Windows-beveiligingsapp laat zien of je pc het nieuwe Secure Boot-certificaat heeft

Windows-beveiligingsapp laat zien of je pc het nieuwe Secure Boot-certificaat heeft

In de Windows-beveiligingsapp zit sinds kort een extra controle verstopt. Daarmee kun je zien of je pc al het nieuwe Secure Boot-certificaat heeft gekregen.

Dat klinkt technisch, maar het gaat gewoon om de vraag of je pc bij het opstarten nog goed beschermd is. Met een paar klikken weet je of alles op orde is of dat je iets moet regelen.

Je hoeft er geen specialist voor te zijn. Als je Windows kunt updaten en een instelling kunt openen, kom je al een heel eind.

Wat Secure Boot precies doet op je pc

Secure Boot is een beveiliging die actief wordt nog voordat Windows zelf start. Je pc controleert dan of de software die tijdens het opstarten wordt geladen wel echt is wat het zegt te zijn.

Dat gebeurt met certificaten. Zie die certificaten als een soort legitimatiebewijs voor de opstartsoftware: zonder geldig bewijs komt iets er niet zomaar tussen.

Als dat ontbreekt of verouderd is, kan je systeem minder goed controleren wat er geladen wordt. Dan is het makkelijker voor kwaadwillenden om in te breken nog vóór Windows draait.

Microsoft heeft eerder aangegeven dat een groot deel van de huidige Secure Boot-certificaten eind juni verloopt. Daarom worden er nieuwe certificaten uit 2023 uitgerold via Windows Update.

Je merkt daar normaal gesproken niets van. De update loopt op de achtergrond, tenzij er iets misgaat of je hardware het niet goed ondersteunt.

Juist omdat je het niet merkt als het fout gaat, is het handig dat je nu zelf kunt checken hoe je ervoor staat. De Windows-beveiligingsapp laat dat nu duidelijk zien met simpele iconen.

Zo check je in Windows of je het nieuwe Secure Boot-certificaat hebt

De controle zit in de standaard Windows-beveiligingsapp die al op je systeem staat. Je hoeft dus niets extra’s te downloaden of te installeren.

Volg deze stappen om je Secure Boot-status te bekijken:

1. Open het startmenu en typ Windows-beveiliging.
2. Klik op de app Windows-beveiliging in de zoekresultaten.
3. Ga in de app naar het tabblad Apparaatbeveiliging.
4. Zoek in dat scherm naar de informatie over Secure Boot en het certificaat.

Na de recente updates toont dit scherm ook de status van het Secure Boot-certificaat. Microsoft gebruikt icoontjes in drie kleuren, zodat je in één oogopslag ziet hoe je ervoor staat.

Zie je nog geen vermelding van het certificaat, dan is de kans groot dat je Windows nog niet helemaal up-to-date is. Installeer dan eerst alle beschikbare updates en kijk daarna opnieuw.

Let er ook op dat sommige fabrikanten hun eigen beveiligingsapps meeleveren. Die kunnen extra info geven, maar de basiscontrole doe je gewoon in de Windows-beveiligingsapp.

Wat de groene, gele en rode iconen betekenen

Microsoft gebruikt drie kleuren om de status van je Secure Boot-certificaat aan te geven: groen, geel en rood. Elk icoon staat voor een andere situatie en vraagt om een andere reactie van jou.

Ziet je een groen vinkje, dan is je pc voorzien van het nieuwe Secure Boot-certificaat. Je hoeft dan niets te doen en je opstartbeveiliging is volgens Microsoft op orde.

Een geel waarschuwingsicoon betekent dat er iets niet helemaal goed gaat met de update van het certificaat. Dit wordt vanaf mei getoond als de update wordt tegengehouden door een beperking in de hardware of firmware van je apparaat.

Bij geel is je pc niet meteen onveilig, maar de situatie is niet ideaal. Het betekent vaak dat je systeem niet volledig kan meekomen met de nieuwste manier van beveiligen tijdens het opstarten.

Het rode kruis is het meest kritisch. Dat icoon geeft aan dat je apparaat geen nieuw certificaat via Windows Update kan ontvangen.

Volgens Microsoft kan dat rode kruis vanaf juni 2026 in beeld komen op systemen die echt niet meer mee kunnen. Zie je dat, dan weet je dat je pc structureel achterloopt op dit gebied.

Voor dagelijks gebruik lijkt er misschien niets aan de hand, maar onder water mis je dan een belangrijke laag beveiliging. Zeker als je de pc gebruikt voor werk, bankzaken of andere gevoelige dingen, is dat niet iets om te negeren.

Wat er gebeurt als je Secure Boot-certificaat verloopt

Een verlopen Secure Boot-certificaat betekent niet dat je pc ineens niet meer opstart. In de meeste gevallen start Windows gewoon en kun je je systeem nog normaal gebruiken.

Het probleem zit in wat er daarna niet meer kan. Zo kun je na juni 2026 geen nieuwe Secure Boot-beveiligingsupdates meer installeren als je certificaat is verlopen.

Ook zal je systeem geen nieuwe software van derden meer vertrouwen die met recente certificaten is ondertekend. Denk aan bepaalde stuurprogramma’s of hulpprogramma’s die al actief zijn tijdens het opstarten.

Daarnaast geeft Microsoft aan dat je vanaf oktober 2026 geen beveiligingsupdates meer krijgt voor Windows Boot Manager als je certificaat niet op orde is. Dat is het onderdeel dat een centrale rol speelt bij het starten van Windows.

Je loopt dan structureel achter met beveiliging op het moment dat je pc het kwetsbaarst is: tijdens het opstarten. Aan de buitenkant merk je daar misschien weinig van, maar het risico op misbruik wordt wel groter.

Voor een oude thuis-pc die alleen wat lichte taken doet, kun je dat risico misschien nog accepteren. Maar voor werk, gevoelige data of systemen die vaak en lang online zijn, is dat eigenlijk geen goed idee.

Stappenplan als je een geel icoon ziet

Een geel icoon is een signaal dat je iets moet checken, maar geen reden om meteen in paniek te raken. Vaak kun je nog een paar dingen proberen om het op te lossen.

Loop in ieder geval deze stappen langs:

1. Installeer alle Windows-updates

   Ga naar Instellingen > Windows Update en installeer alles wat klaarstaat, ook optionele updates. Soms zit de benodigde aanpassing in een update die niet automatisch wordt meegenomen.

2. Check updates van de fabrikant

   Ga naar de website van de fabrikant van je pc of moederbord. Zoek op je modelnummer en kijk of er een nieuwe bios- of UEFI-versie beschikbaar is.

3. Update de bios of UEFI

   Volg precies de stappen van de fabrikant om de firmware te updaten. Doe dit bij voorkeur terwijl je pc op netstroom draait en onderbreek het proces niet.

4. Controleer de Secure Boot-instelling

   Start je pc opnieuw op en ga de UEFI-instellingen in. Kijk of Secure Boot is ingeschakeld en of er geen vreemde instellingen actief zijn.

5. Controleer daarna opnieuw in Windows-beveiliging

   Open weer de Windows-beveiligingsapp en kijk of het icoon nog steeds geel is. Soms duurt het een herstart of twee voordat de status wordt bijgewerkt.

Blijft het icoon geel terwijl alles up-to-date is, dan is de kans groot dat je hardware een beperking heeft. Dan kun je kijken of de fabrikant specifieke informatie heeft over Secure Boot en deze certificaten.

Gebruik je een zakelijke laptop of pc, licht dan je it-afdeling in. Die kunnen vaak in hun beheeromgeving zien of er nog iets centraal geregeld moet worden.

Wat je opties zijn bij een rood icoon

Een rood icoon is een stuk serieuzer. Dat betekent dat je apparaat geen nieuw certificaat via Windows Update kan ontvangen en dus niet meer goed meekomt met deze manier van beveiligen.

In de praktijk kun je de pc nog wel gebruiken. Windows start gewoon op, je programma’s draaien en je merkt aan de buitenkant weinig.

Maar je moet er rekening mee houden dat de basisbeveiliging bij het opstarten niet meer wordt bijgewerkt. Nieuwe kwetsbaarheden die Microsoft in Secure Boot of Boot Manager dicht, komen dan niet meer bij jou aan.

Voor een oude test-pc, een hobbybak of een systeem dat je alleen offline gebruikt, kun je dat nog overwegen. Dan is het vooral een kwestie van bewust kiezen.

Voor je hoofdwerkstation, game-pc of werk-laptop is een rood icoon eigenlijk een duidelijk signaal. Dan wordt het tijd om serieus na te denken over vervanging of om de rol van die pc te veranderen.

Als je toch nog een tijdje met zo’n systeem door wilt, kun je in elk geval extra streng zijn op andere beveiligingslagen. Denk aan een goed wachtwoord, tweestapsverificatie waar het kan en geen overbodige software installeren.

Verschillen tussen oude en nieuwere systemen

Niet elke pc gaat hetzelfde om met deze certificaatupdate. Nieuwere systemen hebben meestal geen moeite met het nieuwe Secure Boot-certificaat en krijgen de update automatisch via Windows Update.

Bij oudere systemen kan de firmware simpelweg niet overweg met de nieuwe manier van ondertekenen. Dan zie je sneller een geel icoon of later zelfs een rood kruis.

Zelfbouw-pc’s zijn een apart verhaal. Daar ben je afhankelijk van de ondersteuning van je moederbordfabrikant voor nieuwe UEFI-versies.

Als de fabrikant geen nieuwe firmware meer uitbrengt, houdt het op een gegeven moment op. Dan kun je nog zo netjes updaten in Windows, maar de onderliggende laag blijft achter.

Ook zie je verschil tussen consumenten-pc’s en zakelijke modellen. Zakelijke systemen krijgen vaak langer firmware-updates, omdat bedrijven die machines langer in gebruik houden.

Gebruik je nog een pc die al flink wat jaren meegaat, dan is dit een goed moment om eerlijk te kijken naar de rol van dat systeem. Voor wat lichte taken of als tweede pc kan het nog prima, maar voor serieuze beveiliging is nieuwere hardware op termijn gewoon verstandiger.

Let er ook op dat sommige virtualisatie-oplossingen hun eigen Secure Boot-instellingen hebben. Draai je Windows in een virtuele machine, dan kan de status daar anders zijn dan op de fysieke host.

Secure Boot, dualboot en andere systemen

Als je alleen Windows gebruikt, is Secure Boot meestal vrij rechttoe rechtaan. Maar als je meerdere systemen naast elkaar draait, wordt het net wat gevoeliger.

Gebruik je bijvoorbeeld een dualboot met Linux, dan kan het zijn dat je ooit Secure Boot hebt uitgezet om dat werkend te krijgen. In dat geval zie je in Windows-beveiliging mogelijk dat Secure Boot niet actief is, ook al is je certificaat op zich in orde.

Wil je Secure Boot weer inschakelen, dan moet je checken of je andere systeem daar goed mee omgaat. Moderne Linux-distributies ondersteunen Secure Boot vaak gewoon, maar oudere versies niet altijd.

Ook sommige oudere hulpprogramma’s die je vanaf usb start, kunnen problemen geven met Secure Boot. Denk aan oude hersteltools of zelfgemaakte installatiesticks.

Een paar dingen om in je achterhoofd te houden als je met meerdere systemen werkt:

• Controleer of je andere besturingssysteem Secure Boot ondersteunt voordat je het inschakelt.
• Maak een back-up van belangrijke data voordat je met UEFI-instellingen gaat spelen.
• Test je opstartscenario’s na een wijziging: start zowel Windows als je andere systeem een keer op.
• Bewaar een werkende usb-stick met installatiemedia van Windows of je andere systeem, voor het geval er iets misgaat.

Zo voorkom je dat je jezelf per ongeluk buitensluit. Je wilt uiteindelijk zowel veiligheid als een systeem dat gewoon doet wat jij nodig hebt.

Praktische tips om je pc rond Secure Boot veilig te houden

Als je toch met Secure Boot en certificaten bezig bent, kun je meteen een paar andere dingen nalopen. Dat kost je weinig tijd en scheelt later gedoe.

Een korte checklist die je erbij kunt pakken:

• Check of Secure Boot is ingeschakeld in de UEFI-instellingen van je pc.
• Installeer regelmatig Windows-updates en stel ze niet maanden uit.
• Controleer af en toe op bios- of UEFI-updates bij de fabrikant van je pc of moederbord.
• Kijk in de Windows-beveiligingsapp niet alleen naar Secure Boot, maar ook naar dingen als kernisolatie en apparaatbeveiliging.
• Zorg voor een sterk wachtwoord of pincode op je account en vergrendel je pc als je wegloopt.
• Gebruik versleuteling als je gevoelige data op je laptop of pc bewaart.

Heb je meerdere pc’s in huis, kijk dan bij allemaal even naar de Secure Boot-status. Oudere systemen die nog door kinderen of huisgenoten worden gebruikt, kunnen anders ongemerkt achterlopen.

Gebruik je je pc voor werk of bewaar je er gevoelige data op, wees dan wat strenger voor jezelf. Zie je een geel icoon, pak het dan echt op en schuif het niet maanden voor je uit.

Voor een oude pc die je alleen nog gebruikt voor simpele dingen, kun je best wat pragmatischer zijn. Zolang je maar bewust kiest wat je met dat systeem nog doet en wat niet.