Microsoft подтвердила, что после установки апрельского накопительного обновления KB5083769 для Windows 11 версий 24H2 и 25H2 некоторые пользователи могут увидеть экран восстановления BitLocker. В компании пояснили, что проблема не носит массового характера и затрагивает небольшое количество устройств со специфическими, «нерекомендованными» настройками шифрования.

Сообщается, что проблема возникает, если на системном диске включен BitLocker, а в групповых политиках задан особый профиль проверки платформы TPM (с параметром PCR7). Кроме этого, в «Сведениях о системе» (msinfo32.exe) для параметра «Конфигурация PCR7» должно быть указано «Невозможно», а сертификат Windows UEFI CA 2023 должен присутствовать в базе данных подписей безопасной загрузки, а на устройстве не должен использоваться Windows Boot Manager с подписью 2023 года. Именно такое сочетание параметров приводит к запросу ключу восстановления при первой перезагрузке после обновления.

К счастью, проблема затрагивает лишь небольшое количество устройств и не является катастрофической. Microsoft заявляет, что запрос ключа восстановления BitLocker появится лишь один раз, после чего Windows 11 должна загружаться корректно.

Если вы уже столкнулись с этой проблемой, то необходимо выполнить следующие действия:

1. Войдите в свою учётную запись Microsoft на другом устройстве.
2. В личном кабинете в разделе «Безопасность» найдите ключи восстановления BitLocker. Сверьте имя вашего ПК и идентификатор «Key ID», чтобы выбрать правильный ключ.
3. Введите этот ключ на заблокированном экране устройства и нажмите «Продолжить».
   
4. Система должна загрузиться корректно и запрос ключа восстановления не должен появляться при следующих перезагрузках.

Если вы ещё не обновились, но знаете, что в вашей системе могут быть изменены настройки TPM, то вы можете предотвратить проблему:

1. Откройте «Редактор локальной групповой политики», нажав сочетание WIN + R и введя в окно «Выполнить» команду gpedit.
2. Пройдите по пути: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы.
3. Найдите политику с названием «Этот параметр политики позволяет настроить профиль проверки платформы доверенного платформенного модуля для основных конфигураций встроенного ПО UEFI».
   
4. Нажмите по ней правой кнопкой мыши и выберите «Изменить».
5. Установите значение «Не задано», нажмите «Применить» и «ОК».
6. Откройте «Командную строку» от имени администратора и по очереди введите три команды (нажимая Enter после каждой):
   • gpupdate /force (это принудительно обновит политики)
   • manage-bde -protectors -disable C: (это приостановит защиту диска)
   • manage-bde -protectors -enable C: (возобновляет защиту диска с правильными параметрами).

Системные администраторы, не имеющие возможности использовать групповые политики, могут запросить у Microsoft специальный патч KIR (Known Issue Rollback), который автоматически отменит проблемную конфигурацию на рабочих станциях.

Благодарим за наводку портал Winaero!