Veelgestelde vragen over Secure Boot Transition

Betreffende besturingssystemen:

• Windows

Inhoudsopgave

• Algemene informatie
• Dell computers en updates
• Communicatie en klantbegeleiding
• Impact en herstel
• Kosten en duur

Algemene informatie:

• Wat is de Secure Boot Key-overgang?
  • De huidige Microsoft 2011 Secure Boot-certificaten verlopen in juni 2026. Deze worden vervangen door een nieuwe certificaatketen voor 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Zijn de certificaten van 2023 vereist om Windows 11 25H2 te installeren?
  • Nee. Apparaten kunnen 25H2 installeren met behulp van de certificaten van 2011.
• Wat gebeurt er wanneer het huidige Secure Boot-certificaat verloopt?
  • De computer kan nog steeds opstarten. Met een verlopen certificaat kan de computer echter geen toekomstige updates voor de bootloader of Secure Boot ontvangen.
• Wat is de strategie voor dubbele certificaten van Dell?
  • Om de overgang te vergemakkelijken, is Dell eind 2024 begonnen met het verzenden van certificaten voor zowel 2011 als 2023 op nieuw gelanceerde platforms en eind 2025 op alle ondersteunende platforms die worden geleverd vanuit Dell fabrieken. Hierdoor kunnen enterpriseklanten met oudere images images opstarten die zijn ondertekend met een van beide certificaten.
• Wat is het verschil tussen de actieve en standaard Secure Boot Database?
  • De Active Secure Boot-database is de database die uw computer gebruikt tijdens het opstarten om vertrouwde software te verifiëren. De standaard Secure Boot-database is een back-upset van oorspronkelijke vertrouwde sleutels die indien nodig kunnen worden hersteld.
    Kortom:
    • Actief: Momenteel van kracht (vaak bijgewerkt via Windows Update)
    • Standaard: Versie van fabrieksreset wordt niet gebruikt tenzij hersteld (bijgewerkt met een BIOS-update)
    Opmerking: Het is belangrijk dat de standaard Secure Boot-database wordt bijgewerkt naar de 2023-certificaten. Anders kunnen de actieve variabelen van Windows Update worden gewist als de Experttoetsmodus is ingeschakeld.
• Hoe wordt de Actieve database bijgewerkt?
  • De Active database kan worden bijgewerkt met behulp van Windows Update. Dit voorkomt onderbrekingen in beveiligingsfuncties zoals BitLocker. Als Windows Update echter geen optie is en de klant een ervaren gebruiker is, kan de Actieve database worden overschreven met een opdracht in het BIOS om de sleutels opnieuw in te stellen. Raadpleeg Secure Boot Active Database bijwerken vanuit het BIOS voor meer informatie.
• Hoe wordt de standaarddatabase bijgewerkt?
  • De standaarddatabase wordt bijgewerkt met behulp van een BIOS-FLASH.
• Wat gebeurt er wanneer het huidige Secure Boot-certificaat verloopt?
  • De computer kan nog steeds opstarten. Met een verlopen certificaat kan de computer echter geen toekomstige updates voor de bootloader of Secure Boot ontvangen.

Terug naar boven

Dell computers en updates:

• Welke Dell computers krijgen BIOS-updates?
  • Dell updates:
    • Consumenten- en commerciële platforms met een End of Service Life (EoSL) na 31 december 2025, verzonden vanuit Dell fabrieken of in het veld
  • Dell voert geen updates uit:
    • Platforms met een EoSL vóór 1 januari 2026 Dit betekent dat, hoewel Microsoft de nieuwe certificaten beschikbaar kan stellen, het BIOS op deze oudere computers ze mogelijk niet ondersteunt of bewaart, vooral als Secure Boot is in- of uitgeschakeld of de BIOS-standaardinstellingen opnieuw worden ingesteld.
• Wat doet Dell om de gevolgen voor de klant te beperken?
  • BIOS-updates voor ondersteunde platforms leveren tegen eind 2025
  • Coördineren met Microsoft over hersteltools
  • Knowledge Base-artikelen publiceren
  • Opstartbare media bijwerken
• Hoe zit het met de gevolgen voor grafische kaarten van derden en Linux-computers?
  • Microsoft heeft twee nieuwe certificeringsinstanties van derden voor 2023 gemaakt ter vervanging van de aflopende certificeringsinstanties van derden van 2011. Met andere woorden, de Microsoft Corporation UEFI CA 2011 is opgesplitst in de Microsoft UEFI CA 2023 (voor bootloaders) en de Microsoft Option ROM UEFI CA 2023 (voor Option ROM's). En er zijn al updates uitgevoerd in het Hardware Device Center (HDC) van Microsoft om ondertekening van drivers van derden te ondersteunen die deze nieuwe CA's voor 2023 nodig hebben. Hoewel partners al in oktober 2025 kunnen beginnen met het ondertekenen van de nieuwe CA's van 2023, blijven Microsoft en OEM's de bestaande Microsoft Corporation UEFI CA 2011 ondersteunen totdat het ecosysteem voldoende tijd heeft gehad om over te stappen naar de nieuwe CA's van 2023.
• Hoe krijgt een zakelijke klant een nieuw certificaat voor 2023 voor zijn huidige vloot apparaten?
  • Enterprise-klanten hebben de mogelijkheid om Microsoft de updates voor hun apparaten te laten beheren via Windows Update (WU) of, als alternatief, de updates handmatig toe te passen op apparaten zelf. Richtlijnen voor de laatste zijn hier beschikbaar: Windows-apparaten met door IT beheerde updates, daarnaast pusht Dell BIOS-updates naar in-service apparaten, die kunnen worden gebruikt om de actieve database te vullen. Raadpleeg Secure Boot Active Database bijwerken vanuit het BIOS voor instructies.
• Zijn er specifieke hardwarevereisten voor het behalen van dit certificaat?
  • Apparaten moeten Secure Boot ondersteunen en compatibel zijn met UEFI-firmware-updates. Dell valideert platformen intern en heeft een lijst met ondersteunde computers gepubliceerd in het Dell Knowledge Base-artikel Verlopen van het Microsoft 2011 Secure Boot-certificaat.

