微软确认其 2026 年 4 月 Patch Tuesday 更新(KB5083769 和 KB5082052)存在一项 BitLocker 相关问题,导致部分设备出现恢复密钥强制提示。该问题影响 Windows 11 Windows 10 以及 Windows Server 2025 和 Server 2022 系统。
问题影响范围与触发机制
微软在发布更新初期未报告已知问题,随后确认所有接收更新(KB5083769 和 KB5082052)的设备均受到影响。问题根源在于非推荐的 BitLocker 组策略配置,导致系统触发恢复密钥输入提示。受影响的设备需要同时满足以下条件:
- 操作系统驱动启用 BitLocker
- 组策略”为原生 UEFI 固件配置配置 TPM 平台验证配置文件”已启用,且 PCR7 包含在验证配置中
- 系统信息(msinfo32.exe)显示安全启动状态 PCR7 绑定为”不可能”
- 设备的安全启动签名数据库包含 Windows UEFI CA 2023 证书
- 设备尚未运行 2023 签名的 Windows 启动管理器
临时修复方案
微软提供了七步临时解决方案:首先打开组策略编辑器,导航至”计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器”,将”为原生 UEFI 固件配置配置 TPM 平台验证配置文件”设置为”未配置”。随后运行gpupdate /force命令应用策略变更,接着使用manage-bde -protector -disable C:暂停 BitLocker,最后执行manage-bde -protector -enable C:恢复 BitLocker 并使用 Windows 选择的默认 PCR 配置文件更新绑定关系。管理员也可应用已知问题回滚策略避免问题发生。2026 年 4 月 22 日,微软取消了对该回滚策略的支持,具体原因未说明。
后续更新计划
微软预计该问题将在未来的 Windows 更新中修复,可能在预计提升 Windows 11 速度的 KB5083631 更新中进行修复。
via Neowin
