4 月 16 日消息,微软本周二承认,部分 Windows Server 2025 设备安装 2026 年 4 月安全更新 KB5082063 后,首次重启后会进入 BitLocker 恢复界面,需要输入 48 位恢复密钥才能解锁系统磁盘。
注:BitLocker 恢复是 Windows 内置的驱动器加密功能,通过加密存储介质防止数据泄露。在系统检测到启动环境变化后,会触发恢复模式保护数据安全。微软解释,本次问题仅影响配置了特定组策略的企业设备,个人用户几乎不会遇到此问题。
触发问题需同时满足五个条件:
BitLocker 已启用且加密系统盘;
配置了“为原生 UEFI 固件配置 TPM 平台验证配置文件”组策略且包含 PCR7;
系统信息工具显示 Secure Boot State PCR7 Binding 状态为“不可用”;
设备 Secure Boot 签名数据库中存在 Windows UEFI CA 2023 证书;
设备尚未运行 2023 签名的 Windows 启动管理器。
微软表示,在组策略配置保持不变的情况下,受影响设备只需在首次重启后输入一次恢复密钥,后续重启不会再触发恢复界面。但为了避免运维困扰,微软建议企业在部署更新前,移除相关组策略配置,并确保 BitLocker 绑定使用 PCR7 配置文件。
无法提前移除组策略的管理员,可在受影响设备上应用已知问题回滚(KIR),阻止系统自动切换至 2023 签名启动管理器,从而避免触发 BitLocker 恢复。微软目前正开发永久修复方案。
