微軟近日發(fā)布警示，確認(rèn)2026年4月推送的系統(tǒng)更新中存在潛在風(fēng)險，部分用戶在安裝后可能觸發(fā)BitLocker恢復(fù)密鑰提示。若用戶此前未妥善備份該密鑰，則設(shè)備將因加密鎖定而無法正常進入操作系統(tǒng)。

　　受此次更新影響的Windows版本包括：

　　Windows 11：涉及安全更新 ‌KB5083769‌ 與 ‌KB5082052‌

　　Windows 10：涉及安全更新 ‌KB5082200‌

　　Windows Server 2022 及 2025 的對應(yīng)更新

　　微軟分析指出，該問題的根源在于特定且已被列為“不推薦使用”的BitLocker組策略配置，與本月發(fā)布的系統(tǒng)更新存在兼容沖突。具體觸發(fā)的條件同時滿足以下四點：

　　系統(tǒng)盤已啟用BitLocker加密;

　　設(shè)備組策略中 ‌“配置TPM平臺驗證配置文件”‌ 已啟用，且PCR7驗證被包含在內(nèi);

　　設(shè)備的安全啟動狀態(tài)中PCR7綁定顯示為不可用;

　　設(shè)備固件中預(yù)存Windows UEFI CA 2023證書，但尚未運行經(jīng)2023年簽名認(rèn)證的Windows啟動管理器。

　　微軟方面強調(diào)，此問題僅會對完全符合上述所有技術(shù)條件的有限設(shè)備產(chǎn)生影響。雖然系統(tǒng)僅會在觸發(fā)時要求輸入一次恢復(fù)密鑰，但對于沒有備份的用戶而言，此狀況將直接導(dǎo)致電腦無法訪問。

　　‌臨時解決方案‌：

　　為防止出現(xiàn)此問題，微軟官方建議管理員在部署上述更新前，提前修改相關(guān)組策略設(shè)置。具體操作為：

　　通過運行g(shù)pedit.msc打開本地組策略編輯器;

　　將策略“配置TPM平臺驗證配置文件”的狀態(tài)改為 ‌“未配置”‌;

　　在命令提示符(管理員模式)中執(zhí)行g(shù)pupdate /force以強制更新策略;

　　依次執(zhí)行以下命令：

　　manage-bde -protectors -disable C:(臨時禁用BitLocker保護器)

　　manage-bde -protectors -enable C:(重新啟用并綁定BitLocker)

　　‌預(yù)防性措施‌：

　　除上述方案外，系統(tǒng)管理員還可以在安裝更新補丁前，啟用“已知問題回滾”(Known Issue Rollback, KIR)策略來預(yù)先規(guī)避這一問題。