Hoe installeer je Secure Boot-certificaten op een oude Windows-pc?

📅
🕑 6 minuten lezen

Het instellen van Secure Boot op een oudere computer kan een behoorlijke uitdaging zijn, vooral als je Windows 11 wilt draaien op hardware die zijn beste tijd heeft gehad. Meestal hebben deze oude systemen niet de nieuwste firmware of, erger nog, zitten ze vast in de Legacy BIOS-modus, die simpelweg niet meer compatibel is. Als je je beveiliging wilt verbeteren, een modern besturingssysteem wilt draaien of opstartfouten wilt oplossen die te maken hebben met ontbrekende of beschadigde Secure Boot-certificaten, dan is deze handleiding precies wat je nodig hebt. Het lijkt misschien ontmoedigend, maar met wat geduld kun je je firmware bijwerken en die certificaten installeren, zodat je pc een stuk veiliger en actueler aanvoelt. Verwacht een paar BIOS/UEFI-aanpassingen, firmware-downloads en wat voorzichtig klikken, maar dat is het dan ook wel. In principe schakel je een beveiligingsfunctie in die het systeem nodig heeft voor Windows 11 – want Windows moet het natuurlijk altijd ingewikkelder maken dan nodig is.

Hoe installeer je Secure Boot-certificaten op een oude pc met Windows?

Controleer eerst of de hardware Secure Boot ondersteunt.

Ja, dit is nogal belangrijk. Veel oudere pc’s van rond 2012 of later ondersteunen UEFI, maar ondersteuning voor Secure Boot is een ander verhaal. Om te controleren of je hardware dit aankan, open je Systeeminfo ( Windows + R, typ vervolgens msinfo32en druk op Enter ).Kijk bij BIOS-modus : als er UEFI staat, is het waarschijnlijk in orde. Controleer vervolgens of Secure Boot wordt ondersteund en is ingeschakeld door te kijken naar de Secure Boot-status. Als er ‘Uit’ staat, is dat niet per se slecht; het moet mogelijk gewoon worden ingeschakeld. Als er ‘Niet ondersteund’ staat, is je firmware waarschijnlijk te oud of ondersteunt Secure Boot helemaal niet. Noteer de informatie over je systeemmodel uit dit venster, want je hebt die later nodig voor firmware-updates. Bij sommige systemen is de ondersteuning mogelijk wel aanwezig, maar uitgeschakeld, dus het is essentieel om je hardware te begrijpen voordat je verdergaat.

Update uw BIOS- of UEFI-firmware.

Dit is een belangrijke stap, omdat verouderde firmware vaak updates van Secure Boot-certificaten blokkeert. Ga naar de ondersteuningswebsite van de fabrikant van je moederbord of laptop – denk aan ASUS, Gigabyte, MSI, Dell, HP of Lenovo, afhankelijk van je apparaat. Zoek op je modelnummer. Download de nieuwste BIOS/UEFI-firmware. Deze updates bevatten vaak nieuwere Secure Boot-databases, waardoor je na de update mogelijk automatisch en zonder veel gedoe ondersteuning voor certificaten krijgt.

Volg de instructies van de fabrikant nauwkeurig op. Bij sommige systemen kunt u de BIOS rechtstreeks vanuit Windows flashen met behulp van speciale hulpprogramma’s, zoals Asus EZ Flash of Gigabyte Q-Flash. Bij andere systemen moet u het updatebestand mogelijk naar een USB-stick kopiëren en de update vanaf daar uitvoeren, dus houd daar rekening mee. Schakel tijdens dit proces uw pc niet uit en haal de stekker niet uit het stopcontact, want het moederbord kan gemakkelijk onherstelbaar beschadigd raken als u onvoorzichtig bent. Zodra de update is voltooid en de firmware is gereset, bent u waarschijnlijk dichter bij een werkende Secure Boot-configuratie. Soms bevatten firmware-updates ook bijgewerkte Secure Boot-ondersteuning, dus het is de moeite waard om dit als eerste te doen.

BIOS- of UEFI-instellingen openen

Nadat de firmware is bijgewerkt, start u de computer opnieuw op en opent u het BIOS- of UEFI-menu. De toets hiervoor verschilt per apparaat: F2, Delete, F10 of Esc. Let op de kleine meldingen op het scherm tijdens het opstarten. Eenmaal in het BIOS-menu, zoekt u naar menu’s met de namen Boot, Security, Authentication of Advanced. Hier vindt u opties om over te schakelen naar de UEFI-modus en de Secure Boot-sleutels te beheren. Wees voorzichtig, want het wijzigen van verkeerde instellingen kan een opstartlus veroorzaken.

Schakel de UEFI-opstartmodus in en schakel de Compatibility Support Module (CSM) uit.

Secure Boot werkt alleen met UEFI, dus als uw systeem nog steeds in de Legacy-modus staat of CSM-ondersteuning is ingeschakeld, moet u overschakelen. Zoek naar instellingen zoals ‘ Opstartmodus’ of ‘UEFI/Legacy Boot’. Stel de modus in op ‘Alleen UEFI’. Schakel de Legacy-opties uit als u deze ziet; sommige firmwaremenu’s ontgrendelen de Secure Boot-opties automatisch zodra u dit doet. Maar let op: als uw Windows-installatie oorspronkelijk in de Legacy-modus was met een MBR-partitie, kan overschakelen naar UEFI/GPT opstartproblemen veroorzaken. Mogelijk moet u de schijf converteren voordat u overschakelt; tools zoals het MBR2GPT-hulpprogramma van Microsoft kunnen daarbij helpen.

Secure Boot-sleutels installeren of herstellen

Nu komt het cruciale moment. Zoek in de BIOS de Secure Boot-opties (soms onder een tabblad ‘Beveiliging’ of ‘Opstarten’).Je zou opties moeten zien zoals ‘Standaardsleutels installeren’, ‘Fabrieksinstellingen herstellen’ of ‘Secure Boot-sleutels opnieuw instellen’. Het kiezen van ‘Standaard Secure Boot-sleutels installeren’ is meestal de eenvoudigste manier om de vertrouwde certificaten van de fabrikant (PK, KEK, db, dbx) te laden. Soms moet je aangepaste certificaten laden, maar voor de meeste gebruikers is het herstellen van de standaardinstellingen voldoende.

Schakel daarna Secure Boot in door de schakelaar van Uitgeschakeld naar Ingeschakeld te zetten. Sommige moederborden bieden modi zoals Standaard of Aangepast. Gebruik Standaard, tenzij u experimenteert met vertrouwde certificaten. Sla uw wijzigingen op voordat u afsluit.

Start de computer opnieuw op en controleer of Secure Boot actief is.

Nadat alles is opgeslagen, start u uw systeem opnieuw op. De eerste opstart kan iets langer duren dan normaal, omdat de firmware zijn werk moet doen. Als Windows daarna normaal opstart, is dat geweldig: uw Secure Boot-certificaten werken. Zo niet, ga dan terug en controleer het opnieuw:

  • De UEFI-modus is nog steeds actief.
  • Secure Boot is ingeschakeld en de sleutels zijn correct geïnstalleerd.
  • De schijf maakt gebruik van GPT-partitiestijl.
  • Legacy-ondersteuning is uitgeschakeld.

Soms moet Windows zichzelf herstellen na het overschakelen naar UEFI en Secure Boot. Raak niet in paniek als het een paar keer opnieuw opstart; dit is normaal.

Controleer de status van Secure Boot in Windows.

Ga terug naar Windows, druk op Windows + R, typ msinfo32en druk op Enter. Controleer de Secure Boot-status : deze moet ‘ Aan’ zijn. Controleer ook of de BIOS-modus op UEFI staat. Dit zijn goede tekenen dat alles correct functioneert en dat uw pc nu veiliger is. Vanaf hier kunt u met een gerust hart Windows 11 bijwerken of installeren, wetende dat Secure Boot-ondersteuning is ingeschakeld.

Veelgestelde vragen

Is Secure Boot vereist voor Windows 11?

Ja. Microsoft heeft Secure Boot in feite verplicht gesteld voor de installatie van Windows 11, dus als je een ouder besturingssysteem gebruikt, kan het inschakelen hiervan cruciaal zijn.

Kan ik Secure Boot op elke oude pc installeren?

Vrijwel zeker niet. Als het moederbord alleen Legacy BIOS ondersteunt, is Secure Boot geen optie. Tegenwoordig draait het vooral om hardware die UEFI ondersteunt.

Worden mijn bestanden verwijderd als ik Secure Boot-certificaten installeer?

Vrijwel nooit. Het bijwerken of herstellen van Secure Boot-sleutels wist je gegevens niet. Toch is het erg verstandig om van tevoren back-ups te maken, voor het geval er iets misgaat tijdens het aanpassen van de firmware.

Wat gebeurt er als Secure Boot is uitgeschakeld?

Je kunt Windows nog steeds opstarten, maar je mist een extra beveiligingslaag tijdens het opstarten. Je systeem is daardoor iets kwetsbaarder voor malware die wordt geladen voordat Windows überhaupt opstart.

Is het veilig om de BIOS-firmware bij te werken?

Over het algemeen wel. Maar gebruik alleen officiële bestanden en volg de instructies zorgvuldig op. Als de stroom tijdens de update wordt onderbroken, kan je moederbord onherstelbaar beschadigd raken. Vermijd daarom de update op een stormachtige dag of met een haperende voeding.

Heb ik internet nodig tijdens dit proces?

Voor het downloaden of bijwerken van de firmware, ja. Maar voor het installeren van de BIOS-update zelf is geen internetverbinding nodig zodra je het bestand hebt.

Verhoogt Secure Boot de beveiliging echt?

Absoluut. Het helpt voorkomen dat bootkits, rootkits en ongeautoriseerde systemen opstarten, wat van groot belang is in het huidige dreigingslandschap.

  • Hopelijk biedt dit iemand een duidelijker stappenplan om zijn oude pc veiliger en compatibeler te maken met Windows 11.
  • Laten we hopen dat dit iemand helpt om de ellende van instabiele installaties of opstartproblemen te voorkomen.
  • Het is maar een klein trucje dat op meerdere computers heeft gewerkt, dus misschien werkt het ook wel op die van jou.