BitLocker-herstelsleutel is in sommige gevallen nodig na maandupdate Windows 11

Beveiligingsupdates van deze maand voor Windows 11 blijken een probleem met opslagversleuteling BitLocker te geven. Onder bepaalde, volgens Microsoft zeldzame omstandigheden blokkeert Windows en vraagt het gebruikers om de BitLocker-herstelsleutel.

Deze blokkade zou eenmalig voorkomen, stelt Microsoft in zijn informatiebulletin over de updates. Na invoering van de herstelsleutel kan Windows 11 weer veilig starten en is het versleutelde opslagstation weer blijvend toegankelijk. De oorzaak zit in een opeenstapeling van factoren waardoor Windows uiteindelijk de veiligheid van het systeem niet meer kan verifiëren.

Dit probleem raakt 'een beperkt aantal systemen', verklaart Microsoft. Op die systemen moeten vijf zaken allemaal van toepassing zijn. Allereerst moet BitLocker ingeschakeld zijn voor het opstartstation van Windows 11. Daarnaast moet een specifiek groepsbeleid voor TPM-platformvalidatie en UEFI-firmware geconfigureerd zijn met daarbij ook PCR7-binding, die de integriteit van de opstartvolgorde controleert.

Ten derde moet die PCR7-binding volgens Windows' Systeeminformatie 'niet mogelijk' zijn. Ook moet op het apparaat een UEFI-beveiligingscertificaat uit 2023 aanwezig zijn in de handtekeningendatabase voor beveiligde boot. Daardoor kan een apparaat de Windows Boot Manager met digitale handtekening uit 2023 als standaard gebruiken.

'Onwaarschijnlijk voor consumenten'

Ten slotte moet het apparaat die bootmanager met beveiliging uit 2023 niet al draaien voordat de problematische updates zijn toegepast. Als al deze factoren van toepassing zijn, kan een Windows 11-computer ineens vragen om de herstelsleutel voor BitLocker. Microsoft stelt dat het onwaarschijnlijk is dat dit gebeurt op apparaten van consumenten. Het probleem kan wel voorkomen op systemen in beheer van IT-afdelingen bij bedrijven en organisaties.

Microsoft Surface Laptop 6
Surface Laptop 6. Bron: Microsoft

Door Jasper Bakker

Nieuwsredacteur

Feedback • 16-04-2026 08:59
236 • submitter: MineTurtle

16-04-2026 • 08:59

236

Submitter: MineTurtle

Lees meer

3 apr 2026

Windows-updates onder druk door tempo, complexiteit en minder kwaliteitscontrole

123
Microsoft gaf BitLocker-sleutels aan FBI om laptops verdachten te ontgrendelen
Microsoft gaf BitLocker-sleutels aan FBI om laptops verdachten te ontgrendelen Nieuws van 23 januari 2026
Microsoft introduceert tool om makkelijk naar Windows 11-systeem te switchen
Microsoft introduceert tool om makkelijk naar Windows 11-systeem te switchen Nieuws van 23 juli 2025
Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch
Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch Nieuws van 20 mei 2025
Windows 11-bèta bevat patch waardoor TPM 2.0-workaround niet meer werkt
Windows 11-bèta bevat patch waardoor TPM 2.0-workaround niet meer werkt Nieuws van 19 augustus 2024
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm Nieuws van 25 juli 2024
Meer producten en artikelen
Besturingssystemen Interne ssd's Netwerk en systeembeheer Politiek en recht Microsoft Bitlocker Encryptie Sleutel Update Windows 11 Windows update

Reacties (233)

-Moderatie-faq
233
178
77
1
0
83
Wijzig sortering

Sorteer op:

Weergave:
sus 16 april 2026 09:05
Dat is handig… ik kom in m’n winkel zat klanten tegen die niet doorhebben dat ze destijds hun PC hebben aangemeld met een mailadres van de provider, inmiddels overgestapt zijn en de toegang tot het account verloren zijn. “Ik deed altijd de pincode, wachtwoord?? Geen idee!”

Heb al tientallen mensen moeten vertellen dat na alle mogelijke accountherstelopties… de bitlockercode niet terug te halen is en dus de data verloren is.

Ook op Home staat “apparaatversleuteling” tegenwoordig gewoon aan, de code wordt opgeslagen in het eerste Microsoftaccount wat je aanmeld. Kan dus ook een schoolaccount van een van de kinderen zijn die per ongeluk het hele device in management meeneemt.

Heb er zeker 3-4 per maand met deze problemen, vooral nadat via de updates UEFI updates geinstalleerd worden

[aanvulling]
Wij zijn nu op het punt gekomen dat we altijd bitlocker/app.versleuteling uitzetten, om zo de kans dat door een onverwachte update bij ons op de TD de boel kwijt is weg te nemen. Bij ophalen even een melding naar de klant dat het uitstaat en hoe hij het thuis terug aan kan zetten. Uiteraard maken we ook images, maar die werken uiteraard ook niet meer als het origineel om een bitlockercode vraag.

[Reactie gewijzigd door sus op 16 april 2026 09:29]

Reageer
Andros @sus16 april 2026 09:17
Wellicht is dat een reden waarom ik onlangs voor een nieuwe pc geen MS account kon aanmaken met een mailadres van een derde partij. Enkel Outlook.com, gmail.com en nog wat van dat soort accounts worden nog geaccepteerd tegenwoordig.
Reageer
sus @Andros16 april 2026 09:25
Kan nog steeds met een isp-mailadres. Maar, ook als er dus een @outlook mailadres aangemaakt wordt, krijg je deze:

“Ik gebruik geen Outlook, mijn mailadres is al jaren @zeelandnet of @kpnmail”. En klaar ben je.

[Reactie gewijzigd door sus op 16 april 2026 09:30]

Reageer
Andros @sus16 april 2026 09:29
Even wat gerommeld en blijkbaar houden ze iets van lijsten aan met ISP domeinen oid, dan lijkt het te werken. Met een mailadres van een domein van het werk krijg ik wel de foutmelding dat er een Outlook of Gmail account gebruikt moet worden, erg wispelturig dus.
Reageer
Ebbez @Andros16 april 2026 15:08
Ik weet 99% zeker dat dat is omdat je werkmail via Microsoft verloopt. Als je een persoonlijk Microsoft-account wil registreren is het belangrijk dat de domeinnaam van je e-mailadres onafhankelijk is van Microsoft (nergens voor gebruikt wordt met een zakelijk Microsoft 365-abonnement).

Ik kan namelijk gewoon een accountregistratie beginnen voor ebbez@blabla.<mijnwebsite>.nl.

Als je werk een zakelijk Microsoft 365-abonnement heeft gekoppeld aan het domeinnaam is het onlogisch om persoonlijke accountregistraties daarvoor toe te staan. Als het wel kon en je dan probeert in te loggen op Microsoft.com/Windows met <email>@<werk>.nl zou de inlog niet weten of je nu probeert in te loggen op je werkaccount of op je persoonlijke account. (Naast dat dit natuurlijk een slecht idee is omdat je toegang zou verliezen tot wachtwoord-reset en e-mailverandering wanneer je stopt met werken bij je huidige werkgever).

[Reactie gewijzigd door Ebbez op 16 april 2026 15:16]

Reageer
Andros @Ebbez16 april 2026 15:31
Het lijkt zoiets te zijn inderdaad. Op zich geen ramp en het betreft een "werklaptop" (klein bedrijf etc) waarvan ik het account niet meer nodig heb mocht ik van werkgever veranderen. Weer wat geleerd in elk geval, 'k vond het al zoiets raars :o
Reageer
Blokker_1999
@Andros16 april 2026 10:11
Als die werkgever een MS365 tenant heeft dan kan je dat domein niet gebruiken, want dan gaat men er van uit dat je met een bedrijfsaccount probeert aan te melden op een thuisinstallatie. En dat is niet de bedoeling.
Reageer
supersnathan94
@Andros16 april 2026 10:17
Met een mailadres van een domein van het werk krijg ik wel de foutmelding
Ws omdat dat device niet aangemeld staat in inTune en je er dan niet op in mag loggen met dat account?
Reageer
IStealYourGun @Andros16 april 2026 14:40
Je koppelt de pc (en licentie) toch aan je microsoft account als particulier en dat kan gerust een ander domein zijn.
Reageer
kiang @sus16 april 2026 09:17
Als dit vaker voorkomt moet Microsoft echt wat doen, want in principe is er een eenvoudig systeem in BitLocker dat lock outs voorkomt wanneer windows update een herstart vereist en de TPM check onklaar maakt.

BitLocker heeft namelijk flexibele key protectors, dit zijn meerdere manieren om het volume te ontsleutelen. Eentje die je altijd hebt is de recovery code, en de meeste gebruikers hebben ook een TPM protector, maar je kan ook pin of wachtwoord toevoegen. Die zijn flexibel in de zin dat je on the fly protectors kan toevoegen, verwijderen of aanpassen, zonder dat je je data moet her-versleutelen. Best wel handig als je bvb de pin wilt aanpassen ;)

Wanneer windows update firmware flasht (UEFI of andere low level firmware) die ervoor zorgt dat de TPM de sleutel niet meer vrijgeeft, hoort windows update voor de reboot een clear key protector toe te voegen, dat is een protector die niet echt een protector is, een beetje alsof je het wachtwoord van je pc even opschrijft en met een postit op en scherm hangt. Na reboot wordt deze verwijderd.

Er is dus een systeem hiervoor, dus ik vind het enorm stom van Microsoft als dit een veel voorkomend probleem is: desnoods kunnen ze de validatie die checkt of de clear key nodig is wat losser maken, en bij elke reboot vanwege windows update de clear key initialiseren. Sure, dat maakt de pc tijdelijk kwetsbaar, maar voor Windows home lijkt en dit beter dan maandelijks gebruikers die niet meer in hun machine kunnen.
Reageer
Blokker_1999
@kiang16 april 2026 10:14
De PIN is een bijkomende beveiliging, maar is op zich geen sleutel die het volume kan ontgrendellen. De PIN moet je invoeren zodat de TPM de sleutel kan vrijgeven. Dit is een bijkomend beschermingsmechanisme om te voorkomen dat een hacker de sleutel kan uitlezen vanop het moederbord tijdens het opstarten en dan met een kloon van de harde schijf op een ander moment aan de slag kan gaan zonder dat de eigenaar ooit te weten komt dat er iets gebeurd is.
Reageer
kiang @Blokker_199916 april 2026 10:33
Tpm+pin is gewoon een van de mogelijke protectors. Je pin zorgt inderdaad dat je een sleutel van de Tpm krijgt, waarmee je de vmk en fvek kan ontsleutelen voor toegang tot je data. Ik ging niet in op dat detail in het korter te houden (wat niet goed lukkte :+ )

Maar je hebt zeker ook een password protector, die zonder TPM werkt, daarbij wordt je wachtwoord gebruikt om een sleutel af te leiden (waarmee je dan weer een VMK en FVEK kan ontsleutelen). BitLocker vereist geen TPM.
Reageer
grasmanek94 @kiang16 april 2026 13:28
Wanneer TPM of TPM+Pin gebruikt wordt weigert de windows command line een password protector toe te voegen, in ieder geval op mijn Windows 10.

