Windows 11-update veroorzaakt BitLocker-paniek: dit moet je weten
Volgens Microsoft kunnen sommige pc’s na installatie van de update plots vragen om een BitLocker-herstelsleutel bij de eerste herstart. Dat is niet bepaald wat je wil zien als je net een update hebt uitgevoerd. De impact blijft gelukkig beperkt. Het probleem doet zich vooral voor bij systemen met een specifieke configuratie, meestal in zakelijke omgevingen. Denk aan apparaten waar BitLocker actief is én bepaalde groepsbeleidsinstellingen (Group Policy) gebruikt worden.
De fout ontstaat wanneer de volgende factoren samen optreden:
- BitLocker is ingeschakeld op de systeemschijf;
- Een specifieke Group Policy-instelling actief is (rond TPM-validatie en PCR7);
- Secure Boot niet correct gekoppeld is (PCR7 Binding “Not Possible”);
- Het systeem nog niet overschakelde naar de nieuwe bootmanager met 2023-certificaat.
In dat scenario kan Windows bij de eerste reboot niet verifiëren of alles nog veilig is, en vraagt het systeem daarom om de herstelcode. Het goede nieuws: meestal gebeurt dit slechts één keer. Daarna starten systemen opnieuw normaal op, zolang er niets aan de configuratie verandert.
Work-arounds beschikbaar
De oorzaak ligt bij een combinatie van instellingen die samen voor problemen zorgen. Het gaat om systemen waarop BitLocker actief is op de systeemschijf en waar bepaalde groepsbeleidsinstellingen rond TPM-validatie zijn ingeschakeld. Wanneer daarbovenop Secure Boot niet correct gekoppeld is en het systeem nog niet gebruikmaakt van de nieuwste bootmanager met een 2023-certificaat, kan Windows bij het opstarten niet meer met zekerheid controleren of alles veilig is. In dat geval grijpt het systeem naar de veilige optie en vraagt het om de herstelcode.
In de meeste gevallen blijft het probleem beperkt tot die eerste herstart. Zodra de verificatie eenmaal gebeurd is en de configuratie niet verandert, functioneren systemen nadien opnieuw normaal. Toch is het voor IT-beheerders een signaal om voorzichtig te zijn bij het uitrollen van deze update.
Permanente fix in de maak
Microsoft heeft intussen tijdelijke oplossingen aangereikt. Zo kunnen beheerders de betrokken groepsbeleidsinstelling uitschakelen en BitLocker opnieuw laten initialiseren, zodat de configuratie opnieuw correct wordt afgestemd. Voor organisaties die die aanpassing niet meteen kunnen doorvoeren, bestaat er ook een zogenaamde Known Issue Rollback. Die voorkomt dat het probleem zich voordoet, op voorwaarde dat die vooraf wordt toegepast.
Een definitieve oplossing is volgens Microsoft al in de maak en zal in een toekomstige update worden uitgerold. Tot die tijd blijft het echter opletten, vooral in omgevingen waar beveiligingsinstellingen strikt beheerd worden. Voor doorsnee thuisgebruikers is er weinig reden tot ongerustheid, aangezien het probleem zich vooral in specifieke bedrijfsconfiguraties voordoet. Toch is het altijd verstandig om je BitLocker-herstelsleutel veilig te bewaren. Deze situatie toont nog maar eens aan dat zelfs routine-updates onverwachte gevolgen kunnen hebben, hoe goed ze ook bedoeld zijn.
