Método de Objetos de Política de Grupo (GPO) de Inicialização Segura para dispositivos Windows com atualizações gerenciadas por TI

Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Observação

  • Data da Publicação Original: 30 de outubro de 2025
  • ID da base de dados: 5068198
Este artigo tem diretrizes para:

  • Organizações que têm seu próprio departamento de TI gerenciando atualizações e dispositivos Windows.
Observação: Se você possui um dispositivo Windows pessoal, consulte o artigo Dispositivos Windows para usuários domésticos, empresas e escolas com atualizações gerenciadas pela Microsoft.
Disponibilidade deste suporte
  • 11 de novembro de 2025: Para versões do Windows ainda em suporte.
Log de alterações
Data da Alteração Descrição da alteração
20 de fevereiro de 2026
  • Atualização da seção - "Disponibilidade deste suporte"
  • Atualizou a seção "Introdução"
  • Adicionada uma nota em "Recursos" para Cliente e Servidor.
11 de novembro de 2025
  • O link do cliente foi atualizado em "Recursos" de - "https://www.microsoft.com/download/details.aspx?id=108394" para "www.microsoft.com/en-us/download/details.aspx?id=108428."
  • A data de publicação foi alterada de 29/09/2025 para 27/10/2025
26 de novembro de 2025
  • Adicionada uma nova observação em "Implantação Automática de Certificado por meio de Atualizações".
  • As definições de Habilitado e Desabilitado foram trocadas em "Implantação Automática de Certificado por meio de Atualizações".

Neste artigo:

Introdução

Este documento descreve o suporte para implantação, gerenciamento e monitoramento das atualizações de certificado de Inicialização Segura usando o objeto de Política de Grupo de Inicialização Segura. As configurações consistem em:

  • A capacidade de disparar a implantação em um dispositivo
  • Uma configuração para aceitar/recusar buckets de alta confiança
  • Uma configuração para aceitar/recusar o gerenciamento de atualizações pela Microsoft

Observação: Os Modelos Administrativos (.admx) e a Política de Grupo precisarão ser baixados do site oficial da Microsoft. Consulte Recursos.

Método de configuração de Objeto Política de Grupo (GPO)

Esse método oferece uma configuração simples de Política de Grupo de Inicialização Segura que os administradores de domínio podem definir para implantar atualizações de Inicialização Segura em todos os clientes e servidores Windows ingressados no domínio. Além disso, duas assistências de inicialização segura podem ser gerenciadas com configurações de ativação/desativação.

Para obter as atualizações que incluem a política de implantação de atualizações de certificado de Inicialização Segura, consulte a seção Recursos abaixo.

Essa política pode ser encontrada no seguinte caminho na interface do usuário da Política de Grupo:

Configuração do Computador -> Modelos Administrativos -> Componentes do Windows -> Inicialização Segura

Importante

As atualizações de Inicialização Segura dependem do firmware do dispositivo, e alguns dispositivos podem ter problemas de compatibilidade. Para garantir uma distribuição segura:

  1. Valide a política de atualização em pelo menos um dispositivo representativo para cada tipo de dispositivo em sua organização.
  2. Confirme se os certificados de Inicialização Segura foram aplicados com êxito ao UEFI DB e ao KEK. Para obter etapas detalhadas, visite Atualizações do Certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.
  3. Após a validação, agrupe os dispositivos por hash de bucket e aplique a política a esses dispositivos para uma distribuição controlada.

Definições de configuração disponíveis

Imagem

As três configurações disponíveis para a implantação de certificado de Inicialização Segura são descritas aqui. Essas configurações correspondem às chaves do Registro descritas em Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI.

Habilitar a implantação de certificado de Inicialização Segura

Nome de configuração da Política de Grupo: Habilitar a implantação de certificado de Inicialização Segura

imagens

Descrição:
Essa política controla se o Windows inicia o processo de implantação de certificado de Inicialização Segura em dispositivos. 

  • Habilitado: o Windows começa automaticamente a implantar certificados de Inicialização Segura atualizados assim que a tarefa de Inicialização Segura é executada.
  • Desabilitado: o Windows não implanta certificados automaticamente.
  • Não configurado: o comportamento padrão se aplica (sem implantação automática).

Observação

  • A tarefa que processa essa configuração é executada a cada 12 horas. Algumas atualizações podem exigir uma reinicialização para serem concluídas com segurança.
  • Depois que os certificados são aplicados ao firmware, eles não podem ser removidos do Windows. A limpeza de certificados deve ser feita por meio da interface de firmware.
  • Essa configuração é considerada uma preferência; Se o GPO for removido, o valor do Registro permanecerá.
  • Corresponde à chave do Registro AvailableUpdates.

Implantação Automática de Certificado via Atualizações

Nome de configuração da Política de Grupo: Implantação Automática de Certificado por meio de Atualizações

imagens.

Descrição:
Essa política controla se as atualizações de certificado de Inicialização Segura são aplicadas automaticamente por meio de atualizações mensais de segurança e não de segurança do Windows. Os dispositivos validados pela Microsoft como capazes de processar atualizações de variáveis da Inicialização Segura receberão essas atualizações como parte da manutenção cumulativa e as aplicarão automaticamente. 

Observação

Habilitar essa política desabilita a Implantação Automática de Certificado por meio de Atualizações. Isso é equivalente a definir a chave do Registro HighConfidenceOptOut como 1.
Desabilitar essa política opta pela Implantação Automática de Certificado por meio de Atualizações, o que equivale a definir HighConfidenceOptOut como 0.

  • Habilitada: a implantação automática está bloqueada; As atualizações devem ser gerenciadas manualmente.
  • Desabilitado: dispositivos com resultados de atualização validados receberão atualizações de certificado automaticamente durante a manutenção.
  • Não configurado: a implantação automática ocorre por padrão.

Observação

  • Os dispositivos pretendidos foram confirmados para processar atualizações com êxito.
  • Configure essa política para optar pela implantação automática.
  • Corresponde à chave do Registro HighConfidenceOptOut.

Implantação de Certificado por meio de Distribuição de Recursos Controlados

Nome de configuração da Política de Grupo: Implantação de Certificado por meio da Distribuição de Recursos Controlados

imagem

Descrição:
Essa política permite que as empresas participem de uma distribuição de Recurso Controlado da atualização de certificado de Inicialização Segura gerenciada pela Microsoft.

  • Habilitado: a Microsoft auxilia na implantação de certificados em dispositivos registrados na distribuição.
  • Desabilitado ou não configurado: nenhuma participação na distribuição controlada.

Requisitos:

Informações

Consulte também Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI para obter detalhes sobre o UEFICA2023Status e UEFICA2023Chaves de registro de erro para monitorar os resultados do dispositivo.

Consulte Eventos de atualização de variável Secure Boot DB e DBX para eventos úteis para entender o status de dispositivos, atributos de dispositivo e IDs de bucket de dispositivo. Preste atenção especial aos eventos 1801 e 1808 descritos na página de eventos.

Para os MSIs da Política de Grupo e a Planilha de Referência de Configurações da Política de Grupo, use os links abaixo ou verifique se os modelos administrativos usados foram publicados nas datas listadas na tabela ou após elas.

Plataforma MSI publicado Planilha de referência de configurações da Política de Grupo publicada
Cliente
Observação: Os Modelos Administrativos (.admx) são independentes do sistema operacional e funcionam em TODOS os sistemas operacionais com suporte.
Baixe Modelos Administrativos (.admx) para a Atualização do Windows 11 2025 (25H2) - V2.0 do site oficial da Microsoft
Publicado em: 27/10/2025
Baixe a Planilha de Referência de Configurações da Política de Grupo para a Atualização do Windows 11 2025 (25H2) - V2.0 do site oficial da Microsoft
Publicado em: 02/10/2025
Servidor
Observação: Os Modelos Administrativos (.admx) são independentes do sistema operacional e funcionam em TODOS os sistemas operacionais com suporte.
Baixe Modelos Administrativos (.admx) para o Windows Server 2025 (lançamento de 25 de outubro) do site oficial da Microsoft
Publicado em: 27/10/2025
Baixe a Planilha de Referência de Configurações da Política de Grupo para o Windows Server 2025 (lançamento de 25 de outubro) do site oficial da Microsoft
Publicado em: 27/10/2025