Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data original publicada: 26 de junho de 2025

ID do KB: 5062713

Este artigo tem diretrizes para:

Organizações (empresas, pequenas empresas e educação) com dispositivos Windows gerenciados por TI e atualizações.

Observação: se você é um indivíduo que possui um dispositivo Windows pessoal, acesse o artigo Dispositivos Windows para usuários domésticos, empresas e escolas com atualizações gerenciadas pela Microsoft.

Alterar Data

Descrição da alteração

5 de maio de 2026

30 de março de 2026

  • Resolvido o problema conhecido, "Atualizações de certificado de Inicialização Segura podem falhar com a ID de Evento 1795 em máquinas virtuais do Hyper-V"

24 de março de 2026

  • Atualizado o problema conhecido, "Atualizações de certificado de Inicialização Segura podem falhar com a ID de Evento 1795 em máquinas virtuais do Hyper-V"

16 de março de 2026

  • Removeu a seção "Dados de confiança de exemplo" em "Script de Coleta de Dados de Inventário de Inicialização Segura de Exemplo", pois ela está desatualizada.

3 de março de 2026

  • Reformatou a saída de exemplo na seção "Preparação" para que ela permaneça dentro da caixa.

24 de fevereiro de 2026

  • Atualizou o conteúdo de "Script de Coleta de Dados de Inventário de Inicialização Segura de Exemplo" na seção "Preparação". 

  • Adicionou uma nova seção "Saída de exemplo" na seção "Preparação".

23 de fevereiro de 2026

  • Atualizou o conteúdo de "Script de Coleta de Dados de Inventário de Inicialização Segura de Exemplo" na seção "Preparação".

13 de fevereiro de 2026

  • Os itens "Exemplo de dados de confiança" foram adicionados à seção "Preparação". 

  • Removeu o "script de coleção para eventos pendentes 1801 e 1808" da seção "Preparação", pois ele não é mais necessário. 

3 de fevereiro de 2026

  • Problemas comuns movidos e reformatados na seção Solução de problemas.

  • Adicionado um novo problema comum: "Atualizações de certificado de Inicialização Segura podem falhar com a ID de Evento 1795 em máquinas virtuais do Hyper-V".

26 de janeiro de 2026

  • Atualizou o texto em "Assistência de Implantação Automática" de "Ambas as assistências exigem dados de diagnóstico" para "Somente a assistência de distribuição de recursos controlados requer dados de diagnóstico.

11 de novembro de 2025

Corrigido dois erros de digitação em "Suporte à implantação do certificado de Inicialização Segura".

  • 0x0800 - O nome do certificado foi alterado de "Microsoft UEFI CA 2023" para "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 – alterou "MICROSOFT Option ROM CA 2023" para "Microsoft UEFI CA 2023".

10 de novembro de 2025

  • Corrigido dois erros de digitação em "Novo Certificado": de "Microsoft Corporation KEK CA 2023" a "Microsoft Corporation KEK 2K CA 2023" e de "Microsoft Option ROM CA 2023" a "Microsoft Option ROM UEFI CA 2023".

  • Novos scripts do PowerShell foram adicionados sob os cabeçalhos "Verificando a inicialização segura status em toda a frota: a Inicialização Segura está habilitada? " e "Preparação".

Neste artigo:

Visão geral

Este artigo destina-se a organizações com profissionais de TI dedicados que gerenciam ativamente atualizações em toda a frota de dispositivos. A maior parte deste artigo se concentrará nas atividades necessárias para que o departamento de TI de uma organização tenha êxito na implantação dos novos certificados de Inicialização Segura. Essas atividades incluem testar firmware, monitorar atualizações de dispositivo, iniciar implantação e diagnosticar problemas à medida que surgem. Vários métodos de implantação e monitoramento são apresentados. Além dessas atividades principais, oferecemos vários auxiliares de implantação, incluindo a opção de optar por dispositivos cliente para participação em um CFR (Distribuição de Recursos Controlados) especificamente para implantação de certificado.

Guia estratégico de implantação para profissionais de TI 

Planeje e execute atualizações de certificado de Inicialização Segura em toda a frota de dispositivos por meio da preparação, monitoramento, implantação e correção.

Verificando status de inicialização segura em toda a frota: a Inicialização Segura está habilitada? 

A maioria dos dispositivos fabricados desde 2012 tem suporte para Inicialização Segura e são enviados com a Inicialização Segura habilitada. Para verificar se um dispositivo tem a Inicialização Segura habilitada, faça um dos seguintes procedimentos: 

  • Método GUI: Acesse Iniciarconfigurações de > > privacidade & > segurançaSegurança do Windows >segurança do dispositivo. Em Segurança do dispositivo, a seção Inicialização segura deve indicar que a Inicialização Segura está ativada.

  • Método Linha de Comando: Em um prompt de comando elevado no PowerShell, digite Confirm-SecureBootUEFI e pressione Enter. O comando deve retornar True indicando que a Inicialização Segura está ativada.

Em implantações em larga escala para uma frota de dispositivos, o software de gerenciamento que está sendo usado por profissionais de TI precisará fornecer uma marcar para habilitação de Inicialização Segura. 

Por exemplo, o método para marcar o estado de Inicialização Segura em dispositivos gerenciados pela Microsoft Intune é criar e implantar um script de conformidade personalizado Intune. Intune configurações de conformidade são abordadas em Usar configurações de conformidade personalizadas para dispositivos Linux e Windows com Microsoft Intune.  

Exemplo de script do Powershell para marcar se a Inicialização Segura estiver habilitada:  

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Se a Inicialização Segura não estiver habilitada, você poderá ignorar as etapas de atualização abaixo, pois elas não são aplicáveis.

Como as atualizações são implantadas

Há várias maneiras de direcionar dispositivos para as atualizações de certificado de Inicialização Segura. Os detalhes da implantação, incluindo configurações e eventos, serão discutidos posteriormente neste documento. Quando você direciona um dispositivo para atualizações, uma configuração é feita no dispositivo para indicar que o dispositivo deve iniciar o processo de aplicação dos novos certificados. Uma tarefa agendada é executada no dispositivo a cada 12 horas e detecta que o dispositivo foi direcionado para as atualizações. Um tópico do que a tarefa faz é o seguinte:

  1. O WINDOWS UEFI CA 2023 é aplicado ao DB.

  2. Se o dispositivo tiver a CA da UEFI da Microsoft Corporation 2011 no DB, a tarefa aplicará a CA 2023 da Rom UEFI da Microsoft Option e a CA DO MICROSOFT UEFI 2023 ao DB.

  3. Em seguida, a tarefa adiciona a CA 2K kek 2K da Microsoft Corporation 2023.

  4. Por fim, a tarefa agendada atualiza o gerenciador de inicialização do Windows para aquele assinado pela CA do WINDOWS UEFI 2023. O Windows detectará que uma reinicialização é necessária antes que o gerenciador de inicialização possa ser aplicado. A atualização do gerenciador de inicialização será adiada até que a reinicialização ocorra naturalmente (como quando as atualizações mensais são aplicadas) e, em seguida, o Windows tentará novamente aplicar a atualização do gerenciador de inicialização.

Cada uma das etapas acima deve ser concluída com êxito antes que a tarefa agendada se mova para a próxima etapa. Durante esse processo, os logs de eventos e outros status estarão disponíveis para ajudar no monitoramento da implantação. Mais detalhes sobre monitoramento e logs de eventos são fornecidos abaixo.  

Atualizar os Certificados de Inicialização Segura permite uma atualização futura para o Gerenciador de Inicialização 2023, que é mais seguro. Atualizações específicas no Boot Manager estarão em versões futuras.

Etapas de implantação 

  • Preparação: inventário e dispositivos de teste.

  • Considerações de firmware

  • Monitoramento: verifique as obras de monitoramento e a linha de base de sua frota.

  • Implantação: dispositivos de destino para atualizações, começando com pequenos subconjuntos e expandindo com base em testes bem-sucedidos.

  • Correção: investigue e resolve quaisquer problemas usando logs e suporte ao fornecedor.

Preparação 

Hardware de inventário e firmware. Crie uma amostra representativa de dispositivos com base no Fabricante do Sistema, Modelo do Sistema, Versão/Data do BIOS, versão do Produto de BaseBoard etc., e teste atualizações nesses dispositivos antes da implantação ampla.  Esses parâmetros geralmente estão disponíveis nas informações do sistema (MSINFO32). Use os comandos do PowerShell de exemplo incluídos para marcar para status de atualização de Inicialização Segura e para dispositivos de inventário em toda a sua organização.

Observações: 

  • Esses comandos se aplicam se o estado de Inicialização Segura estiver habilitado.

  • Muitos desses comandos precisam de privilégios de administrador para funcionar.

Script de coleta de dados de inventário de inicialização segura de exemplo

Copie e cole este script de exemplo e modifique conforme necessário para seu ambiente: o script de Coleta de Dados de Inventário de Inicialização Segura de Exemplo.

Amostra de saída:

{"UEFICA2023Status":"Atualizado","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface", "OEMModelNumber": "Surface Laptop 4", "FirmwareVersion":32.101.143","FirmwareReleaseDate":"03/11/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z", "LatestEventId": 1808"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Opção ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4", "SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready", "WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Níveis de confiança de inicialização seguros

Nível de confiança

Significado

Ação Necessária

Alta Confiança

A Microsoft validou que essa classe de dispositivo é segura para atualizações

Seguro para implantar atualizações de certificado

Em Observação – Mais dados necessários

A Microsoft ainda está coletando dados de diagnóstico de distribuição de inicialização segura sobre esses dispositivos

Aguarde a classificação da Microsoft

Sem dados observados – ação necessária

A classe de dispositivo não é conhecida pela Microsoft

A empresa deve testar e planejar a distribuição

Temporariamente pausado

Problemas de compatibilidade conhecidos

Verifique se há atualização do BIOS do OEM; Aguarde o resolve da Microsoft

Sem suporte – limitação conhecida

Limitações de plataforma ou hardware

Documento como exceção

A primeira etapa se a Inicialização Segura estiver habilitada é marcar se houver eventos pendentes que foram atualizados recentemente ou no processo de atualização dos certificados de Inicialização Segura. De interesse específico são os eventos mais recentes em 1801 e 1808. Esses eventos são descritos em detalhes em eventos de atualização de variável DB e DBX de Inicialização Segura. Também marcar seção Monitoramento e implantação de como os eventos podem mostrar o estado das atualizações pendentes.  

A próxima etapa é fazer inventário de dispositivos em toda a sua organização. Colete os seguintes detalhes com comandos do PowerShell para criar um exemplo representativo: 

Identificadores básicos (2 valores)

      1. HostName – $env: COMPUTERNAME 

      2. CollectionTime – Get-Date 

Registro: Chave Principal de Inicialização Segura (3 valores) 

     3. SecureBootEnabled - Confirm-SecureBootUEFI cmdlet ou HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registro: Chave de manutenção (3 valores) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registro: Atributos de dispositivo (7 valores) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Logs de Eventos: Log do Sistema (5 valores) 

     16. LatestEventId – Evento de Inicialização Segura mais recente 

     17. BucketID – Extraído do evento 1801/1808 

     18. Confiança – Extraído do evento 1801/1808 

     19. Evento1801Count – Contagem de eventos 

     20. Event1808Count – Contagem de eventos 

Consultas WMI/CIM (4 valores) 

     21. OSVersion – Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime – Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer – Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct – Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Fabricante  

     26. (Get-CIMInstance Win32_ComputerSystem). Modelo  

    27. (Get-CIMInstance Win32_BIOS). Descrição + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Produto  

Considerações de firmware

A implantação dos novos certificados de Inicialização Segura em sua frota de dispositivos exige que o firmware do dispositivo tenha um papel na conclusão da atualização. Embora a Microsoft espere que a maioria dos firmwares de dispositivo seja executada conforme o esperado, é necessário um teste cuidadoso antes de implantar os novos certificados.

Examine seu inventário de hardware e crie uma amostra pequena e representativa de dispositivos com base nos seguintes critérios exclusivos, como: 

  • Manufacturer

  • Número do modelo

  • Versão do firmware

  • Versão do OEM Baseboard, etc.

Antes de implantar amplamente em dispositivos em sua frota, recomendamos testar as atualizações de certificado em dispositivos de exemplo representativos (conforme definido por fatores como fabricante, modelo, versão de firmware) para garantir que as atualizações sejam processadas com êxito. As diretrizes recomendadas sobre o número de dispositivos de exemplo a serem testados para cada categoria exclusiva são 4 ou mais.

Isso ajudará a criar confiança em seu processo de implantação e ajudará a evitar impactos inesperados em sua frota mais ampla. 

Em alguns casos, uma atualização de firmware pode ser necessária para atualizar com êxito os certificados de Inicialização Segura. Nesses casos, recomendamos verificar com o OEM do dispositivo para ver se o firmware atualizado está disponível.

Windows em ambientes virtualizados

Para o Windows em execução em um ambiente virtual, há dois métodos para adicionar os novos certificados às variáveis de firmware De Inicialização Segura:  

  • O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isso funcionaria para novos dispositivos virtualizados.

  • Para o Windows que executa a longo prazo em uma VM, as atualizações podem ser aplicadas por meio do Windows como qualquer outro dispositivo, se o firmware virtualizado for compatível com atualizações de Inicialização Segura.

Monitoramento e implantação 

Recomendamos que você inicie o monitoramento do dispositivo antes da implantação para garantir que o monitoramento esteja funcionando corretamente e que você tenha um bom senso para o estado da frota com antecedência. As opções de monitoramento são discutidas abaixo. 

A Microsoft fornece vários métodos para implantar e monitorar as atualizações de certificado de Inicialização Segura.

Assistências de implantação automatizada 

A Microsoft está fornecendo duas assistências de implantação. Essas assistências podem ser úteis para ajudar na implantação dos novos certificados para sua frota. Somente a assistência de distribuição de recursos controlados requer dados de diagnóstico.

  • Opção para atualizações cumulativas com buckets de confiança: A Microsoft pode incluir automaticamente grupos de dispositivos de alta confiança em atualizações mensais com base nos dados de diagnóstico partilhados até à data, para beneficiar sistemas e organizações que não podem partilhar dados de diagnóstico. Este passo não requer a ativação dos dados de diagnóstico.

    • Para organizações e sistemas que podem partilhar dados de diagnóstico, dá à Microsoft a visibilidade e a confiança de que os dispositivos podem implementar os certificados com êxito. Estão disponíveis mais informações sobre como ativar os dados de diagnóstico em: Configurar dados de diagnóstico do Windows na sua organização. Estamos a criar "registos" para cada dispositivo exclusivo (conforme definido por atributos que incluem fabricante, versão da placa principal, fabricante de firmware, versão de firmware e pontos de dados adicionais). Para cada registo, estamos a monitorizar as provas de sucesso em vários dispositivos. Depois de vermos atualizações com êxito suficientes e sem falhas, consideraremos o registo de "alta confiança" e incluiremos esses dados nas atualizações cumulativas mensais. Quando as atualizações mensais são aplicadas a um dispositivo num registo de alta confiança, o Windows aplicará automaticamente os certificados às variáveis de Arranque Seguro UEFI no firmware.

    • Os registos de alta confiança incluem dispositivos que estão a processar as atualizações corretamente. Naturalmente, nem todos os dispositivos fornecerão dados de diagnóstico, o que pode limitar a confiança da Microsoft na capacidade de um dispositivo processar as atualizações corretamente.

    • Este auxiliar está ativado por predefinição para dispositivos de alta confiança e pode ser desativado com uma definição específica do dispositivo. Mais informações serão partilhadas em futuras versões do Windows.

  • Implementação de Funcionalidades Controladas (CFR):  Optar ativamente por participar em dispositivos para a implementação gerida pela Microsoft se os dados de diagnóstico estiverem ativados.

    • A Implementação controlada de funcionalidades (CFR) pode ser utilizada com dispositivos cliente em frotas organizacionais. Isto requer que os dispositivos estejam a enviar dados de diagnóstico necessários para a Microsoft e tenham sinalizado que o dispositivo está a optar por permitir CFR no dispositivo. Os detalhes sobre como optar ativamente por participar são descritos abaixo.

    • A Microsoft irá gerir o processo de atualização destes novos certificados em dispositivos Windows onde os dados de diagnóstico estão disponíveis e os dispositivos estão a participar na Implementação controlada de funcionalidades (CFR). Embora o CFR possa ajudar na implementação dos novos certificados, as organizações não poderão confiar no CFR para remediar as respetivas frotas– será necessário seguir os passos descritos neste documento na secção sobre Métodos de implementação não abrangidos por assistências automatizadas.

    • Limitações: Existem algumas razões pelas quais o CFR pode não funcionar no seu ambiente. Por exemplo:

      • Não existem dados de diagnóstico disponíveis ou os dados de diagnóstico não são utilizáveis como parte da implementação do CFR.

      • Os dispositivos não estão em versões de cliente suportadas do Windows 11 e Windows 10 com atualizações de segurança alargadas (ESU).

Métodos de implementação não abrangidos por assistências automatizadas

Escolha o método que se adequa ao seu ambiente. Evite misturar métodos no mesmo dispositivo: 

  • Chaves de registo: controle a implementação e monitorize os resultados.Existem várias chaves de registo disponíveis para controlar o comportamento da implementação dos certificados e para monitorizar os resultados. Além disso, existem duas chaves para optar ativamente por participar e sair dos auxiliares de implementação descritos acima. Para obter mais informações sobre as chaves de registo, veja Registry Key Atualizações for Secure Boot - Dispositivos Windows com atualizações geridas por TI.

  • Política de Grupo Objects (GPO): Gerir definições; monitorizar através do registo e dos registos de eventos.A Microsoft fornecerá suporte para gerir as atualizações de Arranque Seguro com Política de Grupo numa atualização futura. Tenha em atenção que, uma vez que Política de Grupo se destina a definições, a monitorização do dispositivo status terá de ser feita com métodos alternativos, incluindo a monitorização de chaves de registo e entradas de registo de eventos.

  • CLI do WinCS (Sistema de Configuração do Windows): utilize ferramentas de linha de comandos para clientes associados a um domínio.Em alternativa, os administradores de domínio podem utilizar o Sistema de Configuração do Windows (WinCS) incluído nas atualizações do SO Windows para implementar as atualizações de Arranque Seguro em clientes e servidores Windows associados a um domínio. Consiste numa série de utilitários de linha de comandos (um executável tradicional e um módulo do PowerShell) para consultar e aplicar configurações de Arranque Seguro localmente a um computador. Para obter mais informações, consulte os seguintes artigos:

  • Microsoft Intune/Configuration Manager: Implementar scripts do PowerShell. Um Fornecedor de Serviços de Configuração (CSP) será fornecido numa atualização futura para permitir a implementação com Intune.

Monitorizar Registos de Eventos

Estão a ser fornecidos dois novos eventos para ajudar na implementação das atualizações do certificado de Arranque Seguro. Estes eventos são descritos detalhadamente em eventos de atualização de variáveis DBX e DBX de Arranque Seguro

  • ID do Evento: 1801 Este evento é um evento de erro que indica que os certificados atualizados não foram aplicados ao dispositivo. Este evento fornece alguns detalhes específicos do dispositivo, incluindo os atributos do dispositivo, que ajudarão a correlacionar os dispositivos que ainda precisam de ser atualizados.

  • ID do Evento: 1808 Este evento é um evento informativo que indica que o dispositivo tem os novos certificados de Arranque Seguro necessários aplicados ao firmware do dispositivo.

Estratégias de implementação 

Para minimizar o risco, implemente atualizações de Arranque Seguro por fases em vez de todas ao mesmo tempo. Comece com um pequeno subconjunto de dispositivos, valide os resultados e, em seguida, expanda para grupos adicionais. Sugerimos que comece com subconjunto de dispositivos e, à medida que ganha confiança nessas implementações, adicione subconjuntos adicionais de dispositivos. Vários fatores podem ser utilizados para determinar o que vai para um subconjunto, incluindo resultados de teste em dispositivos de exemplo e estrutura organizacional, etc. 

A decisão sobre os dispositivos que implementa cabe-lhe a si. Algumas estratégias possíveis estão listadas aqui. 

  • Grande frota de dispositivos: comece por depender das assistências descritas acima para os dispositivos mais comuns que gere. Em paralelo, concentre-se nos dispositivos menos comuns geridos pela sua organização. Teste pequenos dispositivos de exemplo e, se o teste for bem-sucedido, implemente nos restantes dispositivos do mesmo tipo. Se o teste produzir problemas, investigue a causa do problema e determine os passos de remediação. Também pode considerar classes de dispositivos que têm um valor mais elevado na sua frota e começar a testar e implementar para garantir que esses dispositivos têm a proteção atualizada em vigor mais cedo.

  • Frota pequena, grande variedade: Se a frota que está a gerir contiver uma grande variedade de máquinas onde testar dispositivos individuais seria proibitivo, considere confiar fortemente nas duas assistências descritas acima, especialmente para dispositivos que provavelmente serão dispositivos comuns no mercado. Inicialmente, concentre-se em dispositivos críticos para a operação diária, teste e, em seguida, implemente. Continue a mover para baixo a lista de dispositivos de alta prioridade, testando e implementando enquanto monitoriza a frota para confirmar que as assistências estão a ajudar com o resto dos dispositivos.

Observações 

  • Preste atenção aos dispositivos mais antigos, especialmente aos dispositivos que já não são suportados pelo fabricante. Embora o firmware deva efetuar as operações de atualização corretamente, alguns poderão não. Nos casos em que o firmware não funciona corretamente e o dispositivo já não é suportado, considere substituir o dispositivo para garantir a proteção de Arranque Seguro em toda a sua frota.

  • Os novos dispositivos fabricados nos últimos 1 a 2 anos podem já ter os certificados atualizados implementados, mas podem não ter o gestor de arranque assinado do UEFI CA 2023 do Windows aplicado ao sistema. A aplicação deste gestor de arranque é um último passo crítico na implementação para cada dispositivo.

  • Depois de um dispositivo ter sido selecionado para atualizações, poderá demorar algum tempo até que as atualizações estejam concluídas. Calcule 48 horas e um ou mais reinícios para que os certificados se apliquem.

Perguntas frequentes

Para perguntas mais frequentes, veja o artigo FAQ sobre Arranque Seguro .

Solução de problemas

Veja o documento Resolução de problemas para obter mais detalhes.

Recursos adicionais

Dica: Adicione estes recursos adicionais aos marcadores.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade