Opmerking
- Oorspronkelijke publicatiedatum: Laatst bijgewerkt: 15 september 2025
- KB-id: 5068008
Wijzigingenlogboek
| Datum wijzigen | Beschrijving wijzigen |
|---|---|
| 23 februari 2026 |
|
| 9 februari 2026 |
|
| 3 februari 2026 |
|
| 12 januari 2026 |
|
Algemene veelgestelde vragen over beveiligd opstarten
V1: Wat gebeurt er als mijn apparaat de nieuwe certificaten voor beveiligd opstarten niet ontvangt voordat de oude verlopen?
Nadat de certificaten voor beveiligd opstarten zijn verlopen, blijven apparaten die niet de nieuwere 2023-certificaten hebben ontvangen, normaal starten en werken en blijven standaard Windows-updates worden geïnstalleerd. Deze apparaten kunnen echter geen nieuwe beveiligingsmaatregelen meer ontvangen voor het vroege opstartproces, inclusief updates voor Windows Boot Manager, Secure Boot-databases, intrekkingslijsten of oplossingen voor nieuw ontdekte kwetsbaarheden op opstartniveau.
Dit beperkt na verloop van tijd de bescherming van het apparaat tegen nieuwe bedreigingen en kan van invloed zijn op scenario's die afhankelijk zijn van de vertrouwensrelatie voor beveiligd opstarten, zoals BitLocker-beveiliging of bootloaders van derden. De meeste Windows-apparaten ontvangen de bijgewerkte certificaten automatisch en veel OEM's hebben firmware-updates verstrekt wanneer dat nodig was. Door je apparaat up-to-date te houden met deze updates, zorg je ervoor dat het de volledige set beveiligingsmaatregelen kan blijven ontvangen die Beveiligd opstarten moet bieden.
V2: Wanneer moeten certificaten voor beveiligd opstarten worden bijgewerkt?
Het is het beste om certificaten voor beveiligd opstarten ruim vóór de vervaldatum van juni 2026 bij te werken.
Als je apparaat wordt beheerd door Microsoft en diagnostische gegevens deelt met Microsoft, zal Microsoft in de meeste gevallen proberen de certificaten voor beveiligd opstarten automatisch bij te werken. Hoewel Microsoft zijn best zal doen om Secure Boot bij te werken, zullen er situaties zijn waarin de update niet gegarandeerd kan worden toegepast en actie van de klant vereist. De klant is eindverantwoordelijk voor het bijwerken van de certificaten voor beveiligd opstarten.
Voorbeelden van situaties waarin door Microsoft beheerde apparaten waarvoor diagnostische gegevens zijn ingeschakeld, mogelijk geen updates ontvangen, zijn:
- Updates voor Microsoft Secure Boot zijn alleen van toepassing op bepaalde ondersteuningsversies van Windows.
- De diagnostische gegevens die zijn ingeschakeld op uw apparaat worden mogelijk geblokkeerd door een firewall in uw organisatie en bereiken Microsoft niet.
- Er is mogelijk iets mis met de firmware op het apparaat.
Notitie Wat betekent het om 'Beheerd door Microsoft' te zijn? Het systeem deelt diagnostische gegevens en wordt beheerd door Microsoft Cloud of Intune.
Als uw apparaat geen diagnostische gegevens deelt met Microsoft en wordt beheerd door de IT-afdeling van uw organisatie of door de klant, kan de IT-afdeling de systemen bijwerken volgens de richtlijnen van Microsoft in Windows Secure Boot-certificaatverloop en CA-updates.
V3: Hoe worden certificaten voor beveiligd opstarten bijgewerkt?
Als de computer wordt beheerd door Microsoft, worden de certificaten voor beveiligd opstarten bijgewerkt via Windows Update.
Als de computer wordt beheerd door de IT-beheerder van uw organisatie of bedrijf, beschikt de IT-afdeling over methoden om het systeem bij te werken met behulp van richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates.
V4: Wat gebeurt er met Windows 10-systemen na de Extended Security Update (ESU) van 14 oktober 2025?
De ondersteuning voor Windows 10 eindigt op 14 oktober 2025. Zie voor meer informatie De ondersteuning van Windows 10 eindigt op 14 oktober 2025.
Om na deze datum Security Updates te blijven ontvangen, kunnen klanten die op Windows 10 blijven zich aanmelden voor:
- Het Windows 10 Extended Security Updates (ESU)-programma, zie Windows 10 Extended Security Updates (ESU)-programma
- Of als u een ondersteunde LTSC-versie van Windows 10 hebt, zal deze Security Updates blijven krijgen tot de verloopdatum van LTSC. Zie bijvoorbeeld het ESU-programma (Extended Security Updates) voor Windows 10
Opmerking
- Windows 10 Enterprise LTSC is beschikbaar voor aankoop als een zelfstandige SKU of als onderdeel van een Windows Enterprise E3-abonnement.
- Windows IoT Enterprise LTSC kan rechtstreeks worden aangeschaft bij een OEM of via een leverancierslicentie als zelfstandige SKU.
V5: Hoe worden certificaten voor beveiligd opstarten gebruikt?
Met secure boot-certificaten kan de firmware controleren of essentiële onderdelen, zoals opstartmanagers, optie-ROM's (firmwarestuurprogramma's) en andere op firmware gebaseerde software, worden vertrouwd en niet zijn gemanipuleerd. Microsoft gebruikt deze certificaten om opstartmanagers en andere onderdelen te ondertekenen die moeten worden vertrouwd, evenals updates voor beveiligd opstarten. Wanneer oudere certificaten verlopen, kunnen ze niet meer worden gebruikt om nieuwe onderdelen of updates te ondertekenen.
V6: Wat zijn de gevolgen voor apparaten waarop Beveiligd opstarten is uitgeschakeld?
Apparaten waarop Beveiligd opstarten is uitgeschakeld, ontvangen de nieuwe certificaten voor beveiligd opstarten niet in firmware. Als gevolg hiervan blijven ze kwetsbaar voor malware op opstartniveau, zoals bootkits, omdat beveiliging tegen beveiligd opstarten niet wordt afgedwongen.
V7: Zal Microsoft alle certificaten voor beveiligd opstarten bijwerken, inclusief die in de KEK en DB?
Voor apparaten die in aanmerking komen, zoals apparaten die cumulatieve updates ontvangen via een implementatie op basis van vertrouwen of die zijn ingeschreven in Controlled Feature Rollout (CFR) waarvoor diagnostische gegevens zijn ingeschakeld, probeert Microsoft alle toepasselijke certificaten bij te werken. Deze updates worden echter ter ondersteuning geboden, niet als garantie. IT-beheerders blijven verantwoordelijk voor het bijwerken van hun hele machinepark, met behulp van de geautomatiseerde CFR van Microsoft en andere gedocumenteerde implementatiemethoden.
V8: Wanneer zijn de bijgewerkte 2023 Secure Boot-certificaten verzonden?
De certificaten zijn opgenomen in de cumulatieve updates (LCU) van 13 mei 2025 en later. Ze worden echter niet automatisch toegepast er zijn extra stappen vereist. Zie https://aka.ms/getsecureboot voor implementatierichtlijnen.
V9: Wat is het verschil tussen firmware-updates en Windows-updates bij het toepassen van certificaten voor beveiligd opstarten?
Ze dienen verschillende doelen.
Firmware-updates kunnen de standaardvariabelen voor beveiligd opstarten bijwerken die in de firmware zijn opgeslagen. Dit is vooral handig als de instellingen voor beveiligd opstarten later opnieuw worden ingesteld op de standaardwaarden, omdat de standaardwaarden van de firmware bepalen welke certificaten in dat scenario worden hersteld.
Windows past wijzigingen toe in de actieve variabelen voor beveiligd opstarten die worden afgedwongen tijdens normaal opstarten. Deze actieve variabelen zijn wat de firmware gebruikt om opstartonderdelen te valideren en waar Windows op vertrouwt om toekomstige Secure Boot-beveiligingen te leveren.
In de praktijk is Windows er verantwoordelijk voor dat de actieve configuratie voor beveiligd opstarten actueel blijft. Firmware-updates zorgen ervoor dat de standaardwaarden ook worden bijgewerkt, waardoor het risico wordt beperkt als Beveiligd opstarten in de toekomst opnieuw wordt ingesteld of geïnitialiseerd.
Beheerders moeten ervoor zorgen dat de actieve variabelen voor beveiligd opstarten zijn bijgewerkt en de implementatiestatus controleren, ongeacht of firmware-updates beschikbaar zijn.
Veelgestelde vragen over door klant/IT beheerde systemen Secure Boot
V1: Wat kan er worden gedaan om de functionaliteit van beveiligd opstarten te behouden op oudere computers onder leiding van de klant/IT-afdeling die mogelijk geen firmware-updates van de OEM ontvangen?
Er zijn twee mogelijke paden:
- Als de computer wordt beheerd door Microsoft waarbij diagnostische gegevens worden gedeeld en het besturingssysteem wordt ondersteund, zal Microsoft proberen om de computer bij te werken.
- Als het apparaat door de klant wordt beheerd of beheerd door een IT-beheerder, kan de IT-afdeling de updates toepassen op de gevalideerde set computers die veilig updates kunnen uitvoeren volgens de Microsoft-richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates.
Deze stappen zullen naar verwachting de meeste klanten aanspreken zonder dat een firmware-update van OEM's nodig is. Er zijn echter bepaalde gevallen waarin de updates niet van toepassing zijn vanwege bekende of onbekende problemen in de firmware van het apparaat. Volg in dergelijke gevallen de OEM-richtlijnen voor firmware-updates.
Notitie Bij het bovenstaande proces worden de actieve variabelen voor beveiligd opstarten toegepast via het besturingssysteem. De standaardwaarden van de Secure Boot Firmware blijven behouden in de firmware die wordt vrijgegeven door de OEM. De richtlijnen zijn om de configuratie voor beveiligd opstarten niet te wijzigen of bij te werken, tenzij de OEM een update heeft uitgebracht om de standaardwaarden van de firmware te wijzigen in de nieuwe certificaten.
V2: Als een computer certificaten voor beveiligd opstarten heeft verlopen, is het dan mogelijk om een nieuwe versie van Windows te installeren?
Als de certificaten verlopen, is de beveiliging tegen beveiligd opstarten verslechterd. Als het systeem voldoet aan de vereisten voor een nieuwer besturingssysteem, zoals Windows 11, is het mogelijk om een upgrade uit te voeren naar een nieuwere versie van het besturingssysteem van Windows 11.
V3: Wat gebeurt er bij het upgraden van een Windows 10 LTSC-computer zonder beveiligd opstarten naar Windows 11 LTSC na de vervaldatums van het certificaat?
Als beveiligd opstarten niet is ingeschakeld op je Windows 10 LTSC-apparaten, worden deze niet opgenomen in de huidige implementatie voor de nieuwe certificaten voor beveiligd opstarten. Wanneer u begint met de upgrade naar Windows 11 LTSC, moet u specifieke migratiestappen volgen die op dat moment relevant zijn om ervoor te zorgen dat de nieuwe 2023-certificaten worden opgenomen.
V4: Krijgen versies van Windows die niet meer worden ondersteund de bijgewerkte certificaten?
Alleen ondersteunde versies van het Windows-besturingssysteem krijgen de certificaten.
V5: Hoe werken gevirtualiseerde omgevingen met de Secure Boot-certificaatupdates?
Als Windows wordt uitgevoerd in een virtuele omgeving, zijn er twee methoden voor het toevoegen van de nieuwe certificaten aan de firmwarevariabelen voor beveiligd opstarten:
- De maker van de virtuele omgeving (AWS, Azure, Hyper-V, VMware, enz.) kan een update voor de omgeving leveren en de nieuwe certificaten opnemen in de gevirtualiseerde firmware. Dit zou werken voor nieuwe gevirtualiseerde apparaten.
- Als Windows langdurig in een VM wordt uitgevoerd, kunnen de updates net als elk ander apparaat via Windows worden uitgevoerd, mits de gevirtualiseerde firmware secure boot-updates ondersteunt.
V6: Waarom kan Microsoft niet implementeren in mijn enterprise/IT beheerde machinepark met behulp van Controlled Feature Rollout (CFR) die wordt gebruikt in door Microsoft beheerde systemen?
In deze klant-/IT-beheerde omgevingen ontbreken vaak voldoende diagnostische gegevens voor Microsoft om met vertrouwen en veilig nieuwe functies te implementeren. Bovendien geven IT-afdelingen er doorgaans de voorkeur aan om de volledige controle te behouden over de timing en inhoud van updates om naleving, stabiliteit en compatibiliteit met interne tools en workflows te garanderen. Veel bedrijfsapparaten werken ook in gevoelige of beperkte omgevingen waar externe toegang of beheer (geïmpliceerd door CFR) ongewenst of verboden kan zijn.
V7: Mijn apparaat is gestopt met opstarten nadat ik de firmware opnieuw heb ingesteld op de standaardinstellingen. Wat is er gebeurd en hoe kan ik dit oplossen?
Als Windows al gebruikmaakt van de in 2023 ondertekende opstartbeheerder, maar de firmware wordt teruggezet naar de standaardinstellingen die het Windows UEFI CA 2023-certificaat niet bevatten, blokkeert Secure Boot het opstartproces.
Om dit op te lossen, moet je het certificaat 2023 opnieuw toepassen op de DB van de firmware met behulp van de hersteltoepassing. Dit doet u door een herstel-USB te maken en vervolgens het betreffende apparaat vanaf die USB op te starten om het ontbrekende certificaat te herstellen.
Zie voor stapsgewijze instructies de officiële richtlijnen van Microsoft voor het bijwerken van Windows-installatiemedia.
V8: Als de certificaten voor beveiligd opstarten op mijn apparaat al zijn verlopen, kan ik dan nog steeds bijgewerkte certificaten ontvangen?
Ja. De cumulatieve updates die de nieuwe certificaten voor beveiligd opstarten bevatten, kunnen nog steeds worden toegepast, zelfs als de bestaande certificaten zijn verlopen. Als het apparaat Windows kan opstarten en updates kan installeren, kunnen de bijgewerkte certificaten naar firmware worden geschreven door de gepubliceerde implementatierichtlijnen te volgen. De meeste apparaten ontvangen deze updates automatisch, maar sommige systemen vereisen mogelijk aanvullende firmware-updates.