Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties

Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opmerking

  • Oorspronkelijke publicatiedatum: 26 juni 2025
  • KB-id: 5062713

Opmerking

Wijzigingenlogboek
Datum wijzigen Beschrijving wijzigen
5 mei 2026
30 maart 2026
  • Oplossing voor het bekende probleem 'Updates van secure boot-certificaten mislukken mogelijk met gebeurtenis-id 1795 op virtuele Hyper-V-machines'
24 maart 2026
  • Het bekende probleem 'Certificaatupdates voor beveiligd opstarten mislukken mogelijk met gebeurtenis-id 1795 op virtuele Hyper-V-machines' is bijgewerkt
16 maart 2026
  • De sectie 'Sample confidence data' onder 'Sample Secure Boot Inventory Data Collection script' is verwijderd omdat deze niet meer up-to-date is.
3 maart 2026
  • De voorbeelduitvoer opnieuw geformatteerd onder de sectie 'Voorbereiding' zodat deze binnen het vak blijft.
24 februari 2026
  • De inhoud bijgewerkt voor 'Sample Secure Boot Inventory Data Collection script' onder de sectie ' Voorbereiding'.
  • Er is een nieuwe sectie 'Voorbeelduitvoer' toegevoegd onder de sectie 'Voorbereiding'.
23 februari 2026
  • De inhoud bijgewerkt voor 'Sample Secure Boot Inventory Data Collection script' onder de sectie ' Voorbereiding'.
13 februari 2026
  • De items 'Voorbeeldbetrouwbaarheidsgegevens' zijn toegevoegd aan de sectie 'Voorbereiding'.
  • Het 'verzamelscript voor in behandeling zijnde gebeurtenissen 1801 en 1808' is verwijderd uit de sectie 'Voorbereiding' omdat het niet langer nodig is.
3 februari 2026
  • Veelvoorkomende problemen in de sectie Probleemoplossing verplaatst en opnieuw ingedeeld.
  • Er is een nieuw veelvoorkomend probleem toegevoegd: 'Certificaatupdates voor beveiligd opstarten mislukken mogelijk met gebeurtenis-id 1795 op virtuele Hyper-V-machines'.
26 januari 2026
  • De tekst onder 'Automatische implementatiehulp' bijgewerkt van ' Voor beide assistenten zijn diagnostische gegevens vereist.' naar ' Alleen voor de beheerde functie-implementatiehulp zijn diagnostische gegevens vereist.
11 november 2025 Twee typefouten gecorrigeerd onder 'Ondersteuning voor implementatie van Secure Boot-certificaat'.
  • 0x0800 - De certificaatnaam is gewijzigd van 'Microsoft UEFI CA 2023' in 'Microsoft Option ROM UEFI CA 2023'.
  • 0x1000 - 'Microsoft Option ROM CA 2023' gewijzigd in 'Microsoft UEFI CA 2023'.
dinsdag 10 november 2025
  • Twee typefouten gecorrigeerd onder 'Nieuw certificaat': van ' Microsoft Corporation KEK CA 2023' naar ' Microsoft Corporation KEK 2K CA 2023' en van ' Microsoft Option ROM CA 2023' naar ' Microsoft Option ROM UEFI CA 2023'.
  • Er zijn nieuwe PowerShell-scripts toegevoegd onder de koppen 'Status van beveiligd opstarten verifiëren in je vloot: is beveiligd opstarten ingeschakeld? ' en 'Voorbereiding'.

In dit artikel:

Overzicht

Dit artikel is bedoeld voor organisaties met toegewezen IT-professionals die actief updates voor al hun apparaten beheren. Het grootste deel van dit artikel gaat over de activiteiten die de IT-afdeling van een organisatie nodig heeft om de nieuwe certificaten voor beveiligd opstarten succesvol te implementeren. Deze activiteiten omvatten het testen van firmware, het bewaken van apparaatupdates, het initiëren van implementatie en het diagnosticeren van problemen wanneer deze zich voordoen. Er worden meerdere methoden voor implementatie en monitoring gepresenteerd. Naast deze kernactiviteiten bieden we verschillende implementatiehulpmiddelen, waaronder de mogelijkheid om clientapparaten aan te melden voor deelname aan een Controlled Feature Rollout (CFR) specifiek voor certificaatimplementatie.

Playbook voor IT-professionals voor implementatie

Plan en voer Secure Boot-certificaatupdates uit voor je apparatenpark door middel van voorbereiding, bewaking, implementatie en herstel.

De status van beveiligd opstarten in je machinepark controleren: is beveiligd opstarten ingeschakeld?

De meeste apparaten die sinds 2012 zijn geproduceerd, bieden ondersteuning voor Beveiligd opstarten en worden geleverd met Beveiligd opstarten ingeschakeld. Voer een van de volgende handelingen uit om te controleren of beveiligd opstarten is ingeschakeld op een apparaat:

  • GUI-methode: Ga naar Startinstellingen>>Privacy & beveiliging>Windows-beveiliging>apparaatbeveiliging. Onder Apparaatbeveiliging moet in de sectie Beveiligd opstarten worden aangegeven dat Beveiligd opstarten is ingeschakeld.
  • Opdrachtregelmethode: Typ Confirm-SecureBootUEFI op een opdrachtprompt met verhoogde bevoegdheid in PowerShell en druk op Enter. De opdracht moet True retourneren, wat aangeeft dat Beveiligd opstarten is ingeschakeld.

Bij grootschalige implementaties voor een reeks apparaten moet de beheersoftware die door IT-professionals wordt gebruikt, een controle uitvoeren op het inschakelen van Secure Boot.

Zo kunt u bijvoorbeeld de status van beveiligd opstarten op Microsoft Intune beheerde apparaten controleren door een aangepast Intune compliancescript te maken en te implementeren. Compliance-instellingen voor Intune worden beschreven in Aangepaste nalevingsinstellingen voor Linux- en Windows-apparaten gebruiken met Microsoft Intune.

Opmerking

  • Voorbeeld van Powershell-script om te controleren of Beveiligd opstarten is ingeschakeld:
  • # Initialize result object in preparation for checking Secure Boot state 
  • $result = [PSCustomObject]@{ 
  •    SecureBootEnabled = $null 
  • try { 
  •    $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 
  •    Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 
  • } catch { 
  •    $result.SecureBootEnabled = $null 
  •    Write-Warning "Unable to determine Secure Boot status: $_" 

Als beveiligd opstarten niet is ingeschakeld, kun je de onderstaande updatestappen overslaan, omdat deze niet van toepassing zijn.

Hoe updates worden geïmplementeerd

Er zijn meerdere manieren om apparaten te targeten voor de Secure Boot-certificaatupdates. Details van de implementatie, waaronder instellingen en gebeurtenissen, worden verderop in dit document besproken. Wanneer u een apparaat wilt gebruiken voor updates, wordt er een instelling gemaakt op het apparaat om aan te geven dat het proces van het toepassen van de nieuwe certificaten moet beginnen. Elke 12 uur wordt er een geplande taak op het apparaat uitgevoerd en wordt gedetecteerd dat het apparaat geschikt is voor de updates. Een overzicht van de functie van de taak is als volgt:

  1. De Windows UEFI CA 2023 wordt toegepast op de DB.
  2. Als het apparaat de Microsoft Corporation UEFI CA 2011 in de DB heeft, wordt door de taak de Microsoft-optie ROM UEFI CA 2023 en de Microsoft UEFI CA 2023 toegepast op de DB.
  3. De taak voegt vervolgens de Microsoft Corporation KEK 2K CA 2023 toe.
  4. Ten slotte werkt de geplande taak de Windows-opstartmanager bij naar de taak die is ondertekend door de Windows UEFI CA 2023. Windows detecteert dat een herstart nodig is voordat Opstartbeheer kan worden toegepast. Het bijwerken van opstartbeheer wordt uitgesteld totdat het opnieuw opstarten vanzelf plaatsvindt (bijvoorbeeld wanneer maandelijkse updates worden toegepast), waarna Windows opnieuw probeert de update voor opstartbeheer toe te passen.

Elk van de bovenstaande stappen moet zijn voltooid voordat de geplande taak naar de volgende stap gaat. Tijdens dit proces zijn gebeurtenislogboeken en andere statussen beschikbaar om te helpen bij het bewaken van de implementatie. Hieronder vindt u meer informatie over bewakings- en gebeurtenislogboeken.

Het bijwerken van de certificaten voor beveiligd opstarten maakt een toekomstige update van de 2023 Boot Manager mogelijk, die veiliger is. Specifieke updates voor Opstartbeheer komen in toekomstige releases.

Implementatiestappen

  • Voorbereiding: Inventarisatie en testapparatuur.
  • Aandachtspunten voor firmware
  • Monitoring: Controleer of de monitoring werkt en baseer uw wagenpark.
  • Implementatie: richt zich op apparaten voor updates, te beginnen met kleine subsets en uit te breiden op basis van succesvolle tests.
  • Herstel: onderzoek en los eventuele problemen op met behulp van logboeken en leveranciersondersteuning.

