微软承认 4 月更新致 Windows Server 2025 设备误触 BitLocker 恢复

4 月 16 日消息，微软本周二承认，部分 Windows Server 2025 设备安装 2026 年 4 月安全更新 KB5082063 后，首次重启后会进入 BitLocker 恢复界面，需要输入 48 位恢复密钥才能解锁系统磁盘。

注：BitLocker 恢复是 Windows 内置的驱动器加密功能，通过加密存储介质防止数据泄露。在系统检测到启动环境变化后，会触发恢复模式保护数据安全。微软解释，本次问题仅影响配置了特定组策略的企业设备，个人用户几乎不会遇到此问题。

触发问题需同时满足五个条件：

BitLocker 已启用且加密系统盘；

配置了“为原生 UEFI 固件配置 TPM 平台验证配置文件”组策略且包含 PCR7；

系统信息工具显示 Secure Boot State PCR7 Binding 状态为“不可用”；

设备 Secure Boot 签名数据库中存在 Windows UEFI CA 2023 证书；

设备尚未运行 2023 签名的 Windows 启动管理器。

微软表示，在组策略配置保持不变的情况下，受影响设备只需在首次重启后输入一次恢复密钥，后续重启不会再触发恢复界面。但为了避免运维困扰，微软建议企业在部署更新前，移除相关组策略配置，并确保 BitLocker 绑定使用 PCR7 配置文件。

无法提前移除组策略的管理员，可在受影响设备上应用已知问题回滚（KIR），阻止系统自动切换至 2023 签名启动管理器，从而避免触发 BitLocker 恢复。微软目前正开发永久修复方案。