Windows-beveiligingsapp toont of pc nieuw Secure Boot-certificaat heeft

De Windows-beveiligingsapp toont na een update informatie over de status van Secure Boot-certificaten. Deze informatie is zichtbaar onder het tabblad 'Apparaatbeveiliging'. Zo kunnen gebruikers controleren of hun apparaten al een nieuw certificaat hebben ontvangen.

Microsoft waarschuwde in februari dat de certificaten voor het beveiligd opstarten van veel computers eind juni verlopen. Die certificaten worden via Windows Update vervangen door certificaten uit 2023. Systemen die dergelijke updates niet krijgen, werken nog wel, maar zijn niet beschermd tegen kwetsbaarheden op bootniveau.

Via de beveiligingsapp is nu te zien of de update al is ontvangen. In een blogbericht legt Microsoft uit dat de status van het Secure Boot-certificaat wordt weergegeven met een groen vinkje, een geel waarschuwingsicoon of een rood kruis. Elk van deze iconen komt overeen met een updatestatus.

Gebruikers die een groen vinkje te zien krijgen, zijn voldoende beschermd en hoeven niets te doen. Het gele icoon wordt vanaf mei getoond wanneer een update wordt geblokkeerd door een hardware- of firmwarebeperking van het apparaat. Het rode icoon betekent dat het apparaat geen nieuw certificaat via Windows Update kan ontvangen. Dit icoon zou vanaf juni 2026 kunnen verschijnen, schrijft Microsoft.

Secure Boot-status

Door Imre Himmelbauer

Redacteur

Feedback • 03-04-2026 14:57
43 • submitter: MineTurtle

03-04-2026 • 14:57

43

Submitter: MineTurtle

Lees meer

Microsoft Windows 11 Home

vanaf € 116,40

4.5 van 5 sterren

Alles over dit product

Microsoft Windows 11 Pro

vanaf € 135,81

3 van 5 sterren

Alles over dit product

Meer dan tien procent van Patch Tuesday-bugs werd al actief misbruikt
Meer dan tien procent van Patch Tuesday-bugs werd al actief misbruikt Nieuws van 11 februari 2026
Microsoft waarschuwt: Windows-certificaten voor Secure Boot verlopen in juni
Microsoft waarschuwt: Windows-certificaten voor Secure Boot verlopen in juni Nieuws van 10 februari 2026
Windows 11-update schakelt toetsenbord- en muisbediening uit in herstelomgeving
Windows 11-update schakelt toetsenbord- en muisbediening uit in herstelomgeving Nieuws van 20 oktober 2025
Microsoft test herstelfunctie voor Windows-pc's die niet willen opstarten
Microsoft test herstelfunctie voor Windows-pc's die niet willen opstarten Nieuws van 30 maart 2025
Meer producten en artikelen
Besturingssystemen Microsoft Windows Windows 11

Reacties (43)

-Moderatie-faq
43
41
19
1
0
17
Wijzig sortering

Sorteer op:

Weergave:
Petje72 3 april 2026 17:02
Hier de link naar MS Playbook voor (verlopen) Secureboot certificaten: https://techcommunity.microsoft.com/blog/windows-itpro-blog/secure-boot-playbook-for-certificates-expiring-in-2026/4469235

Voor particulieren maar zeker voor bedrijven die nog relatief oude hardware hebben en deze nog niet (willen) vervangen is er werk aan de winkel. b.v. de HP Elitedesk 800 G5 met 8th gen CPU draait nog prima Windows 11 maar HP heeft er (nog) geen niuewe BIOS voor: dus je moet zelf aan de slag.

Hier vind je meer info en tools om zelf te updaten: https://github.com/cjee21/Check-UEFISecureBootVariables
Reageer
CriticalHit_NL @Petje723 april 2026 17:28
Had deze recent inderdaad ook gepost, handige tool.

De i9 13900K draait hier een oude bios op de Z790 Extreme van 2022, zie wel dat er inmiddels tussen Februari en Maart wat gewijzigd is, maar meer dan dat ook niet, voer enkel de Windows Updates uit:M'n i7 3930K met X79 Sabertooth en 2012 bios is tot dusver zo gebleven:Maar daar zit ook nog een 1080Ti in die een 2011 certificaat heeft voor de vbios dus dat is wellicht ook nog een dingetje.
Ik zie het verder wel, tot dusver draait die oude machine Battlefield 6 nog altijd zonder TPM met enkel Secure Boot. :+ Beiden machines draaien Win 10 22H2 met ESU.

Maar voor het nieuwe systeem zoek het niet om bios te updaten i.v.m. 4x32GB DDR5-5400 XMP stabiel draait en de nieuwere versies hadden juist al dat voltage gedoe en je kan niet naar alle versies terug downgraden dus bestaat de kans vast te zitten op een onstabiele configuratie dan wel eentje die zichzelf vermoord en anders de prestaties verslechterd dan wel undervolts loopt te blokkeren. :+

Of het handig is de updates te proberen te forceren op de oude machine, geen idee.
Reageer
beerse 3 april 2026 15:03
Hoe zit het ook al weer met deze boot-certificaten en het booten van andere operating systemen? Zoals bijvoorbeeld nieuwe installatie media maar ook en vooral de dual-boot systemen?

Zelf gebruik ik op een paar systemen een dual-boot installatie met msWindows en een linux distributie. Dat wil ik wel een beetje bruikbaar houden. Kan ik deze msWindows update op voorhand al tegenhouden?
Reageer
Soldaatje @beerse3 april 2026 15:18
Dat zou geen problemen moeten opleveren normaal gesproken want deze andere besturingssystemen zouden deze certificaten ook moeten ondersteunen en/of updaten.
Reageer
The Zep Man
@beerse3 april 2026 15:33
Hoe zit het ook al weer met deze boot-certificaten en het booten van andere operating systemen? Zoals bijvoorbeeld nieuwe installatie media maar ook en vooral de dual-boot systemen?
Staat Secure Boot bij jou aan? Zo nee, dan heeft dit geen enkel effect.
Reageer
GertMenkel
@beerse3 april 2026 15:55
Op een gegeven moment zal je distro ook naar een bootloader overstappen die met het nieuwe certificaat is ondertekend. Dan moet je die update wel hebben.

De oude bootloader zou gewoon moeten blijven werken (hij is niet ingetrokken, hij verloopt gewoon) maar als je je Windows-update niet installeert en je Linux-distros de update niet aanbiedt, verlies je op termijn mogelijk de optie om Linux (of Windows, als die hun bootloader uit noodzaak moet aanpassen) op te starten.
Reageer
IStealYourGun @GertMenkel3 april 2026 16:40
Afaik zou opstarten geen issue mogen geven, maar wel de installatie van een nieuwe Windows of Linux versie
Reageer
N8w8 @beerse3 april 2026 16:57
Verschilt per OS; de meeste grote distro's hebben n bootloader ondertekend door MS, dus kunnen booten met de default MS keys.
Maar bijv Arch/PopOS/Memtest86+ hebben dat dacht ik niet, dus moet je SB uitzetten.
Ook oude OS versies zijn niet ondertekend met nieuwe MS keys, dus als je alleen nieuwe MS keys hebt, dan ook SB uit.
(Mn indruk was overigens dat men verwachtte dat oude MS keys wel blijven werken, ook nadat ze verlopen).
Maar ipv SB uitzetten, kan je ook je eigen keys gebruiken (ipv de default MS keys). Soms kan dat semi-vanzelf door de installer worden geregeld.
Reageer
jompie 3 april 2026 15:03
En dan? Als waarschuwing prima, maar remt dit ook functionaliteit of Windows updates?
Reageer
michel18 @jompie3 april 2026 15:12
Als de certificaten verlopen zijn, dan wilt de computer nog steeds booten alleen de volgende situaties gaan daan ontstaan:
  • Het verliezen van de mogelijkheid om Secure Boot‑beveiligingsupdates te installeren na juni 2026.
  • Het niet meer vertrouwen van software van derden die is ondertekend met nieuwe certificaten na juni 2026.
  • Het niet meer ontvangen van beveiligingsupdates voor Windows Boot Manager vanaf oktober 2026.
Reageer
ShadowBumble @jompie3 april 2026 15:41
En dan? Als waarschuwing prima, maar remt dit ook functionaliteit of Windows updates?
Er zijn tegenwoordig ook best nog wel veel games die het verplichten om secure boot aan te hebben als anti cheat maatregel, het is niet water dicht maar ook daarop heeft het impact. Immers draaien de games niet zonder die functionaliteit
Reageer
Beeldbuis 3 april 2026 15:18
Als het certificaat niet meer goed is, betekent dit dat je geen games meer kunt opstarten die secure boot vereisen?
Reageer
Mizgala28 @Beeldbuis3 april 2026 15:32
Er zijn games die dat vereisen?

Ik speel heel veel PC games maar dit is nieuw voor mij, dacht dat het optioneel was.
Reageer
IamGrimm @Mizgala283 april 2026 15:35
Yes. Sommige online multiplayer games vereisen dat icm hun kernel level anti-cheat software.
Reageer
JobRapati @Mizgala283 april 2026 15:37
Die zijn er ja, Valorant, Black Ops 7, Battlefield 6. Om een paar voorbeelden te noemen.
Reageer
Mizgala28 @JobRapati3 april 2026 15:41
Dat verklaart waarom ik het niet wist, ik speel (op Doom na) geen FPS games.

Maar er zijn dus games die het verplichten, zonde dat het gebeurt maar dan heb ik weer eens iets nieuws geleerd.
Reageer
CH4OS @Mizgala283 april 2026 20:20
Het zijn met name cheater gevoelige (multiplayer) games. Middels SecureBootkan men de integriteit van het systeem afdwingen.
Reageer
AnonymousGerbil @Mizgala283 april 2026 15:40
Een aantal online multiplayer spellen gebruiken het in de anti-cheat.
Reageer
Henk Poley @Mizgala283 april 2026 18:36
In principe is Secure Boot + Virtualisation Based Security identiek aan wat ze op de Xbox aanbieden. Ergens wel logisch dus dat sommige games dat verkiezen boven al te veel eigen “anti cheat” rootkits moeten bouwen, die dan ook maar weer moeten blijven werken met toekomstige Windows versies.
Reageer
CH4OS @Mizgala283 april 2026 20:19
Battlefield 6 onder andere vereist dat.
Reageer
Natriumlamp @Beeldbuis3 april 2026 15:32
Dat lijkt de FAQ van MSFT inderdaad te impliceren.

'What happens if my device doesn't get the updated certificates? 

Your device will continue to work normally for some time. However, after the current Secure Boot certificates expire, over time, your device might not be able to receive security updates that protect the Windows startup process. This may also lead to compatibility issues, as newer operating systems, firmware, hardware or Secure Boot-dependent software may fail to load. The Windows Security app will guide you on the next steps. '
Reageer
jaaoie17 3 april 2026 18:23
Er staat een groen vinkje met deze melding:

Beveiligt opstarten is ingeschakeld, waardoor schadelijke software niet wordt geladen wanneer uw apparaat wordt gestart.

Er staat niks over certificaten. Of staat dat alleen bij de Engelse taal?
Reageer
R4gnax
@jaaoie173 april 2026 18:52
Dan heb je of de nieuwe versie van de applicatie nog niet, of de nieuwe certificaten nog niet.
Het gele waarschuwingsicoontje begint pas volgende maand, vanaf mei, te tonen.
Reageer
anandus 3 april 2026 16:22
Wat heeft Secure Boot eigenlijk voor nut?
Ik heb het uitstaan (volgens mij ooit gedoe met een VM? Ik weet het niet meer), maar ervaar geen negatieve gevolgen.
Reageer
IClemens @anandus3 april 2026 16:35
Het idee is dat bedrijven er met secure boot er van uit kunnen gaan dat er niet met de software geknoeid is omdat de hele keten voorzien is van cryptografische handtekeningen die in elke stap gecontroleerd worden. Dan kan je bank of de anti-cheat van je spelletje dus zeker zijn dat alleen het door Microsoft ondertekende systeem opgestart is, en dus niet iets dat malware of kernel-level cheats bevat.

De keerzijde van deze technologie is dat jij als gebruiker dus de controle over jouw systeem verliest. Zeker als we straks dingen als Web Environment Integrity krijgen, waarbij je een website alleen kan gebruiken als je systeem "trusted" is, dan verliezen we een hoop vrijheid.

Zelf heb ik om die reden ook "secure boot", de TPM en Google Play Integrity uitgezet.

[Reactie gewijzigd door IClemens op 3 april 2026 16:37]

Reageer
PolarBear @IClemens3 april 2026 18:25
Het gaat in eerste instantie dat je boot met een gesigneerde kernel, dat er geen malware inzit. En dat gaat voor de veiligheid natuurlijk wel wat verder dan de scenario's die jij schetst.
Reageer
lenwar
@anandus3 april 2026 19:29
Secure Boot beschermt het boot-proces van een besturingssysteem. Dus dat bijvoorbeeld malware niet in het bootproces kan komen. Let wel. Ik heb het hier over het Boot-proces. Dat is voordat het besturingssysteem zelf opstart. (Dus het mechanisme dat Windows/Linux/MacOS opstart.)

Het doet dit door een handtekening te controleren, op een manier die lijkt op certificaten van websites ondertekend zijn. De browser heeft een aantal standaard CA-certificaten aan boord. De BIOS/UEFI van je moederbord heeft dat ook. Je kunt in principe zelf nieuwe Certificaten toevoegen, zodat je ook zelf een besturingssysteem kan ondertekenen. (Sommige Linux-distros geven hier een handleiding voor hoe je dit kunt doen.)

Het besturingssysteem kan hiervan ‘bewust zijn’, en de Secure Boot-status doorgeven aan andere software-onderdelen. Zo kunnen bijvoorbeeld games of andere stukken software hierop controleren en hierop acteren.

[Reactie gewijzigd door lenwar op 3 april 2026 19:31]

Reageer
PolarBear @RadYeon3 april 2026 18:23
En kan je dat ook toelichten?
Reageer
RadYeon @PolarBear3 april 2026 21:19
Jazeker, maar je kunt beter een paar flmpjes erover bekijken zoals die van Rob Braxman op YT.
Beter opneembaar dan een lap tekst.

YouTube: Your Windows 11 Computer’s Hidden Spy: The Dark Truth About TPM Chips

Dit gaat over TPM en connectie met o.a Secure Boot.

[Reactie gewijzigd door RadYeon op 3 april 2026 21:20]

Reageer
MoonRaven 3 april 2026 15:26
Voor de mensen die Windows in het Engels hebben staan:
  • Open Windows Security
  • Klik op Device security
Reageer
amigob2 @MoonRaven3 april 2026 16:16
Heerlijk Microsoft : ik krijg
Standard hardware security not supported.

En dan krijg je de uitleg, waar je heel veel aan hebt, vertel dan wat niet aan de eisen voldoet.
This means that your device does not meet at least one of the requirements of standard hardware security.
Reageer
uiltje @amigob23 april 2026 18:01
Ja, dat soort dingen stoort me ook gigantisch. Ik krijg de laatste tijd steeds meer "generieke foutmeldingen". We lijken wat dat betreft echt in de tijd terug te gaan. Vroeger kreeg je vaak alleen een nummertje, maar die kon je wel precies opzoeken (zonder dat je te maken hebt met de taal). Daarna een redelijke foutmelding en / of een wizard (die niets voor elkaar weet te krijgen). Nu een generieke foutmelding met eventueel een link naar een nog webpagina die nog generieker is.

Maar goed het kan altijd erger. Ik probeer met Rabo een telefoon met wallet pinpas functionaliteit te geven. Dat kan niet via de wallet app zelf (die kan klaarblijkelijk het proces bij Rabo niet opstarten). Dus via de PC proberen de wallet aan de pinpas te koppelen. Kan wel de pinpas selecteren voor Google Pay (wat de gebruiker ziet als de Google Wallet, ook lekker logisch), maar daarna is er NIETS te zien, alleen de gegevens van de pas. Blijkt dat je dat alleen via de rabo app kan doen, dan krijg je wel een knopje. Oftewel: je krijgt helemaal geen foutmelding en geen enkele manier om er achter te komen wat er aan de hand is.

Weten we ook weer wat ons in de toekomst te wachten staat.
Reageer
TweakerCarlo @uiltje3 april 2026 18:38
Erger vind ik dan nog dat na een foute windows update, na een restore, je een bitlocker key in moet vullen ookal staat dat uitgeschakelt. Welke key dan? Die is nergens te vinden (ook niet in ms-online) en heb deze niet gezien/gekregen bij het installeren.
Reageer
uiltje @TweakerCarlo3 april 2026 20:24
Inderdaad, ik denk dat we het eens zijn dat dit soort vraagtekens grote ergernis kan veroorzaken, zelfs als dat digi-kenners zijn.
Reageer
FairPCsPlease @amigob23 april 2026 20:29
Inderdaad, die melding krijg ik ook met de toelichting: "Als de beveiligingsmogelijkheden van je apparaat volgens jou niet voldoende zijn, moet je mogelijk bepaalde functies van je hardware inschakelen (zoals beveiligd opstarten, als de hardware dit ondersteunt) of instellingen in de BIOS van je computer wijzigen. Neem contact op met uw hardwareleverancier om te zien welke functies worden ondersteund door uw hardware en hoe u deze kunt inschakelen."

Lekker onduidelijk. Moet ik nu met ASUS contact opnemen met de vraag "welke functies worden ondersteund door mijn hardware en hoe kan ik deze inschakelen?" en als zij mij dan terugmailen met de vraag "welke functies?" antwoorden "nou, bepaalde functies".
Reageer
Mizgala28 3 april 2026 15:31
Net nagekeken op 3 Windows systemen in huis.

Beide desktops hebben secure boot blijkbaar uit, geen last van in ieder geval.

en ze zijn officieel vanaf Windows 10 geüpdatet naar Windows 11

Op mijn MSI Claw staat het wel aan.
Reageer
DefaultError 3 april 2026 17:00
Hypothetisch kun je een laptop met twee SSD’s de secure ‘bootloader’ de ‘primary’ op aan, en de ‘secondary’ gebruiken voor een alternatief zoals Linux. “Always a safe modus”.
Reageer
dasiro 3 april 2026 17:35
hopelijk minder hoepels nu om door te moeten springen als sysadmin, want van die documentatie door te lezen wordt niemand vrolijk ;(
Reageer

Om te kunnen reageren moet je ingelogd zijn