Groepsbeleid-objectenmethode (GPO) voor beveiligd opstarten voor Windows-apparaten met door IT beheerde updates

Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opmerking

  • Oorspronkelijke publicatiedatum: 30 oktober 2025
  • KB-id: 5068198
Dit artikel bevat richtlijnen voor:

  • Organisaties met een eigen IT-afdeling die Windows-apparaten en -updates beheren.
Opmerking: als u een particulier bent die een persoonlijk Windows-apparaat bezit, raadpleegt u het artikel Windows-apparaten voor thuisgebruikers, bedrijven en scholen met door Microsoft beheerde updates.
Beschikbaarheid van deze ondersteuning
  • 11 november 2025: Voor versies van Windows die nog steeds worden ondersteund.
Wijzigingenlogboek
Datum wijzigen Beschrijving wijzigen
20 februari 2026
  • De sectie "Beschikbaarheid van deze ondersteuning" is bijgewerkt
  • De sectie "Inleiding" bijgewerkt
  • Een opmerking toegevoegd onder "Bronnen" voor zowel client als server.
11 november 2025
  • Clientkoppeling is bijgewerkt onder "Bronnen" van - "https://www.microsoft.com/download/details.aspx?id=108394" tot "www.microsoft.com/en-us/download/details.aspx?id=108428."
  • Datum van publicatie gewijzigd van 29-9-2025 in 27-10-2025
26 november 2025
  • Er is een nieuwe opmerking toegevoegd onder Automatische certificaatimplementatie via Updates.
  • De definities van Ingeschakeld en Uitgeschakeld verwisseld onder 'Automatische certificaatimplementatie via Updates'.

In dit artikel:

Inleiding

Dit document beschrijft de ondersteuning voor het implementeren, beheren en controleren van de certificaatupdates voor beveiligd opstarten met behulp van het groepsbeleid voor beveiligd opstarten. De instellingen bestaan uit:

  • De mogelijkheid om de implementatie op een apparaat te activeren
  • Een instelling voor het in-/uitschakelen van buckets met een hoge betrouwbaarheid
  • Een instelling om u aan of af te melden voor Microsoft beheren van updates

Opmerking: Beheersjablonen (.admx) en het groepsbeleid moeten worden gedownload van de officiële Microsoft-site. Raadpleeg ook: Informatiebronnen.

Configuratiemethode voor groepsbeleid-objecten (GPO)

Deze methode biedt een eenvoudige instelling voor Secure Boot-groepsbeleid die domeinbeheerders kunnen instellen om Secure Boot-updates te implementeren op alle Windows-clients en -servers die lid zijn van een domein. Bovendien kunnen twee Beveiligd opstart-assistenten worden beheerd met opt-in/opt-out-instellingen.

Als je de updates wilt downloaden die het beleid voor het implementeren van secure boot-certificaatupdates bevatten, raadpleeg je de onderstaande sectie Informatiebronnen.

Dit beleid vindt u onder het volgende pad in de gebruikersinterface van het groepsbeleid:

Computerconfiguratie-Beheersjablonen-Windows-onderdelen-Beveiligd>>> opstarten

Belangrijk

Updates voor beveiligd opstarten zijn afhankelijk van de firmware van het apparaat en sommige apparaten kunnen compatibiliteitsproblemen ondervinden. Voor een veilige implementatie:

  1. Valideer het updatebeleid op ten minste één apparaat voor elk apparaattype in uw organisatie.
  2. Bevestig dat certificaten voor beveiligd opstarten zijn toegepast op de UEFI DB en KEK. Ga voor gedetailleerde stappen naar Updates van Secure Boot-certificaat: richtlijnen voor IT-professionals en organisaties.
  3. Na validatie groepeert u apparaten op bucket-hash en past u het beleid toe op deze apparaten voor een gecontroleerde implementatie.

Beschikbare configuratie-instellingen

Afbeelding

De drie instellingen die beschikbaar zijn voor de implementatie van Secure Boot-certificaten worden hier beschreven. Deze instellingen komen overeen met de registersleutels die worden beschreven in Registersleutelupdates voor Secure Boot: Windows-apparaten met door IT beheerde updates.

Secure Boot-certificaatimplementatie inschakelen

Naam van instelling voor groepsbeleid: Implementatie van Secure Boot-certificaat inschakelen

Afbeeldingen

Beschrijving:
Met dit beleid wordt bepaald of Windows het implementatieproces van het Secure Boot-certificaat op apparaten initieert. 

  • Ingeschakeld: Windows begint automatisch met het implementeren van bijgewerkte certificaten voor beveiligd opstarten zodra de taak voor beveiligd opstarten is uitgevoerd.
  • Uitgeschakeld: Windows implementeert certificaten niet automatisch.
  • Niet geconfigureerd: standaardgedrag is van toepassing (geen automatische implementatie).

Opmerking

  • De taak waarmee deze instelling wordt verwerkt, wordt elke 12 uur uitgevoerd. Sommige updates moeten mogelijk opnieuw worden opgestart om veilig te worden voltooid.
  • Zodra certificaten zijn toegepast op firmware, kunnen deze niet meer uit Windows worden verwijderd. Het wissen van certificaten moet worden gedaan via de firmware-interface.
  • Deze instelling wordt beschouwd als een voorkeur; als het groepsbeleidsobject wordt verwijderd, blijft de registerwaarde behouden.
  • Komt overeen met de registersleutel AvailableUpdates.

Automatische certificaatimplementatie via Updates

Naam van instelling voor groepsbeleid: Automatische certificaatimplementatie via Updates

afbeeldingen.

Beschrijving:
Met dit beleid wordt bepaald of certificaatupdates voor beveiligd opstarten automatisch worden toegepast via maandelijkse beveiligings- en niet-beveiligingsupdates voor Windows. Apparaten die door Microsoft zijn gevalideerd als apparaten die variabel beveiligd opstarten kunnen verwerken, ontvangen deze updates als onderdeel van cumulatief onderhoud en passen deze automatisch toe. 

Opmerking

Als u dit beleid inschakelt, wordt automatische certificaatimplementatie via Updates uitgeschakeld. Dit komt overeen met het instellen van de registersleutel HighConfidenceOptOut op 1.
Als u dit beleid uitschakelt, wordt gekozen voor automatische certificaatimplementatie via Updates. Dit komt overeen met het instellen van HighConfidenceOptOut op 0.

  • Enabled: Automatische implementatie is geblokkeerd. updates moeten handmatig worden beheerd.
  • Uitgeschakeld: Apparaten met gevalideerde updateresultaten ontvangen automatisch certificaatupdates tijdens onderhoud.
  • Niet geconfigureerd: automatische implementatie vindt standaard plaats.

Opmerking

  • Beoogde apparaten hebben bevestigd om updates met succes te verwerken.
  • Configureer dit beleid om te kiezen voor automatische implementatie.
  • Komt overeen met de registersleutel HighConfidenceOptOut.

Certificaatimplementatie via gecontroleerde functie-implementatie

Naam van instelling voor groepsbeleid: Certificaatimplementatie via gecontroleerde functie-implementatie

afbeelding

Beschrijving:
Met dit beleid kunnen ondernemingen deelnemen aan een gecontroleerde functie-implementatie van een Secure Boot-certificaatupdate beheerd door Microsoft.

  • Ingeschakeld: Microsoft helpt bij het implementeren van certificaten op apparaten die zijn geregistreerd bij de implementatie.
  • Uitgeschakeld of niet geconfigureerd: geen deelname aan gecontroleerde implementatie.

Vereisten:

Bronnen

Zie ook Registersleutelupdates voor beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutels UEFICA2023Status en UEFICA2023Error voor het bewaken van apparaatresultaten.

Zie Gebeurtenissen voor variabele updates van Secure Boot DB en DBX voor gebeurtenissen die nuttig zijn om inzicht te krijgen in de status van apparaten, apparaatkenmerken en apparaatbucket-id's. Besteed speciale aandacht aan gebeurtenissen 1801 en 1808 die op de evenementenpagina worden beschreven.

Gebruik de onderstaande koppelingen voor de MSI's voor het groepsbeleid en het referentiewerkblad voor huisartsinstellingen of zorg ervoor dat de beheersjablonen die u gebruikt, zijn gepubliceerd op of na de datums die in de tabel zijn vermeld.

Platform Gepubliceerde MSI Gepubliceerde GP-instellingen Reference Spreadsheet
Client
Opmerking: De beheersjablonen (.admx) zijn OS-onafhankelijk en werken in ALLE ondersteunde besturingssystemen.
Download Beheersjablonen (.admx) voor Windows 11 2025 Update (25H2) - V2.0 van de officiële Microsoft-site
Gepubliceerd: 27-10-2025
Download groepsbeleid Referentiespreadsheet voor instellingen voor Windows 11 2025 Update (25H2) - V2.0 van de officiële Microsoft-site
Gepubliceerd: 2-10-2025
Server
Opmerking: De beheersjablonen (.admx) zijn OS-onafhankelijk en werken in ALLE ondersteunde besturingssystemen.
Download beheersjablonen (.admx) voor Windows Server 2025 (release van 25 oktober) van de officiële Microsoft-site
Gepubliceerd: 27-10-2025
Download Spreadsheet met instellingen voor groepsbeleid voor Windows Server 2025 (release van 25 oktober) van de officiële Microsoft-site
Gepubliceerd: 27-10-2025