Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data original publicada: 14 de outubro de 2025

ID do KB: 5068202

Este artigo tem diretrizes para:  

  • Organizações com dispositivos Windows gerenciados por TI e atualizações.

Disponibilidade desse suporte:  

As chaves do registro são incluídas em atualizações lançadas na ou após a seguinte data:

  • 11 de novembro de 2025: Para versões do Windows ainda em suporte.

Data da alteração

Alterar descrição

20 de fevereiro de 2026

  • Adicionaram três novas chaves de registro ao artigo : "UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel".

  • Atualizou a seção – "Disponibilidade desse suporte".

4 de novembro de 2025

  • Adicionamos mais uma chave de registro à página.

  • Corrigido uma instrução de "Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhar devido a um problema de firmware, essa chave do registro poderá mostrar um código de erro que pode ser mapeado para um log de eventos ou ID de erro documentada" para dizer "Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhar devido a um problema de firmware, essa chave do registro pode mostrar um código de erro do firmware. Quando essa chave existe e não é zero, recomendamos que você procure eventos de Inicialização Segura nos Logs de Eventos do Windows – consulte (link) para obter mais detalhes".

  • Adicionados dois caminhos separados para Chaves do Registro abaixo

11 de novembro de 2025

  • Atualizou o parágrafo em Teste de dispositivo usando chaves de registro com informações adicionais: "A chave do registro deve mudar rapidamente para 0x4100. A reinicialização e a execução da tarefa novamente farão com que o gerenciador de inicialização seja atualizado e os AvailableUpdates se tornem 0x0100. Consulte Solução de problemas para obter mais detalhes sobre como o AvailableUpdates se comporta."

  • Atualize o texto na caixa cinza em Teste de dispositivo usando chaves de registro para ter dois comandos adicionais do PowerShell

  • Em chaves de registro, o Valor do Registro -MicrosoftUpdateManagedOptIn foi alterado de "1 – Opt in" para "1 ou qualquer valor não zero – Opt in"

16 de novembro de 2025

Atualizou o conteúdo em "Teste de dispositivo usando Chaves do Registro". O valor de atualização disponível foi alterado de "0x0100" para "0x4000".

Neste artigo

Introdução

Este documento descreve o suporte para implantar, gerenciar e monitorar as atualizações de certificado de Inicialização Segura usando chaves de registro do Windows. As chaves consistem no seguinte: 

  • Uma chave para disparar a implantação dos certificados e do gerenciador de inicialização no dispositivo.

  • Duas chaves para monitoramento status da implantação.

  • Duas chaves para gerenciar as configurações de opt-in/opt out para as duas assistências de implantação disponíveis.

Essas chaves de registro podem ser definidas manualmente no dispositivo ou remotamente por meio do software de gerenciamento de frota disponível. Outros métodos de implantação, como Política de Grupo, Microsoft Intune e WinCS são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações gerenciadas por TI.  

Chaves de registro de inicialização segura

Nesta seção

Chaves do Registro

Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do registro: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

A tabela a seguir descreve cada um dos valores do registro:

Valor do Registro

Tipo

Descrição e uso

AvailableUpdates

REG_DWORD (bitmask)

Atualizar sinalizadores de gatilho.

Controla quais ações de atualização de Inicialização Segura serão executadas no dispositivo. Definir o campo bit apropriado aqui inicia a implantação de novos certificados de Inicialização Segura e atualizações relacionadas. Para implantação empresarial, isso deve ser definido como 0x5944 (hex) – um valor que habilita todas as atualizações relevantes (adicionando os novos certificados de CA 2023, atualizando o KEK e instalando o novo gerenciador de inicialização). 

Configurações

  • 0 ou não definido – Nenhuma atualização de chave de inicialização segura é executada.

  • 0x5944 – Implantar todos os certificados necessários e atualizar para o gerenciador de inicialização assinado PCA2023

HighConfidenceOptOut

REG_DWORD

Uma opção de cancelamento.

Para empresas que desejam sair de buckets de alta confiança que serão aplicados automaticamente como parte da LCU.

Você pode definir essa chave como um valor não zero para optar por sair dos buckets de alta confiança. 

Configurações 

  • 0 ou a chave não existe – Opte por

  • 1 – Optar por sair

MicrosoftUpdateManagedOptIn

REG_DWORD

Uma opção de opt-in.

Para empresas que desejam aceitar a manutenção de CFR (Distribuição de Recursos Controlados), também conhecida como Gerenciada pela Microsoft.

Além de definir essa chave, permita o envio de dados de diagnóstico necessários (consulte Configurar dados de diagnóstico do Windows em sua organização). 

Configurações

  • 0 ou a chave não existe – Opte por sair

  • 1 ou qualquer valor   não zero– Opte por entrar

Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do registro: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

A tabela a seguir descreve cada um dos valores do registro:

Valor do Registro

Tipo

Descrição e uso

UEFICA2023Status

REG_SZ (cadeia de caracteres)

Indicador status de implantação.

Reflete o estado atual da atualização da chave de inicialização segura no dispositivo. Ele será definido como um dos seguintes valores de texto:

  • NotStarted: a atualização ainda não foi executada.

  • InProgress: a atualização está ativamente em andamento.

  • Atualizado: a atualização foi concluída com êxito.

Inicialmente, o status é NotStarted. Ele muda para InProgress quando a atualização começa e, finalmente, para Atualizado quando todas as novas chaves e o novo gerenciador de inicialização forem implantados. Se houver um erro, o valor do registro UEFICA2023Error será definido como um código não zero.

UEFICA2023Error

REG_DWORD (código)

Código de erro (se houver).

Esse valor permanece 0 em êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error será definido como um código de erro não zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização de Inicialização Segura não foi totalmente bem-sucedida e pode exigir investigação ou correção nesse dispositivo.  

Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhar devido a um problema de firmware, essa chave do registro poderá mostrar um código de erro do firmware. Quando essa chave existe e não é zero, recomendamos que você procure eventos de Inicialização Segura nos Logs de Eventos do Windows – confira Eventos de atualização de variável DB de Inicialização Segura e DBX para obter mais detalhes.

UEFICA2023ErrorEvent

REG_DWORD (código)

UEFICA2023ErrorEvent especifica a ID do evento que o Windows usou para relatar um erro relacionado ao aplicativo das atualizações de Inicialização Segura do Windows UEFI CA 2023. Esse valor está correlacionado com a chave do registro UEFICA2023Error e é preenchido quando essa chave é definida, indicando que o Windows encontrou um erro ao tentar aplicar a atualização de Inicialização Segura. Quando isso ocorre, o Windows registra o evento de Inicialização Segura correspondente documentado na página pública Eventos de atualização de variável Secure Boot DB e DBX, que fornece detalhes adicionais sobre por que a atualização não pôde ser concluída e qual ação pode ser necessária.

WindowsUEFICA2023Capable

REG_DWORD (código)

Essa chave do registro destina-se a cenários de implantação limitados e não é recomendada para uso geral. Para a maioria dos casos, use a chave de registro UEFICA2023Status.

Valores válidos:

0 – ou a chave não existe – o certificado "Windows UEFI CA 2023" não está no DB

1 – O certificado "Windows UEFI CA 2023" está no DB

2 – O certificado "Windows UEFI CA 2023" está no DB e o sistema está começando a partir do gerenciador de inicialização assinado em 2023

BucketHash

REG_SZ (cadeia de caracteres)

BucketHash identifica o bucket de implantação ao qual um dispositivo é atribuído como parte da distribuição do certificado de Inicialização Segura. O valor é um hash derivado das características do dispositivo e é usado para agrupar dispositivos com atributos de plataforma e firmware semelhantes para implantação em etapas e gerenciamento de riscos. Este é o mesmo hash de bucket que aparece nos eventos específicos do dispositivo documentados na página de eventos de atualização de variável DB e DBX de Inicialização Segura , permitindo que os administradores correlacionam o estado do registro com entradas de log de eventos e entendam como um dispositivo está sendo direcionado durante o processo de atualização da Inicialização Segura.

ConfidenceLevel

REG_SZ (cadeia de caracteres)

ConfidenceLevel indica a avaliação de confiança associada ao bucket de implantação de Inicialização Segura do dispositivo. Esse valor corresponde ao BucketConfidenceLevel que o Windows atribui ao dispositivo com base no comportamento de atualização observado em configurações de hardware e firmware semelhantes. O mesmo nível de confiança é incluído nos eventos específicos do dispositivo documentados na página de eventos de atualização de variável DB e DBX de Inicialização Segura , permitindo que os administradores correlacionam o valor do registro com entradas de log de eventos. Para obter mais detalhes sobre os valores possíveis dessa chave, confira as descrições de eventos de log de eventos específicas do dispositivo.

Como essas chaves funcionam juntas

Os administradores de TI configuram o valor do registro AvailableUpdates para 0x5944, o que sinaliza o Windows para executar a atualização e a instalação da chave de inicialização segura no dispositivo.

À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, finalmente, para Atualizado após o sucesso. Como cada bit em 0x5944 é processado com êxito, ele é limpo.

Se alguma etapa falhar, um código de erro será registrado no UEFICA2023Error (e o status permanecerá InProgress).

Esse mecanismo fornece aos administradores uma maneira clara de disparar e acompanhar a distribuição por dispositivo. 

Implantação usando chaves de registro 

A implantação em um grupo de dispositivos consiste nas seguintes etapas: 

  1. Defina o valor do registro AvailableUpdates como 0x5944 em cada um dos dispositivos a serem atualizados.

  2. Monitore as chaves de registro UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão progredindo. A tarefa que processa essas atualizações é executada a cada 12 horas. Observe que a atualização do gerenciador de inicialização pode não acontecer até que ocorra uma reinicialização.

  3. Investigue os problemas se eles ocorrerem. Se UEFICA2023Error não for zero em um dispositivo, você poderá marcar o log de eventos para eventos relacionados a esse problema. Consulte Eventos de atualização de variável DB e DBX de Inicialização Segura para obter uma lista completa de eventos de Inicialização Segura.

Uma nota sobre reinicializações: embora uma reinicialização possa ser necessária para concluir o processo, iniciar a implantação das atualizações de Inicialização Segura não causará uma reinicialização. Se uma reinicialização for necessária, a implantação da Inicialização Segura depende de reinicializações que ocorrem como o curso normal de uso do dispositivo. 

Teste de dispositivo usando chaves de registro 

Ao testar dispositivos individuais para garantir que os dispositivos processem as atualizações corretamente, as chaves do registro podem ser uma maneira simples de testar. 

Para testar, execute cada um dos seguintes comandos separadamente de um prompt do PowerShell de administrador: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Reinicialize manualmente o sistema quando o AvailableUpdates se tornar 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

O primeiro comando inicia a implantação do gerenciador de inicialização e certificado no dispositivo. O segundo comando faz com que a tarefa que processa a chave do registro AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. A chave do registro deve ser alterada rapidamente para 0x4100. A reinicialização e a execução da tarefa novamente farão com que o gerenciador de inicialização seja atualizado e os AvailableUpdates se tornem 0x4000. Consulte Solução de problemas para obter mais detalhes sobre como o AvailableUpdates se comporta.

Você pode encontrar os resultados observando as chaves de registro UEFICA2023Status e UEFICA2023Error e os logs de eventos, conforme descrito em eventos de atualização de variável de Inicialização Segura DB e DBX

Aceitar e optar por assistências 

As chaves de registro HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser usadas para gerenciar as duas "assistências" de implantação descritas em dispositivos Windows com atualizações gerenciadas por TI

  • A chave de registro HighConfidenceOptOut controla a atualização automática de dispositivos por meio das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos atualizando com êxito, eles serão considerados dispositivos de "alta confiança" e as atualizações de certificado de Inicialização Segura ocorrerão automaticamente. A configuração padrão é optar por entrar.

  • A chave de registro MicrosoftUpdateManagedOptIn permite que os departamentos de TI optem pela implantação automática gerenciada pela Microsoft. Essa configuração é desabilitada por padrão e configura-a como 1 opts-in. Essa configuração também exige que o dispositivo envie dados de diagnóstico opcionais.

Versões com suporte do Windows

Essa tabela divide ainda mais o suporte com base na chave do registro. 

Chave 

Versões com suporte do Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Todas as versões do Windows que dão suporte a Inicialização Segura (Windows Server 2012 e versões posteriores do Windows).  

Nota: Embora os dados de confiança sejam coletados em Windows 10, as versões LTSC, 22H2 e versões posteriores do Windows, elas podem ser aplicadas a dispositivos em execução em versões anteriores do Windows.    

  • Windows 10, versões LTSC e 22H2

  • Windows 11, versões 22H2 e 23H2

  • Windows 11, versão 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Proteger eventos de erro de inicialização

​​​​​​​​​​​​​​Os eventos de erro têm uma função de relatório crítica para informar sobre o Status de Inicialização Segura e o progresso.  Para obter informações sobre os eventos de erro, consulte Eventos de atualização de variável De Inicialização Segura E DBX. Os eventos de erro estão sendo atualizados com informações adicionais de evento para Inicialização Segura. 

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade