BitLocker-herstelsleutel is in sommige gevallen nodig na maandupdate Windows 11

Beveiligingsupdates van deze maand voor Windows 11 blijken een probleem met opslagversleuteling BitLocker te geven. Onder bepaalde, volgens Microsoft zeldzame omstandigheden blokkeert Windows en vraagt het gebruikers om de BitLocker-herstelsleutel.

Deze blokkade zou eenmalig voorkomen, stelt Microsoft in zijn informatiebulletin over de updates. Na invoering van de herstelsleutel kan Windows 11 weer veilig starten en is het versleutelde opslagstation weer blijvend toegankelijk. De oorzaak zit in een opeenstapeling van factoren waardoor Windows uiteindelijk de veiligheid van het systeem niet meer kan verifiëren.

Dit probleem raakt 'een beperkt aantal systemen', verklaart Microsoft. Op die systemen moeten vijf zaken allemaal van toepassing zijn. Allereerst moet BitLocker ingeschakeld zijn voor het opstartstation van Windows 11. Daarnaast moet een specifieke groepsbeleid voor TPM-platformvalidatie en UEFI-firmware geconfigureerd zijn met daarbij ook PCR7-binding, die de integriteit van de opstartvolgorde controleert.

Ten derde moet die PCR7-binding volgens Windows' Systeeminformatie 'niet mogelijk' zijn. Ook moet op het apparaat een UEFI-beveiligingscertificaat uit 2023 aanwezig zijn in de handtekeningendatabase voor beveiligde boot. Daardoor kan een apparaat de Windows Boot Manager met digitale handtekening uit 2023 als standaard gebruiken.

'Onwaarschijnlijk voor consumenten'

Ten slotte moet het apparaat die bootmanager met beveiliging uit 2023 niet al draaien voordat de problematische updates zijn toegepast. Als al deze factoren van toepassing zijn, kan een Windows 11-computer ineens vragen om de herstelsleutel voor BitLocker. Microsoft stelt dat het onwaarschijnlijk is dat dit gebeurt op apparaten van consumenten. Het probleem kan wel voorkomen op systemen in beheer van IT-afdelingen bij bedrijven en organisaties.

Microsoft Surface Laptop 6
Surface Laptop 6. Bron: Microsoft

Door Jasper Bakker

Nieuwsredacteur

Feedback • 16-04-2026 08:59
137 • submitter: MineTurtle

16-04-2026 • 08:59

137

Submitter: MineTurtle

Lees meer

3 apr 2026

Windows-updates onder druk door tempo, complexiteit en minder kwaliteitscontrole

123
Microsoft gaf BitLocker-sleutels aan FBI om laptops verdachten te ontgrendelen
Microsoft gaf BitLocker-sleutels aan FBI om laptops verdachten te ontgrendelen Nieuws van 23 januari 2026
Microsoft introduceert tool om makkelijk naar Windows 11-systeem te switchen
Microsoft introduceert tool om makkelijk naar Windows 11-systeem te switchen Nieuws van 23 juli 2025
Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch
Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch Nieuws van 20 mei 2025
Windows 11-bèta bevat patch waardoor TPM 2.0-workaround niet meer werkt
Windows 11-bèta bevat patch waardoor TPM 2.0-workaround niet meer werkt Nieuws van 19 augustus 2024
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm Nieuws van 25 juli 2024
Meer producten en artikelen
Besturingssystemen Interne ssd's Netwerk en systeembeheer Politiek en recht Microsoft Bitlocker Encryptie Sleutel Update Windows 11 Windows update

Reacties (134)

-Moderatie-faq
134
127
62
1
0
44
Wijzig sortering

Sorteer op:

Weergave:
sus 16 april 2026 09:05
Dat is handig… ik kom in m’n winkel zat klanten tegen die niet doorhebben dat ze destijds hun PC hebben aangemeld met een mailadres van de provider, inmiddels overgestapt zijn en de toegang tot het account verloren zijn. “Ik deed altijd de pincode, wachtwoord?? Geen idee!”

Heb al tientallen mensen moeten vertellen dat na alle mogelijke accountherstelopties… de bitlockercode niet terug te halen is en dus de data verloren is.

Ook op Home staat “apparaatversleuteling” tegenwoordig gewoon aan, de code wordt opgeslagen in het eerste Microsoftaccount wat je aanmeld. Kan dus ook een schoolaccount van een van de kinderen zijn die per ongeluk het hele device in management meeneemt.

Heb er zeker 3-4 per maand met deze problemen, vooral nadat via de updates UEFI updates geinstalleerd worden

[aanvulling]
Wij zijn nu op het punt gekomen dat we altijd bitlocker/app.versleuteling uitzetten, om zo de kans dat door een onverwachte update bij ons op de TD de boel kwijt is weg te nemen. Bij ophalen even een melding naar de klant dat het uitstaat en hoe hij het thuis terug aan kan zetten. Uiteraard maken we ook images, maar die werken uiteraard ook niet meer als het origineel om een bitlockercode vraag.

[Reactie gewijzigd door sus op 16 april 2026 09:29]

Reageer
kiang @sus16 april 2026 09:17
Als dit vaker voorkomt moet Microsoft echt wat doen, want in principe is er een eenvoudig systeem in BitLocker dat lock outs voorkomt wanneer windows update een herstart vereist en de TPM check onklaar maakt.

BitLocker heeft namelijk flexibele key protectors, dit zijn meerdere manieren om het volume te ontsleutelen. Eentje die je altijd hebt is de recovery code, en de meeste gebruikers hebben ook een TPM protector, maar je kan ook pin of wachtwoord toevoegen. Die zijn flexibel in de zin dat je on the fly protectors kan toevoegen, verwijderen of aanpassen, zonder dat je je data moet her-versleutelen. Best wel handig als je bvb de pin wilt aanpassen ;)

Wanneer windows update firmware flasht (UEFI of andere low level firmware) die ervoor zorgt dat de TPM de sleutel niet meer vrijgeeft, hoort windows update voor de reboot een clear key protector toe te voegen, dat is een protector die niet echt een protector is, een beetje alsof je het wachtwoord van je pc even opschrijft en met een postit op en scherm hangt. Na reboot wordt deze verwijderd.

Er is dus een systeem hiervoor, dus ik vind het enorm stom van Microsoft als dit een veel voorkomend probleem is: desnoods kunnen ze de validatie die checkt of de clear key nodig is wat losser maken, en bij elke reboot vanwege windows update de clear key initialiseren. Sure, dat maakt de pc tijdelijk kwetsbaar, maar voor Windows home lijkt en dit beter dan maandelijks gebruikers die niet meer in hun machine kunnen.
Reageer
Blokker_1999
@kiang16 april 2026 10:14
De PIN is een bijkomende beveiliging, maar is op zich geen sleutel die het volume kan ontgrendellen. De PIN moet je invoeren zodat de TPM de sleutel kan vrijgeven. Dit is een bijkomend beschermingsmechanisme om te voorkomen dat een hacker de sleutel kan uitlezen vanop het moederbord tijdens het opstarten en dan met een kloon van de harde schijf op een ander moment aan de slag kan gaan zonder dat de eigenaar ooit te weten komt dat er iets gebeurd is.
Reageer
kiang @Blokker_199916 april 2026 10:33
Tpm+pin is gewoon een van de mogelijke protectors. Je pin zorgt inderdaad dat je een sleutel van de Tpm krijgt, waarmee je de vmk en fvek kan ontsleutelen voor toegang tot je data. Ik ging niet in op dat detail in het korter te houden (wat niet goed lukkte :+ )

Maar je hebt zeker ook een password protector, die zonder TPM werkt, daarbij wordt je wachtwoord gebruikt om een sleutel af te leiden (waarmee je dan weer een VMK en FVEK kan ontsleutelen). BitLocker vereist geen TPM.
Reageer
Andros @sus16 april 2026 09:17
Wellicht is dat een reden waarom ik onlangs voor een nieuwe pc geen MS account kon aanmaken met een mailadres van een derde partij. Enkel Outlook.com, gmail.com en nog wat van dat soort accounts worden nog geaccepteerd tegenwoordig.
Reageer
sus @Andros16 april 2026 09:25
Kan nog steeds met een isp-mailadres. Maar, ook als er dus een @outlook mailadres aangemaakt wordt, krijg je deze:

“Ik gebruik geen Outlook, mijn mailadres is al jaren @zeelandnet of @kpnmail”. En klaar ben je.

[Reactie gewijzigd door sus op 16 april 2026 09:30]

Reageer
Andros @sus16 april 2026 09:29
Even wat gerommeld en blijkbaar houden ze iets van lijsten aan met ISP domeinen oid, dan lijkt het te werken. Met een mailadres van een domein van het werk krijg ik wel de foutmelding dat er een Outlook of Gmail account gebruikt moet worden, erg wispelturig dus.
Reageer
Blokker_1999
@Andros16 april 2026 10:11
Als die werkgever een MS365 tenant heeft dan kan je dat domein niet gebruiken, want dan gaat men er van uit dat je met een bedrijfsaccount probeert aan te melden op een thuisinstallatie. En dat is niet de bedoeling.
Reageer
supersnathan94
@Andros16 april 2026 10:17
Met een mailadres van een domein van het werk krijg ik wel de foutmelding
Ws omdat dat device niet aangemeld staat in inTune en je er dan niet op in mag loggen met dat account?
Reageer
RadYeon @sus16 april 2026 09:07
Hier al op een stuk of 10 Intune-beheerde machines herstelcode moeten invullen, zullen over tijd meer worden. Een jaar od 3 terug hadden we een bulk van 30 die achter elkaar om de herstelcode vroegen.
Bij ons ging het ook dit wel gepaard met een BIOS update (dat Bitlocker hoort te pauzeren). Meestal gaat het goed maar wellicht was dit ook een 'perfect storm' van omstandigheden.

