Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 15 september 2025

KB-id: 5068008

Algemene veelgestelde vragen over beveiligd opstarten

U kunt secure boot-certificaten het beste ruim voor de vervaldatum van juni 2026 bijwerken. 

Als uw apparaat wordt beheerd door Microsoft en diagnostische gegevens deelt met Microsoft, zal Microsoft in de meeste gevallen proberen de certificaten voor beveiligd opstarten automatisch bij te werken. Hoewel Microsoft haar best doet om Beveiligd opstarten bij te werken, zijn er enkele situaties waarin de update niet gegarandeerd van toepassing is en actie van de klant nodig heeft. De klant is uiteindelijk verantwoordelijk voor het bijwerken van de Certificaten voor beveiligd opstarten. 

Enkele voorbeeldsituaties waarin door Microsoft beheerde apparaten met gedeelde diagnostische gegevens niet worden bijgewerkt, zijn als volgt: 

  • Microsoft Secure Boot-updates werken alleen op sommige versies van Windows die ondersteuning bieden.

  • De diagnostische gegevens die op uw apparaat zijn ingeschakeld, kunnen worden geblokkeerd door een firewall in uw organisatie en Microsoft niet bereiken.

  • Er is mogelijk iets mis met de firmware op het apparaat.

Opmerking Wat betekent het om 'Beheerd door Microsoft' te zijn? Het systeem deelt diagnostische gegevens en wordt beheerd door Microsoft Cloud of Intune. 

Als uw apparaat geen diagnostische gegevens deelt met Microsoft en wordt beheerd door de IT-afdeling van uw organisatie of door de klant, kan de IT-afdeling de systemen bijwerken volgens de richtlijnen van Microsoft in Windows Secure Boot-certificaatverloop en CA-updates.

Als de computer wordt beheerd door Microsoft, worden certificaten voor beveiligd opstarten bijgewerkt via Windows Update.  

Als de computer wordt beheerd door uw organisatie of zakelijke IT-beheerder, heeft de IT-afdeling methoden om het systeem bij te werken met behulp van richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates

Windows 10 Ondersteuning eindigt op 14 oktober 2025. Zie Windows 10 ondersteuning eindigt op 14 oktober 2025 voor meer informatie. 

Klanten die op Windows 10 blijven Updates van beveiliging ontvangen, kunnen zich aanmelden voor: 

Opmerking

  • Windows 10 Enterprise LTSC kan worden aangeschaft als zelfstandige SKU of als onderdeel van een Windows Enterprise E3-abonnement.

  • Windows IoT Enterprise LTSC kan rechtstreeks worden aangeschaft bij een OEM of via een leverancierslicentie als zelfstandige SKU.

Het apparaat blijft opstarten en normaal functioneren. Het komt echter niet langer in aanmerking voor het ontvangen van beveiligingspatches met betrekking tot de windows-opstartbeheerupdates of Beveiligd opstarten.

Met certificaten voor beveiligd opstarten kan de firmware controleren of essentiële onderdelen, zoals opstartmanagers, optie-ROM's (firmwarestuurprogramma's) en andere software op basis van firmware, worden vertrouwd en niet zijn gemanipuleerd. Microsoft gebruikt deze certificaten om opstartmanagers en andere onderdelen te ondertekenen die moeten worden vertrouwd, evenals updates voor beveiligd opstarten. Wanneer oudere certificaten verlopen, kunnen ze niet meer worden gebruikt om nieuwe onderdelen of updates te ondertekenen.

Apparaten waarvoor Beveiligd opstarten is uitgeschakeld, ontvangen de nieuwe certificaten voor beveiligd opstarten niet in firmware. Als gevolg hiervan blijven ze kwetsbaar voor malware op opstartniveau, zoals bootkits, omdat beveiligd opstarten niet wordt afgedwongen. 

Voor in aanmerking komende apparaten, zoals apparaten die cumulatieve updates ontvangen via implementatie op basis van betrouwbaarheid of die zijn ingeschreven bij Controlled Feature Rollout (CFR) met ingeschakelde diagnostische gegevens, probeert Microsoft alle toepasselijke certificaten bij te werken. Deze updates worden echter aangeboden als hulpmiddel, niet als garantie. IT-beheerders blijven verantwoordelijk om ervoor te zorgen dat hun hele vloot wordt bijgewerkt, met behulp van de geautomatiseerde CFR van Microsoft en andere gedocumenteerde implementatiemethoden.

De certificaten zijn opgenomen in de cumulatieve updates (LCU) van 13 mei 2025 en hoger. Ze worden echter niet automatisch toegepast, extra stappen zijn vereist. Zie https://aka.ms/getsecureboot voor implementatierichtlijnen.

Veelgestelde vragen over veilig opstarten van klant/IT-beheerde systemen

Er zijn twee mogelijke paden: 

  • Als de computer wordt beheerd door Microsoft met gedeelde diagnostische gegevens en het besturingssysteem wordt ondersteund, probeert Microsoft bij te werken.

  • Als het apparaat door de klant wordt beheerd of beheerd door een IT-beheerder, kan de IT-afdeling de updates toepassen op de gevalideerde set computers die veilig updates kunnen uitvoeren volgens Microsoft-richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates.

Deze stappen zijn naar verwachting geschikt voor de meeste klanten zonder dat ze een firmware-update van OEM's nodig hebben. Er zijn echter bepaalde gevallen waarin de updates niet van toepassing zijn vanwege bekende of onbekende problemen in de firmware van het apparaat. Volg in dergelijke gevallen de OEM-richtlijnen voor firmware-updates. 

Opmerking Met het bovenstaande proces worden de active variabelen voor beveiligd opstarten toegepast via het besturingssysteem. De standaardwaarden voor Secure Boot Firmware worden gehandhaafd in de Firmware die door de OEM is uitgebracht. De richtlijnen zijn om de secure boot-configuratie niet te wijzigen of bij te werken, tenzij de OEM een update heeft uitgebracht om de standaardinstellingen voor firmware te wijzigen in de nieuwe certificaten.

 Als de certificaten verlopen, wordt beveiliging tegen beveiligd opstarten gedegradeerd. Als het systeem voldoet aan de vereisten voor een nieuwer besturingssysteem, zoals Windows 11, is het mogelijk om te upgraden naar een nieuwere versie van het besturingssysteem van Windows 11.  

Als Beveiligd opstarten niet is ingeschakeld op uw Windows 10 LTSC-apparaten, zijn deze niet opgenomen in de huidige implementatie voor de nieuwe Secure Boot-certificaten. Wanneer u begint met de upgrade naar Windows 11 LTSC, moet u specifieke migratiestappen volgen die op dat moment relevant zijn om ervoor te zorgen dat de nieuwe 2023-certificaten worden opgenomen.

Alleen ondersteunde versies van het Windows-besturingssysteem krijgen de certificaten. 

Voor Windows die wordt uitgevoerd in een virtuele omgeving, zijn er twee methoden om de nieuwe certificaten toe te voegen aan de firmwarevariabelen voor beveiligd opstarten: 

  • De maker van de virtuele omgeving (AWS, Azure, Hyper-V, VMware, enzovoort) kan een update voor de omgeving leveren en de nieuwe certificaten opnemen in de gevirtualiseerde firmware. Dit werkt voor nieuwe gevirtualiseerde apparaten.

  • Voor Windows die op lange termijn op een VM wordt uitgevoerd, kunnen de updates net als andere apparaten via Windows worden toegepast, als de gevirtualiseerde firmware beveiligd opstarten-updates ondersteunt.

Deze door klant/IT beheerde omgevingen hebben vaak onvoldoende diagnostische gegevens voor Microsoft om nieuwe functies veilig en veilig uit te rollen. Bovendien geven IT-afdelingen er doorgaans de voorkeur aan om volledige controle te houden over de tijdsinstellingen en inhoud van updates om naleving, stabiliteit en compatibiliteit met interne hulpprogramma's en werkstromen te garanderen. Veel bedrijfsapparaten werken ook in gevoelige of beperkte omgevingen waar externe toegang of beheer, geïmpliceerd door CFR, mogelijk ongewenst of verboden is.

Als Windows al gebruikmaakt van het met 2023 ondertekende opstartbeheer, maar de firmware opnieuw wordt ingesteld op standaardwaarden die het Windows UEFI CA 2023-certificaat niet bevatten, blokkeert Beveiligd opstarten het opstartproces. 

Om dit op te lossen, moet u het 2023-certificaat opnieuw toepassen op de database van de firmware met behulp van de hersteltoepassing. Dit wordt gedaan door een herstel-USB te maken en vervolgens het betrokken apparaat op te starten vanaf die USB om het ontbrekende certificaat te herstellen. 

Zie de officiële richtlijnen van Microsoft voor het bijwerken van Windows-installatiemedia voor stapsgewijze instructies. 

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum