[Aan zakelijke pc-gebruikers] Aankondiging over de update van het Windows Secure Boot-certificaat

Sectie 1. Achtergrond

Microsoft is van plan om de “Secure Boot”-certificaten die worden gebruikt in Windows-systemen geleidelijk te vervangen vanaf 2026. Secure Boot-certificaten zijn ontworpen om schadelijke software—zoals bootkits—te voorkomen dat ze loaders embedden tijdens het opstartproces, waardoor de integriteit van de bootomgeving wordt gewaarborgd.

De momenteel gebruikte certificaten—“Microsoft Corporation KEK CA 2011” en “Microsoft Windows Production PCA 2011”—naderen hun vervaldatum. Als ze niet worden bijgewerkt naar de nieuwe certificaten—“Microsoft Corporation KEK 2K CA 2023” en “Windows UEFI CA 2023”—kunnen apparaten geen updates meer ontvangen voor Windows Boot Manager en andere kritieke beveiligingscomponenten.

Om ervoor te zorgen dat uw zakelijke pc blijft profiteren van Secure Boot-bescherming en doorlopende systeemupdates, volgt u onderstaande instructies om de status van uw apparaat te verifiëren.

 

Sectie 2. Is mijn apparaat getroffen?

2.1 Niet getroffen (nieuw certificaat standaard ondersteund)

Alle zakelijke pc’s die in 2024 of later zijn geleverd, evenals alle toekomstige nieuwe modellen, hebben het nieuwe Secure Boot-certificaat vooraf geïntegreerd. Geen handmatige update is vereist.

Laptops (NB): De volgende modellen, evenals alle series gelanceerd na 2024.

Modelnaam
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

Desktops: De volgende modellen, evenals alle reeksen die na 2024 gelanceerd zijn.

Modelnaam
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

All-in-One (AIO): De volgende modellen, evenals alle series die zijn uitgebracht na 2024.

Modelnaam
PM640KA
PM670KA

 

2.2 Modellen die een update nodig hebben

Als uw model hierboven niet vermeld staat, betekent dit dat het apparaat momenteel het oudere certificaat gebruikt en geüpdatet moet worden.

 

Hoe krijg ik de update?

Voor getroffen modellen heeft ASUS de nieuwe certificaatindiening voltooid. De update wordt automatisch geleverd door Microsoft via Windows Update.

 

Aanbevolen actie: Ga naar Instellingen > Windows Update en zorg ervoor dat automatische updates zijn ingeschakeld.

Automatische installatie: Het systeem zal automatisch het nieuwste beveiligingscertificaat downloaden en installeren—geen handmatige tools of downloads zijn vereist.

 

Sectie 3. Microsoft Third-Party Secure Boot Certificaten: Functionaliteit en Noodzaak

Deze sectie legt Microsoft third-party Secure Boot certificaten uit. Als je apparaat niet-Windows omgevingen (bijv. Linux) of third-party hardware (bijv. externe GPU's) moet uitvoeren, lees dan het volgende.

3.1 Microsoft 3rd Party Certificaat Overzicht

Origineel CertificaatBijgewerkt CertificaatBeschrijving
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

Dit is een optioneel certificaat dat wordt gebruikt [tijdens het bootproces] om derde-partij applicaties of besturingssystemen (zoals Linux) te ondertekenen die buiten de Windows-omgeving worden uitgevoerd.

Het is niet vereist als dergelijke gebruikssituaties niet van toepassing zijn.

Microsoft Option ROM UEFI CA 2023Dit is een optioneel certificaat dat wordt gebruikt [tijdens het bootproces] om de Option ROMs van de externe hardware te ondertekenen.   
Als de externe hardware (zoals een externe GPU) niet essentieel is tijdens het bootproces van het systeem, is dit certificaat niet van toepassing.

 

3.2 Als Microsoft certificaten van derden nodig zijn, raadpleeg dan de volgende instructies

Opmerking: Als uw zakelijke computer Windows BitLocker ingeschakeld heeft, schakel deze dan vooraf uit door onderstaande instructies te volgen voordat u een Secure Boot bewerking uitvoert.

