Observação
- Data de publicação original: 15 de setembro de 2025
- ID da base de dados: 5068008
Log de alterações
| Data da Alteração | Descrição da alteração |
|---|---|
| 23 de fevereiro de 2026 |
|
| 9 de fevereiro de 2026 |
|
| 3 de fevereiro de 2026 |
|
| 12 de janeiro de 2026 |
|
Perguntas frequentes gerais sobre Inicialização Segura
P1: O que acontecerá se meu dispositivo não receber os novos certificados de Inicialização Segura antes que os antigos expirem?
Depois que os certificados de Inicialização Segura expirarem, os dispositivos que não receberam os certificados mais recentes de 2023 continuarão a iniciar e operar normalmente, e as atualizações padrão do Windows continuarão a ser instaladas. No entanto, esses dispositivos não poderão mais receber novas proteções de segurança para o processo de inicialização inicial, incluindo atualizações para o Gerenciador de inicialização do Windows, bancos de dados de Inicialização Segura, listas de revogação ou mitigações para vulnerabilidades de nível de inicialização recém-descobertas.
Com o tempo, isso limita a proteção do dispositivo contra ameaças emergentes e pode afetar cenários que dependem da confiança da Inicialização Segura, como a proteção do BitLocker ou carregadores de inicialização de terceiros. A maioria dos dispositivos Windows receberá os certificados atualizados automaticamente, e muitos OEMs forneceram atualizações de firmware quando necessário. Manter seu dispositivo atualizado com essas atualizações ajuda a garantir que ele possa continuar recebendo o conjunto completo de proteções de segurança que a Inicialização Segura foi projetada para fornecer.
P2: Quando os certificados de Inicialização Segura devem ser atualizados?
É melhor atualizar os certificados de Inicialização Segura bem antes da data de expiração de junho de 2026.
Se o dispositivo for gerenciado pela Microsoft e compartilhar dados de diagnóstico com a Microsoft, a Microsoft tentará atualizar os certificados de Inicialização Segura automaticamente na maioria dos casos. Embora a Microsoft faça o possível para atualizar a Inicialização Segura, haverá algumas situações em que não há garantia de aplicação da atualização e será necessária ação do cliente. O cliente é responsável por atualizar os certificados de Inicialização Segura.
Exemplos de situações em que os dispositivos gerenciados pela Microsoft com dados de diagnóstico habilitados podem não receber atualizações incluem:
- As atualizações de Inicialização Segura da Microsoft se aplicam apenas a algumas versões com suporte do Windows.
- Os dados de diagnóstico habilitados em seu dispositivo podem ser bloqueados por um firewall em sua organização e não chegar à Microsoft.
- Pode haver algo errado com o firmware do dispositivo.
Observação O que significa ser "Gerenciado pela Microsoft"? O sistema compartilha dados de diagnóstico e é gerenciado pelo Microsoft Cloud ou pelo Intune.
Se o dispositivo não compartilha dados de diagnóstico com a Microsoft e for gerenciado pelo departamento de TI da sua organização ou pelo cliente, o departamento de TI poderá atualizar os sistemas seguindo as diretrizes da Microsoft na expiração do certificado de Inicialização Segura do Windows e atualizações da AC.
P3: Como os certificados de Inicialização Segura são atualizados?
Se o computador for gerenciado pela Microsoft, os certificados de Inicialização Segura serão atualizados por meio do Windows Update.
Se o computador for gerenciado pela sua organização ou pelo administrador de TI da empresa, o departamento de TI terá métodos para atualizar o sistema usando as diretrizes na expiração do certificado de Inicialização Segura do Windows e atualizações da AC.
P4: O que acontece com os sistemas Windows 10 após a ESU (Atualização de Segurança Estendida) de 14 de outubro de 2025?
O suporte do Windows 10 termina em 14 de outubro de 2025. Para obter mais informações, consulte O suporte do Windows 10 termina em 14 de outubro de 2025.
Para continuar a receber Atualizações de Segurança após essa data, os clientes que permanecerem no Windows 10 poderão se inscrever para:
- O Programa de Atualizações de Segurança Estendidas (ESU) do Windows 10, consulte Programa de Atualizações de Segurança Estendidas (ESU) do Windows 10
- Ou, se você tiver uma versão LTSC do Windows 10 com suporte, ela continuará a receber Atualizações de Segurança até a data de expiração do LTSC. Por exemplo, consulte o programa ESU (Atualizações de Segurança Estendida) para Windows 10
Observação
- O Windows 10 Enterprise LTSC está disponível para compra como um SKU autônomo ou como parte de uma assinatura do Windows Enterprise E3.
