Hoe te, Nieuws

De beveiligingsondersteuning voor uw Windows loopt af in juni 2026

door Stefan Dasic | 28 mei 2026
Windows een laptop

Via Windows wordt momenteel een vernieuwing van de Secure Boot-certificaten uitgerold naar alle ondersteunde Windows . In juni 2026 beginnen de Secure Boot-certificaten die Windows 2011 in Windows zijn meegeleverd te verlopen, en Microsoft vervangt deze door nieuwe certificaten met de datum 2023.

Het goede nieuws: als je je pc up-to-date houdt, hoef je waarschijnlijk niets te doen. Het slechte nieuws: bij sommige oudere apparaten verloopt de overgang mogelijk niet vlekkeloos. Je pc zal niet plotseling stoppen met werken, maar na verloop van tijd kunnen er belangrijke beveiligingsmaatregelen op opstartniveau ontbreken zonder dat je het doorhebt.

Hieronder lees je wat er aan de hand is, waarom dit belangrijk is en hoe je kunt controleren of je machine nog binnen de deadline valt.

Wat is Secure Boot en wat loopt er af?

Secure Boot is een UEFI-firmwarefunctie die in vrijwel elke pc is ingebouwd die sinds ongeveer 2012 is verkocht. Deze functie wordt uitgevoerd Windows voordat Windows begint te laden, en heeft als taak te controleren of de bootloader en de eerste opstartcomponenten zijn ondertekend door een vertrouwde partij. Als er iets probeert zich in de opstartketen te voegen dat niet op de vertrouwenslijst staat – bijvoorbeeld een bootkit – weigert Secure Boot dit uit te voeren.

Hoe Secure Boot werkt

Het onderdeel ‘vertrouwde partij’ is het cruciale punt. Vertrouwen wordt gewaarborgd door middel van cryptografische certificaten die in de firmware van je moederbord zijn ingebouwd. De huidige certificaten zijn in 2011 uitgegeven en lopen nu bijna af. Het gaat om drie specifieke certificaten:

  • Microsoft Corporation KEK CA 2011: verloopt op 24 juni 2026
  • Microsoft UEFI CA 2011: verloopt op 27 juni 2026
  • Microsoft Windows PCA 2011: verloopt op 19 oktober 2026

Microsoft vervangt deze door een set met een geldigheidsdatum tot 2023, waaronder Windows CA 2023 en Microsoft Corporation KEK 2K CA 2023. Volgens Microsoft-technici die tijdens een AMA-sessie in maart 2026 aan het woord waren, zijn de nieuwe certificaten geldig tot 2038, en staat er rond 2030 een afzonderlijke overgang naar post-kwantumcryptografie gepland voor toekomstige hardware.

“Gaat mijn computer dan niet meer werken?”

Nee. Dit is het allerbelangrijkste om te begrijpen, want de geruchtenmolen draait op volle toeren, terwijl de feiten achterblijven.

Als de deadline verstrijkt en uw pc nog steeds met de certificaten uit 2011 werkt, Windows gewoon Windows , blijft Windows werken en blijft uw pc normaal functioneren.

Wat er verandert, is dat het apparaat – in de woorden van Microsoft zelf – „geen nieuwe beveiligingsupdates meer zal kunnen ontvangen” voor het vroege opstartproces, waaronder updates voor Windows Manager, Secure Boot-databases, intrekkingslijsten en maatregelen ter beperking van nieuw ontdekte kwetsbaarheden op opstartniveau.

Simpel gezegd: het wordt steeds moeilijker om je pc te beveiligen. Hij is weliswaar beschermd tegen de huidige bekende opstartbedreigingen, maar niet per se tegen de bedreigingen die volgende maand of volgend jaar aan het licht komen.

Dat is een probleem omdat bootkits onder Windows antivirussoftware werken. Ze worden als eerste gestart en kunnen de beveiligingsprogramma’s uitschakelen die ze normaal gesproken zouden opsporen.

Het BlackLotus-probleem

Als je een concreet voorbeeld wilt van waarom beveiliging op opstartniveau belangrijk is, kijk dan eens naar BlackLotus.

BlackLotus is een UEFI-bootkit die in 2022 op hackersforums opdook en begin 2023 door onderzoekers in het wild werd bevestigd. Het maakte misbruik van CVE-2022-21894, bijgenaamd „Baton Drop“, om Secure Boot te omzeilen op volledig bijgewerkte Windows . Eenmaal geïnstalleerd kon het BitLocker, Hypervisor-Protected Code Integrity (HVCI) en Microsoft Defender uitschakelen voordat Windows was geladen.

Microsoft heeft het onderliggende beveiligingslek inCVE-2023-24932 verholpen, maar het veilig repareren van kwetsbare opstartmanagers is een ingewikkelde aangelegenheid. Als de verkeerde opstartcomponenten worden ingetrokken, kunnen systemen niet meer opstarten. Daarom heeft Microsoft de beveiligingsmaatregelen geleidelijk, over een periode van meerdere jaren, ingevoerd.

De vernieuwing van de certificaten in 2026 is een geplande levenscyclusgebeurtenis (de certificaten uit 2011 zouden sowieso verlopen), maar maakt ook de bredere beveiligingsverbeteringen voor Secure Boot mogelijk die Microsoft heeft doorgevoerd als reactie op kwetsbare opstartmanagers en aanvallen zoals BlackLotus.

Nu de nieuwe vertrouwensankers zijn geïmplementeerd, kan Microsoft doorgaan met het uitrollen van nieuwere opstartcomponenten die in 2023 zijn ondertekend en kwetsbare componenten veilig intrekken zodra er nieuwe bedreigingen opduiken. Apparaten die deze overstap niet maken, lopen uiteindelijk mogelijk deze toekomstige beveiligingsmaatregelen mis.

Hoe de uitrol in zijn werk gaat

Microsoft voert de uitrol gefaseerd door om te voorkomen dat systemen uitvallen.

Een geplande Windows wordt ongeveer elke 12 uur uitgevoerd en past de update in fasen toe:

  1. Voeg de nieuweWindows CA 2023toe aan de handtekeningdatabase van de firmware.
  2. Als het oude certificaat van een derde partij uit 2011 nog aanwezig is, voeg dan ook deMicrosoft UEFI CA 2023ende Microsoft Option ROM UEFI CA 2023toe.
  3. Voeg de nieuweMicrosoft Corporation KEK 2K CA 2023-sleutel toe.
  4. Werk de Windows Manager bij naar een versie die met het nieuwe certificaat is ondertekend. Deze stap wordt uitgesteld tot de volgende automatische herstart.

Volgens de richtlijnen van Microsoft voor IT-professionals duurt het volledige proces naar schatting ongeveer 48 uur en zijn er een of meer herstarts nodig om het te voltooien. Elke stap moet zijn voltooid voordat de volgende wordt uitgevoerd, dus een apparaat kan een tijdje halverwege de reeks blijven hangen als het bijvoorbeeld wacht op een firmware-update of een geplande herstart.

Voor de meeste thuisgebruikers gebeurt dit onopgemerkt op de achtergrond via de gebruikelijke cumulatieve updates.

Vanaf de Windows van april 2026 bevat de Windows onder 'Apparaatbeveiliging' bijgewerkte informatie over de Secure Boot-status, waaruit blijkt of de nieuwe certificaten met succes zijn toegepast.

Instellingen voor Secure Boot

Wat zou er mis kunnen gaan?

De meeste systemen zullen zonder problemen overgaan, maar er zijn enkele bekende knelpunten:

  • Oudere pc’s met verouderde firmware.Sommige oudere UEFI-firmwareversies bieden geen goede ondersteuning voor de nieuwe certificaten. Voor deze systemen is mogelijk een BIOS- of firmware-update van de fabrikant nodig voordat de overgang kan worden voltooid.
  • Pc’s die de vereisten Windows hebben omzeild.Als Secure Boot is uitgeschakeld om Windows via onofficiële workarounds te installeren, kunnen de nieuwe certificaten niet correct worden toegepast.
  • Oudere BIOS-/CSM-systemen.Apparaten met een ouder BIOS (of UEFI waarbij de Compatibility Support Module is ingeschakeld) maken helemaal geen gebruik van Secure Boot en vallen dus volledig buiten het toepassingsgebied van deze update.
  • Aangepaste firmware en ongebruikelijke configuraties.Sommige aangepaste of ongebruikelijke firmware-configuraties kunnen een BitLocker-herstelprompt activeren nadat de Secure Boot-instellingen zijn gewijzigd. Microsoft benadrukt dat BitLocker zelfnietwordt uitgeschakeld, maar raadt gebruikers aan hun herstelsleutels bij de hand te houden voor het geval dat.

Windows meldde tijdens tests dat updates op duizenden pc’s met verouderde firmware mislukten. In de richtlijnen van Microsoft zelf wordt in meer algemene zin gewaarschuwd dat beperkingen op het gebied van firmware, het platform en de OEM de overgang kunnen verhinderen. In veel gevallen zal Windows de betreffende systemen markeren met gele of rode statuswaarschuwingen.

Wat thuisgebruikers moeten doen

Voor de meeste mensen is het advies duidelijk:

  • Zorg ervoor dat Windows up-to-date is.Microsoft voert de nieuwe certificaten in via Windows reguliere Windows , en de meeste thuisgebruikers hoeven verder niets te doen dan de maandelijkse updates te installeren.
  • Controleer de status van Secure Boot (let op de tekst, niet alleen op de kleur).GaWindows >Apparaatbeveiliging>Secure Boot. Een groen vinkje met de tekst„Secure Boot is ingeschakeld, waardoor wordt voorkomen dat schadelijke software wordt geladen wanneer uw apparaat opstart“ betekentdat alles in ordeis. Microsoft waarschuwt dat een groen vinkje op zich niet garandeert dat de nieuwe certificaten zijn toegepast.
  • Als uw apparaat wat ouder is, kijk dan of er een BIOS- of firmware-update beschikbaar is via de fabrikant.Bij sommige systemen zijn deze updates nodig om de Secure Boot-update correct te kunnen voltooien. Dit is vooral belangrijk voor pc’s die vóór 2024 zijn gebouwd.
  • Schakel Secure Boot niet uit om iets te ‘repareren’.Het uitschakelen van Secure Boot is precies de verkeerde aanpak: hiermee wordt de beveiliging volledig opgeheven in plaats van vernieuwd. Sommige anti-cheatsystemen voor games en oudere apps vragen gebruikers om dit te doen.
  • Raak niet in paniek vanwege de nieuwe map SecureBoot. De cumulatieve update Windows van mei 2026 (KB5089549) maakt een map aan in C:\Windows\SecureBoot met voorbeeldscripts voor PowerShell die bedoeld zijn voor IT-beheerders. Het is geen malware, dit is de bedoeling en je hoeft het niet te verwijderen.
  • Gebruik actuele, realtime bescherming tegen malware die bedreigingen op besturingssysteemniveau kan detecteren, zelfs als er iets door Secure Boot heen glipt.

Wat IT-teams zouden moeten doen

Als u een wagenpark beheert, heeft Microsoftuitgebreide richtlijnengepubliceerd en is het werk wat omvangrijker. Kort samengevat:

  • Maak nu een inventaris van uw apparaten. Verzamel de gegevens over de fabrikant, het model, de BIOS-versie en -datum, het moederbordproduct en de Secure Boot-status voor het gehele machinepark. Microsoft biedt een voorbeeldscript voor PowerShell aan op aka.ms/GetSecureBoot die de relevante registersleutels en gebeurtenis-ID’s weergeeft.
  • Let op de gebeurtenis-ID’s 1801 en 1808.Gebeurtenis-ID 1808 bevestigt dat de nieuwe certificaten zijn geïnstalleerd. Gebeurtenis-ID 1801 betekent dat het apparaat de update niet heeft voltooid.
  • Test voordat je de update op grote schaal uitrolt.Microsoft raadt aan om ten minste vier apparaten per unieke combinatie van fabrikant, model en firmware te testen. Voor sommige systemen is mogelijk een firmware-update van de OEM nodig voordat ze de nieuwe certificaten kunnen accepteren.
  • Kies één implementatiemethode per apparaat.Gebruik registersleutels, Groepsbeleid, WinCS-opdrachtregelprogramma’s of Intune-/ConfigMgr-scripts, maar combineer geen verschillende methoden op dezelfde computer.
  • Let goed op PXE-imaging en Hyper-V. SCCM/MECM PXE-servers moeten mogelijk opnieuw worden ondertekend boot.wim, en Hyper-V-hosts moeten mogelijk worden bijgewerkt voordat er nieuwe VM’s worden aangemaakt met de 2023 KEK in de firmwaresjabloon.
  • Geef aan welke apparaten niet kunnen worden bijgewerkt.Oudere hardware waarvoor geen ondersteuning voor OEM-firmware meer wordt geboden, moet mogelijk vóór de deadline worden vervangen of formeel als uitzondering worden goedgekeurd, mits er compenserende maatregelen worden getroffen. Deze apparaten blijven weliswaar functioneren, maar zullen mogelijk niet beschikken over toekomstige beveiligingsmaatregelen op opstartniveau.

Waar het op neerkomt

Dit is een van die beveiligingsincidenten die op 24 juni 2026 geen dramatische gevolgen zullen hebben. Er zal die dag niets zichtbaar kapotgaan.

Het risico schuilt in wat er in de maanden en jaren daarna gebeurt. Apparaten die niet overschakelen naar de nieuwe vertrouwensketen, kunnen langzaam achterop raken wat betreft toekomstige beveiligingsmaatregelen op opstartniveau, aangezien Microsoft blijft reageren op bedreigingen zoals BlackLotus en andere bootkits.

Voor de meeste thuisgebruikers regelt Windows de overgang automatisch. Het belangrijkste wat u hoeft te doen, is uw systeem up-to-date houden en de status van Secure Boot controleren voordat de deadlines verstrijken.

Als je hardware al wat ouder is, is dit een goed moment om te controleren of de fabrikant nog steeds firmware-updates aanbiedt – en of je pc klaar is voor het komende decennium van Secure Boot-beveiliging.

CNET Editors' Choice Award 2026

“Een van de beste cyberbeveiligingspakketten ter wereld.” 

Volgens CNET.Lees hun recensie

Over de auteur

Stefan Dasic

Stefan Dasic

Gepassioneerd door antivirusoplossingen is Stefan al vanaf jonge leeftijd betrokken bij het testen van malware en QA van AV-producten. Als onderdeel van het Malwarebytes team is Stefan toegewijd aan het beschermen van klanten en het waarborgen van hun veiligheid.

LAATSTE ARTIKELEN

Datalekken
vrouw en cruiseschip

Carnival bevestigt dat er een datalek is waarbij bijna 6 miljoen mensen zijn getroffen

Mei 28, 2026

Cruisereus Carnival is opnieuw het slachtoffer geworden van een datalek; ShinyHunters beweert persoonlijke gegevens te hebben gestolen van bijna 6 miljoen mensen.

AI
Inlichtingen over bedreigingen: verborgen bedreigingen

Nep-downloadsite voor ChatGPT besmet Windows Mac met malware

Mei 28, 2026

Op zoek naar ChatGPT? Deze valse downloadsite verspreidt malware onder zowel Windows Mac , met afzonderlijke payloads die op elk platform zijn afgestemd.

Nieuws
phishing op grote schaal

De Kali365-phishingkit omzeilt MFA en steelt Microsoft-inloggegevens

Mei 27, 2026

De FBI heeft gewaarschuwd dat aanvallers een nieuwe phishing-kit gebruiken om langdurige toegang te verkrijgen tot Microsoft Outlook-, Teams en OneDrive-accounts.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting