Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data de publicação original: 15 de setembro de 2025

ID do KB: 5068008

Alterar Data

Descrição da alteração

12 de janeiro de 2026

Comportamento esclarecido quando os certificados expiram para o 4º trimestre.

Perguntas frequentes sobre inicialização segura geral

É melhor atualizar certificados de Inicialização Segura bem antes da data de validade de junho de 2026. 

Se o dispositivo for gerenciado pela Microsoft e compartilhar dados de diagnóstico com a Microsoft, a Microsoft tentará atualizar os certificados de Inicialização Segura automaticamente na maioria dos casos. Embora a Microsoft faça o seu melhor para atualizar a Inicialização Segura, haverá algumas situações em que a atualização não tem garantia de se aplicar e precisará da ação do Cliente. O cliente é, em última análise, responsável por atualizar os Certificados de Inicialização Segura. 

Algumas situações de exemplo em que dispositivos gerenciados pela Microsoft com dados de diagnóstico compartilhados não são atualizados são as seguintes: 

  • As atualizações de Inicialização Segura da Microsoft funcionam apenas em algumas versões em suporte do Windows.

  • Os dados de diagnóstico habilitados em seu dispositivo podem ser bloqueados por um firewall em sua organização e não chegar à Microsoft.

  • Pode haver algo errado com o Firmware no dispositivo.

Observação O que significa ser "Gerenciado pela Microsoft"? O sistema compartilha dados de diagnóstico e é gerenciado pelo Microsoft Cloud ou Intune. 

Se o seu dispositivo não estiver compartilhando dados de diagnóstico com a Microsoft e for gerenciado pelo departamento de TI da sua organização ou pelo cliente, o departamento de TI poderá atualizar os sistemas seguindo as diretrizes da Microsoft nas atualizações de certificado de Inicialização Segura do Windows e de CA.

Se o computador for gerenciado pela Microsoft, os certificados de Inicialização Segura serão atualizados por meio de Windows Update.  

Se o computador for gerenciado por sua organização ou administrador de TI empresarial, o departamento de TI terá métodos para atualizar o sistema usando diretrizes em atualizações de certificado de Inicialização Segura do Windows e atualizações de AC

Windows 10 Suporte termina em 14 de outubro de 2025. Para obter mais informações, consulte Windows 10 o suporte termina em 14 de outubro de 2025

Para continuar a receber Atualizações de segurança após essa data, os clientes que permanecem no Windows 10 podem se inscrever para: 

Observação

  • Windows 10 Enterprise LTSC está disponível para compra como um SKU autônomo ou como parte de uma assinatura do Windows Enterprise E3.

  • O WINDOWS IoT Enterprise LTSC pode ser comprado diretamente de um OEM ou por meio de uma Licença de Fornecedor como um SKU autônomo.

O dispositivo continuará a inicializar e funcionar normalmente. No entanto, ele não receberá mais correções de segurança futuras para atualizações do gerenciador de inicialização do Windows ou Inicialização Segura, comprometendo a segurança do dispositivo.

Certificados de Inicialização Segura permitem que o firmware verifique se os componentes críticos, como gerenciador de inicialização, ROMs de opção (drivers de firmware) e outros softwares baseados em firmware, são confiáveis e não foram adulterados. A Microsoft usa esses certificados para assinar gerenciador de inicialização e outros componentes que devem ser confiáveis, bem como atualizações de Inicialização Segura. Quando os certificados mais antigos expiram, eles não podem mais ser usados para assinar novos componentes ou atualizações.

Dispositivos com Inicialização Segura desabilitados não receberão os novos certificados de Inicialização Segura no firmware. Como resultado, eles permanecerão vulneráveis ao malware no nível da inicialização, como kits de inicialização, porque as proteções de Inicialização Segura não são impostas. 

Para dispositivos qualificados, como aqueles que recebem atualizações cumulativas por meio de implantação baseada em confiança ou registrados no CFR (Control Feature Rollout) com dados de diagnóstico habilitados, a Microsoft tentará atualizar todos os certificados aplicáveis. No entanto, essas atualizações são fornecidas como uma assistência, não uma garantia. Os administradores de TI permanecem responsáveis por garantir que toda a frota seja atualizada, usando o CFR automatizado da Microsoft e outros métodos de implantação documentados.

Os certificados foram incluídos na LCU (atualização cumulativa) de 13 de maio de 2025 e posterior. No entanto, elas não são aplicadas automaticamente são necessárias etapas adicionais. Para obter diretrizes de implantação, consulte https://aka.ms/getsecureboot.

Perguntas frequentes sobre inicialização segura de sistemas gerenciados de ti/cliente

Há dois caminhos possíveis: 

  • Se o computador for gerenciado pela Microsoft com dados de diagnóstico compartilhados e o sistema operacional tiver suporte, a Microsoft tentará atualizar.

  • Se o dispositivo for gerenciado pelo cliente ou gerenciado por um administrador de TI, o departamento de TI poderá aplicar as atualizações no conjunto validado de computadores que podem receber atualizações com segurança de acordo com as diretrizes da Microsoft nas atualizações do certificado de Inicialização Segura do Windows e das atualizações de AC.

Espera-se que essas etapas resolvam a maioria dos clientes sem precisar de uma atualização do Firmware de OEMs. No entanto, haverá certos casos em que as atualizações não se aplicam devido a problemas conhecidos ou desconhecidos no firmware do dispositivo. Nesses casos, siga as diretrizes do OEM sobre atualizações de firmware. 

Observação O processo acima aplica as Variáveis Ativas de Inicialização Segura por meio do sistema operacional. Os valores padrão firmware de inicialização segura são mantidos no Firmware que é lançado pelo OEM. A orientação é não alterar ou atualizar a configuração de Inicialização Segura, a menos que o OEM tenha lançado uma atualização para alterar os padrões do Firmware para os novos certificados.

 Se os certificados expirarem, a proteção contra inicialização segura será degradada. Se o sistema atender aos requisitos de um sistema operacional mais recente, como Windows 11, será possível atualizar para uma versão mais recente do sistema operacional do Windows 11.  

Se a Inicialização Segura não estiver habilitada em seus Windows 10 dispositivos LTSC, elas não serão incluídas na distribuição atual para os novos certificados de Inicialização Segura. Ao iniciar a atualização para Windows 11 LTSC, você precisará seguir etapas de migração específicas relevantes nesse momento para garantir que os novos certificados de 2023 sejam incluídos.

Somente as versões do sistema operacional Windows com suporte receberão os certificados. 

Para o Windows em execução em um ambiente virtual, há dois métodos para adicionar os novos certificados às variáveis de firmware De Inicialização Segura: 

  • O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isso funcionaria para novos dispositivos virtualizados.

  • Para o Windows que executa a longo prazo em uma VM, as atualizações podem ser aplicadas por meio do Windows como qualquer outro dispositivo, se o firmware virtualizado for compatível com atualizações de Inicialização Segura.

Esses ambientes gerenciados pelo cliente/TI geralmente não têm dados de diagnóstico suficientes para que a Microsoft implemente novos recursos com confiança e segurança. Além disso, os departamentos de TI normalmente preferem manter controle total sobre o tempo e o conteúdo da atualização para garantir a conformidade, a estabilidade e a compatibilidade com ferramentas internas e fluxos de trabalho. Muitos dispositivos empresariais também operam em ambientes confidenciais ou restritos em que o acesso ou o gerenciamento externo, implícito pelo CFR, podem ser indesejáveis ou proibidos.

Se o Windows já estiver usando o gerenciador de inicialização assinado em 2023, mas o firmware for redefinido para padrões que não incluem o certificado CA 2023 do Windows UEFI, a Inicialização Segura bloqueará o processo de inicialização. 

Para corrigir isso, você precisa reaplicar o certificado 2023 ao DB do firmware usando o aplicativo de recuperação. Isso é feito criando um USB de recuperação e inicializando o dispositivo afetado desse USB para restaurar o certificado ausente. 

Para obter instruções passo a passo, confira as diretrizes oficiais da Microsoft para atualizar a mídia de instalação do Windows

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade