微软确认最新 Windows 和服务器更新中存在新的 BitLocker 漏洞

微软的 2026 年 4 月更新在某些 Windows Server 2025 设备上触发了 BitLocker 恢复。管理员在安装 KB5082063 后第一次重启时就会被锁定，微软确认了这一问题，并发布了解决方法，同时正在开发永久性的修复程序。

微软于2026年4月15日证实，部分Windows Server 2025设备在安装4月14日发布的2026年4月安全更新KB5082063后，会进入BitLocker恢复模式。在相同条件下，安装了 KB5083769 和 KB5082052 更新的 Windows 11 设备也会受到该问题的影响。

当设备进入BitLocker恢复时，需要48位恢复密钥才能完成操作系统加载。微软表示，只有在更新后第一次重启时才会出现恢复提示。只要不进一步更改组策略，后续重启不会再次触发提示。

受影响的用户

微软表示，该问题不太可能影响个人设备。只有同时具备所有五个特定条件时，才会出现该问题。BitLocker必须在操作系统硬盘上启用。组策略设置中的 TPM (Trusted Platform Module)平台验证的组策略设置必须配置为包括 PCR7。

系统信息工具 msinfo32.exe 必须将安全启动状态 PCR7 绑定报告为 "不可能"。Windows UEFI CA 2023 证书必须存在于安全启动签名数据库中。设备必须尚未运行 2023 签名的 Windows 启动管理器。这些配置通常只出现在企业管理系统中。

微软建议

Microsoft 建议在部署 KB5082063 更新之前删除 PCR7 组策略配置。管理员还应确认 BitLocker 绑定使用的是PCR7 配置文件。.对于无法在安装前移除策略的用户，Microsoft 已通过其业务支持渠道提供了已知问题回滚 (KIR)。

KIR 可防止自动切换到 2023 启动管理器，并阻止 BitLocker 恢复屏幕触发。永久修复程序正在开发中，将在未来的 Windows 更新中推出。

另外，微软还指出，一些Windows Server 2025设备完全无法安装四月更新，安装过程中出现错误代码800F0983。该公司表示正在调查根本原因。

反复出现的问题

这是四年来第四次出现 "补丁星期二 "更新引发意外的 BitLocker 恢复提示。同样的问题出现在 2022 年 8 月的 KB5012170 中，2024 年 7 月再次出现在所有支持的 Windows 版本中，最近一次出现在 2025 年 5 月的 Windows 10 系统中。

尽管存在已知问题，但微软并不建议管理员跳过 4 月份的更新。该版本解决了 167 个漏洞包括两个零日漏洞，其中一个在补丁发布前就已被利用。