Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oorspronkelijke publicatiedatum: 14 oktober 2025

KB-id: 5068197

Dit artikel bevat richtlijnen voor: 

  • Organisaties met een eigen IT-afdeling die Windows-apparaten en -updates beheert.

Opmerking: Als u een persoon bent die eigenaar bent van een persoonlijk Windows-apparaat, gaat u naar het artikel Windows-apparaten voor thuisgebruikers, bedrijven en scholen met door Microsoft beheerde updates

Beschikbaarheid van deze ondersteuning:  

  • Opgenomen in Windows-updates die zijn uitgebracht op en na 28 oktober 2025 voor Windows 11, versie 24H2 en Windows 11 versie 23H2.

  • Opgenomen in updates die zijn uitgebracht op en na 11 november 2025 voor andere versies van Windows.

Cli voor beveiligd opstarten met Windows Configuration System (WinCS)

Doel: Domeinbeheerders kunnen ook het Windows Configuration System (WinCS) gebruiken dat is uitgebracht met Windows-besturingssysteemupdates om de updates voor beveiligd opstarten te implementeren op Windows-clients en -servers die lid zijn van een domein. Het bestaat uit een cli-hulpprogramma (opdrachtregelinterface) om query's uit te voeren en configuraties voor beveiligd opstarten lokaal toe te passen op een computer.  

WinCS werkt met een configuratiesleutel die kan worden gebruikt met het opdrachtregelprogramma om de configuratiestatus beveiligd opstarten op de computer te wijzigen. Nadat de volgende geplande beveiligd opstarten is toegepast, worden acties uitgevoerd op basis van de sleutel. 

Door WinCS ondersteunde platforms

Het opdrachtregelprogramma WinCS wordt ondersteund in Windows 11, versie 23H2, Windows 11, versie 24H2, Windows 11, versie 25H2. Dit hulpprogramma is beschikbaar in de Windows-updates die zijn uitgebracht op en na 28 oktober 2025 voor Windows 11, versie 24H2 en Windows 11 versie 23H2.

Opmerking: We werken eraan om deze WinCS-ondersteuning naar Windows 10 platformen te brengen. Dit artikel wordt bijgewerkt zodra de ondersteuning is ingeschakeld. 

Dit is de configuratiesleutel voor beveiligd opstarten die domeinbeheerders via WinCS opvragen en toepassen op apparaten. 

Functienaam

WinCS-sleutel

Beschrijving

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Als u deze sleutel inschakelt, kunt u de volgende door Microsoft geleverde nieuwe certificaten voor beveiligd opstarten op uw apparaat installeren. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-sleutelwaarde: 

  • F33E0C8E002 : configuratiestatus beveiligd opstarten = ingeschakeld

Configuratie van beveiligd opstarten opvragen 

Configuratie van beveiligd opstarten kan worden opgevraagd met de volgende opdrachtregel:

WinCsFlags.exe /query --key F33E0C8E002

Hiermee retourneert u de volgende informatie (op een schone computer): 

Vlag: F33E0C8E 

  Huidige configuratie: F33E0C8E001

  Status: Uitgeschakeld

  Configuratie in behandeling: Geen 

  Actie in behandeling: Geen  

  FwLink: https://aka.ms/getsecureboot 

  Beschikbare configuraties: 

    F33E0C8E002 

    F33E0C8E001 

U ziet dat de huidige configuratie op een apparaat is F33E0C8E001, wat betekent dat de sleutel beveiligd opstarten de status Uitgeschakeld heeft.  

Configuratie voor beveiligd opstarten toepassen  

De specifieke configuratie voor het inschakelen van Secure Boot-certificaten kan op de volgende manier worden geconfigureerd: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Een geslaagde toepassing van de sleutel moet de volgende informatie retourneren: 

Vlag: F33E0C8E 

  Huidige configuratie: F33E0C8E002

  Status: ingeschakeld

  Configuratie in behandeling: Geen 

  Actie in behandeling: Geen

  FwLink: https://aka.ms/getsecureboot 

 Beschikbare configuraties: 

    F33E0C8E002 

    F33E0C8E001  

Configuratie van beveiligd opstarten controleren  

Als u de status van de configuratie voor beveiligd opstarten later wilt bepalen, kunt u de eerste queryopdracht opnieuw gebruiken: 

WinCsFlags.exe /query --key F33E0C8E002 

De geretourneerde informatie is vergelijkbaar met de volgende, afhankelijk van de status van de vlag: 

Vlag: F33E0C8E 

  Huidige configuratie: F33E0C8E002

  Status: ingeschakeld

  Configuratie in behandeling: Geen 

  Actie in behandeling: Geen

  FwLink: https://aka.ms/getsecureboot 

  Beschikbare configuraties: 

    F33E0C8E002 

    F33E0C8E001  

U ziet dat de status van de sleutel nu is ingeschakeld en dat de huidige configuratie is F33E0C8E002. 

Opmerking: Het toepassen van de Secure Boot-sleutel via WinCS betekent niet dat het installatieproces van het Secure Boot-certificaat is gestart of is voltooid.  Het geeft alleen aan dat de computer doorgaat met updates voor beveiligd opstarten wanneer de servicetaak Voor beveiligd opstarten (TPMTasks) op die computer wordt uitgevoerd bij de eerstvolgende beschikbare mogelijkheid. Wanneer TPMTasks op die computer wordt uitgevoerd, wordt 0x5944 gedetecteerd en wordt de update uitgevoerd. Standaard wordt de geplande taak Secure-Boot-Update elke 12 uur uitgevoerd om dergelijke secure boot-updatevlagmen te verwerken. Beheerders kunnen ook versnellen door de taak handmatig uit te voeren of opnieuw op te starten, indien gewenst.  

U kunt de onderhoudstaak Beveiligd opstarten ook handmatig activeren door de onderstaande stappen te volgen: 

  1. Open een PowerShell-prompt als beheerder en voer vervolgens de volgende opdracht uit:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Start het apparaat twee keer opnieuw op nadat u de opdracht hebt uitgevoerd om te bevestigen dat het apparaat wordt gestart met de bijgewerkte database met vertrouwde handtekeningen (DB).

  3. Als u wilt controleren of de secure boot DB-update is geslaagd, opent u een PowerShell-prompt als beheerder en voert u de volgende opdracht uit: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Beveiligd opstarten

    Als de opdracht Waar retourneert, is de update geslaagd.In het geval van fouten tijdens het toepassen van de DB-update raadpleegt u het artikel KB5016061: Kwetsbare en ingetrokken opstartmanagers aanpakken

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum