2022年8月月例更新「KB5012170」のインストール時にBitLockerの回復画面が表示されるケースが出ているらしいので、自分用に発生した時のために備えます。
KB5012170の不具合
今月のWindows Update適用時の記事<2022年8月のWindows Update - treedown’s Report>にてKB5012170について触れておりましたが、セキュアブート周りの脆弱性修正ということもあってか、ブートプロセスに影響のある更新プログラムとなっているようです。
確認した時には既知の問題点として「更新プログラムのインストールに失敗することがある」という不具合だけだったのですが、BitLockerが有効化されたWindows環境では新たな不具合が発生しているというニュースが静かに賑わっています。
BitLocker環境で発生する問題
どうやらまだ日本語化されていないらしく、<https://docs.microsoft.com/en-us/windows/release-health/status-windows-11-21h2#2888msgdesc>にある、
「Some devices might start up into BitLocker Recovery」
(一部のデバイスで BitLocker 回復画面が起動することがあります)
のページを確認しました。
英文の文書をざっくりと解説。
--------------------------------------------------------------
一部デバイスで2022年8月9日リリースのセキュアブートDBX(KB5012170)のセキュリティ更新プログラムをインストール試行後、1回目か2回目の再起動でBitLockerの回復画面が表示されることがあります。2022年8月9日にリリースされた最新の累積更新プログラムや月例ロールアップには影響はしません。
--------------------------------------------------------------
という不具合の解説から、回避策(Workaroundの項)が記載されています。
--------------------------------------------------------------
回避策:デバイスがBitLockerの回復キーを要求しているときには、Windowsを起動するために回復キーを入力する必要があります。詳しくは<https://support.microsoft.com/windows/finding-your-bitlocker-recovery-key-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6>を参照してください。
もしKB5012170をインストールしていない状態で、BitLockerが有効化されている場合には以下の手順に従ってBitLockerを一時的に中断してインストールしてください。
もしKB5012170をインストールして、デバイスを再起動していない状態か、あるいはデバイスを1回だけ再起動した場合には、以下の手順(後述)でBitLockerを一時的に中断します。
--------------------------------------------------------------
これに加えて、「重要:(Importantの項)」の欄には、
KB5012170のインストール後にデバイスを2回以上再起動した(再起動ができた)場合にはこの問題の影響を受けません。
と記載があります。つまり、KB5012170インストール後にOSの再起動や、(高速スタートアップが無効の環境で)シャットダウンからの起動を2回以上出来ていれば問題とは縁が無かったと考えることができそうです。
BitLocker一時的に中断
引き続き、<https://docs.microsoft.com/en-us/windows/release-health/status-windows-11-21h2#2888msgdesc>にある、
「Some devices might start up into BitLocker Recovery」
からの英文を日本語化。
前述の「以下の手順(後述)でBitLockerを一時的に中断する」手順の記載を日本語化してみます。
--------------------------------------------------------------
BitLockerを一時的に中断するか、KB5012170の展開時にBitLockerの回復画面を回避する為に、以下の手順を実施します。
- 管理者コマンドプロンプトから以下のコマンドを実行
Manage-bde -protectors -disable %systemdrive% -rebootcount 2
たぶんこの(↑)コマンドを実行すると、BitLockerが一時停止状態になる、ということと読み取れます。 - 更新プログラムKB5012170をインストールします。
- デバイスを再起動します。
- デバイスをもう一度再起動します。(二回目の再起動)
- BitLockerは2回の再起動後に自動的に有効化されます。BitLockerが有効であることを確認するため、BitLockerを手動で再開するには次のコマンドを実行します。
Manage-bde -protectors -Enable %systemdrive%
--------------------------------------------------------------
この手順でひとまずKB5012170を適用する、という目的は達成出来るっぽい。
BitLockerの回復画面に備える
ここまでの手順でMicrosoft公式に公表されているKB5012170を適用する方法は理解できましたが、BitLocker回復画面が表示されても、回復キーがあればそれを入力するだけで通常通り利用することができるはず。
その場合には、以前に別の要因でBitLockerの回復画面が表示された時の記事が役に立つと思います。(実際コメントもいただいたので参考にはなると思う。)
このときはWindows Home EditionだったためBitLocker用のGUI画面が使えない、という制約があり、コマンドラインで回復キーを入手して備えるようにしました。
BitLockerが有効化された環境では、このときの手順をKB5012170適用前に実施しておくことが望ましい、ということのようです。
追記:(2024-07-29)
BitLocker回復キーを自動収集するバッチファイルを作成しました。タスクスケジューラなどで定期的に実行するようにしておくと、知らないうちに…が防げるかもしれません。