Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data Original Publicada: 14 de outubro de 2025

ID da BDC: 5068202

Este artigo tem orientações para:  

  • Organizações com dispositivos Windows geridos por TI e atualizações.

Disponibilidade deste suporte:  

  • As chaves de registo AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut e MicrosoftUpdateManagedOptIn são incluídas nas atualizações lançadas nas datas seguintes:

    • 14 de outubro de 2025: as versões suportadas incluem Windows 10, versão 22H2 e versões mais recentes (incluindo 21H2 LTSC), todas as versões suportadas do Windows 11, bem como Windows Server 2022 e posterior.

    • 11 de novembro de 2025: para versões do Windows ainda em suporte.

Neste artigo

Introdução

Este documento descreve o suporte para implementar, gerir e monitorizar as atualizações de certificados de Arranque Seguro com chaves de registo do Windows. As chaves consistem nas seguintes: 

  • Uma chave para acionar a implementação dos certificados e do gestor de arranque no dispositivo.

  • Duas chaves para monitorizar status da implementação.

  • Duas chaves para gerir as definições de opt-in/opt-out para as duas assistências de implementação disponíveis.

Estas chaves de registo podem ser definidas manualmente no dispositivo ou remotamente através do software de gestão de frotas disponível. Outros métodos de implementação, como Política de Grupo, Intune e WinCS, são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações geridas por TI.  

Chaves de registo de Arranque Seguro

Nesta seção

Chaves de registo

Todas as chaves de registo de Arranque Seguro descritas neste documento estão localizadas neste caminho de registo: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

A tabela seguinte descreve cada um dos valores do registo. 

Valor do Registo

Tipo

Descrição & Utilização

AvailableUpdates

REG_DWORD (máscara de bits)

Atualize os sinalizadores do acionador.

Controla as ações de atualização de Arranque Seguro a executar no dispositivo. Definir o campo de bits adequado aqui inicia a implementação de novos certificados de Arranque Seguro e atualizações relacionadas. Para a implementação empresarial, esta opção deve ser definida como 0x5944 (hex) – um valor que permite todas as atualizações relevantes (adicionar os novos certificados de AC de 2023, atualizar o KEK e instalar o novo gestor de arranque). 

Configurações: 

  • 0 ou não definido - Não é efetuada nenhuma atualização da chave de Arranque Seguro.

  • 0x5944 – Implementar todos os certificados necessários e atualizar para o gestor de arranque assinado PCA2023

UEFICA2023Status

REG_SZ (cadeia)

Indicador de status de implementação.

Reflete o estado atual da atualização da chave de Arranque Seguro no dispositivo. Será definido como um dos seguintes valores de texto:

  • NotStarted:A atualização ainda não foi executada.

  • Entrada:A atualização está ativamente em curso.

  • Atualizado: A atualização foi concluída com êxito.

Inicialmente, o status é NotStarted. Muda para InProgress assim que a atualização é iniciada e, por fim, para Atualizada quando todas as novas chaves e o novo gestor de arranque tiverem sido implementados. Se existir um erro, o valor do registo UEFICA2023Error é definido como um código diferente de zero.

UEFICA2023Error

REG_DWORD (código)

Código de erro (se existir).

Este valor permanece 0 com êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error está definido para um código de erro diferente de zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização de Arranque Seguro não foi totalmente bem-sucedida e pode exigir investigação ou remediação nesse dispositivo.  

Por exemplo, se a atualização da base de dados (base de dados de assinaturas fidedignas) tiver falhado devido a um problema de firmware, esta chave de registo poderá mostrar um código de erro que pode ser mapeado para um registo de eventos ou um ID de erro documentado em eventos de atualização da variável DBX e secure boot

HighConfidenceOptOut

REG_DWORD

Uma opção de optar ativamente por não participar.

Para empresas que pretendam optar ativamente por não participar em registos de alta confiança que serão automaticamente aplicados como parte da LCU.

Pode definir esta chave como um valor diferente de zero para optar ativamente por não participar nos registos de alta confiança. 

Configurações 

  • 0 ou a chave não existe – optar ativamente por participar

  • 1 – Optar ativamente por não participar

MicrosoftUpdateManagedOptIn

REG_DWORD

Uma opção de optar ativamente por participar.

Para empresas que pretendam optar ativamente por participar na manutenção da Implementação de Funcionalidades Controladas (CFR), também conhecida como Microsoft Managed.

