Windows Secure Boot-certificaat verval en certificaat updates | Officiële Support

ASUS Ondersteuning VGV

FAQ

Windows Secure Boot-certificaat verval en certificaat updates

Sinds Windows Secure Boot ondersteunt, hebben de meeste Windows-apparaten een reeks Microsoft-certificaten in de UEFI Secure Boot-database gebruikt. Deze eerdere certificaten zullen geleidelijk beginnen te verlopen vanaf 2026. Om de beveiliging van het bootproces en de integriteit van de vertrouwensketen te waarborgen, moeten systemen worden bijgewerkt naar de versie van 2023 van de Microsoft-certificaten.

Als op jouw systeem Secure Boot momenteel is ingeschakeld, zorg er dan voor dat deze certificaten worden bijgewerkt voordat ze halverwege 2026 verlopen.

Microsoft raadt aan om de update van Secure Boot-certificaten uit te voeren via Windows-update

Voor de meeste gebruikers worden de benodigde updates automatisch geleverd via Windows Updates zonder dat actie van de gebruiker vereist is.

Of de updates succesvol zijn ontvangen, kan worden gecontroleerd via de Windows Beveiligings-app, zoals beschreven in Status van Secure Boot-certificaatupdate in de Windows Beveiligings-app.

Wanneer [Windows Update] is ingeschakeld en het systeem Secure Boot geactiveerd heeft (raadpleeg hoe je Secure Boot inschakelt), zullen ondersteunde Windows-apparaten automatisch de nieuwe Secure Boot-certificaten en de nieuwe Boot Manager downloaden en toepassen op het juiste moment.

De nieuwe update van de Secure Boot-database wordt sinds 2024 gefaseerd uitgerold naar apparaten met Secure Boot ingeschakeld en zal automatisch de apparaatupdate voltooien voordat het certificaat in juni 2026 verloopt.

[Schakel Windows Update in om nieuwe certificaten te verkrijgen]

Q&A

Vraag 1: Hoe kan ik de status van UEFI Secure Boot controleren?

Antwoord 1: Volg de onderstaande stappen:

Typ in de Windows zoekbalk Windows Beveiliging.
Selecteer [Apparaatbeveiliging] in het menu aan de linkerkant. Onder [Secure boot] zie je een statusindicator. Het Secure boot-pictogram is gemarkeerd met een groen, geel of rood symbool, die elk de huidige status van Secure boot op je systeem weergeven.

Vraag 2: Wat moet ik doen als het Secure boot-pictogram geel of rood is?

Antwoord 2: Volg de onderstaande stappen:

Voer Windows Update uit en zorg ervoor dat de OS-build 26100.6725 of later is.
Windows 11, versie 25H2 updategeschiedenis - Microsoft Ondersteuning
Typ in de Windows zoekbalk Windows PowerShell.
Klik in de zoekresultaten met de rechtermuisknop op Windows PowerShell en selecteer Uitvoeren als administrator.
Voer de volgende opdracht in:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f
Voer daarna de volgende opdracht in:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Herstart je computer.
Open na het opnieuw opstarten Windows PowerShell opnieuw als administrator.
Voer de volgende opdracht opnieuw in:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Start uw computer nogmaals opnieuw op.
Controleer of het Secure Boot-pictogram is veranderd naar groen, wat aangeeft dat Secure Boot nu is ingeschakeld en correct functioneert.

Vraag 3: Wat gebeurt er als mijn apparaat geen nieuw Secure Boot-certificaat verkrijgt voordat het oude certificaat verloopt?

Antwoord 3: Nadat het Secure Boot-certificaat is verlopen, kunnen apparaten die het nieuwe 2023-certificaat nog niet hebben ontvangen, nog steeds normaal opstarten en functioneren en worden standaard Windows-updates nog steeds geïnstalleerd. Deze apparaten kunnen echter geen nieuwe beveiligingsbescherming ontvangen tijdens het vroege opstartproces, waaronder het bijwerken van Windows bootbeheer, Secure Boot-databases, intrekkingslijsten of mitigerende maatregelen voor nieuw ontdekte kwetsbaarheden op opstartniveau.

Na verloop van tijd beperkt dit de bescherming van het apparaat tegen opkomende dreigingen en kan dit invloed hebben op scenario's die vertrouwen op Secure Boot, zoals BitLocker-versterking of bootloaders van derden. De meeste Windows-apparaten zullen automatisch bijgewerkte inloggegevens ontvangen en veel OEM-fabrikanten zullen indien nodig ook firmware-updates verstrekken. Het apparaat altijd up-to-date houden helpt ervoor te zorgen dat het volledige beveiligingsbescherming kan blijven ontvangen zoals ontworpen voor veilig opstarten.

Vraag 4: Wat zijn de gevolgen van het uitschakelen van het Secure Boot-apparaat?

Antwoord 4: Apparaten die secure boot uitschakelen, ontvangen geen nieuwe secure boot-referenties in de firmware. Daarom blijven ze kwetsbaar voor malware op het opstartniveau (zoals bootkits), omdat de bescherming van secure boot niet wordt afgedwongen.

Vraag 5: Na het terugzetten van de firmware naar de standaardinstellingen, stopt het apparaat met opstarten - wat is er gebeurd? Hoe kan ik dit oplossen?

Antwoord 5: Als Windows al gebruik heeft gemaakt van de in 2023 ondertekende boot manager, maar de firmware wordt teruggezet naar de standaardwaarde zonder het Windows UEFI CA 2023-certificaat, zal secure boot het opstartproces blokkeren.

Je kunt de veelgestelde vragen (FAQ) raadplegen:

[Notebook] Probleemoplossing - Secure Boot Violatie Fout bij Opstarten

Vraag 6: Als het Secure Boot-certificaat van mijn apparaat is verlopen, kan ik dan nog een bijgewerkt certificaat ontvangen?

Antwoord 6: Ja. Zelfs als de bestaande referenties zijn verlopen, kunnen cumulatieve updates met nieuwe secure boot-referenties nog steeds worden toegepast. Als het apparaat Windows kan starten en updates kan installeren, kunnen de bijgewerkte referenties volgens de gepubliceerde implementatierichtlijnen in de firmware worden geschreven. De meeste apparaten ontvangen deze updates automatisch, maar sommige systemen hebben mogelijk extra firmware-updates nodig.

Vraag 7: Hoe controleer je de status van UEFI Secure Boot Keys?

Antwoord 7: Raadpleeg de volgende stappen:

Voer PowerShell in het Windows-systeem zoekvak in.
Klik in de zoekresultaten op het Windows PowerShell-pictogram en selecteer Uitvoeren als Administrator.
Bevestig dat Key Exchange Key (KEK) "Microsoft Corporation KEK 2K CA 2023" bevat
Voer in [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Als True verschijnt, betekent dit dat het "Microsoft Corporation KEK 2K CA 2023" bevat
Bevestig dat Signature Databases (DB) "Windows UEFI CA 2023" bevat
Voer in [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Als True verschijnt, betekent dit dat het "Windows UEFI CA 2023" bevat
Bevestig dat Signature Databases (DB) "Microsoft UEFI CA 2023" bevat
Voer in [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Als True verschijnt, betekent dit dat het "Microsoft UEFI CA 2023" bevat

Vraag 8: Wat moet ik doen als ik een TPM WMI-foutmelding (Gebeurtenis-ID: 1801) vind in de Gebeurtenisweergave?

Antwoord 8: De reden voor deze foutmelding is dat de secure boot-referenties zijn bijgewerkt, maar nog niet zijn toegepast op de apparaatfirmware.

Voer eerst Windows Update uit om ervoor te zorgen dat de OS-build 26100.6725 of later is, en ga vervolgens verder met de stappen beschreven in Vraag 2.

Geschiedenis van updates van Windows 11, versie 25H2.

Vraag 9: Wat moet ik doen als ik een TPM WMI-foutmelding (Gebeurtenis-ID: 1802) vind in de Gebeurtenisweergave?

Antwoord 9: De reden voor deze foutmelding is dat de boot-update opzettelijk wordt geblokkeerd omdat het apparaat voldoet aan bekende firmware- of hardwarevoorwaarden, waardoor de update niet veilig kan worden voltooid.

Rapporteer het probleem via het ASUS-servicecentrum.

Vraag 10: Wat moet ik doen als ik een TPM WMI-foutmelding (Gebeurtenis-ID: 1803) vind in de Gebeurtenisweergave?

Antwoord 10: De reden voor dit foutbericht is dat het apparaat de Key Exchange Key (KEK) ondertekend door PK niet kan vinden.

Gelieve het probleem te melden via het ASUS servicecentrum.

Referentie:

Windows Secure Boot certificaatvervaldatum en CA-updates - Microsoft Ondersteuning
Certificaat update status voor Secure Boot in de Windows Beveiligingsapp
Veelgestelde vragen over het Secure Boot updateproces - Microsoft Ondersteuning
Secure Boot DB en DBX variabele update gebeurtenissen - Microsoft Ondersteuning
Windows 11, versie 25H2 updategeschiedenis - Microsoft Ondersteuning

Was deze informatie nuttig?

Yes No

Contact opnemen met Ondersteuning

Neem contact met ons op als u met de bovenstaande informatie uw probleem niet kunt oplossen

Above information might be partly or entirely quoted from exterior websites or sources. please refer to the information based on the source that we noted. Please directly contact or inquire the sources if there is any further question and note that ASUS is neither relevant nor responsible for its content/service
This information may not suitable for all the products from the same category/series. Some of the screen shots and operations could be different from the software versions.
ASUS provides the above information for reference only. If you have any questions about the content, please contact the above product vendor directly. Please note that ASUS is not responsible for the content or service provided by the above product vendor.

ASUS Ondersteuning VGV

Terug naar boven