Hoe u ervoor zorgt dat uw Secure Boot-certificaten vóór juni 2026 nog actueel zijn.
Iedereen die al langer met Windows werkt, weet dat Secure Boot-certificaten cruciaal zijn voor de beveiliging, maar ze kunnen ook voor problemen zorgen als ze verlopen. Als de certificaten van je apparaat verouderd zijn of niet zijn bijgewerkt, loop je het risico op kwetsbaarheden zoals bootkits of malware die binnensluipen. Bovendien hebben sommige gebruikers opstartproblemen of waarschuwingen gemeld. Het goede nieuws is dat Microsoft een roadmap en tools heeft om alles up-to-date te houden, maar het is een handmatig proces als je apparaat wat ouder is (vooral modellen van vóór 2024).Deze handleiding behandelt de belangrijkste stappen: je huidige status controleren, ervoor zorgen dat je firmware gereed is en de certificaten handmatig implementeren indien nodig. Want Windows maakt het natuurlijk graag ingewikkelder dan nodig, maar met wat geduld houd je je apparaat veilig.
Hoe u Windows Secure Boot-certificaten kunt bijwerken
De meeste nieuwere pc’s (vanaf 2024) hebben dit al geregeld dankzij automatische updates. Maar als je een ouder model gebruikt, moet je zelf aan de slag. Dit is wat Microsoft aanbeveelt: – Controleer je configuratie – Controleer de status van Secure Boot – Zorg ervoor dat je BIOS/UEFI-firmware up-to-date is – Installeer of bevestig vervolgens de nieuwste certificaten. Laten we het stap voor stap bekijken:
Inventariseer en bereid uw omgeving voor.
Deze stap draait erom dat je weet waar je aan toe bent. Voor alle apparaten, vooral oudere, is het goed om te zien wat er wel en niet is geïnstalleerd. Veel organisaties vertrouwen op Windows Update om automatisch de nieuwste certificaten te installeren – dat is de gemakkelijkste manier. Maar voor apparaten die niet automatisch updaten, of als je problemen aan het oplossen bent, is het beter om te weten wat er precies aan de hand is. Op sommige machines mislukte de update in eerste instantie – vreemd genoeg helpt een herstart soms. Je kunt PowerShell of Opdrachtprompt met beheerdersrechten gebruiken om bepaalde opdrachten uit te voeren en de huidige certificaatstatus te controleren. Ga niet meteen aan de slag met het flashen van de BIOS, tenzij je weet wat je doet; firmware-updates zijn veiliger als ze worden uitgevoerd via de officiële tools of updates van de OEM.
Controleer en monitor de Secure Boot-status van uw apparaten.
Microsoft biedt verschillende manieren om te controleren of uw apparaat de nieuwste certificaten heeft geïnstalleerd. Een handige methode is het raadplegen van de Windows Logboeken: – Start Logboeken (`eventvwr.msc`) – Vouw Windows-logboeken uit > Systeem – Filter op Gebeurtenis-ID 1808 — dit geeft aan dat het nieuwe Secure Boot-certificaat succesvol is toegepast. Als deze niet aanwezig is, zoek dan naar Gebeurtenis-ID 1801, wat aangeeft dat de update niet is voltooid. U kunt ook in het register kijken: – Navigeer naar ` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot` – Zoek naar de sleutel `UEFICA2023`, die een status zoals `Bijgewerkt` zou moeten weergeven. De afwezigheid van `UEFICA2023Error` betekent dat er geen fouten zijn opgetreden. In sommige configuraties helpt het uitvoeren van deze PowerShell-opdracht: powershell [System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’.Als de opdracht True retourneert, is alles waarschijnlijk in orde. Zo niet, dan gebruikt uw systeem nog steeds oude certificaten. Door Windows Update te controleren in Instellingen > Windows Update > Updategeschiedenis kunt u zien wanneer de certificaten zijn geïnstalleerd, vooral als u de vermelding Secure Boot Allowed Key (KEK) Update ziet.
Voer OEM-firmware-updates uit vóór Microsoft-updates.
Dit kan niet genoeg benadrukt worden: firmware-updates verhelpen vaak compatibiliteitsproblemen, vooral met Secure Boot. Ga naar de ondersteuningswebsite van uw fabrikant of de software voor apparaatbeheer om de nieuwste BIOS/UEFI-firmware te downloaden. Firmware-updates kunnen soms wat lastig zijn – sommige fabrikanten raden aan om dit rechtstreeks via hun updateprogramma’s te doen of zelfs de BIOS opnieuw te flashen, wat eng klinkt, maar meestal eenvoudig is als u de instructies zorgvuldig volgt. Zorg ervoor dat de firmware in orde is voordat u Windows-patches installeert. Dit bespaart u later een hoop problemen, vooral als uw apparaat nieuwe Secure Boot-certificaten niet herkent.
Implementeer beveiligde opstartcertificaten
Als uw apparaat certificaten niet automatisch bijwerkt – bijvoorbeeld omdat u automatische updates hebt uitgeschakeld of omdat uw organisatie de implementatie beheert – kunt u deze handmatig pushen met behulp van een aantal methoden.Microsoft Intune gebruiken: – Ga naar Apparaten > Apparaten beheren in de Endpoint Manager-portal.- Maak een nieuw apparaatconfiguratieprofiel aan en selecteer Windows 10 en later als platform met het type Configuratieprofiel.- Kies Instellingencatalogus en voeg vervolgens Beveiligd opstarten-instellingen toe.- Schakel Certificaatupdates voor Beveiligd opstarten in en configureer indien nodig andere opties zoals Aanmelden voor beheerde Microsoft Update-certificaten of Afmelden voor certificaten met hoge betrouwbaarheid.- Wijs dit profiel toe aan uw apparaatgroepen.Via registersleutels – Open de Register-editor (`regedit`) – Navigeer naar ` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot` – Stel de DWORD-waarde van AvailableUpdates in op `0x5944` om de implementatie van de nieuwste certificaten af te dwingen (dit is een beetje een snelle methode, maar werkt in veel configuraties).Via Windows Configuration System (WinCS) – Microsoft biedt nu opdrachtregelprogramma’s en PowerShell-modules aan om Secure Boot-configuraties op te vragen/toe te passen. Raadpleeg de officiële documentatie of https://github.com/memstechtips/Winhance voor scripts.Groepsbeleid – Open de Groepsbeleid-editor (`gpedit.msc`) – Navigeer naar Computerconfiguratie > Administratieve sjablonen > Windows-onderdelen > Secure Boot – Schakel “Implementatie van Secure Boot-certificaten inschakelen” in. Hiermee wordt Windows geïnstrueerd om certificaatbeheer automatisch af te handelen. Microsoft deelt ook stappen voor probleemoplossing op deze pagina: https://techcommunity.microsoft.com/blog/windows-itpro-blog/secure-boot-playbook-for-certificates-expiring-in-2026/4469235
Vereisten voor het verkrijgen van de nieuwste certificaten via Windows Updates
Zorg ervoor dat diagnostische gegevens zijn ingeschakeld. Hierdoor kan Windows de nieuwe certificaten direct downloaden. Houd er rekening mee dat oudere Windows 10-versies of als u niet bent aangemeld voor het ESU-programma (Extended Security Updates) deze updates mogelijk niet ontvangen. Meld u indien nodig aan.
Hoe controleer je de status van Secure Boot in Windows 11 Home?
Met een PowerShell-opdracht zoals: powershell [System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’ kunt u snel controleren of uw certificaten actueel zijn. De uitvoer geeft True aan als dat het geval is. U kunt ook in Instellingen > Windows Update > Updategeschiedenis > Overige updates kijken naar vermeldingen zoals de “Update voor de beveiligde opstartsleutel (KEK)”.Als deze daar staat, hebt u de nieuwste versie.
Wat als het systeem zegt: “Bijgewerkte Secure Boot-certificaten zijn beschikbaar, maar nog niet toegepast”?
Dat geeft aan dat de certificaten klaar zijn voor implementatie, maar dat een herstart nodig is. Een volledige herstart, niet alleen afsluiten, is cruciaal – soms zelfs twee keer, voor de zekerheid. Controleer Windows Update op meldingen voor openstaande installaties en voer updates uit. Als u de melding na een herstart nog steeds ziet, controleer dan uw BIOS/firmwareversie; soms helpt het opnieuw flashen of bijwerken van de BIOS om het proces te voltooien. Tot slot verlopen de oudere certificaten in juni 2026, dus als uw apparaat van vóór 2024 is, zorg er dan voor dat u die certificaten vóór die datum bijwerkt. Up-to-date blijven is eenvoudig: houd Windows en firmware up-to-date en controleer regelmatig de status van Secure Boot op uw apparaat.
Samenvatting
Het actueel houden van de Secure Boot-certificaten is niet bepaald eenvoudig, maar wel essentieel voor de beveiliging. De meeste nieuwere apparaten doen dit automatisch, maar oudere systemen vereisen wat handmatige aandacht om beschermd te blijven. Regelmatig de status controleren, firmware-updates uitvoeren en certificaten implementeren via Intune, het register of groepsbeleid kan opstartproblemen of kwetsbaarheden in de toekomst helpen voorkomen. Hopelijk helpt dit iemand om problemen in de toekomst te voorkomen – het op orde brengen van dit punt kan later veel ellende besparen.