Verder klopt het helemaal wat je zegt, mensen klikken zo doorheen en bewaren de herstelcodes niet. Als je geen cloud opslag gebruikt, is het gedaan met je data.

[Reactie gewijzigd door RadYeon op 16 april 2026 09:09]

Reageer
supersnathan94
@RadYeon16 april 2026 10:15
Een jaar od 3 terug hadden we een bulk van 30 die achter elkaar om de herstelcode vroegen.
Dat komt omdat dit toen óók al een issue was. Sterker nog, het lijkt nu ieder jaar wel een keer terug te komen:

2024: nieuws: Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm

2025: supersnathan94 in 'Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch'
Verder klopt het helemaal wat je zegt, mensen klikken zo doorheen en bewaren de herstelcodes niet
Je hoeft er dus helemaal niet meer doorheen te klikken. Tegenwoordig heeft MS standaard Drive Encryption aanstaan bij MS accounts.


Ik citeer even een stukje van @R4gnax :

R4gnax in 'Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm'
Device Encryption is een treetje hoger en als onderdeel daarvan activeert het standaard Bitlocker.
Dit gebeurt al tijdens de initiële OOB (out of the box) setup experience, waarbij de decryptie sleutel in een niet versleuteld deel v/d drive in clear text neergezet wordt. Een zogenaamde clear key -- hetzelfde ding wat Windows Update soms ook gebruikt bij bepaalde soorten updates die bijv. de bootloader bij moeten werken.

Deze clear key wordt zodra je met een persoonlijke MS account inlogt; met een zakelijke MS account / Entra ID inlogt; of op je lokale bedrijfs Active Directory aansluit, automatisch daarheen weggeschreven als backup waarna de clear key verwijderd wordt en Bitlocker volledig activeert.
Je hoeft dus ooit maar ergens een keer in te loggen met een MS account op windows zelf en POEF. systeem naar de bertverderrie als je pech hebt.
Reageer
Blokker_1999
@bzuidgeest16 april 2026 10:10
Dus in plaats van 2 minuten te spenderen per machine om de code op te zoeken en in te geven ga jij een gebruiker door de OOBE laten lopen en zo een hele hoop meer tijd doen verliezen?

En dan moet je daarna als gebruiker, als je eenmaal op de laptop bent aangemeld, ook weer apps uit je Company Portal gaan installeren, wachten tot alle policies goed gesynced zijn, heb je documenten nodig, moet OneDrive alles weer gaan downloaden want geen cache meer.

Het tijdverlies, en de kost voor het bedrijf, zijn ineens veel groter. Dus waarom zou je in hemelsnaam een reinstall van de machine doen als je met 1x de herstelsleutel op te zoeken er ook bent?
Reageer
bzuidgeest
@Blokker_199916 april 2026 10:14
Als die machines overal verspreid staan is het wel meer dan een paar minuten. Tenzij je graag het hele land afrijd? Of internationaal? En waarom zou je die code bewaren? vers installeren is beter. Zodra je een virus detecteert of mallware -> boot, flush, done.

Ik vind het jammer om te horen dat jou infra zo langzaam is dat het een probleem is. De belangrijkste apps komen niet via de company portal maar zitten gewoon in de images in gestreamed. En de one drive cache hoef je ook niet op te wachten. Windows heeft namelijk dynamische inflate en deflate. Ofwel hij synced wat je gebruikt. En policy sync problemen? Hoe oud is je infra? Dat was in NT4 wel eens zo....

[Reactie gewijzigd door bzuidgeest op 16 april 2026 10:14]

Reageer
Blokker_1999
@bzuidgeest16 april 2026 12:05
Ik werk in een internationale firma, dus laat me niet lachen met argumenten zoals heel het land of internationaal. En ja, als een gebruiker getroffen is, dan bellen ze even de helpdesk en helpen we hen op enkele minuten erdoor.

En leuk die PXE boot, je gebruikers werken remote, van thuis. Hebben geen kantoornetwerk. Nu jij weer met je leuke oplossing. De snelheid heeft ook niet veel met de infra te maken wanneer je door de OOBE van Windows moet met AutoPilot.

En jij gaat er van uit dat er met een golden image gewerkt wordt. Prachtig. Iets wat MS vandaag eigenlijk niet meer ondersteunt. De MDT is uitgefaseerd net om die reden. MS wil dat je vandaag een clean install doet, en dan de laptop gaat provisionen met behulp van AutoPilot en Intune.

En ja, OneDrive syned alleen wat je nodig hebt. Maar heb je al eens een PowerShell sessie opengedaan na een herinstall waarbij PS alle modules weer probeert in te laden die in je profiel staan? Dat duurt even kan ik je zeggen voordat die weer lokaal staan. Of wat dacht je applicaties met projectfiles van honderden megabytes? Die git repositories die tienduizenden bestanden kunnen bevatten en toch in je documenten folder staan?

Je denkt vanuit een enorm afgebakend kader vanuit je eigen leefwereld, maar er zijn zoveel andere scenarios te bedenken waarin wat jij voorstelt helemaal geen goede optie is.
Reageer
dehardstyler @bzuidgeest16 april 2026 10:16
En waarom zou je die code bewaren?
Ahahahahaha. Kan je dat echt niet bedenken? :D
Reageer
bzuidgeest
@dehardstyler16 april 2026 10:19
Nee, want er is niets op een PC dat de moeite van behouden waard is. Als je tenminste enige goed infra hebt. Herinstalleren is een paar minuten.

[Reactie gewijzigd door bzuidgeest op 16 april 2026 10:20]

Reageer
dehardstyler @bzuidgeest16 april 2026 10:49
Ik werk met meerdere VM's. Die ga ik niet uit de cloud syncen hoor, helemaal niet als ik in het veld aan het werk ben. Dit kan ook in bijvoorbeeld China zijn. Laten we het erop houden dat ik blij ben dat jij bij mij de IT niet regelt met die starre houding. :P
Reageer
bzuidgeest
@dehardstyler16 april 2026 10:51
Ja vooral ontevreden zijn met een IT afdeling die alles op oorde heeft en in backups.

Als je latop kapot gaat in china heb je ook niets. Wees blij met een afdeling die alles eenvoudig kan fixen.
Reageer
Blokker_1999
@bzuidgeest16 april 2026 12:10
Als mijn collega in China een probleem heeft en we moeten de laptop wissen, is alles wat die collega nodig heeft 1 USB stick met een opstartbare Windows installatie. En een uur of zo later is die weer up-and-running. En als de laptop echt defect is kunnen we je worst case een laptop lokaal laten kopen en die onboarden in onze omgeving. Of als je in een land zitten waar we de hard- en software nooit zouden vertrouwen kunnen we je alsnog een laptop laten kopen en via een beveiligde weg een remote deskopt aanbieden om verder te werken.

In jouw omgeving gaat dat dan weer niet lukken, want je bedrijfsnetwerk is er niet om van te PXE booten, die collega heeft natuurlijk zelf ook geen golden image mee op een USB stick om de bedrijfslaptop te reimagen. De laatste optie is dan misschien bij jullie ook nog wel mogelijk, maar dan ben je ook niet veel verder dan waar wij staan natuurlijk.

Zoals ik in mijn andere post schreef, vele bedrijven, vele manieren van werken en andere eisen en mogelijkheden. Je kan niet blindelings zeggen dat het ene beter is dan het andere. Je moet zoeken naar de oplossingen die het beste bij de bedrijfsvoering passen.
Reageer
Sissors @bzuidgeest16 april 2026 09:54
Lekkere toon heeft dit bericht. Want tenzij je echt alles remote in bijvoorbeeld een Citrix remote omgeving doet, en dan dus ook echt alles, heb je lokaal data op laptops staan. Want ja alle documenten kan je hopelijk in iets van een online omgeving (ook) hebben staan, maar dingen als instellingen van programma's, welke programma's erop staan, etc staat verder allemaal lokaal.

Dus als mijn werklaptop de bitlocker sleutel vraagt, en IT antwoord met: "Ach we hebben de Bitlocker sleutels niet bewaard, teveel gedoe, we installeren wel opnieuw", dan is dat niet zo slim, om het zwak uit te drukken.

(Overigens weet ik dat bij ons IT wel de Bitlockers sleutels heeft, en die kunnen dus ook gewoon gebruikt worden wanneer nodig. Scheelt een hele hoop productiviteitsverlies tov alles opnieuw installeren).

[Reactie gewijzigd door Sissors op 16 april 2026 09:55]

Reageer
bzuidgeest
@Sissors16 april 2026 09:56
Daarom heb je in bedrijfs windows land zwevende profielen. Dan staat er geen favoriet local, je documenten? in een bedrijf staan die in de onedrive.

De programma's worden automatisch uitgerold na de installatie van windows.

Ik denk dat je "niet zo slim" nog al verkeerd hebt. Een goede IT afdeling zorgt dat er niets lokaal is waar je nut van hebt. Alles kan automatisch worden uitgerold. De rest is fileserver of cloud. Dat is hoe het gaat in microsoft land.

Een slimme afdeling kan een pc herstellen zonder ook maar iets te verliezen van de gebruiker.

[Reactie gewijzigd door bzuidgeest op 16 april 2026 09:57]

Reageer
nieuwveen @bzuidgeest16 april 2026 10:14
Alles kan automatisch maar je hebt wel een goede IT afdeling nodig? Hoe kom je aan een automatische IT afdeling? Ook automatisch?
Reageer
bzuidgeest
@nieuwveen16 april 2026 10:15
Is dat een serieuze vraag? Ik neem aan dat je een werkgever bent of er een hebt die competente mensen aanneemt of inhuurt.
Reageer
Fr0ns @bzuidgeest16 april 2026 10:51
Leuke hypothetische scenario's met onbeperkte budgetten. Alles kan, maar in de echte wereld werkt het anders.
Reageer
bzuidgeest
@Fr0ns16 april 2026 10:52
Zo duur is het nou ook weer niet. IT is toch belangrijk tegenwoordig?
Reageer
Fr0ns @bzuidgeest16 april 2026 11:12
Je wou het toch goed doen?
Reageer
Yoshi @bzuidgeest16 april 2026 10:20
ja, maar een bitlockersleutel ingeven duurt 10 seconden, een herinstallatie net iets langer. x % gevallen op zoveel toestellen. En dat is waarom je in een bedrijfsomgeving de bitlockersleutels klaar hebt staan om te recoveren. "'opnieuw en installeren en klaar..". Om dan nog maar te zwijgen van de speciale softwares die gebruikt worden om machines en labotoestellen aan te sturen en te lezen :). En netbooten van de gebruikers vlan toestaan is ook niet bepaald best practice.
Reageer
bzuidgeest
@Yoshi16 april 2026 10:25
Al die speciale software is gebackuped of in de images gestreamed en staat klaar. Een machine opnieuw doen bij problemen is minuten werk. Virus of update probleem. F12, streamen en klaar.

JE hoeft niets bij te houden, je hoeft niet rond te reizen om overal sleutels in te kloppen.

Mensen hebben blijkbaar geen enkel idee hoe strak je dat kan krijgen als je er op inzet.
Reageer
Yoshi @bzuidgeest16 april 2026 11:38
die speciale software wordt helemaal niet in images gestreamed... (dat hoort daar niet in thuis) met wat geluk staat de setup ergens op een backup (en die moet je dan gaan halen, installeren en dan heb je het niet eens over speciale licentietechnieken van de bedrijven die die software aanleveren). Zelf al duurt dat minuten (wat dus niet zo is) dan is dat nog steeds minuten langer dan een bitlocker sleutel in een systeem rammen.

En nogmaals, je pxe openzetten over een vlan die niet enkel bedoelt is voor installaties is bad practice. Dus je verwacht dat de gebruiker met zijn/haar/x toestel naar je toekomt. Wat ook meetelt in de tijd die nodig is om een toestel terug online te krijgen.

En je hoeft zeker niet rond te reizen om die sleutel in een machine te steken, dat kan de gebruiker gewoon simpel zelf als dat goed is opgezet .

[Reactie gewijzigd door Yoshi op 16 april 2026 11:39]

Reageer
bzuidgeest
@Yoshi16 april 2026 11:40
Waarom zou die software daar niet thuis horen? Hoort hij ook niet thuis in een backup?
Reageer
Sissors @bzuidgeest16 april 2026 10:17
Maar voor mijn begrip: Jullie slaan dus de complete Appdata map op in de cloud / fileservers? Ik durf wel te stellen dat jullie daarmee een uitzondering zijn. Maar goed, als je dat doet, en zorgt dat echt alles automatisch installeert opnieuw, en echt alle instellingen die niet in Appdata staan ook gebackup'd worden, tja dan zou het kunnen in theorie.

Maar ik blijf erbij, als die afdeling zo slim zou zijn, waarom is dan een Bitlocker key opslaan te complex voor ze? Want dat blijft alsnog een veel snellere optie om te zorgen dat de gebruiker weer door kan gaan in deze gevallen.
Reageer
bzuidgeest
@Sissors16 april 2026 10:22
Hoe hoeft niet eens voor alles. Heel veel apps zijn vanzichzelf voorzien van cloudsync. Zie de meeste browsers.

Je slaat die key niet op, omdat het niet nodig is. Er is niets de moeite waard lokaal. Zeker als alles geografisch verspreid is. Wil je gaan rondrijden er voor? vliegen?

Het is een paar minuten om een install opnieuw te doen. Voor een virus melding, mallwaren etc etc. Wipe en go. Geen twijfel geen diagnose geen tijd.

Het is geen theorie, het is dagelijkse praktijk.
Reageer
Cyberpuppy @bzuidgeest16 april 2026 12:11
Probeer die wachtwoorden uit Chrome/Firefox maar eens te kopieren naar een nieuwe machine zonder gebruikersinteractie.
Reageer
Sissors @bzuidgeest16 april 2026 10:27
Maar slaan jullie dus alle instellingen op van elk programma? Wat je niet kan doen zonder op zijn minst compleet AppData te backuppen.

Overigens hebben we gewoon telefoons hier, dus als het nodig is kan IT gewoon telefonisch bijvoorbeeld de Bitlocker key doorgeven.

En dat jullie standaard bij elk ding de hele handel wipen zal best. Wat ik moeite heb met geloven is dat die gebruiker in een paar minuten weer een laptop heeft die identiek is aan voor de wipe.
Reageer
Sissors @bzuidgeest16 april 2026 10:34
Hoe bedoel je hij is beter? Die laptop werkte prima, tot er door een update één keer een key moest worden ingevoerd. Maar lang verhaal kort: Er gaat bij die herinstallaties dus gewoon gebruikersinstellingen verloren, maar dat maakt jullie als IT niks uit, want het is voor jullie minder werk dan om Bitlocker sleutels bij te houden, en dat het meer werk voor de gebruiker is, tja, niet jullie probleem.

(Overigens werk ik dus bij een bedrijf met tienduizenden gebruikers waar IT wel gewoon de bitlocker sleutels bijhoudt).
Reageer
Sissors @bzuidgeest16 april 2026 10:46
Ah dat is de nieuwe insteek waarvoor je gaat: Al mijn instellingen zijn niet waardevol, dus het is prima als die nodeloos verloren gaan. En dat laatste is dus het relevante: Als het zo is omdat mijn laptop in de fik is gevlogen, so be it. Maar dit is enkel nodig omdat jullie gewoon niet de moeite willen nemen om Bitlocker sleutels op te slaan, en liever problemen naar de gebruiker duwen ipv daadwerkelijk de gebruikers te ondersteunen.

En je eerste stuk is uiteraard onzin. Als je bij dit probleem waar dit hele artikel over gaat de Bitlocker sleutel invoert, is het probleem opgelost. Die update gaat niet falen dan meer, hij werkt gewoon.

Nee ik ben een stuk blijer met onze IT dan hoe jij graag IT ziet: vooral makkelijk voor IT moet het zijn, niet voor de gebruiker.
Reageer
bzuidgeest
@Sissors16 april 2026 10:49
Nee je instelling zijn al gebackupped en bewaart als ze waardevol zijn. Want anders heb je ook niets in het geval van defecten aan de hardware of brand die je zelf noemt. \

Blijkbaar vind jou it het in het geval van defecten jou instellingen niet belangrijk genoeg. Die van mij wel. Dus wat is nou werkelijk beter? Jou optie waar je misschien met een sleutel geholpen kan worden en anders niet. Of de mijne waar je altijd geholpen kan worden. En niets verliezen.

Jou instellingen zijn niet waardeloos. Ze zijn als ze waardevol zijn safe gezet.
Reageer
Sissors @bzuidgeest16 april 2026 10:57
Right, dat gaat IT waarderen. Als ik automatisch scripts ga draaien die mijn Appdata elke dag naar Onedrive overzet.

Zoals ik al schreef, en jij gemist lijkt te hebben, als mijn laptop de fik in gaat is het vervelend dat mijn instellingen weg zijn, maar mweh, kost wat werk maar ik krijg het wel weer ingesteld. Als mijn instellingen weg zijn omdat IT te lui is om Bitlocker keys te bewaren, want dat is teveel werk? Tja, dan nog steeds niet mijn probleem. Dan ga ik in tijd van de baas rustig de tijd nemen om alle instellingen weer goed te zetten, en vertel ik de PM dat we vertraging hebben omdat IT zijn zaken niet op orde heeft. Niet mijn probleem.

Want nogmaals, waar ik nog steeds geen duidelijk antwoord van op hebt gehad: Backuppen jullie Appdata van al jullie gebruikers? Je kan toch niet serieus als IT afdeling hier gaan stellen dat de gebruiker zelf verantwoordelijk ervoor is dat dingen gebackuped worden?
Reageer
bzuidgeest
@Sissors16 april 2026 11:06
Waarom moet je daar scripts voor draaien? kan automatisch.

We backupen alles wat we denken dat een gebruiker nodig heeft. Of proppen het in zwevende profielen. We hebben ook ansible scripts die regelmatig worden bijgewerkt gewerkt kan zelfs dagelijks of vaker. En kan per machine of gebruiker.

Je hoeft iets in appdata niet noodzakelijk te kopiëren om het te herstellen. Lees de settings uit en de geïnstalleerde extensies uit bijvoorbeeld vscode en hou een ansible script up to date (kan volautomatisch). Die scripts in source control en de gebruiker ziet het verschil niet tussen wat hij had en een verse installatie met alles terug als het was. Browsers hebben al cloudsync. Voor jou specifieke appje hebben we vast ook wel wat.

Beetje creatief zijn. jeetje zeg. En met AI en alle tooling die we al hadden word het steeds makkelijker om het allemaal te regelen en bij te houden.
Reageer
Sissors @bzuidgeest16 april 2026 11:11
Ja, het kan automatisch voor bijvoorbeeld een script te draaien, je noemt het zelf daarna ook gewoon...

Maar nogmaals, want je blijft eromheen lullen: Houden jullie een complete kopie bij van Appdata in de cloud? Zo nee, houden jullie op een andere manier alle instellingen van elk programma wat gebruikt wordt bij in jullie backups? Dus niet of het theoretisch misschien zou kunnen. Nee doen jullie dat? (Lijkt mij overigens sterk dat je dat kan doen zonder heel Appdata te backuppen, los van depricated data die misschien nog wat erin staat, zal dat gewoon allemaal data zijn die programmas gebruiken en niet voor de lol daar hebben neergezet). Als ik bij jouw werkgever werk, en jij wiped mijn laptop omdat jullie geen Bitlocker keys hebben, dan heeft de nieuwe laptop 5 minuten later dus al mijn programma's? Dan als ik de browser open ben ik direct op Tweakers ingelogd? Mijn Word instellingen en Powerpoint autocorrects staan er allemaal in? Matlab instellingen komen allemaal mee, samen met de commando geschiedenis?

(Overigens mijn werkgever is vanuit veiligheidsoogpunt juist niet zo'n voorstander van de browser data allemaal in de cloud te gooien).
Reageer
bzuidgeest
@Sissors16 april 2026 11:19
Nee appdata kan gewoon automatisch met niets bijzonders. Maar het kan ook met scripts als je selectief wil zijn. Ik noem dat omdat het vaak optimaler is. Het is niet de exacte data, het is de funtionaliteit die men terug wil. De extensie en zijn settings bewaar je dan en niet de binairies. Die trek je gewoon weer uit hun install store.
(Overigens mijn werkgever is vanuit veiligheidsoogpunt juist niet zo'n voorstander van de browser data allemaal in de cloud te gooien).
Dan gooi je het op een fileserver.

Weet je zeker dat jij niet de starre bent?

En nee, je bent misschien niet direct op tweakers ingelogd. Maar je passwordmanager is terug. Je key om die te unlocken werkt gewoon nog.....

elke applicatie bestaat een oplossing voor. De vraag is of je het de tijd geeft. Maar met AI gaat het steeds sneller. Word excel, matlab.... ze laten hun instellingen allemaal ergens. Jij hebt geen 10 hoge prio applicaties die belangrijk voor je zijn. Waar je echt de settings van nodig hebt. De meeste gebruikers gebruiken nog geen 3 applicaties echt.

Je blijft maar hameren op een bitperfecte kopie. Maar tenzij je continue je settings zit te doen is zelfs een dagelijkse backup van de machine goed zat. En anders is het alleen nodig dat je verder kan op je belangrijkste tools.

Ik vind het heel star om te denken dat je zo bijzonder bent in je applicatie en instellingen dat er geen goede oplossingen zijn. Zoals ik al zeg, een beetje creatief.
Reageer
Sissors @bzuidgeest16 april 2026 11:28
Nogmaals, want je blijft eromheen lullen en weigert gewoon een duidelijk antwoord te geven: Het gaat mij niet erom wat in theorie allemaal zou kunnen, wat doen jullie? Backuppen jullie de volledige appdata in de cloud? Ja of nee?
Weet je zeker dat jij niet de starre bent?
Ja, want ik ben gewoon een gebruiker en het maakt mij geen drol uit hoe IT het doet. Wat mij uitmaakt is de impact die het op mij heeft. En voor mij lijkt het alsof jullie de medewerkers meer gedoe geven, omdat jullie te lui zijn om de bitlocker key te backuppen. Ik heb ook nog steeds geen fatsoenlijke reden gehad om dat niet te doen. Al die andere zaken zijn prima, maar dat veranderd niet het nut van gewoon 1x een Bitlocker key invoeren en gaan met die banaan.
Reageer
bzuidgeest
@Sissors16 april 2026 11:31
, want je blijft eromheen lullen en weigert gewoon een duidelijk antwoord te geven:
Ik heb die vraag meerdere keren beantwoord. Wanneer nodig, dan ja, maar het is niet altijd nodig. Er zijn variaties. We hebben meer dan 1 oplossing. Meer dan 1 manier van doen. Wij zijn niet zo star :). Wij bedienen de gebruiker. Wij zien geen noodzaak om iets te doen (key bijhouden) waar we betere oplossingen hebben voor de gebruiker. Waarom blijf je vasthouden dat dit de enige optie is voor het doel de gebruiker helpen?

Onze oplossing werkt voor kapotte disc, voor brand. Voor defecten. En een mislukte update is een defect.

En onze oplossing is ook snel. Een image of iets dergelijks streamen is supervlug.

[Reactie gewijzigd door bzuidgeest op 16 april 2026 11:33]

Reageer
Sissors @bzuidgeest16 april 2026 11:48
Om het niet te specialistisch te maken: Als ik die nieuwe laptop van jullie krijg, heb ik dan dezelfde Powerpoint autocorrect opties die ik nu heb? Staan mijn Word instellingen identiek? We weten al dat iig een gedeelte van de browser gegevens verloren gaat.

En het is absoluut niet zo snel als één keer een key invoeren en doorgaan. Hell in een andere post begin je over gigabit internet. Ik werk primair via remote desktops naar Linux vanaf mijn werk laptop, en als ik snel taakbeheer bekijk komt die bijna nooit boven de 10Mbps uit als ik veel bewegingen genereer.
Reageer
bzuidgeest
@Sissors16 april 2026 11:52
Als ik die nieuwe laptop van jullie krijg, heb ik dan dezelfde Powerpoint autocorrect opties die ik nu heb?
Als dat een issue voor jou is, dan ja? Moet ik dat nou blijven herhalen?

En gigabit local of internet mag gewoon de default zijn tegenwoordig. Backbone hoger. De providers leveren al geen abbo meer onder de 500Mbit

Ik werkt ook veel met remote desktop. Maakt de lokale machine alleen maar minder belangrijk. De servers worden sowieso tot de laatste bit in een backup gestoken.
Reageer
Sissors @bzuidgeest16 april 2026 11:55
Als dat een issue voor jou is, dan ja? Moet ik dat nou blijven herhalen?
Ja, want ik zie niet in hoe dit werkt. Want dit is natuurlijk een hele vreemde reactie. Moet ik dan bij jullie voor elk programma waarvan ik de instellingen bewaard wil hebben, een ticket inschieten? En dan voegen jullie dat automatisch aan mijn privé backup instellingen toe? Maar je eist dus dat de gebruiker aan IT doorgeeft wat in de backups moet zitten?

Want zoals ik dit lees zit het dus niet standaard in de backups. En nogmaals, als je laptop is afgefikt en het kost wat meer werk, tja, so be it. Maar bij jullie is dit dus voor iedereen die niet expliciet aan IT heeft doorgegeven dat instellingen ook handig zijn als die niet verloren gaan meer werk als er een bitlocker key moet worden ingevoerd, want dat is teveel werk voor IT?

Dat plus gigabit van al je medewerkers veriesen omdat IT weigert een bitlocker key op te slaan...

[Reactie gewijzigd door Sissors op 16 april 2026 11:56]

Reageer
bzuidgeest
@Sissors16 april 2026 12:02
Dat is jammer dat je niet ziet hoe dit werkt. Dat is nou eenmaal automatisering. Ik ga daar hier geen cursus in doen.

Misschien ben je in de war. Wij zorgen natuurlijk niet voor een prive laptop. Daar moet je het zelf regelen. Maar wij geven de gebruiker wel een werklaptop waar we diensten op leveren. Daar zijn wij verantwoordelijk voor dat een gebruiker kan blijven werken. Als daar iets speciaals voor nodig. Ticket please. Maar in de praktijk doen de meeste gebruikers niets dat niet ook voor andere gebruikers handig kan zijn. Dus is het al geregeld. En een volledig backup van een laptop is ook niet zo moeilijk als je dat echt wil.

Je werkt wel hard, om jezelf als gebruiker ongelukkig te maken. Blijkbaar beschouw je werkende IT als onmogelijk? Of denk je dat je als gebruiker zo speciaal bent dat niemand doet wat jij doet? Ik ben een beetje in de war. Ik heb zelden iemand zo hard zien werken om zeker te krijgen dat IT niet voor ze kan werken, al helemaal niet op een manier die ze zich niet kunnen voorstellen.

Wat is nou je probleem? Dat je niet kan voorstellen dat een bedrijf zijn zaakjes op orde heeft? Dat elk bedrijf zijn personeel wel moet haten en zo moeilijk mogelijk moet maken?
Reageer
Sissors @bzuidgeest16 april 2026 12:07
Ik heb het uiteraard over werklaptops, zoals je vast wel begrijpt. En het gaat mij niet erom hoe het technisch werkt, want ik heb al meerdere keren geschreven dat het in theorie allemaal kan. Het gaat mij erom hoe jullie als IT afdeling dat naar de gebruiker doen. Waarbij ik dus bij jullie blijkbaar als gebruiker aan de IT afdeling moet doorgeven welke programma's ik de instellingen van bewaard wil zien wanneer jullie de handel wipen omdat je geen Bitlocker keys wil opslaan.
Wat is nou je probleem? Dat je niet kan voorstellen dat een bedrijf zijn zaakjes op orde heeft? Dat elk bedrijf zijn personeel wel moet haten en zo moeilijk mogelijk moet maken?
Zoals ook andere schrijven, het probleem is meer dat jij de gebruikers lijkt te haten en het voor hun moeilijk wil maken om het voor jou iets makkelijker te maken. Want als gebruikers dus invidueel moeten gaan doorgeven welke programma's instellingen van behouden moeten blijven, gebeurd dat in de praktijk dus niet. En dus als jij de laptop nodeloos wiped, is die gebruiker extra tijd kwijt om alles weer goed in te stellen naar zijn/haar wensen.

En dan kan je stellen dat het allemaal in theorie automatisch zou kunnen, maar van wat ik begrijp uit jouw posts gebeurd het niet. Als Jan zijn laptop nu een bitlocker key ingevoerd moet krijgen, en jullie wipen die handel, heeft Jan dan nog al zijn Word instellingen bijvoorbeeld? Ja of nee.

[Reactie gewijzigd door Sissors op 16 april 2026 12:09]

Reageer
bzuidgeest
@Sissors16 april 2026 12:12
omdat je geen Bitlocker keys wil opslaan.
omdat we het niet nodig vinden om er duizenden en duizenden op te slaan. Een laptop is de ingang naar het netwerk, niet anders dan een thin client of een desktop. Als hij stuk gaat dan en de disc word vervangen dan moet alles ook terugkomen en is bitlocker key nieuw en dus je oude nutteloos.

Alleen een backup e.d. garanderen in alle gevallen een werkende machines.

Je roept veel over autocorrect. Maar dat zijn gewoon een stel ACL bestanden voor word. Die kan je gewoon heen en weer kopieren. Dat kan je voor elke gebruiker in een netwerk regelen.

Ik haat de gebruikers niet. Jou oplossing werkt voor 1 geval en daarna accepteer je verlies van data. Ik geeft de gebruiker een oplossing die altijd werkt in elk geval. Wie is er nou gebruiker vriendelijk hier? De enige moeite die je moet doen is wellicht 1 of 2 keer een ticket aanmaken om iets te laten automatiseren. Nou hoe onvriendelijk is dat zeg.... Jeetje.

Bij mijn methode is de gebruiker geen tijd kwijt om opnieuw in te stellen. Bij disk problemen, brand of wat dan ook. NOOIT. Dat is waar backups en alle omliggende systemen voor zijn.
Reageer
Sissors @bzuidgeest16 april 2026 12:17
Je roept veel over autocorrect. Maar dat zijn gewoon een stel ACL bestanden voor word. Die kan je gewoon heen en weer kopieren. Dat kan je voor elke gebruiker in een netwerk regelen.
MAAR DOE JE HET?

Kom op, dit is de samenvatting van deze hele 'discussie'. Ja alles kan. Ik heb dat nooit ontkent. Hel je kan een full disk backup maken van alle laptops en die terugzetten. Natuurlijk kan het. De vraag is: doen jullie het? Nee jullie doen het niet. Jullie geven de gebruiker nodeloos extra werk om zelf wat werk te besparen. Daarom is mijn conclusie dat jullie de gebruiker haten.
Jou oplossing werkt voor 1 geval en daarna accepteer je verlies van data.
Wat een onzin. Sorry, maar het opslaan van een Bitlocker key staat compleet los van dat data verder ook in een cloud staat.
Reageer
bzuidgeest
@Sissors16 april 2026 12:20
Wat een onzin. Sorry, maar het opslaan van een Bitlocker key staat compleet los van dat data verder ook in een cloud staat.
Jou hele argument hangt op verlies van data en settings, maar dat is een non-issue in wat ik doe. Dus hoeveel vaster wil je het hebben,
MAAR DOE JE HET?
Is dat niet wat ik hier doe, je vertellen wat we doen?
Reageer
JayPe @bzuidgeest16 april 2026 11:15
Klinkt als BOFH gedrag.
Reageer
bzuidgeest
@JayPe16 april 2026 11:49
Of gewoon als goede IT hebben,
Reageer
Glashelder @bzuidgeest16 april 2026 12:05
Nee het is typisch BOFH dit en gebruikers hebben hier terecht een pleurishekel aan.

Een complete herinstallatie omdat beheerders perse de bitlocker sleutels niet willen bewaren had ik tot op heden nog niet van gehoord. Absoluut kansloos beleid. Als er ergens iets opgeslagen wordt op een laptop dat niet gesynchroniseerd wordt naar een externe service en je bent de lul. Als een laptop gestolen wordt, stuk is.. so be it -> schuld van de gebruiker. Maar in dit geval, een foute update.. wat mij betreft stond je dan op straat :)

Het is een enorm kleine moeite om die keys op te slaan maar kan in potentie enorm waardevol zijn. Bewust niet opslaan is onvergefelijk. Als je dat soort keuzes maakt dan zeg je feitelijk: wij maken geen fouten (het is altijd de schuld van de gebruiker) en die houding zou ik niet tegen kunnen.

[Reactie gewijzigd door Glashelder op 16 april 2026 12:06]

Reageer
bzuidgeest
@Glashelder16 april 2026 12:18
. Als een laptop gestolen wordt, stuk is.. so be it -> schuld van de gebruiker
Maar onze oplossing werkt ook in dat geval en in die gevallen heb je niets aan de key opslaan. De backup methode moet voor alle gevallen werken.

Wij gaan toch niet van tienduizenden pc's een sleutel opslaan? Why? Backup terug en gaan. En backup is een combinatie van imagen, automatische installs, scripts e.d.

Sowieso is tegenwoordig werk lokaal houden al een no go, source control, document management systemen, lokaal heb je niets aan in een samenwerkorganisatie

Wat werkelijk onvergeeflijk is, is geen goed backups en data beleid hebben,

Wat werkelijk overgeeflijk is, is niet gewoon zorgen dat gebruikers hun settings altijd terugkrijgen. Alles settings kan je zorgen dat safe zijn. Een gebruiker hoeft helemaal niets te verliezen.

De lokale machine is niets meer dan een cache.

Waarom accepteer jij verlies van data in geval diefstal of brand of defect? Mijn oplossing werkt voor alle situaties. Die van jou niet. Dat is pas onvriendelijk.
Reageer
Cyberpuppy @bzuidgeest16 april 2026 12:09
Je weet dat roaming profiles al een tijdje zijn doodverklaard door microsoft zelf. Die dingen werken tot een arbitrare grens van 500mb en daarna begint random de ellende.

Kun je helemaal niks meer mee, zeker nu steeds meer rommel door programmeurs in de appdata wordt opgeslagen. Dus je profiel zit zo aan ettelijke GBs. Daarboven wordt het inloggen er niet bepaald sneller van.
Reageer
BasSchouten @bzuidgeest16 april 2026 10:33
En dan ga je Android builden vanaf je zwevende profiel? Zien we je over een paar dagen wel weer.

En je 10Gb/s video materiaal renderen? Moet je baas wel een extra glaslijntje voor je laten leggen.

Of al je blender materiaal op het zwevende profiel?

Natuurlijk zijn er genoeg kantoorbanen waar je met kleine documentjes werkt en dat wel mogelijk is. Maar er is ook genoeg werk waarbij lokale opslag een vereiste is. En dan heb je lang niet altijd al je lokale werk, ieder moment ergens op het netwerk staan. Dat nog even los van werk waarbij je veel onderweg bent en lang niet altijd een zeer snelle netwerkverbinding hebt. (Afgelegen lokaties, vliegtuigen, etc.)

Het is verstandig om te bedenken dat niet iedereen met hetzelfde werk te maken heeft als jij en een bitlocker sleutel verlies wel degelijk een wezenlijk probleem kan vormen voor mensen
Reageer
WargamingPlayer @Sissors16 april 2026 10:17
Data op laptop is zo ouderwets. Je hebt echt geen Citrix nodig, met bijvoorbeeld OneDrive/Google drive/Nextcloud Desktop sync je lokale data wanneer je niet met de cloud apps werkt. Zelfs de Office varianten werken gewoon rechtstreeks in de Cloud.

Hoe werk je anders met tagging, labelling, klassificering van data als het onbeheerd lokaal staat. Wat doe je als je device gestolen wordt en Bitlocker of andere encryptie staat niet aan?

Of zijn er nog mensen die dumps uit databases maken en die lokaal neerzetten omdat het “handig” is, of ontwikkelaars die met “echte data” op laptop werken?

Wanneer een IT’er nog zulke oplossingen bedenkt dan wordt het tijd voor bijscholing of afscheid nemen van IT.

Lekker makkelijk tegenover Veiligheid is al lang geen discussie meer. Beter moeilijk en veilig and makkelijk en onveilig.

Wij hebben de Bitlocker sleutels gewoon beschikbaar, maar soms is de keuze van een nieuwe image beter.

[Reactie gewijzigd door WargamingPlayer op 16 april 2026 10:18]

Reageer
Sissors @WargamingPlayer16 april 2026 10:30
Dus ook voor jou de vraag: Bij jullie IT slaan jullie dus de complete Appdata map op in de cloud? Zo nee, dan staat er dus data van de gebruiker alleen op de laptop en gaat die allemaal verloren bij een herinstallatie. En nee dat zouden geen documenten moeten zijn die kritisch zijn voor het bedrijf. Maar je bent anders zo uren bezig voor alle instellingen weer staan zoals ze stonden. En dat is niet het einde van de wereld, als je laptop in de fik is gevlogen ben je blij dat dat alles is wat het kost om door te gaan op je nieuwe laptop.

Maar als dit gedaan wordt omdat IT te lui is om Bitlocker sleutels op te slaan dan is het wel slecht.
Wat doe je als je device gestolen wordt en Bitlocker of andere encryptie staat niet aan?
Huh? Deze hele discussie gaat over Bitlocker sleutels. Waarom zou je die nodig hebben als Bitlocker niet aan staat?
Reageer
SirBlade @Sissors16 april 2026 12:14
Je hebt nooit de complete \appdata\ nodig. \appdata\local\ en \appdata\LocalLow\ bevatten in principe alleen cache, tempfiles, etc. De instellingen van applicaties worden opgeslagen in \appdata\remote\ en dat is slechts een miniscule deel van alles in \appdate\.
Reageer
dehardstyler @bzuidgeest16 april 2026 10:11
Waarom zou je niet de sleutel invoeren als je die gewoon hebt als goede IT beheerder?

Ownee, ik ga liever wachten tot de 600GB aan data weer gedownload is (VM's etc.)? Vervolgens alles weer geinstalleerd is. Terwijl ik gewoon de key heb?

Dat is misschien leuk als je niet zoveel doet met een PC. Maar ik vind het maar een kortzichtig idee.
Reageer
bzuidgeest
@dehardstyler16 april 2026 10:19
Wil jij half nederland af om overal sleutels in te kloppen? Of internationaal.

Zo te horen hebben veel mensen hun infra niet op orde. Jij hebt jou key misschien. Maar dat is geen bedrijfs situatie dat is een persoonlijke situatie. Alle receptionistes etc gaan die niet hebben. Daar is het gewoon F12 en een paar minuten later is alles schoon en klaar.
Reageer
dehardstyler @bzuidgeest16 april 2026 10:54
Daar hebben ze email voor uitgevonden. Mailtje maken met Encrypt: en versturen maar. Als het echt echt echt moet, kan je hem zelfs wel even via de telefoon doorgeven.
Reageer
bzuidgeest
@dehardstyler16 april 2026 11:07
En hoe mail je naar een gebruiker die niet in zijn laptop kan?
Reageer
dehardstyler @bzuidgeest16 april 2026 11:11
Misschien heb je er wel eens van gehoord, best een mooi uitvinding. Ze noemen het een "smartphone".
Reageer
bzuidgeest
@dehardstyler16 april 2026 11:12
Ok, die krijg je van mij. :) . Maar het is wat mij betreft een key die een gebruiker niet hoort te hebben. Security, persoonsgegevens en zo.
Reageer
mjl @bzuidgeest16 april 2026 10:55
Leuk voor een (goed ingerichte) zakelijke omgeving. De eindgebruiker zal in iedergeval een dag werk verliezen met wachten op het image inspoelen dan de oobe weer door te komen en te wachten tot alle applicaties weer geïnstalleerd en data gesynchroniseerd zijn. Vooral prive gebruikers gaan hier data mee verliezen, die hebben geen support afdeling…
Reageer
bzuidgeest
@mjl16 april 2026 11:08
Sorry maar dat kan in een paar minuten gepiept zijn met de juiste infra. En zoals het incident al zegt, het betreft vooral zakelijke machines.
Reageer
Thijs_Rallye @bzuidgeest16 april 2026 11:21
Superfijn dat die betroffen users dan weer een hele dag aan het kloten zijn hun software te moeten installeren via die draak van SCCM.
Reageer
SilentDecode @bzuidgeest16 april 2026 12:18
JIj snapt duidelijk niet dat consumenten er geen reet van snappen, en dus ook "netboot" niet snappen.

Vind het vooral komisch dat je zo'n reactie neerzet, maar dat je wel een zilveren 'plaque' hebt voor "politiek en recht".

[Reactie gewijzigd door SilentDecode op 16 april 2026 12:18]

Reageer
Honytawk @bzuidgeest16 april 2026 10:11
Tuurlijk, laten we werknemers 2 uur werkloos maken ipv 5-10 minuten.
Reageer
tvtech @bzuidgeest16 april 2026 10:58
Wel eens gehoord dat mensen tegenwoordig thuis werken op hun 100Mbit lijntje wat op hun werkplek 10Mbps blijkt? Dan is een herinstall echt geen minutenwerk.
Reageer
tvtech @bzuidgeest16 april 2026 11:21
Je oordeelt wel heel makkelijk allemaal
Reageer
bzuidgeest
@tvtech16 april 2026 11:22
En jij geeft wel makkelijk op? Als je thuiswerkt moet je toch gewoon de fasciliteiten verwachten? Dat is toch gewoon aan je werkgever? Ik zit op glas gbit up en down. Kan je prima over werken.

Ik zou verwachten dat een werkgever zijn mensen de werk tools bied. Mijn thuisopstelling is ook werkgever gesponserd.
Reageer
skapiche @bzuidgeest16 april 2026 11:36
Ja we faciliteren alles, behalve een internetaansluiting. Dat is voor de werknemer zelf, en als het niet werkbaar is dan komen ze maar naar kantoor. Daar is alles op orde.

Is het wel zo dat wij niet zo groot zijn en werknemers over het algemeen niet aan de andere kant van het land wonen.
Reageer
bzuidgeest
@skapiche16 april 2026 11:39
Dat is toch prima dan, misschien moet je dat aan @tvtech uitleggen. De internet lijn is nou niet het duurste en je moet er toch een hebben. En de internet lijn van de zaak zelf betalen jullie wel.
Reageer
jeroen3 @sus16 april 2026 09:43
Als je zo'n recovery USB hebt gemaakt, hoe groot is de kans dat die sleutel wijzigt en de USB niet meer werkt?
Reageer
bush @sus16 april 2026 09:49
ik snap je reactie, maar tegenwoordig staat er op een laptop/pc zoveel vertrouwelijke informatie dat je bitlocker (of een andere vorm van encryptie) eigenlijk altijd moet hebben aanstaan.

Bij diefstal zit je anders met een groot probleem.
Reageer
memphis @sus16 april 2026 10:46
1 van de grote redenen waarom de thuisgebruiker geen bitlocker encryptie moet krijgen.
Reageer
Vinxian @sus16 april 2026 11:57
Is het niet mogelijk om de naam van het geregistreerde account op te halen met het serienummer van het apparaat bij de klantenservice van Microsoft?

Dan moet je alsnog kunnen inloggen, maar dan weet je in ieder geval om welk account het gaat.
Reageer
barbarbar 16 april 2026 09:21
Afgelopen week ook flink geschrokken hierdoor. Was ver van huis, laptop was in standby gegaan (normaal niet aan de voeding), en ding wil opeens alle updates en firmware updates gaan doorvoeren. Meermaals de bitlocker melding gehad, en een keer de herstelcode moeten invoeren. Die had ik wel toegankelijk, maar via een keepass kluis, waarvoor je dan dus een andere pc moet gaan regelen om die uit te lezen. Weer een bevestiging om updates even uit te zetten voordat ik verder weg ben van huis.
Reageer
Zenomyscus @barbarbar16 april 2026 11:26
Dat is letterlijk hoe ik nu werk met mijn laptop. Ik heb de pro versie en kan 5 weken de updates uitzetten. Dat doe ik. Vervolgens krijg ik weer updates. "ah het is weer 5 weken geleden". Dan flink duimen dat er niks stuk gaat. Haten op nieuwe troep waar ik niet blij mee ben en vervolgens gelijk de updates weer pauzeren voor 5 weken. Dan heb ik er in elk geval 5 weken geen last van.
Reageer
Johan1967 16 april 2026 09:15
Dat gebeurde bij mij (als consument) bij de maart updates. Nu kon ik via mijn Microsoft account de code nog traceren, maar de gemiddelde consument zal met de handen in het haar zitten.
Reageer
Majesty @Johan196716 april 2026 09:27
Tsja en wat als je die key dus nergens kan terug vinden, gewoon alles wipen.
Reageer
Blokker_1999
@Majesty16 april 2026 09:29
Is letterlijk de enige optie. Er is geen manier om BitLocker te breken.
Reageer
supersnathan94
@Blokker_199916 april 2026 10:23
nooouuu dat valt dan dus ook wel weer mee ... helaas?

nieuws: Youtuber kraakt BitLocker-versleuteling binnen minuut met Raspberry Pi Pico
Microsoft is al langer op de hoogte van dit soort aanvallen, maar benadrukt dat aanvallers hiervoor 'voldoende tijd' nodig hebben. Stacksmashing had echter slechts 43 seconden nodig om de laptop open te maken, de TPM-sniffer aan te sluiten op de LPC Bus en de sleutel te stelen. De benodigde hardware om de TPM-sniffer te maken, kostte hem slechts tien dollar.
Soortgelijk ding heb ik ook wel eens gedaan met de iCloud vergrendeling op macbooks. iCloud lock deactiveren kon toen door gewoon de firmware te opnieuw te flashen. Kon je kant en klare devices voor kopen.
Reageer
DataGhost @supersnathan9416 april 2026 11:13
Juist de reden dat je de recovery-key moet invoeren is dat de TPM de encryptiesleutel weigert vrij te geven. Dus als je op dat punt bent aangekomen kan je zoveel sniffers aansluiten als je wilt, de key komt er niet uit en dus kan je het volume niet ontsleutelen. Daarom is de titel van dat bericht ook volslagen achterlijk. Het achterhalen van de key staat in de verste verte niet gelijk aan het kraken van een versleuteling.
Reageer
supersnathan94
@DataGhost16 april 2026 11:15
Nee dat is wel waar. Je moet wel verkeer op de lijn hebben ja. werkt ook niet bij TPM on die. Dan valt er ook weinig te sniffen.

MS is er wel van op de hoogte dat er bepaalde aanvallen bestaan, maar kennelijk is een pincode ook weer voldoende om die aanvallen tegen te gaan.
Reageer
Blokker_1999
@supersnathan9416 april 2026 12:15
Hiermee kraak je nog altijd BitLocker niet. De versleuteling op zich is niet gebroken. Aanvallers lezen de sleutel uit in transit tussen de TPM chip en de CPU. Hier zijn ook weer enkele vereisten voor nodig zoals een toegankelijke communicatiebus tussen die 2 elementen. Probeer dat maar eens met een fTPM bijvoorbeeld. En als je het binnen de minuut wenst te doen moet je de hardware heel goed kennen en voorbereid zijn.

En dan mag er nog geen PIN op je BitLocker zitten, want dan moet je eerst de PIN code ingeven voordat de (f)TPM de decryptiesleutel zelfs maar vrijgeeft.

Maar het feit dat BitLocker bij deze laptops om de recovery key komt vragen is omdat er dus iets mis is met de sleutels in de TPM. Na het invoeren van de recoverykey en het opstarten van Windows zal Windows de benodigde sleutels opnieuw opslaan in de TPM chip zodat je er bij een volgende boot geen last meer van hebt.
Reageer
maartenvdezz 16 april 2026 10:39
Ter context: PCR is een ruimte voor hashes die in verschillende banken opgeslagen worden door verschillende componenten. Eerste paar banken worden door de UEFI firmware berekend (firmware hash is PCR0, UEFI config is PCR1), bootloader kan dingen wegschrijven, OS kan hashes wegschrijven.

Met TPM kun je policies instellen dat bepaalde keys alleen vrijgegeven als het systeem in een bepaalde staat is opgestart. Zo kun je configureren dat niet iemand niet een ander/aangepast OS kan starten vanaf een USB en toegang krijgen tot de bitlocker-data.

Of Windows de cirkel daarin rond heeft en het onmogelijk is om in te breken in een bitlocker-systeem, geen idee (ik werk vooral met Linux en MacOS), maar de klassieke "pas de toegankelijkheidstool aan offline"-truc zal niet meer werken.
Reageer
bkor @maartenvdezz16 april 2026 11:28
Of Windows de cirkel daarin rond heeft en het onmogelijk is om in te breken in een bitlocker-systeem, geen idee (ik werk vooral met Linux en MacOS), maar de klassieke "pas de toegankelijkheidstool aan offline"-truc zal niet meer werken.
Je hebt TPM-interposer hardware welke het TPM verkeer kan uitlezen. Zie bijvoorbeeld https://github.com/nccgroup/TPMGenie voor een voorbeeld. Microsoft heeft hier geen bescherming tegen, ze raden b.v. aan om een pre-boot key te gebruiken (onpraktisch). Zie https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/countermeasures#attacker-with-skill-and-lengthy-physical-access. Linux heeft dankzij James Bottomley wel methodes om te beveiligen tegen zo'n TPM interposer. Zie bijvoorbeeld https://www.hansenpartnership.com/Impress-Slides/LinuxCon-Japan-2024/#/begin voor een presentatie uit 2024 en https://lwn.net/Articles/1064685/ voor een verslag van een presentatie uit 2026.

Het is me alleen niet duidelijk of een willekeurige Linux distributie alles bevat om te beveiligen tegen zo'n TPM-interposer. Oftewel: of alle patches daadwerkelijk in de kernel en andere software zitten.
Reageer
xenn99 16 april 2026 11:56
Ahja bitlocker, die beveiliging die meer problemen oplevert dan het oplost.
Microsoft zou dit standaard gewoon uit moeten zetten, 99% van de gebruikers heeft het niet nodig.
Reageer
Marc H 16 april 2026 09:53
Gewoon bitlocker uitschakelen.

Open start menu, typ in bitlocker.. Open "Bitlocker bestandsversleuteling" Klik op bitlocker uitschakelen.
Reageer
bzuidgeest
@Marc H16 april 2026 10:38
Geen optie als je werkt met gevoelige persoonsdata.
Reageer
Marc H @bzuidgeest16 april 2026 10:47
Ik zeg ook niet dat het voor iedereen een optie is, maar voor veel gebruikers heeft bitlocker amper/geen enkel nut en weegt het niet op tegenover de risico's.
Reageer
bzuidgeest
@Marc H16 april 2026 10:50
fair enough, ik encrypt mijn linux laptops ook niet. Te veel gedoe, voor te weinig nu. Op windows... staat per default aan en de key zit in mijn microsoft account. Vol automatisch.
Reageer
ymmv @bzuidgeest16 april 2026 11:22
Geen optie als het om een laptop van de zaak gaat, absoluut een optie als het om een prive-PC gaat.

Voor thuisgebruikers heeft Bitlocker geen enkele meerwaarde en is het enkel een groter risico op dataverlies omdat mensen fouten maken en recovery keys kwijtraken of toegang tot hun oude MS-account verliezen.
Reageer
bzuidgeest
@ymmv16 april 2026 11:24
Maar sommige mensen hebben ook prive data die ze niet uitgelekt willen hebben als ze hun hardware verliezen.
Reageer
Ryunoru @Marc H16 april 2026 10:36
Dat helpt niet als je bestanden al versleuteld zijn.
Reageer
Marc H @Ryunoru16 april 2026 10:44
Werkt wel.

De bestanden worden weer netjes ontsleuteld tijdens het uitschakelen.
Reageer
GamesBond 16 april 2026 09:30
Welk deel aan BitLOCKer hebben mensen niet begrepen?
Reageer
sanscorp @GamesBond16 april 2026 09:37
Het deel dat het stilzwijgend of onvoldoende uitgelegd door je strot wordt geduwd als opt-out en 99% van de gebruikers zal denken "oh extra veilig" en geen flauw benul hebben van wat het nu precies doet. Encryptie is zo'n woord wat de IT'ers wel kennen maar mijn gezin of buurman echt niet hoor.
Reageer
bzuidgeest
@sanscorp16 april 2026 09:51
En als de gebruiker netjes een backup aanlegde was er niets aan de hand. Als ze de data in de cloud zetten zoals de meesten doen tegenwoordig, niets aan de hand.

En versleuteling is een word dat mensen echt wel kennen tegenwoordig. Als microsoft bitlocker standaard uit zou zetten dan zou iedereen weer roepen dat microsoft zijn gebruikers niet veilig houd. Het is altijd wat.

Zelfs veel linux distros bieden in ieder geval versleuteling aan tijdens de install.
Reageer
supersnathan94
@bzuidgeest16 april 2026 10:24
Als ze de data in de cloud zetten zoals de meesten doen tegenwoordig, niets aan de hand
Maar dan is bitlocker ook praktisch waardeloos, want dan je data bijna gegarandeerd gelekt richting AI en overheidssystemen.
Reageer
bzuidgeest
@supersnathan9416 april 2026 10:26
Het is vooral voor dat niemand een disc uit een verloren laptop kan lichten en gecachte data inziet. Als je persoonsgegevens verwerkt laat je niets aan kans over.
Reageer
supersnathan94
@bzuidgeest16 april 2026 10:33
Tuurlijk, begrijpelijk ook, maar dan moet je er wel weer voor oppassen dat je je cloud ook redelijk beveiligd/versleuteld, want dat MS er rare dingen mee kan doen is ook wel bekend.
Reageer
sanscorp @bzuidgeest16 april 2026 10:36
Niet helemaal veilig of iets minder veilig v.s. permanent verloren data. Nee ook backups zijn echt niet vanzelfsprekend.
Reageer
bzuidgeest
@sanscorp16 april 2026 10:37
Nee backups zijn niet vanzelfsprekend maar in een bedrijf mag je verwachten dat ze het zijn.

En als je met persoonsdata werkt is veilig de enige optie. Of wil je meer lekken dan we al hebben?
Reageer
Andros @sanscorp16 april 2026 09:47
Zelfs als je het netjes vertaalt naar "versleuteling" zullen velen denken "ah ja, da's veilig" en toch gooien ze de sleutel weg. Dit los je niet zomaar op zonder wat opvoeding/opleiding en komt ook voor met smartphones en andere toestellen.
Reageer
Carlos0_0
@GamesBond16 april 2026 10:11
Het ding dat mensen het niet weten(Thuis gebruiker), ze melden aan met een account(Verplicht). zonder dat ze weten krijgen ze een herstel sleutel.
Deze slaan zed us nooit ergens anders veilig op, en raken ze kwijt.
Reageer
Carlos0_0
@GamesBond16 april 2026 10:12
Het ding dat mensen het niet weten(Thuis gebruiker), ze melden aan met een account(Verplicht). zonder dat ze weten krijgen ze een herstel sleutel.
Deze slaan zed us nooit ergens anders veilig op, en raken ze kwijt.

Dit is natuurlijk anders dan een zakelijke gebruik.
Reageer
Grompoe 16 april 2026 09:53
Op mijn werk pc heb ik dit al vele malen gehad en ook een keer op mijn prive pc.
Inmiddels aan het voorbereiden om privé de overstap naar Linux te maken...
Reageer
Nvidic @Grompoe16 april 2026 10:10
Had zelf thuis alles op Windows 11 met een Outlook.com account draaien. Heb na het recente Windows 11 vertragingen drie Maanden geleden twee Windows 11 computers overgezet naar Bazzite. Mijn Surface Pro 7 omgewisseld voor een Mac Book Neo zodat ik Mac OS ook maar eens een keer kan gaan proberen. De recenste singleplayer games draaien allemaal perfect via Steam op Bazzite en ik gebruik Windows alleen nog maar Zakelijk. Heb weer het gevoel dat ik eigenaar van mijn eigen computers geworden ben. Zeker het proberen waard!
Reageer
Carlos0_0
@Nvidic16 april 2026 11:10
Ja ik heb zelf ook een laptopje van het werk, die we nu toch niet meer gebruiken even in gebruik.
Ik heb dan toevallig Zorin Os erop gezet, eerst had ik de volledige install gedaan. Maar daar krijg je echt te veel troep mee(Maar goed het is zeker volledig te nomen :) ).

Ik heb nu de normale Basic install gedaan, Steam erop gezet via de store. En daar eens wat spellen van installeren.
Ook Lutris erop gezet voor EA games, zodat ik C&C generals wellicht kan installeren.

Ik speel eigenlijk nog amper wat op de pc, en zijn voornamelijk wat oudere spellen(De rest is toch op de playstation of switch.
Maar zo nu en dan een oud spelletje spelen is wel leuk, Rollercoaster Tycoon2, C&C Generals / RA2, Warcraft 3(Als kan uiteraard Reforged).
Al zie ik de Blizzard launcher niet in Lutris staan, dus weet niet of dit goed werkt onder Linux?.
Reageer
Fermion 16 april 2026 09:38
Kan iedereen maar één advies geven, niet updaten en ga terug naar W10 of ga naar MacOS (of Linux). Maar ditch Windows 11, het is niet meer te doen.

99% van de mensen zullen dit probleem niet begrijpen, en je wilt het ook niet begrijpen.

[Reactie gewijzigd door Fermion op 16 april 2026 09:41]

Reageer
bzuidgeest
@Fermion16 april 2026 09:52
Niet te doen? Wat kunnen mensen overdrijven.. Ik heb windows 10, 11 en linux (mint) laptops. Allemaal zonder problemen. Ze werken gewoon vlekkeloos.

99% begrijpt een probleem niet -> wellicht is er dan geen probleem. Of is het niet het OS maar de gebruiker :)
Reageer
supersnathan94
@bzuidgeest16 april 2026 10:27
Allemaal zonder problemen. Ze werken gewoon vlekkeloos.
Gezien de hoeveelheid nieuwsberichten over issues met windows updates de laatste maanden zijn jij (en Bor) een van de weinigen.
Of is het niet het OS maar de gebruiker
klaarblijkelijk het OS. Anders hadden we dit artikel niet gehad he? 8)7
Reageer
bzuidgeest
@supersnathan9416 april 2026 10:28
de reactie gaat niet over het artikel het gaat over de comment waar ik op reageer dat met linux alles is opgelost of dat dit magisch geen issues kent. 8)7
Reageer
supersnathan94
@bzuidgeest16 april 2026 10:31
Dan nog is het gewoon niet het geval. Het issue in het artikel kun je erg weinig aan doen als gebruiker. Het wordt je ook geforceerd opgedrongen (is OOB setting van windows 11) bij setup.

Dit ding is de afgelopen drie jaar ieder jaar een keer terug gekomen. Laatst heeft tweakers nog een artikel geschreven over de update kwaliteit van Microsoft en wat er allemaal gebeurt. Het feit dat artikel alelen over MS windows wordt geschreven en niet ook over Linux en MacOS geeft wel aan dat de issues gewoon vaker een serieuze impact hebben bij MS producten. Dat kun je toch ook niet ontkennen dat het de laatste paar jaar gewoon schering en inslag is geworden met issues en Out of band Patches?
Reageer
bzuidgeest
@supersnathan9416 april 2026 10:32
De bewering was dat windows "niet meer te doen was" Veel plezier als jij er andere dingen bij wil halen. Maar dat heeft geen nut. Goedendag
Reageer
supersnathan94
@bzuidgeest16 april 2026 10:40
Veel plezier als jij er andere dingen bij wil halen.
Dat zijn gewoon dingen die dat beeld ondersteunen. Als je iedere maand te horen krijgt dat er weer eens een update in het water is gelopen, ga je dan als IT-er nog pleiten voor updates? nee, dan ga je eerst de kat uit de boom kijken en een maand later testen. MS is daadwerkelijk een belemmering aan het worden voor je bedrijfsvoering op deze manier.

Ik heb ook windows 11. Ooit met een desktop aangeschaft voor werk, apparaat heeft het prima gedaan, maar heeft ook ontzettend veel bugs gehad en veel werk gekost (updates at random die dan de boel gewoon uitzetten). Ik zou voor werk nooit meer een windows machine kiezen ook vanwege de vele issues die ik er mee gehad heb. Onder andere ook door de voorgaande bitlocker issues, ben je gewoon met zijn allen een halve dag kwijt. Dat is duur geld hee.
Reageer
JacOwns7 @supersnathan9416 april 2026 11:17
Als IT-er mag ik hopen dat je updates eerst op een OTA omgeving even laat draaien om de kat uit de boom te kijken...
Reageer
supersnathan94
@JacOwns716 april 2026 11:27
Zeker, maar je hebt maar 30 dagen de tijd om updates via GPO uit te stellen, Je moet dus echt goed je tests op orde hebben wil je dat stramien bij kunnen blijven houden.

Het is echt niet zo simpel als "oh even in OTA laten draaien" want wie is je OTA omgeving? Niet de gebruikers zelf, dus je zult wel een serieuze omgeving ernaast nodig waar je ook echt gebruikersscenario's test.

Het ding is alleen een beetje, als er dan een probleem aan het licht komt, wat ga je dan doen? Je hebt maar 30 dagen de tijd om de update uit te stellen, dus zolang Microsoft niet met een oplossing komt binnen die 30 dagen (en de Out of band updates zitten soms echt wel op dat randje) dan heb je alsnog een stuk systeem en je moet die nieuwe update ook weer testen plus je volgende patch tuesday wel weer halen.

Als het allemaal goed blijft gaan is het niet zo moeilijk, maar gezien het nu bijna iedere maand wel fout gaat is dat toch wel een hoop extra druk op je IT.
Reageer
Ryunoru @bzuidgeest16 april 2026 10:37
Het gaat om problemen veroorzaakt door Windows Update. De gebruiker is niet het probleem. Tenzij je wil argumenteren dat de gebruiker geen Windows Updates moet installeren... waar opzich wel wat over te zeggen is.
Reageer
Honytawk @Fermion16 april 2026 10:50
Tuurlijk, laten we niet ondersteunde OSen gebruiken...

99% van de mensen gaan met Windows 11 ook geen problemen ondervinden, dus daarmee dat ze jouw mening inderdaad niet begrijpen.
Reageer
JacOwns7 @Fermion16 april 2026 11:15
99% van de mensen zullen dit probleem niet begrijpen, en je wilt het ook niet begrijpen.
En niet krijgen, als je de tekst had gelezen. Dit betreft een zeer specifieke configuratie. Windows 10 en 11 zijn bijna identiek. Hoe kan het toch dat er zoveel (Tweakers notabene) er niet mee om lijken kunnen te gaan.. Zelfs mijn buurman van 80 is zelfredzaam in Win11..
Reageer
Ryunoru 16 april 2026 10:35
Ah, is het weer zo ver? Je hoeft het niet eens meer op je systeem in de gaten te houden. Op Tweakers merk je vanzelf wanneer ze weer een nieuwe update uitbrengen... met alle gevolgen van dien.
Reageer

Om te kunnen reageren moet je ingelogd zijn