Компания Microsoft устранила известную проблему, из-за которой некоторые устройства Windows Server 2025 загружались в режиме восстановления BitLocker после установки апрельского обновления безопасности 2026 года.
Функция безопасности BitLocker шифрует накопители, чтобы предотвратить кражу данных. Обычно она переводит компьютеры с Windows в режим восстановления после изменений оборудования или определённых событий, например обновления TPM (Trusted Platform Module, доверенного платформенного модуля). Это позволяет восстановить доступ к защищённым дискам, которые не были разблокированы стандартным способом.
Microsoft заявила:
Некоторые устройства с нерекомендуемой конфигурацией групповой политики BitLocker могут потребовать ввода ключа восстановления BitLocker при первой перезагрузке после установки этого обновления.
В этом сценарии ключ восстановления BitLocker нужно ввести только один раз – последующие перезагрузки не будут вызывать экран восстановления BitLocker, пока конфигурация групповой политики остаётся неизменной.
Хотя эта проблема также может затрагивать некоторые системы под управлением Windows 11, Microsoft говорит, что она вряд ли повлияет на личные устройства, поскольку затронутые конфигурации обычно встречаются только в корпоративных системах, управляемых ИТ-отделами компаний.
Когда возникает проблема
Проблема возникает только при очень специфических конфигурациях – на устройствах, где одновременно выполняются все следующие условия:
- BitLocker включён для системного диска.
- Групповая политика «Настроить профиль проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI» настроена, и в профиль проверки включён PCR7 (либо вручную задан эквивалентный параметр реестра).
- В сведениях о системе (
msinfo32.exe) параметр Secure Boot State PCR7 Binding указан как «Not Possible». - Сертификат Windows UEFI CA 2023 присутствует в базе подписей Secure Boot (DB) устройства, что делает его подходящим для установки в качестве загрузчика по умолчанию Windows Boot Manager, подписанного в 2023 году.
- Устройство ещё не использует Windows Boot Manager, подписанный в 2023 году.
Исправление в июньском «Вторнике патчей»
Во время июньского «Вторника патчей» Microsoft исправила эту ошибку в накопительных обновлениях KB5094125 для Windows Server 2025 и KB5093998 для Windows 11, версия 23H2.
В обновлённых рекомендациях компания написала:
Это обновление устраняет проблему, из-за которой некоторые устройства могли переходить в режим восстановления BitLocker после обновления загрузочных файлов на системах с определёнными настройками проверки Trusted Platform Module (TPM), включая некорректные конфигурации PCR7 (Platform Configuration Register 7).
Чтобы предотвратить неожиданный запрос ключа восстановления BitLocker, устройствам с этой несовместимой конфигурацией групповой политики запрещается устанавливать Windows Boot Manager, подписанный сертификатом 2023 года. Если ваше устройство было затронуто, при установке обновлений Windows вы увидите событие Event ID 1032 в системном журнале событий.
Что делать, если обновление пока не установлено
Системным администраторам, которые пока не могут развернуть обновления этого месяца для исправления проблемы, рекомендуется удалить соответствующую конфигурацию групповой политики перед установкой KB5082063 и более поздних обновлений, а также убедиться, что привязки BitLocker используют профиль PCR7.
Те, кто не может удалить групповую политику до развёртывания, также могут применить функцию отката известных проблем (KIR) на затронутых устройствах, чтобы предотвратить автоматический переход на загрузчик Boot Manager 2023 года, который и вызывает запросы восстановления BitLocker.