In de update van Windows 11 april 2026 heeft Microsoft niet alleen gebruikers de mogelijkheid gegeven om Smart App Control in of uit te schakelen zonder het systeem opnieuw te installeren, maar ook stilletjes een belangrijke verbetering toegevoegd met betrekking tot de opstartbeveiliging: Windows Security Center kan nu direct de status van het Secure Boot-certificaat (Secure Boot) weergeven, waardoor gebruikers kunnen bevestigen of hun computer de 2023-versie van het Secure Boot-certificaat heeft toegepast.
Het Secure Boot-certificaat wordt gebruikt om te verifiëren of de software die wordt uitgevoerd tijdens het opstartproces van het systeem betrouwbaar is. Als het certificaat verloopt, kan het in theorie worden misbruikt door malware op opstartniveau (bootkit) of door ongeoorloofde aanpassingen aan de aanvalscode voordat het systeem volledig is opgestart. De vroegst bekende Secure Boot-certificaten uitgegeven in 2011 verlopen in juni 2026 en Microsoft heeft eerder bevestigd dat deze oude certificaten via Windows Update zullen worden vervangen door nieuwe Secure Boot 2023-certificaten. Voor gewone gebruikers is er echter een gebrek aan intuïtieve en eenvoudig te gebruiken methoden om te bepalen of hun computers zijn vervangen door nieuwe certificaten.
Voorheen konden gebruikers die wilden bevestigen of het Secure Boot 2023-certificaat was toegepast alleen vertrouwen op professionelere methoden zoals PowerShell-opdrachten of eventviewer-logboeken, die uiteraard niet geschikt waren voor de dagelijkse werkzaamheden van de meeste niet-technische gebruikers. Na de update van april geeft Windows Security Center voor het eerst de Secure Boot-certificaatstatus rechtstreeks weer in de interface, waardoor dit "informatie-blackbox"-probleem wordt opgelost. Met het eigen apparaat van de auteur als voorbeeld heeft het Windows Security Center aangetoond dat het Secure Boot 2023-certificaat is toegepast en de prompt 'Geen verdere actie vereist' heeft gekregen.
Vóór de update gaf Windows Beveiligingscentrum alleen informatie weer over of de Secure Boot-functie was ingeschakeld op de pagina 'Apparaatbeveiliging'. Na de update kunnen gebruikers niet alleen zien of Secure Boot is ingeschakeld, maar ook of het certificaat is bijgewerkt naar de nieuwste versie. Deze status bevindt zich in het gebied "Veilig opstarten" onder "Apparaatbeveiliging". Na voltooiing van de bijbehorende update geeft de interface meer gedetailleerde feedback over de beveiligingsstatus.
Volgens Microsoft wordt deze Secure Boot-statusweergavefunctie gepusht via de cumulatieve update KB5083769 van Windows 11 en is deze geschikt voor systemen met Build 26200.8246 / 26100.8246 of nieuwere versies. Niet alle apparaten zullen deze functie echter tegelijkertijd zien. Verwacht wordt dat de volledige push eind april 2026 geleidelijk alle ondersteunde apparaten zal bestrijken. Microsoft merkte in een ondersteuningsdocument op dat versie 2023-certificaten automatisch worden uitgegeven via Windows Update, en de statusweergave in Windows Security Center vertelt gebruikers of het apparaat deze updates heeft ontvangen, wat de huidige status is en of er aanvullende actie vereist is.
Onder het nieuwe ontwerp kunnen gebruikers de Secure Boot-status controleren via een eenvoudig pad: open het Windows Security Center, voer "Device Security" - "Secure Boot" in om het logo en de prompttekst op de interface te bekijken. Deze module maakt gebruik van een driekleurenmarkeringsschema dat lijkt op een verkeerslicht: groen betekent "volledig bijgewerkt, geen actie vereist"; geel betekent "er is een beveiligingsadvies" en mogelijk moet u contact opnemen met de computerfabrikant om de firmware bij te werken; rood betekent "vereist onmiddellijke aandacht", wat meestal betekent dat Microsoft vanwege hardware- of firmwarebeperkingen moeite heeft om het nieuwste certificaat op het apparaat toe te passen.
Met name wanneer in de sectie Veilig opstarten een groen vinkje wordt weergegeven, wordt in de prompt aangegeven: "Het apparaat is beveiligd en alle vereiste certificaatupdates zijn voltooid, er zijn geen verdere wijzigingen vereist." Wanneer een geel waarschuwingspictogram wordt weergegeven, betekent dit dat het systeem nog steeds kan werken, maar dat er beveiligingsaanbevelingen zijn, zoals de noodzaak om de promptinhoud te bekijken en de apparaatfirmware of gerelateerde componenten bij te werken volgens de instructies. Als er een rood pictogram verschijnt, betekent dit dat het systeem Secure Boot onmiddellijk moet uitvoeren. Deze situatie doet zich vaak voor op apparaten waarvan de hardwarecondities niet kunnen voldoen aan de vereisten voor certificaatupdates, of waarop Secure Boot zelf niet is ingeschakeld.
Opgemerkt moet worden dat Secure Boot een van de verplichte hardwarevereisten is voor het officieel installeren en uitvoeren van Windows 11. Voor gebruikers die upgraden van Windows 10 naar Windows 11 door hardwarecontroles op niet-officiële wijze te omzeilen, is de kans groter dat Windows Security Center een rode waarschuwing weergeeft waarin staat dat Secure Boot niet is ingeschakeld en het nieuwste certificaat ontbreekt. Microsoft herinnert eraan dat gebruikers in deze situatie de BIOS/UEFI-instellingen moeten controleren wanneer daarom wordt gevraagd of zo snel mogelijk contact moeten opnemen met de fabrikant van het apparaat.
Microsoft zei dat de meeste gebruikers zich niet al te veel zorgen hoeven te maken over problemen met het Secure Boot-certificaat, omdat het systeem de 2023-versie van het certificaat automatisch zal uitgeven en toepassen op de meeste compatibele apparaten via Windows Update. Uit de observaties van Windows Latest blijkt echter dat updates van Secure Boot-certificaten op sommige apparaten mislukken vanwege firmwarebeperkingen, wat betekent dat deze apparaten mogelijk lange tijd geen nieuwe certificaten kunnen verkrijgen, en dat de bijbehorende Windows Security Center-status gele of rode waarschuwingen blijft weergeven.
Dat gezegd hebbende, zelfs als u nooit een Secure Boot 2023-certificaat ontvangt, betekent dit niet dat het apparaat noodzakelijkerwijs instabiel wordt of onmiddellijk wordt blootgesteld aan ernstige beveiligingsrisico's. Het rapport wijst erop dat voor de meeste gewone consumenten de kans op daadwerkelijke aanvallen, alleen maar omdat het Secure Boot-certificaat niet is bijgewerkt, nog steeds laag is. Vanuit het perspectief van langdurig onderhoud en compliance is het echter nog steeds een belangrijke stap om ervoor te zorgen dat de firmware kan worden bijgewerkt, dat Secure Boot normaal is ingeschakeld en dat het verkrijgen van het nieuwste certificaat nog steeds een belangrijke stap is om de beveiliging van de hele machine te verbeteren.