Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 15 september 2025

KB-id: 5068008

Algemene veelgestelde vragen over beveiligd opstarten

U kunt secure boot-certificaten het beste ruim voor de vervaldatum van juni 2026 bijwerken. 

Als uw apparaat wordt beheerd door Microsoft en diagnostische gegevens deelt met Microsoft, zal Microsoft in de meeste gevallen proberen de certificaten voor beveiligd opstarten automatisch bij te werken. Hoewel Microsoft haar best doet om Beveiligd opstarten bij te werken, zijn er enkele situaties waarin de update niet gegarandeerd van toepassing is en actie van de klant nodig heeft. De klant is uiteindelijk verantwoordelijk voor het bijwerken van de Certificaten voor beveiligd opstarten. 

Enkele voorbeeldsituaties waarin door Microsoft beheerde apparaten met gedeelde diagnostische gegevens niet worden bijgewerkt, zijn als volgt: 

  • Microsoft Secure Boot-updates werken alleen op sommige versies van Windows die ondersteuning bieden.

  • De diagnostische gegevens die op uw apparaat zijn ingeschakeld, kunnen worden geblokkeerd door een firewall in uw organisatie en Microsoft niet bereiken.

  • Er is mogelijk iets mis met de firmware op het apparaat.

Opmerking Wat betekent het om 'Beheerd door Microsoft' te zijn? Het systeem deelt diagnostische gegevens en wordt beheerd door Microsoft Cloud of Intune. 

Als uw apparaat geen diagnostische gegevens deelt met Microsoft en wordt beheerd door de IT-afdeling van uw organisatie of door de klant, kan de IT-afdeling de systemen bijwerken volgens de richtlijnen van Microsoft in Windows Secure Boot-certificaatverloop en CA-updates.

Als de computer wordt beheerd door Microsoft, worden certificaten voor beveiligd opstarten bijgewerkt via Windows Update.  

Als de computer wordt beheerd door uw organisatie of zakelijke IT-beheerder, heeft de IT-afdeling methoden om het systeem bij te werken met behulp van richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates

De computer start Windows nog steeds normaal, zelfs als de certificaten voor beveiligd opstarten niet zijn bijgewerkt.  De computer ontvangt uiteindelijk bepaalde Windows-beveiligingsupdates van Microsoft, waaronder opstartbeheer en beveiligingsupdates voor onderdelen voor beveiligd opstarten. Hierdoor loopt het apparaat het risico op BootKits die de volledige controle over de computer kunnen overnemen.

Windows 10 Ondersteuning eindigt op 14 oktober 2025. Zie Windows 10 ondersteuning eindigt op 14 oktober 2025 voor meer informatie. 

Klanten die op Windows 10 blijven Updates van beveiliging ontvangen, kunnen zich aanmelden voor: 

Opmerking

  • Windows 10 Enterprise LTSC kan worden aangeschaft als zelfstandige SKU of als onderdeel van een Windows Enterprise E3-abonnement.

  • Windows IoT Enterprise LTSC kan rechtstreeks worden aangeschaft bij een OEM of via een leverancierslicentie als zelfstandige SKU.

Veelgestelde vragen over veilig opstarten van klant/IT-beheerde systemen

Er zijn twee mogelijke paden: 

  • Als de computer wordt beheerd door Microsoft met gedeelde diagnostische gegevens en het besturingssysteem wordt ondersteund, probeert Microsoft bij te werken.

  • Als het apparaat door de klant wordt beheerd of beheerd door een IT-beheerder, kan de IT-afdeling de updates toepassen op de gevalideerde set computers die veilig updates kunnen uitvoeren volgens Microsoft-richtlijnen in Windows Secure Boot-certificaatverloop en CA-updates.

Deze stappen zijn naar verwachting geschikt voor de meeste klanten zonder dat ze een firmware-update van OEM's nodig hebben. Er zijn echter bepaalde gevallen waarin de updates niet van toepassing zijn vanwege bekende of onbekende problemen in de firmware van het apparaat. Volg in dergelijke gevallen de OEM-richtlijnen voor firmware-updates. 

Opmerking Met het bovenstaande proces worden de active variabelen voor beveiligd opstarten toegepast via het besturingssysteem. De standaardwaarden voor Secure Boot Firmware worden gehandhaafd in de Firmware die door de OEM is uitgebracht. De richtlijnen zijn om de secure boot-configuratie niet te wijzigen of bij te werken, tenzij de OEM een update heeft uitgebracht om de standaardinstellingen voor firmware te wijzigen in de nieuwe certificaten.

 Als de certificaten verlopen, wordt beveiliging tegen beveiligd opstarten gedegradeerd. Als het systeem voldoet aan de vereisten voor een nieuwer besturingssysteem, zoals Windows 11, is het mogelijk om te upgraden naar een nieuwere versie van het besturingssysteem van Windows 11.  

Als Beveiligd opstarten niet is ingeschakeld op uw Windows 10 LTSC-apparaten, zijn deze niet opgenomen in de huidige implementatie voor de nieuwe Secure Boot-certificaten. Wanneer u begint met de upgrade naar Windows 11 LTSC, moet u specifieke migratiestappen volgen die op dat moment relevant zijn om ervoor te zorgen dat de nieuwe 2023-certificaten worden opgenomen.

Alleen ondersteunde versies van het Windows-besturingssysteem krijgen de certificaten. 

Nadat de certificaten zijn verlopen, blijft het apparaat opstarten zonder wijzigingen, maar het apparaat ontvangt geen beveiligingsupdates meer voor de opstartbeheer- en secure boot-onderdelen. Hierdoor loopt het hele apparaat risico op 'bootkit'-malware die van invloed kan zijn op alle aspecten van de beveiliging op het apparaat.

Voor Windows die wordt uitgevoerd in een virtuele omgeving, zijn er twee methoden om de nieuwe certificaten toe te voegen aan de firmwarevariabelen voor beveiligd opstarten: 

  • De maker van de virtuele omgeving (AWS, Azure, Hyper-V, VMware, enzovoort) kan een update voor de omgeving leveren en de nieuwe certificaten opnemen in de gevirtualiseerde firmware. Dit werkt voor nieuwe gevirtualiseerde apparaten.

  • Voor Windows die op lange termijn op een VM wordt uitgevoerd, kunnen de updates net als andere apparaten via Windows worden toegepast, als de gevirtualiseerde firmware beveiligd opstarten-updates ondersteunt.

Deze door klant/IT beheerde omgevingen hebben vaak onvoldoende diagnostische gegevens voor Microsoft om nieuwe functies veilig en veilig uit te rollen. Bovendien geven IT-afdelingen er doorgaans de voorkeur aan om volledige controle te houden over de tijdsinstellingen en inhoud van updates om naleving, stabiliteit en compatibiliteit met interne hulpprogramma's en werkstromen te garanderen. Veel bedrijfsapparaten werken ook in gevoelige of beperkte omgevingen waar externe toegang of beheer, geïmpliceerd door CFR, mogelijk ongewenst of verboden is.

Als Windows al gebruikmaakt van het met 2023 ondertekende opstartbeheer, maar de firmware opnieuw wordt ingesteld op standaardwaarden die het Windows UEFI CA 2023-certificaat niet bevatten, blokkeert Beveiligd opstarten het opstartproces. 

Om dit op te lossen, moet u het 2023-certificaat opnieuw toepassen op de database van de firmware met behulp van de hersteltoepassing. Dit wordt gedaan door een herstel-USB te maken en vervolgens het betrokken apparaat op te starten vanaf die USB om het ontbrekende certificaat te herstellen. 

Zie de officiële richtlijnen van Microsoft voor het bijwerken van Windows-installatiemedia voor stapsgewijze instructies. 

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum