微软近日发布警示,确认2026年4月推送的系统更新中存在潜在风险,部分用户在安装后可能触发BitLocker恢复密钥提示。若用户此前未妥善备份该密钥,则设备将因加密锁定而无法正常进入操作系统。
受此次更新影响的Windows版本包括:
Windows 11:涉及安全更新 KB5083769 与 KB5082052
Windows 10:涉及安全更新 KB5082200
Windows Server 2022 及 2025 的对应更新
微软分析指出,该问题的根源在于特定且已被列为“不推荐使用”的BitLocker组策略配置,与本月发布的系统更新存在兼容冲突。具体触发的条件同时满足以下四点:
系统盘已启用BitLocker加密;
设备组策略中 “配置TPM平台验证配置文件” 已启用,且PCR7验证被包含在内;
设备的安全启动状态中PCR7绑定显示为不可用;
设备固件中预存Windows UEFI CA 2023证书,但尚未运行经2023年签名认证的Windows启动管理器。
微软方面强调,此问题仅会对完全符合上述所有技术条件的有限设备产生影响。虽然系统仅会在触发时要求输入一次恢复密钥,但对于没有备份的用户而言,此状况将直接导致电脑无法访问。
临时解决方案:
为防止出现此问题,微软官方建议管理员在部署上述更新前,提前修改相关组策略设置。具体操作为:
通过运行gpedit.msc打开本地组策略编辑器;
将策略“配置TPM平台验证配置文件”的状态改为 “未配置”;
在命令提示符(管理员模式)中执行gpupdate /force以强制更新策略;
依次执行以下命令:
manage-bde -protectors -disable C:(临时禁用BitLocker保护器)
manage-bde -protectors -enable C:(重新启用并绑定BitLocker)
预防性措施:
除上述方案外,系统管理员还可以在安装更新补丁前,启用“已知问题回滚”(Known Issue Rollback, KIR)策略来预先规避这一问题。
