[Aan zakelijke pc-gebruikers] Aankondiging over de update van het Windows Secure Boot-certificaat
Microsoft is van plan om de “Secure Boot”-certificaten die worden gebruikt in Windows-systemen geleidelijk te vervangen vanaf 2026. Secure Boot-certificaten zijn ontworpen om schadelijke software—zoals bootkits—te voorkomen dat ze loaders embedden tijdens het opstartproces, waardoor de integriteit van de bootomgeving wordt gewaarborgd.
De momenteel gebruikte certificaten—“Microsoft Corporation KEK CA 2011” en “Microsoft Windows Production PCA 2011”—naderen hun vervaldatum. Als ze niet worden bijgewerkt naar de nieuwe certificaten—“Microsoft Corporation KEK 2K CA 2023” en “Windows UEFI CA 2023”—kunnen apparaten geen updates meer ontvangen voor Windows Boot Manager en andere kritieke beveiligingscomponenten.
Om ervoor te zorgen dat uw zakelijke pc blijft profiteren van Secure Boot-bescherming en doorlopende systeemupdates, volgt u onderstaande instructies om de status van uw apparaat te verifiëren.
Sectie 2. Is mijn apparaat getroffen?
2.1 Niet getroffen (nieuw certificaat standaard ondersteund)
Alle zakelijke pc’s die in 2024 of later zijn geleverd, evenals alle toekomstige nieuwe modellen, hebben het nieuwe Secure Boot-certificaat vooraf geïntegreerd. Geen handmatige update is vereist.
Laptops (NB): De volgende modellen, evenals alle series gelanceerd na 2024.
| Modelnaam |
| BM3406CGA |
| BM3606CGA |
| PM5406CGA |
| PM5606CGA |
| BM3406CHA |
| BM3606CHA |
| PM3406CHA |
| PM3606CHA |
| PM3406CKAZ |
| PM3406CKA |
| PM3606CKA |
| PM1403CDA |
| PM1503CDA |
| B5405CCA |
| B3405CCA |
| B5605CCA |
| B3605CCA |
| P3405CVA |
| P3605CVA |
| B5605CVA |
| B3605CVA |
| B5405CVA |
| B3405CVA |
| BR1204FTA |
| BR1204CTA |
| BR1104FTA |
| BR1104CTA |
| B1403CTA |
| B1503CTA |
| B3402FVA |
| BM1403CDA |
| BM1503CDA |
| B1403CVA |
| B1503CVA |
| P1403CVA |
| P1503CVA |
| P5405CSA |
Desktops: De volgende modellen, evenals alle reeksen die na 2024 gelanceerd zijn.
| Modelnaam |
| P500SV |
| V500SV |
| PM700MK |
| PM700SK |
| D900MF |
| D900SF |
| T701MF |
| D700MF |
| T500MV |
| P500MV |
| D700MER |
| D700ME |
| X500MA |
| D701MER |
| S701TER |
| D901MDR |
| D500TER |
| D700TER |
| D901SDR |
| S501MER |
| PD500TE |
| G15DS |
| D800MDR |
| G16CH |
| G13CH |
| S501ME |
| D500TE |
| D700TE |
| G35CA |
| D900MD |
| D500SD |
| D500MD |
| D700MD |
| D500TD |
| D700TD |
| G15CF |
| D900MC |
| D500SC |
| D700SC |
| D500TC |
| D700TC |
| PD500TC |
| G10CE |
| G35CG |
| GA35DX |
| D700SF |
| V500MV |
| D501MER |
| D701SER |
| D501SER |
| T501MV |
| D900MDR |
| D800SDR |
| D900SDR |
| S502ME |
| S502MER |
| D500MER |
| D500SER |
| D700SER |
| D900SC |
| D900SD |
| G35DX |
| S501MC |
| S502MD |
| S500TD |
| S501MD |
| S500TC |
| S500MC |
| S700SC |
| D700MC |
| S500MD |
| S500SC |
| S500SD |
| D701TC |
| D700SD |
| D500SE |
| D500ME |
| D700SE |
All-in-One (AIO): De volgende modellen, evenals alle series die zijn uitgebracht na 2024.
| Modelnaam |
| PM640KA |
| PM670KA |
2.2 Modellen die een update nodig hebben
Als uw model hierboven niet vermeld staat, betekent dit dat het apparaat momenteel het oudere certificaat gebruikt en geüpdatet moet worden.
Hoe krijg ik de update?
Voor getroffen modellen heeft ASUS de nieuwe certificaatindiening voltooid. De update wordt automatisch geleverd door Microsoft via Windows Update.
Aanbevolen actie: Ga naar Instellingen > Windows Update en zorg ervoor dat automatische updates zijn ingeschakeld.
Automatische installatie: Het systeem zal automatisch het nieuwste beveiligingscertificaat downloaden en installeren—geen handmatige tools of downloads zijn vereist.
Sectie 3. Microsoft Third-Party Secure Boot Certificaten: Functionaliteit en Noodzaak
Deze sectie legt Microsoft third-party Secure Boot certificaten uit. Als je apparaat niet-Windows omgevingen (bijv. Linux) of third-party hardware (bijv. externe GPU's) moet uitvoeren, lees dan het volgende.
3.1 Microsoft 3rd Party Certificaat Overzicht
| Origineel Certificaat | Bijgewerkt Certificaat | Beschrijving |
| Microsoft Corporation UEFI CA 2011 | Microsoft UEFI CA 2023 | Dit is een optioneel certificaat dat wordt gebruikt [tijdens het bootproces] om derde-partij applicaties of besturingssystemen (zoals Linux) te ondertekenen die buiten de Windows-omgeving worden uitgevoerd. Het is niet vereist als dergelijke gebruikssituaties niet van toepassing zijn. |
| Microsoft Option ROM UEFI CA 2023 | Dit is een optioneel certificaat dat wordt gebruikt [tijdens het bootproces] om de Option ROMs van de externe hardware te ondertekenen. Als de externe hardware (zoals een externe GPU) niet essentieel is tijdens het bootproces van het systeem, is dit certificaat niet van toepassing. |
3.2 Als Microsoft certificaten van derden nodig zijn, raadpleeg dan de volgende instructies
Opmerking: Als uw zakelijke computer Windows BitLocker ingeschakeld heeft, schakel deze dan vooraf uit door onderstaande instructies te volgen voordat u een Secure Boot bewerking uitvoert.

Hoofdstuk 4. Controleren van de BIOS certificaatstatus en bepalen van updates
Apparaten die in 2026 worden geleverd bevatten deze certificaten al. U kunt BIOS Setup openen (druk op F2 tijdens het opstarten) om de opties voor certificaten van derden te verifiëren of te configureren.

Bovendien kunt u verwijzen naar Sectie 8.3 om te controleren of de certificaten van derden aanwezig zijn. Als ze niet zijn inbegrepen, werk dan de BIOS bij naar de nieuwste versie en volg Sectie 5. SOP 1: Update Secure Boot Certificates.
Als de benodigde certificaten van derden nog steeds niet verschijnen, ga dan verder naar Sectie 6. SOP 2: Add Secure Boot Certificates.
In het geval dat het resetten van de Secure Boot-sleutels resulteert in het verschijnen van het volgende scherm bij het opstarten van Windows, volg dan Sectie 7. SOP 3: Restore Secure Boot Certificates.

Referenties
- https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
- https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
Sectie 5. SOP 1: Update Secure Boot certificaten
Notities vóór operatie:
- Het wordt sterk aanbevolen om vooraf een back-up van alle gegevens op uw computer te maken om mogelijk gegevensverlies tijdens het handmatig updateproces te voorkomen.
- Als BitLocker is ingeschakeld, zorg er dan voor dat deze wordt gepauzeerd voordat u verdergaat met de volgende stappen. Zodra het proces is voltooid, kan BitLocker opnieuw worden ingeschakeld.
- Als u BitLocker niet pauzeert, kan dit leiden tot een vergrendelingsscenario. In gevallen waarin BitLocker het versleutelde Windows-station niet automatisch kan ontgrendelen, is een herstelcode vereist. Deze code is een 48-cijferige numerieke code waarmee u opnieuw toegang krijgt tot uw harde schijf. Mocht u niet vertrouwd zijn met de onderstaande procedures, neem dan contact met ons op voor hulp.
Als u uw BitLocker-herstelcode moet ophalen, raadpleeg dan het artikel: Hoe uw BitLocker Herstel Sleutel te verkrijgen.
Procedure Stappen
- Schakel het systeem in of start het opnieuw op, druk vervolgens op F2 om de BIOS setup te openen.
Druk op F7 om naar Geavanceerde Modus te schakelen, navigeer vervolgens naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).
- Selecteer Sleutelbeheer.

- Selecteer Geautoriseerde Handtekeningen (db).

- Kies Bijwerken.

- Selecteer Ja.
Opmerking: Selecteren van “Ja” zal de bijbehorende certificaten terugzetten naar de fabrieksinstellingen. Alle certificaten die eerder door het systeem of de gebruiker zijn toegevoegd, worden verwijderd. - Selecteer Details om te verifiëren dat de Geautoriseerde Handtekeningen (db) certificaten succesvol zijn bijgewerkt.

- Druk op F10 om op te slaan & af te sluiten.
- Als BitLocker eerder was onderbroken, zorg er dan voor dat het weer is ingeschakeld.
Sectie 6. SOP 2: Voeg Secure Boot-certificaten toe
6.1 Voeg Microsoft UEFI CA 2023 toe
- Download de Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872, en sla deze op in de hoofdmap van een USB-stick (bijv. “D:\microsoft uefi ca 2023.crt”).
- Zet het systeem aan of start opnieuw op, druk vervolgens op F2 om het BIOS setup te openen.
Druk op F7 om over te schakelen naar de Geavanceerde modus, navigeer daarna naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).
- Selecteer Sleutelbeheer.

- Selecteer Bevoegde Handtekeningen (db).

- Kies Toevoegen.

- Selecteer Nee.

- Selecteer de USB-drive.

- Zoek en selecteer het bestand in de hoofdmap: “microsoft uefi ca 2023.crt”.
- Selecteer Public Key Certificate, druk daarna op Enter op het GUID-bevestigingsscherm.

- Selecteer Ja.

- Controleer of Microsoft UEFI CA 2023 vermeld staat onder Bevoegde Handtekeningen (db).

- Druk op F10 om op te slaan & te sluiten.
- Als BitLocker eerder was gepauzeerd, zorg er dan voor dat het weer is ingeschakeld.
6.2 Voeg Microsoft Option ROM UEFI CA 2023 toe
- Download Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009, en sla deze op in de hoofdmap van een USB-stick (bijvoorbeeld “D:\microsoft option rom uefi ca 2023.crt”).
- Zet het systeem aan of start het opnieuw op, druk vervolgens op F2 om de BIOS-setup te openen.
Druk op F7 om naar Geavanceerde Modus te schakelen, navigeer dan naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).
- Selecteer Sleutelbeheer.

- Selecteer Geautoriseerde Handtekeningen (db).

- Kies Toevoegen.

- Selecteer nr.

- Selecteer de USB Drive.
- Zoek en selecteer het bestand opgeslagen in de hoofdmap: “microsoft option rom uefi ca 2023.crt”.
- Kies Openbare Sleutel Certificaat, druk daarna op Enter bij het GUID bevestigingsscherm.

- Selecteer Ja.

- Controleer of Microsoft Option ROM UEFI CA 2023 nu wordt weergegeven onder Geautoriseerde Handtekeningen (db).

- Druk op F10 om op te slaan & af te sluiten.
- Als BitLocker eerder was gepauzeerd, zorg ervoor dat deze opnieuw wordt ingeschakeld.
Sectie 7. SOP 3: Herstel Secure Boot Certificaten
- Download Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776, en sla deze op in de hoofdmap van een USB drive (bijvoorbeeld “D:\windows uefi ca 2023.crt”).
- Zet het systeem aan of start het opnieuw op, druk vervolgens op F2 om het BIOS setup te openen.
Druk op F7 om naar de Geavanceerde Modus te schakelen, navigeer daarna naar Beveiliging > Secure Boot (of direct Beveiliging > Secure Boot).
- Selecteer Key Management.

- Selecteer Authorized Signatures (db).

- Kies Toevoegen.

- Selecteer Nee.

- Selecteer het USB-station.
- Zoek en selecteer het bestand opgeslagen in de hoofdmap: “windows uefi ca 2023.crt”.
- Selecteer Public Key Certificate, druk vervolgens op Enter op het GUID-bevestigingsscherm.

- Selecteer Ja.

- Controleer of Windows UEFI CA 2023 nu wordt vermeld onder Geautoriseerde Handtekeningen (db).

- Druk op F10 om op te slaan & af te sluiten.
- Als BitLocker is ingeschakeld, zorg ervoor dat je je BitLocker-herstelcode bij de hand hebt.
Sectie 8. PowerShell-certificaatverificatiemethode
Hoe controleer je de status van de UEFI Secure Boot-sleutel? De volgende procedures hebben geen invloed op de status van Windows BitLocker.
8.1 Voorbereidende stappen
Voer PowerShell in de Windows-zoekbalk in.
Klik met de rechtermuisknop op Windows PowerShell in de zoekresultaten en selecteer Als administrator uitvoeren.

8.2 Microsoft Windows Secure Boot-certificaten verifiëren
- Bevestig dat de Key Exchange Key (KEK) “Microsoft Corporation KEK 2K CA 2023” bevat.
Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Een resultaat van Waar geeft aan dat het certificaat "Microsoft Corporation KEK 2K CA 2023" aanwezig is.
- Bevestig dat de Signature Databases (DB) "Windows UEFI CA 2023" bevat.
Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Een resultaat van Waar geeft aan dat het certificaat "Windows UEFI CA 2023" aanwezig is.
8.3 Microsoft 3rd Party Secure Boot-certificaten verifiëren
- Bevestig dat de Signature Databases (DB) "Microsoft UEFI CA 2023" bevat.
Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Een resultaat van Waar geeft aan dat het certificaat "Microsoft UEFI CA 2023" aanwezig is.
- Bevestig dat de Signature Databases (DB) "Microsoft Option ROM UEFI CA 2023" bevat.
Voer uit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'
Een resultaat van True geeft aan dat het certificaat "Microsoft Option ROM UEFI CA 2023" aanwezig is.