Veelgestelde vragen over het updateproces voor beveiligd opstarten

Nadat de certificaten voor beveiligd opstarten zijn verlopen, blijven apparaten die de nieuwere 2023-certificaten niet hebben ontvangen, gewoon starten en werken ze gewoon en blijven standaard Windows-updates worden geïnstalleerd. Deze apparaten kunnen echter geen nieuwe beveiligingsbeschermingen meer ontvangen voor het vroege opstartproces, waaronder updates voor Windows Boot Manager, beveiligde opstartdatabases, intrekkingslijsten of oplossingen voor nieuw gedetecteerde beveiligingsproblemen op het opstartniveau. 

Na verloop van tijd beperkt dit de beveiliging van het apparaat tegen opkomende bedreigingen en kan dit van invloed zijn op scenario's die afhankelijk zijn van een vertrouwensrelatie voor beveiligd opstarten, zoals BitLocker-beveiliging of opstartlaadprogramma's van derden. De meeste Windows-apparaten ontvangen de bijgewerkte certificaten automatisch en veel OEM's hebben firmware-updates geleverd wanneer dat nodig is. Als u uw apparaat actueel houdt met deze updates, zorgt u ervoor dat het de volledige set beveiligingsbeschermingen kan blijven ontvangen die beveiligd opstarten is ontworpen.

U kunt secure boot-certificaten het beste ruim voor de vervaldatum van juni 2026 bijwerken. 

Als uw apparaat wordt beheerd door Microsoft en diagnostische gegevens deelt met Microsoft, zal Microsoft in de meeste gevallen proberen de certificaten voor beveiligd opstarten automatisch bij te werken. Hoewel Microsoft haar best doet om Beveiligd opstarten bij te werken, zijn er enkele situaties waarin de update niet gegarandeerd van toepassing is en de klant actie moet ondernemen. De klant is uiteindelijk verantwoordelijk voor het bijwerken van de Secure Boot-certificaten. 

Voorbeelden van situaties waarin door Microsoft beheerde apparaten waarop diagnostische gegevens zijn ingeschakeld mogelijk geen updates ontvangen:

• Microsoft Secure Boot-updates zijn alleen van toepassing op bepaalde versies van Windows die worden ondersteund.

• De diagnostische gegevens die op uw apparaat zijn ingeschakeld, kunnen worden geblokkeerd door een firewall in uw organisatie en Microsoft niet bereiken.

• Er is mogelijk iets mis met de firmware op het apparaat.

Opmerking Wat betekent het om 'Beheerd door Microsoft' te zijn? Het systeem deelt diagnostische gegevens en wordt beheerd door Microsoft Cloud of Intune. 

Als uw apparaat geen diagnostische gegevens deelt met Microsoft en wordt beheerd door de IT-afdeling van uw organisatie of door de klant, kan de IT-afdeling de systemen bijwerken volgens de richtlijnen van Microsoft in Windows Secure Boot-certificaatverloop en CA-updates.

Als de computer wordt beheerd door Microsoft, worden certificaten voor beveiligd opstarten bijgewerkt via Windows Update.  

Als de computer wordt beheerd door uw organisatie of zakelijke IT-beheerder, heeft de IT-afdeling methoden om het systeem bij te werken met behulp van richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates. 

Windows 10 Ondersteuning eindigt op 14 oktober 2025. Zie Windows 10 ondersteuning eindigt op 14 oktober 2025 voor meer informatie. 

Klanten die op Windows 10 blijven Updates van beveiliging ontvangen, kunnen zich aanmelden voor: 

• Het Windows 10 ESU-programma (Extended Security Updates), zie Windows 10 ESU-programma (Extended Security Updates)

• Of als u een ondersteunde LTSC-versie van Windows 10 hebt, blijft deze beveiligings-Updates ontvangen tot de ltsc-vervaldatum. Zie Bijvoorbeeld Extended Security Updates (ESU)-programma voor Windows 10

Opmerking

• Windows 10 Enterprise LTSC kan worden aangeschaft als zelfstandige SKU of als onderdeel van een Windows Enterprise E3-abonnement.

• Windows IoT Enterprise LTSC kan rechtstreeks worden aangeschaft bij een OEM of via een leverancierslicentie als zelfstandige SKU.

Met certificaten voor beveiligd opstarten kan de firmware controleren of essentiële onderdelen, zoals opstartmanagers, optie-ROM's (firmwarestuurprogramma's) en andere software op basis van firmware, worden vertrouwd en niet zijn gemanipuleerd. Microsoft gebruikt deze certificaten om opstartmanagers en andere onderdelen te ondertekenen die moeten worden vertrouwd, evenals updates voor beveiligd opstarten. Wanneer oudere certificaten verlopen, kunnen ze niet meer worden gebruikt om nieuwe onderdelen of updates te ondertekenen.

Apparaten waarvoor Beveiligd opstarten is uitgeschakeld, ontvangen de nieuwe certificaten voor beveiligd opstarten niet in firmware. Als gevolg hiervan blijven ze kwetsbaar voor malware op opstartniveau, zoals bootkits, omdat beveiligd opstarten niet wordt afgedwongen. 

Voor in aanmerking komende apparaten, zoals apparaten die cumulatieve updates ontvangen via implementatie op basis van betrouwbaarheid of die zijn ingeschreven bij Controlled Feature Rollout (CFR) met ingeschakelde diagnostische gegevens, probeert Microsoft alle toepasselijke certificaten bij te werken. Deze updates worden echter aangeboden als hulpmiddel, niet als garantie. IT-beheerders blijven verantwoordelijk om ervoor te zorgen dat hun hele vloot wordt bijgewerkt, met behulp van de geautomatiseerde CFR van Microsoft en andere gedocumenteerde implementatiemethoden.

De certificaten zijn opgenomen in de cumulatieve updates (LCU) van 13 mei 2025 en hoger. Ze worden echter niet automatisch toegepast, extra stappen zijn vereist. Zie https://aka.ms/getsecureboot voor implementatierichtlijnen.

Er zijn twee mogelijke paden: 

• Als de computer wordt beheerd door Microsoft met gedeelde diagnostische gegevens en het besturingssysteem wordt ondersteund, probeert Microsoft bij te werken.

• Als het apparaat door de klant wordt beheerd of beheerd door een IT-beheerder, kan de IT-afdeling de updates toepassen op de gevalideerde set computers die veilig updates kunnen uitvoeren volgens Microsoft-richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates.

Deze stappen zijn naar verwachting geschikt voor de meeste klanten zonder dat ze een firmware-update van OEM's nodig hebben. Er zijn echter bepaalde gevallen waarin de updates niet van toepassing zijn vanwege bekende of onbekende problemen in de firmware van het apparaat. Volg in dergelijke gevallen de OEM-richtlijnen voor firmware-updates. 

Opmerking Met het bovenstaande proces worden de active variabelen voor beveiligd opstarten toegepast via het besturingssysteem. De standaardwaarden voor Secure Boot Firmware worden gehandhaafd in de Firmware die door de OEM is uitgebracht. De richtlijnen zijn om de secure boot-configuratie niet te wijzigen of bij te werken, tenzij de OEM een update heeft uitgebracht om de standaardinstellingen voor firmware te wijzigen in de nieuwe certificaten.

 Als de certificaten verlopen, wordt beveiliging tegen beveiligd opstarten gedegradeerd. Als het systeem voldoet aan de vereisten voor een nieuwer besturingssysteem, zoals Windows 11, is het mogelijk om te upgraden naar een nieuwere versie van het besturingssysteem van Windows 11.  

Als Beveiligd opstarten niet is ingeschakeld op uw Windows 10 LTSC-apparaten, zijn deze niet opgenomen in de huidige implementatie voor de nieuwe Secure Boot-certificaten. Wanneer u begint met de upgrade naar Windows 11 LTSC, moet u specifieke migratiestappen volgen die op dat moment relevant zijn om ervoor te zorgen dat de nieuwe 2023-certificaten worden opgenomen.

Alleen ondersteunde versies van het Windows-besturingssysteem krijgen de certificaten. 

Voor Windows die wordt uitgevoerd in een virtuele omgeving, zijn er twee methoden om de nieuwe certificaten toe te voegen aan de firmwarevariabelen voor beveiligd opstarten: 

• De maker van de virtuele omgeving (AWS, Azure, Hyper-V, VMware, enzovoort) kan een update voor de omgeving leveren en de nieuwe certificaten opnemen in de gevirtualiseerde firmware. Dit werkt voor nieuwe gevirtualiseerde apparaten.

• Voor Windows die op lange termijn op een VM wordt uitgevoerd, kunnen de updates net als andere apparaten via Windows worden toegepast, als de gevirtualiseerde firmware beveiligd opstarten-updates ondersteunt.

Deze door klant/IT beheerde omgevingen hebben vaak onvoldoende diagnostische gegevens voor Microsoft om nieuwe functies veilig en veilig uit te rollen. Bovendien geven IT-afdelingen er doorgaans de voorkeur aan om volledige controle te houden over de tijdsinstellingen en inhoud van updates om naleving, stabiliteit en compatibiliteit met interne hulpprogramma's en werkstromen te garanderen. Veel bedrijfsapparaten werken ook in gevoelige of beperkte omgevingen waar externe toegang of beheer, geïmpliceerd door CFR, mogelijk ongewenst of verboden is.

Als Windows al gebruikmaakt van het met 2023 ondertekende opstartbeheer, maar de firmware opnieuw wordt ingesteld op standaardwaarden die het Windows UEFI CA 2023-certificaat niet bevatten, blokkeert Beveiligd opstarten het opstartproces. 

Om dit op te lossen, moet u het 2023-certificaat opnieuw toepassen op de database van de firmware met behulp van de hersteltoepassing. Dit wordt gedaan door een herstel-USB te maken en vervolgens het betrokken apparaat op te starten vanaf die USB om het ontbrekende certificaat te herstellen. 

Zie de officiële richtlijnen van Microsoft voor het bijwerken van Windows-installatiemedia voor stapsgewijze instructies. 

​​​​​​​Jawel. De cumulatieve updates die de nieuwe Secure Boot-certificaten bevatten, kunnen nog steeds worden toegepast, zelfs als de bestaande certificaten zijn verlopen. Als het apparaat Windows kan opstarten en updates kan installeren, kunnen de bijgewerkte certificaten naar firmware worden geschreven door de gepubliceerde implementatierichtlijnen te volgen. De meeste apparaten ontvangen deze updates automatisch, maar voor sommige systemen zijn mogelijk aanvullende firmware-updates vereist.