Новітні квітневі оновлення безпеки від Microsoft, призначені для захисту користувачів від численних вразливостей, несподівано спричинили серйозні проблеми з доступом до систем на базі Windows, зокрема, призводячи до активації BitLocker і блокування входу в систему. Ця ситуація, що виникла після встановлення патчів KB5082063, KB5083769 та KB5082052 на різні версії операційної системи, включаючи Windows Server 2025, Windows 11 та Windows 10, змушує користувачів вводити 48-значний ключ відновлення BitLocker, що є критично важливим для продовження роботи.
Аналіз проблеми:
Виявлена помилка, яка проявляється під час першого перезавантаження системи після встановлення оновлень, безпосередньо пов’язана з механізмом безпеки BitLocker. Зазвичай, після успішного завантаження і правильного введення ключа, проблема не повторюється, якщо параметри групової політики залишаються незмінними. Однак, Microsoft наголошує, що цей збій стосується переважно корпоративних клієнтів зі специфічними конфігураціями безпеки.
Ключові умови виникнення помилки:
- BitLocker увімкнено на системному диску.
- Налаштування групової політики вимагають перевірки TPM з PCR7.
- Звіт msinfo32.exe вказує “Not Possible” для Secure Boot PCR7 Binding.
- У базі Secure Boot присутній сертифікат Windows UEFI CA 2023.
- Windows Boot Manager, підписаний у 2023 році, не використовується.
Ці умови, як правило, притаманні керованим корпоративним пристроям, що пояснює відносно низький ризик для персональних комп’ютерів.
Рекомендації та рішення від Microsoft:
Компанія запропонувала адміністраторам систем виконати два основні кроки для запобігання або усунення проблеми:
- Видалення конфігурації PCR7: Перед розгортанням оновлення KB5082063 рекомендується видалити відповідну конфігурацію з групової політики та ретельно перевірити коректність прив’язки BitLocker до PCR7.
- Використання механізму KIR: Для тих, хто не мав можливості виконати попередній крок, Microsoft надала доступ до механізму відкату для усунення відомих проблем (Known Issue Rollback, KIR). Цей механізм, доступний через бізнес-канали підтримки, запобігає автоматичному переходу до нового Boot Manager та появі екрану відновлення BitLocker.
Наразі KIR розглядається як тимчасове рішення, проте Microsoft вже працює над стабільним виправленням, яке буде включено до майбутніх оновлень.
Додаткові проблеми та контекст:
Окрім зазначеної проблеми з BitLocker, деякі пристрої Windows Server 2025 зіткнулися з помилкою 800F0983 під час встановлення квітневого пакету, причини якої ще досліджуються. Варто зазначити, що це вже не перший випадок, коли оновлення “Patch Tuesday” призводить до непередбачених проблем з BitLocker; подібні інциденти мали місце у серпні 2022, липні 2024 та травні 2025 років.
Незважаючи на потенційні ризики, Microsoft не радить відмовлятися від квітневого пакету оновлень, оскільки він усуває 167 вразливостей, включно з двома “нульовими днями”, одна з яких активно використовувалася до випуску виправлення.
Ці події підкреслюють складність процесу розробки та розгортання оновлень безпеки, а також важливість ретельного тестування перед їхнім випуском для широкого загалу, особливо в корпоративному середовищі.
