Expiração do certificado de Inicialização Segura do Windows e atualizações da AC

Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Observação

  • Data de publicação original: 26 de junho de 2025
  • ID da base de dados: 5062710
Log de alterações
Data da Alteração Descrição da alteração
18 de maio de 2026
  • A tabela de certificados na seção "Certificados de Inicialização Segura do Windows expirando em 2026" foi atualizada para incluir o dia do mês.
5 de maio de 2026
  • Adicionada uma nova seção, "Recursos de Suporte ao Cliente da Microsoft".
3 de fevereiro de 2026
  • Adicionada uma nova seção, "O impacto da expiração do certificado de Inicialização Segura".
  • Removidas as notas marcadas como "Importante" acima e abaixo da seção " Chamada para ação".
10 de novembro de 2025 Corrigidos dois erros de digitação em "Novo Certificado":
  • from Microsoft Corporation KEK CA 2023" to "Microsoft Corporation KEK 2K CA 2023"
  • e de "Microsoft Option ROM CA 2023" para "Microsoft Option ROM UEFI CA 2023"

O que é Inicialização Segura?

A Inicialização Segura é um recurso de segurança no firmware baseado em UEFI (Interface Unificada de Firmware Extensível) que ajuda a garantir que apenas software confiável seja executado durante a sequência de inicialização (inicialização) de um dispositivo. Ele funciona verificando a assinatura digital do software de pré-inicialização em relação a um conjunto de certificados digitais confiáveis (também conhecidos como autoridade de certificação ou CA) armazenados no firmware do dispositivo. Como um padrão do setor, a Inicialização Segura UEFI define como o firmware da plataforma gerencia os certificados, autentica o firmware e como o sistema operacional (SO) interage com esse processo. Para obter mais detalhes sobre UEFI e Inicialização Segura, consulte Inicialização Segura.

A Inicialização Segura foi introduzida no Windows 8 para proteger contra a ameaça emergente de malware de pré-inicialização (também conhecido como kit de inicialização) na época. Como parte da inicialização da plataforma, a Inicialização Segura autentica os módulos de firmware antes da execução. Esses módulos incluem drivers de firmware UEFI (como ROMs de opção), carregadores de inicialização e aplicativos. Como a etapa final do processo de Inicialização Segura, o firmware verifica se a Inicialização Segura confia no carregador de inicialização. Em seguida, o firmware passa o controle para o carregador de inicialização, que por sua vez verifica, carrega na memória e inicia o sistema operacional Windows.

A Inicialização Segura define código confiável por meio de uma política de firmware definida durante a fabricação. As alterações nessa política, como adicionar ou revogar certificados, são controladas por uma hierarquia de chaves. Essa hierarquia começa com a PK (Chave de Plataforma), normalmente de propriedade do fabricante do hardware, seguida pela KEK (Chave de Registro de Chave) (também conhecida como Chave de Troca de Chaves), que pode incluir uma KEK da Microsoft e outras KEKs de OEM. O DB (Banco de Dados de Assinatura Permitido) e o DBX (Banco de Dados de Assinatura Não Permitido) determinam qual código pode ser executado no ambiente UEFI antes que o sistema operacional seja iniciado. O DB inclui certificados gerenciados pela Microsoft e pelo OEM, enquanto o DBX é atualizado pela Microsoft com as revogações mais recentes. Qualquer entidade com um KEK pode atualizar o DB e o DBX.

O impacto da expiração do certificado de Inicialização Segura

A Microsoft está atualizando os certificados de Inicialização Segura originalmente emitidos em 2011 para garantir que os dispositivos Windows continuem a verificar o software de inicialização confiável. Esses certificados mais antigos começam a expirar em junho de 2026. Os dispositivos que não receberam os certificados mais recentes de 2023 continuarão a ser iniciados e operar normalmente, e as atualizações padrão do Windows continuarão a ser instaladas. No entanto, esses dispositivos não poderão mais receber novas proteções de segurança para o processo de inicialização inicial, incluindo atualizações para o Gerenciador de inicialização do Windows, bancos de dados de Inicialização Segura, listas de revogação ou mitigações para vulnerabilidades de nível de inicialização recém-descobertas.

Com o tempo, isso limita a proteção do dispositivo contra ameaças emergentes e pode afetar cenários que dependem da confiança da Inicialização Segura, como a proteção do BitLocker ou carregadores de inicialização de terceiros. A maioria dos dispositivos Windows receberá os certificados atualizados automaticamente, e muitos OEMs fornecem atualizações de firmware quando necessário. Manter seu dispositivo atualizado com essas atualizações ajuda a garantir que ele possa continuar recebendo o conjunto completo de proteções de segurança que a Inicialização Segura foi projetada para fornecer.

Certificados de Inicialização Segura do Windows expirando em 2026

Desde que o Windows introduziu o suporte à Inicialização Segura, todos os dispositivos baseados em Windows transportam o mesmo conjunto de certificados da Microsoft no KEK e no BD. Esses certificados originais estão próximos da data de expiração, e seu dispositivo será afetado se tiver qualquer uma das versões de certificado listadas. Para continuar executando o Windows e recebendo atualizações regulares para sua configuração de Inicialização Segura, você precisará atualizar esses certificados.

Terminologia

  • KEK: Chave de Registro de Chave
  • CA: Autoridade de Certificação
  • Banco de dados: Banco de Dados de Assinatura de Inicialização Segura
  • DBX: Banco de dados de assinatura revogado da inicialização segura
Certificado expirando Data de validade Novo Certificado Localização de armazenamento Finalidade
Microsoft Corporation KEK CA 2011 24 de junho de 2026 Microsoft Corporation KEK 2K CA 2023 Armazenado em KEK Assina atualizações para DB e DBX.
PCA 2011 de Produção do Microsoft Windows 19 de outubro de 2026 Windows UEFI CA 2023 Armazenado no BD Usado para assinar o carregador de inicialização do Windows.
Microsoft UEFI CA 2011*** 27 de junho de 2026 Microsoft UEFI CA 2023 Armazenado no BD Assina carregadores de inicialização de terceiros e aplicativos EFI.
Microsoft UEFI CA 2011*** 27 de junho de 2026 Microsoft Option ROM UEFI CA 2023 Armazenado no BD Assina ROMs de opção de terceiros

Observação

*Durante a renovação do certificado UEFI CA 2011 da Microsoft Corporation, dois certificados separam a assinatura do carregador de inicialização da assinatura da ROM de opção. Isso permite um melhor controle sobre a confiança do sistema. Por exemplo, sistemas que precisam confiar em ROMs de opção podem adicionar a Microsoft Option ROM UEFI CA 2023 sem adicionar confiança para carregadores de inicialização de terceiros.

A Microsoft emitiu certificados atualizados para garantir a continuidade da proteção de Inicialização Segura em dispositivos Windows. A Microsoft gerenciará o processo de atualização desses novos certificados em uma parte significativa dos dispositivos Windows. Além disso, ofereceremos diretrizes detalhadas para organizações que gerenciam suas próprias atualizações de dispositivos.

Chamada para ação

Talvez seja necessário tomar medidas para garantir que seu dispositivo Windows permaneça seguro quando os certificados expirarem em 2026. Tanto o UEFI Secure Boot DB quanto o KEK precisam ser atualizados com as novas versões de certificado 2023 correspondentes. Para obter mais informações sobre os novos certificados, consulte Diretrizes para Criação e Gerenciamento de Chaves de Inicialização Segura do Windows.

Suas ações variam de acordo com o tipo de dispositivo Windows que você possui. Selecione no menu à esquerda o tipo de dispositivo e a ação específica que você precisa executar.

Recursos de Suporte ao Cliente da Microsoft

Para contatar o Suporte da Microsoft, confira:

  • Suporte da Microsoft e clique em Windows.

  • Suporte para empresas e clique em Criar para criar uma nova solicitação de suporte.

    Depois de criar a nova solicitação de suporte, ela deve ter a seguinte aparência:

    Criar uma nova solicitação de suporte