【安全资讯】微软四月安全更新触发部分服务器BitLocker恢复密钥提示

概要：

微软近期确认，其2026年4月发布的KB5082063安全更新在特定配置的Windows Server 2025设备上引发了BitLocker恢复密钥提示问题。BitLocker作为Windows的核心数据加密功能，其异常触发可能导致企业服务器无法正常启动，对依赖Windows Server的企业IT运维和数据安全构成潜在风险。

主要内容：

微软指出，此问题仅发生在满足一系列特定条件的系统上。关键触发条件包括：操作系统驱动器已启用BitLocker；组策略中配置了TPM平台验证配置文件并包含PCR7；系统信息显示Secure Boot State PCR7绑定状态为“不可能”；设备的安全启动签名数据库中存在Windows UEFI CA 2023证书，但设备尚未运行2023年签名的Windows引导管理器。这种配置组合在企业IT管理的服务器中更为常见，个人设备通常不受影响。

从技术层面分析，问题的核心在于安全更新与特定BitLocker组策略配置的交互。当系统安装了KB5082063更新并首次重启时，更新过程试图将引导管理器切换至2023年签名的版本。然而，在PCR7绑定“不可能”且已配置相关组策略的特定环境下，这一切换行为被BitLocker机制误判为潜在的未经授权的引导组件更改，从而触发了恢复流程以保护加密数据。

为应对此问题，微软提供了临时解决方案。管理员可在部署更新前移除相关的组策略配置，或按照指引确保BitLocker绑定正确使用PCR7配置文件。对于无法提前移除策略的设备，可应用已知问题回滚（KIR）来阻止自动切换到2023引导管理器，从而避免触发BitLocker恢复。微软表示正在开发永久性修复方案。值得注意的是，类似由安全更新触发BitLocker恢复的问题在过去几年中已多次出现，凸显了系统更新与加密安全机制间复杂交互的持续挑战。