Microsoft bevestigt nieuwe BitLocker-bug in nieuwste Windows- en Server-updates

Microsofts update van april 2026 veroorzaakt BitLocker-herstel op sommige Windows Server 2025-apparaten. Admins worden geblokkeerd bij de eerste herstart na het installeren van KB5082063. Microsoft bevestigt het probleem en geeft workarounds terwijl een permanente fix in ontwikkeling is.

Microsoft heeft op 15 april 2026 bevestigd dat sommige Windows Server 2025-apparaten in de herstelmodus van BitLocker terechtkomen na installatie van de beveiligingsupdate van april 2026, KB5082063, die op 14 april is uitgebracht. Het probleem treft ook Windows 11-apparaten die updates KB5083769 en KB5082052 onder dezelfde omstandigheden hebben geïnstalleerd.

Wanneer een apparaat naar BitLocker herstel gaat, is een 48-cijferige herstelsleutel vereist voordat het besturingssysteem kan worden geladen. Microsoft zegt dat de herstelprompt alleen verschijnt bij de eerste herstart na de update. Latere herstarts activeren de prompt niet opnieuw, zolang er geen verdere wijzigingen in het groepsbeleid worden aangebracht.

Wie wordt getroffen

Volgens Microsoft is het onwaarschijnlijk dat persoonlijke apparaten door het probleem getroffen worden. Het treedt alleen op wanneer alle vijf specifieke voorwaarden tegelijkertijd aanwezig zijn. BitLocker moet ingeschakeld zijn op de OS-schijf. De Groepsbeleid-instelling voor TPM (Trusted Platform Module) platformvalidatie moet worden geconfigureerd om PCR7 op te nemen.

Het systeeminformatiehulpmiddel msinfo32.exe moet Secure Boot State PCR7 Binding als "Niet mogelijk" melden Het Windows UEFI CA 2023 certificaat moet aanwezig zijn in de Secure Boot Signature Database. En het apparaat mag niet al de 2023-ondertekende Windows Boot Manager uitvoeren. Deze configuraties komen meestal alleen voor op systemen die door bedrijven worden beheerd.

Wat Microsoft aanbeveelt

Microsoft raadt aan de PCR7 Group Policy-configuratie te verwijderen voordat u de KB5082063-update implementeert. Beheerders moeten ook bevestigen dat BitLocker-bindingen het PCR7-profiel gebruiken. Voor degenen die het beleid niet kunnen verwijderen voordat ze installeren, heeft Microsoft een Known Issue Rollback (KIR) beschikbaar gesteld via de zakelijke ondersteuningskanalen.

De KIR voorkomt de automatische overschakeling naar de 2023 Boot Manager en voorkomt dat het BitLocker-herstelscherm wordt geactiveerd. Een permanente oplossing is in ontwikkeling en zal in een toekomstige Windows-update worden toegevoegd.

Los daarvan heeft Microsoft ook aangegeven dat sommige Windows Server 2025 apparaten er niet in slagen om de update van april volledig te installeren, waarbij de foutcode 800F0983 verschijnt tijdens de installatie. Het bedrijf zegt de hoofdoorzaak te onderzoeken.

Een terugkerend probleem

Dit is de vierde keer in vier jaar dat een Patch Tuesday update onverwachte BitLocker herstelvragen veroorzaakt. Hetzelfde probleem dook op in augustus 2022 met KB5012170, opnieuw in juli 2024 voor alle ondersteunde Windows-versies, en meest recentelijk in mei 2025 op Windows 10-systemen.

Ondanks het bekende probleem raadt Microsoft beheerders niet aan om de update van april over te slaan. De release verhelpt 167 kwetsbaarhedenwaaronder twee 'zero-day'-lekken, waarvan er één actief werd misbruikt voordat de patch beschikbaar was.