We zien de laatste tijd steeds vaker dat de Bitlocker herstelcode wordt gevraagd na het (automatisch) installeren van Windows updates. Bitlocker is in principe bedoelt om te activeren na een aanpassing van de hardware, zodat de SSD niet uitgelezen kan worden door derden. Je zou dit daarom niet verwachten na een software update. Toch is dit te verklaren.
BitLocker standaard ingeschakeld in 24H2
Vanaf Windows 11 24H2 activeert Microsoft automatisch apparaatversleuteling (BitLocker) tijdens installatie of herinstallatie. Dit betekent dat systemen die eerder geen encryptie hadden, na de update ineens versleuteld zijn. Bij wijzigingen in bootconfiguratie of beveiligingscomponenten vraagt BitLocker om de herstelsleutel om te voorkomen dat onbevoegde toegang ontstaat. Elke computer die door Mega Bite wordt geïnstalleerd, wordt standaard voorzien van Bitlocker. De sleutel slaan wij voor je op in onze digitale kleus.
TPM- en Secure Boot wijzigingen
De update kan wijzigingen in TPM (Trusted Platform Module) of Secure Boot veroorzaken. BitLocker koppelt sleutels aan TPM PCR-waarden; als deze veranderen door firmware- of OS-updates, ziet BitLocker dit als een mogelijke aanval en schakelt herstelmodus in.
Compatibiliteitsconflict met Intel TXT
Bij sommige apparaten veroorzaakt de cumulatieve update een crash van het LSASS-proces door een conflict met Intel Trusted Execution Technology (TXT). Dit triggert BitLocker-herstel omdat de integriteit van het systeem niet kan worden bevestigd.
Device Encryption en policy-instellingen
Als Device Encryption actief is (standaard op veel laptops), is de kans groter dat je na een update om een herstelsleutel wordt gevraagd.