Secure Boot certificaat verloopt 24 juni 2026: wat betekent dit voor werkplekken?
Werkplekken en laptops met Windows starten elke dag veilig op dankzij Secure Boot. Dat gaat meestal vanzelf en zonder aandacht. Toch speelt er op de achtergrond iets dat nu relevant wordt. Een Secure Boot certificaat dat Microsoft in 2011 heeft uitgegeven, verloopt eind juni 2026. Vandaag merk je daar waarschijnlijk nog niets van. Apparaten blijven werken en medewerkers kunnen gewoon door. Zonder voorbereiding kan dit later wel zorgen voor BitLocker‑herstelmeldingen en extra druk op IT. Daarnaast ontstaat er ook een securityrisico. Systemen die niet worden bijgewerkt, kunnen kwetsbaar worden voor bekende aanvallen die inmiddels online circuleren. In deze blog lees je wat er speelt en hoe je dit beheersbaar aanpakt.
Wat er verandert door het verlopen certificaat
Secure Boot vertrouwt op certificaten die Microsoft in het verleden heeft uitgegeven. Eén daarvan is gemaakt in 2011 (Microsoft Windows Production PCA 2011) en verloopt 24 juni 2026. Dat betekent niet dat laptops ineens stoppen met werken. In de meeste gevallen starten apparaten gewoon op, ook na die datum.
De verandering zit vooral in hoe Windows omgaat met beveiliging en updates. Bij bepaalde acties, zoals het aanpassen van de Windows Boot Manager tijdens updates, controleert Windows of de opstartketen nog volledig wordt vertrouwd. Als dat niet zo is, kan Windows de update van de Windows Boot Manager niet succesvol uitvoeren.
Wat je in de praktijk kunt merken
Het meest zichtbare effect is een BitLocker herstelmelding bij het opstarten. Een medewerker ziet dan een scherm waarin wordt gevraagd om een herstelsleutel. Die sleutel heeft de medewerker meestal niet zelf. Die ligt bij IT of is centraal opgeslagen.
In zo’n situatie moet IT handmatig ondersteunen. Dat kost tijd en zorgt voor onderbreking van het werk. Het gaat hierbij meestal om individuele apparaten, niet om grote groepen tegelijk. Het is vooral vervelend als het onverwacht gebeurt, bijvoorbeeld aan het begin van een werkdag of tijdens een update.
Soms is een herstart voldoende om verder te kunnen. In andere gevallen is het invoeren van de herstelsleutel nodig. Dat wil je als organisatie liever vóór zijn.
Waarom Microsoft dit gefaseerd uitrolt
Microsoft biedt inmiddels mogelijkheden om Secure Boot certificaten centraal te vernieuwen, bijvoorbeeld via Microsoft Intune, Group Policies en registersleutels. Deze functionaliteit is bewust voorzichtig ingericht. De update wordt niet automatisch op elk apparaat uitgevoerd.
Microsoft kijkt per apparaatmodel en BIOS versie of een update veilig kan worden toegepast. Dat gebeurt op basis van ervaringen met vergelijkbare apparaten. Als blijkt dat een bepaald model of een specifieke BIOS versie problemen kan geven, wordt de update tijdelijk overgeslagen.
Dat betekent dat sommige apparaten de update direct krijgen en andere niet. Vaak heeft dat te maken met een verouderde BIOS‑versie. In andere gevallen staat een model tijdelijk geblokkeerd omdat er bekende issues zijn. Sommige apparaten hebben eerst een BIOS‑update nodig. IT kan die gefaseerd uitvoeren om de omgeving stabiel te houden.
Microsoft Configuration Manager
Werk je met Microsoft Configuration Manager, dan vraagt dit onderwerp extra aandacht. Voor het vernieuwen van Secure Boot certificaten is in Microsoft Configuration Manager geen standaard rapportage beschikbaar. Je ziet daardoor niet direct welke apparaten het nieuwe certificaat al hebben en welke nog niet.
In de praktijk betekent dit dat je zelf inzicht moet organiseren. Dat kan, maar het vraagt een andere aanpak dan bij Microsoft Intune. Wij hebben hier inmiddels ervaring mee bij omgevingen die nog met Microsoft Configuration Manager werken. Door zelf controles in te richten, bijvoorbeeld op basis van compliance checks, kun je vaststellen welke apparaten zijn bijgewerkt en welke extra actie nodig hebben. Deze compliancecheck werkt met behulp van een eenvoudig PowerShell script dat controleert of het nieuwe certificaat door Windows wordt gebruikt, of dat het ontbreekt. Apparaten die nog niet compliant zijn, kun je vervolgens gericht groeperen en opvolgen.
Wat dit vraagt van jouw organisatie
Een goede aanpak begint met inzicht. Je wilt weten welke apparaatmodellen je gebruikt en welke BIOS versies actief zijn. Apparaten die al meerdere jaren in gebruik zijn en nooit een BIOS update hebben gehad, vragen extra aandacht.
Het is verstandig om eerst BIOS updates uit te voeren waar dat nodig is. Pas daarna activeer je het Secure Boot update beleid. Hiermee verklein je de kans dat apparaten worden overgeslagen of herstelmeldingen laten zien.
Test altijd met een kleine groep apparaten. Iedere omgeving is anders. Aangepaste images, specifieke instellingen of aanvullende beveiligingsmaatregelen kunnen invloed hebben op het resultaat. Door te testen zie je hoe jouw omgeving reageert en kun je bijsturen voordat je opschaalt.
Gaat het toch mis, dan komt een apparaat in een BitLocker herstelproces terecht. Dat is oplosbaar, maar vraagt fysieke handelingen door IT. Door vooraf te testen en goed te communiceren, voorkom je dat meerdere medewerkers tegelijk vastlopen.
Direct meer weten?
Wil je samen bekijken wat dit betekent voor jouw omgeving en hoe je dit gecontroleerd aanpakt? Neem dan contact met ons op, we denken graag met je mee.
Maak kennis met de mogelijkheden van Microsoft Copilot en zet jouw organisatie met AI op voorsprong.
Maak kennis met de managed services van Advantive voor de Microsoft omgeving van jouw organisatie.
De moderne werkplek faciliteert prettig en veilig (samen)werken vanuit huis, op kantoor en onderweg.