Opmerking
- Oorspronkelijke publicatiedatum: 10 februari 2026
- KB-id: 5079373
Beveiligd opstarten helpt ervoor te zorgen dat je apparaat vertrouwd wordt met vertrouwde software. De Microsoft Secure Boot-certificaten die oorspronkelijk zijn uitgegeven in 2011, verlopen in juni 2026. Om bescherming tegen nieuwe bedreigingen op opstartniveau te behouden, werkt Microsoft apparaten bij met een nieuwe set 2023-certificaten. De meeste apparaten ontvangen deze updates automatisch, maar sommige systemen vereisen mogelijk aanvullende firmware-updates.
Wat gebeurt er als de certificaten verlopen?
Als je apparaat de vervaldatum bereikt zonder de nieuwe certificaten, zal het nog steeds normaal starten en werken. Standaard Windows-updates blijven worden geïnstalleerd. Het apparaat kan echter geen nieuwe beveiligingsmaatregelen meer ontvangen voor het vroege opstartproces. Dit omvat updates voor Windows Boot Manager, databases en intrekkingslijsten voor beveiligd opstarten, en oplossingen voor nieuw ontdekte kwetsbaarheden in de opstartketen.
Naarmate er nieuwe bedreigingen opduiken, wordt een apparaat met deze verlopen status steeds minder beschermd. Scenario's die afhankelijk zijn van de vertrouwensrelatie voor beveiligd opstarten (zoals BitLocker-beveiliging, code-integriteit op opstartniveau of bootloaders en optie-ROM's van derden) kunnen ook worden beïnvloed als ze een bijgewerkte vertrouwensrelatie voor beveiligd opstarten vereisen.
Wat blijft werken
- Het apparaat blijft normaal starten.
- De installatie van Windows-updates wordt voortgezet, met uitzondering van opstartgerelateerde beveiligingsonderdelen waarvoor de bijgewerkte certificaten zijn vereist.
- Dagelijks app-gebruik, netwerken, browsen en de meeste besturingssysteemfuncties blijven ongewijzigd.
Wat niet meer werkt
- Er kunnen geen nieuwe beveiligingen voor Secure Boot en Boot Manager worden toegepast.
- Oplossingen voor beveiligingsproblemen in de omgeving met vroeg opstarten, zoals bitLocker-bypass-oplossingen of intrekkingen van beveiligd opstarten, zijn niet beschikbaar.
- Sommige onderdelen van derden die afhankelijk zijn van de vertrouwensrelatie Microsoft Secure Boot kunnen mogelijk niet worden bijgewerkt als ze nieuwere certificaatvermeldingen vereisen.
Beschermd blijven
De meeste persoonlijke Windows-apparaten ontvangen automatisch de nieuwe certificaten voor beveiligd opstarten via door Microsoft beheerde updates. Voor apparaten die worden beheerd door een organisatie, moeten IT-beheerders de richtlijnen volgen voor het bijwerken van het Microsoft Secure Boot-certificaat. Sommige apparaten vereisen mogelijk een OEM-firmware-update om de nieuwe certificaten correct toe te passen. Neem voor elk apparaat, persoonlijk of door de organisatie beheerd, contact op met uw OEM voor informatie over vereiste firmware-updates, rekening houdend met het feit dat dergelijke updates mogelijk alleen beschikbaar zijn voor apparaten die zich nog binnen de ondersteuningsperiode bevinden. Als je je apparaat up-to-date houdt, zorg je ervoor dat het de volledige bescherming blijft ontvangen die Beveiligd opstarten moet bieden.
Opmerking: Beveiligd opstarten mag niet worden uitgeschakeld om het verlopen van certificaten te omzeilen. Als je beveiligd opstarten uitschakelt, wordt de apparaatbeveiliging aanzienlijk verminderd, worden beveiligingen tegen malware op opstartniveau verwijderd en kunnen nieuwe beveiligings- en nalevingsrisico's ontstaan. Het aanbevolen pad is ervoor te zorgen dat uw apparaat de bijgewerkte 2023 Secure Boot-certificaten en alle vereiste OEM-firmware-updates ontvangt.