Atualizações do Certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações

Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Observação

  • Data de publicação original: 26 de junho de 2025
  • ID da base de dados: 5062713

Observação

Log de alterações
Data da Alteração Descrição da alteração
5 de maio de 2026
30 de março de 2026
  • Resolvido o problema conhecido, "As atualizações de certificado de Inicialização Segura podem falhar com a ID de Evento 1795 em máquinas virtuais Hyper-V"
24 de março de 2026
  • Atualização do problema conhecido, "As atualizações de certificado de Inicialização Segura podem falhar com a ID de Evento 1795 em máquinas virtuais Hyper-V"
16 de março de 2026
  • Removeu a seção "Exemplo de dados de confiança" em "Exemplo de script de coleta de dados do inventário de inicialização segura", pois está desatualizada.
3 de março de 2026
  • Reformatada a saída de exemplo na seção "Preparação" para que ela permaneça dentro da caixa.
24 de fevereiro de 2026
  • Atualizado o conteúdo de "Script de coleta de dados do inventário de inicialização segura de exemplo" na seção " Preparação".
  • Adicionada uma nova seção "Saída de amostra" na seção "Preparação".
23 de fevereiro de 2026
  • Atualizado o conteúdo de "Script de coleta de dados do inventário de inicialização segura de exemplo" na seção " Preparação".
13 de fevereiro de 2026
  • Adicionados os itens "Dados de confiança do exemplo" à seção " Preparação".
  • Removido o "script de coleta para eventos pendentes 1801 e 1808" da seção "Preparação", pois não é mais necessário.
3 de fevereiro de 2026
  • Problemas comuns movidos e reformatados na seção Solução de problemas.
  • Adicionado um novo problema comum: "As atualizações de certificado de Inicialização Segura podem falhar com a ID de Evento 1795 em máquinas virtuais Hyper-V".
26 de janeiro de 2026
  • Atualizou o texto em "Assistência de Implantação Automática" de " Ambas as assistências requerem dados de diagnóstico." para " Somente a Assistência de Distribuição de Recursos Controlados requer dados de diagnóstico.
11 de novembro de 2025 Corrigidos dois erros de digitação em "Suporte à implantação de certificado de Inicialização Segura".
  • 0x0800 – O nome do certificado foi alterado de "Microsoft UEFI CA 2023" para "Microsoft Option ROM UEFI CA 2023".
  • 0x1000 - Alterou "Microsoft Option ROM CA 2023" para "Microsoft UEFI CA 2023".
10 de novembro de 2025
  • Corrigidos dois erros de digitação em "Novo Certificado": de " Microsoft Corporation KEK CA 2023" para " Microsoft Corporation KEK 2K CA 2023" e de " Microsoft Option ROM CA 2023" para " Microsoft Option ROM UEFI CA 2023".
  • Novos scripts do PowerShell foram adicionados sob os títulos "Verificando o status da Inicialização Segura em toda a sua frota: a Inicialização Segura está habilitada?" e "Preparação".

Neste artigo:

Visão geral

Este artigo destina-se a organizações com profissionais de TI dedicados que gerenciam ativamente as atualizações em toda a frota de dispositivos. A maior parte deste artigo se concentrará nas atividades necessárias para que o departamento de TI de uma organização seja bem-sucedido na implantação dos novos certificados de Inicialização Segura. Essas atividades incluem testar firmware, monitorar atualizações de dispositivos, iniciar a implantação e diagnosticar problemas à medida que eles surgem. Vários métodos de implantação e monitoramento são apresentados. Além dessas atividades principais, oferecemos vários auxílios de implantação, incluindo a opção de optar por dispositivos cliente para participação em uma CFR (Distribuição de Recursos Controlados) especificamente para implantação de certificados.

Guia estratégico de implantação para profissionais de TI

Planeje e execute atualizações de certificado de Inicialização Segura em toda a frota de dispositivos por meio de preparação, monitoramento, implantação e correção.

Verificando o status da Inicialização Segura em toda a sua frota: a Inicialização Segura está habilitada?

A maioria dos dispositivos fabricados desde 2012 tem suporte para Inicialização Segura e são fornecidos com a Inicialização Segura habilitada. Para verificar se um dispositivo tem a Inicialização Segura habilitada, siga um destes procedimentos:

  • Método GUI: Vá para Iniciar>Configurações>Privacidade & Segurança>Segurança do Windows>Segurança do Dispositivo. Em Segurança do dispositivo, a seção Inicialização segura deve indicar que a Inicialização segura está ativada.
  • Método de linha de comando: Em um prompt de comando elevado no PowerShell, digite Confirm-SecureBootUEFI e pressione Enter. O comando deve retornar True indicando que a Inicialização Segura está ativada.

Em implantações em grande escala para uma frota de dispositivos, o software de gerenciamento usado pelos profissionais de TI precisará fornecer uma marca para a habilitação da Inicialização Segura.

Por exemplo, o método para marcar o estado de Inicialização Segura em dispositivos gerenciados pelo Microsoft Intune é criar e implantar um script de conformidade personalizado do Intune. As configurações de conformidade do Intune são abordadas em Usar configurações de conformidade personalizadas para dispositivos Linux e Windows com o Microsoft Intune.

Observação

  • Exemplo de script do PowerShell para marcar se a Inicialização Segura está habilitada:
  • # Initialize result object in preparation for checking Secure Boot state 
  • $result = [PSCustomObject]@{ 
  •    SecureBootEnabled = $null 
  • try { 
  •    $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 
  •    Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 
  • } catch { 
  •    $result.SecureBootEnabled = $null 
  •    Write-Warning "Unable to determine Secure Boot status: $_" 

Se a Inicialização Segura não estiver habilitada, você poderá ignorar as etapas de atualização abaixo, pois elas não são aplicáveis.

Como as atualizações são implantadas

Há várias maneiras de direcionar dispositivos para as atualizações de certificado da Inicialização Segura. Os detalhes da implantação, incluindo configurações e eventos, serão discutidos posteriormente neste documento. Quando você direciona um dispositivo para atualizações, uma configuração é feita no dispositivo para indicar que o dispositivo deve iniciar o processo de aplicação dos novos certificados. Uma tarefa agendada é executada no dispositivo a cada 12 horas e detecta que o dispositivo foi direcionado para as atualizações. Um esboço do que a tarefa faz é o seguinte:

  1. O UEFI CA 2023 do Windows é aplicado ao DB.
  2. Se o dispositivo tiver o Microsoft Corporation UEFI CA 2011 no banco de dados, a tarefa aplicará a Microsoft Option ROM UEFI CA 2023 e o Microsoft UEFI CA 2023 ao banco de dados.
  3. Em seguida, a tarefa adiciona o Microsoft Corporation KEK 2K CA 2023.
  4. Por fim, a tarefa agendada atualiza o gerenciador de inicialização do Windows para o assinado pelo UEFI CA 2023 do Windows. O Windows detectará que uma reinicialização é necessária antes que o gerenciador de inicialização possa ser aplicado. A atualização do gerenciador de inicialização será adiada até que a reinicialização ocorra naturalmente (por exemplo, quando atualizações mensais são aplicadas) e, em seguida, o Windows tentará aplicar novamente a atualização do gerenciador de inicialização.

Cada uma das etapas acima deve ser concluída com êxito antes que a tarefa agendada passe para a próxima etapa. Durante esse processo, logs de eventos e outros status estarão disponíveis para auxiliar no monitoramento da implantação. Mais detalhes sobre monitoramento e logs de eventos são fornecidos abaixo.

A atualização dos Certificados de Inicialização Segura permite uma atualização futura para o Gerenciador de Inicialização 2023, que é mais Seguro. Atualizações específicas no Gerenciador de Inicialização estarão disponíveis em versões futuras.

