Nelle ore successive al Patch Tuesday di aprile 2026 molti amministratori IT hanno notato episodi isolati in cui Windows ha richiesto la chiave di ripristino di BitLocker al primo riavvio dopo l’installazione degli aggiornamenti. L’evento è associato in particolare a pacchetti come KB5083769 (rilasciato il 14/04/2026) e ad altri cumulativi per Windows 11 e Windows 10, ma non si limita ai PC client: sono stati segnalati impatti anche su Windows Server 2026 e Windows Server 2026. In questa panoramica spieghiamo le cause tecniche, le condizioni che scatenano il blocco e le contromisure raccomandate.
Qual è il nucleo tecnico del problema
Il comportamento deriva da una discrepanza nei binding del modulo TPM e nelle firme di avvio protetto.
In pratica, l’aggiornamento inserisce nel database di Secure Boot il certificato Windows UEFI CA 2026, rendendo il dispositivo teoricamente idoneo all’uso del Windows Boot Manager firmato 2026. Se però il sistema non sta effettivamente eseguendo quel boot manager e contemporaneamente è attiva una specifica impostazione di policy, BitLocker interpreta la differenza come possibile manomissione e richiede la chiave. La radice tecnica è quindi un mismatch tra profilo di convalida TPM, stato di Secure Boot e la versione del boot manager.
Le condizioni che generano il ripristino
Affinché si verifichi la schermata di ripristino devono coesistere più condizioni precise: BitLocker abilitato sull’unità di sistema; la Group Policy “Configura profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native” impostata con PCR7 incluso; msinfo32.exe che segnala il binding PCR7 come “Not Possible”; la presenza del certificato CA 2026 nel database di Secure Boot; e infine il dispositivo che non esegue ancora il Windows Boot Manager 2026.
Solo in questo scenario limitato il sistema chiederà la chiave di ripristino.
Mitigazioni immediate e procedura consigliata
Microsoft ha pubblicato due percorsi principali: la rimozione preventiva della policy o l’uso del Known Issue Rollback (KIR) per bloccare la propagazione del cambiamento di boot manager. La soluzione raccomandata consiste nel modificare la Group Policy prima di distribuire gli aggiornamenti: aprire gpedit.msc o la console di gestione criteri e navigare in Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo, quindi impostare su Non configurato la voce relativa al profilo TPM che include PCR7. Dopo la modifica è necessario eseguire gpupdate /force con privilegi elevati.
Allineare i protector di BitLocker
Dopo aver aggiornato i criteri, per aggiornare le associazioni di BitLocker si consiglia di sospendere e riattivare i protector: usare i comandi manage-bde -protectors -disable C: e successivamente manage-bde -protectors -enable C: (sostituendo C: con la lettera appropriata).
Questo passaggio forza la rigenerazione degli elementi di protezione secondo il profilo predefinito scelto da Windows, riducendo la probabilità che il dispositivo entri in modalità di ripristino al successivo riavvio.
Opzioni per le aziende e cosa aspettarsi
Per chi non può intervenire su larga scala prima dell’update, Microsoft offre il KIR che impedisce il passaggio automatico al Boot Manager 2026 se distribuito prima dell’installazione del cumulativo. Il KIR è particolarmente utile per ambienti gestiti centralmente, mentre per ambienti più piccoli la modifica della Group Policy resta la soluzione più pratica. Importante: se il dispositivo entra già in schermata di ripristino, la chiave va inserita una volta e il sistema dovrebbe ripartire normalmente, purché la policy non cambi dopo il ripristino.
Conseguenze pratiche e sviluppi futuri
Microsoft ha dichiarato che la condizione è limitata a un numero ridotto di sistemi e che è prevista una correzione permanente in un aggiornamento futuro. Nel frattempo gli amministratori devono verificare la presenza delle condizioni descritte (incluso il controllo di msinfo32.exe per lo stato di PCR7) prima di procedere con la distribuzione. Documenti ufficiali come la pagina di supporto di KB5083769 (14/04/2026) spiegano dettagli e offrono link ai file e alle guide operative; seguirli riduce il rischio di interruzioni su flotte numerose.
