Bitlocker is een gegevensversleutelingstool in Windows die wordt gebruikt om schijven te versleutelen. Versleutelde schijven zijn alleen toegankelijk met de juiste sleutel, die wordt vrijgegeven door de Trusted Platform Module (TPM) tijdens het opstarten.
De TPM geeft deze sleutel alleen vrij als de hardware-en softwareprofielen overeenkomen met de initiële installatie. Als de profielen niet overeenkomen, krijgt u de Bitlocker-herstelconsole te zien, die om de herstelsleutel vraagt. Zolang de initiële en huidige profielen niet overeenkomen, blijft Bitlocker om de herstelsleutel vragen.
Afgezien hiervan veranderingen in de voorkeuren van de opstartschijf, BIOS met fouten of onjuiste configuratie van de decoderingssleutel en het platform Configuratieregisterinstellingen (PCR) zijn andere mogelijke redenen voor dit probleem.
Hoe repareer ik dat Bitlocker vraagt om herstelsleutel bij elke keer opstarten?
Door Bitlocker op te schorten en te hervatten voordat u probeert hardware-of firmwarewijzigingen op het systeem aan te brengen, hoeft u niet meer te worden gevraagd vraagt om de herstelsleutel.
Als u niet op de hoogte bent van de herstelsleutel, kunt u vast komen te zitten in de BitLocker-herstelinstellingen. Om in een dergelijk scenario de installatie te omzeilen, kunt u uw herstelsleutel vinden in uw Microsoft-account door op een andere computer in te loggen.
BIOS bijwerken
Het besproken probleem is bevestigd optreden als gevolg van een BIOS met fouten. In sommige gevallen bleken oudere BIOS-versies niet compatibel met de TPM-hardwaremodule. Moederbordfabrikanten hebben de neiging om dergelijke bugs en onverenigbaarheden met updates op te lossen.
Daarom kunt u proberen het BIOS bij te werken om het probleem op te lossen.
Druk op de Windows + R-toets om Uitvoeren te openen. Typ msinfo32 om Systeeminformatie te openen. Controleer waarden die overeenkomen met Plintfabrikanten en Plintproducten. Noteer deze ook.
Ga nu naar de officiële site van uw fabrikant en zoek naar BIOS/firmware. Download, installeer en volg de instructies op het scherm om het BIOS bij te werken.
Op veel systemen kunnen specifieke OEM-tools worden gedownload en worden gebruikt om dit firmware-updateproces te vergemakkelijken. Acer Care Center, Dell Support Assist, enz. zijn enkele voorbeelden van OEM-toepassingen voor dit doel.
BIOS-configuratie wijzigen
De USB Type-C-en Thunderbolt-kabelverbinding zijn standaard opstartondersteuning op BIOS. Dus als u een I/O-apparaat op uw systeem hebt aangesloten met behulp van die kabels, zal het BIOS dit opnemen in de lijst met opstartprioriteiten en het beschouwen als een wijziging in het systeem.
Bitlocker vraagt automatisch om de herstelsleutel om in te loggen. Om dit te verhelpen, kan opstartondersteuning voor USB type-C en TBT-kabel worden uitgeschakeld vanuit het BIOS, tenzij echt nodig.
Opstarten uw computer en druk constant op de BIOS-toets (meestal functietoetsen zoals F2, F8, enz.) voordat deze start. Ga naar Systeemconfiguratie > USB-configuratiemet behulp van de pijltoetsen.
Kies Uitschakelen voor Type-C/Thunderbolt Boot evenals Pre-boot ondersteunt.
UEFI-netwerkstack uitschakelen. Schakel Snel opstarten in.
Bitlocker opnieuw inschakelen
Soms wordt het opgeslagen hardware-/softwareprofiel niet bijgewerkt binnen de PCR van TPM. Elke keer opstarten zou dus worden gemarkeerd als een wijziging in het hardwareprofiel, waarvoor de herstelsleutel nodig is om toegang te krijgen.
Door de schijf te ontsleutelen en daarna te versleutelen, wordt de tijdelijke storing verholpen. Normaal zou het probleem worden opgelost door de opdrachten manage-bde –protectors –disable C: en manage-bde –protectors –enable C: uit te voeren in de opdrachtprompt met beheerdersrechten.
U kunt echter proberen de BitLocker-instellingen te wijzigen vanuit de Groepsbeleid-editor om ervoor te zorgen dat het probleem verder wordt opgelost.
Stap 1: Schakel BitLocker uit
Druk op de Windows-toets en typ Bitlocker beheren. Klik op Bitlocker uitschakelen.
Druk op de knop Bitlocker uitschakelen om te bevestigen.
Stap 2: Groepsbeleid configureren
Druk op Windows + R om Uitvoeren te openen. Typ gpedit.msc en druk op Enter.
Uitvouwen Computerconfiguratie >Beheersjabloon>Windows-componenten en vervolgens Bitlocker Drive Encryption. Klik nu op Besturingssysteemstations.
Klik aan de rechterkant op TPM-platformvalidatieprofiel configureren voor systeemeigen UEFI-firmwareconfiguraties 
Selecteer het keuzerondje Ingeschakeld en vink alle opties uit behalve deze:
PCR 0
PCR 2
PCR 4
PCR 11 
Voor iets ouder systemen met firmware inclusief CSM, klikt u op TPM-platformvalidatieprofiel configureren voor BIOS-gebaseerde firmwareconfiguraties > Ingeschakeld en gaat u verder door andere opties dan de PCR 0, 2 uit te vinken , 4, 8, 9, 10, 11. Bevestig met Toepassen en vervolgens OK.
Nu kunt u Bitlocker inschakelen en verwachten dat het probleem wordt opgelost.
Legacy BIOS gebruiken
Veel fabrikanten hebben de UEFI BIOS-modus op hun producten naar voren geschoven, ongeacht de TPM model. Hoewel UEFI goed werkt met zowel TPM 1.2 als TPM 2.0, vertoont de eerdere versie soms compatibiliteitsproblemen met de nieuwste UEFI-modus. Dus als dat het geval is, kunt u overschakelen naar de Legacy BIOS-modus om te controleren of het probleem hiermee is opgelost.
Ga naar het BIOS-instellingenmenu en ga naar het tabblad Boot. Selecteer Legacy in de Boot Mode.
Druk op F10 of op een willekeurige knop op het scherm om de wijzigingen op te slaan en af te sluiten.
Beveiligd opstarten uitschakelen
De functie Beveiligd opstarten is standaard ingeschakeld door fabrikanten om te voorkomen dat het apparaat opstart met ongeautoriseerde hardware-of softwarecomponenten. Dus als het is ingeschakeld, krijgen alleen componenten die worden vertrouwd door de systeemfabrikant toegang.
De functie vertoont problemen wanneer veel Linux-besturingssystemen en niet zo populaire GPU’s worden uitgevoerd. Om problemen hiermee te voorkomen, kunt u proberen de beveiligde opstartfunctie uit het BIOS uit te schakelen.
Ga naar het BIOS-menu en ga naar het tabblad Boot of Beveiliging. Zoek naar Secure Boot en wijzig de status in Disabled.
Scannen op malware
Malware kan processen op kernelniveau in een systeem beïnvloeden. Ze kunnen het standaardgedrag van uw computer manipuleren, wat telt als een wijziging van het systeemprofiel onder TPM-scan. Als een dergelijke profielwijziging plaatsvindt tijdens elke actieve sessie, is de herstelsleutel vereist na elke herstart.
U moet routinematig controleren op bedreigingen op uw systeem om beveiligd te zijn tegen het besproken probleem en andere beveiligingsrisico’s.
> Open Instellingen met Windows + I-toetsen. Ga naar Privacy en beveiliging > Windows-beveiliging
Klik op Beveiliging tegen virussen en bedreigingen
Klik vervolgens op Scanopties.
Selecteer Microsoft Defender Antivirus (offline scan) en druk op de Knop Nu scannen.
Uw computer wordt opnieuw opgestart en het duurt even voordat een volledige scan is uitgevoerd, gevolgd door bedreigingsbehandelingen.
Windows Update
Het updaten van Windows lost bugs op en lost ook TPM/Bitlocker-compatibiliteitsproblemen van de huidige versie op. Soms worden BIOS-en andere stuurprogramma-updates ook gebundeld met de Windows-update, waarmee verschillende problemen worden opgelost, waaronder de besproken.
Druk op de Windows + I-toetsen om Instellingen te openen. Ga naar Windows Update en klik op de knop Controleren op updates.
Klik op de knop Downloaden en installeren en volg de instructies op het scherm om de update te voltooien.
Overweeg om Windows Update-componenten opnieuw in te stellen als u problemen ondervindt tijdens het updaten.
Als het probleem zich voordeed na het installeren van een Windows-update, kunt u de update verwijderen om uw computer naar het laatst bekende stabiele punt.
Ga naar Windows Update > Updategeschiedenis in Instellingen.
Scrol naar en klik op Updates verwijderen.
Klik op Verwijderen in de laatste up datum van de getoonde lijst, wat de laatste is.
Druk op de Verwijderen knop om te bevestigen.
Los TPM-problemen op
Ongeacht de oorzaken, het probleem wordt samengevat als’TPM geeft de decoderingssleutel niet vrij’tijdens het opstarten. Het probleem kan ook binnen de TPM zelf liggen en niet bij alle bovengenoemde. Verouderde opgeslagen decoderingssleutels, corrupte stuurprogramma’s of defecte modules zijn mogelijke oorzaken.
Wis TPM-sleutel
Als de opgeslagen sleutels in TPM de verkeerde zijn, zal het apparaat het besproken probleem op elke herstart. Als u TPM wist, worden de sleutels verwijderd en wordt Bitlocker ook opnieuw geïnitialiseerd vanuit de standaardstatus om het probleem op te lossen.
Druk op Windows + R om Uitvoeren te openen. Typ tpm.msc en druk op Enter.
Klik op TPM wissen…
Druk op de Herstart knop.
TPM-stuurprogramma opnieuw installeren
Corrupte TPM-stuurprogramma’s kunnen ook problemen veroorzaken in de algehele werking van TPM. U kunt proberen de driver opnieuw te installeren om het probleem op te lossen.
Typ devmgmt.msc tijdens Uitvoeren om Apparaatbeheer te openen.
Dubbelklik om de categorie Beveiligingsapparaten uit te vouwen.
Klik met de rechtermuisknop op de Trusted Platform Module en kies Apparaat verwijderen.
Bevestig met Verwijderen knop. Klik nu op het menu Actie en selecteerScannen op hardwarewijzigingen.
Het stuurprogramma zou binnenkort opnieuw moeten worden geïnstalleerd.
TPM vervangen
Als niets dit probleem voor u verhelpt, is de kans zijn de hardware van de TPM-module zelf defect. Overweeg in dat geval contact op te nemen met de ondersteuning van fabrikanten voor vervanging van de TPM.
