Microsoft: Pembaruan April Picu Permintaan Kunci BitLocker pada Beberapa Server

Microsoft telah mengonfirmasi bahwa sebagian perangkat yang menjalankan Windows Server 2025 akan mengalami booting ke layar pemulihan BitLocker secara otomatis setelah menginstal pembaruan keamanan Windows edisi April 2026 (KB5082063).

BitLocker sendiri merupakan fitur keamanan bawaan Windows yang berfungsi mengenkripsi cakram penyimpanan guna mencegah pencurian data. Umumnya, komputer Windows hanya akan memasuki mode pemulihan BitLocker apabila mendeteksi adanya perubahan perangkat keras yang signifikan atau peristiwa seperti pembaruan TPM (Trusted Platform Module), sebagai langkah pengamanan untuk melindungi cakram yang tidak dibuka melalui mekanisme standar.

“Beberapa perangkat dengan konfigurasi Kebijakan Grup (Group Policy) BitLocker yang tidak disarankan mungkin diwajibkan untuk memasukkan kunci pemulihan BitLocker mereka pada proses restart pertama setelah menginstal pembaruan ini,” jelas perwakilan Microsoft. “Dalam skenario ini, kunci pemulihan BitLocker hanya perlu dimasukkan satu kali—restart berikutnya tidak akan memicu layar pemulihan BitLocker, selama konfigurasi kebijakan grup tetap tidak berubah.”

Kondisi Spesifik Pemicu Bug

Microsoft merinci bahwa masalah ini tidak terjadi secara acak, melainkan hanya muncul pada sistem yang memenuhi semua kondisi teknis berikut secara bersamaan:

• Fitur BitLocker diaktifkan pada drive Sistem Operasi (OS).
• Kebijakan Grup “Configure TPM platform validation profile for native UEFI firmware configurations” sedang dikonfigurasi, dan parameter PCR7 disertakan dalam profil validasi (atau kunci registri yang setara telah diatur secara manual).
• System Information (msinfo32.exe) melaporkan bahwa Secure Boot State PCR7 Binding berada dalam status “Not Possible”.
• Sertifikat Windows UEFI CA 2023 terdapat di dalam Basis Data Tanda Tangan Secure Boot perangkat, yang membuat perangkat tersebut memenuhi syarat untuk menjadikan Windows Boot Manager bertanda tangan 2023 sebagai default.
• Perangkat tersebut saat ini belum menjalankan Windows Boot Manager yang ditandatangani tahun 2023.

Microsoft menambahkan bahwa masalah yang diketahui ini kemungkinan besar tidak akan memengaruhi perangkat pribadi milik pengguna umum, karena kombinasi konfigurasi yang terdampak ini biasanya hanya ditemukan pada sistem yang dikelola oleh tim TI perusahaan (enterprise).

Solusi Sementara dan Langkah Mitigasi

Saat ini, Microsoft tengah mengerjakan perbaikan permanen untuk masalah ini. Sambil menunggu, mereka telah membagikan solusi sementara (workarounds) yang memungkinkan administrator tetap dapat menginstal pembaruan keamanan bulan ini dengan aman:

1. Bagi yang Belum Menginstal: Administrator sangat disarankan untuk menghapus konfigurasi Kebijakan Grup tersebut sebelum menyebarkan (deploying) pembaruan KB5082063. Pastikan juga bahwa pengikatan (bindings) BitLocker menggunakan profil PCR7.
2. Penggunaan KIR: Bagi admin yang tidak dapat menghapus kebijakan grup PCR7 sebelum instalasi, mereka dapat menerapkan Known Issue Rollback (KIR) pada perangkat yang terdampak. Langkah ini akan mencegah sistem beralih secara otomatis ke Boot Manager 2023 dan menghindari pemicuan layar pemulihan BitLocker.

Insiden ini bukan pertama kalinya terjadi. Siklus masalah pemulihan BitLocker pasca-pembaruan sistem telah menjadi masalah berulang bagi Microsoft. Perusahaan terpaksa merilis pembaruan darurat untuk menangani masalah serupa pada Mei 2025 (pada sistem Windows 10), Agustus 2024, dan Agustus 2022 akibat bug pada pembaruan KB5012170.