Microsoft запропонувала вирішення проблеми з BitLocker після останнього оновлення Windows 11

Microsoft на этой неделе выпустила ряд обновлений Windows за апрель в рамках «Patch Tuesday», что вызвало новые проблемы у некоторых пользователей.

Изначально Microsoft заявляла об отсутствии проблем, однако очень быстро признала проблему с ошибочным восстановлением BitLocker. Представители компании отмечают, что проблема возникла из-за нежелательной конфигурации групповой политики, связанной с BitLocker.

Проблема касается как Windows 11, так и Windows 10, а также Windows Server 2025 и Server 2022. Это приводит к появлению запроса на ключ восстановления BitLocker на этих системах. В Microsoft уверяют, что ключ необходимо будет ввести только один раз. К тому же проблема возникает только в ограниченном количестве систем.

В частности, это устройства у которых BitLocker активирован на системном диске, настроена групповая политика «Настройка профиля проверки платформы TPM для конфигураций встроенного ПО UEFI». PCR7 также включен в профиль проверки или же аналогичный ключ реестра установлен вручную.

В информации о системе (msinfo32.exe) указывается, что привязка Secure Boot State PCR7 «невозможна». Сертификат Windows UEFI CA 2023 присутствует в базе данных подписей безопасной загрузки устройства, что позволяет использовать Windows Boot Manager с сертификатом 2023 в качестве загрузчика по умолчанию. Или если на устройстве еще не запущен диспетчер загрузки Windows с цифровой подписью 2023 года.

Предлагаемые Microsoft обходные пути предлагают удалить проблемную конфигурацию групповой политики перед загрузкой обновления Windows.

Для этого необходимо открыть редактор групповых политик gpedit.msc и консоль управления групповыми политиками.
Перейти в Конфигурация ПК — Административные шаблоны — Компоненты Windows — Шифрование дисков BitLocker — Диски операционной системы.
Установить значение параметра «Настроить профиль проверки платформы» TPM для конфигураций встроенного ПО UEFI» «Не настроено»
Для распространения изменения политики необходимо ввести команду gpupdate /force.
Для приостановки работы BitLocker, если он активен на диске C, выполнить команду manage-bde -protectors -disable C
Для возобновления работы BitLocker на системном диске выполнить команду manage-bde -protectors -enable C
Это позволяет обновить привязки BitLocker для использования профиля PCR по умолчанию.

Кроме этого также можно осуществить откат проблемы (KIR) для предотвращения ее повторного появления во время следующих обновлений.

Среди предлагаемых улучшений последних обновлений:

Состояние обновления сертификатов Secure Boot на устройстве будет отображаться в приложении «Безопасность Windows»
Обновления включают дополнительные данные об устройствах для улучшения права на автоматическое получение новых сертификатов Secure Boot. Устройства получают новые сертификаты только после достаточного количества успешных сигналов обновления.
Обновление также должно решить проблему режима восстановления BitLocker после обновления Secure Boot.
Повышается надежность работы Windows при сжатии SMB через QUIC. После установки обновления запросы на сжатие SMB через QUIC выполняются более стабильно, снижая вероятность задержек, гарантируя более плавную и надежную работу.
Обновление улучшает защиту от фишинговых атак, которые используют файлы удаленного рабочего стола (.rdp). При открытии .rdp удаленный рабочий стол отображает все запрашиваемые параметры подключения перед началом соединения. Каждый параметр при этом отключен по умолчанию. При первом открытии .rdp на устройстве один раз появляется предупреждение системы безопасности.
Исправлена проблема сброса настроек ПК, которая возникала при использовании параметров «Сохранить мои файлы» или «Удалить все». Подобные случаи случались после установки мартовского обновления безопасности Hotpatch (KB5079420).

Ранее мы писали, что исследователи по кибербезопасности обнаружили новую опасную кампанию, которая нацелена на пользователей Windows 11 Microsoft пообещала 18 изменений в Windows 11 в течение 2026 года.