Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data original publicada: 14 de outubro de 2025

ID do KB: 5068202

Este artigo tem diretrizes para:  

  • Organizações com dispositivos Windows gerenciados por TI e atualizações.

Disponibilidade desse suporte:  

As chaves de registro AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut e MicrosoftUpdateManagedOptIn são incluídas nas atualizações lançadas nas seguintes datas:

  • 14 de outubro de 2025: As versões com suporte incluem Windows 10, versão 22H2 e versões mais recentes (incluindo 21H2 LTSC), todas as versões com suporte de Windows 11, bem como Windows Server 2022 e posteriores.

  • 11 de novembro de 2025: Para versões do Windows ainda em suporte.

Data da alteração

Alterar descrição

4 de novembro de 2025

  • Adicionamos mais uma chave de registro à página.

  • Corrigido uma instrução de "Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhar devido a um problema de firmware, essa chave do registro poderá mostrar um código de erro que pode ser mapeado para um log de eventos ou ID de erro documentada" para dizer "Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhar devido a um problema de firmware, essa chave do registro pode mostrar um código de erro do firmware. Quando essa chave existe e não é zero, recomendamos que você procure eventos de Inicialização Segura nos Logs de Eventos do Windows – consulte (link) para obter mais detalhes".

  • Adicionados dois caminhos separados para Chaves do Registro abaixo

11 de novembro de 2025

  • Atualizou o parágrafo em Teste de dispositivo usando chaves de registro com informações adicionais: "A chave do registro deve mudar rapidamente para 0x4100. A reinicialização e a execução da tarefa novamente farão com que o gerenciador de inicialização seja atualizado e os AvailableUpdates se tornem 0x0100. Consulte Solução de problemas para obter mais detalhes sobre como o AvailableUpdates se comporta."

  • Atualize o texto na caixa cinza em Teste de dispositivo usando chaves de registro para ter dois comandos adicionais do PowerShell

  • Em chaves de registro, o Valor do Registro -MicrosoftUpdateManagedOptIn foi alterado de "1 – Opt in" para "1 ou qualquer valor não zero – Opt in"

16 de novembro de 2025

Atualizou o conteúdo em "Teste de dispositivo usando Chaves do Registro". O valor de atualização disponível foi alterado de "0x0100" para "0x4000".

Neste artigo

Introdução

Este documento descreve o suporte para implantar, gerenciar e monitorar as atualizações de certificado de Inicialização Segura usando chaves de registro do Windows. As chaves consistem no seguinte: 

  • Uma chave para disparar a implantação dos certificados e do gerenciador de inicialização no dispositivo.

  • Duas chaves para monitoramento status da implantação.

  • Duas chaves para gerenciar as configurações de opt-in/opt out para as duas assistências de implantação disponíveis.

Essas chaves de registro podem ser definidas manualmente no dispositivo ou remotamente por meio do software de gerenciamento de frota disponível. Outros métodos de implantação, como Política de Grupo, Microsoft Intune e WinCS são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações gerenciadas por TI.  

Chaves de registro de inicialização segura

Nesta seção

Chaves do Registro

Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do registro: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

A tabela a seguir descreve cada um dos valores do registro:

Valor do Registro

Tipo

Descrição e uso

AvailableUpdates

REG_DWORD (bitmask)

Atualizar sinalizadores de gatilho.

Controla quais ações de atualização de Inicialização Segura serão executadas no dispositivo. Definir o campo bit apropriado aqui inicia a implantação de novos certificados de Inicialização Segura e atualizações relacionadas. Para implantação empresarial, isso deve ser definido como 0x5944 (hex) – um valor que habilita todas as atualizações relevantes (adicionando os novos certificados de CA 2023, atualizando o KEK e instalando o novo gerenciador de inicialização). 

Configurações

  • 0 ou não definido – Nenhuma atualização de chave de inicialização segura é executada.

  • 0x5944 – Implantar todos os certificados necessários e atualizar para o gerenciador de inicialização assinado PCA2023

HighConfidenceOptOut

REG_DWORD

Uma opção de cancelamento.

Para empresas que desejam sair de buckets de alta confiança que serão aplicados automaticamente como parte da LCU.

Você pode definir essa chave como um valor não zero para optar por sair dos buckets de alta confiança. 

Configurações 

  • 0 ou a chave não existe – Opte por

  • 1 – Optar por sair

MicrosoftUpdateManagedOptIn

REG_DWORD

Uma opção de opt-in.

Para empresas que desejam aceitar a manutenção de CFR (Distribuição de Recursos Controlados), também conhecida como Gerenciada pela Microsoft.

Além de definir essa chave, permita o envio de dados de diagnóstico necessários (consulte Configurar dados de diagnóstico do Windows em sua organização). 

Configurações

  • 0 ou a chave não existe – Opte por sair

  • 1 ou qualquer valor   não zero– Opte por entrar

Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do registro: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

A tabela a seguir descreve cada um dos valores do registro:

Valor do Registro

Tipo

Descrição e uso

UEFICA2023Status

REG_SZ (cadeia de caracteres)

Indicador status de implantação.

Reflete o estado atual da atualização da chave de inicialização segura no dispositivo. Ele será definido como um dos seguintes valores de texto:

  • NotStarted: a atualização ainda não foi executada.

  • InProgress: a atualização está ativamente em andamento.

  • Atualizado: a atualização foi concluída com êxito.

Inicialmente, o status é NotStarted. Ele muda para InProgress quando a atualização começa e, finalmente, para Atualizado quando todas as novas chaves e o novo gerenciador de inicialização forem implantados. Se houver um erro, o valor do registro UEFICA2023Error será definido como um código não zero.

UEFICA2023Error

REG_DWORD (código)

Código de erro (se houver).

Esse valor permanece 0 em êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error está definido para um código de erro diferente de zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização de Arranque Seguro não foi totalmente bem-sucedida e pode exigir investigação ou remediação nesse dispositivo.  

Por exemplo, se a atualização da BD (base de dados de assinaturas fidedignas) tiver falhado devido a um problema de firmware, esta chave de registo poderá mostrar um código de erro do firmware. Quando esta chave existir e não for zero, recomendamos que procure eventos de Arranque Seguro nos Registos de Eventos do Windows . Veja Eventos de atualização de variáveis DB e DBX de Arranque Seguro para obter mais detalhes.

WindowsUEFICA2023Capable

REG_DWORD (código)

Esta chave de registo destina-se a cenários de implementação limitados e não é recomendada para utilização geral. Na maioria dos casos, utilize a chave de registo UEFICA2023Status.

Valores válidos:

0 – ou a chave não existe – o certificado "WINDOWS UEFI CA 2023" não está na base de dados

1 - O certificado "WINDOWS UEFI CA 2023" está na base de dados

2 - O certificado "WINDOWS UEFI CA 2023" está na BD e o sistema começa a partir do gestor de arranque assinado em 2023

Como estas chaves funcionam em conjunto

Os administradores de TI configuram o valor de registo AvailableUpdates para 0x5944, o que sinaliza o Windows para executar a atualização e instalação da chave de Arranque Seguro no dispositivo.

À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, por fim, para Atualizado após o êxito. À medida que cada bit no 0x5944 é processado com êxito, é limpo.

Se algum passo falhar, é registado um código de erro no UEFICA2023Error (e o status permanece InProgress).

Este mecanismo dá aos administradores uma forma clara de acionar e controlar a implementação por dispositivo. 

Implementação com chaves de registo 

A implementação num grupo de dispositivos consiste nos seguintes passos: 

  1. Defina o valor do registo AvailableUpdates para 0x5944 em cada um dos dispositivos a atualizar.

  2. Monitorize as chaves de registo UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão a progredir. A tarefa que processa estas atualizações é executada a cada 12 horas. Tenha em atenção que a atualização do gestor de arranque pode não acontecer até que ocorra um reinício.

  3. Investigue os problemas se ocorrerem. Se UEFICA2023Error não for zero num dispositivo, pode marcar o registo de eventos para eventos relacionados com este problema. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot ) para obter uma lista completa dos eventos de Arranque Seguro.

Nota sobre reinícios: embora possa ser necessário reiniciar para concluir o processo, iniciar a implementação das atualizações de Arranque Seguro não causará um reinício. Se for necessário reiniciar, a implementação de Arranque Seguro depende de reinícios que ocorrem como o curso normal de utilização do dispositivo. 

Teste de dispositivos com chaves de registo 

Ao testar dispositivos individuais para garantir que os dispositivos irão processar as atualizações corretamente, as chaves de registo podem ser uma forma simples de testar. 

Para testar, execute cada um dos seguintes comandos separadamente a partir de uma linha de comandos do PowerShell do administrador: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Reinicie manualmente o sistema quando o AvailableUpdates se tornar 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

O primeiro comando inicia a implementação do certificado e do gestor de arranque no dispositivo. O segundo comando faz com que a tarefa que processa a chave de registo AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. A chave do registo deve mudar rapidamente para 0x4100. Reiniciar e executar novamente a tarefa fará com que o gestor de arranque seja atualizado e que as Atualizações Disponíveis se tornem 0x4000. Veja Resolução de problemas para obter mais detalhes sobre o comportamento de AvailableUpdates.

Pode encontrar os resultados observando as chaves de registo UEFICA2023Status e UEFICA2023Error e os registos de eventos, conforme descrito em Eventos de atualização da variável DBX e Secure Boot

Optar ativamente por participar e optar ativamente por não participar nas assistências 

As chaves de registo HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser utilizadas para gerir as duas "assistências" de implementação descritas em dispositivos Windows com atualizações geridas por TI

  • A chave de registo HighConfidenceOptOut controla a atualização automática de dispositivos através das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos a serem atualizados com êxito, serão considerados dispositivos de "alta confiança" e as atualizações de certificados de Arranque Seguro ocorrerão automaticamente. A predefinição é optar ativamente por participar.

  • A chave de registo MicrosoftUpdateManagedOptIn permite que os departamentos de TI optem ativamente por participar na implementação automática gerida pela Microsoft. Esta definição está desativada por predefinição e está a defini-la como 1 opt-in. Esta definição também requer que o dispositivo envie dados de diagnóstico opcionais.

Versões suportadas do Windows

Esta tabela divide ainda mais o suporte com base na chave de registo. 

Chave 

Versões suportadas do Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Todas as versões do Windows que suportam o Arranque Seguro (Windows Server 2012 e versões posteriores do Windows).  

Nota: Embora os dados de confiança sejam recolhidos no Windows 10, versões LTSC, 22H2 e versões posteriores do Windows, podem ser aplicados a dispositivos em execução em versões anteriores do Windows.    

  • Windows 10, versões LTSC e 22H2

  • Windows 11, versões 22H2 e 23H2

  • Windows 11, versão 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Eventos de erro de Arranque Seguro

​​​​​​​​​​​​​​Os eventos de erro têm uma função de relatório crítica para informar sobre o Estado e o progresso do Arranque Seguro.  Para obter informações sobre os eventos de erro, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot). Os eventos de erro estão a ser atualizados com informações de evento adicionais para o Arranque Seguro. 

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade