[English]Mit dem Windows 10 22H2-Update vom 13. Mai 2025 gab es das Problem, dass zahlreiche Systeme im WinRE mit einer Abfrage des Bitlocker Recovery Keys hängen blieben. Mit Eingabe des Keys gerieten einige Systeme in eine Boot-Schleife. Microsoft hat zum 19.5.2025 ein Out-of-Band-Update freigegeben, welches die Probleme beheben soll.
Anzeige
Das Bitlocker Problem von Mai 2025
Das Update KB5058379 für Windows 10 22H2 vom 13. Mai 2025 hat für einige Nutzer und Administratoren ziemliche Probleme gebracht. Auf einigen Maschinen war nach der Installation des Updates Windows 10 gesperrt, weil das System beim Booten den Bitlocker Recovery-Key anforderte und hängen bleibt. Einige Betroffene berichteten, dass Windows nach Eingabe dieses Keys in eine Boot-Schleife geriet.
Ich hatte im Blog-Beitrag Windows 10: Mai 2025-Update KB5058379 sperrt Systeme, triggert Bitlocker Recovery und BSODs berichtet. Mir liegen inzwischen auch Berichte von Blog-Lesern vor, dass Windows 11 auch betroffen sei. Microsoft hatte im Nachgang dieses Problem bestätigt (siehe mein Blog-Beitrag Microsoft bestätigt Bitlocker-Boot-Probleme nach Windows 10/11 Mai 2025-Update).
Zum 16. Mai 2025 bestätigte Microsoft im Windows Release Health-Dashboard von Windows Server 10 22H2 per Support-Beitrag Windows 10 might repeatedly display the BitLocker recovery screen at startup, dass nach der Installation des Updates (KB5058379) vom Mai 2025 Windows 10 22H2 möglicherweise den Bildschirm für die BitLocker-Wiederherstellung anzeigt und in eine Boot-Schleife gelangen kann. Microsoft schiebt das Problem auf Geräte mit aktivierter Intel Trusted Execution Technology (TXT), wenn dort Intel vPro Prozessoren der 10. Generation verwendet werden.
Out-of-Band-Update KB5061768
Zum 19. Mai 2025 hat Microsoft den Support-Beitrag Windows 10 might repeatedly display the BitLocker recovery screen at startup aktualisiert und schreibt, dass das Problem durch das Sonder-Update (Out-of-Band-Update) KB5061768 behoben wird. Dieses Out-of-Band-Update (OOB) KB5061768 ist nur über den Microsoft Update Catalog verfügbar.
Anzeige
Die weitere Vorgehensweise hängt dann vom Sachverhalt ab. Ist man mit Systemen mit den oben erwähnten Intel vPro Prozessoren der 10. Generation unter Windows 10 22H2 oder Windows 10 Enterprise LTSC 2021 vom Bitlocker-Problem betroffen, ist das Update aus dem Microsoft Update Catalog herunter zu laden und manuell zu installieren.
Das weitere Vorgehen hängt vom Sachverhalt ab. Wurde das Windows-Sicherheitsupdate vom 13. Mai 2025 noch nicht installiert, oder ist die Installation von KB5058379 fehlgeschlagen, empfiehlt Microsoft direkt das OOB-Update KB5061768 zu installieren.
Kann das System wegen des installierten Updates KB5058379 nicht mehr booten, empfiehlt Microsoft vorübergehend Intel VT for Direct I/O (auch bekannt als VTD oder VTX) und Intel Trusted Execution Technology (TXT) in den BIOS-/UEFI-Einstellungen zu deaktivieren. Dann sollte Windows 10 wieder booten und nach Eingabe des Bitlocker Recovery Key auch erfolgreich zum Desktop starten.
Danach ist das Update KB5061768 über den Microsoft Update Catalog herunter zu laden und manuell zu installieren. Nach dem Neustart von Windows 10 sind in den BIOS- / UEFI-Einstellungen Intel VT für Direct I/O (auch bekannt als VTD oder VTX) und TXT wieder zu aktivieren. Dieser Schritt erfordert die Eingabe des BitLocker-Wiederherstellungsschlüssels.
Ohne diesen BitLocker-Wiederherstellungsschlüssel ist kein Booten möglich. Dieser Key sollte im Microsoft-Konto, mit dem Bitlocker aktiviert wurde, gespeichert sein. Microsoft hat keine Möglichkeit, den Key in Windows wiederherzustellen oder zu ermitteln.
Mir liegen Berichte von Windows 11-Nutzern vor, dass sie auch betroffen seien. Hier gibt es weder eine Bestätigung von Microsoft noch ein Sonderupdate. Und Blog-Leser Fritz fragt in diesem Kommentar, ob schon jemand das Sonderupdate erfolgreich getestet habe und der Bug beseitigt ist?
Ähnliche Artikel:
Microsoft Security Update Summary (13. Mai 2025)
Patchday: Windows 10/11 Updates (13. Mai 2025)
Patchday: Windows Server-Updates (13. Mai 2025)
Windows 10: Mai 2025-Update KB5058379 sperrt Systeme, triggert Bitlocker Recovery und BSODs
Microsoft bestätigt Bitlocker-Boot-Probleme nach Windows 10/11 Mai 2025-Update
Windows: Bitlocker-Verschlüsselung über Bitpixie (CVE-2023-21563) ausgehebelt
Anzeige
Bei mir ist auch ein Windows 11 Client betroffen. Die Intel TXT Option gab es im UEFI nicht, es wurde jetzt ein Windows Reset durchgeführt.
Wie stellt sich Microsoft dies nun vor?
Wir haben 1000 Geräte und sind auch betroffen.
Können die den Patch nicht einfach über Windows Update freigeben und den anderen zurückziehen?
Weiss noch nicht, was wir machen sollen.
Patch herunterladen und dann manuell in den WSUS importieren.
https://learn.microsoft.com/de-de/windows-server/administration/windows-server-update-services/manage/wsus-and-the-catalog-site
Wir haben kein WSUS. Läuft über Intune. Ich muss mich schlau machen.
Okay, geht scheinbar nicht. Man muss es über ein Paket machen. Typisch MS.
Jetzt haben Sie es hinzugefügt.
in intune ist zwar ein "2025.5 OOB" Release hinzugefügt worden von MS am 16.05.2025
Offensichtlich wurde aber nur ein Windows 11 update hinzugefügt: May 16, 2025 – KB5061258
Folglich wird Hotfix KB5061768 immer noch nicht über inTune angeboten.
Das Update kann doch einfach in den WSUS importiert und dann verteilt werden. Wir verteilen jetzt auch das OOB Update anstatt dem "original". Wir nutzen kein Intel vPro aber ich bin mir nicht sichber ob vielleicht doch einzelne Geräte betroffen sein könnten, da vielleicht eine BIOS Einstellung falsch gesetzt ist.
Wir verwalten die BIOS Einstellungen zwar zentral mit Dell Command Configure, aber das ist mir zu heiß mit dem Fehler.
Das Update kann doch einfach in den WSUS importiert und dann verteilt werden. Wir verteilen jetzt auch das OOB Update anstatt dem "original". Wir nutzen kein Intel vPro aber ich bin mir nicht sichber ob vielleicht doch einzelne Geräte betroffen sein könnten, da vielleicht eine BIOS Einstellung falsch gesetzt ist.
Wir verwalten die BIOS Einstellungen zwar zentral mit Dell Command Configure, aber das ist mir zu heiß mit dem Fehler.
So habe ich es jetzt auch gemacht.
ImportUpdateToWSUS.ps1 -UpdateID 77259216-8224-4cd5-9fab-809e40c7469e
ImportUpdateToWSUS.ps1 -UpdateID 6bedeaa9-9ae1-4a47-b088-ee334812a32c
ImportUpdateToWSUS.ps1 -UpdateID 093a8c80-950f-4721-9465-4b286a85a4aa
ImportUpdateToWSUS.ps1 -UpdateID 2f860a42-87a8-462b-847e-d90fadbded9e
(21H2/LTS und 22H2, jeweils x86 und x64, ARM brauche ich nicht).
In meinem Testzoo haben sich bisher keine Auffälligkeiten gezeigt.
Das originale Update (KB5058379) habe ich im WSUS gesperrt, obwohl es im KB5061768 sowieso als ersetzt markiert wurde.
Wir haben etliche Lenovo-Laptops der betreffenden Generation, die aus Kompatibilitätsgründen noch mit Windows 10 laufen müssen, aber mit Blick auf Windows 11 angeschafft wurden. Die meisten davon sind zumindest tageweise im Homeoffice und so eine Nummer wie vor einem halben Jahr, als man reihenweise Bitlocker-Schlüssel am Telefon durchgeben mußte, brauche ich nicht noch mal.
Nur zum Verständnis, die Probleme treten aber nur bei aktivierten Bitlocker auf, richtig? Alles andere wäre unverständlich, aber ich frage lieber nochmal nach ;-)
Nein, die Bitlocker Abfrage ist nur ein Symptom des Problems. Im Grunde kann Windows nicht mehr starten und crasht beim Boot, dann läuft die "Starthilfe" bzw. automatische Reparatur, die verändert was am Startvorgang -> Bitlocker wird getriggert.
Da die Starthilfe allerdings auch nichts machen kann crasht Windows wieder beim Boot und die Schleife beginnt von vorne.
Die Probleme treten – nach meinem Verständnis – auf, wenn der UEFI-Bootloader wegen Secure Boot (SBAT) aktualisiert werden soll.
Fatal werden sie, wenn Bitlocker aktiviert ist und der Recovery-Key benötigt wird. Dann kann das Update nicht automatisch zurückgerollt werden und der Anwender hat diesen Key i.d.R. auch nicht im Kopf.
Das Update wird auch mit deaktiviertem Bitlocker nicht zurückgerollt. Ich habe bei einem betroffenen Client über die Konsole Bitlocker deaktiviert, ergibt dann die gleiche Boot Schleife wie zuvor, nur ohne Bitlocker Eingabe.
Frage:
Ist das OOB-Update KB5061768 dann ein vollständiger Ersatz für das eigentliche Update KB5058379, oder muss nach erfolgreichen Installation des OOB-Update das KB5058379 dann noch nachinstalliert werden ?
O-Ton von Microsoft aus dem Text: " Wurde das Windows-Sicherheitsupdate vom 13. Mai 2025 noch nicht installiert, oder ist die Installation von KB5058379 fehlgeschlagen, empfiehlt Microsoft direkt das OOB-Update KB5061768 zu installieren."