Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oorspronkelijke publicatiedatum: 14 oktober 2025

KB-id: 5068197

Datum wijzigen

Beschrijving wijzigen

16 april. 2026

  • De sectie Beschikbaarheid van deze ondersteuning is verwijderd, omdat de informatie is opgenomen in de sectie 'Door WinCS ondersteunde platforms'.

dinsdag 10 april 2026

  • De datum voor Windows 10 1607 /Windows Server 2016 bijgewerkt onder de sectie 'Ondersteunde WinCS-platforms'.

  • Er is een nieuw platform toegevoegd voor Windows Server 2012 en Windows Server 2012 R2 (ESU) onder de sectie 'Ondersteunde WinCS-platforms'.

dinsdag 20 februari 2026

  • Er is een nieuwe sectie toegevoegd: 'Controleer eerst of secure boot-certificaten zijn bijgewerkt in uw platform'

dinsdag 16 december 2025

  • De opdrachtregel in de sectie Secure Boot-configuratie toepassen is gecorrigeerd omdat deze onjuiste tekens bevat.Aan: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • De opdrachtregel in de sectie 'Configuratie van beveiligd opstarten controleren' is gecorrigeerd omdat er een spatie aan het einde van de regel is opgenomen.Aan: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • In de sectie Beschikbaarheid van deze ondersteuning is toegevoegd dat Windows 10, versies 21H2 en 22H2 en Windows Server 2022 worden toegevoegd in de releases die zijn gedateerd op en na 11 november 2025. Daarnaast wordt ondersteuning voor andere versies van Windows opgenomen in updates die in het eerste kwartaal van 2026 worden uitgebracht.

dinsdag 11 december 2025

  • Stap 3 van de sectie 'Configuratie van beveiligd opstarten controleren' gewijzigd:Van: Als u wilt controleren of de Secure Boot DB-update is geslaagd, opent u een PowerShell-prompt als beheerder en voert u de volgende opdracht uit: Als u snel controleert of de Secure Boot DB-update is geslaagd, opent u een PowerShell-prompt als beheerder en voert u de volgende opdracht uit:

  • Stap 4 toegevoegd aan de sectie 'Configuratie van beveiligd opstarten controleren': Als u wilt controleren of alle certificaten zijn bijgewerkt, raadpleegt u Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties en volgt u de richtlijnen in de sectie Gebeurtenislogboeken bewaken. In deze sectie vindt u gebeurtenis-id: 1801 en gebeurtenis-id: 1808 . Dit is een volledige manier om te controleren of de certificaten zijn bijgewerkt.

Cli voor beveiligd opstarten met Windows Configuration System (WinCS)

Doel: Domeinbeheerders kunnen ook het Windows Configuration System (WinCS) gebruiken dat is uitgebracht met Windows-besturingssysteemupdates om de updates voor beveiligd opstarten te implementeren op Windows-clients en -servers die lid zijn van een domein. Het bestaat uit een cli-hulpprogramma (opdrachtregelinterface) om query's uit te voeren en configuraties voor beveiligd opstarten lokaal toe te passen op een computer.  

WinCS werkt met een configuratiesleutel die kan worden gebruikt met het opdrachtregelprogramma om de configuratiestatus beveiligd opstarten op de computer te wijzigen. Nadat de volgende geplande beveiligd opstarten is toegepast, worden acties uitgevoerd op basis van de sleutel. 

Controleer eerst of Secure Boot-certificaten zijn bijgewerkt in uw platform 

U kunt de status van Beveiligd opstarten controleren met behulp van de Powershell-opdracht:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Naam 'UEFICA2023Status'). UEFICA2023Status

Als in de Status 'Bijgewerkt' wordt weergegeven, hoeft u WinCS niet uit te voeren en kunt u de onderstaande stappen overslaan.

Als de certificaten niet zijn bijgewerkt naar 2023-versies, zijn de volgende aanvullende stappen van toepassing.

Door WinCS ondersteunde platforms

Het opdrachtregelprogramma WinCS wordt ondersteund in Windows 10 versie 21H2, Windows 10, versie 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versie 23H2, Windows 11, versie 24H2, Windows 11, versie 25H2.

Dit hulpprogramma is beschikbaar in de Windows-updates die zijn uitgebracht op en na 28 oktober 2025 voor Windows 11, versie 24H2 en Windows 11 versie 23H2.

Dit hulpprogramma is ook beschikbaar in de Windows-updates die zijn uitgebracht op en na 11 november 2025 voor Windows 10, versie 21H2, Windows 10, versie 22H2 en Windows Server 2022.

Voor Windows Server 2019 wordt dit hulpprogramma geleverd in de Windows-updates die zijn uitgebracht op en na 13 januari 2026. 

Voor Windows Server 2016, Windows 10 1607, wordt dit hulpprogramma geleverd in de Windows-updates die zijn uitgebracht op en na 14 april 2026.

En voor Windows Server 2012 en Windows Server 2012 R2 (ESU) wordt dit hulpprogramma geleverd in de Windows-updates die zijn uitgebracht op en na 14 april 2026.

Dit is de configuratiesleutel voor beveiligd opstarten die domeinbeheerders via WinCS opvragen en toepassen op apparaten. 

Functienaam

WinCS-sleutel

Beschrijving

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Als u deze sleutel inschakelt, kunt u de volgende door Microsoft geleverde nieuwe certificaten voor beveiligd opstarten op uw apparaat installeren. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-sleutelwaarde: 

  • F33E0C8E002 : configuratiestatus beveiligd opstarten = ingeschakeld

Configuratie van beveiligd opstarten opvragen 

Configuratie van beveiligd opstarten kan worden opgevraagd door als beheerder een opdrachtprompt te openen en deze opdracht uit te voeren:

WinCsFlags.exe /query --key F33E0C8E002

Hiermee retourneert u de volgende informatie (op een schone computer): 

Vlag: F33E0C8E 

  Huidige configuratie: F33E0C8E001

  Status: Uitgeschakeld

  Configuratie in behandeling: Geen 

  Actie in behandeling: Geen  

  FwLink: https://aka.ms/getsecureboot 

  Beschikbare configuraties: 

    F33E0C8E002 

    F33E0C8E001 

U ziet dat de huidige configuratie op een apparaat is F33E0C8E001, wat betekent dat de sleutel beveiligd opstarten de status Uitgeschakeld heeft.  

Configuratie voor beveiligd opstarten toepassen  

Configuratie van beveiligd opstarten kan worden toegepast door als beheerder een opdrachtprompt te openen en deze opdracht uit te voeren:

WinCsFlags.exe /apply --key "F33E0C8E002"

Een geslaagde toepassing van de sleutel moet de volgende informatie retourneren: 

Vlag: F33E0C8E 

  Huidige configuratie: F33E0C8E002

  Status: ingeschakeld

  Configuratie in behandeling: Geen 

  Actie in behandeling: Geen

  FwLink: https://aka.ms/getsecureboot 

 Beschikbare configuraties: 

    F33E0C8E002 

    F33E0C8E001  

Configuratie van beveiligd opstarten controleren  

Als u de status van de configuratie beveiligd opstarten later wilt bepalen, kunt u de eerste queryopdracht opnieuw uitvoeren door een opdrachtprompt te openen als beheerder:

WinCsFlags.exe /query --key F33E0C8E002

De geretourneerde informatie is vergelijkbaar met de volgende, afhankelijk van de status van de vlag: 

Vlag: F33E0C8E 

  Huidige configuratie: F33E0C8E002

  Status: ingeschakeld

  Configuratie in behandeling: Geen 

  Actie in behandeling: Geen

  FwLink: https://aka.ms/getsecureboot 

  Beschikbare configuraties: 

    F33E0C8E002 

    F33E0C8E001  

U ziet dat de status van de sleutel nu is ingeschakeld en dat de huidige configuratie is F33E0C8E002. 

Opmerking: Het toepassen van de Secure Boot-sleutel via WinCS betekent niet dat het installatieproces van het Secure Boot-certificaat is gestart of is voltooid.  Het geeft alleen aan dat de computer doorgaat met updates voor beveiligd opstarten wanneer de servicetaak Voor beveiligd opstarten (TPMTasks) op die computer wordt uitgevoerd bij de eerstvolgende beschikbare mogelijkheid. Wanneer TPMTasks op die computer wordt uitgevoerd, wordt 0x5944 gedetecteerd en wordt de update uitgevoerd. Standaard wordt de geplande taak Secure-Boot-Update elke 12 uur uitgevoerd om dergelijke secure boot-updatevlagmen te verwerken. Beheerders kunnen ook versnellen door de taak handmatig uit te voeren of opnieuw op te starten, indien gewenst.  

U kunt de onderhoudstaak Beveiligd opstarten ook handmatig activeren door de onderstaande stappen te volgen: 

  1. Open een PowerShell-prompt als beheerder en voer vervolgens de volgende opdracht uit:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Start het apparaat twee keer opnieuw op nadat u de opdracht hebt uitgevoerd om te bevestigen dat het apparaat wordt gestart met de bijgewerkte database met vertrouwde handtekeningen (DB).

  3. Als een snelle controle of de secure boot DB-update is geslaagd, opent u een PowerShell-prompt als beheerder en voert u vervolgens de volgende opdracht uit: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Beveiligd opstarten

    Als de opdracht Waar retourneert, is de update geslaagd.In het geval van fouten tijdens het toepassen van de DB-update raadpleegt u het artikel KB5016061: Kwetsbare en ingetrokken opstartmanagers aanpakken.

    Opmerking: Hiermee wordt slechts één CA gecontroleerd en niet alle CA's.

  4. Als u wilt controleren of alle certificaten zijn bijgewerkt, raadpleegt u Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties en volgt u de richtlijnen in de sectie Gebeurtenislogboeken bewaken. In deze sectie vindt u gebeurtenis-id: 1801 en gebeurtenis-id: 1808 . Dit is een volledigere manier om te controleren of de certificaten zijn bijgewerkt.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum