Verlopen van Windows Secure Boot-certificaat
Belangrijk: Certificaten voor beveiligd opstarten die door de meeste Windows-apparaten worden gebruikt, verlopen vanaf juni 2026. Dit kan van invloed zijn op de mogelijkheid van bepaalde persoonlijke en zakelijke apparaten om veilig op te starten als deze niet op tijd is bijgewerkt. Om onderbrekingen te voorkomen, raden we u aan de richtlijnen te bekijken en van tevoren actie te ondernemen om certificaten bij te werken.
Zie Windows Secure Boot-certificaatverloop en CA-updates voor meer informatie en voorbereidingsstappen voor Windows-apparaten.
Zie de volgende bronnen voor meer informatie en voorbereidingsstappen voor Windows-servers:
Overzicht
In dit artikel vindt u een overzicht van de beveiligingsproblemen en kwaliteitsverbeteringen die zijn opgenomen in deze cumulatieve beveiligingsupdate.
Van toepassing op: Windows 10 ESU
Belangrijk: Gebruik EKB KB5015684 om bij te werken naar Windows 10, versie 22H2.
Deze beveiligingsupdate bevat correcties en kwaliteitsverbeteringen die deel uitmaken van de volgende updates:
Hier volgt een overzicht van de problemen die met deze update worden opgelost wanneer u deze update installeert. Als er nieuwe functies zijn, worden deze ook vermeld. De vetgedrukte tekst tussen de haken geeft het item of gebied aan van de wijziging die we documenteren.
-
[Beveiligingswaarschuwingen voor extern bureaublad (bekend probleem)] Opgelost: het dialoogvenster Beveiligingswaarschuwing voor verbinding met extern bureaublad kan onjuist worden weergegeven in configuraties met meerdere beeldschermen met verschillende instellingen voor het schalen van beeldschermen. Dit probleem kan optreden na de installatie van de Windows-beveiligingsupdate die is uitgebracht op 14 april 2026 (KB5082200).
-
[Beveiligd opstarten]
-
Met deze update wordt dynamische statusrapportage ingeschakeld voor statussen van beveiligd opstarten in Windows-beveiliging App.
-
Met deze update bevatten kwaliteitsupdates van Windows extra gegevens voor apparaten met hoge betrouwbaarheid, waardoor de dekking van apparaten die in aanmerking komen om automatisch nieuwe Secure Boot-certificaten te ontvangen, toeneemt. Apparaten ontvangen de nieuwe certificaten pas na het aantonen van voldoende geslaagde updatesignalen, waarbij een gecontroleerde en gefaseerde implementatie wordt gehandhaafd.
-
-
[Zomertijd] Update voor De Arabische Republiek Egypte ter ondersteuning van de wijzigingsvolgorde van de staatstijd in 2023.
Als u eerdere updates hebt geïnstalleerd, worden alleen de nieuwe updates in dit pakket gedownload en geïnstalleerd op uw apparaat.
Voor meer informatie over beveiligingsproblemen raadpleegt u de nieuwe website van de Handleiding voor beveiligingsupdates en de beveiligings-Updates van mei 2026.
Zie het artikel over de typen Windows-updates en de maandelijkse kwaliteitsupdates voor informatie over de terminologie van Windows-updates. Zie de pagina met de updategeschiedenis voor een overzicht van Windows 10 versie 22H2.
Bekende problemen in deze update
-
Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoerenSymptomen
Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleidsconfiguratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na het installeren van deze update.
Dit probleem is alleen van invloed op een beperkt aantal systemen waarin ALLE volgende voorwaarden waar zijn. Deze voorwaarden zijn waarschijnlijk niet gevonden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.
-
BitLocker is ingeschakeld op het besturingssysteemstation.
-
Het groepsbeleidsinstelling 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
-
Systeeminformatie (msinfo32.exe) rapporteert secure boot state PCR7 Binding als 'Niet mogelijk'.
-
Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Opstartbeheer als standaardinstelling.
-
Op het apparaat wordt het met 2023 ondertekende Windows Opstartbeheer nog niet uitgevoerd.
In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Als je opnieuw opstart, wordt er geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Voor hulp bij het vinden van je BitLocker-herstelsleutel, zie het artikel Je BitLocker-herstelcode vinden.
Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op PCR7-bindingsstatus voordat je deze update installeert.
Oplossing
We werken aan een oplossing voor een aanstaande release en geven meer informatie wanneer deze beschikbaar is.
Om dit probleem tijdelijk te omzeilen, verwijder je de groepsbeleid-configuratie voordat je de update installeert (aanbevolen)
-
Open groepsbeleid-editor (gpedit.msc) of je console Groepsbeleidbeheer.
-
Navigeer naar: Computerconfiguratie > Beheersjablonen > Windows-onderdelen > BitLocker-stationsversleuteling > besturingssysteemstations.
-
Stel 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
-
Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
-
Voer de volgende opdracht uit om BitLocker te onderbreken (waarbij BitLocker is ingeschakeld op station C): manage-bde -protectors -disable C:
-
Voer de volgende opdracht uit om BitLocker te hervatten (waarbij BitLocker is ingeschakeld op station C): manage-bde -protectors -enable C:
-
Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard PCR-profiel te gebruiken.
-
Van toepassing op: Windows 10 Enterprise LTSC 2021 en Windows 10 IoT Enterprise LTSC 2021
Belangrijk: Gebruik EKB KB5003791 om bij te werken naar Windows 10 versie 21H2 op ondersteunde edities.
Deze beveiligingsupdate bevat correcties en kwaliteitsverbeteringen die deel uitmaken van de volgende updates:
Hier volgt een overzicht van de problemen die met deze update worden opgelost wanneer u deze update installeert. Als er nieuwe functies zijn, worden deze ook vermeld. De vetgedrukte tekst tussen de haken geeft het item of gebied aan van de wijziging die we documenteren.
-
[Beveiligingswaarschuwingen voor extern bureaublad (bekend probleem)] Opgelost: het dialoogvenster Beveiligingswaarschuwing voor verbinding met extern bureaublad kan onjuist worden weergegeven in configuraties met meerdere beeldschermen met verschillende instellingen voor het schalen van beeldschermen. Dit probleem kan optreden na de installatie van de Windows-beveiligingsupdate die is uitgebracht op 14 april 2026 (KB5082200).
-
[Beveiligd opstarten]
-
Met deze update wordt dynamische statusrapportage ingeschakeld voor statussen van beveiligd opstarten in Windows-beveiliging App.
-
Met deze update bevatten kwaliteitsupdates van Windows extra gegevens voor apparaten met hoge betrouwbaarheid, waardoor de dekking van apparaten die in aanmerking komen om automatisch nieuwe Secure Boot-certificaten te ontvangen, toeneemt. Apparaten ontvangen de nieuwe certificaten pas na het aantonen van voldoende geslaagde updatesignalen, waarbij een gecontroleerde en gefaseerde implementatie wordt gehandhaafd.
-
-
[Zomertijd] Update voor De Arabische Republiek Egypte ter ondersteuning van de wijzigingsvolgorde van de staatstijd in 2023.
Als u eerdere updates hebt geïnstalleerd, worden alleen de nieuwe updates in dit pakket gedownload en geïnstalleerd op uw apparaat.
Voor meer informatie over beveiligingsproblemen raadpleegt u de nieuwe website van de Handleiding voor beveiligingsupdates en de beveiligings-Updates van mei 2026.
Zie het artikel over de typen Windows-updates en de maandelijkse kwaliteitsupdates voor informatie over de terminologie van Windows-updates. Zie de pagina met de updategeschiedenis voor een overzicht van Windows 10 versie 22H2.
Bekende problemen in deze update
-
Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoerenSymptomen
Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleidsconfiguratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na het installeren van deze update.
Dit probleem is alleen van invloed op een beperkt aantal systemen waarin ALLE volgende voorwaarden waar zijn. Deze voorwaarden zijn waarschijnlijk niet gevonden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.
-
BitLocker is ingeschakeld op het besturingssysteemstation.
-
Het groepsbeleidsinstelling 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
-
Systeeminformatie (msinfo32.exe) rapporteert secure boot state PCR7 Binding als 'Niet mogelijk'.
-
Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Opstartbeheer als standaardinstelling.
-
Op het apparaat wordt het met 2023 ondertekende Windows Opstartbeheer nog niet uitgevoerd.
In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Als je opnieuw opstart, wordt er geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Voor hulp bij het vinden van je BitLocker-herstelsleutel, zie het artikel Je BitLocker-herstelcode vinden.
Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op PCR7-bindingsstatus voordat je deze update installeert.
Oplossing
We werken aan een oplossing voor een aanstaande release en geven meer informatie wanneer deze beschikbaar is.
Om dit probleem tijdelijk te omzeilen, verwijder je de groepsbeleid-configuratie voordat je de update installeert (aanbevolen)
-
Open groepsbeleid-editor (gpedit.msc) of je console Groepsbeleidbeheer.
-
Navigeer naar: Computerconfiguratie > Beheersjablonen > Windows-onderdelen > BitLocker-stationsversleuteling > besturingssysteemstations.
-
Stel 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
-
Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
-
Voer de volgende opdracht uit om BitLocker te onderbreken (waarbij BitLocker is ingeschakeld op station C): manage-bde -protectors -disable C:
-
Voer de volgende opdracht uit om BitLocker te hervatten (waarbij BitLocker is ingeschakeld op station C): manage-bde -protectors -enable C:
-
Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard PCR-profiel te gebruiken.
-
Windows 10 onderhoudsstackupdate (KB5084130) - versie 19041.7183
Microsoft combineert nu de meest recente onderhoudsstackupdate (SSU) voor uw besturingssysteem met de meest recente cumulatieve update (LCU). SSU's verbeteren de betrouwbaarheid van het updateproces en bevatten oplossingen voor de onderhoudsstack, het onderdeel waarmee Windows-updates worden geïnstalleerd.
Opmerking: Deze onderhoudsstackupdate (SSU) bevat verbeterde logica om te controleren of een apparaat wordt gehost op Azure, waarbij een bijgewerkte certificaatketen wordt gebruikt voor validatie. Zie Certificaatdownloads en intrekkingslijsten en Azure certificeringsinstantiedetails om ervoor te zorgen dat het apparaat toegang heeft tot de vereiste domeinen voor certificaatupdates om ervoor te zorgen dat het apparaat toegang heeft tot de vereiste certificaatupdatedomeinen om certificaatupdates te downloaden en te installeren. Zie Onderhoudsstackupdates voor meer informatie over SSU's.
Hoe u deze update kunt downloaden
Voordat u deze update installeert
Belangrijk U moet de meest recente onderhoudsstackupdate (SSU) hebben geïnstalleerd. Als u de meest recente SSU niet installeert voordat u Windows-updates toepast, kan dit ertoe leiden dat de Windows-update pas wordt aangeboden als de meest recente SSU is geïnstalleerd.
Implementatie
Als u deze update implementeert, kiest u een van de volgende opties op basis van uw installatiescenario:
Voor het onderhoud van installatiekopieën van het offline besturingssysteem
-
Als uw installatiekopieën niet de LCU van 25 juli 2023 (KB5028244) of hoger hebben, moet u de speciale zelfstandige SSU (KB5031539) van 13 oktober 2023 installeren voordat u deze update installeert.
Voor Windows Server Update Services (WSUS) implementatie of bij het installeren van het zelfstandige pakket vanuit Microsoft Update Catalog
Deze update downloaden en installeren
Gebruik een van de volgende Windows- en Microsoft-releasekanalen om deze update te downloaden en te installeren.
|
Beschikbaar |
Volgende stap |
|
|
Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update. |
|
Beschikbaar |
Volgende stap |
|
|
Deze update wordt automatisch gedownload en geïnstalleerd van Windows Update voor Bedrijven in overeenstemming met geconfigureerde beleidsregels. |
|
Beschikbaar |
Volgende stap |
|
|
Als u het zelfstandige pakket voor deze update wilt downloaden, gaat u naar de website Microsoft Update-catalogus . Zie Updates downloaden die stuurprogramma's en hotfixes bevatten van de Windows Update-catalogus voor meer informatie over het downloaden en installeren van updates uit de updatecatalogus. |
|
Beschikbaar |
Volgende stap |
|
|
Deze update wordt automatisch gesynchroniseerd met Windows Server Update Services (WSUS) als u Producten en classificaties als volgt configureert:
Als u uw WSUS-server wilt instellen voor synchronisatie op basis van producten en classificaties, raadpleegt u Update synchroniseren per product en classificatie. Zie Updates importeren in WSUS met behulp van PowerShell als u handmatig updates wilt importeren in WSUS. |
Bestandsinformatie
Een lijst met bestanden die deel uitmaken van deze update, is opgenomen in een CSV-bestand (door komma's gescheiden) (*.csv). Het bestand kan worden geopend in een teksteditor zoals Kladblok of in Microsoft Excel.
Opmerking: De Engelse versie (Verenigde Staten) van deze software-update bevat mogelijk bestanden voor extra talen.
Gerelateerde informatie
Als u deze update wilt verwijderen
VOORZICHTIGHEID Voordat u besluit deze update te verwijderen, raadpleegt u Inzicht in de risico's: waarom u beveiligingsupdates niet moet verwijderen.
Als u de LCU wilt verwijderen nadat u het gecombineerde SSU- en LCU-pakket hebt geïnstalleerd, gebruikt u de opdrachtregeloptie DISM/Remove-Package met de naam van het LCU-pakket als argument. U kunt de pakketnaam vinden met behulp van deze opdracht: DISM /online /get-packages.
Het uitvoeren van Windows Update Standalone Installer (wusa.exe) met de schakeloptie /uninstall op het gecombineerde pakket werkt niet omdat het gecombineerde pakket de SSU bevat. U kunt de SSU niet verwijderen uit het systeem na de installatie.
Kennisgeving voor updates van Microsoft Store-toepassingen
Windows-updates installeren geen updates voor Microsoft Store-toepassingen. Als u een zakelijke gebruiker bent, raadpleegt u Microsoft Store-apps - Configuration Manager. Als u een consumentgebruiker bent, raadpleegt u Updates voor apps en games downloaden in de Microsoft Store.
Informatie over het einde van de ondersteuning
Einde van ondersteuning voor Windows 10, versies 21H2/22H2 en Windows 10 Enterprise LTSC 2021
Microsoft biedt geen gratis software-updates meer van Windows Update, technische ondersteuning of beveiligingspatches vanaf de volgende einddatums:
♦ Windows 10 versie 21H2: ondersteuning is beëindigd op 13 juni 2023
♦ Windows 10 versie 22H2: ondersteuning is beëindigd op 14 oktober 2025
♦ Windows 10 Enterprise LTSC 2021: 12 januari 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13 januari 2032
Opmerking: ZieWindows 10 Extended Security Updates (ESU) om kritieke en belangrijke beveiligingsupdates voor Windows 10 te blijven ontvangen. We raden je aan te upgraden naar een latere versie van Windows.
