Sinds Microsoft heeft aangekondigd dat de Secure Boot certificaten in juni 2026 verlopen, krijgen we vaker de vraag of Secure Boot op alle apparaten wel goed staat ingesteld. In theorie zou dat standaard aan moeten staan, zeker bij Windows 11. In de praktijk blijkt dat een deel van de laptops nog in Legacy BIOS draait of dat Secure Boot ooit is uitgezet. In dit artikel leggen we uit hoe je Secure Boot inschakelt, wat daarvoor technisch nodig is (UEFI, GPT, firmware instellingen) en waar je rekening mee moet houden binnen je beheer.
Secure Boot zit in de UEFI firmware en bepaalt of een apparaat alleen vertrouwde bootloaders mag starten. Staat het uit, dan kan in theorie malware actief worden voordat Windows zelf geladen is. Dat zie je niet direct terug in je dagelijkse beheer, maar het is wel onderdeel van je security basis.
Richting de Secure Boot certificaten die verlopen in 2026 is het verstandig om eerst zeker te weten dat Secure Boot overal actief is. Anders wordt het beheren van die certificaatupdate straks een stuk lastiger.
Voordat je in BIOS gaat rommelen is het slim om te checken hoe het device nu draait. Dat kan simpel via msinfo32.
BIOS-modus moet UEFI zijn. Staat hier Legacy, dan kun je Secure Boot niet eens inschakelen.
Wil je het via PowerShell controleren, dan kun je het volgende gebruiken:
Confirm-SecureBootUEFI
Krijg je True terug, dan staat het goed. False betekent dat Secure Boot uit staat of niet beschikbaar is. In onze aparte uitleg over Secure Boot controleren in Windows 10 en 11 via PowerShell leggen we dat uitgebreider uit.
In nieuwe Windows 11 omgevingen staat Secure Boot meestal gewoon aan. Bij oudere of gemigreerde apparaten zien we iets anders. Vaak draait het systeem nog in Legacy BIOS mode. Of de schijf gebruikt nog MBR in plaats van GPT. Soms staat CSM aan voor compatibiliteit met oude software.
Dat zijn geen bijzondere situaties. Dat zijn gewoon systemen die ooit zijn ingericht en daarna nooit meer fundamenteel zijn aangepast.
Secure Boot werkt alleen in combinatie met UEFI. Als het systeem in Legacy draait, moet je dat eerst oplossen.
Check via msinfo32 of BIOS-modus op UEFI staat. Zo niet, dan draait het systeem waarschijnlijk nog op een MBR-schijf.
Open Schijfbeheer en kijk bij de eigenschappen van Disk 0 onder het tabblad Volumes. Daar zie je of de partitiestijl MBR of GPT is.
Voor Secure Boot heb je GPT nodig. Staat de schijf nog op MBR, dan moet je die eerst converteren.
Je hoeft Windows meestal niet opnieuw te installeren. Microsoft levert al jaren de tool mbr2gpt.exe mee. Wel eerst een back-up maken. Je werkt hier aan de bootstructuur van het systeem.
Validatie uitvoeren:
mbr2gpt /validate /allowFullOS
Is de validatie succesvol, dan kun je converteren:
mbr2gpt /convert /allowFullOS
Na de conversie moet je het systeem herstarten en in de firmware de bootmodus aanpassen naar UEFI.
Als het systeem eenmaal in UEFI draait en GPT gebruikt, kun je Secure Boot inschakelen in de firmware instellingen. Dat verschilt per fabrikant, maar meestal ziet het proces er ongeveer zo uit:
Na de reboot kun je in Windows opnieuw controleren of Secure Boot actief is.
In theorie is dit rechttoe rechtaan. In de praktijk loop je soms tegen dingen aan. Een systeem dat niet meer boot na omschakelen naar UEFI. Een Secure Boot optie die grijs is omdat CSM nog actief is. Een mbr2gpt conversie die faalt omdat de partitie-indeling afwijkt.
Dat is precies waarom het verstandig is dit niet alleen als losse actie te zien, maar als onderdeel van je bredere device lifecycle.
Een veelgestelde vraag is of je Secure Boot via Intune kunt inschakelen. Kort antwoord: niet rechtstreeks. Secure Boot is een firmware instelling. Intune kan wel controleren of Secure Boot aan staat en devices als non-compliant markeren wanneer dat niet zo is.
Voor het daadwerkelijk aanpassen van BIOS instellingen ben je afhankelijk van OEM tooling van bijvoorbeeld Dell, HP of Lenovo. Die kun je in sommige gevallen integreren binnen je beheer, maar het is geen standaard schuifje in Intune.
Zoals beschreven in Secure Boot certificaten verlopen in 2026, wordt de onderliggende certificaatketen vernieuwd. Als je nu al weet dat een deel van je apparaten Secure Boot niet gebruikt, dan weet je ook dat je security baseline niet overal gelijk is.
Dat maakt het lastig om straks te zeggen dat je omgeving volledig onder controle is.
Eén laptop aanpassen is niet ingewikkeld. Vijftig of tweehonderd apparaten met verschillende hardware is een ander verhaal. Zeker als je ook rekening moet houden met remote gebruikers, afwijkende update rings en compliance-eisen.
Binnen YourWorkplace nemen we dit soort basismaatregelen standaard mee in het beheer van Microsoft 365 en Intune omgevingen. Niet als losse actie richting 2026, maar als onderdeel van structureel lifecyclebeheer.
Wil je weten hoe jouw omgeving ervoor staat of twijfel je of Secure Boot overal correct is ingericht? We kijken graag met je mee.
.jpeg){kind=avatar}
