Microsoft heeft op dinsdag bevestigd dat sommige Windows Server 2025-apparaten in de BitLocker-herstelmodus terechtkomen na het installeren van de KB5082063 beveiligingsupdate van april 2026.

BitLocker is een beveiligingsfunctie in Windows die opslagstations versleutelt om diefstal van gegevens te voorkomen. Windows-computers schakelen doorgaans over naar de BitLocker-herstelmodus na hardwarewijzigingen of evenementen zoals updates van TPM (Trusted Platform Module) om toegang te herstellen tot beveiligde drives die niet zijn ontgrendeld via het standaardmechanisme.

“Sommige apparaten met een niet-aangeraden BitLocker Groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelcode invoeren bij de eerste herstart na het installeren van deze update,” zei Microsoft.

“In dit geval hoeft de BitLocker-herstelcode slechts één keer te worden ingevoerd — volgende herstarts zullen geen BitLocker-herstelscherm activeren, zolang de groepsbeleid-configuratie ongewijzigd blijft.”

Dit gebeurt echter alleen bij zeer specifieke configuraties, wanneer aan alle volgende voorwaarden wordt voldaan:

1. BitLocker is ingeschakeld op de OS-schijf.
2. Het groepsbeleid “Configureer TPM-platform validatieprofiel voor native UEFI-firmwareconfiguraties” is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
3. Systeeminformatie (msinfo32.exe) meldt dat de Secure Boot State PCR7 Binding “Niet Mogelijk” is.
4. Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt om de 2023-ondertekende Windows Boot Manager als standaard in te stellen.
5. Het apparaat draait nog niet de 2023-ondertekende Windows Boot Manager.

Microsoft voegde toe dat dit bekende probleem waarschijnlijk geen invloed heeft op persoonlijke apparaten, omdat getroffen configuraties meestal worden aangetroffen op systemen die door IT-teams in bedrijven worden beheerd.

Het bedrijf werkt momenteel aan een oplossing voor dit probleem en heeft tijdelijke oplossingen gedeeld die de installatie van deze maandelijkse beveiligingsupdates mogelijk maken.

Beheerders wordt geadviseerd om de groepsbeleid-configuratie te verwijderen voordat ze de KB5082063-update implementeren en ervoor te zorgen dat BitLocker-bindingen het PCR7-profiel gebruiken volgens deze stappen.

Degenen die het PCR7-groepsbeleid niet kunnen verwijderen vóór installatie kunnen een Known Issue Rollback (KIR) toepassen op getroffen apparaten om de automatische overschakeling naar de 2023 Boot Manager te voorkomen en zo de BitLocker-herstelmodus te vermijden.

In mei 2025 bracht Microsoft noodupdates uit om een vergelijkbaar probleem aan te pakken dat ervoor zorgde dat Windows 10-systemen in BitLocker-herstelmodus terechtkwamen na installatie van de beveiligingsupdates van mei 2025.

Een jaar eerder, in augustus 2024, loste Microsoft een ander bekend probleem op dat BitLocker-herstelaanvragen teweegbracht op alle ondersteunde Windows-versies na installatie van de beveiligingsupdates van juli 2024.

In augustus 2022 bleven Windows-apparaten steken in een BitLocker-herstelprompt na het installeren van de KB5012170 beveiligingsupdate.

Geautomatiseerd pentesten bewijst dat het pad bestaat. BAS toont of je controles het stoppen. De meeste teams voeren een uit zonder de ander.

Dit whitepaper beschrijft zes validatieoppervlakken, laat zien waar dekking eindigt, en geeft beoefenaars drie diagnostische vragen voor elke tool-evaluatie.

Download Nu