Voorbereiding

Inventarisatie van hardware en firmware. Stel een representatief voorbeeld samen van apparaten op basis van systeemfabrikant, systeemmodel, BIOS-versie/-datum, baseboard-productversie, enzovoort, en test updates op deze apparaten voordat u ze breed implementeert.  Deze parameters zijn algemeen beschikbaar in systeeminformatie (MSINFO32). Gebruik de meegeleverde PowerShell-voorbeeldopdrachten om de updatestatus voor beveiligd opstarten te controleren en apparaten in je organisatie te inventariseren.

Opmerking

  • Deze opdrachten zijn van toepassing als de status van beveiligd opstarten is ingeschakeld.
  • Voor veel van deze opdrachten zijn beheerdersbevoegdheden nodig om te werken.

Voorbeeld van een script voor Secure Boot Inventory-gegevensverzameling

Kopieer en plak dit voorbeeldscript en pas het zo nodig aan voor uw omgeving: Het voorbeeldscript voor Secure Boot Inventory Data Collection.

Opmerking

  • Voorbeelduitvoer:
  • {"UEFICA2023Status":"Bijgewerkt","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
    "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
    "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
    "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
    "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber":
    "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
    "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
    1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
    "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
    3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
    "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
    "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
    "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
    "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
    "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
    "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Betrouwbaarheidsniveaus voor beveiligd opstarten

Betrouwbaarheidsniveau Betekenis Actie vereist
Hoog vertrouwen Microsoft heeft gevalideerd dat deze apparaatklasse veilig is voor updates Veilig te implementeren certificaatupdates
Onder observatie - meer gegevens nodig Microsoft verzamelt nog steeds diagnostische gegevens over deze apparaten voor de implementatie van beveiligd opstarten Wachten op Microsoft-classificatie
Geen gegevens waargenomen - actie vereist Apparaatklasse is niet bekend bij Microsoft Onderneming moet de implementatie testen en plannen
Tijdelijk onderbroken Bekende compatibiliteitsproblemen Controleer op OEM BIOS-update; Wachten tot Microsoft is opgelost
Niet-ondersteund - bekende beperking Beperkingen van het platform of de hardware Document als uitzondering

Als beveiligd opstarten is ingeschakeld, controleer je eerst of er gebeurtenissen in behandeling zijn die onlangs zijn bijgewerkt of dat de certificaten voor beveiligd opstarten bezig zijn met het bijwerken ervan. Van bijzonder belang zijn de meest recente gebeurtenissen in 1801 en 1808. Deze gebeurtenissen worden in detail beschreven in Secure Boot DB en DBX variabele updategebeurtenissen. Controleer ook de sectie Bewaking en implementatie om te zien hoe de gebeurtenissen de status van in behandeling zijnde updates kunnen weergeven.

De volgende stap bestaat uit het inventariseren van apparaten in uw organisatie. Verzamel de volgende gegevens met PowerShell-opdrachten om een representatief voorbeeld te maken:

Opmerking

  • Basisid's (2 waarden)
  • 1. okt. HostName - $env: COMPUTERNAME
  • 2. okt. CollectionTime - Get-Date
  • Register: Hoofdsleutel beveiligd opstarten (3 waarden)
  • 3. okt. SecureBootEnabled - Confirm-SecureBootUEFI cmdlet of HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 4. okt. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 5. okt. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • Register: Onderhoudssleutel (3 waarden)
  • 6. okt. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 7. okt. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 8. okt. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Register: Apparaatkenmerken (7 waarden)
  • 9. okt. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 10. okt. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 11. okt. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 12. okt. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 13. okt. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 14. okt. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 15. okt. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Gebeurtenislogboeken: Systeemlogboek (5 waarden)
  • 16. okt. LatestEventId - Meest recente gebeurtenis voor beveiligd opstarten
  • 17. okt. BucketID - Geëxtraheerd uit gebeurtenis 1801/1808
  • 18. okt. Betrouwbaarheid - Ontleend aan gebeurtenis 1801/1808
  • 19. okt. Event1801Count: aantal gebeurtenissen
  • 20. okt. Event1808Count: aantal gebeurtenissen
  • WMI-/CIM-query's (4 waarden)
  • 21. okt. OSVersion - Get-CimInstance Win32_OperatingSystem
  • 22. okt. LastBootTime - Get-CimInstance Win32_OperatingSystem
  • 23. okt. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard
  • 24. okt. BaseBoardProduct - Get-CimInstance Win32_BaseBoard
  •      25. (Get-CIMInstance Win32_ComputerSystem). Fabrikant
  •      26. (Get-CIMInstance Win32_ComputerSystem). Uitvoering
  •     27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/jjjj")
  •     28. (Get-CIMInstance Win32_BaseBoard). Producten

Aandachtspunten voor firmware

Als je de nieuwe certificaten voor beveiligd opstarten wilt implementeren voor je apparatenpark, moet de firmware van het apparaat een rol spelen bij het voltooien van de update. Hoewel Microsoft verwacht dat de meeste firmware van apparaten zal werken zoals verwacht, zijn zorgvuldige tests nodig voordat de nieuwe certificaten worden geïmplementeerd.

Onderzoek uw hardware-inventaris en stel een kleine, representatieve steekproef van apparaten samen op basis van de volgende unieke criteria, zoals:

  • Fabrikant
  • Modelnummer
  • Firmwareversie
  • OEM Baseboard-versie, enz.

Voordat u deze breed implementeert op apparaten in uw machinepark, raden we u aan de certificaatupdates te testen op representatieve voorbeeldapparaten (zoals gedefinieerd door factoren zoals fabrikant, model, firmwareversie) om er zeker van te zijn dat de updates correct worden verwerkt. De aanbevolen richtlijn voor het aantal proefapparaten dat moet worden getest voor elke unieke categorie is 4 of meer.

Dit zal helpen bij het opbouwen van vertrouwen in uw implementatieproces en helpen onverwachte gevolgen voor uw bredere vloot te voorkomen.

In sommige gevallen is mogelijk een firmware-update vereist om de certificaten voor beveiligd opstarten bij te werken. In deze gevallen raden we u aan contact op te nemen met de OEM van uw apparaat om te zien of bijgewerkte firmware beschikbaar is.

Windows in gevirtualiseerde omgevingen

Als Windows wordt uitgevoerd in een virtuele omgeving, zijn er twee methoden voor het toevoegen van de nieuwe certificaten aan de firmwarevariabelen voor beveiligd opstarten:

  • De maker van de virtuele omgeving (AWS, Azure, Hyper-V, VMware, enz.) kan een update voor de omgeving leveren en de nieuwe certificaten opnemen in de gevirtualiseerde firmware. Dit zou werken voor nieuwe gevirtualiseerde apparaten.
  • Als Windows langdurig in een VM wordt uitgevoerd, kunnen de updates net als elk ander apparaat via Windows worden uitgevoerd, mits de gevirtualiseerde firmware secure boot-updates ondersteunt.

Bewaking en implementatie

We raden u aan met de bewaking van het apparaat te beginnen voordat u dit gaat implementeren om er zeker van te zijn dat de bewaking correct werkt en u van tevoren een goed beeld hebt van de toestand van het machinepark. Controleopties worden hieronder beschreven.

Microsoft biedt meerdere methoden voor het implementeren en controleren van de secure boot-certificaatupdates.

Hulp bij geautomatiseerde implementatie

Microsoft biedt twee implementatie-assistenten. Deze assistenten kunnen nuttig zijn om te helpen bij de implementatie van de nieuwe certificaten in uw wagenpark. Alleen de Controlled Feature Rollout Assist vereist diagnostische gegevens.

  • Optie voor cumulatieve updates met betrouwbaarheidsbuckets: Microsoft kan automatisch apparaatgroepen met een hoge betrouwbaarheid opnemen in maandelijkse updates op basis van diagnostische gegevens die tot nu toe zijn gedeeld, ten behoeve van systemen en organisaties die geen diagnostische gegevens kunnen delen. Voor deze stap hoeven diagnostische gegevens niet te zijn ingeschakeld.

    • Voor organisaties en systemen die diagnostische gegevens kunnen delen, geeft dit Microsoft de zichtbaarheid en het vertrouwen dat apparaten de certificaten met succes kunnen implementeren. Meer informatie over het inschakelen van diagnostische gegevens is beschikbaar in: Diagnostische Windows-gegevens in uw organisatie configureren. We maken 'buckets' voor elk uniek apparaat (zoals gedefinieerd door kenmerken zoals fabrikant, moederbordversie, firmwarefabrikant, firmwareversie en aanvullende gegevenspunten). Voor elke bucket controleren we het succesbewijs op meerdere apparaten. Zodra we voldoende geslaagde updates en geen fouten hebben gezien, beschouwen we de bucket als 'hoge betrouwbaarheid' en nemen we die gegevens op in de maandelijkse cumulatieve updates. Wanneer maandelijkse updates worden toegepast op een apparaat in een bucket met hoge betrouwbaarheid, past Windows automatisch de certificaten toe op de UEFI Secure Boot-variabelen in firmware.
    • Buckets met hoge betrouwbaarheid bevatten apparaten die de updates correct verwerken. Uiteraard leveren niet alle apparaten diagnostische gegevens, wat het vertrouwen van Microsoft in het vermogen van een apparaat om de updates correct te verwerken kan beperken.
    • Deze hulp is standaard ingeschakeld voor apparaten met hoge betrouwbaarheid en kan worden uitgeschakeld met een apparaatspecifieke instelling. Meer informatie wordt gedeeld in toekomstige Windows-releases.
  • Controlled Feature Rollout (CFR): Apparaten aanmelden voor door Microsoft beheerde implementatie als diagnostische gegevens zijn ingeschakeld.

    • CFR (Controlled Feature Rollout) kan worden gebruikt met clientapparaten in organisatievloten. Dit vereist dat apparaten vereiste diagnostische gegevens naar Microsoft verzenden en hebben aangegeven dat het apparaat ervoor kiest om CFR op het apparaat toe te staan. Hieronder vindt u meer informatie over hoe u zich kunt aanmelden.

    • Microsoft beheert het updateproces voor deze nieuwe certificaten op Windows-apparaten waar diagnostische gegevens beschikbaar zijn en de apparaten deelnemen aan Controlled Feature Rollout (CFR). Hoewel CFR kan helpen bij de implementatie van de nieuwe certificaten, kunnen organisaties niet vertrouwen op CFR om hun wagenpark te herstellen - hiervoor moeten de stappen worden gevolgd die in dit document worden beschreven in het gedeelte over implementatiemethoden die niet worden gedekt door geautomatiseerde assistenten.

    • Beperkingen: Er zijn een paar redenen waarom CFR mogelijk niet werkt in uw omgeving. Bijvoorbeeld:

      • Er zijn geen diagnostische gegevens beschikbaar of de diagnostische gegevens zijn niet bruikbaar als onderdeel van de CFR-implementatie.
      • Apparaten bevinden zich niet in ondersteunde clientversies van Windows 11 en Windows 10 met uitgebreide beveiligingsupdates (ESU).

Implementatiemethoden die niet worden gedekt door automatische assistenten

Kies de methode die bij uw omgeving past. Vermijd mengmethoden op hetzelfde apparaat:

  • Registersleutels: implementatie beheren en resultaten bewaken.
    Er zijn meerdere registersleutels beschikbaar voor het regelen van het gedrag van de implementatie van de certificaten en voor het bewaken van de resultaten. Bovendien zijn er twee manieren om u aan of af te melden voor de hierboven beschreven implementatiehulpmiddelen. Zie Registersleutel Updates voor Secure Boot - Windows-apparaten met door IT beheerde updates voor meer informatie over registersleutels.

  • groepsbeleid-objecten (GPO): instellingen beheren; bewaken via register en gebeurtenislogboeken.
    Microsoft biedt in een toekomstige update ondersteuning voor het beheren van de updates voor beveiligd opstarten met behulp van groepsbeleid. Houd er rekening mee dat, aangezien groepsbeleid voor instellingen is, de apparaatstatus moet worden gecontroleerd met behulp van alternatieve methoden, waaronder het controleren van registersleutels en vermeldingen in gebeurtenislogboeken.

  • WinCS (Windows Configuration System) CLI: Opdrachtregelprogramma's gebruiken voor clients die lid zijn van een domein.
    Domeinbeheerders kunnen ook het Windows-configuratiesysteem (WinCS) gebruiken dat is opgenomen in updates voor Windows-besturingssysteem om de updates voor beveiligd opstarten te implementeren op Windows-clients en servers die lid zijn van een domein. Het bestaat uit een reeks opdrachtregelprogramma's (zowel een traditioneel uitvoerbaar bestand als een PowerShell-module) om configuraties voor beveiligd opstarten lokaal op een computer op te vragen en toe te passen. Zie de volgende artikelen voor meer informatie:

  • Microsoft Intune/Configuration Manager: PowerShell-scripts implementeren. Een CSP (Configuration Service Provider) wordt geleverd in een toekomstige update om implementatie met behulp van Intune mogelijk te maken.

Gebeurtenislogboeken bewaken

Er worden twee nieuwe gebeurtenissen beschikbaar die helpen bij het implementeren van de certificaatupdates voor beveiligd opstarten. Deze gebeurtenissen worden in detail beschreven in Secure Boot DB en DBX variabele updategebeurtenissen:

  • Gebeurtenis-id: 1801
    Deze gebeurtenis is een foutgebeurtenis die aangeeft dat de bijgewerkte certificaten niet zijn toegepast op het apparaat. Deze gebeurtenis geeft enkele details die specifiek zijn voor het apparaat, waaronder apparaatkenmerken, die helpen bij het correleren welke apparaten nog moeten worden bijgewerkt.
  • Gebeurtenis-id: 1808
    Deze gebeurtenis is een informatieve gebeurtenis die aangeeft dat op het apparaat de vereiste nieuwe certificaten voor beveiligd opstarten zijn toegepast op de firmware van het apparaat.

Implementatiestrategieën

Implementeer updates voor beveiligd opstarten gefaseerd in plaats van in één keer om de risico's te minimaliseren. Begin met een kleine subset apparaten, valideer de resultaten en breid vervolgens uit naar extra groepen. We raden u aan te beginnen met subsets van apparaten en, naarmate u meer vertrouwen krijgt in die implementaties, extra subsets van apparaten toe te voegen. Er kunnen meerdere factoren worden gebruikt om te bepalen wat er in een subset wordt opgenomen, inclusief testresultaten op voorbeeldapparaten en organisatiestructuur, enzovoort.

U bepaalt welke apparaten u implementeert. Hier vindt u enkele mogelijke strategieën.

  • Groot apparatenpark: begin met het volgen van de hierboven beschreven assistenten voor de meest voorkomende apparaten die je beheert. Richt u tegelijkertijd op de minder gebruikelijke apparaten die door uw organisatie worden beheerd. Test kleine steekproefapparaten en implementeer deze, als het testen succesvol is, op de rest van de apparaten van hetzelfde type. Als het testen problemen oplevert, onderzoekt u de oorzaak van het probleem en bepaalt u herstelstappen. U kunt ook klassen van apparaten overwegen die een hogere waarde hebben in uw machinepark en beginnen met testen en implementeren om ervoor te zorgen dat deze apparaten in een vroeg stadium bijgewerkte bescherming hebben.
  • Kleine vloot, grote verscheidenheid: Als het wagenpark dat u beheert een grote verscheidenheid aan machines bevat waarbij het testen van afzonderlijke apparaten onbetaalbaar zou zijn, kunt u overwegen sterk te vertrouwen op de twee hierboven beschreven ondersteuningen, met name voor apparaten die waarschijnlijk veelgebruikte apparaten op de markt zijn. Richt u in eerste instantie op apparaten die essentieel zijn voor de dagelijkse werking, test deze vervolgens en implementeer ze. Ga door met het afdalen van de lijst met apparaten met hoge prioriteit, testen en implementeren terwijl je het machinepark bewaakt om te bevestigen dat de assistenten helpen met de rest van de apparaten.

Opmerkingen

  • Let op oudere apparaten, met name apparaten die niet meer worden ondersteund door de fabrikant. Hoewel de firmware de updatebewerkingen correct zou moeten uitvoeren, zijn sommige mogelijk niet. In gevallen waarin de firmware niet goed werkt en het apparaat niet meer wordt ondersteund, kunt u overwegen het apparaat te vervangen om Secure Boot-beveiliging in uw machinepark te garanderen.
  • Op nieuwe apparaten die in de afgelopen 1-2 jaar zijn geproduceerd, zijn mogelijk al de bijgewerkte certificaten geïnstalleerd, maar mogelijk is niet de Windows UEFI CA 2023-ondertekende opstartmanager op het systeem toegepast. Het toepassen van deze opstartmanager is een kritieke laatste stap in de implementatie voor elk apparaat.
  • Nadat een apparaat is geselecteerd voor updates, kan het enige tijd duren voordat de updates zijn voltooid. Schat op 48 uur en een of meer herstarts voordat de certificaten moeten worden toegepast.

Veelgestelde vragen

Zie het artikel Veelgestelde vragen over beveiligd opstarten voor veelgestelde vragen.

Probleemoplossing

Zie het document Probleemoplossing voor meer informatie.

Aanvullende bronnen

Tip

Voeg een bladwijzer toe aan deze aanvullende bronnen.