BitLocker blokuje start Windows 11 po Patch Tuesday – winne KB5083769 i KB5082052, jest sposób naprawy

W skrócie

Po kwietniowym Patch Tuesday część komputerów z Windows 11 (oraz Windows 10 i Windows Server) po zainstalowaniu aktualizacji KB5083769 i KB5082052 zaczęła przy starcie żądać klucza odzyskiwania BitLocker. Microsoft potwierdził, że problem dotyczy konkretnych konfiguracji z niestandardowym profilem TPM/PCR w zasadach grupy i opublikował oficjalną procedurę obejścia dla administratorów. Sytuacja jest szczególnie istotna dla firm, które mocno bazują na BitLockerze i GPO – brak prawidłowo zapisanych kluczy odzyskiwania może oznaczać realne ryzyko utraty dostępu do danych.

Spis treści

W skrócie
Niebieski ekran BitLocker po aktualizacji – co się stało?
Kto jest na celowniku – nie każdy Windows 11 jest zagrożony
Zanim cokolwiek ruszysz: gdzie jest Twój klucz BitLocker?
Oficjalna metoda Microsoft: zmiana GPO i reset profilu TPM/PCR
Rozwiązanie dla dużych firm: Known Issue Rollback (KIR)
O czym pamiętać na przyszłość – kilka praktycznych wskazówek
Podsumowanie

Niebieski ekran BitLocker po aktualizacji – co się stało?

Po instalacji kwietniowych aktualizacji systemu Windows 11 wielu użytkowników i adminów zobaczyło przy starcie systemu nie pulpit, ale ekran odzyskiwania BitLocker, proszący o klucz. Problem został powiązany z łatkami KB5083769 oraz KB5082052, przy czym podobne zachowanie odnotowano również na Windows 10 (KB5082200) i serwerach Windows Server 2022/2025.

Microsoft wyjaśnia, że BitLocker nie „zwariował”, tylko zareagował na zmianę w środowisku rozruchowym – po aktualizacji pojawia się nowy certyfikat Windows UEFI CA 2023, a w połączeniu z określonym profilem weryfikacji PCR7 (ustawionym w zasadach grupy) urządzenie wykrywa to jako potencjalną ingerencję w zaufany łańcuch rozruchu. Zgodnie z logiką zabezpieczeń, BitLocker w takiej sytuacji woli zażądać klucza, niż po cichu kontynuować bootowanie.

Według Microsoftu problem dotyczy ograniczonej liczby urządzeń i w „normalnym” scenariuszu klucz trzeba podać tylko raz – nie powinny pojawiać się nieskończone pętle odzyskiwania. Dla użytkownika, który nie ma klucza, efekt i tak jest jednak brutalny: blokada dostępu do systemu.

Więcej o zasadach działania BitLocker i scenariuszach odzyskiwania można znaleźć w dokumentacji na Microsoft Learn.

Kto jest na celowniku – nie każdy Windows 11 jest zagrożony

Kluczowa informacja: nie każdy komputer z Windows 11 po tych aktualizacjach poprosi o klucz BitLocker. Microsoft wskazuje zestaw warunków, które muszą być spełnione jednocześnie, aby problem wystąpił.

Na liście są m.in.:

Włączone szyfrowanie dysku systemowego przy użyciu BitLocker.
Włączona i skonfigurowana zasada grupy „Konfiguruj profil weryfikacji platformy TPM dla natywnych konfiguracji oprogramowania sprzętowego UEFI”, w której profil obejmuje PCR7.
W narzędziu msinfo32.exe widnieje informacja „połączenie PCR7 stanu bezpiecznego rozruchu nie jest możliwe”.
W bazie Secure Boot (DB) znajduje się certyfikat Windows UEFI CA 2023, czyli urządzenie jest gotowe na nowy menedżer rozruchu.
Na dysku nie ma jeszcze zainstalowanego menedżera rozruchu Windows podpisanego w 2023 r. (mamy certyfikat, ale jeszcze nie zaktualizowany bootloader).

Jeśli konfiguracja jest prostsza – BitLocker nie jest używany, GPO nie rusza profilu TPM/PCR, albo sprzęt nie spełnia warunku z PCR7 – system nie powinien po aktualizacji żądać klucza odzyskiwania. W praktyce oznacza to, że problem dotyka głównie środowisk firmowych z mocno dociśniętymi politykami bezpieczeństwa.

Podstawowe informacje o stanie BitLocker i TPM można sprawdzić przy pomocy narzędzi opisanych w centrum pomocy na stronie wsparcia Microsoft.

Zanim cokolwiek ruszysz: gdzie jest Twój klucz BitLocker?

Zanim przejdziemy do obejść i modyfikowania polityk, najważniejsza rzecz: upewnij się, gdzie masz zapisane klucze odzyskiwania BitLocker. Microsoft przypomina, że w poprawnie zarządzanym środowisku:

klucze powinny być powiązane z kontem Microsoft użytkownika,
lub przechowywane w Entra ID (dawniej Azure AD),
w organizacjach – także w dedykowanych systemach zarządzania kluczami, backupach, ticketach itp.

Jeśli urządzenie pyta o klucz, a ten nie istnieje w żadnym z powyższych miejsc, najczęściej oznacza to brak możliwości odszyfrowania i konieczność czystej instalacji systemu (czyli utraty danych na zaszyfrowanym woluminie). Dlatego przed zabawą w naprawianie konfiguracji BitLockera trzeba najpierw zadbać o porządną inwentaryzację i backup kluczy.

Instrukcje, jak odszukać klucz BitLocker (np. na koncie Microsoft czy w Entra ID), znajdziesz na stronie wsparcia BitLocker.

Oficjalna metoda Microsoft: zmiana GPO i reset profilu TPM/PCR

Microsoft udostępnił oficjalne obejście, które ma wyeliminować konflikt między aktualizacjami a BitLockerem poprzez powrót do wspieranego, domyślnego profilu weryfikacji TPM/PCR. Procedura jest przeznaczona dla administratorów i wymaga uprawnień administracyjnych.

W skrócie, kroki wyglądają tak:

Zmieniasz zasadę grupy
- Otwórz Edytor zasad grupy (gpedit.msc) lub konsolę GPMC.
- Przejdź do: Konfiguracja komputera → Szablony administracyjne → Składniki systemu Windows → Szyfrowanie dysków funkcją BitLocker → Dyski systemowe.
- Znajdź ustawienie „Konfiguruj profil weryfikacji platformy TPM dla natywnych konfiguracji oprogramowania sprzętowego UEFI” i ustaw je na „Nie skonfigurowano”.
Wymuszasz odświeżenie zasad
- Na stacjach roboczych uruchom gpupdate /force, aby wymusić zastosowanie nowych ustawień.
Resetujesz ochronę BitLocker
- Tymczasowo zawieś BitLockera: manage-bde -protectors -disable C:
- Następnie wznów ochronę: manage-bde -protectors -enable C:
Restartujesz komputer
- Po restarcie system generuje i stosuje domyślny, zgodny profil weryfikacji TPM/PCR, który uwzględnia nowy certyfikat Windows UEFI CA 2023.

Po zakończeniu tych kroków BitLocker nie powinien już traktować zmian w środowisku rozruchowym jako powodu do żądania klucza przy każdym starcie.

Szczegółową specyfikę parametrów manage-bde i konfiguracji BitLockera znajdziesz w dokumentacji technicznej na Microsoft Learn.

Rozwiązanie dla dużych firm: Known Issue Rollback (KIR)

W organizacjach z setkami lub tysiącami stacji roboczych ręczne poprawianie GPO i wywoływanie manage-bde na każdej maszynie jest mało realistyczne. Dlatego Microsoft sugeruje alternatywę: użycie mechanizmu Known Issue Rollback (KIR).

KIR pozwala czasowo wycofać konkretną zmianę wprowadzoną przez aktualizację, nie usuwając samej łatki. Dzięki temu:

zachowujesz wszystkie inne poprawki bezpieczeństwa z Patch Tuesday,
ale neutralizujesz fragment odpowiedzialny za konflikt z BitLockerem.

W praktyce KIR zazwyczaj wdraża się przez:

Group Policy (szablony GPO przygotowane pod KIR),
lub narzędzia MDM typu Microsoft Intune, które potrafią rozpropagować odpowiednią politykę do wszystkich urządzeń.

To podejście jest szczególnie sensowne jako szybkie działanie „gaśnicze”, a dopiero później można na spokojnie przeprojektować docelowy profil TPM/PCR i polityki BitLockera.

Opis działania KIR i przykładów konfiguracji znajdziesz na stronach o kondycji wydań Windows, np. w sekcji Windows Release Health pod linkiem https://aka.ms/windowsreleasehealth.

O czym pamiętać na przyszłość – kilka praktycznych wskazówek

Ten incydent pokazuje kilka rzeczy, o których warto pamiętać, projektując politykę szyfrowania w firmie:

Domyślne nie zawsze znaczy złe – Microsoft jasno mówi, że domyślny profil weryfikacji TPM/PCR dla BitLockera jest wspierany i testowany z nowymi certyfikatami, natomiast mocno „podkręcone” konfiguracje mogą się sypać przy większych zmianach w Secure Boot.
Dokumentuj i testuj GPO – każda niestandardowa kombinacja PCR w GPO powinna być udokumentowana i przetestowana na grupie pilotażowej przed masowym wdrożeniem aktualizacji.
Klucze BitLocker to świętość – brak centralnie zarządzanych kluczy odzyskiwania to proszenie się o katastrofę. Dla organizacji minimum to integracja z Entra ID albo innym centralnym repozytorium.
Monitoruj Windows Release Health – Microsoft zwykle szybko publikuje informacje o problemach typu „po aktualizacji X dzieje się Y”. Warto regularnie zaglądać na Windows Release Health, zanim lekko klikniesz „Zainstaluj na wszystkich”.

Podsumowanie

Kwietniowe łatki dla Windows 11 pokazały, że nawet dobrze znane narzędzia jak BitLocker potrafią zaskoczyć, jeśli połączymy je z agresywnie dociśniętymi zasadami bezpieczeństwa. Same aktualizacje bezpieczeństwa są potrzebne i nie ma sensu z nich rezygnować, ale w tym przypadku połączenie nowego certyfikatu Windows UEFI CA 2023, profilu PCR7 i GPO doprowadziło do niespodziewanego wymuszania klucza odzyskiwania. Microsoft dostarczył jasną procedurę obejścia oraz możliwość użycia KIR, więc administratorzy mają narzędzia, by opanować sytuację – pod warunkiem, że wcześniej zadbali o porządną strategię przechowywania kluczy BitLocker. Moim zdaniem to dobry moment, żeby w każdej organizacji zrobić szybki przegląd: jak naprawdę mamy skonfigurowanego BitLockera, gdzie trzymamy klucze i czy na pewno wiemy, co zrobi kolejny Patch Tuesday.

Liczba wyświetleń: 0

BitLocker blokuje start Windows 11 po Patch Tuesday – winne KB5083769 i KB5082052, jest sposób naprawy

W skrócie

Niebieski ekran BitLocker po aktualizacji – co się stało?

Kto jest na celowniku – nie każdy Windows 11 jest zagrożony

Zanim cokolwiek ruszysz: gdzie jest Twój klucz BitLocker?

Oficjalna metoda Microsoft: zmiana GPO i reset profilu TPM/PCR

Rozwiązanie dla dużych firm: Known Issue Rollback (KIR)

O czym pamiętać na przyszłość – kilka praktycznych wskazówek

Podsumowanie

Jesteś naszym klientem?

Awaria sprzętu?

Problem ze sprzętem?

Nasza oferta

Campanet.info to profesjonalna firma, która oferuje kompleksowe usługi naprawy komputerów i laptopów, tworzenia stron www, a także antywirusy firmy GDATA

Regulaminy

Moje konto

Kontakt

© 2009 – 2026 FHU CAMPANET. Wszelkie prawa zastrzeżone