Microsoft запропонувала вирішення проблеми з BitLocker після останнього оновлення Windows 11 — Depositphotos

Microsoft цього тижня випустила низку оновлень Windows за квітень у рамках “Patch Tuesday”, що викликало нові проблеми в деяких користувачів.

Початково Microsoft заявляла про відсутність проблем, однак дуже швидко визнала проблему з помилковим відновленням BitLocker. Представники компанії зазначають, що проблема виникла через небажану конфігурацію групової політики, пов’язану з BitLocker.

Проблема стосується як Windows 11, так й Windows 10, а також Windows Server 2025 та Server 2022. Це призводить до появи запиту на ключ відновлення BitLocker на цих системах. В Microsoft запевняють, що ключ необхідно буде ввести лише один раз. До того ж проблема виникає лише в обмеженої кількості систем.

Зокрема, це пристрої у яких BitLocker активований на системному диску, налаштована групова політика “Налаштування профілю перевірки платформи TPM для конфігурацій вбудованого ПЗ UEFI”. PCR7 також включений у профіль перевірки або ж аналогічний ключ реєстру встановлений вручну.

В інформації про систему (msinfo32.exe) вказується, що прив’язка Secure Boot State PCR7 “неможлива”. Сертифікат Windows UEFI CA 2023 присутній у базі даних підписів безпечного завантаження пристрою, що дозволяє використовувати Windows Boot Manager з сертифікатом 2023 як завантажувач за замовчанням. Чи якщо на пристрої ще не запущений Windows Boot Manager з цифровим підписом 2023 року.

Запропоновані Microsoft обхідні шляхи пропонують видалення проблемної конфігурації групової політики перед завантаженням оновлення Windows.

Для цього необхідно відкрити редактор групових політик gpedit.msc та консоль керування груповими політиками.
Перейти до Конфігурація ПК — Адміністративні шаблони — Компоненти Windows — Шифрування дисків BitLocker — Диски операційної системи.
Встановити значення параметра “Налаштувати профіль перевірки платформи TPM для конфігурацій вбудованого ПЗ UEFI” “Не налаштовано”.
Для поширення зміни політики необхідно ввести команду gpupdate /force.
Для призупинки роботи BitLocker, якщо він активний на диску C, виконати команду manage-bde -protectors -disable C.
Для відновлення роботи BitLocker на системному диску виконати команду manage-bde -protectors -enable C
Це дозволяє оновити прив’язки BitLocker для використання профілю PCR за замовчанням.

Окрім цього також можна здійснити відкат проблеми (KIR) для запобігання її повторній появі під час наступних оновлень.

Серед пропонованих покращень останніх оновлень:

Стан оновлення сертифікатів Secure Boot на пристрої відображуватиметься у застосунку “Безпека Windows”
Оновлення включають додаткові дані про пристрої для поліпшення права на автоматичне отримання нових сертифікатів Secure Boot. Пристрої отримують нові сертифікати тільки після достатньої кількості успішних сигналів оновлення.
Оновлення також має вирішувати проблему режиму відновлення BitLocker після оновлення Secure Boot.
Підвищується надійність роботи Windows під час стиснення SMB через QUIC. Після встановлення оновлення запити на стиснення SMB через QUIC виконуються більш стабільно, знижуючи ймовірність затримок, гарантуючи плавнішу та надійнішу роботу.
Оновлення покращує захист від фішингових атак, які використовують файли віддаленого робочого столу (.rdp). Під час відкриття .rdp віддалений робочий стіл відображує всі запитувані параметри підключення перед початком з’єднання. Кожен параметр при цьому відключений за замовчанням. Під час першого відкриття .rdp на пристрої один раз з’являється попередження системи безпеки.
Виправлено проблему скидання налаштувань ПК, яка виникала під час використання параметрів “Зберегти мої файли” або “Видалити все”. Подібні випадки траплялись після встановлення березневого оновлення безпеки Hotpatch (KB5079420).

Раніше ми писали, що дослідники з кібербезпеки виявили нову небезпечну кампанію, що націлена на користувачів Windows 11. Microsoft пообіцяла 18 змін у Windows 11 протягом 2026 року.