Além de definir esta chave, permita o envio de dados de diagnóstico necessários (veja Configurar dados de diagnóstico do Windows na sua organização). 

Configurações

  • 0 ou a chave não existe – Optar ativamente por não participar

  • 1 – Optar ativamente por participar

Como estas chaves funcionam em conjunto

O administrador de TI configura o valor de registo AvailableUpdates para 0x5944, o que sinaliza o Windows para executar a atualização e instalação da chave de Arranque Seguro no dispositivo.

À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, por fim, para Atualizado após o êxito. À medida que cada bit no 0x5944 é processado com êxito, é limpo.

Se algum passo falhar, é registado um código de erro no UEFICA2023Error (e o status permanece InProgress).

Este mecanismo dá aos administradores uma forma clara de acionar e controlar a implementação por dispositivo. 

Implementação com chaves de registo 

A implementação num grupo de dispositivos consiste nos seguintes passos: 

  1. Defina o valor do registo AvailableUpdates para 0x5944 em cada um dos dispositivos a atualizar.

  2. Monitorize as chaves de registo UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão a progredir. Lembre-se de que a tarefa que processa estas atualizações é executada uma vez a cada 12 horas. Tenha em atenção que a atualização do gestor de arranque pode não acontecer até que ocorra um reinício.

  3. Investigue os problemas se ocorrerem. Se UEFICA2023Error não for zero num dispositivo, pode marcar o registo de eventos para eventos relacionados com este problema. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot ) para obter uma lista completa dos eventos de Arranque Seguro.

Nota sobre reinícios: embora possa ser necessário reiniciar para concluir o processo, iniciar a implementação das atualizações de Arranque Seguro não causará um reinício. Se for necessário reiniciar, a implementação de Arranque Seguro depende de reinícios que ocorrem como o curso normal de utilização do dispositivo. 

Teste de dispositivos com chaves de registo 

Ao testar dispositivos individuais para garantir que os dispositivos processem as atualizações corretamente, as chaves do registro podem ser uma maneira simples de testar. 

Para testar, execute cada um dos seguintes comandos separadamente de um prompt do PowerShell de administrador: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

O primeiro comando inicia a implantação do gerenciador de inicialização e certificado no dispositivo. O segundo comando faz com que a tarefa que processa a chave do registro AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. 

Você pode encontrar os resultados observando as chaves de registro UEFICA2023Status e UEFICA2023Error e os logs de eventos, conforme descrito em eventos de atualização de variável de Inicialização Segura DB e DBX

Opt-in e opt-out para assistências 

As chaves de registro HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser usadas para gerenciar as duas "assistências" de implantação descritas em dispositivos Windows com atualizações gerenciadas por TI

  • A chave de registro HighConfidenceOptOut controla a atualização automática de dispositivos por meio das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos atualizando com êxito, eles serão considerados dispositivos de "alta confiança" e as atualizações de certificado de Inicialização Segura ocorrerão automaticamente. A configuração padrão para esse opted in.

  • A chave de registro MicrosoftUpdateManagedOptIn permite que os departamentos de TI optem pela implantação automática gerenciada pela Microsoft. Essa configuração é desabilitada por padrão e configura-a como 1 opts-in. Essa configuração também exige que o dispositivo envie dados de diagnóstico opcionais.

Versões com suporte do Windows

Essa tabela divide ainda mais o suporte com base na chave do registro. 

Chave 

Versões com suporte do Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Todas as versões do Windows que dão suporte a Inicialização Segura (Windows Server 2012 e versões posteriores do Windows).  

Nota: Embora os dados de confiança sejam coletados em Windows 10, as versões LTSC, 22H2 e versões posteriores do Windows, elas podem ser aplicadas a dispositivos em execução em versões anteriores do Windows.    

  • Windows 10, versões LTSC e 22H2

  • Windows 11, versões 22H2 e 23H2

  • Windows 11, versão 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Proteger eventos de erro de inicialização

​​​​​​​​​​​​​​Os eventos de erro têm uma função de relatório crítica para informar sobre o Status de Inicialização Segura e o progresso.  Para obter informações sobre os eventos de erro, consulte Eventos de atualização de variável De Inicialização Segura E DBX. Os eventos de erro estão sendo atualizados com informações adicionais de evento para Inicialização Segura. 

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade