中的系统管理员们发出警报，因为最初在 Windows 10 到 11 迁移期间发现的问题现在又出现在 Windows 11 的年度版本升级中，包括 23H2 到 24H2 和 23H2 到 25H2 的升级路径。

在Windows 11就地升级过程中，C:\Windows\dot3svc\Policies存储通过组策略应用的 802.1X 有线网络 (LAN) 身份验证配置文件的文件夹内容会被静默删除。

该dot3svc服务（有线自动配置）依靠这些策略文件来验证机器与网络交换机之间的连接，从而强制执行基于端口的 IEEE 802.1X 访问控制。

文件夹被清除后，升级后的机器在启动到新操作系统版本时会立即失去所有有线网络连接，从而有效地将其与公司网络断开连接。

该漏洞的悖论性质使其在企业环境中尤其具有破坏性：如果没有网络访问，机器就无法接收新的组策略推送来恢复其 802.1X 配置。

管理员必须将受影响的设备物理连接到非 802.1X 强制执行的交换机端口或网段，手动运行命令gpupdate /force，然后再将其重新连接到受保护的端口。只有这样，有线身份验证配置才会被重写到dot3svc\Policies文件夹中。

这个问题并非新问题。微软问答平台上的记录案例可以追溯到 Windows 10 22H2 → Windows 11 23H2 的迁移过程，多份报告证实，升级完成后立即出现 802.1X 身份验证失败的情况。

然而，系统管理员证实，同样的数据丢失行为现在在每年的 Windows 11 版本升级中都会重复出现，这意味着该问题至少在三个主要版本过渡期间仍然存在，但微软尚未发布官方修复程序。

在某些升级场景中，问题不仅限于 dot3svc 策略文件；据报道，就地升级还会删除机器的计算机证书存储，进一步加剧依赖 EAP-TLS 和 PKI 证书的组织的身份验证失败。

可用的变通方案

在官方修复程序发布之前，系统管理员已记录了若干临时缓解措施：

• 备份和恢复：升级前复制C:\Windows\dot3svc\Policies到外部存储设备，新操作系统启动后立即恢复。
• 升级后 gpupdate：将设备连接到非 dot1x 端口并运行gpupdate /force /target:computer以强制重新应用策略。
• SetupCompleteTemplate.cmd：将 LAN 配置文件恢复命令注入到 Windows 安装完成脚本中。
• MECM 任务序列步骤：对于托管部署，添加升级后步骤，以便在设备重新加入安全网络之前重新推送 802.1X 设置。

截至撰写本文时，微软尚未在其 Windows 11 版本健康状况仪表板上公开承认此回归问题是已知问题，也没有发布专门的知识库文章或热修复程序。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《据称，Windows 11 23H2 到 25H2 的升级会导致网络连接中断》