据 bleepingcomputer.com 报道,微软周二证实,部分 Windows Server 2025 设备在安装 2026 年 4 月的 KB5082063 安全更新后,会出现进入 BitLocker 恢复模式的情况。
BitLocker 是一项旨在加密存储驱动器以防止未经授权访问数据的安全功能。当系统检测到硬件变更或可信平台模块 (TPM) 更新时,通常会触发恢复模式。
微软指出,该问题主要针对具有某些“非推荐配置”的系统。该公司表示:“部分由于 BitLker 组策略配置未进行编码而导致受影响的设备,在安装此更新后的首次重启时,可能需要输入 BitLocker 恢复密钥。”
据报告显示,恢复密钥仅需输入一次。只要组策略设置保持不变,后续重启将不再触发恢复界面。
具体技术触发因素
该漏洞仅影响满足五个特定条件的系统。首先,操作系统驱动器必须已启用 BitLocker;其次,“为原生 UEFI 固件配置配置 TPM 平台验证配置文件”的组策略必须在验证配置文件中包含 PCR7。
此外,设备的系统信息必须显示“Secure Boot State PCR7 Binding”为“Not Possible”(无法实现)。同时,设备的安全启动签名数据库 (DB) 中必须包含 Windows UEFI CA 2023 证书,但尚未运行由 2023 证书签名的 Windows Boot Manager。
微软认为,该问题不太可能影响个人电脑。公司指出,这些特定的配置通常出现在由企业 IT 团队管理的系统中。
微软目前正在开发永久性的解决方案。在此期间,公司已分享了临时规避方案,以允许管理员继续安装每月安全更新。
建议系统管理员在部署 KB5082063 更新之前,先移除相关的组策略配置。此外,还应确保 BitLocker 绑定使用的是 PCR7 配置文件。
对于在安装前无法移除 PCR7 组策略的设备,微软建议应用已知问题回滚 (KIR)。这可以防止系统自动切换到 2023 版 Boot Manager,从而避免触发恢复提示。
这并非微软更新首次引发 BitLocker 故障。2025 年 5 月,微软曾发布紧急更新以修复影响 Windows 10 的类似问题。此外,在 2024 年 8 月和 2022 年 8 月,也曾记录过类似的恢复提示漏洞。
