Bitlocker recovery key werkt niet - Windows clients

Vraag

maandag 5 juli 2021 14:53

Acties:

0 Henk 'm!

Verslaaft aan Tweakers

Topicstarter

Mijn vraag

Ik heb een zakelijke laptop waarin ik zojuist een upgrade naar W10 V1909 heb uitgevoerd.
Na deze upgrade accepteerd Windows mijn Bitlocker recovery key niet meer.
Het is 100% een correcte recovery key. Mogelijk was het C: volume nog aan het encrypten op het moment van de upgrade, maar Windows heeft hier geen waarschuwingen over gegeven.

Relevante software en hardware die ik gebruik
Dell Latitude 7280 (TPM disabled)
Windows 10 V1909

Wat ik al gevonden of geprobeerd heb
manage-bde unlock C: -RecoveryPassword (48-digit key)
Deze accepteert de key niet. Wat wel opvalt is dat het een paar seconden duurt voor hij weet dat hij de key weigert.
Wanneer ik een foute key ingeef duurt het slechts een halve seconde of minder voor hij weet dat het niet werkt.

Ik zit redelijk vast. Heeft iemand een idee? Ik heb inmiddels vele technet pagina's gelezen, maar eigenlijk suggereerd alles dat het gewoon moet werken óf dat de recovery-key fout is, maar de key is echt correct.

Mijn tweakblog: http://johan9711.tweakblogs.net/

Alle reacties

maandag 5 juli 2021 14:59

Acties:

+3 Henk 'm!

HKLM_

Heb je (of je ICT afdeling) de recovery key ook in Azure AD opgeslagen? Het kan ook zijn dat key rotatie aanstaat en dan kan je daar de nieuwe key vinden.

Cloud ☁️

maandag 5 juli 2021 15:00

Acties:

0 Henk 'm!

Johan9711

Verslaaft aan Tweakers

Topicstarter

HKLM_ schreef op maandag 5 juli 2021 @ 14:59:
Heb je (of je ICT afdeling) de recovery key ook in Azure AD opgeslagen? Het kan ook zijn dat key rotatie aanstaat en dan kan je daar de nieuwe key vinden.

Key rotation staat uit, we hebben de key niet in AD opgeslagen staan maar wel in McAfee ePO. Deze is vandaag om 10 uur in de ochtend nog opnieuw opgehaald van de client naar de server, dus is zeker weten actueel.

Mijn tweakblog: http://johan9711.tweakblogs.net/

maandag 5 juli 2021 15:03

Acties:

+1 Henk 'm!

HKLM_

Johan9711 schreef op maandag 5 juli 2021 @ 15:00:
[...]

Key rotation staat uit, we hebben de key niet in AD opgeslagen staan maar wel in McAfee ePO. Deze is vandaag om 10 uur in de ochtend nog opnieuw opgehaald van de client naar de server, dus is zeker weten actueel.

Ik heb eigenlijk nog nooit gehad met bitlocker dat een recovery key niet werkte. Wat wel kan is dat je bent gaan encrypten EPO de key nog niet heeft en toen ben gaan upgraden dan heb je nu toch een oude key die niet werkt en is een format de enige oplossing en en terug zetten van je backup.

Cloud ☁️

maandag 5 juli 2021 15:20

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Johan9711 schreef op maandag 5 juli 2021 @ 14:53:
...Ik heb een zakelijke laptop waarin ik zojuist een upgrade naar W10 V1909 heb uitgevoerd...

Upgrade? Naar een twee jaar oude windows versie?

Na deze upgrade accepteerdt Windows mijn Bitlocker recovery key niet meer...

Schijf wipen, nieuw image er op, backup terugzetten. Je gaat toch geen uren besteden aan een onwillige zakelijke laptop?

QnJhaGlld2FoaWV3YQ==

maandag 5 juli 2021 15:27

Acties:

0 Henk 'm!

Johan9711

Verslaaft aan Tweakers

Topicstarter

Brahiewahiewa schreef op maandag 5 juli 2021 @ 15:20:

Upgrade? Naar een twee jaar oude windows versie?

Enterprise word nog ondersteund door Microsoft. Onze zakelijke omgeving is zodanig groot dat het even duurt voor we om zijn naar een nieuwe Windows-versie. Volgende tussenstap word 20h2. Dat gaat helaas niet snel in een grote, logge organisatie.

Brahiewahiewa schreef op maandag 5 juli 2021 @ 15:20:
[...]

Upgrade? Naar een twee jaar oude windows versie?

[...]

Schijf wipen, nieuw image er op, backup terugzetten. Je gaat toch geen uren besteden aan een onwillige zakelijke laptop?

[b]Brahiewahiewa schreef op maandag 5 juli 2021 @ 15:20:
Schijf wipen, nieuw image er op, backup terugzetten. Je gaat toch geen uren besteden aan een onwillige zakelijke laptop?

Uiteraard heb ik deze optie in mijn achterhoofd. Helaas had de gebruiker van de laptop zijn OneDrive-sync uit staan...
Ik was benieuwd of anderen ooit soortgelijke ervaringen hebben gehad aangezien ik dit echt nog nooit heb meegemaakt, en ik heb best wel heel veel bitlocker-recoveries uitgevoerd in mijn carriere.

Mijn tweakblog: http://johan9711.tweakblogs.net/

maandag 5 juli 2021 20:15

Acties:

0 Henk 'm!

Zwelgje

Brahiewahiewa schreef op maandag 5 juli 2021 @ 15:20:
[...]

Upgrade? Naar een twee jaar oude windows versie?

[...]

Schijf wipen, nieuw image er op, backup terugzetten. Je gaat toch geen uren besteden aan een onwillige zakelijke laptop?

bij veel bedrijven is 1909 een supercourante windows versie.

het duurt gewoon even voordat ze doorhebben/snappen dat je ook al naar 21H2 kan.

en het dan maar gek vinden dat ze gehacked worden

A wise man's life is based around fuck you

maandag 5 juli 2021 20:19

Acties:

0 Henk 'm!

pennywiser

Johan9711 schreef op maandag 5 juli 2021 @ 14:53:
Ik heb inmiddels vele technet pagina's gelezen, maar eigenlijk suggereerd alles dat het gewoon moet werken óf dat de recovery-key fout is, maar de key is echt correct.

Dit zou ik zelf dus nooit doen. TD your problem. Backups staan op Onedrive neem ik aan?

maandag 5 juli 2021 20:27

Acties:

+2 Henk 'm!

HKLM_

Zwelgje schreef op maandag 5 juli 2021 @ 20:15:
[...]

bij veel bedrijven is 1909 een supercourante windows versie.

het duurt gewoon even voordat ze doorhebben/snappen dat je ook al naar 21H2 kan.

en het dan maar gek vinden dat ze gehacked worden

Leg is uit waarom is 21H2 veiliger voor hackers dan een supported 1909 ENT welke nog tot 2022-05-10 voorzien zal worden van Windows updates.

pennywiser schreef op maandag 5 juli 2021 @ 20:19:
[...]

Dit zou ik zelf dus nooit doen. TD your problem. Backups staan op Onedrive neem ik aan?

Lees zijn reacties anders even TS is de TD en OneDrive sync staat uit.

[ Voor 22% gewijzigd door HKLM_ op 05-07-2021 20:34 ]

Cloud ☁️

maandag 5 juli 2021 20:39

Acties:

0 Henk 'm!

pennywiser

Haal de disk er eens uit, hang hem aan een usb stekker en probeer te unclocken op volledig ander system. Liefst 1 los van jullie AD. Je kan de key dan eveneens copy pasten, dan weet je zeker of die klopt.

Reset ook de TPM key eens. Of is deze disabled? Clear-tpm in powershell als ik me niet vergis. Maar als deze disabled is, hoe kan je dan lokaal auto decrypten zonder netwerk bv.?

[ Voor 30% gewijzigd door pennywiser op 05-07-2021 21:10 ]

maandag 5 juli 2021 20:43

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Waarom staat de TPM uit? Zet die eens aan, misschien zit daar de juiste key in?

Going for adventure, lots of sun and a convertible! | GMT-8

dinsdag 6 juli 2021 09:21

Acties:

0 Henk 'm!

Zwelgje

HKLM_ schreef op maandag 5 juli 2021 @ 20:27:
[...]

Leg is uit waarom is 21H2 veiliger voor hackers dan een supported 1909 ENT welke nog tot 2022-05-10 voorzien zal worden van Windows updates.

[...]

Lees zijn reacties anders even TS is de TD en OneDrive sync staat uit.

nieuwe security features, niet zozeer updates maar features die je leven een stuk veiliger maken. zoals ik noem maar even een "system wide DNS over HTTPS' wat je niet heb in oude builds. maakt het toch een stuk meer secure.

[ Voor 12% gewijzigd door Zwelgje op 06-07-2021 09:23 ]

A wise man's life is based around fuck you

dinsdag 6 juli 2021 09:21

Acties:

0 Henk 'm!

Zwelgje

Snake schreef op maandag 5 juli 2021 @ 20:43:
Waarom staat de TPM uit? Zet die eens aan, misschien zit daar de juiste key in?

sowieso, wie gebruikt er nu Bitlocker en zet zijn TPM uit in de de firmware.. das 'raar'

A wise man's life is based around fuck you

dinsdag 6 juli 2021 10:03

Acties:

0 Henk 'm!

Johan9711

Verslaaft aan Tweakers

Topicstarter

Zwelgje schreef op dinsdag 6 juli 2021 @ 09:21:
[...]

sowieso, wie gebruikt er nu Bitlocker en zet zijn TPM uit in de de firmware.. das 'raar'

Dit is een ouder model laptop waarbij TPM standaard uit stond in de BIOS. Dit konden we helaas niet controleren voor al onze 400.000 Windows endpoints...

Dat is gelijk ook de reden dat we nog op 1909 zitten. Voordat alles is getest onder een nieuwe build zijn we soms maanden of jaren verder.
Een feature zoals DNS over HTTPS kunnen we hier niet makkelijk introduceren zonder dat het heel veel tijd kost om alles te testen.

---

Ik denk dat ik inmiddels de oorzaak heb gevonden. Vermoedelijk was de partitie nog aan het encrypten, en was hij pas echt net begonnen met encrypten. Ik heb met een filerecoverytool zonder encryptieondersteuning de complete structuur en alle bestanden terug kunnen vinden, wat betekend dat deze nog niet encrypted waren. Ik denk dat het een heel ongelukkige samenloop is geweest van de 1909 upgrade die net rebootte tijdens de eerste paar procent van de Bitlocker encryptie.

Dank iedereen voor het meedenken!

Mijn tweakblog: http://johan9711.tweakblogs.net/

dinsdag 6 juli 2021 10:15

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

Johan9711 schreef op Tuesday 6 July 2021 @ 10:03:
[...]

Dit is een ouder model laptop waarbij TPM standaard uit stond in de BIOS. Dit konden we helaas niet controleren voor al onze 400.000 Windows endpoints...

Dat is gelijk ook de reden dat we nog op 1909 zitten. Voordat alles is getest onder een nieuwe build zijn we soms maanden of jaren verder.
Een feature zoals DNS over HTTPS kunnen we hier niet makkelijk introduceren zonder dat het heel veel tijd kost om alles te testen.

---

Ik denk dat ik inmiddels de oorzaak heb gevonden. Vermoedelijk was de partitie nog aan het encrypten, en was hij pas echt net begonnen met encrypten. Ik heb met een filerecoverytool zonder encryptieondersteuning de complete structuur en alle bestanden terug kunnen vinden, wat betekend dat deze nog niet encrypted waren. Ik denk dat het een heel ongelukkige samenloop is geweest van de 1909 upgrade die net rebootte tijdens de eerste paar procent van de Bitlocker encryptie.

Dank iedereen voor het meedenken!

Je had in theorie natuurlijk kunnen configureren dat Bitlocker een TPM zou vereisen, dan hadden de machines zonder actieve TPM nooit gaan bitlockeren en waren ze wel in een non-compliant rapport naar boven gekomen (er even vanuit gaande dat je dit op de een of andere manier in Endpoint Manager hebt ingeregeld natuurlijk).

Maar fijn dat je de oorzaak hebt gevonden natuurlijk!

dinsdag 6 juli 2021 10:15

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Kijk, daar kom je goed weg dan. En mep die gebruiker even dat ie zijn spullenboel op Onedrive zet voortaan, scheelt iedereen een hoop ellende

offtopic:
En pas je ondertitel even aan. Verslaafd is met een d

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

dinsdag 6 juli 2021 11:14

Acties:

+1 Henk 'm!

pennywiser

Beetje griezelig scenario. Was het dan met uitrazen van bitlocker wel gelukt om in te loggen met de key? En TPM uit zonder dat iemand zich dat realiseert? Jullie gaan het nog druk krijgen met Windows 11 over 9 jaar

dinsdag 6 juli 2021 13:15

Acties:

0 Henk 'm!

Zwelgje

Johan9711 schreef op dinsdag 6 juli 2021 @ 10:03:
[...]

Dit is een ouder model laptop waarbij TPM standaard uit stond in de BIOS. Dit konden we helaas niet controleren voor al onze 400.000 Windows endpoints...

Dat is gelijk ook de reden dat we nog op 1909 zitten. Voordat alles is getest onder een nieuwe build zijn we soms maanden of jaren verder.
Een feature zoals DNS over HTTPS kunnen we hier niet makkelijk introduceren zonder dat het heel veel tijd kost om alles te testen.

---

Ik denk dat ik inmiddels de oorzaak heb gevonden. Vermoedelijk was de partitie nog aan het encrypten, en was hij pas echt net begonnen met encrypten. Ik heb met een filerecoverytool zonder encryptieondersteuning de complete structuur en alle bestanden terug kunnen vinden, wat betekend dat deze nog niet encrypted waren. Ik denk dat het een heel ongelukkige samenloop is geweest van de 1909 upgrade die net rebootte tijdens de eerste paar procent van de Bitlocker encryptie.

Dank iedereen voor het meedenken!

als je zo lang bezig bent met testen en implementeren waarom zitten jullie dan op een CR met een lifecycle van nog geen 2.5 jaar?

dan zou ik voor de LTSR gaan, heb je 10 jaar support en updates en alles tijd voor een implementatie

A wise man's life is based around fuck you

dinsdag 6 juli 2021 14:14

Acties:

0 Henk 'm!

HKLM_

Zwelgje schreef op dinsdag 6 juli 2021 @ 13:15:
[...]

als je zo lang bezig bent met testen en implementeren waarom zitten jullie dan op een CR met een lifecycle van nog geen 2.5 jaar?

dan zou ik voor de LTSR gaan, heb je 10 jaar support en updates en alles tijd voor een implementatie

3 posts terug heb je het over 1909 welke niet goed zou zijn ivm features die missen en dan ga je wel een LTSR lopen adviseren

Cloud ☁️

dinsdag 6 juli 2021 15:22

Acties:

0 Henk 'm!

pennywiser

HKLM_ schreef op dinsdag 6 juli 2021 @ 14:14:
[...]

3 posts terug heb je het over 1909 welke niet goed zou zijn ivm features die missen en dan ga je wel een LTSR lopen adviseren

Ja want die is long term en 1909 is dat niet. Is dat zo vreemd dan? Security features.

[ Voor 3% gewijzigd door pennywiser op 06-07-2021 15:23 ]

dinsdag 6 juli 2021 15:44

Acties:

0 Henk 'm!

Zwelgje

HKLM_ schreef op dinsdag 6 juli 2021 @ 14:14:
[...]

3 posts terug heb je het over 1909 welke niet goed zou zijn ivm features die missen en dan ga je wel een LTSR lopen adviseren

omdat ie later kwam met een proces van jaren.

goed we snappen elkaar wel

A wise man's life is based around fuck you

dinsdag 6 juli 2021 16:23

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Hoe heb je BitLocker geconfigureerd dan als de TPM uitstaat? Moeten gebruikers een PIN of paswoord ingeven bij het opstarten?

Going for adventure, lots of sun and a convertible! | GMT-8

Pagina: 1

Reageer