Juni-update voor Windows 10 kan opnieuw leiden tot BitLocker-vergrendeling

Microsoft heeft tijdens de Patch Tuesday van juni niet alleen beveiligingsupdates uitgebracht, maar ook de cumulatieve Windows 10-update KB5094127 beschikbaar gesteld. Na de installatie van deze update blijken sommige systemen echter onverwacht om de BitLocker-herstelsleutel te vragen bij de eerste herstart.

Dit is niet de eerste keer dat een dergelijk probleem optreedt. Eerdere vergelijkbare situaties deden zich al voor in onder meer mei 2025 en november 2025. Ondanks eerdere incidenten blijkt een kleine groep systemen opnieuw kwetsbaar te zijn voor dit gedrag.

Wat gebeurt er precies?

Na installatie van update KB5094127 kan Windows tijdens de eerste herstart vaststellen dat bepaalde beveiligingsinstellingen zijn gewijzigd. Daardoor activeert BitLocker uit voorzorg de herstelmodus. In plaats van normaal op te starten, verschijnt een scherm waarin de gebruiker de BitLocker-herstelsleutel moet invoeren.

Volgens Microsoft is dit geen algemene fout die alle Windows 10-computers treft. Het probleem doet zich alleen voor wanneer een aantal specifieke voorwaarden tegelijkertijd aanwezig zijn.

Welke systemen lopen risico?

Een apparaat kan alleen getroffen worden wanneer aan alle onderstaande voorwaarden wordt voldaan:

1. BitLocker is ingeschakeld op de systeemschijf waarop Windows is geïnstalleerd.
2. Binnen Groepsbeleid is de instelling ‘Configure TPM platform validation profile for native UEFI firmware configurations’ aangepast en maakt PCR7 deel uit van het validatieprofiel.
3. In het hulpprogramma Systeeminformatie (msinfo32.exe) wordt bij ‘Secure Boot State PCR7 Binding’ de waarde ‘Not Possible’ weergegeven.
4. De Windows UEFI CA 2023-certificering bevindt zich al in de Secure Boot Signature Database van het systeem.
5. Het apparaat gebruikt nog niet de nieuwe, in 2023 ondertekende Windows Boot Manager.

Alleen wanneer deze omstandigheden gelijktijdig aanwezig zijn, kan de eerste herstart na installatie van KB5094127 leiden tot een BitLocker-herstelmelding.

Vooral zakelijke systemen getroffen

Microsoft benadrukt dat de meeste particuliere gebruikers waarschijnlijk nooit met dit probleem te maken krijgen. De genoemde configuraties komen voornamelijk voor op:

• bedrijfscomputers;
• systemen die centraal door een IT-afdeling worden beheerd;
• apparaten waarop specifieke beveiligingsinstellingen via Groepsbeleid zijn geconfigureerd.

Voor gewone thuisgebruikers is de kans op dit probleem daarom zeer klein.

Slechts één keer invoeren

Wanneer een systeem wel getroffen wordt, hoeft de BitLocker-herstelsleutel normaal gesproken slechts één keer te worden ingevoerd. Na succesvolle ontgrendeling starten volgende herstarts weer normaal op, zolang de bestaande beleidsinstellingen niet worden gewijzigd.

Mogelijk probleem wanneer de herstelsleutel onbekend is

De grootste uitdaging ontstaat wanneer gebruikers hun BitLocker-herstelsleutel niet beschikbaar hebben. In dat geval kan het systeem niet worden ontgrendeld en blijft toegang tot de computer onmogelijk totdat:

• de sleutel wordt teruggevonden;
• een IT-beheerder de herstelcode verstrekt;
• de sleutel wordt opgehaald uit een gekoppeld Microsoft-account of een bedrijfsbeheersysteem.

Voor organisaties kan dit leiden tot extra ondersteuningstickets en tijdelijke uitval van werkstations.

Tijdelijke oplossing voor beheerders

Microsoft werkt aan een definitieve oplossing. Tot die tijd kunnen systeembeheerders het risico beperken door de betreffende Groepsbeleid-instelling tijdelijk te verwijderen of aan te passen voordat update KB5094127 wordt geïnstalleerd. (zie support pagina)

Hierdoor wordt voorkomen dat BitLocker tijdens de eerste herstart onterecht in herstelmodus terechtkomt.

Beschikbaarheid van KB5094127

Update KB5094127 is uitsluitend beschikbaar voor Windows 10-systemen die deelnemen aan het programma Extended Security Updates (ESU). Dit geldt voor:

• Windows 10 versie 21H2;
• Windows 10 versie 22H2.

De update bevat diverse beveiligingsverbeteringen, foutcorrecties en oplossingen voor kwetsbaarheden binnen het besturingssysteem.

Samenvatting

• KB5094127 kan op een beperkt aantal systemen een BitLocker-herstelvraag veroorzaken.
• Het probleem treft voornamelijk door IT beheerde zakelijke computers.
• Particuliere gebruikers zullen hier waarschijnlijk niet mee geconfronteerd worden.
• De BitLocker-herstelsleutel hoeft normaal gesproken slechts één keer te worden ingevoerd.
• Gebruikers zonder toegang tot hun herstelcode kunnen tijdelijk de toegang tot hun computer verliezen.
• Microsoft werkt aan een permanente oplossing.

Door: Drifter