Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data original publicada: 14 de outubro de 2025

ID do KB: 5068202

Este artigo tem diretrizes para:  

  • Organizações com dispositivos Windows gerenciados por TI e atualizações.

Disponibilidade desse suporte:  

  • As chaves de registro AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut e MicrosoftUpdateManagedOptIn são incluídas nas atualizações lançadas nas seguintes datas:

    • 14 de outubro de 2025: as versões com suporte incluem Windows 10, versão 22H2 e versões mais recentes (incluindo 21H2 LTSC), todas as versões com suporte de Windows 11 bem como Windows Server 2022 e posteriores.

    • 11 de novembro de 2025: para versões do Windows ainda em suporte.

Neste artigo

Introdução

Este documento descreve o suporte para implantar, gerenciar e monitorar as atualizações de certificado de Inicialização Segura usando chaves de registro do Windows. As chaves consistem no seguinte: 

  • Uma chave para disparar a implantação dos certificados e do gerenciador de inicialização no dispositivo.

  • Duas chaves para monitoramento status da implantação.

  • Duas chaves para gerenciar as configurações de opt-in/opt-out para as duas assistências de implantação disponíveis.

Essas chaves de registro podem ser definidas manualmente no dispositivo ou remotamente por meio do software de gerenciamento de frota disponível. Outros métodos de implantação, como Política de Grupo, Intune e WinCS são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações gerenciadas por TI.  

Chaves de registro de inicialização segura

Nesta seção

Chaves do Registro

Todas as chaves do Registro de Inicialização Segura descritas neste documento estão localizadas neste caminho de registro: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

A tabela a seguir descreve cada um dos valores do registro. 

Valor do Registro

Tipo

Descrição & Uso

AvailableUpdates

REG_DWORD (bitmask)

Atualizar sinalizadores de gatilho.

Controla quais ações de atualização de Inicialização Segura serão executadas no dispositivo. Definir o campo bit apropriado aqui inicia a implantação de novos certificados de Inicialização Segura e atualizações relacionadas. Para implantação empresarial, isso deve ser definido como 0x5944 (hex) – um valor que habilita todas as atualizações relevantes (adicionando os novos certificados de CA 2023, atualizando o KEK e instalando o novo gerenciador de inicialização). 

Configurações: 

  • 0 ou não definido – Nenhuma atualização de chave de inicialização segura é executada.

  • 0x5944 – Implantar todos os certificados necessários e atualizar para o gerenciador de inicialização assinado PCA2023

UEFICA2023Status

REG_SZ (cadeia de caracteres)

Indicador status de implantação.

Reflete o estado atual da atualização da chave de inicialização segura no dispositivo. Ele será definido como um dos seguintes valores de texto:

  • NotStarted:A atualização ainda não foi executada.

  • InProgress:A atualização está ativamente em andamento.

  • Atualizado: A atualização foi concluída com êxito.

Inicialmente, o status é NotStarted. Ele muda para InProgress quando a atualização começa e, finalmente, para Atualizado quando todas as novas chaves e o novo gerenciador de inicialização forem implantados. Se houver um erro, o valor do registro UEFICA2023Error será definido como um código não zero.

UEFICA2023Error

REG_DWORD (código)

Código de erro (se houver).

Esse valor permanece 0 em êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error será definido como um código de erro não zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização de Inicialização Segura não foi totalmente bem-sucedida e pode exigir investigação ou correção nesse dispositivo.  

Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhar devido a um problema de firmware, essa chave de registro poderá mostrar um código de erro que pode ser mapeado para um log de eventos ou uma ID de erro documentada em eventos de atualização de variável de Inicialização Segura E DBX

HighConfidenceOptOut

REG_DWORD

Uma opção de cancelamento.

Para empresas que desejam sair de buckets de alta confiança que serão aplicados automaticamente como parte da LCU.

Você pode definir essa chave como um valor não zero para optar por sair dos buckets de alta confiança. 

Configurações 

  • 0 ou a chave não existe – Opt-in

  • 1 – Opt-in

MicrosoftUpdateManagedOptIn

REG_DWORD

Uma opção de entrada.

Para empresas que desejam aceitar a manutenção de CFR (Distribuição de Recursos Controlados), também conhecida como Gerenciada pela Microsoft.

Além de definir essa chave, permita o envio de dados de diagnóstico necessários (consulte Configurar dados de diagnóstico do Windows em sua organização). 

Configurações

  • 0 ou a chave não existe – Opt-out

  • 1 – Opt-in

Como essas chaves funcionam juntas

O administrador de TI configura o valor do registro AvailableUpdates para 0x5944, o que sinaliza o Windows para executar a atualização e instalação da chave de inicialização segura no dispositivo.

À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, finalmente, para Atualizado após o sucesso. Como cada bit em 0x5944 é processado com êxito, ele é limpo.

Se alguma etapa falhar, um código de erro será registrado no UEFICA2023Error (e o status permanecerá InProgress).

Esse mecanismo fornece aos administradores uma maneira clara de disparar e acompanhar a distribuição por dispositivo. 

Implantação usando chaves de registro 

A implantação em um grupo de dispositivos consiste nas seguintes etapas: 

  1. Defina o valor do registro AvailableUpdates como 0x5944 em cada um dos dispositivos a serem atualizados.

  2. Monitore as chaves de registro UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão progredindo. Lembre-se de que a tarefa que processa essas atualizações é executada uma vez a cada 12 horas. Observe que a atualização do gerenciador de inicialização pode não acontecer até que ocorra uma reinicialização.

  3. Investigue os problemas se eles ocorrerem. Se UEFICA2023Error não for zero em um dispositivo, você poderá marcar o log de eventos para eventos relacionados a esse problema. Consulte Eventos de atualização de variável DB e DBX de Inicialização Segura para obter uma lista completa de eventos de Inicialização Segura.

Uma nota sobre reinicializações: embora uma reinicialização possa ser necessária para concluir o processo, iniciar a implantação das atualizações de Inicialização Segura não causará uma reinicialização. Se uma reinicialização for necessária, a implantação da Inicialização Segura depende de reinicializações que ocorrem como o curso normal de uso do dispositivo. 

Teste de dispositivo usando chaves de registro 

Ao testar dispositivos individuais para garantir que os dispositivos irão processar as atualizações corretamente, as chaves de registo podem ser uma forma simples de testar. 

Para testar, execute cada um dos seguintes comandos separadamente a partir de uma linha de comandos do PowerShell do administrador: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

O primeiro comando inicia a implementação do certificado e do gestor de arranque no dispositivo. O segundo comando faz com que a tarefa que processa a chave de registo AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. 

Pode encontrar os resultados observando as chaves de registo UEFICA2023Status e UEFICA2023Error e os registos de eventos, conforme descrito em Eventos de atualização da variável DBX e Secure Boot

Optar ativamente por participar e optar ativamente por não participar nas assistências 

As chaves de registo HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser utilizadas para gerir as duas "assistências" de implementação descritas em dispositivos Windows com atualizações geridas por TI

  • A chave de registo HighConfidenceOptOut controla a atualização automática de dispositivos através das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos a serem atualizados com êxito, serão considerados dispositivos de "alta confiança" e as atualizações de certificados de Arranque Seguro ocorrerão automaticamente. A predefinição para esta opção optou por participar.

  • A chave de registo MicrosoftUpdateManagedOptIn permite que os departamentos de TI optem ativamente por participar na implementação automática gerida pela Microsoft. Esta definição está desativada por predefinição e está a defini-la como 1 opt-in. Esta definição também requer que o dispositivo envie dados de diagnóstico opcionais.

Versões suportadas do Windows

Esta tabela divide ainda mais o suporte com base na chave de registo. 

Chave 

Versões suportadas do Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Todas as versões do Windows que suportam o Arranque Seguro (Windows Server 2012 e versões posteriores do Windows).  

Nota: Embora os dados de confiança sejam recolhidos no Windows 10, versões LTSC, 22H2 e versões posteriores do Windows, podem ser aplicados a dispositivos em execução em versões anteriores do Windows.    

  • Windows 10, versões LTSC e 22H2

  • Windows 11, versões 22H2 e 23H2

  • Windows 11, versão 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Eventos de erro de Arranque Seguro

​​​​​​​​​​​​​​Os eventos de erro têm uma função de relatório crítica para informar sobre o Estado e o progresso do Arranque Seguro.  Para obter informações sobre os eventos de erro, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot). Os eventos de erro estão a ser atualizados com informações de evento adicionais para o Arranque Seguro. 

Alterações adicionais de componentes para o Arranque Seguro 

Nesta seção

Alterações de TPMTasks 

Modifique tPMTasks para determinar se o estado do dispositivo tem os certificados de Arranque Seguro atualizados. Atualmente, pode fazer essa determinação, mas apenas se o CFR selecionar um computador para atualização. Essa determinação e registo subsequente devem ocorrer em todas as sessões de arranque, independentemente do CFR. Se os certificados de Arranque Seguro não estiverem totalmente atualizados, emitirão os dois eventos de erro descritos acima. Se os certificados estiverem atualizados, emitirão o evento Informações. Os certificados de Arranque Seguro que serão verificados são:  

  • WINDOWS UEFI CA 2023

  • Microsoft UEFI CA 2023 e Microsoft Option ROM UEFI CA 2023 – estas duas ACs só têm de estar presentes se o MICROSOFT UEFI CA 2011 estiver presente. Se o Microsoft UEFI CA 2011 não estiver presente, não é necessário marcar.

  • Microsoft Corporation KEK 2K CA 2023

Evento de metadados do computador 

Este evento recolherá os metadados do computador e emitirá o seguinte evento:

  • BucketId + Evento de Classificação de Confiança   

Este evento utilizará os metadados do computador para encontrar a entrada correspondente na base de dados das máquinas (entrada de registo). A máquina irá formatar e emitir um evento com estes dados juntamente com quaisquer informações de confiança sobre o registo. ​​​​​​​ 

Assistência de dispositivos altamente confiante 

Para dispositivos em registos de alta confiança, os certificados de Arranque Seguro e o gestor de arranque assinado 2023 serão aplicados automaticamente.   

A atualização será acionada ao mesmo tempo que os dois eventos de erro são gerados e o evento BucketId + Classificação de Confiança inclui uma classificação de alta confiança.   

Optar ativamente por não participar

Para os clientes que pretendam optar ativamente por não participar, estará disponível uma nova chave de registo da seguinte forma:   

Local do Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Nome da tecla

HighConfidenceOptOut

Tipo de chave

DWORD

Valor DWORD

0 ou a chave não existe – a assistência de alta confiança está ativada.    

1 – A assistência de alta confiança está desativada   

Qualquer outro valor é indefinido   

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade