Апрельские патчи для Windows 11 вызывают на некоторых компьютерах экран восстановления BitLocker после перезагрузки. Система требует от пользователя ввести 48-значный ключ для разблокировки диска, без которого загрузка операционной системы останавливается. Корпорация Microsoft подтвердила наличие проблемы в официальной документации к обновлениям KB5083769 для Windows 11 25H2 и 24H2, а также KB5082052 для версии 23H2.
Сбой затрагивает не все компьютеры, а только машины с определённой конфигурацией групповых политик, которую Microsoft называет «нерекомендованной». Для возникновения ошибки требуется одновременное выполнение нескольких условий. На системном диске должна быть включена функция шифрования BitLocker. В групповой политике по пути «Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы» должен быть активирован параметр «Настройка профиля проверки платформы TPM для конфигураций встроенного ПО UEFI» с включённым регистром PCR7. При этом средство сбора информации msinfo32.exe показывает для строки «Secure Boot State PCR7 Binding» значение «Не возможно». Кроме того, в базе данных защищённой загрузки устройства должен присутствовать сертификат Windows UEFI CA 2023 года, но сам загрузчик Windows, подписанный в 2023 году, ещё не применяется.
Такие настройки встречаются преимущественно в корпоративной среде с централизованным управлением компьютерами, а не на домашних ПК. Microsoft утверждает, что запрос ключа появляется только при первой перезагрузке после установки обновления, и последующие запуски системы не вызывают его повторно при условии неизменности групповых политик.
Временные решения проблемы уже существуют. Самый простой способ для тех, кто уже столкнулся с ошибкой — ввести ключ восстановления BitLocker один раз, после чего загрузка продолжится в обычном режиме. Для предотвращения сбоя до установки обновления Microsoft рекомендует системным администраторам удалить конфликтующую конфигурацию групповой политики, установив параметр «Не настроено», затем выполнить команду gpupdate /force для применения изменений, после чего временно приостановить и снова включить защиту BitLocker командами manage-bde -protectors -disable C: и manage-bde -protectors -enable C:. Альтернативный вариант — использование механизма отката известных проблем через службу поддержки Microsoft для бизнеса, который предотвращает автоматическое переключение на загрузчик 2023 года.
Постоянное исправление находится в разработке и выйдет в одном из будущих обновлений Windows. Это уже четвёртый случай за четыре года, когда обновления Microsoft вызывают неожиданные запросы восстановления BitLocker — аналогичные проблемы возникали в августе 2022 года с обновлением KB5012170, в июле 2024 года на всех поддерживаемых версиях Windows, а также в мае 2025 года на системах с Windows 10. Несмотря на известную проблему, Microsoft не рекомендует пропускать апрельское обновление, так как оно устраняет 167 уязвимостей, включая две нулевого дня, одна из которых активно эксплуатировалась до выхода патча.
