Microsoft ยืนยันว่าอัปเดต Windows 11 KB5083769 และ KB5082052 ทำให้ระบบเรียกใช้ BitLocker Recovery โดยไม่ถูกต้อง

Microsoft ได้ปล่อยอัปเดต Patch Tuesday ล่าสุดประจำเดือนเมษายน 2026 สำหรับ Windows 11 ภายใต้หมายเลข KB5083769 และ KB5082052 ซึ่งมาพร้อมการปรับปรุงสำคัญด้าน Remote Desktop รวมถึงฟีเจอร์อื่น ๆ

ในช่วงแรก Microsoft ไม่ได้รายงานปัญหาที่ทราบ (known issues) แต่ภายหลังได้ยืนยันว่า อุปกรณ์ที่ติดตั้งอัปเดตดังกล่าวอาจได้รับผลกระทบจากปัญหาเกี่ยวกับ BitLocker โดยปัญหานี้ไม่ได้เกิดเฉพาะ Windows 11 เท่านั้น แต่ยังรวมถึง Windows 10 (KB5082200), Windows Server 2025 และ Server 2022 ด้วย

Microsoft อธิบายว่าสาเหตุของปัญหานี้มาจากการตั้งค่า Group Policy ของ BitLocker ที่ไม่แนะนำ ซึ่งส่งผลให้ระบบเรียกหน้าจอ BitLocker Recovery ให้ผู้ใช้กรอก Recovery Key อย่างไม่ถูกต้อง อย่างไรก็ตาม ข่าวดีคือ โดยทั่วไปจะต้องกรอกคีย์เพียงครั้งเดียว และมีผลกระทบกับอุปกรณ์เพียงบางส่วนเท่านั้น

อุปกรณ์ที่จะได้รับผลกระทบต้องมีเงื่อนไขดังนี้

เปิดใช้งาน BitLocker บนไดรฟ์ระบบ (OS drive)
มีการตั้งค่า Group Policy: “Configure TPM platform validation profile for native UEFI firmware configurations”
มีการรวม PCR7 อยู่ใน validation profile (หรือมีการตั้งค่า registry เทียบเท่า)

แนวทางแก้ไขที่ Microsoft แนะนำ

เปิด Group Policy Editor (gpedit.msc) หรือ Group Policy Management Console
ไปที่ Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
ตั้งค่า “Configure TPM platform validation profile for native UEFI firmware configurations” เป็น “Not Configured”

จากนั้นรันคำสั่งต่อไปนี้บนเครื่องที่ได้รับผลกระทบ

อัปเดตนโยบาย:
gpupdate /force
ปิดการป้องกัน BitLocker ชั่วคราว:
manage-bde -protectors -disable C:
เปิดการป้องกันอีกครั้ง:
manage-bde -protectors -enable C:

ขั้นตอนนี้จะทำให้ BitLocker ใช้ค่า PCR profile เริ่มต้นของ Windows ใหม่

นอกจากนี้ ผู้ดูแลระบบยังสามารถใช้ Known Issue Rollback (KIR) เพื่อป้องกันปัญหานี้ก่อนติดตั้งอัปเดตได้

เงื่อนไขเพิ่มเติมที่เกี่ยวข้องกับระบบ

ใน System Information (msinfo32.exe) ค่า Secure Boot State PCR7 Binding แสดงเป็น “Not Possible”
มีใบรับรอง Windows UEFI CA 2023 อยู่ใน Secure Boot Database (DB)
เครื่องยังไม่ได้ใช้ Windows Boot Manager ที่เซ็นด้วยใบรับรองปี 2023 เป็นค่าเริ่มต้น

Microsoft ยังแนะนำให้ผู้ดูแลระบบลบหรือปรับการตั้งค่า Group Policy ที่มีปัญหาก่อนทำการอัปเดต Windows ซึ่งถือเป็นวิธีแก้ไขที่แนะนำมากที่สุดในขณะนี้