«Введите ключ восстановления» — Microsoft сломала всё с последним обновлением Windows
Инцидент с BitLocker стал неожиданным сюрпризом даже для тех, кто не знал о его существовании.
Обновление безопасности KB5058379, выпущенное Microsoft 13 мая в рамках майского «вторника исправлений» , оказалось проблемным для части пользователей Windows 10. После его установки и перезагрузки некоторые устройства автоматически загружаются в среду восстановления WinRE и требуют ключ восстановления BitLocker, что свидетельствует о сбое в проверке целостности системы.
По данным администраторов, уже сейчас подтверждены десятки случаев, когда ноутбуки от Lenovo, Dell и HP не загружались без ручного ввода ключа или вовсе переставали запускаться. Проблема затрагивает не все устройства, но случаи достаточно многочисленны, чтобы говорить о наличии бага, связанного с обновлением.
Один из пользователей Reddit сообщил , что на шести ноутбуках в его организации после установки обновления возникли абсолютно разные проблемы, в том числе запрос ключа BitLocker. Подобные жалобы также были опубликованы на официальных форумах Microsoft.
Некоторые пользователи нашли временное решение, отключив технологию Intel Trusted Execution Technology (TXT) в BIOS. Это аппаратная функция, предназначенная для проверки доверенности компонентов до запуска защищённых операций. Однако у отключения TXT и сопутствующих опций есть своя цена — это может повлиять на работу виртуализации и ослабить защиту системы.
Согласно одному из сообщений на Reddit, представители Microsoft признали наличие известной проблемы с KB5058379 и уже передали её в команду разработки. Формально компания пока не сделала официального заявления, однако один из пользователей процитировал поддержку Microsoft, подтвердившую наличие «триггера восстановления BitLocker на устройствах с Windows 10» после установки обновления.
Вот краткая инструкция, как восстановить систему после установки обновления KB5058379, если устройство загружается в BitLocker Recovery:
1. Отключить Secure Boot
— Зайдите в BIOS/UEFI (DEL/F2/F10/F12 при запуске компьютера).
— Найдите параметр Secure Boot и установите значение Disabled.
2. Отключить Intel TXT (Trusted Execution Technology)
В BIOS/UEFI:
— Найдите параметр с названием Intel TXT, Trusted Execution или OS Kernel DMA Support.
— Установите значение Disabled.
3. Отключить виртуализацию (если проблема сохраняется, или не нашли Intel TXT)
В BIOS/UEFI отключите следующие параметры:
— Intel VT-x (VTX).
— Intel VT-d (VTD).
4. Отключить Изоляцию ядра Windows
Через интерфейс Windows:
— Откройте Параметры → Безопасность Windows → Открыть службу «Безопасность Windows» → Безопасность устройства.
— Найдите раздел Изоляция ядра.
— Выберите Сведения об изоляции ядра и переведите ползунок Защита локальной системы безопасности в положение Выкл.
Через реестр:
— Нажмите Win+R, укажите «regedit» и нажмите Enter
— Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard
— Проверьте значение Enabled:
Если «0» или параметр отсутствует — изоляция ядра уже отключена;
Если «1» — защита включена. Нужно указать «0» и перезагрузить устройство.
5. Отключить изоляцию ядра через редактор групповых политик (если невозможно отключить через Параметры/Реестр)
— Перейдите к Конфигурация компьютера → Административные шаблоны → Система → Device Guard → Включить средство обеспечения безопасности на основе виртуализации
— Кликните по пункту дважды и установите в значение Отключено.
— Перезагрузите устройство.
Совет: лучше не делать всё сразу, а начинать с минимальных изменений — в первую очередь отключите Secure Boot и Intel TXT, прежде чем переходить к отключению виртуализации и остальных параметров. Это поможет сохранить баланс между восстановлением доступа и уровнем безопасности.