- O Windows IoT Enterprise LTSC pode ser adquirido diretamente de um OEM ou por meio de uma Licença de Fornecedor como um SKU autônomo.
P5: Como os certificados de Inicialização Segura são usados?
Os certificados de Inicialização Segura permitem que o firmware verifique se componentes críticos, como gerenciadores de inicialização, ROMs de opção (drivers de firmware) e outros softwares baseados em firmware, são confiáveis e não foram adulterados. A Microsoft usa esses certificados para assinar gerenciadores de inicialização e outros componentes confiáveis, bem como atualizações de Inicialização Segura. Quando os certificados mais antigos expiram, eles não podem mais ser usados para assinar novos componentes ou atualizações.
P6: Qual é o impacto nos dispositivos com a Inicialização Segura desabilitada?
Dispositivos com a Inicialização Segura desabilitada não receberão os novos certificados de Inicialização Segura no firmware. Como resultado, eles permanecerão vulneráveis a malware no nível de inicialização, como kits de inicialização, porque as proteções de Inicialização Segura não são impostas.
P7: A Microsoft atualizará todos os certificados de Inicialização Segura, incluindo aqueles no KEK e no BD?
Para dispositivos qualificados, como aqueles que recebem atualizações cumulativas por meio de implantação baseada em confiança ou inscritos no CFR (Distribuição de Recursos Controlados) com dados de diagnóstico habilitados, a Microsoft tentará atualizar todos os certificados aplicáveis. No entanto, essas atualizações são fornecidas como uma assistência, não como uma garantia. Os administradores de TI permanecem responsáveis por garantir que toda a frota seja atualizada, usando o CFR automatizado da Microsoft e outros métodos de implantação documentados.
P8: Quando os Certificados de Inicialização Segura atualizados de 2023 foram enviados?
Os certificados foram incluídos nas atualizações cumulativas (LCU) de 13 de maio de 2025 e posteriores. No entanto, elas não são aplicadas automaticamente. Etapas adicionais são necessárias. Para obter diretrizes de implantação, consulte https://aka.ms/getsecureboot.
P9: Qual é a diferença entre atualizações de firmware e atualizações do Windows ao aplicar certificados de Inicialização Segura?
Eles servem a propósitos diferentes.
As atualizações de firmware podem atualizar as variáveis de Inicialização Segura padrão armazenadas no firmware. Isso é útil principalmente se as configurações de Inicialização Segura forem redefinidas posteriormente para os padrões, pois os padrões de firmware determinam quais certificados são restaurados nesse cenário.
O Windows aplica alterações às variáveis ativas de Inicialização Segura que são impostas durante a inicialização normal. Essas variáveis ativas são o que o firmware usa para validar os componentes de inicialização e o que o Windows confia para fornecer proteções de Inicialização Segura futuras.
Na prática, o Windows é responsável por manter a configuração de Inicialização Segura ativa atualizada. As atualizações de firmware ajudam a garantir que os valores padrão também sejam atualizados, o que reduz o risco se a Inicialização Segura for redefinida ou reinicializada no futuro.
Os administradores devem garantir que as variáveis ativas do Secure Boot sejam atualizadas e monitorar o status de implantação, independentemente de atualizações de firmware estarem disponíveis.
Perguntas frequentes sobre Inicialização Segura de Sistemas Gerenciados pelo Cliente/TI
P1: O que pode ser feito para manter a funcionalidade de Inicialização Segura em computadores mais antigos gerenciados pelo cliente/TI que podem não receber atualizações de firmware do OEM?
Há dois caminhos possíveis:
- Se o computador for gerenciado pela Microsoft com dados de diagnóstico compartilhados e o sistema operacional tiver suporte, a Microsoft tentará atualizar.
- Se o dispositivo for gerenciado pelo cliente ou gerenciado por um administrador de TI, o departamento de TI poderá aplicar as atualizações no conjunto validado de computadores que podem receber atualizações com segurança de acordo com as diretrizes da Microsoft na expiração do certificado de Inicialização Segura do Windows e atualizações da AC.
Espera-se que essas etapas atendam à maioria dos clientes sem precisar de uma atualização de firmware dos OEMs. No entanto, haverá determinados casos em que as atualizações não se aplicarão devido a problemas conhecidos ou desconhecidos no firmware do dispositivo. Nesses casos, siga as diretrizes do OEM sobre atualizações de firmware.
Observação O processo acima aplica as variáveis ativas de inicialização segura por meio do sistema operacional. Os valores padrão do firmware de inicialização segura são mantidos no firmware lançado pelo OEM. A orientação é não alterar ou atualizar a configuração de Inicialização Segura, a menos que o OEM tenha lançado uma atualização para alterar os padrões de firmware para os novos certificados.
P2: Se um computador tiver certificados de Inicialização Segura expirados, será possível instalar uma nova versão do Windows?
Se os certificados expirarem, a proteção da Inicialização Segura será degradada. Se o sistema atender aos requisitos de um sistema operacional mais recente, como o Windows 11, será possível atualizar para uma versão mais recente do sistema operacional do Windows 11.
P3: O que acontece ao atualizar um computador Windows 10 LTSC sem a Inicialização Segura habilitada para o Windows 11 LTSC após as datas de expiração do certificado?
Se a Inicialização Segura não estiver habilitada em seus dispositivos Windows 10 LTSC, elas não serão incluídas na distribuição atual para os novos certificados de Inicialização Segura. Ao iniciar a atualização para o Windows 11 LTSC, você precisará seguir etapas de migração específicas relevantes naquele momento para garantir que os novos certificados de 2023 sejam incluídos.
P4: As versões do Windows que não têm mais suporte receberão os certificados atualizados?
Somente as versões com suporte do sistema operacional Windows obterão os certificados.
P5: Como os ambientes virtualizados funcionam com as atualizações de certificado de Inicialização Segura?
Para o Windows em execução em um ambiente virtual, há dois métodos para adicionar os novos certificados às variáveis de firmware da Inicialização Segura:
- O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isso funcionaria para novos dispositivos virtualizados.
- Para Windows em execução de longo prazo em uma VM, as atualizações podem ser aplicadas por meio do Windows como qualquer outro dispositivo, se o firmware virtualizado der suporte a atualizações de Inicialização Segura.
P6: Por que a Microsoft não pode implantar na minha frota corporativa/gerenciada de TI usando o CFR (Distribuição de Recursos Controlados) usado em sistemas gerenciados pela Microsoft?
Esses ambientes gerenciados pelo cliente/TI geralmente não têm dados de diagnóstico suficientes para que a Microsoft implante novos recursos com confiança e segurança. Além disso, os departamentos de TI normalmente preferem manter controle total sobre o tempo e o conteúdo da atualização para garantir conformidade, estabilidade e compatibilidade com ferramentas e fluxos de trabalho internos. Muitos dispositivos corporativos também operam em ambientes sensíveis ou restritos onde o acesso ou gerenciamento externo - implícito pelo CFR - pode ser indesejável ou proibido.
P7: Meu dispositivo parou de inicializar depois que redefini o firmware para as configurações padrão - o que aconteceu e como faço para corrigi-lo?
Se o Windows já estiver usando o gerenciador de inicialização assinado em 2023, mas o firmware for redefinido para padrões que não incluem o certificado UEFI CA 2023 do Windows, a Inicialização Segura bloqueará o processo de inicialização.
Para corrigir isso, você precisa reaplicar o certificado 2023 ao banco de dados do firmware usando o aplicativo de recuperação. Isso é feito criando um USB de recuperação e, em seguida, inicializando o dispositivo afetado a partir desse USB para restaurar o certificado ausente.
Para obter instruções passo a passo, consulte a orientação oficial da Microsoft para atualizar a mídia de instalação do Windows.
P8: Se os certificados de Inicialização Segura do meu dispositivo já expiraram, ainda posso receber certificados atualizados?
Sim. As atualizações cumulativas que contêm os novos certificados de Inicialização Segura ainda podem ser aplicadas, mesmo que os certificados existentes tenham expirado. Se o dispositivo puder inicializar o Windows e instalar atualizações, os certificados atualizados poderão ser gravados no firmware seguindo as diretrizes de implantação publicadas. A maioria dos dispositivos receberá essas atualizações automaticamente, mas alguns sistemas podem exigir atualizações adicionais de firmware.