微软修复了 Windows Server 2025 中的 BitLocker 恢复错误

微软已解决了一个已知问题：在安装 2026 年 4 月安全更新后，部分 Windows Server 2025 设备会进入 BitLocker 恢复模式。

BitLocker 是一项通过加密驱动器来防止数据被盗的安全功能。通常，当硬件发生变更或发生特定事件（例如 TPM（受信任的平台模块）更新）时，它会使 Windows 计算机进入恢复模式。这允许用户恢复对未通过标准方式解锁的受保护磁盘的访问权限。

微软指出：

“某些配置了不推荐使用的 BitLocker 组策略的设备，在安装此更新后的首次重启时，可能需要输入 BitLocker 恢复密钥。”

在这种情况下，只需输入一次 BitLocker 恢复密钥 —— 只要组策略配置保持不变，后续重启就不会再触发 BitLocker 恢复界面。

尽管此问题也可能影响部分运行 Windows 11 的系统，但微软表示不太可能波及个人设备，因为受影响的配置通常仅存在于由公司 IT 部门管理的企业系统中。

何时会出现此问题

该问题仅在非常特定的配置下才会发生，即设备必须同时满足以下所有条件：

系统盘已启用 BitLocker。

已配置“为基本 UEFI 固件配置设置受信任平台模块验证配置文件”组策略，且验证配置文件中包含 PCR7（或通过注册表手动设置了等效项）。

在系统信息 (msinfo32.exe) 中，“安全启动状态 PCR7 绑定”参数显示为“不可能”。

设备的“安全启动数据库 (DB)”中存在“Windows UEFI CA 2023”证书，这使其有资格将 2023 年签名的 Windows Boot Manager 设置为默认引导程序。

设备当前尚未使用 2023 年签名的 Windows Boot Manager。

六月补丁星期二的修复方案

在六月的“补丁星期二”中，微软通过 Windows Server 2025 的累积更新 KB5094125 和 Windows 11 23H2 版的 KB5093998 修复了此错误。

在更新的说明中，微软写道：

“此更新解决了在某些受信任平台模块 (TPM) 验证设置（包括不正确的 PCR7（平台配置寄存器 7）配置）的系统上，更新引导文件后部分设备可能进入 BitLocker 恢复模式的问题。”

为防止意外请求 BitLocker 恢复密钥，具有此类不兼容组策略配置的设备将被禁止安装带有 2023 年证书的 Windows Boot Manager。如果您的设备受到影响，在安装 Windows 更新时，系统事件日志中将记录事件 ID 1032。

如果尚未安装更新该怎么办

对于目前还无法部署本月更新以修复此问题的系统管理员，建议在安装 KB5082063 及更高版本的更新之前，先移除相关的组策略配置，并确保 BitLocker 绑定使用的是 PCR7 配置文件。

对于在部署前无法移除组策略的用户，也可以在受影响的设备上应用已知问题回退 (KIR) 功能，以防止自动升级到 2023 版 Boot Manager，从而避免触发 BitLocker 恢复请求。