Van toepassing op
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 19 maart 2026

KB-id: 5085046

In dit artikel

Overzicht

Op deze pagina worden beheerders en ondersteuningsprofessionals begeleid bij het diagnosticeren en oplossen van problemen met betrekking tot beveiligd opstarten op Windows-apparaten. Onderwerpen zijn onder andere fouten bij het bijwerken van certificaten voor beveiligd opstarten, onjuiste statussen voor beveiligd opstarten, onverwachte BitLocker-herstelprompts en opstartfouten na wijzigingen in de configuratie van beveiligd opstarten.

In de richtlijnen wordt uitgelegd hoe u het onderhoud en de configuratie van Windows controleert, relevante registerwaarden en gebeurtenislogboeken controleert en identificeert wanneer firmware- of platformbeperkingen een OEM-update vereisen. Deze inhoud is bedoeld voor het diagnosticeren van problemen op bestaande apparaten. Het is niet bedoeld voor het plannen van nieuwe implementaties. Dit document wordt bijgewerkt wanneer er nieuwe scenario's en richtlijnen voor probleemoplossing worden geïdentificeerd.

Terug naar boven

Hoe beveiligd opstarten van certificaatonderhoud werkt

Secure Boot-certificaatonderhoud in Windows is een gecoördineerd proces tussen het besturingssysteem en de UEFI-firmware van een apparaat. Het doel is om essentiële vertrouwensankers bij te werken met behoud van de mogelijkheid om in elke fase op te starten.

Het proces wordt aangestuurd door een geplande Windows-taak, een op een register gebaseerde reeks updateacties en ingebouwd gedrag voor logboekregistratie en opnieuw proberen. Samen zorgen deze onderdelen ervoor dat certificaten voor beveiligd opstarten en Windows-opstartbeheer op een gecontroleerde, geordende manier worden bijgewerkt en pas nadat de vereiste stappen zijn voltooid.

Terug naar boven

Waar te beginnen bij het oplossen van problemen

Wanneer een apparaat geen verwachte voortgang lijkt te maken met het toepassen van certificaatupdates voor beveiligd opstarten, begint u met het identificeren van de categorie van het probleem. De meeste problemen vallen in een van de vier gebieden: Windows-onderhoudsstatus, het updatemechanisme voor beveiligd opstarten, firmwaregedrag of een platform- of OEM-beperking.

Begin met de onderstaande controles, in volgorde. In veel gevallen zijn deze stappen voldoende om het waargenomen gedrag te verklaren en de volgende acties te bepalen zonder dieper onderzoek.

  1. Controleer of Windows-onderhoud en platform in aanmerking komen

    1. ​​​​​​​Controleer of het apparaat voldoet aan de basisvereisten voor het ontvangen van Secure Boot-certificaatupdates:

    2. Op het apparaat wordt een ondersteunde versie van Windows uitgevoerd.

    3. De meest recente vereiste Windows-beveiligingsupdates zijn geïnstalleerd.

    4. Beveiligd opstarten is ingeschakeld in UEFI-firmware.

    5. Als niet aan een van deze voorwaarden wordt voldaan, kunt u deze oplossen voordat u verdergaat met het oplossen van problemen.

  2. De taakstatus Beveiligd opstarten-bijwerken controleren

    1. Controleer of het Windows-mechanisme dat verantwoordelijk is voor het toepassen van secure boot-certificaatupdates aanwezig is en werkt:

    2. De geplande taak Secure-Boot-Update bestaat.

    3. De taak is ingeschakeld en wordt uitgevoerd als Lokaal systeem.

    4. De taak is minstens één keer uitgevoerd sinds de meest recente Windows-beveiligingsupdate is geïnstalleerd.

    5. Als de taak is uitgeschakeld, verwijderd of niet wordt uitgevoerd, kunnen certificaatupdates voor beveiligd opstarten niet worden toegepast. Het oplossen van problemen moet zich richten op het herstellen van de taak voordat andere oorzaken worden onderzocht.

  3. Registerinstellingen controleren op verwachte voortgang

    Controleer de servicestatus beveiligd opstarten van het apparaat in het register:

    1. Bekijk UEFICA2023Status, UEFICA2023Error en UEFICA2023ErrorEvent.

    2. Bekijk AvailableUpdates en vergelijk deze met de verwachte voortgang (zie Verwijzing en Interne gegevens).

    Samen geven deze waarden aan of het onderhoud normaal verloopt, een bewerking opnieuw probeert uit te voeren of bij een specifieke stap is vastgelopen.

  4. Registerstatus correleren met beveiligd opstarten-gebeurtenissen

    Bekijk Gebeurtenissen met betrekking tot beveiligd opstarten in het gebeurtenislogboek van het systeem en correleren deze met de registerstatus. Gebeurtenisgegevens bevestigen meestal of het apparaat vooruitgang boekt, opnieuw probeert vanwege een tijdelijke situatie of wordt geblokkeerd door een firmware- of platformprobleem.

    Samen geven de register- en gebeurtenislogboeken meestal aan of het gedrag verwacht, tijdelijk is of corrigerende actie vereist.

Terug naar boven

Geplande taak beveiligd opstarten-bijwerken

Beveiligd opstarten certificaatonderhoud wordt geïmplementeerd via een geplande Windows-taak met de naam Secure-Boot-Update. De taak wordt geregistreerd op het volgende pad:

\Microsoft\Windows\PI\Secure-Boot-Update

De taak wordt uitgevoerd als Lokaal systeem. Standaard wordt het uitgevoerd bij het opstarten van het systeem en daarna om de 12 uur. Telkens wanneer de update wordt uitgevoerd, wordt gecontroleerd of de updateacties voor beveiligd opstarten in behandeling zijn en wordt geprobeerd deze opeenvolgend toe te passen.

Als deze taak is uitgeschakeld of ontbreekt, kunnen certificaatupdates voor beveiligd opstarten niet worden toegepast. De taak Beveiligd opstarten-update moet ingeschakeld blijven om het onderhoud van beveiligd opstarten te laten werken.

Terug naar boven

Waarom een geplande taak wordt gebruikt

Certificaatupdates voor beveiligd opstarten vereisen coördinatie tussen Windows en UEFI-firmware, waaronder het schrijven van UEFI-variabelen die sleutels en certificaten voor beveiligd opstarten opslaan. Met een geplande taak kan Windows deze updates proberen wanneer het systeem zich in een status bevindt waarin firmwarevariabelen kunnen worden gewijzigd.

Het terugkerende schema van 12 uur biedt extra mogelijkheden om updates opnieuw uit te voeren als een eerdere poging is mislukt of als het apparaat is ingeschakeld zonder opnieuw op te starten. Dit ontwerp zorgt ervoor dat er vooruitgang wordt geboekt zonder handmatige tussenkomst.

Terug naar boven

Het bitmasker van het register AvailableUpdates

De taak Secure-Boot-Update wordt aangestuurd door de registerwaarde AvailableUpdates . Deze waarde is een 32-bits bitmasker op:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Elke bit in de waarde vertegenwoordigt een specifieke updateactie voor beveiligd opstarten. Het updateproces begint wanneer AvailableUpdates is ingesteld op een niet-nulwaarde, automatisch door Windows of expliciet door een beheerder. Een waarde zoals 0x5944 geeft bijvoorbeeld aan dat meerdere updateacties in behandeling zijn.

Wanneer de taak Secure-Boot-Update wordt uitgevoerd, worden de ingestelde bits geïnterpreteerd als werk in behandeling en worden ze in een gedefinieerde volgorde verwerkt.

Terug naar boven

Opeenvolgende updates, logboekregistratie en herstelgedrag

Certificaatupdates voor beveiligd opstarten worden in een vaste volgorde toegepast. Elke updateactie is ontworpen om veilig opnieuw te proberen en wordt onafhankelijk uitgevoerd. De taak Secure-Boot-Update gaat pas verder met de volgende stap als de huidige actie slaagt en de bijbehorende bit wordt gewist uit AvailableUpdates.

Elke bewerking maakt gebruik van standaard UEFI-interfaces om Secure Boot-variabelen zoals de DB en KEK bij te werken, of om het bijgewerkte Windows-opstartbeheer te installeren. Windows registreert het resultaat van elke stap in het gebeurtenislogboek van het systeem. Geslaagde gebeurtenissen bevestigen de voortgang, terwijl mislukte gebeurtenissen aangeven waarom een actie niet kan worden voltooid.

Als een updatestap mislukt, wordt de verwerking van de taak gestopt, wordt de fout vastgelegd en blijft de bijbehorende bitset achter. De volgende keer dat de taak wordt uitgevoerd, wordt de bewerking opnieuw uitgevoerd. Met dit herstelgedrag kunnen apparaten automatisch herstellen van tijdelijke omstandigheden, zoals ontbrekende firmware-ondersteuning of vertraagde OEM-updates.

Beheerders kunnen de voortgang bijhouden door de registerstatus te correleren met vermeldingen in het gebeurtenislogboek. Registerwaarden zoals UEFICA2023Status, UEFICA2023Error en UEFICA2023ErrorEvent geven samen met het Bitmasker van AvailableUpdates aan welke stap actief, voltooid of geblokkeerd is.

Deze combinatie laat zien of het apparaat normaal verloopt, een bewerking opnieuw probeert uit te voeren of vastgelopen is.

Terug naar boven

Integratie met OEM-firmware

Certificaatupdates voor beveiligd opstarten zijn afhankelijk van het juiste gedrag en de ondersteuning in de UEFI-firmware van een apparaat. Terwijl Windows het updateproces organiseert, is de firmware verantwoordelijk voor het afdwingen van het beleid voor beveiligd opstarten en het onderhouden van de beveiligde opstartdatabases.

OEM's bieden twee essentiële elementen waarmee secure boot-certificaatonderhoud mogelijk is:

  • Met platformsleutel ondertekende Sleuteluitwisselingssleutels (KEK's) waarmee de installatie van nieuwe Secure Boot-certificaten wordt toegestaan.

  • Firmware-implementaties die secure boot-databases correct behouden, toevoegen en valideren tijdens updates.

Als firmware dit gedrag niet volledig ondersteunt, kunnen beveiligd opstarten-updates vastlopen, het voor onbepaalde tijd opnieuw proberen of leiden tot opstartfouten. In deze gevallen kan Windows de update niet voltooien zonder wijzigingen in de firmware.

Microsoft werkt met OEM's om firmwareproblemen te identificeren en gecorrigeerde updates beschikbaar te stellen. Wanneer het oplossen van problemen een firmwarebeperking of -defect aangeeft, moeten beheerders mogelijk de meest recente UEFI-firmware-update van de fabrikant van het apparaat installeren voordat secure boot-certificaatupdates kunnen worden voltooid.

Terug naar boven

Veelvoorkomende foutscenario's en oplossingen

Updates voor beveiligd opstarten worden toegepast door de geplande taak Secure-Boot-Update op basis van de registerstatus AvailableUpdates .

Onder normale omstandigheden worden deze stappen automatisch uitgevoerd en worden geslaagde gebeurtenissen vastgelegd wanneer elke fase is voltooid. In sommige gevallen kunnen firmwaregedrag, platformconfiguratie of onderhoudsvereisten de voortgang verhinderen of leiden tot onverwacht opstartgedrag.

In de onderstaande secties worden de meest voorkomende foutscenario's beschreven, hoe u deze kunt herkennen, waarom ze optreden en de juiste volgende stappen om de normale werking te herstellen. Scenario's worden geordend van meest voorkomende tot ernstigere opstartproblemen.

Wanneer er geen voortgang wordt weergegeven bij updates voor beveiligd opstarten, betekent dit meestal dat het updateproces nooit is gestart. Als gevolg hiervan ontbreken de verwachte registerwaarden en gebeurtenislogboeken voor beveiligd opstarten omdat het updatemechanisme nooit is geactiveerd.

Wat is er gebeurd

Het updateproces voor beveiligd opstarten is niet gestart, dus er zijn geen Certificaten voor beveiligd opstarten of bijgewerkt opstartbeheer toegepast op het apparaat.

Hoe het te herkennen

  • Er zijn geen waarden voor het onderhoud van secure boot aanwezig, zoals UEFICA2023Status.

  • Verwachte secure boot-gebeurtenissen (bijvoorbeeld 1043, 1044, 1045, 1799, 1801) ontbreken in het gebeurtenislogboek van het systeem.

  • Het apparaat blijft oudere Secure Boot-certificaten en opstartonderdelen gebruiken.

Waarom het gebeurt

Dit scenario treedt meestal op wanneer aan een of meer van de volgende voorwaarden wordt voldaan:

  • De geplande taak Secure-Boot-Update is uitgeschakeld of ontbreekt.

  • Beveiligd opstarten is uitgeschakeld in UEFI-firmware.

  • Het apparaat voldoet niet aan de windows-onderhoudsvereisten, zoals het uitvoeren van een ondersteunde Windows-versie of het installeren van vereiste updates.

Wat u nu moet doen

  • Controleer of het apparaat voldoet aan de windows-onderhouds- en platformvereisten.

  • Controleer of Beveiligd opstarten is ingeschakeld in de firmware.

  • Zorg ervoor dat de geplande taak SecureBootUpdate bestaat en is ingeschakeld.

Als de geplande taak is uitgeschakeld of ontbreekt, volgt u de richtlijnen in Geplande taak beveiligd opstarten uitgeschakeld of verwijderd om deze te herstellen. Nadat de taak is hersteld, start u het apparaat opnieuw op of voert u de taak handmatig uit om beveiligd opstarten te starten.

In sommige gevallen kunnen updates met betrekking tot beveiligd opstarten ertoe leiden dat een apparaat BitLocker-herstel invoert. Het gedrag kan tijdelijk of persistent zijn, afhankelijk van de onderliggende oorzaak.

Scenario 1: Eenmalig BitLocker-herstel na secure boot-update

Wat gebeurt er?

Het apparaat gaat naar BitLocker-herstel bij het eerste opstarten na de update voor beveiligd opstarten, maar start normaal op bij volgende herstarts.

Waarom het gebeurt

Tijdens de eerste keer opstarten na de update rapporteert de firmware de bijgewerkte waarden voor beveiligd opstarten nog niet wanneer Windows probeert BitLocker opnieuw te wijzigen. Dit veroorzaakt een tijdelijke niet-overeenkomende gemeten opstartwaarden en activeert herstel. Bij het volgende opstarten rapporteert firmware de bijgewerkte waarden correct, wordt BitLocker opnieuw verzonden en het probleem treedt niet opnieuw op.

Hoe het te herkennen

  • BitLocker-herstel vindt eenmaal plaats.

  • Nadat u de herstelsleutel hebt ingevoerd, wordt bij volgende opstartbewerkingen geen herstel gevraagd.

  • Er is geen doorlopende opstartorder of PXE-betrokkenheid aanwezig.

Wat u nu moet doen

  • Voer de BitLocker-herstelsleutel in om Windows te hervatten.

  • Controleer op firmware-updates.

Scenario 2: Herhaald BitLocker-herstel vanwege pxe eerste opstartconfiguratie

Wat gebeurt er?

Het apparaat gaat bij elke opstartbewerking naar BitLocker-herstel.

Waarom het gebeurt

Het apparaat is geconfigureerd om pxe (netwerk) eerst op te starten. De PXE-opstartpoging mislukt en de firmware valt vervolgens terug naar windows opstartbeheer op de schijf.

Dit resulteert in twee verschillende ondertekeningsautoriteiten die worden gemeten tijdens één opstartcyclus:

  • Het PXE-opstartpad is ondertekend door microsoft UEFI CA 2011.

  • Windows-opstartbeheer op schijf is ondertekend door de Windows UEFI CA 2023.

Omdat BitLocker tijdens het opstarten verschillende Secure Boot-vertrouwensketens observeert, kan er geen stabiele set TPM-metingen worden ingesteld die opnieuw moeten worden uitgevoerd. Als gevolg hiervan gaat BitLocker bij elke opstartbewerking naar herstel.

Hoe het te herkennen

  • BitLocker-herstel wordt geactiveerd bij elke herstart.

  • Als u de herstelsleutel invoert, kan Windows worden gestart, maar de prompt keert terug bij de volgende keer opstarten.

  • PXE of het opstarten van het netwerk wordt geconfigureerd vóór de lokale schijf in de opstartvolgorde van de firmware.

Wat u nu moet doen

  • Configureer de opstartvolgorde van de firmware, zodat windows opstartbeheer op de schijf eerst wordt uitgevoerd.

  • Schakel PXE-opstarten uit als dit niet is vereist.

  • Als PXE vereist is, controleert u of de PXE-infrastructuur gebruikmaakt van een windows-opstartlaadprogramma met een 2023-handtekening.

Wat is er gebeurd

Dit weerspiegelt een wijziging op firmwareniveau in plaats van een Windows-probleem. De update voor beveiligd opstarten is voltooid, maar na een latere herstart start het apparaat niet meer op in Windows.

Hoe het te herkennen

  • Het apparaat kan Windows niet starten en mogelijk wordt een firmware- of BIOS-bericht weergegeven dat een schending van beveiligd opstarten aangeeft.

  • De fout treedt op nadat de instellingen voor beveiligd opstarten opnieuw zijn ingesteld op firmware-standaardwaarden.

  • Als u Beveiligd opstarten uitschakelt, kan het apparaat mogelijk opnieuw opstarten.

Waarom het gebeurt

Als u De standaardinstellingen voor Beveiligd opstarten opnieuw instellen, worden de databases voor beveiligd opstarten die zijn opgeslagen in de firmware gewist. Op apparaten die al zijn overgezet naar het met Windows UEFI CA 2023 ondertekende opstartbeheer, worden met deze reset de certificaten verwijderd die nodig zijn om die opstartmanager te vertrouwen.

Als gevolg hiervan herkent de firmware de geïnstalleerde Windows-opstartbeheer niet meer als vertrouwd en blokkeert het opstartproces.

Dit scenario wordt niet veroorzaakt door de update voor beveiligd opstarten zelf, maar door een volgende firmwareactie die de bijgewerkte vertrouwensankers verwijdert.

Wat u nu moet doen

  • Gebruik het hulpprogramma beveiligd opstarten om het vereiste certificaat te herstellen, zodat het apparaat opnieuw kan worden opgestart.

  • Zorg er na het herstel voor dat op het apparaat de meest recente firmware is geïnstalleerd van de fabrikant van het apparaat.

  • Vermijd het opnieuw instellen van De standaardwaarden voor de firmware van Beveiligd opstarten, tenzij de OEM-firmware bijgewerkte standaardinstellingen voor Beveiligd opstarten bevat die de 2023-certificaten vertrouwen.

Hulpprogramma voor beveiligd opstarten

Het systeem herstellen:

  1. Op een tweede Windows-pc waarop de Windows-update van juli 2024 of nieuwer is geïnstalleerd, kopieert u SecureBootRecovery.efi van C:\Windows\Boot\EFI\.

  2. Plaats het bestand op een USB-station met fat32-indeling onder \EFI\BOOT\ en wijzig de naam ervan in bootx64.efi.

  3. Start het betrokken apparaat op vanaf het USB-station en sta toe dat het herstelprogramma wordt uitgevoerd. Het hulpprogramma voegt de Windows UEFI CA 2023 toe aan de database.

Nadat het certificaat is hersteld en het systeem opnieuw is opgestart, moet Windows normaal worden gestart.

Belangrijk: Met dit proces wordt alleen een van de nieuwe certificaten opnieuw toegepast. Zodra het apparaat is hersteld, controleert u of de meest recente certificaten opnieuw zijn toegepast en kunt u overwegen het BIOS/UEFI van het systeem bij te werken naar de nieuwste versie die beschikbaar is. Dit kan helpen voorkomen dat het probleem met het opnieuw instellen van beveiligd opstarten terugkeert, omdat veel OEM's firmwareoplossingen hebben uitgebracht voor dit specifieke probleem.

Wat is er gebeurd

Na het toepassen van de certificaatupdate voor beveiligd opstarten en opnieuw opstarten, kan het apparaat niet worden opgestart en wordt Windows niet bereikt.

Hoe het te herkennen

  • Het apparaat mislukt onmiddellijk na het opnieuw opstarten dat is vereist voor de update voor beveiligd opstarten.

  • Er kan een firmware- of beveiligd opstarten-fout worden weergegeven, of het systeem kan stoppen voordat Windows wordt geladen.

  • Als u Beveiligd opstarten uitschakelt, kan het apparaat mogelijk worden opgestart.

Waarom het gebeurt

Dit probleem kan worden veroorzaakt door een defect in de UEFI-firmware-implementatie van het apparaat.

Wanneer Windows secure boot-certificaatupdates toepast, wordt verwacht dat de firmware nieuwe certificaten toevoegt aan de bestaande database met toegestane handtekeningen (DB) voor beveiligd opstarten. Sommige firmware-implementaties overschrijven de database onjuist in plaats van eraan toe te voegen.

Wanneer dit het geval is,

  • Eerder vertrouwde certificaten, waaronder het Microsoft 2011-opstartlaadcertificaat, worden verwijderd.

  • Als het systeem nog steeds gebruikmaakt van een opstartmanager die op dat moment is ondertekend met het 2011-certificaat, vertrouwt de firmware dit niet meer.

  • De firmware weigert het opstartbeheer en blokkeert het opstartproces.

In sommige gevallen kan de database ook beschadigd raken in plaats van netjes overschreven, wat leidt tot hetzelfde resultaat. Dit gedrag is waargenomen bij specifieke firmware-implementaties en wordt niet verwacht bij compatibele firmware.

Wat u nu moet doen

  • Voer de installatiemenu's van de firmware in en probeer de instellingen voor beveiligd opstarten opnieuw in te stellen.

  • Als het apparaat wordt opgestart na het opnieuw instellen, controleert u de ondersteuningssite van de fabrikant van het apparaat op een firmware-update die de verwerking van Secure Boot DB corrigeert.

  • Als er een firmware-update beschikbaar is, installeert u deze voordat u Beveiligd opstarten opnieuw inschakelt en secure boot-certificaatupdates opnieuw installeert.

Als het opnieuw instellen van Beveiligd opstarten de opstartfunctionaliteit niet herstelt, is voor verder herstel waarschijnlijk OEM-specifieke richtlijnen vereist.

Wat is er gebeurd

De certificaatupdate voor beveiligd opstarten is niet voltooid en blijft geblokkeerd in de updatefase van Key Exchange Key (KEK).

Hoe het te herkennen

  • De registerwaarde AvailableUpdates blijft ingesteld met de KEK-bit (0x0004) en wordt niet gewist.

  • UEFICA2023Status gaat niet naar een voltooide status.

  • In het gebeurtenislogboek systeem wordt herhaaldelijk gebeurtenis-id 1803 vastgelegd, wat aangeeft dat de KEK-update niet kan worden toegepast.

  • Het apparaat blijft de update opnieuw proberen zonder vooruit te gaan.

Waarom het gebeurt

Voor het bijwerken van de KEK beveiligd opstarten is autorisatie vereist van de Platform Key (PK) van het apparaat, die eigendom is van de OEM.

De update slaagt alleen als de fabrikant van het apparaat Microsoft een DOOR PK ondertekende KEK voor dat specifieke platform verstrekt. Deze DOOR OEM ondertekende KEK is opgenomen in Windows-updates en stelt Windows in staat om de firmware-KEK-variabele bij te werken.

Als de OEM geen DOOR PK ondertekende KEK heeft opgegeven voor het apparaat, kan Windows de KEK-update niet voltooien. In deze status:

  • Updates voor beveiligd opstarten worden standaard geblokkeerd.

  • Windows kan de ontbrekende autorisatie niet omzeilen.

  • Het apparaat kan het beveiligd opstarten van certificaatonderhoud permanent niet voltooien.

Dit kan optreden op oudere of niet-ondersteuningsapparaten waarbij de OEM geen firmware- of sleutelupdates meer biedt. Er is geen ondersteund handmatig herstelpad voor deze voorwaarde.

Terug naar boven

Wanneer secure boot-certificaatupdates niet worden toegepast, registreert Windows diagnostische gebeurtenissen die verklaren waarom de voortgang is geblokkeerd. Deze gebeurtenissen worden geschreven wanneer het bijwerken van de Secure Boot Signature Database (DB) of Key Exchange Key (KEK) niet veilig kan worden voltooid vanwege firmware, platformstatus of configuratievoorwaarden. De scenario's in deze sectie verwijzen naar deze gebeurtenissen om veelvoorkomende foutpatronen te identificeren en het juiste herstel te bepalen. Deze sectie is bedoeld ter ondersteuning van diagnose en interpretatie van problemen die eerder zijn beschreven, niet om nieuwe foutscenario's te introduceren.

Zie Secure Boot DB- en DBX-variabele updategebeurtenissen (KB5016061) voor een volledige lijst met gebeurtenis-id's, beschrijvingen en voorbeeldvermeldingen.

KEK-updatefout (DB-updates slagen, KEK niet)

Een apparaat kan certificaten in de Secure Boot DB bijwerken, maar mislukt tijdens de KEK-update. Wanneer dit gebeurt, kan het updateproces voor beveiligd opstarten niet worden voltooid.

Symptomen

  • DB-certificaatgebeurtenissen geven voortgang aan, maar de KEK-fase is niet voltooid.

  • AvailableUpdates blijft ingesteld op 0x4004 en de 0x0004 bit wordt niet gewist na meerdere taakuitvoeringen.

  • Gebeurtenis 1795 of 1803 kan aanwezig zijn.

Interpretatie

  • 1795 duidt meestal op een firmwarefout tijdens het bijwerken van een secure boot-variabele.

  • 1803 geeft aan dat de KEK-update niet kan worden geautoriseerd omdat een vereiste DOOR OEM PK ondertekende KEK-nettolading niet beschikbaar is voor het platform.

Volgende stappen

  • Voor 1795 controleert u op OEM-firmware-updates en valideert u firmwareondersteuning voor variabele updates voor beveiligd opstarten.

  • Voor 1803 controleert u of de OEM Microsoft heeft voorzien van de door PK ondertekende KEK die vereist is voor het apparaatmodel.

KEK-updatefout op gast-VM's die worden gehost op Hyper-V 

Op virtuele Hyper-V-machines moeten voor certificaatupdates voor beveiligd opstarten de Windows-updates van maart 2026 worden geïnstalleerd op zowel de Hyper-V-host als het gastbesturingssysteem.

Updatefouten worden gerapporteerd vanuit de gast, maar de gebeurtenis geeft aan waar herstel is vereist:

  • Gebeurtenis 1795 (bijvoorbeeld 'De media is schrijfbeveiliging') die in de gast wordt gerapporteerd, geeft aan dat de Hyper-V-host de update van maart 2026 ontbreekt en moet worden bijgewerkt.

  • Gebeurtenis 1803 die in de gast wordt gerapporteerd, geeft aan dat de update van maart 2026 ontbreekt op de virtuele gastmachine zelf en moet worden bijgewerkt.

Terug naar boven 

Verwijzing en interne gegevens

Deze sectie bevat geavanceerde naslaginformatie die is bedoeld voor probleemoplossing en ondersteuning. Het is niet bedoeld voor implementatieplanning. Het is een uitbreiding van de servicemechanismen voor beveiligd opstarten die eerder zijn samengevat en biedt gedetailleerd referentiemateriaal voor het interpreteren van de registerstatus en gebeurtenislogboeken.

Opmerking (door IT beheerde implementaties): wanneer deze zijn geconfigureerd via groepsbeleid of Microsoft Intune, mogen twee vergelijkbare instellingen niet worden verward. De waarde AvailableUpdatesPolicy vertegenwoordigt de geconfigureerde beleidsstatus. Ondertussen geeft AvailableUpdates de actieve, bit-clearing-werkstatus weer. Beide kunnen hetzelfde resultaat opleveren, maar ze gedragen zich anders omdat beleid na verloop van tijd opnieuw wordt toegepast.

Terug naar boven 

AvailableUpdates-bits die worden gebruikt voor certificaatonderhoud

De onderstaande bits worden gebruikt voor de certificaat- en opstartbeheeracties die in dit document worden beschreven. De kolom Order geeft de volgorde weer waarin de taak Secure-Boot-Update elke bit verwerkt.

Order

Bitinstelling

Gebruik

1

0x0040

Deze bit vertelt de geplande taak om het Windows UEFI CA 2023-certificaat toe te voegen aan de Secure Boot DB. Hierdoor kan Windows opstartmanagers vertrouwen die zijn ondertekend door dit certificaat.

2

0x0800

Deze bit vertelt de geplande taak om de Microsoft Option ROM UEFI CA 2023 toe te passen op de database.  

Voorwaardelijk gedrag: wanneer de vlag 0x4000 is ingesteld, controleert de geplande taak eerst de database voor het UEFI CA 2011-certificaat van Microsoft Corporation . Het UEFI CA 2023-certificaat van Microsoft Option ROM wordt alleen toegepast als het 2011-certificaat aanwezig is.

3

0x1000

Deze bit geeft aan dat de geplande taak de Microsoft UEFI CA 2023 moet toepassen op de database.

Voorwaardelijk gedrag: wanneer de vlag 0x4000 is ingesteld, controleert de geplande taak eerst de database op het UEFI CA 2011-certificaat van Microsoft Corporation . Het Microsoft UEFI CA 2023-certificaat wordt alleen toegepast als het 2011-certificaat aanwezig is.

Modifier (gedragsvlag)

0x4000

Deze bit wijzigt het gedrag van de 0x0800 en 0x1000 bits, zodat de Microsoft UEFI CA 2023 en Microsoft Option ROM UEFI CA 2023 alleen worden toegepast als de database al de Microsoft Corporation UEFI CA 2011 bevat.   Om ervoor te zorgen dat het beveiligingsprofiel van het apparaat hetzelfde blijft, worden deze nieuwe certificaten alleen toegepast als het apparaat het Microsoft Corporation UEFI CA 2011-certificaat vertrouwt. Niet alle Windows-apparaten vertrouwen dit certificaat.

4

0x0004

Deze bit vertelt de geplande taak om te zoeken naar een sleuteluitwisselingssleutel die is ondertekend door de Platform Key (PK) van het apparaat. De PK wordt beheerd door de OEM. OEM's ondertekenen de Microsoft KEK met hun PK en leveren deze aan Microsoft, waar deze is opgenomen in maandelijkse cumulatieve updates.

5

0x0100

Deze bit vertelt de geplande taak om het opstartbeheer, ondertekend door de Windows UEFI CA 2023, toe te passen op de opstartpartitie. Hiermee vervangt u de door Microsoft Windows Production PCA 2011 ondertekende opstartmanager.

Opmerkingen:

  • De 0x4000 bit blijft ingesteld nadat alle andere bits zijn verwerkt.

  • Elke bit wordt verwerkt door de geplande taak Secure-Boot-Update in de hierboven weergegeven volgorde.

  • Als de 0x0004 bit niet kan worden verwerkt vanwege een ontbrekende PK-ondertekende KEK, wordt met de geplande taak nog steeds de opstartbeheerupdate toegepast die wordt aangegeven met bit 0x0100.

Terug naar boven 

Verwachte voortgang (AvailableUpdates)

Wanneer een bewerking is voltooid, wordt de bijbehorende bit uit AvailableUpdates gewist. Als een bewerking mislukt, registreert Windows een gebeurtenis en probeert het opnieuw wanneer de taak opnieuw wordt uitgevoerd.

In de onderstaande tabel ziet u de verwachte voortgang van AvailableUpdates-waarden wanneer elke updateactie voor beveiligd opstarten wordt voltooid.

Stap

Bit verwerkt

Beschikbare Updates

Beschrijving

Geslaagde gebeurtenis geregistreerd

Mogelijke foutcodes voor gebeurteniscodes

Start

0x5944

Initiële status voordat het beveiligd opstarten van certificaatservice wordt gestart.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 wordt toegevoegd aan de Secure Boot DB.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Voeg Microsoft Option ROM UEFI CA 2023 toe aan de database als het apparaat eerder de Microsoft UEFI CA 2011 vertrouwde.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 wordt toegevoegd aan de database als het apparaat eerder de Microsoft UEFI CA 2011 vertrouwde.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Nieuwe Microsoft KEK 2K CA 2023, ondertekend door de OEM-platformsleutel, wordt toegepast.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Opstartbeheer ondertekend door Windows UEFI CA 2023 is geïnstalleerd.

1799

1797

Opmerkingen

  • Zodra de bewerking die is gekoppeld aan een bit is voltooid, wordt die bit gewist uit AvailableUpdates.

  • Als een van deze bewerkingen mislukt, wordt een gebeurtenis vastgelegd en wordt de bewerking opnieuw uitgevoerd wanneer de geplande taak de volgende keer wordt uitgevoerd.

  • De 0x4000 bit is een wijzigingsfunctie en is niet gewist. Een laatste AvailableUpdates-waarde van 0x4000 geeft aan dat alle toepasselijke updateacties zijn voltooid.

  • Gebeurtenissen 1032, 1795, 1796, 1802 duiden meestal op firmware- of platformbeperkingen.

  • Gebeurtenis 1803 geeft een ontbrekende KEK met OEM PK aan.

Terug naar boven 

Herstelprocedures

Deze sectie bevat stapsgewijze procedures voor het oplossen van specifieke problemen met beveiligd opstarten. Elke procedure is gericht op een goed gedefinieerde voorwaarde en is bedoeld om pas te worden gevolgd nadat de eerste diagnose bevestigt dat het probleem van toepassing is. Gebruik deze procedures om het verwachte gedrag van beveiligd opstarten te herstellen en toe te staan dat certificaatupdates veilig doorgaan. Pas deze procedures niet ruim of preventief toe.

Terug naar boven

Beveiligd opstarten inschakelen in firmware

Als Beveiligd opstarten is uitgeschakeld in de firmware van een apparaat, raadpleegt u Windows 11 en Beveiligd opstarten voor meer informatie over het inschakelen van Beveiligd opstarten.

Terug naar boven

Geplande taak beveiligd opstarten is uitgeschakeld of verwijderd

De geplande taak Secure-Boot-Update is vereist voor Windows om secure boot-certificaatupdates toe te passen. Als de taak is uitgeschakeld of ontbreekt, wordt het beveiligd opstarten niet uitgevoerd.

Taakdetails

Taaknaam

Secure-Boot-Update

Taakpad

\Microsoft\Windows\PI\

Volledig pad

\Microsoft\Windows\PI\Secure-Boot-Update

Wordt uitgevoerd als

SYSTEM (lokaal systeem)

Triggers,

Bij opstarten en elke 12 uur

Vereiste status

Ingeschakeld

Taakstatus controleren

Uitvoeren vanaf een PowerShell-prompt met verhoogde bevoegdheid: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Zoek het veld Status:

Status

Betekenis

Klaar

De taak bestaat en is ingeschakeld.

Uitgeschakeld

De taak bestaat, maar moet zijn ingeschakeld.

Fout/niet gevonden

De taak ontbreekt en moet opnieuw worden gemaakt.

De taak inschakelen of opnieuw maken

Als het statusveld voor Secure-Boot-Update Uitgeschakeld, Fout of Niet gevonden is, gebruikt u het voorbeeldscript om de taak in te schakelen: Voorbeeld Enable-SecureBootUpdateTask.ps1

Opmerking: dit is een voorbeeldscript en wordt niet ondersteund door Microsoft. Beheerders moeten deze controleren en aanpassen aan hun omgeving.

Voorbeeld:

.\Enable-SecureBootUpdateTask.ps1 -Stil

Uitvoeringsrichtlijnen

  • Als u Toegang geweigerd ziet, voert u PowerShell opnieuw uit als administrator.

  • Als het script niet wordt uitgevoerd vanwege het uitvoeringsbeleid, gebruikt u een omzeiling van het procesbereik:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

Terug naar boven 

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum