Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm

De Patch Tuesday-beveiligingsupdate van juli voor Windows blijkt een fout te bevatten waardoor sommige gebruikers naar het herstelscherm van BitLocker gestuurd worden. Het probleem doet zich voor als gebruikers na installatie van de update de computer opnieuw opstarten.

Microsoft bevestigt het probleem op zijn Windows Release Health-dashboard. Volgens het bedrijf komt het vaker voor bij gebruikers die Device Encryption aan hebben staan. Deze optie kan in- en uitgeschakeld worden via de privacy- en securityinstellingen.

Wie het BitLocker-herstelscherm te zien krijgt, kan gevraagd worden om de herstelsleutel van het Microsoft-account in te voeren. Nadat deze sleutel is ingevoerd, moet de computer weer als gebruikelijk opstarten. Microsoft geeft een gedetailleerde uitleg hoe de herstelsleutel opgevraagd kan worden.

Vooralsnog is dit de enige workaround; Microsoft onderzoekt het probleem nog verder. De fout doet zich voor bij Windows 11-versies 23H2, 22H2 en 21H2, en Windows 10-versies 22H2 en 21H2. Op Windows Server komt het probleem voor bij de versies 2022, 2019, 2016, 2012 R2, 20-12, 2008 R2 en 2008.

Reacties (108)

ManiacsHouse 25 juli 2024 13:26

Blijkbaar een behoorlijk issue. De pagina met gedetailleerde uitleg is niet of heel traag bereikbaar...

walteij @ManiacsHouse • 25 juli 2024 13:38

Laat ik je helpen.
Ga op een secondair apparaat (tablet, telefoon, laptop van je broer/zus/moeder/dochter/vader/zoon/buurman) naar: http://aka.ms/myrecoverykey (je wordt direct geredirect naar een HTTPS pagina, waar je met je account kunt inloggen.

Daar zie je je apparaten staan, kies het apparaat dat om de bitlocker code vraagt, klik op "show my recovery code" tik die over (dat is serieus het meeste werk, want die code is langer dan een Windows 98 activatiesleutel) ram op enter en klaar.

mjl @walteij • 25 juli 2024 13:50

Ik gebruik geen Microsoft account. Maar ik schakel bitlocker dan ook niet in, dus zal wel los lopen

CrazyJoe @mjl • 25 juli 2024 14:17

Het is maar de vraag of deze bug niet kan toeslaan bij gebruikers die nooit Device Encryption aangezet hebben. De uitleg van Microsoft laat het blijken alsof dit soms toch kan gebeuren.

Zeker met een zin als: "Volgens het bedrijf komt het vaker voor bij gebruikers die Device Encryption aan hebben staan." Komt vaker voor betekent dat het ook kan voorkomen bij mensen die geen Device Encryption aan hebben staan.

De vraag is dan of je dan een probleem hebt als je geen recovery key of Microsoft account hebt.

Ik heb daar tot nu toe geen antwoord op kunnen vinden.

R4gnax

Microsoft Windows 11 Pro
Microsoft Windows 11 Home
Microsoft Windows 10 Pro NL

@CrazyJoe • 25 juli 2024 19:27

Ik ben er even ingedoken, omdat ik zelf ook met deze zorgen zat.
En Device Encryption is niet hetzelfde als Bitlocker op een drive zetten.

Device Encryption is een treetje hoger en als onderdeel daarvan activeert het standaard Bitlocker.
Dit gebeurt al tijdens de initiële OOB (out of the box) setup experience, waarbij de decryptie sleutel in een niet versleuteld deel v/d drive in clear text neergezet wordt. Een zogenaamde clear key -- hetzelfde ding wat Windows Update soms ook gebruikt bij bepaalde soorten updates die bijv. de bootloader bij moeten werken.

Deze clear key wordt zodra je met een persoonlijke MS account inlogt; met een zakelijke MS account / Entra ID inlogt; of op je lokale bedrijfs Active Directory aansluit, automatisch daarheen weggeschreven als backup waarna de clear key verwijderd wordt en Bitlocker volledig activeert.

Als je te maken hebt met een drive die dmv Device Encryption klaargezet is, maar waar nog niet volledig Bitlocker op geactiveerd is - dan kun je dat zien aan een geel waarschuwingsicoontje waarmee de drive in kwestie gelabeld is in Windows Explorer. Hetzelfde icoontje dat gebruikt wordt als je tijdelijk Bitlocker suspend - want dat doet in essentie precies hetzelfde: het schrijft een clear key weg waarmee het systeem altijd toegang heeft tot een sleutel om transparent zaken te versleutelen en ontsleutelen. De naam is dan ook fout en misleidend: het 'suspend' helemaal niets.

Het feit dat mensen die van Device Encryption gebruik maken, vaker geraakt worden dan mensen die - welteverstaan: dit is mijn aanname dat er bedoeld wordt - enkel van standaard Bitlocker gebruik maken, heeft wss. met de rol van die automatisering te maken en hoe de koppeling tot stand gebracht is met MS account, Entra ID (cloud AD), of on-premise bedrijfs AD. Gewone Bitlocker thuisgebruikers zullen minder vaak getroffen zijn omdat ze bijv. gebruik maken van een uitgeprintte backup sleutel en een pincode die ze bij opstarten met de hand in moeten vullen - of die vanuit de TPM aangeleverd wordt.

-----------------------

Ik zou trouwens zelf NOOIT Device Encryption aanzetten op een privè apparaat, want naast dat Secure Boot ingeschakeld moet zijn, wat nog niet zo'n probleem is, geldt er vziw als andere voorwaarde dat alle extern inplugbare drives non-bootable worden gemaakt.

Dan ben je in een geval zoals met de te kleine recovery partitie, wat vanaf een third-party partitie manager op een bootable CD of thumb drive hersteld moet worden, gelijk de pisang.

Daarnaast; heel die Device Encryption feature is enkel zo sterk als het niet kunnen passeren van Secure Boot. En Secure Boot is zo lek als een mandje dankzij het bestaan van makkelijk te misbruiken goedgekeurde bootloaders, waarvan de sleutel niet ingetrokken kan worden zonder miljoenen systemen wereldwijd instant in bakstenen te veranderen.

[Reactie gewijzigd door R4gnax op 25 juli 2024 19:35]

mjl @R4gnax • 25 juli 2024 23:20

Thanx voor de verduidelijking, ik was inderdaad in de veronderstelling dat het gewoon over bitlocker drive encryptie ging

Weer wat bijgeleerd … ga er ook eens wat verder in duiken!

jerisson @CrazyJoe • 25 juli 2024 14:52

Ik ben dit laatst tegengekomen toen ik Ubuntu wou installeren.

Windows GUI zei dat Bitlocker encrypty af stond. Ubuntu zei dat het niet kon installeren omdat encryptie wel aan stond. Toen ik vervolgens keek naar de Bitlocker status in Windows CMD gaf deze aan dat BL encryptie weldegelijk actief was. Dit zonder dat de gebruiker een key had gekregen.

Als ik de documentatie goed begreep wordt in zo een geval de key wel ergens op een onbeschermd deel van de schijf opgeslagen. Ik gok dat als er dan een MS account gekoppeld, dat de key dan van de schijf verwijderd wordt? Anders zie ik het nut er niet echt van in.

DefaultError @CrazyJoe • 25 juli 2024 23:11

Het blijft een kat en muis spel.

Blokker_1999

Besturingssystemen
Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Windows 11
windows 10
Microsoft Windows
Microsoft Windows 10 Home NL
Microsoft
Microsoft Windows 10 Pro NL

@mjl • 25 juli 2024 14:03

Vanaf 24H4 wordt bij nieuwe installaties Bitlocker automatisch ingeschakeld, ook op de Home versie.

Kroesss @Blokker_1999 • 25 juli 2024 14:10

Ook zonder microsoft-account?

Blokker_1999

Besturingssystemen
Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Windows 11
windows 10
Microsoft Windows
Microsoft Windows 10 Home NL
Microsoft
Microsoft Windows 10 Pro NL

@Kroesss • 25 juli 2024 14:13

Officieel is Windows 11 Home niet te installeren zonder account.

Anoniem: 363533 @Blokker_1999 • 25 juli 2024 14:51

Dat is wel mogelijk. Je moet alleen Shift+F10 indrukken bij de vraag om connectie te maken met een netwerk en in de terminal OOBE\BYPASSNRO invoeren. Je kan dan zonder internet connectie of Microsoft account Windows 11 installeren.

Heb het afgelopen week nog moeten doen met een PC waarvoor Windows nog geen onboard driver heeft voor de onboard LAN chip. Dat was met de meest recente versie van Windows 11 op USB gemaakt met de Media Creation Tool.

iqcgubon @Anoniem: 363533 • 25 juli 2024 15:57

Met Rufus kan je dit bij creatie zelfs al in bakken dacht ik. Zeer handig!

latka @Anoniem: 363533 • 25 juli 2024 16:27

Nieuwere windows 11 iso's lukt dit ook niet meer.

MrFax @latka • 25 juli 2024 17:58

Als je Rufus gebruikt voor de usb stick dan kan rufus dit voor je regelen zodra je de bootable usb stick wilt maken.

Blokker_1999

Besturingssystemen
Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Windows 11
windows 10
Microsoft Windows
Microsoft Windows 10 Home NL
Microsoft
Microsoft Windows 10 Pro NL

@Anoniem: 363533 • 25 juli 2024 19:07

Je moet eens het eerste woord in mijn zin lezen. Dat zegt alles wat je moet weten.

Officieel is het NIET mogelijk om een Home editie van Windows zonder online account op te zetten. Dat er workarounds zijn ingebouwd wil niet zeggen dat MS het officieel ondersteunt of ooit rekening mee zal houden.

Net zoals er opties zijn om CPU/RAM/TPM checks over te slaan dient ook deze optie om in testomgevingen tot op een desktop te kunnen geraken. Ja, je kan het ook zelf gebruiken, en je zal over het algemeen niets missen. Maar dat wil niet zeggen dat MS het ondersteunt of je kan helpen als het misloopt.

Kroesss @Blokker_1999 • 25 juli 2024 14:42

Het was een omweg, maar in het begin zeker wel mogelijk geweest. Of dat met de huidige versie nog zo is weet ik niet, mijn ervaring is ondertussen van een paar jaar geleden. Ik werk gewoon met een lokaal account (ik heb trouwens niet eens een Microsoft account wat ik zou kunnen koppelen).

[Reactie gewijzigd door Kroesss op 25 juli 2024 14:43]

Hermy4321 @Blokker_1999 • 25 juli 2024 19:29

Home heeft ook geeen bitlocker

iGadget1962 @Hermy4321 • 25 juli 2024 21:49

Helaas, de optie zit wel in Home, maar om het nog onduidelijker te maken heet het daar apparaat versleuteling...

DefaultError @Blokker_1999 • 25 juli 2024 23:09

Niet?🤣

mjl @Blokker_1999 • 25 juli 2024 15:36

Ik gebruik geen home editie… ik zie niet in waarom dit verplicht moet worden (zowel een account als bitlocker).

Tr1pke @mjl • 25 juli 2024 20:20

Lekker veilig

mjl @Tr1pke • 25 juli 2024 23:22

Bitlocker draagt niet veel toe aan veilig werken. Mijn bestanden zijn niet gevoelig, wat vakantie foto’s bijv. Belangrijke data is wel encrypted, passwords bijv. En bankzaken gaan via de iPhone app, daar is alles netjes geregeld.

Andros @walteij • 25 juli 2024 13:42

Je wil niet weten wat voor rare blikken sommige mensen je geven als je vraagt om die inloggegevens. Dat is in de meeste gevallen het grootste probleem. Je krijgt dan een reactie "volgens mij was het kleuternaam123@hotmail...of was het nou kleuternaam321? Probeer anders eens naamkleuter123!@hotmail" en voor je het weet ben je een uur verder met gokken. Als ze dan het wachtwoord nog weten, of de vergeten-link wordt gemaild naar een neefje die op vakantie is en ga zo maar door...

Hansie9999 @Andros • 25 juli 2024 14:03

Van mijn klanten krijg ik meestal een standaard antwoord als ik om hun mail account opnieuw in te stellen hun wachtwoord van de mail vraag : "ik heb geen wachtwoord, mail gaat gewoon open"

/facepalm

E-mailadres @Hansie9999 • 25 juli 2024 15:11

"Weet ik niet, maak maar een nieuw wachtwoord voor me aan"

Zo vaak gehoord.

Verinco @Hansie9999 • 25 juli 2024 14:09

Hence why i love B2B and start to hate B2C :-P

NotLikeTheOther @Verinco • 25 juli 2024 14:59

Uhu, totdat je een nieuwe klant krijgt met bestaande infra... Zonder documentatie of slechte documentatie, B2B kan ook echt een b*tch zijn, helaas zat ervaring mee.

The Zep Man

Besturingssystemen
Microsoft Windows
Microsoft

@NotLikeTheOther • 25 juli 2024 21:03

Huur een goede pentester in. Die heeft de lijst met MD4-gebaseerde hashes zo uit de domain controller. Betaal hem een half uurtje extra, en je hebt de meeste wachtwoorden ook nog eens.

Dennahz @Hansie9999 • 26 juli 2024 09:20

Na al die jaren van internet is het eigenlijk niet acceptabel dat mensen nog op dit niveau zitten. Hebben we het als ITers te makkelijk gemaakt voor ze, zodat die kennis niet meer nodig is?

Hansie9999 @Dennahz • 26 juli 2024 10:14

Dat is inderdaad een groot probleem,

Ik ben altijd al voorstander geweest van een soort "internet rijbewijs"

en dat zou dan beginnen met wat lessen in DOS of een Linux console

Probleem is dat niemand van de "gewone niet IT mensen" ook maar een benul heeft wat er onder het oppervlak gebeurt met deze toestellen, zelfs die er goed mee kunnen werken,

Mijn kinderen kunnen goed met hun smartphone werken, maar vraag ze niet om even een app te side-loaden of een custom rom te installeren, ze vallen uit de lucht, het interesseert hun gewoon niet, ze hebben net zoals de vrouw liever dat "de papa het even fixed" en ze geven geen gehoor aan mij als ik ze het wil uitleggen en zeg dat het wel belangrijk is dat ze zo iets zelf kunnen, maarja

[Reactie gewijzigd door Hansie9999 op 26 juli 2024 10:15]

Dennahz @Hansie9999 • 29 juli 2024 11:51

Helemaal mee eens, dat internet rijbewijs

sus @Andros • 25 juli 2024 14:29

Ik herken dit 100%; heerlijk elke keer weer met de klant aan de balie:

“Ik heb geen wachtwoord?”
Jawel, elk mailadres heeft een wachtwoord, dat is zeg maar de sleutel om de post op te halen.
“Nou, die van mij heeft geen wachtwoord!”

Gelukkig bestaat er dan nog ziets als mailpv en winmailpassrec (beide van nirsoft) waar je veel mee terug kan halen.

In dit geval is het grote probleem inderdaad dat de gebruiker meerdere keren wordt lastig gevallen met het aanmaken van/inloggen met een microsoftaccount en ze geen idee hebben van de consequenties. Vaak wordt dan een mailadres van de provider gebruikt (daar is vaak dan nog een ww reset mee te doen), maar steeds vaker zien wij dat er een @outlook of @gmail wordt aangemaakt/gebruikt wat ze verder nooit meer gebruiken en dus domweg niet meer weten. Net als de google-accounts op androidtoestellen overigens.

De consument is dan nu dus wel de sjaak, want alle data is encrypted met een code die niet meer terug te halen is…

tvtech

@sus • 25 juli 2024 15:13

Of ze hebben een Microsoft account met een Gmail.com adres en leg dat maar eens uit of kom er überhaupt achter…

Ra_gdd

@tvtech • 25 juli 2024 16:19

Kom me allemaal bekend voor.
Moet dan CSI spelen om achter te komen welk email adres ze gebruikt hebben.
Weten dan het paswoord niet van dat email account.
Recovery GSM nummer bestaat niet meer want ze zijn veranderd van operator zonder behoud van nummer.
Of staat in hun paswoord boekje waar er 5 Microsoft (Hotmail adressen) staan met 10 paswoorden naast elk.
Ik hou m'n hart al vast als Windows 10 EOL gaat in 2025.

Hansie9999 @Ra_gdd • 30 juli 2024 11:38

Ha,

het lijkt wel dat je bij ons werkt

is inderdaad een CSI opdracht , ik zeg het de klanten altijd, hoe meer "correcte" wachtwoorden ze hebben, hoe lager de kost gaat zijn,

Ben momenteel alles van een klant zijn iphone naar een "oude" android telefoon van de dochter aan het zetten, geen benul van apple ID of wachtwoorden, heeft een gmail maar dit is een business account van de school, dus ga nog een privé gmail moeten maken, .......

Ra_gdd

@Hansie9999 • 30 juli 2024 12:39

Bij mensen die geen moeite doen om accounts en paswoorden bij te houden, reken ik goed door.
Want volgende keer is van hetzelfde laken een broek.

Aan Apple spul kom ik zelf niet.
Ik waarschuw de mensen vooraf dat ik geen Apple doe.
Als ze toch voor Apple kiezen moeten ze maar zelf oplossen.
Apple wilt herstellingen door derden moeilijk maken, dan moet ze maar volle prijs bij Apple Store betalen.

Overlast iemand met kapotte Windows laptop die niet meer start.
Ze heeft 2 Gmail accounts maar weet niet welke de goede is en 3 Facebook accounts waarvan ze login en paswoord ook niet wist.
En dan zagen dat veel tijd komt om nieuwe laptop in orde te brengen, blijkbaar mijn schuld.
En ze moeten nooit een paswoord invullen op hun oude laptop, dus ze hebben ook nog jong dimentie want ze weten niet meer dat ze ooit een account moesten aanmaken.
Overal zelfde paswoord, nee, is te simpel en 3 mail accounts door elkaar gebruiken.

Hansie9999 @Ra_gdd • 30 juli 2024 13:36

Yup,

kan er goed mee van spreken van dit alles, apple raad ik zwaar af maar zeker mensen die de "sekte proberen te verlaten" wil ik wel helpen om van iphone naar android te gaan

walteij @Andros • 25 juli 2024 13:44

Tjah, dat kun je inderdaad als probleem zien (wat het ook is), maar het is geen Microsoft/Apple/RandomAnderOS probleem, maar een gevalletje desinteresse van de gebruiker.

ahbart @Andros • 25 juli 2024 14:15

De gebruikersnaam staat toch meestal gewoon in Windows Instellingen?

sus @ahbart • 25 juli 2024 14:22

Waar je niet meer bij kan, want je PC start niet op. Je kan dus niet even in Instellingen controleren aan welke mailbox de gebruiker hangt

iqcgubon @Andros • 25 juli 2024 15:55

Jaren voor een B2C computerzaak gewerkt en ik krijg alweer rillingen als ik er aan terugdenk. Werkelijk niemand kende zijn wachtwoord...

Zeerob @walteij • 25 juli 2024 16:07

Niet iedereen slaat de bitlocker key in zn MS account op!

Hansie9999 @Zeerob • 30 juli 2024 13:38

Goh,

Ik mag toch echt "hopen" dat de mensen die de moeite doen om specifiek de key NIET in de microsoft account op te slaan (gebeurt dit niet juist automatisch ?) en specifiek selecteren om de bilocker key op een USB stick te zetten, dat die toch wel "hopelijk" weten waar ze mee bezig zijn.

Maar uit ervaring vrees ik echter dat ik het antwoord op mijn eigen vraag al weet

bartje 25 juli 2024 13:36

is deze update inmiddels wel terug getrokken?

walteij @bartje • 25 juli 2024 13:48

Waarom?
De oorzaak is bekend en het betreft een zeer beperkte groep gebruikers.
Er is een eenmalige actie nodig om dit probleem te verhelpen (die nog eens relatief eenvoudig is, ik kan het weten want mijn Surface Laptop Studio vroeg inderdaad eenmalig om de recovery key).

De update terugtrekken kan potentieel meer risico veroorzaken dan dit. Mensen die bitlocker en encryptie aan hebben staan, kiezen hier in vrijwel alle gevallen heel bewust voor en snappen de gevolgen ook beter dan buurman Arie van 3 deuren verder.

Wouterie @walteij • 25 juli 2024 14:05

Staan Bitlocker en versleuteling niet standaard aan sinds Windows 11 24H2?

wildhagen

Besturingssystemen
Microsoft Windows

@Wouterie • 25 juli 2024 14:08

Klopt:

Regardless, any Windows 11 version that has BitLocker functionality will now automatically have that activated/reactivated during reinstallations starting with 24H2. This behavior applies to clean installs of Windows 11 24H2 and system upgrades to version 24H2

Zie https://www.tomshardware....n-installs-and-reinstalls

Maar 24H2 staat dus niet tussen de lijst met getroffen versies, dus dat zou geen probleem moeten zijn.

Uit het gelinkte artikel:

Affected versions:

Client: Windows 11, version 23H2; Windows 11, version 22H2; Windows 11, version 21H2; Windows 10, version 22H2; Windows 10, version 21H2; Windows 10 Enterprise LTSC 2019
Server: Windows Server 2022; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Geen 24H2 dus en Server 2019 is kennelijk ook niet getroffen, 2016/2022 wel.

[Reactie gewijzigd door wildhagen op 25 juli 2024 14:12]

Blokker_1999

Besturingssystemen
Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Windows 11
windows 10
Microsoft Windows
Microsoft Windows 10 Home NL
Microsoft
Microsoft Windows 10 Pro NL

@wildhagen • 25 juli 2024 14:14

Moet men wel bijzeggen dat 24H2 enkel maar algemeen beschikbaar is voor ARM gebasseerde systemen. Voor x86 blijft 24H2 tot na de zomer in preview.

Wouterie @Blokker_1999 • 25 juli 2024 14:20

Goed punt, ik loop op de zaken vooruit

jerisson @walteij • 25 juli 2024 15:00

Mensen die bitlocker en encryptie aan hebben staan, kiezen hier in vrijwel alle gevallen heel bewust voor en snappen de gevolgen ook beter dan buurman Arie van 3 deuren verder.

Bitlocker encryptie staat bij sommige fabrikanten by default aan. HP is zo een voorbeeld: https://support.hp.com/lv-en/document/ish_9322982-9323034-16 ik zou er dus niet vanuit gaan dat dit een bewuste keuze is.

wildhagen

Besturingssystemen
Microsoft Windows

@bartje • 25 juli 2024 13:47

Zo te zien niet, hij staat gewoon nog in de Windows Update Catalog (zie https://www.catalog.updat...m/Search.aspx?q=KB5040442) en wordt nog via Automatic Updates aangeboden op dit moment.

Ze melden dat men 'binnen enkele weken' met een update komen voor dit probleem. Tot die tijd geven ze dus de workaround.

DDX 25 juli 2024 13:34

Volgens het bedrijf komt het vaker voor bij gebruikers die Device Encryption aan hebben staan. Deze optie kan in- en uitgeschakeld worden via de privacy- en securityinstellingen

Zo klinkt het alsof het een makkelijke keus is, maar device encryption uitzetten is over het algemeen niet echt slim.

Sissors @DDX • 25 juli 2024 13:41

Nou ja ligt eraan. Naar aanleiding van een gebruiker op GoT die hiertegenaan liep, of iets soortgelijks iig, had ik gecheckt, en mijn laptop heeft Bitlocker, maar ook een MS account en daar kan ik zo herstelsleutel terughalen. Mijn desktop heeft geen MS account, maar daar staat Bitlocker ook gelukkig uit. Anders moet je wel echt goed zorgen dat je recovery keys hebt. Maar bij een desktop neem ik wel het risico dat als iemand inbreekt en PC steelt, dat diegene bij mijn data kan.

Vraag gezien ook de post van @Hobbit13 wel af of hij nou in het herstelscherm komt omdat hij keys kwijt is die hij toch echt moet hebben om door te kunnen gaan, of dat hij ten onrechte in het herstelscherm komt, en hij in principe gewoon alle keys nog heeft.

BeefHazard @Sissors • 25 juli 2024 13:51

Als je geen gekoppeld MS of Entra ID/AAD account hebt, moet je tijdens de BitLocker setup je recovery key opslaan op een ander medium dan de te versleutelen schijf, of deze printen. Dit wordt ook duidelijk uitgelegd.

nugscree @BeefHazard • 25 juli 2024 14:30

En hoe moet dit dan als ik dit nooit zelf geactiveerd heb? Win 11 lokaal account en bitlocker nooit aagezet of ingesteld.

BeefHazard @nugscree • 25 juli 2024 14:34

Dan hoef je niks te doen, tenzij je BitLocker aan wil zetten. Dan is bovenstaande van toepassing.

GertMenkel

Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Besturingssystemen
Microsoft Windows
Microsoft

@nugscree • 25 juli 2024 16:07

Dat is afhankelijk van wanneer je je account hebt ingesteld. Als je een bepaalde bypasses hebt gebruikt op recente Windows-installatiewizards, kan Bitlocker in een inconstistente staat terecht zijn gekomen juist doordat het automatisch uploaden van de sleutel mislukt. Dan staat Bitlocker effectief uit, maar wel aan genoeg dat hij bij het opstarten denkt de schijf te versleutelen. Hoewel je in die staat waarschijnlijk wel bij je bestanden kan na een crash, kan dit wel leiden tot een Windows die niet opstart.

Om dit te chekcen, open je de Bitlockerinstellingen van je computer (Bitlocker Beheren o.i.d.) en kijk of daar staat of je het hebt ingeschakeld op je systeemschijf of niet. Zo niet is je schijf niet versleuteld en loop je geen risico dat je data verliest bij updates als deze (al kan wel iedereen die je laptop jat je bestanden lezen natuurlijk). Als je Bitlocker wel aan hebt staan, kun je daar de instellingen aanpassen en ook de sleutel nog een keer exporteren; naar een Microsoftaccount (mocht je die hebben toegevoegd), een AD account (bedrijfslaptops), naar een bestand (niet op dezelfde schijf, daar checken ze gelukkig op), of je kunt de sleutel printen.

Wil je de sleutel backuppen naar iets van een wachtwoordmanager, dan kun je de herstelsleutel "printen" naar een XPS/PDF-bestand op je schijf; op die manier hoef je geen (onversleutelde?) USB-stick te gebruiken voor het backuppen van je sleutel. Let wel op dat je die sleutel niet kwijtraakt, exact om deze reden.

TheDeeGee @BeefHazard • 25 juli 2024 15:24

Zo heb ik mijn wachtwoorden op een USB stick staan die ik alleen inplug als ik een wachtwoord wijzig, en print dan alles uit.

Je moet wat...

Hobbit13 @Sissors • 25 juli 2024 16:01

Ik heb de losse key van deze tablet niet voor zo ver ik weet. Laptop was al encrypted toen ik 'm kocht, en is gekoppeld aan een MS Account.

Maar als ik de recovery key nodig zou hebben, is er waarschijnlijk of iets met m'n MS account, of iets met de vast gesoldeerde SSD, beide heb ik dan een probleem.... (de eerste beduidend lastiger...)

JJ Le Funk @Sissors • 25 juli 2024 20:09

"Mijn desktop heeft geen MS account, maar daar staat Bitlocker ook gelukkig uit"

dankzij MS zijn we blij als alle data unencrypted is.

m4gn3t 25 juli 2024 13:14

Het gaat goed met de Windows updates en beveiliging

eNaSnI @m4gn3t • 25 juli 2024 13:19

Gaat het zo vaak mis dan bij Microsoft?

Andros @eNaSnI • 25 juli 2024 13:39

Nee hoor maar sommigen geven altijd standaard het OS de schuld als er iets mis loopt. Zelfs de pers doet daar aan mee.

108rogar @eNaSnI • 25 juli 2024 13:51

Ik heb veel problemen met Windows 10 updates gehad in de eerste helft van dit jaar. Eerste was het probleem met de recovery partitie die te klein was, die ik niet direct opgelost kreeg, die was best bekend.

Maar goed, mooie aanleiding om eindelijk eens over te stappen naar Linux (Pop!_OS).

eNaSnI @108rogar • 25 juli 2024 15:47

Er wren vele problemen en je hebt maar één voorbeeld? Was het wellicht dan niet meer iets specifieks voor jouw config?

darkshadw @m4gn3t • 25 juli 2024 13:19

Als je hiermee crowdstrike bedoeld heeft dit niets te maken met Microsoft zelf. Dit is dan wel weer grappig opzich, deze update.

Kvuivbribumok @darkshadw • 25 juli 2024 13:39

Je zou kunnen zeggen dat het de schuld is van Microsoft dat zoiets als de Crowdstrike bug mogelijk is ...

walteij @Kvuivbribumok • 25 juli 2024 13:41

Uiteraard, want Crowdstrike zou zoiets nooit op Linux kunnen veroorzaken.

Ow wacht even....

GertMenkel

Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Besturingssystemen
Microsoft Windows
Microsoft

@walteij • 25 juli 2024 16:15

Behalve dan dat die crashes weer wel door een kernel-update werden veroorzaakt, in tegenstelling tot die op Windows

Kvuivbribumok @walteij • 25 juli 2024 17:20

'whataboutism'. Het is niet omdat het ergens anders gebeurd dat het niet een slechte zaak is dat Crowdstrike zomaar een workaround implementeert om niet elke keer een digital signature van Microsoft te moeten aanvragen.

walteij @Kvuivbribumok • 26 juli 2024 07:45

Je geeft nu zelf duidelijk aan waar het probleem ligs, namelijk bij Crowdstrike, niet bij Microsoft (of Linux wat dat betreft). Crowdstrike voert workarounds door die fikse problemen veroorzaken.

Goldwing1973 @Kvuivbribumok • 25 juli 2024 14:32

Dus het is de schuld van de overheid dat er auto-ongelukken gebeuren, want de overheid heeft wegen aangelegd waarop de auto’s rijden.

fre0n @m4gn3t • 25 juli 2024 13:24

Dit is de eerste echt vervelende bug sinds een hele lange tijd die het nieuws haalt. Dus dat valt best mee? En dan nog alleen als je de bitlocker optie gebruikt volgens mij

Zo af en toe... @m4gn3t • 25 juli 2024 13:23

Nou, zeg dat wel… en dan tik ik op de link betreffende de uitleg van Microsoft over die beveiligingssleutel en de pagina laadt niet. Geweldig.

Hobbit13 25 juli 2024 13:31

Ik kwam paar dagen terug twee keer in dit herstelscherm. Beide keren de laptop (Surface Pro 7), hard uitgezet, en opnieuw geprobeerd. Na derde keer starte ie normaal op.

Weet niet of ik dan dit, of een ander probleem te pakken had. Heb iig geen recovery keys lopen invoeren.

Merik @Hobbit13 • 25 juli 2024 14:40

Geen idee of het gerelateerd is, maar ik heb eenzelfde issue voorgehad met de laptop van mijn ouders waarbij een log-in scherm in beeld kwam, beeldscherm zwart, weer log-in scherm, etc. Maar dat was een laptop waarvoor Bitlocker nooit aangestaan heeft en dat was ook net een paar dagen na een in-place herinstallatie van Windows (met het behoud van bestanden & apps) nadat Windows Update bleef hangen op een foute update, hoewel dat in grote lijnen wel hetzelfde probleem lijkt.

CrazyJoe 25 juli 2024 13:54

Komt deze bug nu alleen voor bij gebruikers die Device Encryption aan hebben staan en dus een recovery key voor Bitlocker gekregen hebben?

Of komt dit ook voor bij gebruikers die Device Encryption nog nooit aangehad hebben?

Want als dit laatste ook voor kan komen, dan heb je geen recovery key en hoe kom je dan door het recovery screen heen?

GertMenkel

Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Besturingssystemen
Microsoft Windows
Microsoft

@CrazyJoe • 25 juli 2024 16:14

Zonder Bitlocker kom je ook niet in een Bitlocker-herstelscherm. Bitlocker staat echter al wel een tijdje standaard aan.

Sommige bypasses voor het maken van een lokaal account kunnen Bitlocker in een rare staat brengen, waar encryptie standaard aan gaat, maar het encryptieproces niet écht aan gaat omdat het backuppen van de sleutel naar Microsoft niet lukte. Dit is volgens mij ook alweer een tijdje gerepareerd, maar het is afhankelijk van hoe je Windows geïnstalleerd hebt.

Mocht je geen Microsoft-account hebben en niet zeker weten hoe je ervoor staat, dan kun je in Control Panel\All Control Panel Items\BitLocker Drive Encryption je herstelsleutel inzien, backuppen, uitprinten, of de halve versleuteling alsnog uitzetten. In de GUI zie je de Bitlocker-halfstaat helaas niet zomaar.

R4gnax

Microsoft Windows 11 Pro
Microsoft Windows 11 Home
Microsoft Windows 10 Pro NL

@GertMenkel • 25 juli 2024 19:46

Sommige bypasses voor het maken van een lokaal account kunnen Bitlocker in een rare staat brengen, waar encryptie standaard aan gaat, maar het encryptieproces niet écht aan gaat omdat het backuppen van de sleutel naar Microsoft niet lukte. Dit is volgens mij ook alweer een tijdje gerepareerd, maar het is afhankelijk van hoe je Windows geïnstalleerd hebt.

Die 'rare' staat is de standaard staat waarin Bitlocker aangezet wordt als je een apparaat hebt wat compatible is met Device Encryption. Tijdens de OOB setup wordt dan Bitlocker meteen aangezet en een afgeleidde encryptiesleutel wordt in een onversleuteld stuk van de systeem schijf neergezet om de schijfinhoud transparant voor de eindgebruiker te kunnen versleutelen en ontsleutelen. Een zogenaamde clear key.

Dit is simpelweg de standaard suspended modus van Bitlocker, waarin effectief nog steeds elk bestand versleuteld weggeschreven wordt middels die clear key en de gehele installatie dus meteen versleuteld afgewerkt wordt, waardoor je later niet hoeft te zitten wachten op het bulk-encrypten van reeds weggezette schijfinhoud.

Als onderdeel van de Device Encryption feature wordt jouw Bitlocker recovery key (wat een andere sleutel is dan deze clear key, overigens...) automatisch geupload naar een persoonlijke of zakelijke MS account, Entra cloud-AD, of on-premises bedrijfs-AD zodra de installatie afgerond is en dat mogelijk is. Waarna de Device Encryption automatisering Bitlocker uit de suspended modus haalt, en Bitlocker zelf daarmee ook volgens standaard-werking die tijdelijke clear key verwijdert.

In de GUI zie je de Bitlocker-halfstaat helaas niet zomaar.

Omdat deze 'halfstaat' gewoon de Bitlocker suspended modus is, kun je deze zelfs heel makkelijk herkennen. Open Explorer en kijk naar het icoon van de systeem drive. Staat daar een gele waarschuwingsdriehoek met uitroepteken overheen, dan staat Bitlocker aan in suspended modus.

[Reactie gewijzigd door R4gnax op 25 juli 2024 21:05]

GertMenkel

Microsoft Windows 11 Home
Microsoft Windows 11 Pro
Besturingssystemen
Microsoft Windows
Microsoft

@R4gnax • 25 juli 2024 23:00

Die staat is normaal (of nou ja, verwacht; je wilt het normaal niet). Dit wil ook nog wel eens gebeuren bij bepaalde updates waarbij heel laat of heel vroeg in het proces toegang nodig is tot de schijfpartitie.

Waar ik het over heb was/is een bug waarbij de versleuteling volgens de GUI aan stond, (niet gepauzeerd) maar feitelijk incorrect werkte. De enige manier om daar achter te komen was door via powershell in de details te duiken. Ik geloof dat het te maken had met de defaults in combinatie met een TPM bypass en een Microsoft Account bypass. Helaas kan ik de bron niet meer vinden (alle "behulpzame" resultaten op Google, DDG, en Qwant zijn "ik ben mijn wachtwoord en herstelsleutel vergeten" of gaan over CrowdStrike).

In suspended state zou je na een reboot geen prompt moeten krijgen om de schijf te ontgrendelen met een herstelsleutel voor zover ik weet, omdat de sleutel gewoon leesbaar te vinden is.

[Reactie gewijzigd door GertMenkel op 25 juli 2024 23:00]

R4gnax

Microsoft Windows 11 Pro
Microsoft Windows 11 Home
Microsoft Windows 10 Pro NL

@GertMenkel • 25 juli 2024 23:25

Waar ik het over heb was/is een bug waarbij de versleuteling volgens de GUI aan stond, (niet gepauzeerd) maar feitelijk incorrect werkte. De enige manier om daar achter te komen was door via powershell in de details te duiken. Ik geloof dat het te maken had met de defaults in combinatie met een TPM bypass en een Microsoft Account bypass.

Interessant. In het verlengde daarvan: wat zou de kans zijn dat wat we nu hier zien - een false positive voor een ontbrekende sleutel is, gerelateerd is aan diezelfde bug? Cq. dat MS iets gepoogd heeft te fixen, een gat te dichten, en per ongeluk nu een alternatieve versie van dezelfde oude labiliteit geherintroduceerd heeft?

magnifor 25 juli 2024 14:21

Ik installeer daarom updates zelden kort na release tenzij het gaat om absolute kritieke patches. Wacht altijd een week om te zien of er geen grote problemen zijn. Goed in dit geval had het weinig uitgemaakt maar in mijn optiek kan je best wel een weekje wachten met de nieuwste updates, zal je veel problemen besparen in de toekomst.

ronaldvr 25 juli 2024 14:53

Hmmm en als je dan 'vergeten' bent je keys naar Microsoft te sturen (of dat niet wilde/kon/snapte)???? Dan ben je dus de sjaak.

Een betere workaround/instructie zou dus ook omvatten dat je vóór je reboot of patcht ook die keys opslaat (En ja Microsoft zeurt daar wel iedere keer om maar 'normale gebruikers' zijn dat in mijn ervaring redelijk immuun voor.

Heloise 25 juli 2024 14:58

Blijkbaar is dit alleen een probleem bij gebruik van een Microsoft account. Weer een reden om (zo lang mogelijk) alleen een lokaal account te blijven gebruiken en een Microsoft account te mijden als de pest.

r3solution 25 juli 2024 17:16

Mede om dit soort fratsen staat automatische updates hier uitgeschakeld en ik kan kiezen uit verschillende inlog opties. In 20 jaar al vele f0ckups meegemaakt met ms. Geen zin om me te frusteren waneer ik ter ontspanning even wil tweaker browsen of een spel spelen, en dan m'n eigen pc niet meer in kunnen komen. Windows helemaal de moeder tweaken en geen fratsen.

Op dit item kan niet meer gereageerd worden.

Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm

Lees meer

Reacties (108)

Sorteer op:

Weergave: