Un aggiornamento di Windows 10 per Secure Boot causa problemi a BitLocker

A gennaio scorso Microsoft ha rilasciato un aggiornamento per Windows 10 (KB4535680) al fine di correggere una vulnerabilità scoperta in Secure Boot: essa permetteva il superamento della funzionalità di protezione impostata sulla singola macchina consentendo ad esempio l’esecuzione di programmi sprovvisti di firma digitale.

Nell’articolo Secure Boot e Windows: a cosa serve e come si disattiva abbiamo visto come funziona Secure Boot e a che cosa serve.
Caratteristica propria dei sistemi basati su BIOS UEFI (Che cos’è UEFI e quello che c’è da sapere sul nuovo BIOS) e basata sull’utilizzo del chip TPM (Trusted Platform Module), Secure Boot è stata pensata in primis per impedire il caricamento di codice malevolo all’avvio del sistema (i.e. rootkit).

Il problema corretto dalla patch KB4535680 riguarda molteplici versioni di Windows: Windows 10 (dalla release 1607 alla 1909), Windows 8.1, Windows Server 2012 R2 e Windows Server 2012.

Purtuttavia, dopo l’installazione dell’aggiornamento KB4535680 molti utenti che proteggono i loro sistemi con BitLocker hanno iniziato a segnalare l’anomala comparsa, al riavvio della macchina, dell’inserimento del codice di ripristino.
Anche BitLocker si basa infatti sull’utilizzo del chip TPM e in alcuni casi può presentarsi il comportamento irregolare.

In attesa dell’arrivo di un ulteriore aggiornamento correttivo (che al momento ancora non esiste) Microsoft suggerisce di disabilitare temporaneamente BitLocker per un singolo successivo riavvio o per tre reboot seguenti usando il primo o il secondo comando da eseguire al prompt aperto con i diritti di amministratore:

manage-bde -protectors -disable C: -rebootcount 1
manage-bde -protectors -disable C: -rebootcount 3

La scelta dell’uno o dell’altro comando dipende, rispettivamente, dall’inutilizzo di Windows Defender Credential Guard o, viceversa, dalla sua attivazione.
La temporanea disabilitazione di BitLocker al riavvio permette di evitare la comparsa di successive richieste di inserimento del codice di ripristino.

Per maggiori informazioni su BitLocker e sul chip TPM suggeriamo la lettura dell’articolo BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all’avvio.