Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data de publicação original: 14 de outubro de 2025

ID do KB: 5068197

Este artigo tem diretrizes para: 

  • Organizações que têm seu próprio departamento de TI gerenciando dispositivos Windows e atualizações.

Observação: se você é um indivíduo que possui um dispositivo Windows pessoal, acesse o artigo Dispositivos Windows para usuários domésticos, empresas e escolas com atualizações gerenciadas pela Microsoft

Disponibilidade desse suporte:  

  • Incluído nas atualizações do Windows lançadas em e após 28 de outubro de 2025, para Windows 11, versão 24H2 e Windows 11, versão 23H2.

  • Incluído em atualizações lançadas em e após 11 de novembro de 2025, para Windows 10, versão 21H2, Windows 10, versão 22H2 e Windows Server 2022.

  • Incluído em atualizações lançadas no primeiro trimestre de 2026 para outras versões do Windows.

Data da alteração

Alterar descrição

20 de fevereiro de 2026

  • Adicionado uma nova seção "Primeiro marcar se os certificados de Inicialização Segura forem atualizados em sua plataforma"

16 de dezembro de 2025

  • Corrigiu a linha de comando na seção "Como aplicar configuração de Inicialização Segura", pois incluía caracteres incorretos.Para: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • Corrigiu a linha de comando na seção "Como auditar a configuração de Inicialização Segura", pois incluía um espaço no final da linha.Para: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Na seção "Disponibilidade desse suporte", acrescentou que Windows 10, as versões 21H2 e 22H2 e Windows Server 2022 são adicionadas nas versões datadas de 11 e 11 de novembro de 2025. Além disso, o suporte para outras versões do Windows será incluído em atualizações lançadas durante o primeiro trimestre de 2026.

11 de dezembro de 2025

  • Alteração da etapa 3 da seção "Como auditar a configuração de Inicialização Segura":De: Para verificar se a atualização do DB de Inicialização Segura foi bem-sucedida, abra um prompt do PowerShell como administrador e execute o seguinte comando: Para: Como uma marcar rápida se a atualização do DB de Inicialização Segura foi bem-sucedida, abra um prompt do PowerShell como administrador e execute o seguinte comando:

  • Adicionou uma Etapa 4 à seção "Como auditar a configuração de Inicialização Segura": Para verificar se todos os certificados estão atualizados, consulte Atualizações do Certificado de Inicialização Segura: Diretrizes para profissionais e organizações de TI e siga as diretrizes na seção "Monitoramento de Logs de Eventos". Esta seção lista A ID do Evento: 1801 e ID de Evento: 1808 , que é uma maneira completa de auditar se os certificados foram atualizados.

CLI de Inicialização Segura usando o WinCS (Sistema de Configuração do Windows)

Meta: os administradores de domínio podem, alternativamente, usar o WinCS (Sistema de Configuração do Windows) lançado com atualizações do sistema operacional Windows para implantar as atualizações de Inicialização Segura entre clientes e servidores windows ingressados no domínio. Ele consiste em um utilitário de CLI (interface de linha de comando) para consultar e aplicar configurações de Inicialização Segura localmente a um computador.  

O WinCS funciona com uma chave de configuração que pode ser usada com o utilitário de linha de comando para modificar o estado de configuração de Inicialização Segura no computador. Depois de aplicada, a próxima Inicialização Segura agendada executará ações de acordo com a chave. 

Primeiro marcar se os certificados de Inicialização Segura forem atualizados em sua plataforma 

Você pode marcar o status de Inicialização Segura usando o comando powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Se o Status mostrar "Atualizado", você não precisará executar o WinCS e pode ignorar as etapas abaixo.

Se os Certificados não forem atualizados para versões de 2023, as etapas adicionais abaixo serão aplicadas.

Plataformas com suporte do WinCS

O utilitário de linha de comando WinCS tem suporte em Windows 10, versão 21H2, Windows 10, versão 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versão 23H2, Windows 11, versão 24H2, Windows 11, versão 25H2.

Esse utilitário está disponível nas atualizações do Windows lançadas em e após 28 de outubro de 2025, para Windows 11, versão 24H2 e Windows 11, versão 23H2.

Esse utilitário também está disponível nas atualizações do Windows lançadas em e após 11 de novembro de 2025, para Windows 10, versão 21H2, Windows 10, versão 22H2 e Windows Server 2022.

Para Windows Server 2019, esse utilitário é enviado nas atualizações do Windows lançadas em e após 13 de janeiro de 2026. 

E para Windows Server 2016, Windows 10 1607, esse utilitário é enviado nas atualizações do Windows lançadas em e após 10 de fevereiro de 2026.

Observação: estamos trabalhando para trazer esse suporte do WinCS para plataformas Windows 10. Atualizaremos este artigo assim que o suporte estiver habilitado. 

Aqui está a chave de recurso de configuração de Inicialização Segura que os administradores de domínio consultarão e aplicarão aos dispositivos por meio do WinCS. 

Nome do Recurso

Chave WinCS

Descrição

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Habilitar essa chave permite a instalação dos novos certificados de Inicialização Segura fornecidos pela Microsoft em seu dispositivo. 

  • Microsoft Corporation KEK 2K CA 2023

  • CA do Windows UEFI 2023

  • Microsoft UEFI CA 2023

  • Ca 2023 da ROM da Microsoft Option UEFI

Valor da chave WinCS: 

  • F33E0C8E002 – Estado de configuração de Inicialização Segura = Habilitado

Como consultar a configuração de Inicialização Segura 

A configuração de Inicialização Segura pode ser consultada abrindo um prompt de comando como administrador e executando este comando:

WinCsFlags.exe /query --key F33E0C8E002

Isso retornará as seguintes informações (em um computador limpo): 

Sinalizador: F33E0C8E 

  Configuração atual: F33E0C8E001

  Estado: desabilitado

  Configuração pendente: nenhum 

  Ação pendente: nenhuma  

  FwLink: https://aka.ms/getsecureboot 

  Configurações disponíveis: 

    F33E0C8E002 

    F33E0C8E001 

Observe que a configuração atual em um dispositivo está F33E0C8E001, o que significa que a chave Inicialização Segura está no estado desabilitado .  

Como aplicar a configuração de Inicialização Segura  

A configuração de Inicialização Segura pode ser aplicada abrindo um prompt de comando como administrador e executando este comando:

WinCsFlags.exe /apply --key "F33E0C8E002"

Um aplicativo bem-sucedido da chave deve retornar as seguintes informações: 

Sinalizador: F33E0C8E 

  Configuração atual: F33E0C8E002

  Estado: habilitado

  Configuração pendente: nenhum 

  Ação pendente: nenhuma

  FwLink: https://aka.ms/getsecureboot 

 Configurações disponíveis: 

    F33E0C8E002 

    F33E0C8E001  

Como auditar a configuração de Inicialização Segura  

Para determinar o estado da configuração de Inicialização Segura posteriormente, você pode executar novamente o comando de consulta inicial abrindo um prompt de comando como administrador:

WinCsFlags.exe /query --key F33E0C8E002

As informações retornadas serão semelhantes às seguintes, dependendo do estado do sinalizador: 

Sinalizador: F33E0C8E 

  Configuração atual: F33E0C8E002

  Estado: habilitado

  Configuração pendente: nenhum 

  Ação pendente: nenhuma

  FwLink: https://aka.ms/getsecureboot 

  Configurações disponíveis: 

    F33E0C8E002 

    F33E0C8E001  

Observe que o estado da chave agora está habilitado e a configuração atual está F33E0C8E002. 

Observação: A aplicação da chave inicialização segura por meio do WinCS não significa que o processo de instalação do certificado de Inicialização Segura tenha sido iniciado ou concluído.  Ele apenas indica que o computador prosseguirá com atualizações de Inicialização Segura quando a tarefa de manutenção de Inicialização Segura (TPMTasks) for executada nesse computador na próxima oportunidade disponível. Quando o TPMTasks for executado nesse computador, ele detectará 0x5944 e realizará a atualização. Por design, a tarefa agendada Secure-Boot-Update é executada a cada 12 horas para processar esses sinalizadores de atualização de Inicialização Segura. Os administradores também podem agilizar ao executar manualmente a tarefa ou ao reiniciar, se assim o desejar.  

Também pode acionar manualmente a tarefa de manutenção de Arranque Seguro ao seguir os passos abaixo: 

  1. Abra uma linha de comandos do PowerShell como administrador e, em seguida, execute o seguinte comando:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Reinicie o dispositivo duas vezes depois de executar o comando para confirmar que o dispositivo está a começar com a base de dados atualizada de assinaturas fidedignas (BD).

  3. Como uma marcar rápida se a atualização da BD de Arranque Seguro tiver sido bem-sucedida, abra uma linha de comandos do PowerShell como administrador e, em seguida, execute o seguinte comando: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Arranque Seguro

    Se o comando devolver Verdadeiro, a atualização foi efetuada com êxito.Em caso de erros ao aplicar a atualização da BD, veja o artigo KB5016061: Abordar Gestores de Arranque vulneráveis e revogados.

    Observação: Isto está a verificar apenas uma AC e nem todas as ACs.

  4. Para verificar se todos os certificados estão atualizados, veja Atualizações do Certificado de Arranque Seguro: Orientações para profissionais de TI e organizações e siga as orientações na secção "Monitorizar Registos de Eventos". Esta secção lista O ID do Evento: 1801 e ID do Evento: 1808 , que é uma forma mais completa de auditar se os certificados foram atualizados.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade