11.06.2026
1 хв
26
Корпорація Майкрософт вирішила відому проблему, через яку деякі пристрої Windows Server 2025 завантажувалися в режим відновлення BitLocker після інсталяції оновлення безпеки від квітня 2026 року.
Функція безпеки BitLocker шифрує накопичувачі, щоб запобігти крадіжці даних, і зазвичай змушує комп’ютери з Windows переходити в режим відновлення після змін обладнання або подій, таких як оновлення TPM (Trusted Platform Module), щоб дозволити відновити доступ до захищених дисків, які не були розблоковані за допомогою механізму розблокування за замовчуванням.
«Деякі пристрої з нерекомендованою конфігурацією групової політики BitLocker можуть потребувати введення ключа відновлення BitLocker під час першого перезавантаження після встановлення цього оновлення», – заявила Microsoft , визнавши цю проблему після виходу патчу у квітні 2026 року.
У цьому сценарії ключ відновлення BitLocker потрібно ввести лише один раз – наступні перезавантаження не призведуть до появи екрана відновлення BitLocker, якщо конфігурація групової політики залишиться незмінною.
Хоча ця проблема може також торкнутися деяких систем під керуванням Windows 11, Microsoft стверджує, що вона навряд чи вплине на персональні пристрої, оскільки уражені конфігурації зазвичай зустрічаються лише в корпоративних системах, якими керують корпоративні ІТ-команди.
Як пояснила Microsoft на той час, це відбувається лише для дуже специфічних конфігурацій на пристроях, де виконуються всі наступні умови:
BitLocker увімкнено на диску з ОС.
Групову політику « Налаштувати профіль перевірки платформи TPM для нативних конфігурацій прошивки UEFI » налаштовано, а PCR7 включено до профілю перевірки (або еквівалентний розділ реєстру встановлено вручну).
Файл інформації про систему ( msinfo32.exe ) повідомляє, що прив’язка PCR7 до стану безпечного завантаження « Неможлива ».
Сертифікат Windows UEFI CA 2023 присутній у базі даних підписів захищеного завантаження (DB) пристрою, що робить пристрій придатним для використання диспетчера завантаження Windows із підписом 2023 як стандартного.
На пристрої ще не запущено диспетчер завантаження Windows із підписом 2023.
Під час цьогомісячного вівторка патчів, через два місяці після підтвердження проблеми, Microsoft виправила цю помилку в сукупних оновленнях KB5094125 (Windows Server 2025) та KB5093998 (Windows 11 23H2).
«Це оновлення вирішує проблему, через яку деякі пристрої могли запускати відновлення BitLocker після оновлення завантажувальних файлів на системах з певними налаштуваннями перевірки модуля довіреної платформи (TPM), включаючи недійсні конфігурації PCR7 (регістр конфігурації платформи 7)», – йдеться в оновлених рекомендаціях Microsoft.
«Щоб запобігти неочікуваному запиту на ключ відновлення BitLocker, пристроям із цією несумісною конфігурацією групової політики заборонено встановлювати диспетчер завантаження Windows із підписом 2023. Якщо ваш пристрій постраждав, ви побачите подію з ідентифікатором 1032 у журналі системних подій під час встановлення оновлень Windows», – додається в службовому сповіщенні.
ІТ-адміністраторам, які ще не можуть розгорнути оновлення цього місяця для вирішення проблеми, рекомендується видалити конфігурацію групової політики перед інсталяцією KB5082063 та пізніших оновлень, а також переконатися, що прив’язки BitLocker використовують профіль PCR7 .
Ті, хто не може видалити групову політику перед розгортанням, також можуть застосувати відкат відомих проблем (KIR) на уражених пристроях, щоб запобігти автоматичному переходу до диспетчера завантаження версії 2023, який запускає запити на відновлення BitLocker.