Is het anders in Windows 11?

Het zou Microsoft sieren als ze bij TPM/TPM+Pin ook meteen aan de gebruiker een disk encryption wachtwoord vragen.

[Reactie gewijzigd door grasmanek94 op 16 april 2026 13:30]

Reageer
jeroen3 @sus16 april 2026 09:43
Als je zo'n recovery USB hebt gemaakt, hoe groot is de kans dat die sleutel wijzigt en de USB niet meer werkt?
Reageer
mjl @jeroen316 april 2026 14:29
De wijzigt niet zonder user tussenkomst.
Reageer
bush @sus16 april 2026 09:49
ik snap je reactie, maar tegenwoordig staat er op een laptop/pc zoveel vertrouwelijke informatie dat je bitlocker (of een andere vorm van encryptie) eigenlijk altijd moet hebben aanstaan.

Bij diefstal zit je anders met een groot probleem.
Reageer
Wouterie @bush16 april 2026 13:29
Veel vertrouwelijke informatie staat niet meer lokaal op de computer, maar in OneDrive. Lokaal staan alleen de verwijzingen. Dan moet iemand dus echt zien in te loggen op jouw account, maar dan helpt bitlocker ook al niet meer.
Reageer
bush @Wouterie16 april 2026 17:36
Dat is afhankelijk van de instellingen. Als je op een onedrive file klikt wordt die gedownload en blijft die lokaal staan. Dus er is wel degelijk vertrouwelijke data aanwezig.

Vergeet ook niet al de cookies en andere files in je browser cache etc.
Reageer
sus @bush16 april 2026 14:41
Klopt! Daar zijn wij in het in de basis ook zeker mee eens, maar dingen worden nu soms aangezet zonder dat de consument (en dat zijn mijn klanten, wij doen geen/weinig zakelijk) uberhaupt weten danwel snappen wat de gevolgen kunnen zijn. En -dat- is wel erg gevaarlijk.

Consumenten-IT is echt een heel andere tak van sport dan "kantoor"-IT, waar je inderdaad redelijk snel een image inspoelt en de gebruiker weer veel plezier wenst. Consumenten staan je gapend aan te kijken als je om hun wachtwoord vraagt. "U weet wel, de code als je hem aan zet". Die dan glashard beweren dat er geen code is. Zet je hem aan (pro tip, altijd aanzetten waar de klant bij staat) en ... wachtwoord veldje. "Ooo, die code".

Dus, wij hebben daar nu intern een werkinstructie voor gemaakt. Voor een PC bij ons op de lijn gaat, gaat hij zonder internet aan, zetten we bitlocker uit en maken we een image. En -dan- gaan we eens kijken wat er aan de hand is. Ik heb dan altijd een image waar ik op terug kan vallen.

Belangrijk is wel dat we de klant actief informeren dat we het uit hebben gezet, want er zijn ook zeker eindgebruikers die die keuze bewust gemaakt hebben.
Reageer
memphis @sus16 april 2026 10:46
1 van de grote redenen waarom de thuisgebruiker geen bitlocker encryptie moet krijgen.
Reageer
Vinxian @sus16 april 2026 11:57
Is het niet mogelijk om de naam van het geregistreerde account op te halen met het serienummer van het apparaat bij de klantenservice van Microsoft?

Dan moet je alsnog kunnen inloggen, maar dan weet je in ieder geval om welk account het gaat.
Reageer
sus @Vinxian16 april 2026 17:18
Nope. Als je microsoft belt (020-5001500) krijg je een telefoon AI agent en wordt je naar een linkje online gestuurd. Succes, klik, tuut tuut tuut.

Bel je zakelijk, dan heb je iets meer opties, maar ook daar is het al snel een linkje en de verbinding wordt verbroken.

De laatste keer dat ik iemand van Microsoft voor consumentenspul gesproken heb, was toen ik nog voor MyCom werkte. Dat is 11 jaar geleden failliet gegaan
Reageer
Ra_gdd @sus16 april 2026 12:38
Ik volg je 100%
OOk al verschillende keren meegemaakt.

Bitlocker wordt zonder mee weten van de eigenaar aangezet door Microsoft of fabrikant merk PC/laptop.
PC start niet op en er moet een onderdeel worden vervangen.
Bam daar komt Bitlocker om een recovery key te vragen.

Eigenaar van toestel heeft geen idee wat Bitlocker is, heeft dit even grote oren als een konijn?
Persoon heeft verschillende email accounts en weet dan paswoorden niet meer ervan.
Recovery van de email accounts via SMS code op GSM werkt niet want ondertussen andere GSM nummer.
Of je moet BIOS update doen en je denkt niet na dat Bitlocker actief kan zijn...
Je wordt er moedeloos van.

Je moet nu 10 Onze Vader en 5 Wees Gegroet Maria bidden voor je PC aansteekt met Windows 11.
En hopen dat er geen issues zijn.

Ik zet ook Bitlocker uit bij mensen, als toestel niet start, kan ik nog aan de data.
Reageer
nightgold @sus16 april 2026 15:07
Zelf ook recent meegemaakt met de PC van mijn grootvader.
Aangemeld met zijn "wie-weet-hoe-oud" hotmail adres. Nooit (bewust) bitlocker aangezet en plots code moeten geven.
Ik wou de code zoeken op zijn MS account maar blijkbaar was deze nog gelinkt met een gsm-nummer die al jaren niet meer in gebruik is. Met als resultaat dat ik op geen enkele manier aan de code kon komen.
Bootable usb gemaakt, secure boot uitgeschakeld en clean install proberen te doen; maar zat plots vast in de installatie omdat er geen internet was |:( (wifi met zo'n usb-stick waarbij de driver installer op de usb stick staat maar een executable is). Gelukkig nog een workaround gevonden via command prompt om een lokaal account (hoe lang nog?) te maken en uiteindelijk alles werkende gekregen.

Nu moet iemand mij eens uitleggen hoe mijn grootvader, of eender welke leek, dit in godsnaam allemaal zelf moest uitvogelen? Vroeger had ieder dorp nog een computerwinkel maar die tijd is ook al lang weg. Dus een minder mobiel persoon moet met een pc op de rug ergens een winkeltje gaan zoeken en (te veel) geld neertellen voor iets die totaal hun eigen fout niet was?
Mijn grootvader was al van plan om simpelweg een nieuwe PC te kopen terwijl deze nog maar een half jaar oud was.

Godgeklaagd is dit. Alles is zo moeilijk geworden. Probeer je in te loggen op je outlook, willen ze een code versturen vanaf je backup email. Ga je naar je backup email, moet je een code sturen om in deze te geraken. Ik wordt er helemaal gek van 8)7
Reageer
Klauwhamer @nightgold16 april 2026 16:25
Ik heb exact dezelfde ervaring met Bitlocker en n00bs, en de manier waarop Microsoft dit "implementeert". Vreemd genoeg zijn er altijd wel lieden te vinden die dit hardnekkig blijven verdedigen.
Reageer
sus @Klauwhamer16 april 2026 17:16
Ik vind bitlocker op zichzelf een goed idee - net als Filevault op Apple.

Maar er moet een foolproof systeem zijn er terug in te geraken. En dat je een helpdesk van Microsoft kan bellen, waar ze je met een serienummer en andere info kunnen helpen terug je account in te kunnen.

Eventueel zou je dit nog bij winkels kunnen onderbrengen met een dealerlijn, om misbruik van die helpdesk te voorkomen, maar doe •iets•
Reageer
Klauwhamer @sus16 april 2026 17:36
Het zou een goed idee zijn als Microsoft tijdens de OOBE dit n00b-friendly uitlegt (èn de consequenties!) op één schem en opties geeft om de key op te slaan.
Reageer
RadYeon @sus16 april 2026 09:07
Hier al op een stuk of 10 Intune-beheerde machines herstelcode moeten invullen, zullen over tijd meer worden. Een jaar od 3 terug hadden we een bulk van 30 die achter elkaar om de herstelcode vroegen.
Bij ons ging het ook dit wel gepaard met een BIOS update (dat Bitlocker hoort te pauzeren). Meestal gaat het goed maar wellicht was dit ook een 'perfect storm' van omstandigheden.

Verder klopt het helemaal wat je zegt, mensen klikken zo doorheen en bewaren de herstelcodes niet. Als je geen cloud opslag gebruikt, is het gedaan met je data.

[Reactie gewijzigd door RadYeon op 16 april 2026 09:09]

Reageer
supersnathan94
@RadYeon16 april 2026 10:15
Een jaar od 3 terug hadden we een bulk van 30 die achter elkaar om de herstelcode vroegen.
Dat komt omdat dit toen óók al een issue was. Sterker nog, het lijkt nu ieder jaar wel een keer terug te komen:

2024: nieuws: Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm

2025: supersnathan94 in 'Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch'
Verder klopt het helemaal wat je zegt, mensen klikken zo doorheen en bewaren de herstelcodes niet
Je hoeft er dus helemaal niet meer doorheen te klikken. Tegenwoordig heeft MS standaard Drive Encryption aanstaan bij MS accounts.


Ik citeer even een stukje van @R4gnax :

R4gnax in 'Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm'
Device Encryption is een treetje hoger en als onderdeel daarvan activeert het standaard Bitlocker.
Dit gebeurt al tijdens de initiële OOB (out of the box) setup experience, waarbij de decryptie sleutel in een niet versleuteld deel v/d drive in clear text neergezet wordt. Een zogenaamde clear key -- hetzelfde ding wat Windows Update soms ook gebruikt bij bepaalde soorten updates die bijv. de bootloader bij moeten werken.

Deze clear key wordt zodra je met een persoonlijke MS account inlogt; met een zakelijke MS account / Entra ID inlogt; of op je lokale bedrijfs Active Directory aansluit, automatisch daarheen weggeschreven als backup waarna de clear key verwijderd wordt en Bitlocker volledig activeert.
Je hoeft dus ooit maar ergens een keer in te loggen met een MS account op windows zelf en POEF. systeem naar de bertverderrie als je pech hebt.
Reageer
Blokker_1999
@bzuidgeest16 april 2026 10:10
Dus in plaats van 2 minuten te spenderen per machine om de code op te zoeken en in te geven ga jij een gebruiker door de OOBE laten lopen en zo een hele hoop meer tijd doen verliezen?

En dan moet je daarna als gebruiker, als je eenmaal op de laptop bent aangemeld, ook weer apps uit je Company Portal gaan installeren, wachten tot alle policies goed gesynced zijn, heb je documenten nodig, moet OneDrive alles weer gaan downloaden want geen cache meer.

Het tijdverlies, en de kost voor het bedrijf, zijn ineens veel groter. Dus waarom zou je in hemelsnaam een reinstall van de machine doen als je met 1x de herstelsleutel op te zoeken er ook bent?
Reageer
Blokker_1999
@bzuidgeest16 april 2026 12:05
Ik werk in een internationale firma, dus laat me niet lachen met argumenten zoals heel het land of internationaal. En ja, als een gebruiker getroffen is, dan bellen ze even de helpdesk en helpen we hen op enkele minuten erdoor.

En leuk die PXE boot, je gebruikers werken remote, van thuis. Hebben geen kantoornetwerk. Nu jij weer met je leuke oplossing. De snelheid heeft ook niet veel met de infra te maken wanneer je door de OOBE van Windows moet met AutoPilot.

En jij gaat er van uit dat er met een golden image gewerkt wordt. Prachtig. Iets wat MS vandaag eigenlijk niet meer ondersteunt. De MDT is uitgefaseerd net om die reden. MS wil dat je vandaag een clean install doet, en dan de laptop gaat provisionen met behulp van AutoPilot en Intune.

En ja, OneDrive syned alleen wat je nodig hebt. Maar heb je al eens een PowerShell sessie opengedaan na een herinstall waarbij PS alle modules weer probeert in te laden die in je profiel staan? Dat duurt even kan ik je zeggen voordat die weer lokaal staan. Of wat dacht je applicaties met projectfiles van honderden megabytes? Die git repositories die tienduizenden bestanden kunnen bevatten en toch in je documenten folder staan?

Je denkt vanuit een enorm afgebakend kader vanuit je eigen leefwereld, maar er zijn zoveel andere scenarios te bedenken waarin wat jij voorstelt helemaal geen goede optie is.
Reageer
dehardstyler @bzuidgeest16 april 2026 10:16
En waarom zou je die code bewaren?
Ahahahahaha. Kan je dat echt niet bedenken? :D
Reageer
LaMaZitten @bzuidgeest16 april 2026 13:37
Hoe goed het image ook is, na een nieuwe install ben ik altijd nog een tijdje bezig met was finetuning hier en daar. Inschakelen dark themes, layout binnen diverse tools, uberhaupt het syncen van mappen, repositories.

Het kost allemaal tijd (en frustratie). Dus nee, niet
een paar minuten.
Reageer
dehardstyler @bzuidgeest16 april 2026 10:49
Ik werk met meerdere VM's. Die ga ik niet uit de cloud syncen hoor, helemaal niet als ik in het veld aan het werk ben. Dit kan ook in bijvoorbeeld China zijn. Laten we het erop houden dat ik blij ben dat jij bij mij de IT niet regelt met die starre houding. :P
Reageer
Blokker_1999
@bzuidgeest16 april 2026 12:10
Als mijn collega in China een probleem heeft en we moeten de laptop wissen, is alles wat die collega nodig heeft 1 USB stick met een opstartbare Windows installatie. En een uur of zo later is die weer up-and-running. En als de laptop echt defect is kunnen we je worst case een laptop lokaal laten kopen en die onboarden in onze omgeving. Of als je in een land zitten waar we de hard- en software nooit zouden vertrouwen kunnen we je alsnog een laptop laten kopen en via een beveiligde weg een remote deskopt aanbieden om verder te werken.

In jouw omgeving gaat dat dan weer niet lukken, want je bedrijfsnetwerk is er niet om van te PXE booten, die collega heeft natuurlijk zelf ook geen golden image mee op een USB stick om de bedrijfslaptop te reimagen. De laatste optie is dan misschien bij jullie ook nog wel mogelijk, maar dan ben je ook niet veel verder dan waar wij staan natuurlijk.

Zoals ik in mijn andere post schreef, vele bedrijven, vele manieren van werken en andere eisen en mogelijkheden. Je kan niet blindelings zeggen dat het ene beter is dan het andere. Je moet zoeken naar de oplossingen die het beste bij de bedrijfsvoering passen.
Reageer
Sissors @bzuidgeest16 april 2026 09:54
Lekkere toon heeft dit bericht. Want tenzij je echt alles remote in bijvoorbeeld een Citrix remote omgeving doet, en dan dus ook echt alles, heb je lokaal data op laptops staan. Want ja alle documenten kan je hopelijk in iets van een online omgeving (ook) hebben staan, maar dingen als instellingen van programma's, welke programma's erop staan, etc staat verder allemaal lokaal.

Dus als mijn werklaptop de bitlocker sleutel vraagt, en IT antwoord met: "Ach we hebben de Bitlocker sleutels niet bewaard, teveel gedoe, we installeren wel opnieuw", dan is dat niet zo slim, om het zwak uit te drukken.

(Overigens weet ik dat bij ons IT wel de Bitlockers sleutels heeft, en die kunnen dus ook gewoon gebruikt worden wanneer nodig. Scheelt een hele hoop productiviteitsverlies tov alles opnieuw installeren).

[Reactie gewijzigd door Sissors op 16 april 2026 09:55]

Reageer
WargamingPlayer @Sissors16 april 2026 10:17
Data op laptop is zo ouderwets. Je hebt echt geen Citrix nodig, met bijvoorbeeld OneDrive/Google drive/Nextcloud Desktop sync je lokale data wanneer je niet met de cloud apps werkt. Zelfs de Office varianten werken gewoon rechtstreeks in de Cloud.

Hoe werk je anders met tagging, labelling, klassificering van data als het onbeheerd lokaal staat. Wat doe je als je device gestolen wordt en Bitlocker of andere encryptie staat niet aan?

Of zijn er nog mensen die dumps uit databases maken en die lokaal neerzetten omdat het “handig” is, of ontwikkelaars die met “echte data” op laptop werken?

Wanneer een IT’er nog zulke oplossingen bedenkt dan wordt het tijd voor bijscholing of afscheid nemen van IT.

Lekker makkelijk tegenover Veiligheid is al lang geen discussie meer. Beter moeilijk en veilig and makkelijk en onveilig.

Wij hebben de Bitlocker sleutels gewoon beschikbaar, maar soms is de keuze van een nieuwe image beter.

[Reactie gewijzigd door WargamingPlayer op 16 april 2026 10:18]

Reageer
Sissors @WargamingPlayer16 april 2026 10:30
Dus ook voor jou de vraag: Bij jullie IT slaan jullie dus de complete Appdata map op in de cloud? Zo nee, dan staat er dus data van de gebruiker alleen op de laptop en gaat die allemaal verloren bij een herinstallatie. En nee dat zouden geen documenten moeten zijn die kritisch zijn voor het bedrijf. Maar je bent anders zo uren bezig voor alle instellingen weer staan zoals ze stonden. En dat is niet het einde van de wereld, als je laptop in de fik is gevlogen ben je blij dat dat alles is wat het kost om door te gaan op je nieuwe laptop.

Maar als dit gedaan wordt omdat IT te lui is om Bitlocker sleutels op te slaan dan is het wel slecht.
Wat doe je als je device gestolen wordt en Bitlocker of andere encryptie staat niet aan?
Huh? Deze hele discussie gaat over Bitlocker sleutels. Waarom zou je die nodig hebben als Bitlocker niet aan staat?
Reageer
SirBlade @Sissors16 april 2026 12:14
Je hebt nooit de complete \appdata\ nodig. \appdata\local\ en \appdata\LocalLow\ bevatten in principe alleen cache, tempfiles, etc. De instellingen van applicaties worden opgeslagen in \appdata\remote\ en dat is slechts een miniscule deel van alles in \appdate\.
Reageer
WargamingPlayer @Sissors17 april 2026 10:11
Dus ook voor jou de vraag: Bij jullie IT slaan jullie dus de complete Appdata map op in de cloud? Zo nee, dan staat er dus data van de gebruiker alleen op de laptop en gaat die allemaal verloren bij een herinstallatie. En nee dat zouden geen documenten moeten zijn die kritisch zijn voor het bedrijf. Maar je bent anders zo uren bezig voor alle instellingen weer staan zoals ze stonden. En dat is niet het einde van de wereld, als je laptop in de fik is gevlogen ben je blij dat dat alles is wat het kost om door te gaan op je nieuwe laptop.

Maar als dit gedaan wordt omdat IT te lui is om Bitlocker sleutels op te slaan dan is het wel slecht.


[...]

Huh? Deze hele discussie gaat over Bitlocker sleutels. Waarom zou je die nodig hebben als Bitlocker niet aan staat?
Ja gedeelte van Appdata wordt in de cloud opgeslagen zodat bij een restore dat terug gezet wordt. Maar heel veel data staat niet in de backup.

Daarnaast wordt bijvoorbeeld alle bestanden ouder dan 30 dagen uit de downloads folder gewist.
Reageer
BasSchouten @bzuidgeest16 april 2026 10:33
En dan ga je Android builden vanaf je zwevende profiel? Zien we je over een paar dagen wel weer.

En je 10Gb/s video materiaal renderen? Moet je baas wel een extra glaslijntje voor je laten leggen.

Of al je blender materiaal op het zwevende profiel?

Natuurlijk zijn er genoeg kantoorbanen waar je met kleine documentjes werkt en dat wel mogelijk is. Maar er is ook genoeg werk waarbij lokale opslag een vereiste is. En dan heb je lang niet altijd al je lokale werk, ieder moment ergens op het netwerk staan. Dat nog even los van werk waarbij je veel onderweg bent en lang niet altijd een zeer snelle netwerkverbinding hebt. (Afgelegen lokaties, vliegtuigen, etc.)