Etapas de implantação

  • Preparação: Inventário e teste de dispositivos.
  • Considerações sobre firmware
  • Monitoramento: verifique se o monitoramento funciona e a linha de base de sua frota.
  • Implantação: dispositivos de destino para atualizações, começando com pequenos subconjuntos e expandindo com base em testes bem-sucedidos.
  • Correção: investigue e resolva quaisquer problemas usando logs e suporte do fornecedor.

Preparação

Inventarie hardware e firmware. Crie uma amostra representativa de dispositivos com base no fabricante do sistema, modelo do sistema, versão/data do BIOS, versão do produto da placa base, etc., e teste as atualizações nesses dispositivos antes da implantação ampla.  Esses parâmetros geralmente estão disponíveis nas informações do sistema (MSINFO32). Use os comandos do PowerShell de exemplo incluídos para marcar o status de atualização da Inicialização Segura e inventariar dispositivos em toda a organização.

Observação

  • Esses comandos se aplicam se o estado de inicialização segura estiver habilitado.
  • Muitos desses comandos precisam de privilégios de administrador para funcionar.

Exemplo de script de coleta de dados do inventário de inicialização segura

Copie e cole este script de exemplo e modifique conforme necessário para seu ambiente: O script de coleta de dados do inventário de inicialização segura de exemplo.

Observação

  • Amostra de saída:
  • {"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
    "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
    "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
    "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
    "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber":
    "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
    "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
    1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
    "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
    3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
    "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
    "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
    "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
    "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
    "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
    "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Níveis de Confiança da Inicialização Segura

Nível de confiança Significado Ação necessária
Alta Confiança A Microsoft validou que esta classe de dispositivo é segura para atualizações É seguro implantar atualizações de certificado
Sob observação - mais dados necessários A Microsoft ainda está coletando dados de diagnóstico da Distribuição de Inicialização Segura sobre esses dispositivos Aguardar a classificação da Microsoft
Nenhum dado observado - ação necessária A classe de dispositivo não é conhecida pela Microsoft A empresa deve testar e planejar a distribuição
Pausado temporariamente Problemas de compatibilidade conhecidos Verifique se há atualização do BIOS OEM; Aguarde a Microsoft resolver
Sem suporte - limitação conhecida Limitações de plataforma ou hardware Documento como exceção

A primeira etapa se a Inicialização Segura estiver habilitada é marcar se há eventos pendentes que foram atualizados recentemente ou no processo de atualização dos certificados de Inicialização Segura. De interesse específico são os eventos mais recentes em 1801 e 1808. Esses eventos são descritos em detalhes em Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura. Marque também a seção Monitoramento e implantação para saber como os eventos podem mostrar o estado das atualizações pendentes.

A próxima etapa é fazer o inventário de dispositivos em toda a organização. Colete os seguintes detalhes com comandos do PowerShell para criar uma amostra representativa:

Observação

  • Identificadores básicos (2 valores)
  • 1. Nome do host – $env: COMPUTERNAME
  • 2. CollectionTime - Get-Date
  • Registro: chave principal de inicialização segura (3 valores)
  • 3. SecureBootEnabled - Confirm-SecureBootUEFI cmdlet ou HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 5. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • Registro: Chave de Serviço (3 valores)
  • 6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 8. Agosto UEFICA2023Erro - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Registro: Atributos do dispositivo (7 valores)
  • 9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 10. julho OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 11. Agosto OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 12. Agosto FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 13. Agosto FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Logs de eventos: log do sistema (5 valores)
  • 16. LatestEventId - Evento de Inicialização Segura mais recente
  • 17. julho BucketID - Extraído do Evento 1801/1808
  • 18. julho Confiança - Extraído do Evento 1801/1808
  • 19. julho Event1801Count - Contagem de eventos
  • 20. julho Event1808Count - Contagem de eventos
  • Consultas WMI/CIM (4 valores)
  • 21. OSVersion - Get-CimInstance Win32_OperatingSystem
  • 22. julho LastBootTime - Get-CimInstance Win32_OperatingSystem
  • 23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard
  • 24. RodapéProduto - Get-CimInstance Win32_BaseBoard
  •      25. (Get-CIMInstance Win32_ComputerSystem). Fabricante
  •      26. (Get-CIMInstance Win32_ComputerSystem). Modelo
  •     27. (Get-CIMInstance Win32_BIOS). Descrição + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("DD/MM/aaaa")
  •     28. (Get-CIMInstance Win32_BaseBoard). Produto

Considerações sobre firmware

A implantação dos novos certificados de Inicialização Segura em sua frota de dispositivos exige que o firmware do dispositivo desempenhe uma função na conclusão da atualização. Embora a Microsoft espere que a maioria dos firmwares de dispositivos funcione conforme o esperado, são necessários testes cuidadosos antes de implantar os novos certificados.

Examine seu inventário de hardware e crie uma amostra pequena e representativa de dispositivos com base nos seguintes critérios exclusivos, como:

  • Manufacturer
  • Número do modelo
  • Versão de firmware
  • Versão da placa base OEM, etc.

Antes de implantar amplamente em dispositivos de sua frota, recomendamos que você teste as atualizações de certificado em dispositivos de exemplo representativos (conforme definido por fatores como fabricante, modelo e versão de firmware) para garantir que as atualizações sejam processadas com êxito. A orientação recomendada sobre o número de dispositivos de amostra a serem testados para cada categoria exclusiva é 4 ou mais.

Isso ajudará a aumentar a confiança em seu processo de implantação e ajudará a evitar impactos imprevistos em sua frota mais ampla.

Em alguns casos, uma atualização de firmware pode ser necessária para atualizar com êxito os certificados de Inicialização Segura. Nesses casos, recomendamos verificar com o OEM do dispositivo para ver se o firmware atualizado está disponível.

Windows em ambientes virtualizados

Para o Windows em execução em um ambiente virtual, há dois métodos para adicionar os novos certificados às variáveis de firmware da Inicialização Segura:

  • O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isso funcionaria para novos dispositivos virtualizados.
  • Para Windows em execução de longo prazo em uma VM, as atualizações podem ser aplicadas por meio do Windows como qualquer outro dispositivo, se o firmware virtualizado der suporte a atualizações de Inicialização Segura.

Monitoramento e implantação

Recomendamos que você inicie o monitoramento do dispositivo antes da implantação para garantir que o monitoramento esteja funcionando corretamente e que você tenha uma boa noção do estado da frota com antecedência. As opções de monitoramento são discutidas abaixo.

A Microsoft fornece vários métodos para implantar e monitorar as atualizações de certificado de Inicialização Segura.

A implantação automatizada auxilia

A Microsoft está fornecendo duas assistências de implantação. Essas assistências podem ser úteis para ajudar na implantação dos novos certificados em sua frota. Somente o Assistente de Distribuição de Recursos Controlados requer dados de diagnóstico.

  • Opção para atualizações cumulativas com buckets de confiança: A Microsoft pode incluir automaticamente grupos de dispositivos de alta confiança em atualizações mensais com base nos dados de diagnóstico compartilhados até o momento, para beneficiar sistemas e organizações que não podem compartilhar dados de diagnóstico. Esta etapa não requer que os dados de diagnóstico sejam habilitados.

    • Para organizações e sistemas que podem compartilhar dados de diagnóstico, isso dá à Microsoft a visibilidade e a confiança de que os dispositivos podem implantar os certificados com êxito. Mais informações sobre como habilitar dados de diagnóstico estão disponíveis em: Configure os dados de diagnóstico do Windows em sua organização. Estamos criando "buckets" para cada dispositivo exclusivo (conforme definido por atributos que incluem fabricante, versão da placa-mãe, fabricante do firmware, versão do firmware e pontos de dados adicionais). Para cada bucket, estamos monitorando evidências de sucesso em vários dispositivos. Depois de vermos atualizações bem-sucedidas suficientes e nenhuma falha, consideraremos o bucket de "alta confiança" e incluiremos esses dados nas atualizações cumulativas mensais. Quando as atualizações mensais são aplicadas a um dispositivo em um bucket de alta confiança, o Windows aplicará automaticamente os certificados às variáveis de Inicialização Segura UEFI no firmware.
    • Os buckets de alta confiança incluem dispositivos que estão processando as atualizações corretamente. Naturalmente, nem todos os dispositivos fornecerão dados de diagnóstico e isso pode limitar a confiança da Microsoft na capacidade de um dispositivo de processar as atualizações corretamente.
    • Essa assistência é habilitada por padrão para dispositivos de alta confiança e pode ser desabilitada com uma configuração específica do dispositivo. Mais informações serão compartilhadas em versões futuras do Windows.
  • CFR (Distribuição de Recursos Controlados): Aceite dispositivos para implantação gerenciada pela Microsoft se os dados de diagnóstico estiverem habilitados.

    • O CFR (Distribuição de Recursos Controlados) pode ser usado com dispositivos cliente em frotas de organizações. Isso exige que os dispositivos estejam enviando os dados de diagnóstico necessários para a Microsoft e tenham sinalizado que o dispositivo está optando por permitir CFR no dispositivo. Os detalhes sobre como participar estão descritos abaixo.

    • A Microsoft gerenciará o processo de atualização desses novos certificados em dispositivos Windows onde os dados de diagnóstico estão disponíveis e os dispositivos estão participando da Distribuição de Recursos Controlados (CFR). Embora o CFR possa ajudar na implantação dos novos certificados, as organizações não poderão contar com o CFR para remediar suas frotas – isso exigirá seguir as etapas descritas neste documento na seção sobre Métodos de implantação não cobertos por assistências automatizadas.

    • Limitações: Existem alguns motivos pelos quais o CFR pode não funcionar em seu ambiente. Por exemplo:

      • Não há dados de diagnóstico disponíveis ou os dados de diagnóstico não podem ser usados como parte da implantação do CFR.
      • Os dispositivos não estão em versões cliente compatíveis do Windows 11 e do Windows 10 com atualizações de segurança estendidas (ESU).

Métodos de implantação não cobertos por assistências automatizadas

Escolha o método que se adapta ao seu ambiente. Evite misturar métodos no mesmo dispositivo:

  • Chaves do Registro: controlar a implantação e monitorar os resultados.
    Há várias chaves do Registro disponíveis para controlar o comportamento da implantação dos certificados e para monitorar os resultados. Além disso, há duas chaves para ativar e desativar os auxílios de implantação descritos acima. Para obter mais informações sobre as chaves do Registro, consulte Atualizações de chave do Registro para Inicialização Segura - Dispositivos Windows com atualizações gerenciadas pela TI.

  • Política de Grupo Objetos (GPO): Gerenciar configurações; monitorar via registro e logs de eventos.
    A Microsoft fornecerá suporte para gerenciar as atualizações de Inicialização Segura usando a Política de Grupo em uma atualização futura. Observe que, como a Política de Grupo é para configurações, o monitoramento do status do dispositivo precisará ser feito usando métodos alternativos, incluindo o monitoramento de chaves de registro e entradas de log de eventos.

  • WinCS (Sistema de Configuração do Windows) CLI: Use ferramentas de linha de comando para clientes ingressados no domínio.
    Como alternativa, os administradores de domínio podem usar o Sistema de Configuração do Windows (WinCS) incluído nas atualizações do sistema operacional Windows para implantar as atualizações de Inicialização Segura em clientes e servidores Windows ingressados no domínio. Ele consiste em uma série de utilitários de linha de comando (um módulo executável tradicional e um módulo do PowerShell) para consultar e aplicar configurações de Inicialização Segura localmente a um computador. Para saber mais, confira os seguintes artigos:

  • Microsoft Intune/Gerenciador de Configurações: Implantar scripts do PowerShell. Um Provedor de Serviços de Configuração (CSP) será fornecido em uma atualização futura para permitir a implantação usando o Intune.

Monitorando logs de eventos

Dois novos eventos estão sendo fornecidos para ajudar na implantação das atualizações de certificado de Inicialização Segura. Esses eventos são descritos em detalhes em Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura:

  • ID do evento: 1801
    Esse é um evento de erro que indica que os certificados atualizados não foram aplicados ao dispositivo. Esse evento fornece alguns detalhes específicos do dispositivo, incluindo atributos do dispositivo, que ajudarão a correlacionar quais dispositivos ainda precisam ser atualizados.
  • ID do evento: 1808
    Esse é um evento informativo que indica que o dispositivo tem os novos certificados de Inicialização Segura necessários aplicados ao firmware do dispositivo.

Estratégias de implantação

Para minimizar o risco, implante atualizações de Inicialização Segura em estágios, em vez de todas de uma vez. Comece com um pequeno subconjunto de dispositivos, valide os resultados e depois expanda para grupos adicionais. Sugerimos que você comece com subconjuntos de dispositivos e, à medida que ganhar confiança nessas implantações, adicione novos subconjuntos de dispositivos. Vários fatores podem ser usados para determinar o que entra em um subconjunto, incluindo resultados de teste em dispositivos de amostra e estrutura organizacional, etc.

A decisão sobre quais dispositivos implantar é sua. Algumas estratégias possíveis estão listadas aqui.

  • Grande frota de dispositivos: comece contando com as assistências descritas acima para os dispositivos mais comuns que você gerencia. Paralelamente, concentre-se nos dispositivos menos comuns gerenciados por sua organização. Teste pequenos dispositivos de amostra e, se o teste for bem-sucedido, implante-os no restante dos dispositivos do mesmo tipo. Se o teste produzir problemas, investigue a causa do problema e determine as etapas de correção. Você também pode considerar classes de dispositivos que têm maior valor em sua frota e começar a testar e implantar para garantir que esses dispositivos tenham proteção atualizada com antecedência.
  • Frota pequena, grande variedade: Se a frota que você está gerenciando contiver uma grande variedade de máquinas em que o teste de dispositivos individuais seria proibitivo, considere confiar fortemente nas duas assistências descritas acima, especialmente para dispositivos que provavelmente serão dispositivos comuns no mercado. Primeiro, concentre-se nos dispositivos que são críticos para a operação diária, teste e, em seguida, implante. Continue descendo a lista de dispositivos de alta prioridade, testando e implantando enquanto monitora a frota para confirmar se as assistências estão ajudando com o restante dos dispositivos.

Observações

  • Preste atenção aos dispositivos mais antigos, especialmente aos que não são mais compatíveis com o fabricante. Embora o firmware deva executar as operações de atualização corretamente, alguns podem não funcionar. Nos casos em que o firmware não funciona corretamente e o dispositivo não é mais compatível, considere substituir o dispositivo para garantir a proteção de Inicialização Segura em toda a sua frota.
  • Os novos dispositivos fabricados nos últimos 1 a 2 anos podem já ter os certificados atualizados em vigor, mas podem não ter o gerenciador de inicialização assinado do UEFI CA 2023 do Windows aplicado ao sistema. Aplicar esse gerenciador de inicialização é uma última etapa crítica na implantação de cada dispositivo.
  • Uma vez que um dispositivo tenha sido selecionado para atualizações, pode levar algum tempo até que as atualizações sejam concluídas. Estime 48 horas e uma ou mais reinicializações para que os certificados sejam aplicados.

Perguntas frequentes

Para perguntas frequentes, consulte o artigo Perguntas frequentes sobre Inicialização Segura .

Solução de problemas

Consulte o Documento de solução de problemas para obter mais detalhes.

Recursos adicionais

Dica

Marque esses recursos adicionais.