Код восстановления вместо пароля: Microsoft выпустила срочное обновление для Windows 11

Апрельское обновление безопасности Patch Tuesday 2026 года привело к неожиданному сбою.

Теперь системы с включенным шифрованием BitLocker после установки пакетов KB5083769 и KB5082052 начали запрашивать 48-значный ключ восстановления.

Microsoft подтвердила, что проблема затронула не только Windows 11, но и Windows 10 (обновление KB5082200), а также серверные платформы Windows Server 2022 и 2025.

Компания выпустила срочные рекомендации по устранению неполадки и обещает постоянное исправление в одном из будущих обновлений.

Проблема: запрос ключа восстановления BitLocker после обновления

После инсталляции апрельских обновлений некоторые компьютеры при первой перезагрузке неожиданно переходят в режим восстановления BitLocker и требуют ввода ключа.

Функция шифрования BitLocker обычно не влияет на поведение системы и привязана к чипу безопасности TPM, а также настройкам загрузки.

В данном случае обновление задает нерекомендуемую конфигурацию групповой политики, и Windows для перестраховки начинает запрашивать ключ шифрования, чтобы убедиться, что не было попытки взлома.

Ключ восстановления достаточно ввести один раз, после чего система будет загружаться нормально при условии, что конфигурация политики останется неизменной.

Данные пользователей не повреждаются, однако неподготовленных владельцев ПК такое поведение может серьезно обеспокоить.

Кого затронула проблема: условия возникновения сбоя

Сбой проявляется не на всех компьютерах, а только на тех, где выполняются несколько специфических условий одновременно.

BitLocker должен быть активирован на системном диске (обычно диск C).

В групповых политиках должна быть включена настройка «Настройка профиля проверки платформы TPM для конфигураций встроенного ПО UEFI» с параметром PCR7 в профиле проверки (или аналогичный ключ реестра задан вручную).

В системной информации (msinfo32.exe) привязка Secure Boot State PCR7 отображается как «Not Possible» (Невозможно).

Сертификат Windows UEFI CA 2023 присутствует в базе данных подписей Secure Boot, что делает устройство подходящим для загрузчика 2023 года, но сам загрузчик с цифровой подписью 2023 года еще не используется.

Microsoft отмечает, что данная конфигурация маловероятна на личных устройствах и чаще встречается в корпоративной среде, управляемой IT-отделами.

Обходные пути и решения от Microsoft

Компания рекомендует IT-администраторам перед развертыванием обновления удалить конфликтующую настройку групповой политики.

Для этого необходимо открыть редактор групповых политик (gpedit.msc) или консоль управления групповыми политиками, затем перейти в раздел: Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives.

Параметр «Configure TPM platform validation profile for native UEFI firmware configurations» следует установить в значение «Not Configured».

После изменения политики нужно выполнить команду gpupdate /force для ее принудительного обновления на затронутых устройствах.

Затем требуется временно приостановить защиту BitLocker командой manage-bde -protectors -disable C, после чего снова включить ее командой manage-bde -protectors -enable C.

Это позволит обновить привязки BitLocker для использования профиля PCR по умолчанию.

В качестве альтернативы администраторы могут применить Known Issue Rollback (KIR) для предотвращения проблемы до установки обновлений.

Microsoft также работает над постоянным исправлением, которое будет выпущено в одном из будущих обновлений.

Обновление также содержит исправления

Помимо устранения проблемы с BitLocker, апрельские обновления приносят и другие улучшения.

KB5083769 для Windows 11 версий 24H2 и 25H2 (сборки 26100.8246 и 26200.8246) и KB5082052 для версии 23H2 (сборка 22631.6936) улучшают надежность сжатия SMB через QUIC, добавляют видимость состояния обновления сертификатов Secure Boot в приложение «Безопасность Windows» и вносят изменения в Remote Desktop.

При открытии RDP-файлов все параметры подключения теперь отображаются заблаговременно и по умолчанию отключены, а также появляется однократное предупреждение о безопасности для снижения рисков фишинга через вредоносные RDP-файлы.

Кроме того, исправлена известная проблема с функцией «Сброс этого ПК», из-за которой операция могла завершаться сбоем при выборе вариантов «Сохранить мои файлы» или «Удалить все».

Дополнительная информация

Схожая проблема с BitLocker уже возникала в мае 2025 года, когда Microsoft выпускала экстренные обновления для ее устранения.

Ошибка затрагивает ограниченное число систем, и при возникновении запроса ключа восстановления пользователям рекомендуется найти его в своей учетной записи Microsoft или обратиться к IT-поддержке.

Без действительного ключа восстановления доступ к зашифрованному диску и данным на нем будет невозможен.

Подписаться: