Oorspronkelijke publicatiedatum: dinsdag 26 juni 2025
KB-id: 5062710
Wat is Beveiligd opstarten?
Beveiligd opstarten is een beveiligingsfunctie in UEFI-firmware (Unified Extensible Firmware Interface) die ervoor zorgt dat alleen vertrouwde software wordt uitgevoerd tijdens het opstarten (starten) van een apparaat. Het werkt door de digitale handtekening van pre-boot software te verifiëren aan de hand van een set vertrouwde digitale certificaten (ook wel certificeringsinstantie of CA genoemd) die zijn opgeslagen in de firmware van het apparaat. Als industriestandaard definieert UEFI Secure Boot hoe platformfirmware de certificaten beheert, firmware verifieert en hoe het besturingssysteem (OS) met dit proces communiceert. Zie Beveiligd opstarten voor meer informatie over UEFI en Beveiligd opstarten.
Beveiligd opstarten is voor het eerst geïntroduceerd in Windows 8 om op dat moment te beschermen tegen de opkomende pre-boot-malware (ook wel bootkit genoemd). Als onderdeel van de initialisatie van het platform verifieert Secure Boot firmwaremodules vóór de uitvoering. Deze modules omvatten UEFI-firmwarestuurprogramma's (zoals optie-ROM's), opstartlaadprogramma's en toepassingen. Als laatste stap van het proces Beveiligd opstarten controleert de firmware of Secure Boot het opstartlaadprogramma vertrouwt. Vervolgens geeft de firmware de controle door aan het opstartlaadprogramma, dat op zijn beurt controleert, in het geheugen laadt en het Windows-besturingssysteem start.
Beveiligd opstarten definieert vertrouwde code via een firmwarebeleid dat is ingesteld tijdens de productie. Wijzigingen in dit beleid, zoals het toevoegen of intrekken van certificaten, worden beheerd door een hiërarchie van sleutels. Deze hiërarchie begint met de Platform Key (PK), die doorgaans eigendom is van de hardwarefabrikant, gevolgd door de Key Enrollment Key (KEK) (ook wel sleuteluitwisselingssleutel genoemd), die een Microsoft KEK en andere OEM-KEK's kan bevatten. De Database met toegestane handtekeningen (DB) en de Niet-toegestane handtekeningdatabase (DBX) bepalen welke code kan worden uitgevoerd in de UEFI-omgeving voordat het besturingssysteem wordt gestart. De database bevat certificaten die worden beheerd door Microsoft en de OEM, terwijl de DBX door Microsoft wordt bijgewerkt met de meest recente intrekkingen. Elke entiteit met een KEK kan de DB en DBX bijwerken.
Windows Secure Boot-certificaten verlopen in 2026
Sinds Windows ondersteuning voor beveiligd opstarten heeft geïntroduceerd, hebben alle Windows-apparaten dezelfde set Microsoft-certificaten in de KEK en DB. Deze oorspronkelijke certificaten naderen de vervaldatum en uw apparaat wordt beïnvloed als het een van de vermelde certificaatversies heeft. Als u Windows wilt blijven uitvoeren en regelmatig updates wilt ontvangen voor uw secure boot-configuratie, moet u deze certificaten bijwerken.
Terminologie
-
KEK: Sleutelinschrijvingssleutel
-
CA: Certificeringsinstantie
-
DB: Handtekeningdatabase voor beveiligd opstarten
-
DBX: Database met ingetrokken handtekening voor beveiligd opstarten
|
Verlopend certificaat |
Verloopdatum |
Nieuw certificaat |
Locatie opslaan |
Doel |
|
Microsoft Corporation KEK CA 2011 |
Juni 2026 |
Microsoft Corporation KEK CA 2023 |
Opgeslagen in KEK |
Ondertekent updates voor DB en DBX. |
|
Microsoft Windows Production PCA 2011 |
Oktober 2026 |
Windows UEFI CA 2023 |
Opgeslagen in db |
Wordt gebruikt voor het ondertekenen van het Windows-opstartlaadprogramma. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft UEFI CA 2023 |
Opgeslagen in db |
Ondertekent opstartlaadprogramma's van derden en EFI-toepassingen. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft Option ROM CA 2023 |
Opgeslagen in db |
Ondertekent optie-ROM's van derden |
*Tijdens de verlenging van het Microsoft Corporation UEFI CA 2011-certificaat scheiden twee certificaten de ondertekening van het opstartlaadprogramma van optie-ROM-ondertekening. Dit zorgt voor een nauwkeurigere controle over systeemvertrouwen. Systemen die optie-ROM's moeten vertrouwen, kunnen bijvoorbeeld de Microsoft Option ROM UEFI CA 2023 toevoegen zonder vertrouwensrelatie toe te voegen voor opstartladers van derden.
Microsoft heeft bijgewerkte certificaten uitgegeven om de continuïteit van beveiliging tegen beveiligd opstarten op Windows-apparaten te garanderen. Microsoft beheert het updateproces voor deze nieuwe certificaten op een aanzienlijk deel van Windows-apparaten. Daarnaast bieden we gedetailleerde richtlijnen voor organisaties die hun eigen apparaatupdates beheren.
Belangrijk Wanneer de 2011-CA's verlopen, kunnen Windows-apparaten die geen nieuwe 2023-certificaten hebben, geen beveiligingspatches meer ontvangen voor onderdelen die de windows-opstartbeveiliging in gevaar brengen.
Oproep tot actie
Mogelijk moet u actie ondernemen om ervoor te zorgen dat uw Windows-apparaat veilig blijft wanneer de certificaten in 2026 verlopen. Zowel UEFI Secure Boot DB als KEK moeten worden bijgewerkt met de bijbehorende nieuwe 2023-certificaatversies. Zie Windows Secure Boot Key Creation and Management Guidance (Richtlijnen voor het maken en beheren van windows-sleutels voor beveiligd opstarten) voor meer informatie over de nieuwe certificaten.
Belangrijk Zonder updates lopen de Windows-apparaten met Beveiligd opstarten het risico geen beveiligingsupdates te ontvangen of nieuwe opstartladers te vertrouwen, wat zowel de service- als de beveiliging in gevaar brengt.
Uw acties zijn afhankelijk van het type Windows-apparaat dat u hebt. Selecteer in het menu aan de linkerkant het type apparaat en de specifieke actie die u moet uitvoeren.
