Beveiligingsupdates van deze maand voor Windows 11 blijken een probleem met opslagversleuteling BitLocker te geven. Onder bepaalde, volgens Microsoft zeldzame omstandigheden blokkeert Windows en vraagt het gebruikers om de BitLocker-herstelsleutel.
Deze blokkade zou eenmalig voorkomen, stelt Microsoft in zijn informatiebulletin over de updates. Na invoering van de herstelsleutel kan Windows 11 weer veilig starten en is het versleutelde opslagstation weer blijvend toegankelijk. De oorzaak zit in een opeenstapeling van factoren waardoor Windows uiteindelijk de veiligheid van het systeem niet meer kan verifiëren.
Dit probleem raakt 'een beperkt aantal systemen', verklaart Microsoft. Op die systemen moeten vijf zaken allemaal van toepassing zijn. Allereerst moet BitLocker ingeschakeld zijn voor het opstartstation van Windows 11. Daarnaast moet een specifieke groepsbeleid voor TPM-platformvalidatie en UEFI-firmware geconfigureerd zijn met daarbij ook PCR7-binding, die de integriteit van de opstartvolgorde controleert.
Ten derde moet die PCR7-binding volgens Windows' Systeeminformatie 'niet mogelijk' zijn. Ook moet op het apparaat een UEFI-beveiligingscertificaat uit 2023 aanwezig zijn in de handtekeningendatabase voor beveiligde boot. Daardoor kan een apparaat de Windows Boot Manager met digitale handtekening uit 2023 als standaard gebruiken.
Ten slotte moet het apparaat die bootmanager met beveiliging uit 2023 niet al draaien voordat de problematische updates zijn toegepast. Als al deze factoren van toepassing zijn, kan een Windows 11-computer ineens vragen om de herstelsleutel voor BitLocker. Microsoft stelt dat het onwaarschijnlijk is dat dit gebeurt op apparaten van consumenten. Het probleem kan wel voorkomen op systemen in beheer van IT-afdelingen bij bedrijven en organisaties.
Source: Tweakers.net