- BitLocker vraagt om de sleutel als er wijzigingen worden gedetecteerd Boot o hardware, vooral als USB-C/Thunderbolt vóór het opstarten is ingeschakeld.
- De herstelsleutel bevindt zich in Microsoft (MSA), Azure AD/AD, een papieren exemplaar of een bestand. Zonder deze sleutel is ontsleuteling niet mogelijk.
- Veilige oplossingen: BitLocker in-/uitschakelen, BIOS/UEFI aanpassen (pre-boot TBT/USB-C uitschakelen), BIOS/Windows bijwerken en Secure Boot aanvinken.
- Als laatste redmiddel kunt u Windows opnieuw installeren. Voor encryptie is de sleutel nodig om legitiem toegang te krijgen tot gegevens of deze te herstellen.
Als u elke keer dat u uw pc aanzet een blauw scherm ziet met de vraag om de BitLocker-herstelsleutel, hoeft u zich geen zorgen te maken: het is niet (noodzakelijkerwijs) een fout. In de meeste gevallen is het een opzettelijke veiligheidsmaatregel van Windows om uw gegevens te beschermen wanneer er wijzigingen worden gedetecteerd tijdens het opstarten of de hardware.
Dit gedrag is misschien verrassend als u het nog nooit eerder hebt meegemaakt, maar het is gebaseerd op een logica: BitLocker slaat een 'snapshot' op van de systeemstatus wanneer het wordt geactiveerd en als er iets verandert (BIOS/UEFI, apparaten, opstartmenu...), gaat naar de herstelmodus en vraagt om het wachtwoord. Hieronder leest u waarom dit gebeurt, waar u het wachtwoord kunt vinden en hoe u ervoor kunt zorgen dat u dat scherm niet meer ziet bij het opstarten, zonder de veiligheid in gevaar te brengen.
Wat is het BitLocker-herstelscherm en waarom wordt het weergegeven?
BitLocker is een Windows-schijfversleuteling die is ontworpen om ongeautoriseerde toegang te voorkomen. Wanneer het een andere opstartstatus detecteert dan de oorspronkelijk geregistreerde, wordt u gedwongen de 48-cijferige herstelsleutel om te valideren dat de persoon die het team start, ook degene is die het team moet starten.
Wijzigingen die de herstelmodus activeren, zijn onder meer wijzigingen aan de firmware (BIOS/UEFI), de opstartvolgorde of het opstarttype, belangrijke updates, het aansluiten van nieuwe opslagapparaten en opslagruimte of docking bij het opstarten, of het inschakelen van opties zoals USB-C/Thunderbolt-boot in de voorstart.
Op computers met poorten USB-C en Thunderbolt 3 (TBT)-poorten hebben TBT-boot- en pre-boot-ondersteuning ingeschakeld, waardoor deze poorten aan de lijst met opstartbare apparaten zijn toegevoegd. BitLocker interpreteert dit als een mogelijk extern toegangspad en vraagt bij elke opstart om het wachtwoord, wat vanuit veiligheidsoogpunt normaal is.
Let op: Als u deze opties uitschakelt zodat BitLocker u geen meldingen meer stuurt, is het enige neveneffect dat u niets kunt doen. PXE-opstarten van USB-C/TBT of van sommige docks die deze poorten gebruiken. Als je het niet nodig hebt, is het voor veel gebruikers een acceptabel compromis.
Waar u uw BitLocker-herstelsleutel kunt vinden
Zoek de sleutel voordat u iets wijzigt. Dit is de meest directe manier om de herstelmodus te verlaten en zonder gedoe aanpassingen door te voeren. Microsoft centraliseert de mogelijke locaties op een aantal betrouwbare plekken waar uw sleutel te vinden is. automatisch een back-up gemaakt of handmatig worden opgeslagen.
Werk- of schoolaccount (Azure AD): Als uw team wordt beheerd door een organisatie, meldt u zich aan bij uw Azure AD-profiel. Azure Active DirectoryDaar ziet u het apparaat en de optie 'BitLocker-sleutels ophalen' om de bijbehorende sleutel te bekijken. Geef de sleutel-ID op als de beheerder daarom vraagt.
Persoonlijk Microsoft-account (MSA): Ga vanaf een ander apparaat naar de herstelportal op account.microsoft.com/devices/recoverykey en meld u aan met het juiste e-mailadres. Als u meer dan één e-mailadres op uw apparaat gebruikt, controleer dan alle accounts die aan elkaar gelinkt kunnen zijn, ook die welke u niet meer actief gebruikt.
Andere typische locaties: Veel mensen hebben de sleutel afgedrukt toen ze BitLocker inschakelden of opgeslagen als een PDF/bestandControleer uw documenten, de printlade of de map waarin u gewoonlijk informatie op uw pc opslaat. Deze informatie kan zich ook in Active Directory (indien beheerd door IT), Azure AD of in uw Microsoft-account bevinden.
