Koelman.IT

Stay Hungry, Stay Foolish 💡


Microsoft verhelpt BitLocker-herstelprobleem op Windows Server 2025

Microsoft Lost BitLocker-probleem Opgelost in Windows Server 2025 Update

Microsoft heeft een probleem opgelost waardoor sommige Windows Server 2025-apparaten in BitLocker-herstelmodus terechtkwamen na de beveiligingsupdate van april 2026. BitLocker versleutelt opslagdrives om datadiefstal te voorkomen en activeert normaal gesproken de herstelmodus na hardwarewijzigingen of gebeurtenissen zoals TPM-updates.

Probleem met BitLocker Herstelmodus

In april 2026 meldde Microsoft dat sommige apparaten met een ongewone BitLocker Groepsbeleid-configuratie bij de eerste herstart na de update om hun BitLocker-herstelsleutel moesten vragen. Microsoft verduidelijkte dat deze sleutel slechts één keer hoeft te worden ingevoerd, mits de instellingen ongewijzigd blijven.

Hoewel het probleem ook enkele Windows 11-systemen kan treffen, is het onwaarschijnlijk dat het persoonlijke apparaten beïnvloedt. De configuraties die het probleem veroorzaken, komen vooral voor in bedrijfsomgevingen.

Specifieke Configuraties

Dit probleem treedt alleen op bij specifieke configuraties waarbij aan de volgende voorwaarden is voldaan:

  1. BitLocker staat aan op de OS-schijf.
  2. Het groepsbeleid “Configure TPM platform validation” met PCR7 is ingesteld.
  3. Secure Boot State PCR7 Binding is "Niet Mogelijk".
  4. Het Windows UEFI CA 2023-certificaat staat in de Secure Boot-signatuurdatabase.
  5. Het apparaat draait niet al de 2023-ondertekende Windows Boot Manager.

Oplossing van het Probleem

In de Patch Tuesday van deze maand heeft Microsoft het bug verholpen in de KB5094125 (Windows Server 2025) en KB5093998 (Windows 11 23H2) updates. Deze updates lossen het probleem op dat ervoor zorgde dat sommige apparaten in BitLocker-herstelmodus terechtkwamen bij het bijwerken van opstartbestanden met bepaalde TPM-instellingen, zoals onjuiste PCR7-configuraties.

Preventieve Maatregelen

Microsoft heeft apparaten met incompatibele groepsbeleidconfiguraties verhinderd om de 2023-ondertekende Windows Boot Manager te installeren om onverwachte herstelprompten te voorkomen. Zie je Event ID 1032 in het systeemlogboek bij Windows-updates, dan is je apparaat mogelijk getroffen.

Beheerders die updates nog niet kunnen implementeren, wordt aangeraden de groepsbeleidconfiguratie te verwijderen voordat ze KB5082063 en latere updates installeren. Zorg er ook voor dat BitLocker bindings de PCR7-profiel gebruiken. Kan de groepsbeleid niet verwijderd worden, dan kan een Known Issue Rollback (KIR) worden toegepast om automatische switches te voorkomen.

Eerdere Problemen

Eerder, in augustus 2024, loste Microsoft een soortgelijk probleem op dat prompts veroorzaakte in alle ondersteunde Windows-versies na de beveiligingsupdates van juli 2024. In mei 2025 verschenen er noodupdates om een vergelijkbaar probleem op Windows 10-systemen aan te pakken.

Beveiliging Verbeteren

Picus’ whitepaper onthult dat beveiligingsteams slechts 54% van de aanvallen registreren en slechts 14% melden. Lees hoe simulaties te toetsen zijn voor betere detectie van dreigingen.

Meer weten? Vraag de whitepaper aan!

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.