Het is verstandig om te bedenken dat niet iedereen met hetzelfde werk te maken heeft als jij en een bitlocker sleutel verlies wel degelijk een wezenlijk probleem kan vormen voor mensen
Reageer
Sissors @bzuidgeest16 april 2026 10:17
Maar voor mijn begrip: Jullie slaan dus de complete Appdata map op in de cloud / fileservers? Ik durf wel te stellen dat jullie daarmee een uitzondering zijn. Maar goed, als je dat doet, en zorgt dat echt alles automatisch installeert opnieuw, en echt alle instellingen die niet in Appdata staan ook gebackup'd worden, tja dan zou het kunnen in theorie.

Maar ik blijf erbij, als die afdeling zo slim zou zijn, waarom is dan een Bitlocker key opslaan te complex voor ze? Want dat blijft alsnog een veel snellere optie om te zorgen dat de gebruiker weer door kan gaan in deze gevallen.
Reageer
Cyberpuppy @bzuidgeest16 april 2026 12:11
Probeer die wachtwoorden uit Chrome/Firefox maar eens te kopieren naar een nieuwe machine zonder gebruikersinteractie.
Reageer
bigbadbull @bzuidgeest17 april 2026 12:10
Loolz , duidelijk geen persoonlijke praktijk ervaring
Het is een paar minuten om een install opnieuw te doen.
Het is geen theorie, het is dagelijkse praktijk.
Wss manager of hoger ?

ja het is niet zo veel werk voor IT om een nieuwe install te starten, maar alles terug krijgen zoals het was duurt nog altijd dagen voor de eindgebruiker (die niet enkel op VDI werkt).

Ook al staat alles bij ons op onedrive en mag er niets lokaal staan.
Reageer
Sissors @bzuidgeest16 april 2026 10:27
Maar slaan jullie dus alle instellingen op van elk programma? Wat je niet kan doen zonder op zijn minst compleet AppData te backuppen.

Overigens hebben we gewoon telefoons hier, dus als het nodig is kan IT gewoon telefonisch bijvoorbeeld de Bitlocker key doorgeven.

En dat jullie standaard bij elk ding de hele handel wipen zal best. Wat ik moeite heb met geloven is dat die gebruiker in een paar minuten weer een laptop heeft die identiek is aan voor de wipe.
Reageer
WarrieJunioR @bzuidgeest17 april 2026 10:20
Het is een eenmalige security sleutel die, na het moment van gebruiken, wordt vernieuwd. Ze worden zwaar beveiligd opgeslagen als je het goed inricht. Wij maken ze niet zichtbaar voor gebruikers zelf, maar alleen de IT Systeembeheerders met een specifieke rol kunnen deze inzien. Het gaat niet om recovery van de computer, maar om het feit dat Windows de veiligheid van het systeem niet meer kan verifiëren en daarom tijdelijk en eenmalig om de bitlocker recovery key vraagt. Zodat hij deze verificatie weer kan waarborgen.

Het is vrij simpel om dit in te richt en in Intune en op te slaan in Azure, maar ook met GPO's en een On Premises Active Directory is dit vrij eenvoudig, scheelt echt een hoop gezeik dat altijd komt kijken nadat een laptop opnieuw geïnstalleerd is.

Er zijn altijd wel zaken die niet in de cloud worden opgeslagen, zoals inderdaad bepaalde programdata of appdata folders en (daardoor) instellingen van applicaties, browser certificaten die nodig zijn voor authenticatie aan bepaalde diensten zoals dat van het RDW etc. maar nu ben ik heel specifiek. Echter voor elk soort bedrijf zijn er wel enkele of meerdere specifieke zaken te noemen. Dit ligt ook niet altijd aan de mogelijkheden van IT beheer, maar soms ook aan de oud-/nieuwheid van een applicatie en de manier waarop deze werkt.
En juist dat is vaak veel ingewikkelder te automatiseren dan simpelweg even de bitlocker recovery sleutel opslaan en wanneer nodig delen met een gebruiker en die kan gewoon weer verder met werken.
Reageer
Sissors @bzuidgeest16 april 2026 10:34
Hoe bedoel je hij is beter? Die laptop werkte prima, tot er door een update één keer een key moest worden ingevoerd. Maar lang verhaal kort: Er gaat bij die herinstallaties dus gewoon gebruikersinstellingen verloren, maar dat maakt jullie als IT niks uit, want het is voor jullie minder werk dan om Bitlocker sleutels bij te houden, en dat het meer werk voor de gebruiker is, tja, niet jullie probleem.

(Overigens werk ik dus bij een bedrijf met tienduizenden gebruikers waar IT wel gewoon de bitlocker sleutels bijhoudt).
Reageer
Sissors @bzuidgeest16 april 2026 10:46
Ah dat is de nieuwe insteek waarvoor je gaat: Al mijn instellingen zijn niet waardevol, dus het is prima als die nodeloos verloren gaan. En dat laatste is dus het relevante: Als het zo is omdat mijn laptop in de fik is gevlogen, so be it. Maar dit is enkel nodig omdat jullie gewoon niet de moeite willen nemen om Bitlocker sleutels op te slaan, en liever problemen naar de gebruiker duwen ipv daadwerkelijk de gebruikers te ondersteunen.

En je eerste stuk is uiteraard onzin. Als je bij dit probleem waar dit hele artikel over gaat de Bitlocker sleutel invoert, is het probleem opgelost. Die update gaat niet falen dan meer, hij werkt gewoon.

Nee ik ben een stuk blijer met onze IT dan hoe jij graag IT ziet: vooral makkelijk voor IT moet het zijn, niet voor de gebruiker.
Reageer
Sissors @bzuidgeest16 april 2026 10:57
Right, dat gaat IT waarderen. Als ik automatisch scripts ga draaien die mijn Appdata elke dag naar Onedrive overzet.

Zoals ik al schreef, en jij gemist lijkt te hebben, als mijn laptop de fik in gaat is het vervelend dat mijn instellingen weg zijn, maar mweh, kost wat werk maar ik krijg het wel weer ingesteld. Als mijn instellingen weg zijn omdat IT te lui is om Bitlocker keys te bewaren, want dat is teveel werk? Tja, dan nog steeds niet mijn probleem. Dan ga ik in tijd van de baas rustig de tijd nemen om alle instellingen weer goed te zetten, en vertel ik de PM dat we vertraging hebben omdat IT zijn zaken niet op orde heeft. Niet mijn probleem.

Want nogmaals, waar ik nog steeds geen duidelijk antwoord van op hebt gehad: Backuppen jullie Appdata van al jullie gebruikers? Je kan toch niet serieus als IT afdeling hier gaan stellen dat de gebruiker zelf verantwoordelijk ervoor is dat dingen gebackuped worden?
Reageer
Sissors @bzuidgeest16 april 2026 11:11
Ja, het kan automatisch voor bijvoorbeeld een script te draaien, je noemt het zelf daarna ook gewoon...

Maar nogmaals, want je blijft eromheen lullen: Houden jullie een complete kopie bij van Appdata in de cloud? Zo nee, houden jullie op een andere manier alle instellingen van elk programma wat gebruikt wordt bij in jullie backups? Dus niet of het theoretisch misschien zou kunnen. Nee doen jullie dat? (Lijkt mij overigens sterk dat je dat kan doen zonder heel Appdata te backuppen, los van depricated data die misschien nog wat erin staat, zal dat gewoon allemaal data zijn die programmas gebruiken en niet voor de lol daar hebben neergezet). Als ik bij jouw werkgever werk, en jij wiped mijn laptop omdat jullie geen Bitlocker keys hebben, dan heeft de nieuwe laptop 5 minuten later dus al mijn programma's? Dan als ik de browser open ben ik direct op Tweakers ingelogd? Mijn Word instellingen en Powerpoint autocorrects staan er allemaal in? Matlab instellingen komen allemaal mee, samen met de commando geschiedenis?

(Overigens mijn werkgever is vanuit veiligheidsoogpunt juist niet zo'n voorstander van de browser data allemaal in de cloud te gooien).
Reageer
Sissors @bzuidgeest16 april 2026 11:28
Nogmaals, want je blijft eromheen lullen en weigert gewoon een duidelijk antwoord te geven: Het gaat mij niet erom wat in theorie allemaal zou kunnen, wat doen jullie? Backuppen jullie de volledige appdata in de cloud? Ja of nee?
Weet je zeker dat jij niet de starre bent?
Ja, want ik ben gewoon een gebruiker en het maakt mij geen drol uit hoe IT het doet. Wat mij uitmaakt is de impact die het op mij heeft. En voor mij lijkt het alsof jullie de medewerkers meer gedoe geven, omdat jullie te lui zijn om de bitlocker key te backuppen. Ik heb ook nog steeds geen fatsoenlijke reden gehad om dat niet te doen. Al die andere zaken zijn prima, maar dat veranderd niet het nut van gewoon 1x een Bitlocker key invoeren en gaan met die banaan.
Reageer
Sissors @bzuidgeest16 april 2026 11:48
Om het niet te specialistisch te maken: Als ik die nieuwe laptop van jullie krijg, heb ik dan dezelfde Powerpoint autocorrect opties die ik nu heb? Staan mijn Word instellingen identiek? We weten al dat iig een gedeelte van de browser gegevens verloren gaat.

En het is absoluut niet zo snel als één keer een key invoeren en doorgaan. Hell in een andere post begin je over gigabit internet. Ik werk primair via remote desktops naar Linux vanaf mijn werk laptop, en als ik snel taakbeheer bekijk komt die bijna nooit boven de 10Mbps uit als ik veel bewegingen genereer.
Reageer
supersnathan94
@bzuidgeest17 april 2026 13:37
De providers leveren al geen abbo meer onder de 500Mbit
50/50, 100/100 en 100/25 zijn nog gewoon gangbare opties toch? KPN doet ook 400/400 dacht ik?
Reageer
Sissors @bzuidgeest16 april 2026 11:55
Als dat een issue voor jou is, dan ja? Moet ik dat nou blijven herhalen?
Ja, want ik zie niet in hoe dit werkt. Want dit is natuurlijk een hele vreemde reactie. Moet ik dan bij jullie voor elk programma waarvan ik de instellingen bewaard wil hebben, een ticket inschieten? En dan voegen jullie dat automatisch aan mijn privé backup instellingen toe? Maar je eist dus dat de gebruiker aan IT doorgeeft wat in de backups moet zitten?

Want zoals ik dit lees zit het dus niet standaard in de backups. En nogmaals, als je laptop is afgefikt en het kost wat meer werk, tja, so be it. Maar bij jullie is dit dus voor iedereen die niet expliciet aan IT heeft doorgegeven dat instellingen ook handig zijn als die niet verloren gaan meer werk als er een bitlocker key moet worden ingevoerd, want dat is teveel werk voor IT?

Dat plus gigabit van al je medewerkers veriesen omdat IT weigert een bitlocker key op te slaan...

[Reactie gewijzigd door Sissors op 16 april 2026 11:56]

Reageer
Sissors @bzuidgeest16 april 2026 12:07
Ik heb het uiteraard over werklaptops, zoals je vast wel begrijpt. En het gaat mij niet erom hoe het technisch werkt, want ik heb al meerdere keren geschreven dat het in theorie allemaal kan. Het gaat mij erom hoe jullie als IT afdeling dat naar de gebruiker doen. Waarbij ik dus bij jullie blijkbaar als gebruiker aan de IT afdeling moet doorgeven welke programma's ik de instellingen van bewaard wil zien wanneer jullie de handel wipen omdat je geen Bitlocker keys wil opslaan.
Wat is nou je probleem? Dat je niet kan voorstellen dat een bedrijf zijn zaakjes op orde heeft? Dat elk bedrijf zijn personeel wel moet haten en zo moeilijk mogelijk moet maken?
Zoals ook andere schrijven, het probleem is meer dat jij de gebruikers lijkt te haten en het voor hun moeilijk wil maken om het voor jou iets makkelijker te maken. Want als gebruikers dus invidueel moeten gaan doorgeven welke programma's instellingen van behouden moeten blijven, gebeurd dat in de praktijk dus niet. En dus als jij de laptop nodeloos wiped, is die gebruiker extra tijd kwijt om alles weer goed in te stellen naar zijn/haar wensen.

En dan kan je stellen dat het allemaal in theorie automatisch zou kunnen, maar van wat ik begrijp uit jouw posts gebeurd het niet. Als Jan zijn laptop nu een bitlocker key ingevoerd moet krijgen, en jullie wipen die handel, heeft Jan dan nog al zijn Word instellingen bijvoorbeeld? Ja of nee.

[Reactie gewijzigd door Sissors op 16 april 2026 12:09]

Reageer
Sissors @bzuidgeest16 april 2026 12:17
Je roept veel over autocorrect. Maar dat zijn gewoon een stel ACL bestanden voor word. Die kan je gewoon heen en weer kopieren. Dat kan je voor elke gebruiker in een netwerk regelen.
MAAR DOE JE HET?

Kom op, dit is de samenvatting van deze hele 'discussie'. Ja alles kan. Ik heb dat nooit ontkent. Hel je kan een full disk backup maken van alle laptops en die terugzetten. Natuurlijk kan het. De vraag is: doen jullie het? Nee jullie doen het niet. Jullie geven de gebruiker nodeloos extra werk om zelf wat werk te besparen. Daarom is mijn conclusie dat jullie de gebruiker haten.
Jou oplossing werkt voor 1 geval en daarna accepteer je verlies van data.
Wat een onzin. Sorry, maar het opslaan van een Bitlocker key staat compleet los van dat data verder ook in een cloud staat.
Reageer
Sissors @bzuidgeest16 april 2026 12:57
Nee je verteld allemaal dingen die in theorie gedaan kunnen worden, maar je bent niet duidelijk over wat je doet. En ook weer bij deze post komt er geen ja/nee antwoord. Je had de politiek in moeten gaan.

Maar zover als ik dus begrijp zijn bij jullie medewerkers gewoon hun instellingen kwijt omdat jullie geen BitLocker key willen bewaren. En als je een paar uur bezig bent om alles weer naar je eigen voorkeur aan te passen omdat je laptop in de fik is gegaan, is dat prima. Zoals ik al meerdere keren heb geschreven. Maar als de enige reden is omdat IT weigert wat sleutels op te slaan? Dan is dat dus IT die de gebruiker haat.

[Reactie gewijzigd door Sissors op 16 april 2026 12:57]

Reageer
Sissors @bzuidgeest16 april 2026 13:11
Als we op die manier gaan beginnen, misschien is het probleem bij jou dat je niet snapt wat de gebruiker nodig heeft. Sowieso zit er nauwelijks enige vorm van terminologie in jouw posts, maar het is vast dat ik te doen ben en jij niet eromheen aan het lullen bent.

Dus nogmaals mijn voorbeeld: als jij de laptop wiped omdat jullie de BitLocker key niet hebben opgeslagen: ben ik dan mijn Matlab instellingen kwijt? Ben ik mijn Matlab geschiedenis kwijt? Ben ik mijn Word instellingen kwijt? Ben ik mijn PowerPoint auto correct kwijt?

Dat zijn vier ja/nee vragen. Het gaat mij er niet om of je nou een script zou kunnen gebruiken die de instellingen opslaat, of daar je heel appdata in de cloud zou kunnen zetten, of dat je een full disk backup zou kunnen draaien. Ik weet allemaal dat het in theorie kan. De vraag is wat doen jullie? Oftewel vier ja/nee vragen.
Reageer
Sissors @bzuidgeest16 april 2026 13:24
Dus jullie backuppen de hele appdata folder? Want dat is praktisch gezien enige manier waarop je dat van al die programmas bijhoudt. Dat of van elk programma het los opslaan, wat op ongeveer hetzelfde neerkomt.

En je laatste zin maakt het weer onduidelijk. Voor de zoveelste keer: het gaat niet er om wat gedaan kan worden, het gaat er om wat jullie doen. Jullie backuppen dus expliciet dat bestand voor iedereen?

[Reactie gewijzigd door Sissors op 16 april 2026 13:26]

Reageer
Sissors @bzuidgeest16 april 2026 13:43
Ik las hem verkeerd en had hem geedit, maar die had jij gemist, my bad :).

Maar zie de nieuwe post, aan het begin stel je dat jullie alles hebben, en dan kom je weer met het dat het zou kunnen. Backuppen jullie nu bij alle laptops dat bestand voor de autocorrects? En de de bestanden voor de andere instellingen? En dus Appdata voor de gebruikte programma's?

Ja het zou kunnen in theorie, maar eerlijk is eerlijk, ik heb moeite met te geloven dat jullie zoveel backuppen, maar dan een BitLocker key opslaan teveel moeite is. De klant breng je ook niet in de war ermee, want je helpt de klant met dat ze door kunnen gaan.

En het punt is dat die extra oplossing veel sneller is, en je hebt iig al toegegeven dat sommige dingen verloren gaan (je cookies).
Reageer
Sissors @bzuidgeest16 april 2026 15:48
Het probleem is dat jij steeds zulke onduidelijke antwoorden geeft, waardoor er steeds weer vragen blijven. En nu zeggen dat mensen liever cookies kwijt zijn? Als ik die kwijt wil dan verwijder ik ze zelf wel. Dat hoeft IT niet voor mij te bepalen dat ik die liever kwijt ben...
Wij backupen lang niet overal autocorrects
Euhm wtf? En twee regels daarvoor vind je het nog vreemd dat ik moeite heb met te geloven dat jullie alles backuppen. En nu blijkt dus dat ik gewoon gelijk heb en dat jullie dat helemaal niet backuppen bij veel klanten iig. Oftewel je bent aan het lullen geweest al die tijd.
(begrijp je het verschil tussen die twee?).
Vanaf het begin af aan heb ik erop gehamerd dat jij steeds aan het stellen was dat dingen in theorie kunnen, maar dat dat niet betekend dat jullie het doen. Moet ik echt de linkjes naar elke keer dat ik dat heb genoemd geven? Want volgens mij moet is het probleem aan begrijpend lezen toch echt niet aan mijn kant.

Oftewel bedankt voor bevestigen dat ik van het begin af aan gelijk had: Voor iig veel van jullie klanten als de update faalt, moeten ze daarna een hoop instellingen weer goed gaan zetten omdat jullie hebben besloten dat BitLocker keys opslaan teveel moeite is, en je alleen de optie hebt om een schone image terug te zetten. Ben ik toch erg blij dat onze IT wat meer op de gebruiker is gericht. En ja ik snap dat in theorie je alles kan backuppen. Maar dat doen jullie dus lang niet altijd. En in die gevallen hadden de mensen gewoon direct door kunnen gaan als jullie de BitLocker key even geven.

[Reactie gewijzigd door Sissors op 16 april 2026 15:50]

Reageer
JayPe @bzuidgeest16 april 2026 11:15
Klinkt als BOFH gedrag.
Reageer
Glashelder @bzuidgeest16 april 2026 12:05
Nee het is typisch BOFH dit en gebruikers hebben hier terecht een pleurishekel aan.

Een complete herinstallatie omdat beheerders perse de bitlocker sleutels niet willen bewaren had ik tot op heden nog niet van gehoord. Absoluut kansloos beleid. Als er ergens iets opgeslagen wordt op een laptop dat niet gesynchroniseerd wordt naar een externe service en je bent de lul. Als een laptop gestolen wordt, stuk is.. so be it -> schuld van de gebruiker. Maar in dit geval, een foute update.. wat mij betreft stond je dan op straat :)

Het is een enorm kleine moeite om die keys op te slaan maar kan in potentie enorm waardevol zijn. Bewust niet opslaan is onvergefelijk. Als je dat soort keuzes maakt dan zeg je feitelijk: wij maken geen fouten (het is altijd de schuld van de gebruiker) en die houding zou ik niet tegen kunnen.

[Reactie gewijzigd door Glashelder op 16 april 2026 12:06]

Reageer
WarrieJunioR @bzuidgeest17 april 2026 10:40
Je vergeet alleen even dat back-ups gebruiken een last resort moet zijn. Bitlocker key opslaan is zoooo simpel in te richten en de gebruiker kan binnen enkele minuten gewoon verder werken. Hoeft niet een laptop herinstallatie af te wachten en dan nog is te wachten op de applicaties die daarna pas opnieuw worden geinstalleerd en alle andere zaken die ze opnieuw moeten configureren omdat jullie dat niet in de back-up hadden zitten. Want, in theorie zou het kunnen, maar doen jullie het alleen op aanvraag en geloof mij een gebruiker weet 90% van de tijd niet wat hij dan zou moeten aanvragen.
Reageer
Glashelder @bzuidgeest16 april 2026 12:37
Maar onze oplossing werkt ook in dat geval en in die gevallen heb je niets aan de key opslaan. De backup methode moet voor alle gevallen werken.
Hoe weet je dat dan? Want je backupt blijkbaar selectief. Hoe zit het dan met die andere locaties?
Mijn oplossing werkt voor alle situaties. Die van jou niet. Dat is pas onvriendelijk.
Dit is dus precies de BOFH houding waar hiertegen geacteerd wordt.

Jullie maken geen fouten. Als er wat fout gaat, dan ligt het aan de gebruiker. Heeft niets met onze keuzes te maken.

Deze houding is enorm pre 2010. IT is in dienst van de gebruikers. Jullie kunnen niet 100% dicteren hoe iedereen werkt.
Reageer
Glashelder @bzuidgeest16 april 2026 12:47
Waar zeg ik dat?
Hier:
Mijn oplossing werkt voor alle situaties. Die van jou niet.
Maar goed, ik ga er niet meer verder op in. Ik kan je wel dit zeggen: je oplossing kan onmogelijk voor alle situaties werken tenzij je images van die machine maakt. Simpel as that. Vroeg of laat raakt er data verloren.
Heeft een bitlocker key nut bij een defecte disk? ja of nee.
Nee, maar gebruikers zouden geen data moeten opslaan op plekken waar het niet gesynct wordt en dus voorzien is van een backup. Mochten ze dat toch doen, en de machine gaat stuk dan is dat mijns inziens hun probleem. Maar.. en hier ging het om: het moedwillig niet op willen slaan van een bitlocker key vind ik gewoon nergens op slaan omdat je als IT afdeling nooit _alles_ moet willen backuppen. Gebruikers moeten zich gewoon aan bepaalde regels houden en dat is dat je niet overal je bestanden laat rondslingeren.
Reageer
Glashelder @bzuidgeest16 april 2026 12:54
Hoe is een oplossing die een gebruiker altijd helpt 'Bastard Operator From Hell"
Omdat die oplossing alleen in jouw hoofd bestaat maar jij dat niet wil snappen. Je kan zonder volwaardige back-up software op zo'n machine nooit alles back-uppen.

In combinatie met je gedachte dat je systeem feilloos is en dat je er daarom bewust voor kiest om een oplossing die gebruikers in sommige gevallen heel snel kan helpen (en je nauwelijks tot geen moeite kost) niet te implementeren is klassiek BOFH.
Reageer
Glashelder @bzuidgeest16 april 2026 13:03
Kijk het is gewoon heel simpel. Je geeft zelf aan:
Omdat gebruikers kunnen aangeven wat eventueel geregeld moet zijn, omdat we dat kunnen testen. Omdat we fouten kunnen verhelpen mocht het een keer niet zo zijn.
Inherent aan deze manier van werken gaat het dus een keer gebeuren dat een gebruiker niet aangeeft wat hij nodig heeft (omdat hij of zij dat bijv. niet weet) en dat er dan data verloren raakt.

Je zult ongetwijfeld een mooi systeem hebben dat veel verder gaat dan wat veel andere organisaties hebben omdat ze dat te ingewikkeld vinden, waarvoor hulde, maar het BOFH punt blijft staan omdat het opslaan van bitlocker keys volledig geautomatiseerd kan en een mooie fallback is voor als het eigen systeem faalt. En daar komt bij dat een nieuwe install gewoon altijd tijd kost. Veel meer tijd dan een herstelcode invullen. Daar kun je het toch niet mee oneens zijn?
Reageer
Finraziel
@bzuidgeest16 april 2026 12:21
Het zou kunnen dat jullie gewoon zoveel beter zijn, maar dit hele verhaal heeft voor mij ook een luchtje... Mijn ervaring is ook dat IT denkt dat alles wel gewoon in het profiel zit en dan knallen ze bij problemen gewoon een verse er op... Wat dan prima werkt voor een groot deel van het bedrijf wat veelal allemaal dezelfde werkzaamheden uitvoert, maar zit je in een meer specialistisch team dan heb je pech omdat dan blijkt dat er allerlei custom configuratie nodig is wat dan weer een hoop werk kost en dat inderdaad je eigen instellingen ook foetsie zijn. Gelukkig heeft IT bij mijn werkgever wel ook gewoon die keys opgeslagen.
Reageer
Finraziel
@bzuidgeest16 april 2026 12:26
Ja zoals ik zeg, zou kunnen... Als jullie dat echt zo doen dan chapeau... Maar daarvoor zouden we het aan al je gebruikers moeten vragen want ik vermoed dat mijn IT ook van zichzelf vindt dat ze het heel goed doen :+
Reageer
Robbierut4 @bzuidgeest16 april 2026 13:56
In heel je verhaal heb je het erover dat bitlocker keys bijhouden maar werken voor 1 specifieke situatie en niet voor alles.

Dat is correct. Maar je kunt toch meerdere oplossingen hebben? En een backup voor als de laptop kapot is, en een code voor als die nodig is.

Is toch een kleine moeite?

Verder je hebt het er telkens over dat alle gegevens gebackupt worden. Specifiek voorbeeld, wordt de exacte workspace configuratie van photoshop bewaard? Ik snap dat het technisch mogelijk is, maar ik vraag specifiek naar bij jullie!

Als gebruiker ben ik anders eerst een uur bezig om de workspace zo in te stellen dat ik weer optimaal snel kan doen wat ik moet doen.
Reageer
wooha @bzuidgeest16 april 2026 17:36
Dus als een klant een ticket inschiet om BitLocker keys op te slaan, dan ga je dat doen?
Reageer
Yoshi @bzuidgeest16 april 2026 10:20
ja, maar een bitlockersleutel ingeven duurt 10 seconden, een herinstallatie net iets langer. x % gevallen op zoveel toestellen. En dat is waarom je in een bedrijfsomgeving de bitlockersleutels klaar hebt staan om te recoveren. "'opnieuw en installeren en klaar..". Om dan nog maar te zwijgen van de speciale softwares die gebruikt worden om machines en labotoestellen aan te sturen en te lezen :). En netbooten van de gebruikers vlan toestaan is ook niet bepaald best practice.
Reageer
Cyberpuppy @bzuidgeest16 april 2026 12:22
Je hebt wel gelijk. En velen hier zouden wensen dat ze in een dergelijk luxe positie zouden zitten.Realiteit is helaas dat heel velen niet deze luxe hebben en geen perfecte IT omgeving kunnen bouwen binnen de beschikbare budgetten/capaciteit

Probeer voor de aardigheid eens de installer van PDFnob te automatiseren, of anders die van Unit4 Audition. Kost gewoon een enorme berg aan effort voor 1 gebruiker in ons hele bestand. Eindconclusie is dat er toch een stukje handwerk overblijft en er dus ook instellingen verloren gaan bij een herinstallatie.
Reageer
Yoshi @bzuidgeest16 april 2026 11:38
die speciale software wordt helemaal niet in images gestreamed... (dat hoort daar niet in thuis) met wat geluk staat de setup ergens op een backup (en die moet je dan gaan halen, installeren en dan heb je het niet eens over speciale licentietechnieken van de bedrijven die die software aanleveren). Zelf al duurt dat minuten (wat dus niet zo is) dan is dat nog steeds minuten langer dan een bitlocker sleutel in een systeem rammen.

En nogmaals, je pxe openzetten over een vlan die niet enkel bedoelt is voor installaties is bad practice. Dus je verwacht dat de gebruiker met zijn/haar/x toestel naar je toekomt. Wat ook meetelt in de tijd die nodig is om een toestel terug online te krijgen.

En je hoeft zeker niet rond te reizen om die sleutel in een machine te steken, dat kan de gebruiker gewoon simpel zelf als dat goed is opgezet .

[Reactie gewijzigd door Yoshi op 16 april 2026 11:39]

Reageer
Yoshi @bzuidgeest16 april 2026 12:31
omdat je je images dan ontiegelijk groot maakt, iets wat je probeert te vermijden. Dus standaard software (bv office) gaat daarop, maar al die speciale dingen (en dat gebeurt best veel in bedrijven) worden apart gezet op een netwerkmap of andere media.
Reageer
Yoshi @bzuidgeest16 april 2026 12:43
leuk dat , in de tijd dat jij die tekst hebt getypt, al drie bitlocker sleutels had kunnen laten ingeven door de gebruiker :). In die tijd leven we, waarin mensen opties aan het verkennen zijn die vele male omslachtiger zijn dan gewoon die sleutel in te geven... Je praat er gewoon omheen (incluis de bad practices en de onveiligheden). Furthermore houd je redenering alleen steek in een ideale omgeving, op de ideale plaats, met de ideale gebruikers.

En dan dat typisch (systeembeheerder? ) riedeltje: je software stelt niets voor. Ga dat maar uitleggen als de productie plat ligt omdat jij perse die pc wou gaan herinstalleren die weet ik veel wat aanstuurt ipv de bitlocker sleutel te laten ingeven door de operator :).
Reageer
nieuwveen @bzuidgeest16 april 2026 10:14
Alles kan automatisch maar je hebt wel een goede IT afdeling nodig? Hoe kom je aan een automatische IT afdeling? Ook automatisch?
Reageer
Fr0ns @bzuidgeest16 april 2026 10:51
Leuke hypothetische scenario's met onbeperkte budgetten. Alles kan, maar in de echte wereld werkt het anders.
Reageer
Fr0ns @bzuidgeest16 april 2026 11:12
Je wou het toch goed doen?
Reageer
bigbadbull @bzuidgeest17 april 2026 12:07
Dat Weet enkel een ITer, maar is totaal onbekend op C-Level ja veelal ook bij de CIO.
Totdat ze tegen de lamp lopen, dan is het ineens "waarom werd di niet opgevangen" oid.
Antwoord in 99% : we kregen nooit voldoende budget.
Reageer
Cyberpuppy @bzuidgeest16 april 2026 12:09
Je weet dat roaming profiles al een tijdje zijn doodverklaard door microsoft zelf. Die dingen werken tot een arbitrare grens van 500mb en daarna begint random de ellende.

Kun je helemaal niks meer mee, zeker nu steeds meer rommel door programmeurs in de appdata wordt opgeslagen. Dus je profiel zit zo aan ettelijke GBs. Daarboven wordt het inloggen er niet bepaald sneller van.
Reageer
Honytawk @bzuidgeest16 april 2026 10:11
Tuurlijk, laten we werknemers 2 uur werkloos maken ipv 5-10 minuten.
Reageer
tvtech @bzuidgeest16 april 2026 10:58
Wel eens gehoord dat mensen tegenwoordig thuis werken op hun 100Mbit lijntje wat op hun werkplek 10Mbps blijkt? Dan is een herinstall echt geen minutenwerk.
Reageer
tvtech @bzuidgeest16 april 2026 11:21
Je oordeelt wel heel makkelijk allemaal
Reageer
tvtech @bzuidgeest16 april 2026 14:34
ik geef juist niet op, wij geven gewoon de code door ipv een reset en zoek het maar verder uit. Niet overal is een goede lijn beschikbaar. Soms zitten de collega's bv in een raadszaal voor een vergadering met gare publieke wifi of een 5G mast op een grote afstand. Dan ga je geen wipe doen maar help je ze gewoon met de code.
Reageer
skapiche @bzuidgeest16 april 2026 11:36
Ja we faciliteren alles, behalve een internetaansluiting. Dat is voor de werknemer zelf, en als het niet werkbaar is dan komen ze maar naar kantoor. Daar is alles op orde.

Is het wel zo dat wij niet zo groot zijn en werknemers over het algemeen niet aan de andere kant van het land wonen.
Reageer
Robbierut4 @skapiche16 april 2026 14:01
Ja we faciliteren alles, behalve een internetaansluiting. Dat is voor de werknemer zelf, en als het niet werkbaar is dan komen ze maar naar kantoor. Daar is alles op orde.

Is het wel zo dat wij niet zo groot zijn en werknemers over het algemeen niet aan de andere kant van het land wonen.
10Mbit/s is geen bijster snelle lijn maar kun je prima mee inloggen op je bedrijfs netwerk en je werk doen.

Wordt pas een probleem als je een IT beheerder hebt die liever een full reset doet van de laptop dan via de telefoon een bitlocker code geeft die je in 10 seconden overtypt.
Reageer
tvtech @Robbierut416 april 2026 14:31
precies, er ligt nl niet overal glas of een goede coax. Dan kun je vanuit je ivoren toren heel makkelijk oordelen dat het jou probleem niet is maar er zijn ook nog andere gebruiksscenario's en applicaties die er anders over denken. Gelukkig zijn wij wel zo flexibel dat we onze gebruikers helpen.
Reageer
dehardstyler @bzuidgeest16 april 2026 10:11
Waarom zou je niet de sleutel invoeren als je die gewoon hebt als goede IT beheerder?

Ownee, ik ga liever wachten tot de 600GB aan data weer gedownload is (VM's etc.)? Vervolgens alles weer geinstalleerd is. Terwijl ik gewoon de key heb?

Dat is misschien leuk als je niet zoveel doet met een PC. Maar ik vind het maar een kortzichtig idee.
Reageer
Cyberpuppy @bzuidgeest16 april 2026 12:26
Hoeft niet. Gewoon key laten inkloppen door de gebruiker. Daarna key roteren. Kan volledig automagisch
Reageer
dehardstyler @bzuidgeest16 april 2026 10:54
Daar hebben ze email voor uitgevonden. Mailtje maken met Encrypt: en versturen maar. Als het echt echt echt moet, kan je hem zelfs wel even via de telefoon doorgeven.
Reageer
dehardstyler @bzuidgeest16 april 2026 11:11
Misschien heb je er wel eens van gehoord, best een mooi uitvinding. Ze noemen het een "smartphone".
Reageer
Cranberry @bzuidgeest16 april 2026 12:21
Dan regel je een rotation van je bitlocker key nadat je een key hebt gedeeld met een medewerker.
Snel, safe, simpel.
Reageer
mjl @bzuidgeest16 april 2026 10:55
Leuk voor een (goed ingerichte) zakelijke omgeving. De eindgebruiker zal in iedergeval een dag werk verliezen met wachten op het image inspoelen dan de oobe weer door te komen en te wachten tot alle applicaties weer geïnstalleerd en data gesynchroniseerd zijn. Vooral prive gebruikers gaan hier data mee verliezen, die hebben geen support afdeling…
Reageer
mjl @bzuidgeest16 april 2026 12:51
Right, wishfully thinking, maar daar kan je ook gewoon key recovery doen vanuit intune, sneller en minder impact voor de eindgebruiker.
Reageer
Robbierut4 @bzuidgeest16 april 2026 13:59
Werk laptop betekent niet altijd op kantoor werken. Ik zie zelfs nog mensen die op locatie met een smartphone tetheren voor internet op de laptop. Of meer voorkomend, gebruik maken van de wifi van het cafe waar ze ff ongestoord een verslag kunnen typen.

Dan kun je op je kantoor nog wel 100Gbit hebben liggen, heb je in de praktijk alleen niks aan dan.
Reageer
mjl @bzuidgeest16 april 2026 14:28
Dat maakt niet uit hoe efficiënt je het doet, een eindgebruiker zit niet te wachten op een restage.. ff snel met de Servicedesk de key inkloppen en je bent binnen 5 minuten klaar. Alle apps installeren vanuit de cloud duurt zeker een meervoud daarvan. Maar aangezien je het laatste woord wilt hebben en blijkbaar alle kennis in pacht hebt, ik ben er klaar mee.
Reageer
Jeanski @bzuidgeest16 april 2026 15:44
Jammer dat je een laptop nuket wanneer ie durft te vragen voor een bitlocker recovery key :+

Uw manier van werken is absoluut niet gangbaar voor een enorm deel van de populatie.
Reageer
Thijs_Rallye @bzuidgeest16 april 2026 11:21
Superfijn dat die betroffen users dan weer een hele dag aan het kloten zijn hun software te moeten installeren via die draak van SCCM.
Reageer
barbarbar 16 april 2026 09:21
Afgelopen week ook flink geschrokken hierdoor. Was ver van huis, laptop was in standby gegaan (normaal niet aan de voeding), en ding wil opeens alle updates en firmware updates gaan doorvoeren. Meermaals de bitlocker melding gehad, en een keer de herstelcode moeten invoeren. Die had ik wel toegankelijk, maar via een keepass kluis, waarvoor je dan dus een andere pc moet gaan regelen om die uit te lezen. Weer een bevestiging om updates even uit te zetten voordat ik verder weg ben van huis.
Reageer
Zenomyscus @barbarbar16 april 2026 11:26
Dat is letterlijk hoe ik nu werk met mijn laptop. Ik heb de pro versie en kan 5 weken de updates uitzetten. Dat doe ik. Vervolgens krijg ik weer updates. "ah het is weer 5 weken geleden". Dan flink duimen dat er niks stuk gaat. Haten op nieuwe troep waar ik niet blij mee ben en vervolgens gelijk de updates weer pauzeren voor 5 weken. Dan heb ik er in elk geval 5 weken geen last van.
Reageer
Ebbez @barbarbar16 april 2026 15:28
Tip: ik sync zelf mijn KeePass-kluis (KeePassXC dan; nog steeds de KDBX4 standaard) met mijn telefoon via Syncthing (kan ook elke andere cloudstorage zijn), en unlock hem op mijn Android met KeePassDX. (Of op iOS: KeePassium). Heeft mij ook wel een paar keer gered wanneer BitLocker onverwacht gereset was, en was dan ook wel snel opgelost.

[Reactie gewijzigd door Ebbez op 16 april 2026 15:29]

Reageer
barbarbar @Ebbez16 april 2026 23:01
Het probleem was meer dat ik een yubikey bio mee had. Waarvan de vingerafdruklezer niet lekker pakte na het klussen. En dan moet je de pincode ingeven, en dat wil alleen met de yubikey software op Windows....
Reageer
Johan1967 16 april 2026 09:15
Dat gebeurde bij mij (als consument) bij de maart updates. Nu kon ik via mijn Microsoft account de code nog traceren, maar de gemiddelde consument zal met de handen in het haar zitten.
Reageer
Majesty @Johan196716 april 2026 09:27
Tsja en wat als je die key dus nergens kan terug vinden, gewoon alles wipen.
Reageer
Blokker_1999
@Majesty16 april 2026 09:29
Is letterlijk de enige optie. Er is geen manier om BitLocker te breken.
Reageer
supersnathan94
@Blokker_199916 april 2026 10:23
nooouuu dat valt dan dus ook wel weer mee ... helaas?

nieuws: Youtuber kraakt BitLocker-versleuteling binnen minuut met Raspberry Pi Pico
Microsoft is al langer op de hoogte van dit soort aanvallen, maar benadrukt dat aanvallers hiervoor 'voldoende tijd' nodig hebben. Stacksmashing had echter slechts 43 seconden nodig om de laptop open te maken, de TPM-sniffer aan te sluiten op de LPC Bus en de sleutel te stelen. De benodigde hardware om de TPM-sniffer te maken, kostte hem slechts tien dollar.
Soortgelijk ding heb ik ook wel eens gedaan met de iCloud vergrendeling op macbooks. iCloud lock deactiveren kon toen door gewoon de firmware te opnieuw te flashen. Kon je kant en klare devices voor kopen.
Reageer
DataGhost @supersnathan9416 april 2026 11:13
Juist de reden dat je de recovery-key moet invoeren is dat de TPM de encryptiesleutel weigert vrij te geven. Dus als je op dat punt bent aangekomen kan je zoveel sniffers aansluiten als je wilt, de key komt er niet uit en dus kan je het volume niet ontsleutelen. Daarom is de titel van dat bericht ook volslagen achterlijk. Het achterhalen van de key staat in de verste verte niet gelijk aan het kraken van een versleuteling.
Reageer
supersnathan94
@DataGhost16 april 2026 11:15
Nee dat is wel waar. Je moet wel verkeer op de lijn hebben ja. werkt ook niet bij TPM on die. Dan valt er ook weinig te sniffen.

MS is er wel van op de hoogte dat er bepaalde aanvallen bestaan, maar kennelijk is een pincode ook weer voldoende om die aanvallen tegen te gaan.
Reageer
Blokker_1999
@supersnathan9416 april 2026 12:15
Hiermee kraak je nog altijd BitLocker niet. De versleuteling op zich is niet gebroken. Aanvallers lezen de sleutel uit in transit tussen de TPM chip en de CPU. Hier zijn ook weer enkele vereisten voor nodig zoals een toegankelijke communicatiebus tussen die 2 elementen. Probeer dat maar eens met een fTPM bijvoorbeeld. En als je het binnen de minuut wenst te doen moet je de hardware heel goed kennen en voorbereid zijn.

En dan mag er nog geen PIN op je BitLocker zitten, want dan moet je eerst de PIN code ingeven voordat de (f)TPM de decryptiesleutel zelfs maar vrijgeeft.

Maar het feit dat BitLocker bij deze laptops om de recovery key komt vragen is omdat er dus iets mis is met de sleutels in de TPM. Na het invoeren van de recoverykey en het opstarten van Windows zal Windows de benodigde sleutels opnieuw opslaan in de TPM chip zodat je er bij een volgende boot geen last meer van hebt.
Reageer
supersnathan94
@Blokker_199916 april 2026 14:37
Nee true, toen ik het artikel daarna nog wat verder las werd me daar al meer over duidelijk. Dit is echt wel anders dan wat ik met die iCloud lock deed.

De TPM stuurt nu gewoon geen keys terug dus dan valt er ook niets te sniffen.
Reageer
maartenvdezz 16 april 2026 10:39
Ter context: PCR is een ruimte voor hashes die in verschillende banken opgeslagen worden door verschillende componenten. Eerste paar banken worden door de UEFI firmware berekend (firmware hash is PCR0, UEFI config is PCR1), bootloader kan dingen wegschrijven, OS kan hashes wegschrijven.

Met TPM kun je policies instellen dat bepaalde keys alleen vrijgegeven als het systeem in een bepaalde staat is opgestart. Zo kun je configureren dat niet iemand niet een ander/aangepast OS kan starten vanaf een USB en toegang krijgen tot de bitlocker-data.

Of Windows de cirkel daarin rond heeft en het onmogelijk is om in te breken in een bitlocker-systeem, geen idee (ik werk vooral met Linux en MacOS), maar de klassieke "pas de toegankelijkheidstool aan offline"-truc zal niet meer werken.
Reageer
bkor @maartenvdezz16 april 2026 11:28
Of Windows de cirkel daarin rond heeft en het onmogelijk is om in te breken in een bitlocker-systeem, geen idee (ik werk vooral met Linux en MacOS), maar de klassieke "pas de toegankelijkheidstool aan offline"-truc zal niet meer werken.
Je hebt TPM-interposer hardware welke het TPM verkeer kan uitlezen. Zie bijvoorbeeld https://github.com/nccgroup/TPMGenie voor een voorbeeld. Microsoft heeft hier geen bescherming tegen, ze raden b.v. aan om een pre-boot key te gebruiken (onpraktisch). Zie https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/countermeasures#attacker-with-skill-and-lengthy-physical-access. Linux heeft dankzij James Bottomley wel methodes om te beveiligen tegen zo'n TPM interposer. Zie bijvoorbeeld https://www.hansenpartnership.com/Impress-Slides/LinuxCon-Japan-2024/#/begin voor een presentatie uit 2024 en https://lwn.net/Articles/1064685/ voor een verslag van een presentatie uit 2026.

Het is me alleen niet duidelijk of een willekeurige Linux distributie alles bevat om te beveiligen tegen zo'n TPM-interposer. Oftewel: of alle patches daadwerkelijk in de kernel en andere software zitten.
Reageer
Grompoe 16 april 2026 09:53
Op mijn werk pc heb ik dit al vele malen gehad en ook een keer op mijn prive pc.
Inmiddels aan het voorbereiden om privé de overstap naar Linux te maken...
Reageer
Nvidic @Grompoe16 april 2026 10:10
Had zelf thuis alles op Windows 11 met een Outlook.com account draaien. Heb na het recente Windows 11 vertragingen drie Maanden geleden twee Windows 11 computers overgezet naar Bazzite. Mijn Surface Pro 7 omgewisseld voor een Mac Book Neo zodat ik Mac OS ook maar eens een keer kan gaan proberen. De recenste singleplayer games draaien allemaal perfect via Steam op Bazzite en ik gebruik Windows alleen nog maar Zakelijk. Heb weer het gevoel dat ik eigenaar van mijn eigen computers geworden ben. Zeker het proberen waard!
Reageer
Carlos0_0
@Nvidic16 april 2026 11:10
Ja ik heb zelf ook een laptopje van het werk, die we nu toch niet meer gebruiken even in gebruik.
Ik heb dan toevallig Zorin Os erop gezet, eerst had ik de volledige install gedaan. Maar daar krijg je echt te veel troep mee(Maar goed het is zeker volledig te nomen :) ).

Ik heb nu de normale Basic install gedaan, Steam erop gezet via de store. En daar eens wat spellen van installeren.
Ook Lutris erop gezet voor EA games, zodat ik C&C generals wellicht kan installeren.

Ik speel eigenlijk nog amper wat op de pc, en zijn voornamelijk wat oudere spellen(De rest is toch op de playstation of switch.
Maar zo nu en dan een oud spelletje spelen is wel leuk, Rollercoaster Tycoon2, C&C Generals / RA2, Warcraft 3(Als kan uiteraard Reforged).
Al zie ik de Blizzard launcher niet in Lutris staan, dus weet niet of dit goed werkt onder Linux?.
Reageer
Nvidic @Carlos0_016 april 2026 14:02
Zoek een op de battle.net launcher binnen Lutris? Denk dat je het daarna wel kan vinden.
Reageer
Carlos0_0
@Nvidic16 april 2026 14:06
Ja klopt moest hem even opzoeken inderdaad.
Reageer
Klauwhamer @Nvidic16 april 2026 16:30
Alleen op de kist waar ik op game zo nu en dan draait Windows. De rest is allemaal Linux. Geen zin om ProtonDB te moeten raadplegen upfront om na getinker met minder FPS te kunnen spelen if at all, grosso modo. Helaas. Als dit (gaming) geen Gedoe had geweest..
Reageer
Marc H 16 april 2026 09:53
Gewoon bitlocker uitschakelen.

Open start menu, typ in bitlocker.. Open "Bitlocker bestandsversleuteling" Klik op bitlocker uitschakelen.
Reageer
Ryunoru @Marc H16 april 2026 10:36
Dat helpt niet als je bestanden al versleuteld zijn.
Reageer
Marc H @Ryunoru16 april 2026 10:44
Werkt wel.

De bestanden worden weer netjes ontsleuteld tijdens het uitschakelen.
Reageer
bzuidgeest
@Marc H16 april 2026 10:38
Geen optie als je werkt met gevoelige persoonsdata.
Reageer
Marc H @bzuidgeest16 april 2026 10:47
Ik zeg ook niet dat het voor iedereen een optie is, maar voor veel gebruikers heeft bitlocker amper/geen enkel nut en weegt het niet op tegenover de risico's.
Reageer
bzuidgeest
@Marc H16 april 2026 10:50
fair enough, ik encrypt mijn linux laptops ook niet. Te veel gedoe, voor te weinig nu. Op windows... staat per default aan en de key zit in mijn microsoft account. Vol automatisch.
Reageer
ymmv @bzuidgeest16 april 2026 11:22
Geen optie als het om een laptop van de zaak gaat, absoluut een optie als het om een prive-PC gaat.

Voor thuisgebruikers heeft Bitlocker geen enkele meerwaarde en is het enkel een groter risico op dataverlies omdat mensen fouten maken en recovery keys kwijtraken of toegang tot hun oude MS-account verliezen.
Reageer
bzuidgeest
@ymmv16 april 2026 11:24
Maar sommige mensen hebben ook prive data die ze niet uitgelekt willen hebben als ze hun hardware verliezen.
Reageer
stresstak @bzuidgeest16 april 2026 16:28
Precies. En ook de harddisk met de kopie/backup van die meuk is gebitlockerd.

Reeds vanaf win8.1, hoewel ik niet weet hoe compatible die bitlockerversies zijn t.o.v win10/11
Reageer
supersnathan94
@stresstak17 april 2026 13:33
Precies. En ook de harddisk met de kopie/backup van die meuk is gebitlockerd.
Oh. fijn.

Dan is je backup dus ook waardeloos voor thuisgebruikers waarbij Disk encryption geforceerd wordt.


hmm. Ik hoop dat ze dit alleen bij Bitlocker doen.
Reageer
stresstak @supersnathan9419 april 2026 17:17
Ho, wacht, het is anders:

Het bitlocken is alleen voor mij. Ik voorzie de kopieschijf van nieuwe bitlockcode en kopieer dan de betreffende data daarheen. Heb jij die schijf, dan heb je er niks aan, formatteer 'm dan maar.
Reageer
supersnathan94
@stresstak19 april 2026 19:45
Het probleem is dat disk encryption geforceerd wordt en dat je dan dus geen recovery keys of wat dan ook hebt, dat is allemaal gekoppeld aan je MS account, bij nood moet je daar dan wel op in kunnen loggen, maar de meeste mensen kunnen dat op een gegeven moment niet meer.


Microsoft maakt dat ook niet eenvoudig. Beetje vervelend is dat wel.

als ze met disk encryption dus ook externe schijven automatisch vergrendelen dan kun je dus ook niets met je backup als je dus niet bij je keys kunt.

Als je het issue hebt wat in dit artikel wordt besproken, en je hebt dus geen keys, maar wel een backup, dan heb je dus ook niks aan je backup. Dat is wat ik probeer te zeggen.
Reageer
Ryunoru 16 april 2026 10:35
Ah, is het weer zo ver? Je hoeft het niet eens meer op je systeem in de gaten te houden. Op Tweakers merk je vanzelf wanneer ze weer een nieuwe update uitbrengen... met alle gevolgen van dien.
Reageer
xenn99 16 april 2026 11:56
Ahja bitlocker, die beveiliging die meer problemen oplevert dan het oplost.
Microsoft zou dit standaard gewoon uit moeten zetten, 99% van de gebruikers heeft het niet nodig.
Reageer
computerjunky 16 april 2026 12:23
Wie gebruikt dit eigenlijk bewust en waarom? Ik verwijder (maak het onklaar) als ik een nieuwe installatie maak nog voordat ik mijn data drives eraan hang. Ik vertrouw mijn data simpelweg niet met encryptie.
Reageer
The_Doman @computerjunky16 april 2026 12:35
Inderdaad,
Voor gewoon thuisgebruik is het alleen maar een bron van mogelijke ellende.
Bij mijn lokale computerwinkeltje is het daardoor vaak een drama met verloren gegevens van gebruikers die geen idee hebben wat er aan de hand is en/of geen recovery account/keys hebben/weten.
Reageer
segil @computerjunky17 april 2026 08:25
disk encryptie, om je data te beschermen tegen diefstal of reparatie... tsja, wie zou dat nu willen?
Reageer
computerjunky @segil17 april 2026 15:24
Er is maar 1 file op mijn hele pc die interessant kan zijn als je hem A. Kan vinden en B. kan lezen. Veel valt er dus niet te halen.
Reageer
CriticalHit_NL 16 april 2026 12:47
Daarom gewoon geen Bitlocker gebruiken, dan wel online MS accounts voor Windows, levert je echt gewoon teveel gezeik op, de toegang tot mijn machine en bestanden is toch een stukje belangrijker dan dat stukje schijn(h)veiligheid
Reageer

Om te kunnen reageren moet je ingelogd zijn