Secure Boot is een belangrijke beveiligingsfunctie op de meeste Windows 11 computers. Als Secure Boot is ingeschakeld, wordt uitsluitend betrouwbare software geladen tijdens het opstartproces van uw computer. Hiermee voorkomt Secure Boot dat kwaadaardige software, zoals bootkits en rootkits, kan worden geladen voordat Windows opstart.
Secure Boot maakt gebruik van certificaten. Deze certificaten moeten worden vernieuwd. Verouderde certificaten zullen in juni 2026 vervallen. Om die reden is het van belang dat uw computer tijdig wordt geüpdatet naar de nieuwe certificaten. Worden de certificaten namelijk niet op tijd vernieuwd, dan kan Secure Boot geen handtekeningen meer controleren.
In dit artikel leg ik uit hoe u kunt controleren welke certificaten uw computer gebruikt en hoe u Secure Boot-certificaten bijwerkt.
Belangrijk: voer onderstaand alleen uit als u weet wat u doet!
Secure Boot-certificaten updaten in Windows 11
Controleren of de nieuwe Secure Boot-certificaten aanwezig zijn
De eerste stap is om te controleren of de nieuwe Secure Boot-certificaten aanwezig zijn. Dit kunt u controleren via een commando dat u kunt uitvoeren in Terminal.
Klik met de rechtermuisknop op de Startknop.
Klik op Terminal (beheerder).
Geef het volgende commando in:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match "Windows UEFI CA 2023")
U ziet dan twee mogelijke resultaten:
- False: De certificaten zijn nog niet bijgewerkt.
- True: Nieuwe Secure Boot-certificaten zijn wel bijgewerkt.
Secure Boot-certificaten handmatig updaten
Secure Boot-certificaten worden aangeboden via Windows Update. Controleer dus eerst via Windows Update of er nieuwe certificaten beschikbaar zijn.
Let op: is uw schijf versleuteld via BitLocker? Schakel dan Bitlocker eerst uit.
Open een Terminal venster als beheerder en voer uit:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Via bovenstaande commando stelt u in dat de computer alle beschikbare certificaten moet bijwerken.
Voer daarna het volgende commando in, om direct de certificaten te updaten. De taak “Secure-Boot-Update” wordt uitgevoerd via taakplanner.
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Herstart daarna uw computer.
Als u nu opnieuw gaat controleren of de certificaten zijn bijgewerkt, dan ziet u “True”. Dit is een indicatie dat het updaten van de Secure Boot-certificaten is gelukt.
De certificaatupdate vereist doorgaans twee herstarts om volledig te worden toegepast.
Na de eerste herstart wordt de bootmanager bijgewerkt en na de tweede herstart wordt de inschrijving van het certificaat in de UEFI-database definitief voltooid.
Als u BitLocker heeft uitgeschakeld, schakel dan BitLocker terug in.
Ik hoop u hiermee geholpen te hebben. Bedankt voor het lezen!
❤️ Help mee en deel
Voordat u verdergaat, wil ik u vragen of u zou willen overwegen mijn werk te steunen.In tegenstelling tot veel grote websites is er op PC Tips geen betaalmuur die lezers blokkeert, maar daardoor is uw steun des te belangrijker. Als u onafhankelijke initiatieven zoals deze waardeert, overweeg dan alstublieft om mij te steunen, zodat ik kan blijven doen wat ik met plezier doe. Deel mijn website PC Tips op andere websites, social media of binnen uw eigen netwerk.
🙂 Overzicht met computertips
Bekijk ook mijn uitgebreide overzicht met praktische computertips, overzichtelijk gesorteerd per categorie.