Апрельское обновление Windows 11 массово блокирует компьютеры из-за BitLocker

Microsoft выпустила апрельское накопительное обновление (Patch Tuesday) для Windows 11, которое привело к массовым проблемам. Вместо рабочего стола миллионы корпоративных и домашних пользователей видят синий экран восстановления BitLocker, требующий 48-значный криптографический ключ.

Проблема имеет глубокие аппаратно-программные корни. Ошибочный патч вмешивается в профили регистров конфигурации платформы (PCR) внутри аппаратного модуля шифрования TPM 2.0. Неожиданное изменение значения в регистре PCR 7, отвечающем за строгую проверку Secure Boot, вызывает критический конфликт. Гипервизор Windows начинает рассматривать официальное обновление как несанкционированное вмешательство в загрузчик типа rootkit.

В результате криптографический модуль за доли секунды отказывается расшифровывать главный ключ тома (VMK), мгновенно блокируя доступ к данным на дисках NVMe SSD. Ситуацию усугубляют пакеты микропрограмм от производителей OEM, которые Microsoft неудачно протолкнула через Windows Update в том же цикле распространения.

Бизнес-последствия инцидента катастрофичны. Службы поддержки тонут в десятках тысяч обращений, а администраторы вынуждены вручную извлекать ключи из облачного портала Azure AD (Entra ID) для заблокированных удалённых сотрудников. Автоматическое восстановление парка техники в этом случае технически невозможно без физического взаимодействия пользователя с клавиатурой, что требует ручного удаления проблемного пакета обновлений через среду восстановления Windows (WinRE).

Этот инцидент окончательно компрометирует процессы контроля качества Microsoft, доказывая, что даже строгая телеметрия в каналах Windows Insider не способна выловить критические ошибки в гибридных аппаратных сценариях. Главные инженеры рекомендуют немедленно остановить развёртывание обновлений в системах Microsoft Intune и SCCM до тех пор, пока не будет собран и проверен исправляющий патч.