UitgelichtWindows 10 wordt sinds oktober 2025 niet meer ondersteund door Microsoft, en Windows 11 draait op ruim 73% van alle desktops wereldwijd. Toch lopen veel PC-bouwers en gamers tegen dezelfde muur aan: “Deze PC voldoet niet aan de vereisten voor Windows 11”, of een game als Valorant die weigert te starten omdat Secure Boot uitstaat. De boosdoener? Secure Boot en TPM 2.0 staan uit in de BIOS. Het goede nieuws: de meeste moederborden van na 2016 hebben beide features al ingebouwd. Je moet ze alleen even aanzetten. In deze gids doorloop je stap voor stap hoe je dat doet, per moederbordmerk.
In het kort
Vrijwel elk modern moederbord (2016 of nieuwer) heeft TPM 2.0 en Secure Boot al aan boord; je hoeft ze alleen te activeren in de BIOS.
- TPM 2.0 zit bij AMD als fTPM en bij Intel als PTT in de processor ingebakken; een losse TPM-module is bijna nooit nodig
- Secure Boot vereist dat je UEFI-modus gebruikt en CSM (Legacy boot) uitschakelt
- Zonder Secure Boot kun je veel moderne games niet spelen: Valorant, Fortnite en andere titels met kernel-level anti-cheat vereisen het
Hieronder vind je de exacte BIOS-stappen per merk (ASUS, MSI, Gigabyte, ASRock), de gaming-vereisten, en een eerlijke analyse van de risico’s als je deze beveiliging overslaat.
Overzicht
- Secure Boot en TPM 2.0 uitgelegd
- Waarom Windows 11 dit eist
- Controleren of jouw PC het heeft
- Secure Boot aanzetten per merk
- TPM 2.0 activeren (fTPM/PTT)
- Secure Boot en gaming: anti-cheat vereisten
- Risico’s van installatie zonder TPM
- Veelvoorkomende problemen
Wat zijn Secure Boot en TPM 2.0 precies?
Secure Boot en TPM 2.0 zijn twee onafhankelijke beveiligingstechnologieen die samen de basis vormen van de Windows 11 hardwarevereisten. Microsoft noemde TPM 2.0 in december 2024 een “non-negotiable standard” voor de toekomst van Windows. Maar wat doen ze precies?
Secure Boot: de poortwachter bij het opstarten
Secure Boot is een UEFI-functie die controleert of alle software die laadt tijdens het opstartproces digitaal ondertekend is. Denk aan een bouncer die bij elke opstartfase het pasje checkt. Alleen vertrouwde bootloaders, drivers en OS-kernels mogen laden. Malware die zich in het opstartproces probeert te nestelen (een zogenaamde bootkit) wordt geblokkeerd voordat Windows ook maar start.
TPM 2.0: de digitale kluis
De Trusted Platform Module is een beveiligingschip die cryptografische sleutels opslaat en bewerkingen uitvoert in een geisoleerde omgeving. BitLocker-encryptie, Windows Hello en Credential Guard leunen allemaal op de TPM. Zonder TPM worden encryptiesleutels in software opgeslagen, wat ze kwetsbaarder maakt voor aanvallen.
fTPM vs. discrete TPM-module: de grote verwarring
Hier gaat het bij veel bouwers mis. Een “discrete” TPM-module is een los chipje dat je op een header van je moederbord klikt. Maar sinds 2016 hebben AMD-processoren fTPM (firmware TPM) en Intel-processoren PTT (Platform Trust Technology) ingebouwd. Dit is volwaardige TPM 2.0 functionaliteit die in de processor zelf draait. Je hebt dus geen los moduleplaatje nodig. De verwarring ontstaat doordat de BIOS-optie op veel moederborden standaard uitstaat, of verstopt zit onder cryptische namen als “AMD fTPM switch” of “Intel Platform Trust Technology”.
Waarom eist Windows 11 deze beveiligingsfeatures?
Firmware-aanvallen zijn gevaarlijker dan traditionele malware, omdat ze onder het besturingssysteem opereren; je virusscanner ziet ze simpelweg niet. Volgens Microsoft’s Security Signals rapport heeft meer dan 80% van de bedrijven minstens een firmware-aanval meegemaakt, terwijl slechts 29% van de beveiligingsbudgetten naar firmware-bescherming gaat. Die kloof verklaart waarom Microsoft de lat hoger legt.
| Beveiligingsmetriek | Percentage | Bron |
|---|---|---|
| Bedrijven getroffen door firmware-aanval | 80% | Microsoft Security Signals |
| IT-beslissers: firmware moet prioriteit worden | 81% | HP Wolf Security, 2024 |
| Firmware wordt over het hoofd gezien in TCO | 68% | HP Wolf Security, 2024 |
| Budget daadwerkelijk naar firmware | 29% | Microsoft Security Signals |
Een concreet voorbeeld van het risico: in 2023 werd BlackLotus ontdekt, de eerste UEFI-bootkit die Secure Boot op volledig gepatchte Windows 11 systemen kon omzeilen. Deze malware schakelde BitLocker, HVCI en Windows Defender uit, nog voordat Windows opstartte. Precies het soort aanval waar TPM 2.0 en Secure Boot samen tegen beschermen.
Daar komt bij dat meer dan 60% van de IT-beveiligingsbeslissers firmware-updates niet direct toepast zodra ze beschikbaar zijn. De combinatie van toenemende aanvallen en uitgestelde updates maakt hardware-beveiliging op chipniveau steeds belangrijker.
Hoe controleer je of jouw PC TPM 2.0 en Secure Boot heeft?
Voordat je de BIOS induikt, kun je vanuit Windows zelf al checken wat de huidige status is. Dat bespaart je onnodig zoeken in menu’s die je misschien niet eens hoeft aan te passen. Wil je nog meer weten over je hardware? Bekijk dan onze PC-specificaties gids.
TPM-status controleren via Windows
Druk op Windows + R, typ tpm.msc en druk op Enter. Als je een melding ziet met “De TPM is gereed voor gebruik” en “Specificatieversie: 2.0”, dan is alles in orde. Zie je “Kan geen compatibele TPM vinden”? Dan staat fTPM/PTT waarschijnlijk uit in de BIOS.
Secure Boot controleren via Systeeminformatie
Druk op Windows + R, typ msinfo32 en zoek naar “Beveiligde opstartstatus”. Staat daar “Aan”? Dan is Secure Boot actief. Staat er “Uit” of “Niet-ondersteund”? Dan moet je naar de BIOS. Let ook op de regel “BIOS-modus”: die moet op “UEFI” staan, niet op “Verouderd” (Legacy).
Geen Windows geinstalleerd?
Start je PC op en ga naar de BIOS (meestal via Del, F2 of F12 tijdens het opstarten). Zoek naar een sectie als “Security” of “Trusted Computing”. De exacte stappen per merk vind je in de volgende secties.
Hoe zet je Secure Boot aan in de BIOS?
Secure Boot activeren is op elk moederbordmerk net even anders, maar het basisprincipe is hetzelfde: schakel CSM uit (Legacy-compatibiliteit) en zet Secure Boot op “Enabled”. Belangrijk: als je Windows eerder in Legacy-modus hebt geinstalleerd, moet je je schijf mogelijk eerst converteren van MBR naar GPT. Meer hierover in het probleemoplossing-gedeelte.
ASUS moederborden
- Start op en druk op Del of F2
- Schakel over naar Advanced Mode (F7)
- Ga naar Boot > CSM (Compatibility Support Module)
- Zet “Launch CSM” op Disabled
- Ga naar Boot > Secure Boot
- Zet “OS Type” op Windows UEFI mode
- Sla op met F10 en herstart
MSI moederborden
- Druk op Del bij het opstarten
- Ga naar Settings > Boot
- Zet “Boot mode select” op UEFI
- Ga naar Settings > Security > Secure Boot
- Zet Secure Boot op Enabled
Op sommige MSI-borden moet je eerst de “Secure Boot Mode” op “Standard” zetten voordat de optie verschijnt.
Gigabyte moederborden
- Druk op Del bij het opstarten
- Ga naar BIOS > CSM Support
- Zet CSM op Disabled
- Ga naar BIOS > Secure Boot
- Schakel Secure Boot in
Bij Gigabyte-borden met een “Secure Boot Mode” optie: zet deze op Standard, niet op “Custom”.
