ITCOW牛新网 4月16日消息,微软本周二确认,部分 Windows Server 2025 设备在安装 2026 年 4 月安全更新(KB5082063)后,首次重启会意外进入 BitLocker 恢复界面,强制要求输入 48 位恢复密钥才能解锁系统盘。该问题主要波及配置了特定安全策略的企业服务器环境,普通个人用户基本不受影响。
触发门槛:需同时满足 5 项严苛条件
此次“锁盘”并非普遍现象,设备需同时具备以下 5 项条件才会触发:
- BitLocker 已启用并加密系统盘;
- 配置了“为原生 UEFI 固件配置 TPM 平台验证配置文件”组策略,且包含 PCR7;
- 系统信息中 Secure Boot State PCR7 Binding 状态显示为“不可用”;
- 设备 Secure Boot 签名数据库中存在 Windows UEFI CA 2023 证书;
- 设备尚未运行 2023 签名的 Windows 启动管理器。
应对策略:一次解锁与策略调整
微软指出,若保持现有组策略不变,受影响设备仅需在首次重启时输入一次恢复密钥,后续重启将不再触发该界面。但为避免运维中断,官方建议企业在部署更新前采取以下措施之一:
- 推荐方案:移除上述涉及 PCR7 的组策略配置,让 BitLocker 回退至默认验证配置。
- 临时方案:应用已知问题回滚(KIR)工具,阻止系统自动切换至 2023 签名启动管理器。
目前微软正在开发永久性修复方案,尚未给出具体发布时间表。