Windows 11 vereist in sommige gevallen BitLocker-herstelsleutel na maandupdate

In dit artikel:

Beveiligingsupdates van deze maand voor Windows 11 kunnen onder zeldzame omstandigheden leiden tot een eenmalige blokkade waarbij het systeem om de BitLocker-herstelsleutel vraagt, meldt Microsoft. Na het invoeren van die sleutel start Windows 11 weer normaal en blijft het versleutelde schijfstation toegankelijk. De oorzaak is geen fout in de sleutel zelf maar een opeenstapeling van specifieke configuraties waardoor Windows de integriteit van het systeem niet meer kan verifiëren.

Vijf voorwaarden moeten tegelijk gelden om het probleem te veroorzaken: BitLocker moet ingeschakeld zijn voor het opstartstation; een groepsbeleid voor TPM-platformvalidatie en UEFI-firmware moet met PCR7-binding ingesteld zijn; die PCR7-binding moet in Systeeminformatie als "niet mogelijk" verschijnen; er moet een UEFI-beveiligingscertificaat uit 2023 in de Secure Boot-handtekeningendatabase aanwezig zijn (waardoor een Boot Manager met 2023-handtekening als standaard kan gelden); en die 2023-ondertekende bootmanager mag niet al draaien vóór het toepassen van de updates. Microsoft zegt dat consumentenapparaten hier waarschijnlijk niet door worden getroffen, maar dat beheerde systemen binnen organisaties meer risico lopen.

Organisaties wordt impliciet aangeraden voorbereid te zijn op herstelprocedures (herstelsleutels beschikbaar hebben) en hun TPM/UEFI- en groepsbeleidinstellingen te controleren voordat updates op grote schaal worden uitgerold.