Terug naar boven

Communicatie en klantbegeleiding:

• Hoe communiceert Dell dit naar klanten?
  • Dell heeft een Microsoft 2011 Secure Boot Certificate Expiration gepubliceerd dat is bijgewerkt met de lijst van Dell platforms die klaar zijn voor update. Dell levert indien nodig aanvullende berichten die zijn afgestemd op de openbare richtlijnen van Microsoft.
• Wat moeten zakelijke klanten nu doen?
  • Plan BIOS-updates vóór de implementatie van Windows 25H2 met behulp van de lijst met Dell apparaten die worden onderhouden in het Microsoft 2011 Secure Boot Certificate Expiration.
  • Als bedrijven apparaten liever intern beheren (in plaats van via WU), kunnen ze nu al beginnen met het updaten van apparaten met de nieuwe CA's van 2023, volgens de richtlijnen hier: Windows-apparaten met door IT beheerde updates.
  • Meld eventuele updateproblemen aan Dell.
• Hoe weet een klant of hij een certificaat uit 2011 of 2023 heeft?
  • Microsoft is van plan om meldingen aan Windows toe te voegen voor eindgebruikers. Gebruikers kunnen ook de volgende PowerShell-opdracht uitvoeren om te zien of ze de CA's van 2011 of 2023 hebben (methodologie komt in een toekomstig Knowledge Base-artikel).
• Hoe weet een klant of zijn certificaat is of verloopt?
  • Computers met een van de drie certificaten (CA's) die in 2026 verlopen:

    CA's 2011	Vervaldatum
    Microsoft Corporation KEK CA 2011	dinsdag 24 juni 2026
    Microsoft Windows productie-PCA 2011	dinsdag 19 oktober 2026
    Microsoft Corporation UEFI CA 2011	dinsdag 27 juni 2026

• Als een klant een certificaat voor 2023 heeft, moet hij dan actie ondernemen?
  • Nee. Als zowel het Windows UEFI CA 2023- als het Microsoft Corporation KEK 2K CA 2023-certificaat aanwezig zijn, is geen verdere actie vereist.
• Kan een klant overstappen op een 2023-certificaat als op zijn apparaten Windows 10 wordt uitgevoerd en een Extended Security Update (ESU) is of op het punt staat te worden uitgevoerd?
  • Ja, Microsoft werkt actieve certificaten voor Windows 11-apparaten in het veld bij en werkt Windows 10-apparaten bij als het apparaat:
    • Draait op Windows LTSC 2021
    • Heeft een geactiveerde ESU-licentie

Terug naar boven

Impact en herstel:

• Wat is de impact van een verlopen certificaat?
  • Zodra de certificaten voor beveiligd opstarten verlopen zijn (vanaf juni 2026), blijven computers opstarten (met beveiligd opstarten ingeschakeld). De computer ontvangt echter geen updates meer voor de onderdelen Windows Boot Manager en Secure Boot via Windows Update, waardoor deze in een gecompromitteerde beveiligingsstatus terechtkomen.
• Wat gebeurt er als Secure Boot is uitgeschakeld of geschakeld op een apparaat?
  • Soms kan het uitschakelen van Secure Boot alle actieve UEFI-variabelen wissen, wat betekent dat alle CA's uit 2023 die al op het apparaat worden gebruikt, kunnen worden weggevaagd (en later kunnen worden vervangen door oudere CA's uit 2011 van de standaardfirmware als deze nooit is bijgewerkt). Op Dell apparaten gebeurt dit als een gebruiker de optie Expert Key Mode selecteert in het BIOS-menu. In dit geval worden de actieve variabelen uit de standaardfirmware gehaald.
    Opmerking: Als BitLocker op het apparaat is ingeschakeld, wordt u mogelijk gevraagd de BitLocker-herstelsleutel in te voeren.
• Welke tools zijn beschikbaar voor herstel?
  • Microsoft heeft een handmatige hersteltool uitgebracht, maar deze heeft beperkingen. Geautomatiseerde tools om klanten te helpen zijn nog in ontwikkeling.

Terug naar boven

Kosten en duur:

• Zijn er kosten verbonden aan de nieuwe certificaten?
  • Er zijn geen directe kosten verbonden aan het ontvangen van de 2023-certificaten via Windows Update, en de 2023 CA's zijn al gratis beschikbaar via Richtlijnen voor het maken en beheren van Windows Secure Boot Key. Voor BIOS-updates voor apparaten die buiten dienst zijn, kan echter handmatige interventie of service-inschakeling nodig zijn, wat kosten met zich mee kan brengen, afhankelijk van de supportovereenkomsten.
• Wat is de geldigheidsduur van het nieuwe certificaat?
  • De certificaten van 2023 zijn 15 jaar geldig (2038).

Terug naar boven