Security

Windows Secure Boot certificaten vernieuwen voor 2026

3 min leestijd

Samenvatting

Microsoft vernieuwt de Secure Boot-certificaten van Windows omdat de huidige certificaten uit 2011 vanaf eind juni 2026 beginnen te verlopen. Ondersteunde apparaten krijgen de nieuwe certificaten via maandelijkse Windows-updates, maar sommige systemen hebben eerst een OEM-firmware-update nodig; dit is belangrijk omdat apparaten anders mogelijk wel blijven opstarten, maar toekomstige boot-level beveiligingsupdates kunnen missen.

Hulp nodig met Security?Praat met een expert

Introductie: waarom dit belangrijk is

Secure Boot is een van de belangrijkste boot-time beveiligingen van Windows en zorgt ervoor dat alleen vertrouwde, digitaal ondertekende componenten draaien voordat het OS laadt. Dat vertrouwen is verankerd in certificaten die in UEFI-firmware zijn opgeslagen—en Microsoft heeft bevestigd dat de oorspronkelijke Secure Boot-certificaten uit 2011 het einde van hun lifecycle bereiken en vanaf eind juni 2026 beginnen te verlopen. Voor IT-teams is dit een tijdgebonden, ecosysteem-brede security-onderhoudsactie: als apparaten de certificaatrefresh missen, kunnen ze waarschijnlijk blijven opstarten, maar verliezen ze de mogelijkheid om toekomstige boot-level beveiligingsmaatregelen te ontvangen.

Wat is er nieuw

Secure Boot “root of trust” wordt vernieuwd

  • De langlopende Secure Boot-certificaten verlopen vanaf eind juni 2026.
  • Nieuwe certificaten worden uitgerold naar ondersteunde Windows-apparaten via de normale maandelijkse Windows-updatecyclus.
  • Dit is een gecoördineerde inspanning tussen Windows servicing, OEM-firmware en UEFI-providers om risico en verstoring te minimaliseren.

Brede OEM-gereedheid (vooral nieuwere apparaten)

  • Veel pc’s die sinds 2024 zijn gebouwd—en vrijwel alle apparaten die in 2025 zijn geleverd—bevatten de bijgewerkte certificaten al.
  • Voor een kleinere subset van apparaten in de markt kan het toepassen van de nieuwe certificaten eerst een OEM-firmware-update vereisen.

Verbeterde zichtbaarheid en gefaseerde uitrol

  • Microsoft rolt de wijziging zorgvuldig en gefaseerd uit, op basis van tests en telemetry-gedreven readiness.
  • Statusmeldingen over certificaatupdates worden de komende maanden verwacht in de Windows Security-app om gebruikers te helpen de voortgang te volgen.

Impact voor IT-beheerders en eindgebruikers

Als apparaten de nieuwe certificaten niet op tijd krijgen

  • Apparaten blijven waarschijnlijk functioneren en bestaande software blijft draaien.
  • Ze komen echter in een gedegradeerde beveiligingsstatus terecht en kunnen mogelijk geen toekomstige boot-level mitigations meer ontvangen (bijv. wanneer nieuwe boot-kwetsbaarheden worden ontdekt).
  • Op termijn nemen compatibiliteitsrisico’s toe: nieuwere OS/firmware/hardware of software die afhankelijk is van Secure Boot kan mogelijk niet laden.

Niet-ondersteunde Windows-versies zijn een belangrijk risico

  • Apparaten met niet-ondersteunde versies (met name Windows 10 nadat support is beëindigd op 14 okt 2025, tenzij ingeschreven voor ESU) ontvangen de updates niet via Windows Update.
  • Behandel die endpoints als prioritaire remediation-items (upgraden/vervangen of ESU-geschiktheid en updatestrategie borgen).

Aanbevolen acties / volgende stappen

  1. Inventariseren en afbakenen
    • Identificeer alle Windows- en Windows Server-endpoints binnen scope, inclusief kiosks, gespecialiseerde servers en IoT/edge-apparaten met mogelijk afwijkende servicing.
  2. Servicing-pad valideren
    • Bevestig dat apparaten de nieuwste maandelijkse cumulative updates ontvangen (waar van toepassing Microsoft-managed).
    • Zorg dat diagnostic/telemetry-vereisten die voor readiness-validatie worden gebruikt, aansluiten op het beleid van je organisatie.
  3. Firmware-gereedheidscheck
    • Bekijk proactief OEM-advisories en supportpagina’s (Dell/HP/Lenovo en anderen) en plan vereiste UEFI/firmware-updates.
    • Pilot firmware-updates op representatieve hardwaremodellen vóór brede uitrol.
  4. Plannen voor uitzonderingen
    • Voor apparaten die niet met voldoende zekerheid via Microsofts gefaseerde aanpak zijn gevalideerd, gebruik je de Microsoft IT administrator playbook-richtlijnen en je bestaande tools (Intune, Configuration Manager of third-party) om uit te rollen en te monitoren.
  5. Support-runbooks voorbereiden
    • Eerste-lijn stappen: pas de nieuwste Windows-updates toe, verifieer de nieuwste OEM-firmware en escaleer daarna via Microsoft/OEM supportkanalen als problemen blijven bestaan.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.