 

Hoofdstuk 4. Controleren van de BIOS certificaatstatus en bepalen van updates

Apparaten die in 2026 worden geleverd bevatten deze certificaten al. U kunt BIOS Setup openen (druk op F2 tijdens het opstarten) om de opties voor certificaten van derden te verifiëren of te configureren.

 

Bovendien kunt u verwijzen naar Sectie 8.3 om te controleren of de certificaten van derden aanwezig zijn. Als ze niet zijn inbegrepen, werk dan de BIOS bij naar de nieuwste versie en volg Sectie 5. SOP 1: Update Secure Boot Certificates.

 

Als de benodigde certificaten van derden nog steeds niet verschijnen, ga dan verder naar Sectie 6. SOP 2: Add Secure Boot Certificates.

 

In het geval dat het resetten van de Secure Boot-sleutels resulteert in het verschijnen van het volgende scherm bij het opstarten van Windows, volg dan Sectie 7. SOP 3: Restore Secure Boot Certificates.

 

Referenties

  1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

Sectie 5. SOP 1: Update Secure Boot certificaten

Notities vóór operatie:

  1. Het wordt sterk aanbevolen om vooraf een back-up van alle gegevens op uw computer te maken om mogelijk gegevensverlies tijdens het handmatig updateproces te voorkomen.
  2. Als BitLocker is ingeschakeld, zorg er dan voor dat deze wordt gepauzeerd voordat u verdergaat met de volgende stappen. Zodra het proces is voltooid, kan BitLocker opnieuw worden ingeschakeld.
  3. Als u BitLocker niet pauzeert, kan dit leiden tot een vergrendelingsscenario. In gevallen waarin BitLocker het versleutelde Windows-station niet automatisch kan ontgrendelen, is een herstelcode vereist. Deze code is een 48-cijferige numerieke code waarmee u opnieuw toegang krijgt tot uw harde schijf. Mocht u niet vertrouwd zijn met de onderstaande procedures, neem dan contact met ons op voor hulp.

Als u uw BitLocker-herstelcode moet ophalen, raadpleeg dan het artikel: Hoe uw BitLocker Herstel Sleutel te verkrijgen.

 

Procedure Stappen

  1. Schakel het systeem in of start het opnieuw op, druk vervolgens op F2 om de BIOS setup te openen.   
    Druk op F7 om naar Geavanceerde Modus te schakelen, navigeer vervolgens naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).   
  2. Selecteer Sleutelbeheer.   
  3. Selecteer Geautoriseerde Handtekeningen (db).   
  4. Kies Bijwerken.   
  5. Selecteer Ja.   
      
    Opmerking: Selecteren van “Ja” zal de bijbehorende certificaten terugzetten naar de fabrieksinstellingen. Alle certificaten die eerder door het systeem of de gebruiker zijn toegevoegd, worden verwijderd.
  6. Selecteer Details om te verifiëren dat de Geautoriseerde Handtekeningen (db) certificaten succesvol zijn bijgewerkt.   
  7. Druk op F10 om op te slaan & af te sluiten.
  8. Als BitLocker eerder was onderbroken, zorg er dan voor dat het weer is ingeschakeld.

 

Sectie 6. SOP 2: Voeg Secure Boot-certificaten toe
6.1 Voeg Microsoft UEFI CA 2023 toe
  1. Download de Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872, en sla deze op in de hoofdmap van een USB-stick (bijv. “D:\microsoft uefi ca 2023.crt”).
  2. Zet het systeem aan of start opnieuw op, druk vervolgens op F2 om het BIOS setup te openen.   
    Druk op F7 om over te schakelen naar de Geavanceerde modus, navigeer daarna naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).   
  3. Selecteer Sleutelbeheer.   
  4. Selecteer Bevoegde Handtekeningen (db).   
  5. Kies Toevoegen.   
  6. Selecteer Nee.   
  7. Selecteer de USB-drive.   
  8. Zoek en selecteer het bestand in de hoofdmap: “microsoft uefi ca 2023.crt”.
  9. Selecteer Public Key Certificate, druk daarna op Enter op het GUID-bevestigingsscherm.   
  10. Selecteer Ja.   
  11. Controleer of Microsoft UEFI CA 2023 vermeld staat onder Bevoegde Handtekeningen (db).   
  12. Druk op F10 om op te slaan & te sluiten.
  13. Als BitLocker eerder was gepauzeerd, zorg er dan voor dat het weer is ingeschakeld.

 

6.2 Voeg Microsoft Option ROM UEFI CA 2023 toe
  1. Download Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009, en sla deze op in de hoofdmap van een USB-stick (bijvoorbeeld “D:\microsoft option rom uefi ca 2023.crt”).
  2. Zet het systeem aan of start het opnieuw op, druk vervolgens op F2 om de BIOS-setup te openen.   
    Druk op F7 om naar Geavanceerde Modus te schakelen, navigeer dan naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).   
  3. Selecteer Sleutelbeheer.   
  4. Selecteer Geautoriseerde Handtekeningen (db).   
  5. Kies Toevoegen.   
  6. Selecteer nr.   
  7. Selecteer de USB Drive.
  8. Zoek en selecteer het bestand opgeslagen in de hoofdmap: “microsoft option rom uefi ca 2023.crt”.
  9. Kies Openbare Sleutel Certificaat, druk daarna op Enter bij het GUID bevestigingsscherm.   
  10. Selecteer Ja.   
  11. Controleer of Microsoft Option ROM UEFI CA 2023 nu wordt weergegeven onder Geautoriseerde Handtekeningen (db).   
  12. Druk op F10 om op te slaan & af te sluiten.
  13. Als BitLocker eerder was gepauzeerd, zorg ervoor dat deze opnieuw wordt ingeschakeld.

 

Sectie 7. SOP 3: Herstel Secure Boot Certificaten
  1. Download Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776, en sla deze op in de hoofdmap van een USB drive (bijvoorbeeld “D:\windows uefi ca 2023.crt”).
  2. Zet het systeem aan of start het opnieuw op, druk vervolgens op F2 om het BIOS setup te openen.   
    Druk op F7 om naar de Geavanceerde Modus te schakelen, navigeer daarna naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).   
  3. Selecteer Key Management.   
  4. Selecteer Authorized Signatures (db).   
  5. Kies Toevoegen.   
  6. Selecteer Nee.   
  7. Selecteer het USB-station.
  8. Zoek en selecteer het bestand opgeslagen in de hoofdmap: “windows uefi ca 2023.crt”.
  9. Selecteer Public Key Certificate, druk vervolgens op Enter op het GUID-bevestigingsscherm.   
  10. Selecteer Ja.   
  11. Controleer of Windows UEFI CA 2023 nu wordt vermeld onder Geautoriseerde Handtekeningen (db).   
  12. Druk op F10 om op te slaan & af te sluiten.
  13. Als BitLocker is ingeschakeld, zorg ervoor dat je je BitLocker-herstelcode bij de hand hebt.

 

Sectie 8. PowerShell-certificaatverificatiemethode

Hoe controleer je de status van de UEFI Secure Boot-sleutel? De volgende procedures hebben geen invloed op de status van Windows BitLocker.

8.1 Voorbereidende stappen

Voer PowerShell in de Windows-zoekbalk in.

Klik met de rechtermuisknop op Windows PowerShell in de zoekresultaten en selecteer Als administrator uitvoeren.

 

8.2 Microsoft Windows Secure Boot-certificaten verifiëren

  1. Bevestig dat de Key Exchange Key (KEK) “Microsoft Corporation KEK 2K CA 2023” bevat.  
    Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    Een resultaat van Waar geeft aan dat het certificaat "Microsoft Corporation KEK 2K CA 2023" aanwezig is.  
  2. Bevestig dat de Signature Databases (DB) "Windows UEFI CA 2023" bevat.  
    Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    Een resultaat van Waar geeft aan dat het certificaat "Windows UEFI CA 2023" aanwezig is.  

 

8.3 Microsoft 3rd Party Secure Boot-certificaten verifiëren

  1. Bevestig dat de Signature Databases (DB) "Microsoft UEFI CA 2023" bevat.  
    Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    Een resultaat van Waar geeft aan dat het certificaat "Microsoft UEFI CA 2023" aanwezig is.  
  2. Bevestig dat de Signature Databases (DB) "Microsoft Option ROM UEFI CA 2023" bevat.  
    Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'  
    Een resultaat van True geeft aan dat het certificaat "Microsoft Option ROM UEFI CA 2023" aanwezig is.