Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch

Microsoft heeft een spoedpatch uitgebracht die een ernstig probleem met BitLocker verhelpt op Windows 10-systemen met recente Intel-processors. De patch is bedoeld voor apparaten met Intel Trusted Execution Technology die vastlopen na een eerdere beveiligingsupdate.

De spoedupdate met het nummer KB5061768, lost een probleem op waarbij een service crasht op systemen met Intel vPro-processors vanaf de tiende generatie. Deze crash wordt veroorzaakt door de recente update KB5058379. Na installatie van deze update moesten gebruikers herhaaldelijk hun BitLocker-herstelsleutel invoeren.

De patch is beschikbaar voor twee Windows 10-versies: 21H2 build 19044.5853 en 22H2 build 19045.5853. De update wordt niet automatisch geïnstalleerd via Windows Update en moet handmatig worden gedownload.

Gebruikers die al werden getroffen voordat de patch uitkwam, dienen eerst Intel VT-d/VT-x en TXT uit te schakelen in de biosinstellingen, waarna ze KB5061768 kunnen installeren. Deze functies kunnen na het herstarten opnieuw worden geactiveerd, aldus Microsoft.

Door Andrei Stiru

Redacteur

Feedback • 20-05-2025 14:02 43

20-05-2025 • 14:02

43

Lees meer

'Microsoft OneDrive geeft apps en websites toegang tot alle bestanden'
'Microsoft OneDrive geeft apps en websites toegang tot alle bestanden' Nieuws van 2 juni 2025
Windows Update gaat ook apps en drivers van derden updaten
Windows Update gaat ook apps en drivers van derden updaten Nieuws van 28 mei 2025
Microsoft geeft testversies Paint, Notepad en Knipprogramma meer AI-functies
Microsoft geeft testversies Paint, Notepad en Knipprogramma meer AI-functies Nieuws van 24 mei 2025
Microsoft voorziet Windows 11 van Mac-achtige Handoff-functie
Microsoft voorziet Windows 11 van Mac-achtige Handoff-functie Nieuws van 22 mei 2025
Meer producten en artikelen
Besturingssystemen Bitlocker windows 10

Reacties (43)

-Moderatie-faq
43
42
21
0
0
15
Wijzig sortering
sko 20 mei 2025 14:16
Microsoft is geen haar beter dan Crowdstrike blijkbaar, dit had net zulke grote gevolgen kunnen hebben
bush @sko20 mei 2025 14:28
Toch niet, bij een herhaalde crash zal windows automatisch de patch terugdraaien. Bij crowdstrike kon dat niet omdat het geen update van de driver was, maar van de definities buiten de driver om
supersnathan94 @bush20 mei 2025 16:30
kan niet. Er is geen schijftoegang. Dus een revert van de update gaat ook niet.

Dit heeft echt serieus al wat werk gekost bij ons. Alle laptops hadden hier last dus deze update is door IT binnen no time weer ingetrokken, maar heeft wel wat slachtoffers weten te maken.

Meesten konden weer verder nadat iemand anders de keys uit domein trok, maar ook dat kost weer tijd en moeite.
ibmpc @supersnathan9420 mei 2025 18:00
De gebruiker kan in Entra by default z'n Bitlocker key opvragen. Tenzij dit handmatig is uitgezet.
R4gnax
@ibmpc20 mei 2025 19:14
Als er sprake is van een domein dat via Entra geregeld is, ja.
Losstaande machines ben je aangewezen op wat er door de gebruiker gekozen is.

Mocht dit op Windows 11 gebeuren, waar consumenten vaak niet eens weet hebben dat BitLocker standaard aan staat en dat er een backup-sleutel is - heb je een heel andere orde van probleem.
hottestbrain @R4gnax20 mei 2025 21:07
Losstaande machines die vpro hebben ingeschakeld lijken me vrij zeldzaam?
ibmpc @R4gnax20 mei 2025 19:54
De Bitlocker keys staan in je Microsoft account. De link in de Bitlocker Recovery screen brengt je direct naar je recovery key toe.
Bor Coördinator Frontpage Admins / FP Powermod @ibmpc20 mei 2025 23:08
De Bitlocker keys staan in je Microsoft account.
Dat is alleen maar wanneer je daarvoor gekozen hebt. Dit is niet altijd of defacto zo. Je kan de recovery keys bv ook printen of naar file wegschrijven wat veel mensen doen om ook zonder Microsoft account nog te kunnen recoveren.
ibmpc @Bor21 mei 2025 02:04
De enige methode om vanuit de GUI een Bitlocker key op te slaan op je OS disk is om hem te printen naar de Microsoft PDF printer en de PDF op te slaan op je OS disk. In alle andere gevallen heb je de Bitlocker key ergens opgeslagen op een andere locatie dan je OS disk.

[Reactie gewijzigd door ibmpc op 21 mei 2025 02:04]

sus @ibmpc20 mei 2025 23:30
Ik heb al een aantal mensen geholpen met systemen die om de bitlocker-code vroegen en dat die niet in het MS account gesynchroniseerd waren. Dat was dus letterlijk poef data weg.

Het standaard aanzetten van Bitlocker vind ik erg gevaarlijk en zou eigenlijk alleen pas mogen als je het systeem aanmeld met een Microsoft account. Werk je als lokale gebruiker zou het standaard uit moeten staan.
Bor Coördinator Frontpage Admins / FP Powermod @ibmpc21 mei 2025 07:43
De gebruiker kan in Entra by default z'n Bitlocker key opvragen.
Dat is leuk in een zakelijke omgeving, mits inderdaad niet uitgezet, maar totaal geen oplossing voor de consument natuurlijk. Die zit namelijk niet in een Entra omgeving maar draait stand alone.
ibmpc @Bor21 mei 2025 08:04
supersnathan94 geeft aan dat er sprake is van een zakelijke omgeving. Dus kun je de keys in Entra ophalen. Voor persoonlijke omgevingen kun je naar https://account.microsoft.com/devices/recoverykey gaan en daar je Bitlocker recovery key ophalen.
supersnathan94 @ibmpc21 mei 2025 08:45
Nee hoor. Toegang kan gekoppeld zijn aan Privileged Access. Dus dan kan je er niet zomaar bij en al helemaal niet van een ander, unmanaged device.
faim @bush20 mei 2025 14:33
Dit lijkt mij eerder een BitLocker software update, dan een driver update.
GertMenkel
@bush20 mei 2025 14:52
Ja, maar dan moet Windows wel toegang hebben tot de schijf. Bij deze bug gaat er wat mis met Bitlocker, waardoor de schijf versleuteld blijft en het herstelproces automatisch niet zoveel kan.
ibmpc @GertMenkel20 mei 2025 17:59
Opzich is daar wel wat op te bouwen zonder Windows significant aan te passen. Bijvoorbeeld met differencing VHDX files voor de installatie van patches, zodat je een versie terug zonder de PCR waardes te triggeren.

Het is jammer dat VHDX boot deprecated is en dat deze nooit Bitlocker heeft ondersteund, anders had je daar leuke dingen mee kunnen doen.
Luchtbakker @sko20 mei 2025 14:20
Ja, alleen is het verschil hiermee dat je Windows Updates eerst in een testomgeving test, vóórdat het in de productieomgeving terecht komt. Crowdstrike heeft software waarbij het wachten op de testfase te lang duurt en het doorgaans automatisch op productie uitgerold wordt.
Tozz @Luchtbakker20 mei 2025 15:25
Ja? Ik kom regelmatig bij bedrijven die vallen onder de noemer 'groot bedrijf' (>500 fte). Ik ken geen enkele daarvan die Windows Updates op gebruikersapparaten (laptops, desktops, etc) testen. Op servers is dit inderdaad gebruikelijk, maar op client systemen ken ik het niet. Die hebben allemaal 'gewoon' Windows Update aan staan.

Testen is ook niet te doen, want er zijn meestal tig verschillende hardware configuraties in omloop
Luchtbakker @Tozz20 mei 2025 15:46
Ik werk met de bankensector en zorgsector, en daar is het zeker wel gebruikelijk.
Macron @Tozz20 mei 2025 17:39
Hoe test je WIndows updates op een server? Het is niet dat we er een server naast hebben staan die identiek is aan onze productieserver.
m_snel @Macron21 mei 2025 01:07
Als je een beetje bedrijf hebt dan heb je een OTAP straat , maar zelfs als je ontwikkel, test en acceptatie in dezelfde omgeving hebt staan kun je daar dus de patches uitproberen.
Tozz @Macron22 mei 2025 12:20
Wij (alsin, collega's, ik beheer geen servers) doen staged rollouts. We minder belangrijke machines eerst, en zo werken we omhoog. Valt er vanzelf een keer wat om.

Helemaal waterdicht is dat uiteraard niet omdat geen enkele machine 100% identiek is.
Blokker_1999
@sko20 mei 2025 15:25
Neen, dit hoort in de basis geen ernstige gevolgen te hebben. Het is vooral vervelend want je moet de recovery key gaan opzoeken van je beschermde volumes, maar je data is gewoon intact en na het invoeren van de key start je systeem gewoon verder op.

Bij het Crowdstrike probleem was het onmogelijk om het systeem zonder problemen te laten opstarten doordat de crash van de software heel het systeem deed crashen nog voor je maar kon opstarten.
McBurger @sko20 mei 2025 15:16
Toch wel, want je hebt zelf redelijk controle over het patch uitrol beleid. En bij Crowdstrike had je die mogelijkheid niet.
Verder lijkt dit beperkt tot W10, Crowdstrike had wat dat betreft een groter bereik.
supersnathan94 @McBurger20 mei 2025 16:32
Aangezien Win10 nog niet EOL en is en Windows 11 met zijn eigen bugs uit de doos komt, denk ik dat heel wat bedrijven nog wachten met Win11 tot volgend jaar.


Windows 10 is over het algemeen erg stabiel en beter mee te werken dan met 7/8 en 11. Zou me niks verbazen als onze overheid nog volop op win10 zit.
RadYeon 20 mei 2025 14:09
Welke 'recente' Intel processoren worden hier bedoeld?
Eagle Creek @RadYeon20 mei 2025 14:11
[Besturingssysteembeveiliging (bekend probleem)] Opgelost: een bekend probleem op apparaten waarop Intel Trusted Execution Technology (TXT) is ingeschakeld op Intel vPro-processors van de 10e generatie of hoger. Op deze systemen kan het installeren van de Windows-beveiligingsupdate (KB5058379) van 13 mei 2025 ertoe leiden dat het LSASS-proces (Local Security Authority Subsystem Service) onverwacht wordt beëindigd, waardoor automatisch herstel wordt geactiveerd met de vraag of de BitLocker-herstelsleutel moet worden voortgezet.
19 mei 2025, KB5061768 (OS-builds 19044.5856 en 19045.5856) Out-of-band - Mic...

[Reactie gewijzigd door Eagle Creek op 20 mei 2025 14:12]

R4gnax
20 mei 2025 19:20
Het is wellicht niet een faire vergelijking, maar waarom doet nieuws zoals dit me gelijk denken aan de gevleugelde afspraak van Satya dat bij Microsoft al 30-40% van de code door AI geschreven wordt?

Mensen vragen AI om alles voor ze te bakken. Geinterneerde kennis vervalt; mogelijkheid tot kritisch denken blijft onderontwikkeld; alles wat de AI uitspuwt 'zal wel kloppen' en men moet vooral snel door naar het volgende stukje werk om dat met een onderbemand team nog af te krijgen.
En dan? quod erat demonstrandum

[Reactie gewijzigd door R4gnax op 20 mei 2025 19:23]

Jau2 20 mei 2025 16:03
lees net op wikipedia dat windows-10 support in oktober stopt, eigenlijk zaak om op te schalen naar 11 toch?
supersnathan94 @Jau220 mei 2025 16:35
Privé wel. Zakelijk wordt er vaak nog support bijgekocht, want dat is goedkoper. Sowieso is oktober een nare periode voor veel bedrijven dus dat wordt dan uitgesteld tot Januari. Zo'n "groot" project doe je namelijk niet in 2 maandjes. Dus daar had men dan Januari dit jaar al mee moeten zijn begonnen en dat was men even vergeten dus dat wordt dan volgend jaar. Dat is meestal hoe het grootzakelijk werkt.
emansom @Jau220 mei 2025 18:34
Of voor oude hardware zonder TPM, een alternatief.
Ra_gdd @Jau220 mei 2025 16:34
Je zal kunnen bijbetalen (dacht 30 USD) aan Microsoft om een jaar langer Windows 10 updates te hebben.
Andere oplossing is Windows 10 Iot gebruiken of LTSB die langer updates krijgen.
Voor mij liever deze optie dan Windows 11.
Ik ben liever baas over mijn hardware dan een bedrijf die vandaag A zegt en morgen B omdat ze zo meer geld kunnen graaien.
Vb. Vandaag kan je data op je PC opslaan en morgen zegt Microsoft vanaf nu enkel in Onedrive want is veel veiliger etc... en overmorgen komen ze weer af met het warm water opnieuw uit te vinden.
Jau2 @Ra_gdd20 mei 2025 16:41
Ja wat dat betreft was het verwijderen van Wordpad ook een ontwenning, maar ja via google docs toch weer spellingscontrole erbij.
ibmpc @WigaDan20 mei 2025 18:03
Alleen als je een bepaald NPU niveau hebt. Je hebt hier gewoon controle over, bijvoorbeeld met Intune.
R4gnax
@ibmpc20 mei 2025 19:17
Je hebt hier gewoon controle over, bijvoorbeeld met Intune.
En nu voor de gemiddelde leek, die Windows via de gewone voor consumenten uitgestippelde weg zal installeren en beheren. Het is heel makkelijk redeneren als 'vakidioot' - met voorkennis van zaken en jarenlange levenservaring mbt de fratsen van Microsoft.

[Reactie gewijzigd door R4gnax op 20 mei 2025 19:18]

ibmpc @R4gnax20 mei 2025 19:53
Voor de gewone leek zijn er altijd een aantal goede dingen en een aantal minder goede dingen. Voor de gewone leek vind ik het bijvoorbeeld erg goed dat een Personal Microsoft Account de default optie is in OOBE. Recall kan voor de gewone leek misschien minder goed zijn, ik ben van mening dat het een vraag moet zijn in OOBE.
Bor Coördinator Frontpage Admins / FP Powermod @ibmpc20 mei 2025 23:09
Recall kan voor de gewone leek misschien minder goed zijn, ik ben van mening dat het een vraag moet zijn in OOBE.
We kunnen alles van mening zijn maar dat is het dus niet (geen vraag).

[Reactie gewijzigd door Bor op 21 mei 2025 07:43]

WigaDan @ibmpc21 mei 2025 10:55
Ja, dat weet ik ook wel. Maar bij de mensen thuis worden gewoon ongevraagd even alle prive zaken van de schermen geoogst en in metadata omgezet voor big tech. Altijd de vraag ´waarom´ stellen bij dit soort zaken.
Jau2 @WigaDan23 mei 2025 20:07
@WigaDan "van de schermen geoogst" complimenten voor de formulering dat is inderdaad aan de hand qua datahonger
WigaDan @Jau224 mei 2025 22:34
Thx dude! _/-\o_
itlee 20 mei 2025 22:40
Gewoon geen bitlocker gebruiken,...heb je dit probleem ook niet.
DrBrakbek @itlee21 mei 2025 00:46
En welke encryptie stel je dan voor? Een user zet vroeg of laat toch weer data lokaal dusjah.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq