Voorbereid op het verlopen van de Secure Boot Windows UEFI 2011 CA? 

Veel systeembeheerders zijn zich mogelijk nog niet bewust dat de Certificate Authority (CA) die wordt gebruikt om de Windows Secure Boot Loader en de Secure Boot-databases te ondertekenen, binnenkort zal verlopen en vervangen moet worden door een nieuwe. Er circuleert veel informatie online over dit onderwerp, maar het grootste deel daarvan is onvolledig. Daarom willen wij dit vraagstuk uitgebreid bekijken vanuit het perspectief van een systeembeheerder. 

– KEK (Key Enrollment Key): De CA die hier is opgeslagen wordt gebruikt om updates van de Active DB en DBX te ondertekenen. De Microsoft CA uit 2011 die hier is opgeslagen, verloopt in juni 2026. Zodra de CA is verlopen, kunnen er geen verdere wijzigingen meer worden ondertekend in de DB en DBX. 
– Default DB: Veel OEM’s updaten de CA die hierin zit naar de Microsoft 2023 CA. Deze Default DB wordt echter niet gebruikt tijdens het opstarten, tenzij u de BIOS terugzet naar fabrieksinstellingen. 
– Active DB (Secure Boot Signature Database): Dit is waar de CA die wordt gebruikt voor Secure Boot zich bevindt. De Microsoft 2011 CA voor de Windows bootloader verloopt in oktober 2026, terwijl die voor third-party bootloaders in juni 2026 verloopt.  
– DBX (Secure Boot Revoked Signature Database): Ingetrokken certificaten/bootloaders 

Volgens Microsoft blijft Secure Boot functioneren op bestaande Windows-installaties. Echter, er kunnen geen wijzigingen meer worden aangebracht in de Secure Boot-configuratie, en de database voor ingetrokken bootloaders wordt niet langer bijgewerkt. Dit vormt een beveiligingsrisico. 

Voor systeembeheerders betekent dit ook dat deployment-tools die bijvoorbeeld PXE-boot of USB-boot gebruiken, niet meer werken omdat de oude CA is verlopen en de nieuwe CA niet wordt geaccepteerd. 

In principe kan dit automatisch gebeuren, maar in de praktijk moet u nog steeds ingrijpen. De Default DB wordt bijgewerkt via BIOS-updates, mits de fabrikant nog BIOS-updates voor het model levert. Echter, de Active DB is de doorslaggevende factor. Deze zou de nieuwe UEFI 2023 CA via Windows Update moeten ontvangen, maar dit is standaard uitgeschakeld. Er is een taak geconfigureerd in Windows Task Scheduler die elke 12 uur wordt uitgevoerd om de UEFI 2023 CA naar de KEK en Active DB te schrijven. Echter, deze kan dit meestal niet uitvoeren omdat een instelling in het register dit blokkeert. Daarom verschijnen foutmeldingen 1801 van TPM-WMI in het Windows System Log. 

Volgens onze informatie moet Secure Boot hiervoor ingeschakeld zijn. 

Microsoft heeft hiervoor een administratieve template geleverd in de Group Policy Templates voor Windows 11 25H2 (v2). De namen van de drie bestaande templates voor Secure Boot zijn echter misleidend, dus u moet zorgvuldig controleren welke u inschakelt. In de meeste gevallen zult u “Enable Secure Boot Certificate Deployment” inschakelen. 

Zodra dit is toegepast, kan de achtergrondtaak in Task Scheduler het certificaat naar de KEK en Active DB schrijven.  

Na twee herstarts is het proces voltooid. Het wordt echter aanbevolen om het proces en de status ervan te monitoren. Met behulp van twee eenvoudige inventory rules in KACE of Action1 kunt u bepalen of de deployment daadwerkelijk is ingeschakeld en wat de status van de UEFI2023CA is (NotStarted, InProgress of Updated). 

Hoewel de group policy de CA-update toestaat, krijgt u alleen via de inventory rules en bijbehorende rapporten een overzicht van welke apparaten beveiligd zijn en waar handmatige interventie nog nodig is. 

Als u niet zeker weet of uw omgeving al is voorbereid op de aankomende Secure Boot CA-expiratie, of als u operationele verstoringen en beveiligingsgaten wilt vermijden, staan wij voor u klaar om te helpen. Wij kunnen u ondersteunen bij het plannen en uitvoeren van de UEFI 2023 CA rollout, het configureren van de benodigde Group Policies en het valideren dat de deployment succesvol is toegepast op al uw endpoints. Daarnaast kunnen wij u helpen bij het opzetten van correcte monitoring en reporting, zodat u altijd een duidelijk overzicht heeft van welke apparaten compliant zijn en waar nog handmatige actie vereist is. Neem contact met ons op voor een consult en zorg ervoor dat uw infrastructuur veilig en toekomstbestendig blijft, zonder onnodige risico’s of last-minute problemen.