Handige tip: Tik op het BitLocker-herstelscherm op Esc om geavanceerde opties te bekijken; de sleutel-ID wordt daar weergegeven. Noteer deze of maak een foto en geef deze aan uw beheerder, zodat deze de exacte sleutel in AD/Azure AD kan vinden.
Veelvoorkomende symptomen en oorzaken van de lus die om de sleutel vraagt
Het symptoom is duidelijk: elke keer dat u opstart, verschijnt het BitLocker-scherm met de vraag om de sleutel, ook al werkt de computer prima zodra u deze invoert. Dit gedrag valt meestal samen met een van deze triggers:
- Wijzigingen in firmware of opstarten: BIOS/UEFI bijwerken, beveiligd opstarten in- of uitschakelen, schakelen tussen grafische en oudere opstartmenu's of de opstartvolgorde wijzigen.
- Nieuwe randapparatuur of USB-C/TBT-docks: sluit docks/externe opslag aan bij het opstarten, of laat de Thunderbolt 3/USB-C preboot en opstartondersteuning via die poorten.
- Verkeerde wachtwoordpogingen: Na een aantal mislukte pogingen forceert BitLocker de herstelmodus voor de beveiliging.
- Optie voor automatisch ontgrendelen ingeschakeld: in bepaalde gevallen kan dit inconsistenties genereren waardoor het herstelscherm wordt weergegeven en opnieuw.
- Problematische software/updates: een Windows-update of chauffeurs die de start beïnvloedt, of een BIOS verouderd is en conflicten veroorzaakt.
Voorbeeld uit de praktijk: een gebruiker met een HP-laptop meldde dat het systeem, na een onregelmatige opstart en een blauwe waarschuwing, bij elke herstart om de BitLocker-sleutel vroeg. De diagnose was in orde, maar de lus bleef bestaan. Dergelijke gevallen worden meestal opgelost. het register bijwerken BitLocker-configuratie of opstartopties aanpassen.
Snelle en veilige oplossingen (aanbevolen)
Begin met de minst ingrijpende methode en houd uw sleutel bij de hand voor de veiligheid. Deze acties zijn bedoeld om BitLocker de nieuwe systeemstatus te "leren", zodat het niet langer om de sleutel vraagt. bij elke start.
1) BitLocker opschorten en hervatten
Nadat u de sleutel hebt ingevoerd en bent ingelogd op Windows, gaat u naar Start > Configuratiescherm > BitLocker-stationsversleuteling. Klik op de systeemschijf (meestal C:) op "Bescherming opschorten", wacht een paar minuten en klik vervolgens op "Bescherming hervatten". Dit werkt de waarden van TPM en de BitLocker-opstartbasislijn.
Voorzorgsmaatregelen: Voordat u grote wijzigingen aanbrengt, zoals het bijwerken van het BIOS, het toevoegen van hardware of het wijzigen van de opstartvolgorde, schorst BitLocker En als je klaar bent, hervat je het programma. Zo voorkom je dat er onnodig om je wachtwoord wordt gevraagd.
2) Koppel de randapparatuur los bij het opstarten
Verwijder USB-sticks, docks of externe schijven wanneer u de computer inschakelt. Als u Thunderbolt/USB-C-docks gebruikt, probeer dan op te starten met alleen de stroomadapter aangesloten. Soms is een schone start voldoende om de computer correct op te starten. BitLocker springt niet.
3) BIOS/UEFI en Windows updaten
Een verouderd BIOS kan inconsistente opstartresultaten veroorzaken. Download de nieuwste BIOS-/firmwareversie van de fabrikant en voer de update uit volgens de instructies. Installeer ook alle updates Windows-functies beschikbaar via Instellingen > Windows update.
4) Veilig opstarten instellen
Sommige computers vragen niet meer om het wachtwoord wanneer u Secure Boot in- of uitschakelt. Open de UEFI-firmware via Geavanceerde opties en wijzig Secure Boot in Ingeschakeld/Uitgeschakeld (of "Alleen Microsoft(als uw apparaat dit toelaat). Sla het op en test het. Als het niet verbetert, herstel dan de instelling.
BIOS/UEFI-instellingen voor USB-C en Thunderbolt die BitLocker activeren
Als uw laptop of desktop USB-C/TBT-opstarten ondersteunt en Thunderbolt pre-boot vanuit de fabriek is ingeschakeld, kunnen deze poorten in de lijst met opstartbare apparaten terechtkomen en vraagt BitLocker bij elke keer opstarten om een wachtwoord. Het uitschakelen van deze opties is meestal de oplossing. effectiever.
Richtlijnstappen (kan per model verschillen):
- Zet uw computer aan en ga in het opstartscherm naar BIOS/UEFI met F2 of F12.
- Zoek Systeeminstellingen > Systeeminstellingen USB (of iets dergelijks) en pas deze wijzigingen toe:
- Schakel Thunderbolt 3 of USB Type-C-opstartondersteuning uit.
- Schakel de voorstart USB Type-C of Thunderbolt 3 (inclusief “PCIe achter TBT”).
- Schakelt de UEFI-netwerkstack uit.
- In POST-gedrag > Snelle start, kies “Uitgebreid”.
Belangrijk: Als u deze wijzigingen aanbrengt, kunt u niet meer opstarten via PXE vanaf USB-C/TBT-apparaten of docks. Als uw omgeving geen PXE vereist, is het verlies kleiner dan wanneer u de herstelscherm elke dag
Computers en accessoires waarbij dit gedrag is gedocumenteerd, zijn onder meer de Dell Dock WD15, Dell Thunderbolt Dock TB16, Dell Precision Dual USB-C Thunderbolt Dock TB18DC en portable zoals Latitude 5280/5288, 7280, 7380, 5480/5488, 7480, 5580 en Precision 3520. Bij andere fabrikanten (HP, Lenovo, ASUS, enz.) De menu's kunnen verschillende namen hebben, maar het idee is equivalent.
Geavanceerde opties van het herstelscherm
Als u nog steeds op het blauwe scherm van BitLocker staat, drukt u op Esc om meer opties te openen, kiest u 'Deze schijf overslaan' en gaat u naar Problemen oplossen > Geavanceerde opties, wat onderdeel is van de Windows 11 herstelomgevingVanaf hier kunt u verschillende aanpassingen maken zonder Windows te hoeven openen, maar wees altijd voorzichtig en houd uw herstelsleutel.
Beschermers tijdelijk ontgrendelen en uitschakelen
opent Opdrachtprompt en voer het uit, waarbij u de schijf vervangt als deze niet C: is
manage-bde -unlock C: -rp TU-CLAVE-DE-48-DIGITOS
Als het volume ontgrendeld is, kunt u tijdelijk uitschakelen de beschermers om een normale opstart mogelijk te maken terwijl u de instellingen aanpast:
manage-bde -protectors -disable C:
Vergeet niet om na het opnieuw opstarten en het toepassen van wijzigingen (bijvoorbeeld BitLocker in-/uitschakelen of BIOS controleren) de schijfbeveiliging weer in te schakelen via het BitLocker-dashboard om de beveiliging te behouden. actieve bescherming.
Terug naar het oude opstartmenu
Op sommige computers activeert het grafische opstartmenu van Windows 10/11 BitLocker. Als u zich aanmeldt bij Windows, opent u CMD als beheerder en naar de BCD manipuleren, rennen:
bcdedit /set {default} bootmenupolicy legacy
Met het klassieke “legacy”-menu zien sommige gebruikers de herstelmodus bij elke startup. Als je geen verandering opmerkt, kun je die later terugdraaien.
Automatisch ontgrendelen uitschakelen
Controleer via Configuratiescherm > BitLocker-stationsversleuteling of op uw systeemschijf de melding 'Automatisch ontgrendelen uitschakelen' wordt weergegeven. Schakel dit uit en start het apparaat opnieuw op. In bepaalde configuraties kan automatisch ontgrendelen problemen veroorzaken. inconsistenties die de aanvraag voor een sleutel afdwingen.
Veilig opstarten vanuit UEFI in-/uitschakelen
Start het systeem opnieuw op via Geavanceerde opties > UEFI-firmware-instellingen, ga naar Beveiliging en stel Beveiligd opstarten in op Ingeschakeld/Uitgeschakeld (of 'Alleen Microsoft'). Sla het systeem op met F10 en test het. Deze wijziging herschrijft meestal de opstartparameters die BitLocker valideert. verkoudheid.
Als niets werkt: problematische updates, herinstallatie en herstel
Als de lus is begonnen na een bepaalde update, kunt u overwegen deze te verwijderen via Instellingen > Bijwerken en beveiliging > Geschiedenis bekijken > Verwijder updatesen installeer het daarna opnieuw. Pauzeer BitLocker vóór de update en hervat het daarna.
Als laatste redmiddel kan dat formatear de C:-schijf en installeer Windows opnieuw. Open vanuit Geavanceerde opties de opdrachtprompt en gebruik DiskPart om te wissen en te formatteren, of start op vanaf een installatie-USB. Houd er rekening mee dat hierdoor gegevens worden gewist: als uw schijf versleuteld was, moet u herstelsleutel om eerder toegang te krijgen tot de informatie of deze op te halen.
Over herstelsoftware: hulpmiddelen zoals WinPE-herstel-edities (bijvoorbeeld professionele BitLocker-oplossingen) kunnen helpen bij het kopiëren van gegevens van een versleutelde schijf, maar alleen als u de 48-cijferige sleutel verstrekt. Zonder die sleutel is er geen legitieme manier om ontcijferen BitLocker-inhoud. Wees op je hoede voor handleidingen die beloven "BitLocker te omzeilen zonder de sleutel".
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.