KB5083769 BitLocker Fix: Windows 11 2026 Gu…

Στις 14 Απριλίου 2026 η Microsoft κυκλοφόρησε την ενημέρωση KB5083769 για Windows 11 24H2 και 25H2 (μαζί με τις αντίστοιχες KB5082052 για 26H1 και KB5082063 για Windows Server 2025). Και μετά την επανεκκίνηση… χάος. Χιλιάδες διαχειριζόμενες συσκευές κατέληξαν στην οθόνη BitLocker Recovery, ζητώντας το 48-ψήφιο κλειδί ανάκτησης χωρίς προφανή λόγο. Το πρόβλημα είναι ήδη επίσημα επιβεβαιωμένο από τη Microsoft και αφορά έναν συγκεκριμένο — και αρκετά ύπουλο — συνδυασμό ρυθμίσεων TPM, PCR7 και Secure Boot.

Σε αυτόν τον οδηγό θα δεις τι ακριβώς συμβαίνει στο boot chain, ποιες συσκευές επηρεάζονται, πού να βρεις το recovery key, πώς θα ξεκλειδώσεις άμεσα το σύστημα και — ίσως το πιο σημαντικό — πώς να αποτρέψεις την επανεμφάνιση μέσω Group Policy και της εντολής manage-bde. Ας δούμε λοιπόν τι συμβαίνει.

Τι ακριβώς προκαλεί το BitLocker Recovery στο KB5083769

Από τον Απρίλιο 2026, σε συσκευές που έχουν ήδη το πιστοποιητικό Windows UEFI CA 2023 στη βάση δεδομένων Secure Boot (DB), η ενημέρωση αλλάζει τον προεπιλεγμένο Boot Manager σε υπογεγραμμένη έκδοση 2023. Και ναι, αυτή η αλλαγή τροποποιεί τη μέτρηση του PCR7 (Platform Configuration Register 7) στο TPM.

Όταν το Group Policy "Configure TPM platform validation profile for native UEFI firmware configurations" έχει διαμορφωθεί ώστε να συμπεριλαμβάνει ρητά το PCR7 στο validation profile — ενώ το ίδιο το PCR7 binding αναφέρεται ως "Not Possible" — το BitLocker εντοπίζει αλλαγή στο integrity measurement και ενεργοποιεί προστατευτικά τη διαδικασία ανάκτησης.

Με απλά λόγια: το σύστημα βλέπει νέο boot manager, ο TPM δίνει διαφορετικό measurement, και το BitLocker θεωρεί ότι κάποιος μπήκε στη μέση. Όχι ιδανικό σενάριο για ένα πρωινό Δευτέρας.

Ποιες συσκευές επηρεάζονται

Καλά νέα πρώτα: το ζήτημα δεν είναι γενικευμένο. Επηρεάζει συσκευές μόνο όταν ισχύουν ταυτόχρονα και τα πέντε παρακάτω κριτήρια:

Το BitLocker είναι ενεργοποιημένο στον δίσκο λειτουργικού συστήματος (συνήθως C:).
Το GPO "Configure TPM platform validation profile for native UEFI firmware configurations" είναι ρυθμισμένο και περιλαμβάνει ρητά το PCR7 (ή έχει οριστεί χειροκίνητα η αντίστοιχη τιμή registry).
Το msinfo32.exe αναφέρει την τιμή Secure Boot State PCR7 Binding = Not Possible.
Το πιστοποιητικό Windows UEFI CA 2023 είναι ήδη παρόν στη Secure Boot DB.
Η συσκευή δεν εκτελεί ήδη τον 2023-signed Windows Boot Manager.

Πρακτικά, το πρόβλημα εμφανίζεται κυρίως σε εταιρικές συσκευές με Group Policy. Καταναλωτικά PC με αυτόματη ενεργοποίηση BitLocker κατά το setup σπάνια πληρούν τις παραπάνω συνθήκες. Παρ’ όλα αυτά, αναφορές χρηστών δείχνουν ότι ορισμένα HP και Dell laptop με Windows 11 24H2/25H2 εμφανίζουν επιπλέον boot loops με pixelated οθόνες — συμπτώματα που η Microsoft δεν έχει επιβεβαιώσει επίσημα ως ξεχωριστό σφάλμα. (Προσωπικά, σε δύο Dell Latitudes ενός πελάτη μου είδα ακριβώς αυτή την εικόνα και χρειάστηκε firmware update για να σταθεροποιηθεί — αλλά αυτό είναι άλλη ιστορία.)

Γρήγορος έλεγχος: Είσαι ευάλωτος;

Άνοιξε ένα Command Prompt ως Administrator και τρέξε:

msinfo32.exe

Στο παράθυρο που ανοίγει, αναζήτησε τη γραμμή Secure Boot State και PCR7 Configuration. Αν δεις "Binding Not Possible", και ταυτόχρονα έχεις GPO που περιλαμβάνει ρητά το PCR7, βρίσκεσαι στην ομάδα κινδύνου.

Εναλλακτικά — και πολύ πιο γρήγορα — μέσω PowerShell:

Get-BitLockerVolume -MountPoint "C:" | Select-Object MountPoint, ProtectionStatus, LockStatus, EncryptionMethod
manage-bde -protectors -get C:

Πού θα βρεις το BitLocker Recovery Key

Πριν προχωρήσεις σε οτιδήποτε άλλο, πρέπει να έχεις το 48-ψήφιο κλειδί ανάκτησης. Χωρίς αυτό, δεν προχωράς πουθενά. Ανάλογα με τον τύπο λογαριασμού:

Προσωπικός λογαριασμός Microsoft

Επισκέψου τη διεύθυνση aka.ms/myrecoverykey ή account.microsoft.com/devices
Κάνε σύνδεση με τον λογαριασμό Microsoft που χρησιμοποίησες κατά την ενεργοποίηση του BitLocker
Επιβεβαίωσε το όνομα PC και αντιστοίχισε το Key ID που εμφανίζεται στην οθόνη ανάκτησης με αυτό στη λίστα

Εταιρικά περιβάλλοντα

Microsoft Entra ID (πρώην Azure AD): Entra admin center → Devices → επιλογή συσκευής → BitLocker keys
Active Directory on-prem: ADUC (Active Directory Users and Computers) → ιδιότητες υπολογιστή → καρτέλα BitLocker Recovery (απαιτεί τα BitLocker Recovery Password Viewer Tools)
Microsoft Intune: Intune admin center → Devices → All devices → επιλογή συσκευής → Recovery keys
MBAM (παλαιότερες υποδομές): Self-Service Portal ή Helpdesk Portal

Λύση 1: Άμεσο ξεκλείδωμα από την οθόνη Recovery

Στην οθόνη BitLocker Recovery:

Σημείωσε το Recovery Key ID που εμφανίζεται (πρώτοι 8 χαρακτήρες)
Από άλλη συσκευή, εντόπισε το αντίστοιχο 48-ψήφιο κλειδί στις παραπάνω πηγές
Πληκτρολόγησε το κλειδί (το πληκτρολόγιο είναι σε US layout — πρόσεχε ιδιαίτερα τους αριθμούς, αυτό είναι κλασικό σημείο όπου χάνονται 5 λεπτά) και πάτησε Continue
Το σύστημα θα φορτώσει κανονικά τα Windows

Σύμφωνα με τη Microsoft, η οθόνη ανάκτησης θα εμφανιστεί μόνο μία φορά για αυτό το συγκεκριμένο πρόβλημα. Επόμενες επανεκκινήσεις θα φορτώσουν κανονικά — εφόσον η ρύθμιση Group Policy παραμείνει αμετάβλητη. Αν όμως δεν αγγίξεις το GPO, μπορεί κάλλιστα να ξαναχτυπήσει στο επόμενο boot cycle αν αλλάξει κάτι άλλο στο boot chain.

Λύση 2: Ξεκλείδωμα μέσω Command Prompt στο WinRE

Αν για κάποιον λόγο δεν μπορείς να εισάγεις το κλειδί στην κανονική οθόνη (π.χ. ελαττωματικό πληκτρολόγιο, locale problems — συμβαίνει συχνότερα απ’ ό,τι θα φανταζόσουν σε ελληνικά laptop):

Στην οθόνη BitLocker Recovery πάτησε Esc για περισσότερες επιλογές
Επίλεξε Skip this drive → Troubleshoot → Advanced options → Command Prompt
Στο command prompt εκτέλεσε:

manage-bde -unlock C: -RecoveryPassword XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

Στη συνέχεια κάνε επανεκκίνηση:

wpeutil reboot

Λύση 3: Μόνιμη διόρθωση μέσω Group Policy και manage-bde

Εδώ φτάνουμε στην συνιστώμενη μόνιμη λύση από τη Microsoft. Αφού ξεκλειδώσεις και φορτώσεις τα Windows:

Βήμα 1: Επανέφερε το TPM validation profile σε default

Πάτησε Win + R, πληκτρολόγησε gpedit.msc και πάτησε Enter
Πλοήγηση: Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives
Διπλό κλικ στη ρύθμιση "Configure TPM platform validation profile for native UEFI firmware configurations"
Άλλαξε σε Not Configured → Apply → OK

Βήμα 2: Εφάρμοσε την πολιτική και ανανέωσε τα BitLocker bindings

Άνοιξε Command Prompt as Administrator και τρέξε διαδοχικά:

gpupdate /force
manage-bde -protectors -disable C:
manage-bde -protectors -enable C:

Η εντολή -protectors -disable αναστέλλει προσωρινά την προστασία (το BitLocker παραμένει ενεργό αλλά τα κλειδιά αποθηκεύονται unencrypted στον δίσκο — μην αφήσεις τη συσκευή σε αυτή την κατάσταση), και η -protectors -enable τα επανενεργοποιεί — αυτή τη φορά δεσμεύοντάς τα στο τρέχον (σωστό) PCR profile που επιλέγει αυτόματα τα Windows (συνήθως PCR 0, 2, 4, 11 αντί για 7, 11).

Βήμα 3: Επιβεβαίωση

manage-bde -status C:
manage-bde -protectors -get C:

Στην έξοδο, πρέπει να βλέπεις Protection Status: Protection On και να εμφανίζονται τα protectors (TPM, Recovery Password). Κάνε μια επανεκκίνηση για να επιβεβαιώσεις ότι δεν εμφανίζεται ξανά η οθόνη ανάκτησης. Αν περάσει αυτή η επανεκκίνηση χωρίς prompt, είσαι πραγματικά εκτός κινδύνου.

Λύση 4: Προληπτική θωράκιση πριν την εγκατάσταση του KB5083769

Αν δεν έχεις ακόμα εγκαταστήσει την ενημέρωση και διαχειρίζεσαι στόλο συσκευών, μπορείς να εξαλείψεις το ρίσκο εκ των προτέρων. Ειλικρινά, αυτή είναι και η σωστή προσέγγιση για κάθε WSUS/Intune admin που σέβεται τον εαυτό του. Σε ένα elevated PowerShell:

# Ελεγχος του PCR7 binding status
$pcr7 = (Get-CimInstance -Namespace root\cimv2\Security\MicrosoftTpm -ClassName Win32_Tpm).PCR7Configuration
Write-Host "PCR7 Binding: $pcr7"

# Αν το αποτελεσμα ειναι 4 η 0, το PCR7 Binding ειναι "Not Possible" / "Not Implemented"
# Σε αυτη την περιπτωση, αφαιρεσε το PCR7 απο το validation profile

Για ομαδική εφαρμογή σε domain-joined συσκευές, χρησιμοποίησε ένα PowerShell startup script ή Intune Configuration Profile που εκτελεί:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" `
  -Name "PlatformValidationProfile" `
  -Value "0,2,4,11" -Type MultiString -Force

# Suspend / resume protectors για rebind
Suspend-BitLocker -MountPoint "C:" -RebootCount 0
Resume-BitLocker -MountPoint "C:"

Λύση 5: Known Issue Rollback (KIR) για εταιρικά περιβάλλοντα

Αν έχεις μεγάλο όγκο επηρεαζόμενων συσκευών και δεν μπορείς ρεαλιστικά να αλλάξεις τις πολιτικές σε όλες πριν την εγκατάσταση:

Επικοινώνησε με τη Microsoft Support για να σου παρέχει το Known Issue Rollback (KIR) policy package
Το KIR διανέμεται ως ειδικό MSI/Group Policy ADMX template
Εφάρμοσε το KIR μέσω GPO ή Intune σε όλες τις προβληματικές συσκευές — αναιρεί τη συμπεριφορά χωρίς να απαιτεί uninstall του KB

Γιατί αναφέρεται το PCR7 ως "Not Possible";

Καλή ερώτηση — και η απάντηση εξηγεί το ίδιο το πρόβλημα. Όταν στη Secure Boot DB υπάρχουν πολλαπλά root certificates ή μη Microsoft-signed boot code, το BitLocker δεν μπορεί να επαληθεύσει ποια root είναι η «σωστή» για binding. Σε αυτές τις περιπτώσεις:

Αντί να δεσμευτεί στο PCR7 (που μετράει την κατάσταση Secure Boot), το BitLocker χρησιμοποιεί το πιο συντηρητικό προφίλ PCR 0, 2, 4, 11
Αυτό είναι το προεπιλεγμένο και συνιστώμενο behavior — γι’ αυτό η Microsoft λέει να αφήνεις το TPM validation profile σε Not Configured
Αν το PCR7 binding είναι «Not Possible» και εσύ το έχεις βάλει χειροκίνητα στο profile, ζητάς από το BitLocker να επαληθεύσει κάτι που δεν μπορεί. Εξ ου και ο πονοκέφαλος.

Bonus: Έλεγχος αν το issue υπάρχει σε όλο το domain (PowerShell)

Για IT διαχειριστές με πολλαπλές συσκευές, το παρακάτω script τρέχει σε remote PCs και αναφέρει ποιες πληρούν τα κριτήρια κινδύνου. Σου εξοικονομεί ώρες χειροκίνητου ελέγχου:

$computers = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name

foreach ($pc in $computers) {
    Invoke-Command -ComputerName $pc -ScriptBlock {
        $pcr7 = (Get-CimInstance -Namespace root\cimv2\Security\MicrosoftTpm `
            -ClassName Win32_Tpm).PCR7Configuration
        $bitlocker = Get-BitLockerVolume -MountPoint "C:"
        $gpo = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" `
            -Name "PlatformValidationProfile" -ErrorAction SilentlyContinue

        [PSCustomObject]@{
            Computer        = $env:COMPUTERNAME
            PCR7Binding     = $pcr7
            BitLockerOn     = $bitlocker.ProtectionStatus
            ValidationGPO   = $gpo.PlatformValidationProfile -join ","
            AtRisk          = ($pcr7 -eq 4 -and $gpo.PlatformValidationProfile -match "7")
        }
    } -ErrorAction SilentlyContinue
} | Export-Csv -Path "C:\Reports\bitlocker-kb5083769-risk.csv" -NoTypeInformation

Best practices για να αποφύγεις παρόμοια incidents

Πάντα να αποθηκεύεις τα BitLocker recovery keys σε Entra ID, AD ή Intune — ποτέ μόνο τοπικά. Έχω δει ολόκληρες βιβλιοθήκες δεδομένων να χάνονται γι’ αυτό.
Δοκίμασε ενημερώσεις σε pilot ring πριν τη γενική εφαρμογή — ειδικά τις Patch Tuesday του Απριλίου, του Ιουλίου και του Νοεμβρίου, που ιστορικά φέρνουν αλλαγές στο boot chain
Άφησε το TPM validation profile σε Not Configured εκτός κι αν έχεις ισχυρό λόγο compliance να το αλλάξεις
Ενεργοποίησε τη συλλογή msinfo32 reports ως μέρος του device inventory — θα ξέρεις άμεσα ποιες συσκευές έχουν PCR7 Binding "Not Possible"
Διατήρησε ενημερωμένο runbook για το helpdesk με τα βήματα ανάκτησης — αυτό είναι το τέταρτο Patch Tuesday στα τελευταία τέσσερα χρόνια που προκαλεί BitLocker recovery prompt (Αύγουστος 2022, Ιούλιος 2024, Μάιος 2025, Απρίλιος 2026). Pattern, ε;

Συχνές Ερωτήσεις (FAQ)

Είναι ασφαλές να δώσω το BitLocker recovery key;

Ναι, εφόσον είσαι σίγουρος ότι πρόκειται για τη δική σου συσκευή και δεν έχει υποκλαπεί. Το recovery key δεν εξάγεται ή αποκαλύπτεται σε τρίτους εκτός κι αν μοιραστείς το στιγμιότυπο οθόνης (μην κάνεις screenshot και post σε Slack channel, σε παρακαλώ). Μετά την εισαγωγή του, το σύστημα θα ξεκλειδώσει και θα φορτώσει κανονικά — δεν χρειάζεται να αλλάξεις το κλειδί.

Θα ξανα-εμφανιστεί η οθόνη Recovery σε επόμενη επανεκκίνηση;

Όχι, για το συγκεκριμένο πρόβλημα του KB5083769 η οθόνη εμφανίζεται μία μόνο φορά. Σε επόμενες εκκινήσεις τα Windows θα φορτώσουν κανονικά. Αν εμφανιστεί ξανά, υπάρχει διαφορετικό πρόβλημα (π.χ. αλλαγή υλικού, BIOS update, ή ακόμα και reset του TPM) που χρειάζεται διερεύνηση.

Μπορώ να απεγκαταστήσω την KB5083769 για να «διορθώσω» το θέμα;

Όχι, δεν συνιστάται. Η KB5083769 περιλαμβάνει σημαντικές security fixes (συμπεριλαμβανομένων διορθώσεων για RC4 hardening του Kerberos — CVE-2026-20833). Η σωστή λύση είναι να διορθώσεις το PCR7 GPO όπως περιγράφεται παραπάνω. Επιπλέον, λόγω της επερχόμενης λήξης των Secure Boot certificates τον Ιούνιο 2026, η συσκευή θα χρειαστεί έτσι κι αλλιώς αυτή την ενημέρωση. Καλύτερα να το λύσεις σωστά μια φορά.

Γιατί η KB5083769 αλλάζει τον Boot Manager;

Τα τρέχοντα Secure Boot certificates που χρησιμοποιεί η πλειονότητα των Windows συσκευών λήγουν σταδιακά από τον Ιούνιο 2026. Η Microsoft προετοιμάζει τις συσκευές μεταβαίνοντας στο Windows UEFI CA 2023 και τον αντίστοιχο 2023-signed Boot Manager — ώστε να μη σπάσει η αλυσίδα εκκίνησης μετά τη λήξη. Δυστυχώς, σε συστήματα με προβληματικό PCR7 binding, η μετάβαση πυροδοτεί το BitLocker prompt.

Τι κάνω αν έχω χάσει τελείως το BitLocker recovery key;

Δοκίμασε με τη σειρά: (1) λογαριασμός Microsoft στο aka.ms/myrecoverykey, (2) Entra ID/AD/Intune της εταιρίας αν είναι work device, (3) έντυπο αντίγραφο που τυχόν τύπωσες κατά την ενεργοποίηση, (4) USB stick όπου το αποθήκευσες. Αν δεν υπάρχει πουθενά αντίγραφο, δυστυχώς τα δεδομένα είναι ανακτήσιμα μόνο μέσω επαναφοράς από backup — το BitLocker από σχεδιασμό δεν επιτρέπει bypass. Είναι feature, όχι bug, και είναι το λόγο που εμπιστευόμαστε το BitLocker εξαρχής.

Συμπέρασμα

Το BitLocker recovery prompt μετά το KB5083769 είναι ένα one-time issue με σαφή αιτία και σαφή λύση. Για το end user, η εισαγωγή του recovery key είναι αρκετή. Για το IT, η σωστή απάντηση είναι η επαναφορά του TPM validation profile σε Not Configured και το rebind των protectors μέσω manage-bde. Με τα παραπάνω scripts και πολιτικές μπορείς όχι μόνο να διορθώσεις τις ήδη επηρεασμένες συσκευές, αλλά και να θωρακίσεις προληπτικά όλο τον στόλο σου πριν τα επόμενα Patch Tuesdays.

Θυμήσου: το Patch Tuesday του Ιουλίου 2026 αναμένεται να φέρει την κατάργηση του audit mode για το RC4 Kerberos hardening — ένα ακόμα incident που αξίζει να μπει στο pilot ring πριν την παραγωγή. Καλά deployments!