Verloop van Windows Secure Boot-certificaat en certificaatupdates

Sinds Windows Secure Boot ondersteunt, hebben de meeste Windows-apparaten een reeks Microsoft-certificaten gebruikt in de UEFI Secure Boot-database. Deze eerdere certificaten zullen vanaf 2026 geleidelijk verlopen. Om de bootbeveiliging en integriteit van de vertrouwensketen te behouden, moeten systemen worden bijgewerkt naar de 2023-versie van Microsoft-certificaten.

Als Secure Boot momenteel is ingeschakeld op uw systeem, zorg er dan voor dat deze certificaten worden bijgewerkt voordat ze in het midden van 2026 verlopen.

 

Wat moet u doen?           
U hoeft slechts één van de volgende update-methoden te voltooien en te wachten op de nieuwe Windows Boot Manager:           
 

(Methode I) Via Windows Automatische Update

Wanneer「Windows Update」is ingeschakeld en het systeem Secure Boot heeft geactiveerd (raadpleeg hoe Secure Boot in te schakelen), zullen ondersteunde Windows-apparaten automatisch de nieuwe Secure Boot-certificaten en de nieuwe Boot Manager downloaden en toepassen op het juiste moment.

De nieuwe Secure Boot-database-update is sinds 2024 gefaseerd uitgerold naar apparaten met Secure Boot ingeschakeld en zal automatisch de apparaatupdate voltooien voordat het certificaat in juni 2026 verloopt.

Gebruikers met standaardinstellingen hoeven meestal geen extra handmatige handelingen uit te voeren.

[Windows Update inschakelen om nieuwe certificaten te verkrijgen]           

 

 

 

(Methode II) UEFI BIOS handmatig bijwerken

Let op: Na het bijwerken van de BIOS kan het zijn dat u wordt gevraagd om de BitLocker-herstelcode in te voeren om het besturingssysteem te ontgrendelen en te openen. Voor gedetailleerde stappen, zie dit artikel: Hoe vind je de BitLocker-sleutel.
U kunt ook Apparaatversleuteling en Standaard BitLocker-versleuteling uitschakelen voordat u de BIOS bijwerkt, en vervolgens de versleuteling opnieuw inschakelen na de BIOS-update om uw gegevens te beschermen. Voor gedetailleerde stappen, zie dit artikel: Introductie tot Apparaatversleuteling en Standaard BitLocker-versleuteling.

Voor moederbord    

U kunt ook de nieuwste versie van de UEFI BIOS downloaden en bijwerken via de officiële ASUS-website om de bijgewerkte Secure Boot-certificaten te verkrijgen.

Deze methode is meer geschikt voor gevorderde gebruikers die bekend zijn met het BIOS-updateproces of systemen die niet normaal updates kunnen ontvangen via Windows Update.

1. Om te downloaden en bij te werken naar de nieuwste versie van UEFI BIOS van de officiële ASUS-website, kun je verwijzen naar: Hoe BIOS bij te werken

2. Veilige Boot-sleutels wissen           
2.1 Na het bijwerken van de BIOS en het opnieuw opstarten van het systeem, ga opnieuw naar BIOS Setup, ga naar Geavanceerd\Boot > Secure Boot.

Als Secure Boot Mode Standaard is, verander het dan naar Aangepast.

2.2 Klik op Sleutelbeheer.

2.3 Voer "Veilige Boot-sleutels wissen" uit.

Klik op [Ja].

2.4 Bevestig dat alle UEFI Secure Boot-sleutels (PK, KEK, DB, DBX) succesvol zijn gewist.

3. Installeer Standaard Secure Boot Sleutels           
3.1 Nadat de Secure Boot Sleutels zijn gewist, voer "Installeer Standaard Secure Boot Sleutels" uit.           

Klik op [Ja].

3.2 Controleer of de Grootte/Aantal Sleutels voor PK/KEK/DB/DBX niet 0 is en de Sleutelbron [Standaard] is. Het updateproces van de UEFI Secure Boot Sleutels is hiermee voltooid.

 

V&A           
Vraag 1: Hoe controleer je de status van UEFI Secure Boot Sleutels?           
Antwoord: Volg deze stappen:           
1. Ga op de BIOS-pagina naar Geavanceerd\Boot > Secure Boot > Sleutelbeheer.           
2. Selecteer respectievelijk de volgende items en kies daarna "Sleutels Verwijderen":           
➢ KEK Beheer           
➢ DB Beheer

3. Selecteer "Nee" in het venster met de prompt. (Opmerking: Deze handeling is alleen bedoeld om Sleutelinformatie weer te geven; als u "Ja" selecteert, wordt de Sleutel verwijderd.)

4. Bevestig dat KEK-beheer "Microsoft Corporation KEK 2K CA 2023" bevat.

5. Bevestig dat DB-beheer zowel "Microsoft UEFI CA 2023" als "Windows UEFI CA 2023" bevat.

Voor Notebook

U kunt ook de UEFI BIOS downloaden en bijwerken naar de nieuwste versie vanaf de officiële ASUS website om de bijgewerkte Secure Boot certificaten te verkrijgen.           
Deze methode is meer geschikt voor gevorderde gebruikers die bekend zijn met het UEFI BIOS updateproces.           
1. Download en update de UEFI BIOS naar de nieuwste versie vanaf de officiële ASUS website. U kunt verwijzen naar: Hoe BIOS bijwerken in Windows.           
2. Terugzetten naar setupmodus           
2.1 Na het bijwerken van de BIOS, start het systeem opnieuw op en ga opnieuw naar BIOS Setup. Ga naar Geavanceerd\Boot > Secure Boot.           
2.2 Klik op Sleutelbeheer.

2.3 Voer "Reset naar setupmodus" uit.

2.4 Klik op [Ja].

 

 

2.5 Bevestig dat alle UEFI Secure Boot-sleutels (PK, KEK, DB, DBX) succesvol zijn gewist.

3. Fabrieksinstellingen sleutels herstellen           
3.1 Voer "Herstel fabrieksinstellingen sleutels" uit.

          
3.2 Klik op [Ja].

3.3 Controleer of de Grootte/Aantal Sleutels voor PK/KEK/DB/DBX niet nul is.                            
Het updateproces van de UEFI Secure Boot Keys is nu voltooid.

                      
 

V&A                       
Vraag 1: Hoe controleer ik de status van UEFI Secure Boot Keys?                       
Antwoord: Volg deze stappen:                       
1. Ga in de BIOS-pagina naar Geavanceerd\Boot > Secure Boot > Sleutelbeheer.                       
2. Selecteer elk van de volgende items en klik vervolgens op "Details":                       
➢ Sleutels voor Sleuteluitwisseling (KEK)                       
➢ Geautoriseerde Handtekeningen (db)

3. Bevestig dat Key Exchange Keys (KEK) [sleuteluitwisselingssleutels (KEK)] "Microsoft Corporation KEK 2K CA 2023" bevat.

4. Bevestig dat Authorized Signatures (db) [geautoriseerde handtekeningen (db)] zowel "Microsoft UEFI CA 2023" als "Windows UEFI CA 2023" bevat.

Voor AIOT

Gebruikers kunnen de nieuwste versie van de UEFI BIOS downloaden en bijwerken via de officiële ASUS website om de bijgewerkte Secure Boot [veilig opstarten] certificaten te verkrijgen. Deze methode is meer geschikt voor gevorderde gebruikers die vertrouwd zijn met het BIOS-updateproces of voor systemen die geen updates kunnen ontvangen via Windows Update.

Download en update naar de nieuwste versie van de UEFI BIOS via de officiële ASUS AIoT website. Voor instructies kunt u verwijzen naar:
1. Download en update naar de nieuwste versie van de UEFI BIOS via de officiële ASUS AIoT website. Voor instructies kunt u verwijzen naar: Hoe BIOS bijwerken
2. Installeer standaard Secure Boot Keys [standaard veilig opstarten sleutels]:
2.1 Na het bijwerken van de BIOS, herstart het systeem. Ga opnieuw naar de BIOS Setup [BIOS setup] utility en navigeer naar Security > Secure Boot.

2.2 Als de Secure Boot Mode is ingesteld op Aangepast, verander dit dan naar Standaard.

2.3 Klik op OK (om "Installeer fabrieksinstellingen in Sleutelbeheer" toe te passen)

2.4 Klik op Expert Sleutelbeheer.

2.5 Controleer dat de Grootte/Aantal sleutels voor PK, KEK, DB en DBX niet nul is.

 

V&A           
Vraag 1: Hoe kan ik de status van de UEFI Secure Boot-sleutels controleren om te bevestigen dat de 2023 Microsoft-certificaten zijn geïnstalleerd?           
Antwoord: Volg de onderstaande stappen:

1. Als Secure Boot Mode is ingesteld op Standaard, verander dit naar Aangepast.           

2. Klik OK.

3. Klik Expert Sleutelbeheer. 

4. Selecteer Sleuteluitwisseling Sleutel (KEK) > Details.

5. Controleer of KEK Beheer "Microsoft Corporation KEK 2K CA 2023" bevat.

6. Selecteer Geautoriseerde Handtekeningen (db) > Details.

7. Controleer of DB Beheer alle onderstaande bevat: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" en "Microsoft Option ROM UEFI CA 2023".