Problemas de BitLocker tras el Patch Tuesday de abril
El reciente Patch Tuesday de abril ha traído consigo un problema peculiar que afecta a algunas configuraciones específicas en Windows Server 2025. A continuación, exploraremos a fondo este tema, analizando la naturaleza del problema y las soluciones propuestas por Microsoft.
Naturaleza del Problema
Según informes de Microsoft, la dificultad no es generalizada, sino que afecta a un número limitado de entornos donde BitLocker ya cifra el disco del sistema. El inconveniente surge en situaciones donde una política de grupo exige un perfil de validación TPM que incluya PCR7. Esto ocurre incluso cuando Windows indica que hay una incompatibilidad entre PCR7 y Secure Boot.
Implica un giro en la transición hacia los nuevos certificados Secure Boot, en máquinas que aún no utilizan el Boot Manager firmado en 2023. Aunque esto puede causar sorpresas durante el reinicio, no se espera que todos los servidores actualizados enfrenten el molesto mensaje de BitLocker, lo que podría simplificar la situación para muchos administradores.
La Clave en el Primer Reinicio
Una buena noticia es que, como señala Microsoft, la clave de BitLocker solo será solicitada una vez, al primer reinicio posterior a la instalación del parche. Esto significa que, aunque la incomodidad pueda generarse al reiniciar, la situación no se extenderá más allá de ese primer arranque, lo que podría ayudar a mitigar la preocupación entre los administradores de sistemas.
Soluciones Propuestas por Microsoft
Ante este inconveniente, Microsoft ha proporcionado dos soluciones recomendadas que pueden ayudar a mitigar el impacto del problema:
1. Eliminación de la Estrategia de Grupo
La primera recomendación consiste en eliminar la política de grupo que forza la inclusión de PCR7 en el perfil de validación TPM antes de implementar el Patch Tuesday. De este modo, se previene la situación que lleva a que se demande la clave de BitLocker.
2. Known Issue Rollback (KIR)
La segunda alternativa es aplicar un Known Issue Rollback (KIR), que también debe hacerse antes de la instalación de la actualización de seguridad. Este método ayuda a evitar la transición automática al Boot Manager que utiliza el certificado de Windows UEFI CA 2023, lo que puede ser una solución temporal efectiva para quienes se enfrentan a esta situación.
Conclusiones
Aunque el problema de BitLocker relacionado con el Patch Tuesday de abril pueda parecer preocupante, es importante recordar que no afecta a todos los sistemas y que hay soluciones temporales disponibles. Las recomendaciones ofrecidas por Microsoft son fáciles de implementar y pueden ayudar a minimizar las molestias durante el proceso de actualización.
Adicionalmente, se espera que se implemente un corregido definitivo en próximas actualizaciones. Por lo tanto, es aconsejable que los administradores de sistemas permanezcan informados sobre futuras actualizaciones de Microsoft y consideren aplicar las soluciones recomendadas para evitar contratiempos.
About the Author
