Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft usunął znany problem powodujący uruchamianie części urządzeń w trybie odzyskiwania BitLocker po instalacji kwietniowych aktualizacji zabezpieczeń z 2026 roku. Poprawka została jednak udostępniona wyłącznie dla Windows 11 25H2, co oznacza, że organizacje korzystające z Windows 10 i Windows Server nadal muszą opierać się na działaniach obejściowych oraz zmianach konfiguracyjnych.
Problem dotyczył środowisk z określoną, niezalecaną konfiguracją zasad grupy odnoszących się do walidacji TPM oraz profilu PCR. W praktyce po restarcie system mógł zażądać klucza odzyskiwania BitLocker, mimo że wcześniej urządzenie działało poprawnie.
W skrócie
- Problem pojawiał się po instalacji aktualizacji zabezpieczeń z kwietnia 2026 roku.
- Skutkiem było przejście systemu do trybu odzyskiwania BitLocker i żądanie klucza recovery.
- Microsoft dostarczył poprawkę w aktualizacji KB5089549 dla Windows 11 25H2.
- Windows 10 i Windows Server nadal czekają na pełne rozwiązanie.
- Administratorzy powinni zweryfikować polityki GPO, ustawienia TPM oraz wykorzystanie profilu PCR7.
Kontekst / historia
BitLocker to wbudowany w system Windows mechanizm pełnego szyfrowania dysków, szeroko stosowany w środowiskach firmowych do ochrony danych przechowywanych lokalnie. Rozwiązanie współpracuje z modułem TPM, który pomaga potwierdzić integralność procesu rozruchu oraz zgodność platformy z oczekiwanym stanem bezpieczeństwa.
Jeżeli podczas startu systemu wykryte zostaną różnice w parametrach rozruchowych lub niespójności w politykach walidacyjnych, BitLocker może uznać środowisko za potencjalnie ryzykowne i uruchomić tryb odzyskiwania. Tego typu incydenty nie są nowe, ale w praktyce stanowią poważny problem operacyjny, zwłaszcza w dużych organizacjach zarządzających tysiącami urządzeń.
Microsoft wskazał, że obecna sytuacja częściej dotyczy środowisk zarządzanych centralnie niż komputerów konsumenckich. Wynika to z faktu, że źródłem problemu była specyficzna konfiguracja korporacyjna związana z zasadami BitLockera, TPM i UEFI.
Analiza techniczna
Istota błędu sprowadza się do zależności między aktualizacją plików rozruchowych, konfiguracją modułu TPM oraz walidacją rejestrów PCR, w szczególności PCR7. BitLocker wykorzystuje TPM do sprawdzania, czy środowisko rozruchowe odpowiada zaufanemu profilowi zapisanym podczas wcześniejszej konfiguracji urządzenia.
Jeżeli po instalacji aktualizacji zmieniają się elementy łańcucha rozruchowego, a jednocześnie polityka walidacji TPM została ustawiona w sposób niezalecany, mechanizm ochronny może potraktować taki stan jako podejrzany. Efektem jest zablokowanie automatycznego odblokowania woluminu systemowego i wyświetlenie monitu o podanie klucza odzyskiwania BitLocker.
W przypadku Windows 11 25H2 Microsoft rozwiązał ten problem poprzez aktualizację KB5089549. Poprawka usuwa scenariusz, w którym urządzenia trafiały do trybu recovery po aktualizacji plików startowych na systemach z określonymi ustawieniami walidacji TPM, w tym z nieprawidłową konfiguracją związaną z PCR7.
Z technicznego punktu widzenia incydent pokazuje, że nawet prawidłowo zaprojektowane mechanizmy ochronne mogą powodować zakłócenia, jeśli środowisko opiera się na historycznych, niestandardowych lub nieaktualnych politykach administracyjnych. W przedsiębiorstwach utrzymujących starsze ustawienia GPO skutki takich zmian mogą być odczuwalne natychmiast po rutynowym wdrożeniu aktualizacji bezpieczeństwa.
Konsekwencje / ryzyko
Najbardziej bezpośrednią konsekwencją jest ryzyko przestoju. Urządzenie, które po restarcie żąda klucza odzyskiwania, może stać się czasowo niedostępne dla użytkownika końcowego, a w niektórych przypadkach również dla administratora bez dostępu do repozytorium kluczy.
W środowisku firmowym przekłada się to na zwiększone obciążenie działów wsparcia, opóźnienia we wdrażaniu poprawek oraz zakłócenia pracy użytkowników. Problem staje się szczególnie poważny, gdy organizacja nie ma dobrze uporządkowanych procedur przechowywania i odzyskiwania kluczy BitLocker.
Choć nie jest to luka prowadząca bezpośrednio do obejścia szyfrowania ani naruszenia poufności danych, incydent realnie wpływa na dostępność systemów. Dodatkowo błędne lub zbyt pochopne działania naprawcze, takie jak wyłączanie ochrony na dużą skalę bez kontroli, mogą obniżyć poziom bezpieczeństwa stacji roboczych i serwerów.
Rekomendacje
Administratorzy korzystający z Windows 11 25H2 powinni potwierdzić wdrożenie aktualizacji KB5089549 i zweryfikować, czy problem nie występuje już na objętych nią urządzeniach. W środowiskach opartych na Windows 10 i Windows Server wskazane jest ostrożne podejście do wdrażania aktualizacji oraz zastosowanie zaleconych obejść do czasu publikacji pełnej poprawki.
- Przeprowadzić audyt zasad grupy związanych z BitLockerem, TPM i UEFI.
- Usunąć lub zmienić niezalecaną politykę „Configure TPM platform validation profile for native UEFI firmware configurations”, jeśli jest aktywna.
- Potwierdzić, że powiązania BitLocker wykorzystują profil PCR7 zgodnie z aktualnymi zaleceniami producenta.
- Zweryfikować dostępność kluczy odzyskiwania w Active Directory, Entra ID lub innych systemach zarządzania.
- Testować aktualizacje bezpieczeństwa na grupach pilotażowych przed wdrożeniem produkcyjnym.
- Przygotować procedury helpdesk na wypadek masowego pojawienia się ekranów odzyskiwania BitLocker.
Z perspektywy cyberbezpieczeństwa jest to ważne przypomnienie, że bezpieczeństwo nie zależy wyłącznie od szybkiego wdrażania poprawek. Równie istotna pozostaje spójność konfiguracji, zgodność polityk z aktualnymi zaleceniami oraz gotowość operacyjna do obsługi incydentów wpływających na dostępność systemów.
Podsumowanie
Microsoft naprawił problem powodujący nieoczekiwane uruchamianie trybu odzyskiwania BitLocker po kwietniowych aktualizacjach 2026 roku, ale na razie tylko w Windows 11 25H2. Organizacje korzystające z Windows 10 i Windows Server nadal muszą polegać na zmianach konfiguracyjnych oraz ostrożnym zarządzaniu wdrożeniami.
Sprawa pokazuje, jak silnie powiązane są ze sobą aktualizacje bezpieczeństwa, integralność rozruchu, polityki TPM i operacyjna dostępność urządzeń. Dla zespołów IT kluczowe pozostają obecnie trzy obszary: audyt konfiguracji BitLockera, kontrola dostępu do kluczy odzyskiwania oraz etapowe wdrażanie poprawek po testach zgodności.
Źródła
- BleepingComputer – Microsoft fixes BitLocker recovery issue only for Windows 11 users: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bitlocker-recovery-issue-only-for-windows-11-users/
- Microsoft Support – KB5089549 cumulative update for Windows 11: https://support.microsoft.com/
- Microsoft Support – Known issue related to BitLocker recovery prompts after April 2026 updates: https://support.microsoft.com/
- Microsoft Learn – BitLocker overview: https://learn.microsoft.com/