ASRock moederborden
- Druk op F2 of Del bij het opstarten
- Ga naar Boot en zet “CSM” op Disabled
- Ga naar Security > Secure Boot
- Zet Secure Boot op Enabled
ASRock plaatst Secure Boot soms onder het Security-tabblad in plaats van Boot.
| Merk | BIOS-toets | CSM uitschakelen | Secure Boot pad |
|---|---|---|---|
| ASUS | Del / F2 | Boot > CSM > Disabled | Boot > Secure Boot |
| MSI | Del | Settings > Boot > UEFI | Settings > Security > Secure Boot |
| Gigabyte | Del | BIOS > CSM Support > Disabled | BIOS > Secure Boot |
| ASRock | F2 / Del | Boot > CSM > Disabled | Security > Secure Boot |
Hoe activeer je TPM 2.0 (fTPM of PTT)?
Bij de meeste moderne systemen hoef je geen fysieke TPM-module te kopen. AMD en Intel bakken TPM 2.0 functionaliteit in hun processoren sinds respectievelijk de Ryzen 1000- en 6e generatie Core-serie. Het enige wat je moet doen is de juiste BIOS-optie vinden en aanzetten.
AMD-systemen: fTPM activeren
- Ga in de BIOS naar Advanced > AMD fTPM configuration (of zoek naar “Trusted Computing”)
- Zet “AMD fTPM switch” op AMD CPU fTPM
- Sla op en herstart
Op sommige moederborden heet de optie “TPM Device Selection”; kies dan “Firmware TPM”. Na het herstarten toont tpm.msc in Windows versie 2.0.
Intel-systemen: PTT activeren
- Ga in de BIOS naar Advanced > PCH-FW Configuration (of “Trusted Computing”, “Security”)
- Zoek naar “Intel Platform Trust Technology” of “PTT”
- Zet PTT op Enabled
- Sla op en herstart
Bij ASUS-borden staat dit soms onder Advanced > Trusted Computing > TPM Device Selection, waar je “PTT” selecteert.
Secure Boot en gaming: welke games vereisen het?
Secure Boot is niet alleen een Windows 11 vereiste. Steeds meer games met kernel-level anti-cheat systemen weigeren te starten als Secure Boot uitstaat. Als gamer is dit dus geen optionele beveiligingsinstelling, maar een harde vereiste om je favoriete titels te kunnen spelen.
Welke games en anti-cheat systemen?
Riot Games was in 2020 een van de eerste die Secure Boot ging vereisen voor Valorant via hun Vanguard anti-cheat. Sindsdien zijn meer ontwikkelaars gevolgd. Hieronder een overzicht van populaire games die Secure Boot en/of TPM 2.0 vereisen:
| Game | Anti-cheat | Secure Boot vereist | TPM 2.0 vereist |
|---|---|---|---|
| Valorant | Vanguard | Ja | Ja |
| Fortnite | Easy Anti-Cheat (kernel) | Ja (Windows 11) | Ja (Windows 11) |
| PUBG | BattlEye | Aanbevolen | Nee |
| Apex Legends | Easy Anti-Cheat | Aanbevolen | Nee |
| Dead by Daylight | Easy Anti-Cheat | Aanbevolen | Nee |
Bij Valorant is de vereiste het strengst: zonder Secure Boot en TPM 2.0 op Windows 11 start het spel simpelweg niet. Je krijgt een foutmelding van Vanguard die je naar de BIOS-instellingen verwijst. De stappen om dit op te lossen zijn exact dezelfde als hierboven beschreven: activeer fTPM/PTT en zet Secure Boot aan.
Waarom eisen games Secure Boot?
Kernel-level anti-cheat software draait op hetzelfde niveau als je besturingssysteem. Cheaters die Secure Boot uitschakelen, kunnen ongesigneerde drivers laden die de anti-cheat omzeilen. Door Secure Boot te vereisen, blokkeren ontwikkelaars deze aanvalsmethode. Het is voor gamers dus geen overbodige beveiligingslaag, maar een directe voorwaarde om eerlijk online te kunnen spelen.
Windows 11 installeren zonder TPM 2.0 en Secure Boot: wat zijn de risico’s?
Het is technisch mogelijk om Windows 11 te installeren zonder TPM 2.0 en Secure Boot, via registry-aanpassingen of aangepaste installatiemedia. Microsoft waarschuwt expliciet dat systemen zonder TPM 2.0 mogelijk geen beveiligingsupdates ontvangen en geblokkeerd kunnen worden voor toekomstige feature-updates. Dat is geen loze dreiging: het staat letterlijk in de installatie-disclaimer.
Wat mis je concreet?
Zonder TPM 2.0 verlies je toegang tot meerdere beveiligingslagen die Windows 11 standaard biedt:
- BitLocker schijfversleuteling werkt niet, of valt terug op een minder veilige softwarematige methode
- Credential Guard kan inloggegevens niet isoleren van de rest van het systeem
- Measured Boot ontbreekt: Windows kan niet verifieren of het opstartproces is gemanipuleerd
- Windows Hello biometrische login werkt beperkt zonder hardware-opslag voor sleutels
- Games met kernel-level anti-cheat zoals Valorant weigeren te starten
Daarbij komt het risico van gemiste beveiligingsupdates. Microsoft heeft al aangegeven dat onondersteunde configuraties geblokkeerd kunnen worden voor feature-updates. Dat betekent dat je systeem op termijn vastloopt op een verouderde versie van Windows 11. Voor een dagelijkse PC die online gaat, wegen de risico’s simpelweg niet op tegen het gemak van een bypass.
Veelvoorkomende problemen en oplossingen
Zelfs na het activeren van Secure Boot en TPM loop je soms tegen onverwachte meldingen aan. Hieronder de meest voorkomende problemen, met directe oplossingen.
“Secure Boot staat aan, maar Windows 11 meldt nog steeds incompatibel”
Dit komt bijna altijd doordat CSM (Compatibility Support Module) nog aanstaat. Zelfs als Secure Boot op “Enabled” staat, negeren sommige BIOS-versies dit als CSM actief is. Schakel CSM volledig uit, sla op en herstart. Controleer daarna in msinfo32 of de BIOS-modus op “UEFI” staat.
GPT vs. MBR: partitietabel conflict
UEFI-modus (vereist voor Secure Boot) werkt alleen met GPT-partitietabellen. Als je Windows eerder in Legacy-modus installeerde, staat je schijf waarschijnlijk op MBR. Je kunt deze converteren zonder dataverlies met het ingebouwde Windows-hulpprogramma mbr2gpt. Open een opdrachtprompt als administrator en voer uit: mbr2gpt /validate /disk:0 gevolgd door mbr2gpt /convert /disk:0. Maak voor de zekerheid altijd eerst een back-up.
fTPM-reset waarschuwing bij BIOS-update
Bij sommige moederborden (vooral AMD) verschijnt na een BIOS-update de melding “fTPM NV corrupted or fTPM NV structure changed”. Dit kan ertoe leiden dat BitLocker om je herstelsleutel vraagt. Zorg dus altijd dat je je BitLocker-herstelsleutel hebt opgeslagen voordat je een BIOS-update uitvoert. Je vindt deze in je Microsoft-account onder account.microsoft.com/devices/recoverykey.
“Secure Boot kan niet worden ingeschakeld”
Op sommige moederborden moet je eerst de Secure Boot keys laden. Ga naar Secure Boot > Key Management en kies “Install Default Secure Boot Keys” of “Restore Factory Keys”. Zonder geldige keys kan Secure Boot niet functioneren. Na het laden van de keys verschijnt de optie om Secure Boot te activeren.
Dual-boot met Linux
Secure Boot is compatible met de meeste grote Linux-distributies (Ubuntu, Fedora, openSUSE). Deze distributies gebruiken een door Microsoft ondertekende “shim” bootloader. Als je een minder gangbare distro gebruikt die niet ondertekend is, moet je Secure Boot uitschakelen of zelf keys enrollen via de BIOS. Plan je dual-boot configuratie dus met een ondersteunde distro.
Samenvatting
Voor de overgrote meerderheid van de gebruikers is de Windows 11 upgrade geen hardware-probleem, maar een BIOS-instelling. fTPM (AMD) of PTT (Intel) activeren en Secure Boot aanzetten kost vijf minuten en maakt je systeem klaar voor Windows 11 en moderne games met anti-cheat.
- Check eerst via
tpm.mscenmsinfo32of alles al aanstaat - Schakel CSM uit en activeer Secure Boot in de BIOS
- Activeer fTPM (AMD) of PTT (Intel) voor TPM 2.0
- Vermijd het omzeilen van de vereisten op dagelijkse systemen
Na het activeren van Secure Boot en TPM kun je Windows 11 installeren. Onze software en installatie gids helpt je vervolgens met drivers en essientiele programma’s.
