Beveiligd opstarten is een beveiligingsfunctie in UEFI-firmware (Unified Extensible Firmware Interface) die ervoor zorgt dat alleen vertrouwde software wordt uitgevoerd tijdens het opstarten (starten) van een apparaat. Het werkt door de digitale handtekening van pre-boot software te verifiëren aan de hand van een set vertrouwde digitale certificaten (ook wel certificeringsinstantie of CA genoemd) die zijn opgeslagen in de firmware van het apparaat. Als industriestandaard definieert UEFI Secure Boot hoe platformfirmware de certificaten beheert, firmware verifieert en hoe het besturingssysteem (OS) met dit proces communiceert.
Windows Secure Boot-certificaten verlopen in 2026
Om uw Windows-apparaat veilig te houden, werkt Microsoft de certificaten bij die worden gebruikt door Beveiligd opstarten. Dit is een beveiligingsfunctie waarmee uw apparaten tijdens het opstarten tegen malware worden beschermd. Deze certificaten, oorspronkelijk uitgegeven in 2011, verlopen in juni 2026. Om beveiligd te blijven, moet uw apparaat vóór die tijd een nieuwere set 2023-certificaten voor beveiligd opstarten ontvangen. Voor de meeste gebruikers worden de benodigde updates automatisch geleverd via Windows Updates zonder dat gebruikersactie is vereist.
Of de updates zijn toegepast, kan worden gecontroleerd via de Windows-beveiliging App, zoals wordt beschreven in Status van certificaatupdate beveiligd opstarten in de Windows-beveiliging-app. IT-professionals in een organisatie kunnen ook de status van beheerde apparaten controleren via een PowerShell-detectiescript.
Welke invloed heeft dit op Surface-apparaten?
Alle Surface-apparaten die in 2024 en hoger zijn uitgebracht, hebben een bijgewerkte UEFI Secure Boot Signature Database (DB) met de nieuwere 2023-certificaten voor beveiligd opstarten. Voor eerdere Surface-apparaten, als je niet wilt wachten tot de benodigde updates automatisch worden geleverd via Windows Update en die apparaten al updates hebben die door IT worden beheerd, zijn er verschillende implementatiemethoden beschikbaar:
· methode groepsbeleid Objecten (GPO)
Sommige Surface-apparaten kunnen deze updates voor beveiligd opstarten ook implementeren via hun UEFI, maar hiervoor zijn extra stappen en tussenkomst van de gebruiker vereist. In de onderstaande tabel ziet u op welke apparaten deze updates gereed zijn voor handmatige implementatie, maar als u dit doet, wordt er een BitLocker-herstelscenario geactiveerd. Zorg er dus voor dat u uw BitLocker-herstelsleutel beschikbaar hebt als u deze stappen uitvoert:
1. Start op in het instellingenmenu van de UEFI-firmware door het volume omhoog en stroom vast te houden
2. Ga naar de sectie Beveiliging en klik onder Beveiligd opstarten op de knop Configuratie wijzigen
3. Selecteer 'Alleen Microsoft' in de vervolgkeuzelijst en kies OK
4. Kies aan de linkerkant van het instellingenmenu de optie Afsluiten en vervolgens 'Nu opnieuw opstarten'
Ongeacht de methode die wordt gebruikt voor het bijwerken van Secure Boot-certificaten, hebben alle Surface-apparaten in de onderstaande tabel (en apparaten die zijn uitgebracht in 2024 en hoger) bijgewerkte herstelinstallatiekopieën die beschikbaar zijn van Microsoft waarvoor deze certificaten zijn vereist.
| Productnaam | Minimale UEFI-versie met beschikbare updates voor beveiligd opstarten |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 met 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Surface Hub 3-herstelinstallatiekopieën kunnen worden gebruikt met Hub 2S-apparaten die zijn gemigreerd naar Windows 11.
Aanvullende opties voor IT-professionals en organisaties
De Windows Assessment and Deployment Kit (ADK) heeft ondersteuning toegevoegd voor de 2023 CA in versie 10.1.26100.2454 (december 2024) en nieuwe Installatiekopieën van Windows Preinstallation Environment (WinPE) kunnen worden gemaakt met het bijgewerkte certificaat. Bestaande installatiekopieën kunnen worden bijgewerkt volgens de richtlijnen hier: Windows-opstartbare media bijwerken om de PCA2023 ondertekende opstartbeheer te gebruiken.