Data de publicação original: 15 de junho de 2022
ID do KB: 5016061
Neste artigo
Introdução
Para ajudar a manter os dispositivos Windows seguros, a Microsoft mantém vários componentes relacionados à Inicialização Segura, incluindo os bancos de dados de assinatura de Inicialização Segura (DB e DBX), a chave de troca de chaves (KEK) e o gerenciador de inicialização do Windows. O Windows aplica atualizações a esses componentes quando eles estão disponíveis e verifica se cada atualização pode ser instalada com segurança no dispositivo. O Windows criará entradas de log de eventos quando uma atualização for bem-sucedida ou quando detectar um problema que impede que a atualização seja aplicada ao firmware do sistema.
Resumo
Quando o Windows atualiza um desses componentes relacionados à Inicialização Segura, ele registra um evento de sucesso quando a atualização é aplicada corretamente. Quando o Windows detecta uma condição que impede que uma atualização seja aplicada, ele gera um evento de aviso ou erro que identifica o componente afetado e descreve o problema. Isso pode ocorrer quando o firmware não dá suporte a uma atualização necessária, quando um bootloader vulnerável ou não confiável está presente, quando as chaves de Inicialização Segura foram personalizadas ou quando o gerenciador de inicialização requer ação corretiva. Cada evento inclui detalhes de diagnóstico, como o nome do componente e o motivo do sucesso ou falha, e pode se assemelhar ao seguinte exemplo:
Entrada de log de eventos de exemplo
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
< ID do evento> |
|
Nível |
Erro |
|
Texto da mensagem do evento |
<texto da mensagem> |
Eventos de Inicialização Segura Genérica
Nesta seção
ID do evento: 1032
Esse evento é registrado quando o BitLocker na unidade do sistema é configurado de forma que a aplicação da atualização de Inicialização Segura ao firmware faria com que o BitLocker entrasse no modo de recuperação. A resolução é suspender temporariamente o BitLocker por dois ciclos de reinicialização para permitir a instalação da atualização.
Tome medidas
Para resolver esse problema, execute o seguinte comando em um prompt de comando do Administrador para suspender o BitLocker por dois ciclos de reinicialização:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Em seguida, reinicie o dispositivo duas vezes para retomar a proteção do BitLocker.
Para garantir que a proteção do BitLocker tenha sido retomada, execute o seguinte comando após reiniciar duas vezes:
-
Manage-bde –Protectors –enable %systemdrive%
Informações do log de eventos
A ID do evento 1032 será registrada quando a configuração do BitLocker na unidade do sistema fará com que o sistema entre na recuperação do BitLocker se a atualização de Inicialização Segura for aplicada. Nesse evento, <tipo de evento> pode ser um dos seguintes: "DB", "DBX", "SBAT", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Opção ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" ou "Revogar UEFI CA 2011 (DBX)".
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1032 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
A atualização de Inicialização Segura <tipo de evento> não foi aplicada devido a uma incompatibilidade conhecida com a configuração atual do BitLocker. |
ID do evento: 1033
Quando a lista de revogação DBX atualizada é instalada em um dispositivo, o Windows verifica se o sistema depende de um dos módulos vulneráveis para iniciar o dispositivo. Se um dos módulos vulneráveis for detectado, a atualização para a lista DBX no firmware será adiada. Em cada reinicialização do sistema, o dispositivo é reiniciado para determinar se o módulo vulnerável foi atualizado e se é seguro aplicar a lista DBX atualizada.
Tome medidas
Na maioria dos casos, o fornecedor do módulo vulnerável deve ter uma versão atualizada que resolve a vulnerabilidade. Entre em contato com o fornecedor para obter a atualização.
Informações do log de eventos
A ID do evento 1033 será registrada quando um carregador de inicialização vulnerável que foi revogado por essa atualização for detectado em seu dispositivo.
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1046 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
O gerenciador de inicialização potencialmente revogado foi detectado na partição EFI. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
|
BootMgr de Dados de Evento |
<caminho e o nome do arquivo vulnerável> |
ID do evento: 1034
Este evento é registrado quando a variável DBX de Inicialização Segura é atualizada com êxito. A variável DBX é usada para remover a confiança de componentes de Inicialização Segura, e normalmente é usada para bloquear componentes de Inicialização Segura vulneráveis ou mal-intencionados, como gerenciadores de inicialização e certificados usados para assinar gerenciadores de inicialização.
O evento 1034 indica que as revogações padrão do DBX estão sendo aplicadas ao firmware,
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1034 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Atualização DBX de inicialização segura aplicada com êxito |
ID do evento: 1036
Este evento é registrado quando a variável do Banco de Dados de Inicialização Segura é atualizada com êxito. A variável do Banco de Dados é usada para adicionar confiança para componentes de Inicialização Segura e normalmente é usada para confiar em certificados usados para assinar gerenciadores de inicialização.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1036 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Atualização do Banco de Dados de Inicialização Segura aplicada com êxito |
ID do evento: 1037
Este evento é registrado quando o certificado Microsoft Windows Production PCA 2011 é adicionado ao Banco de Dados de Assinaturas Proibidas (DBX) de Inicialização Segura da UEFI. Quando isso ocorre, todos os aplicativos de inicialização assinados com esse certificado não serão mais confiáveis ao iniciar o dispositivo. Isso inclui todos os aplicativos de inicialização usados com mídia de recuperação do sistema, aplicativos de inicialização PXE e qualquer outra mídia que utilize um aplicativo de inicialização assinado por esse certificado.
Informações do log de erros
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1037 |
|
Nível |
Informações |
|
Texto da mensagem de erro |
A atualização do DBX de Inicialização Segura para revogar o Microsoft Windows Production PCA 2011 foi aplicada com êxito. |
ID do evento: 1043
Esse evento é registrado quando a variável KEK de Inicialização Segura é atualizada com êxito com o certificado KEK CA 2023 da Microsoft Corporation . A variável KEK é usada para adicionar confiança para atualizações de Inicialização Segura às variáveis DB e DBX. Adicionar esse novo certificado ao KEK é necessário para ajudar a manter os dispositivos seguros após a expiração do certificado KEK CA 2011 da Microsoft Corporation existente que está expirando em 2026.
Informações do log de erros
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1043 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Atualização kek de inicialização segura aplicada com êxito |
ID do evento: 1044
Esse evento é registrado quando o certificado ROM CA 2023 da Microsoft Option é adicionado à variável DB. A variável do Banco de Dados é usada para adicionar confiança para componentes de Inicialização Segura e normalmente é usada para confiar em certificados usados para assinar gerenciadores de inicialização. A adição do novo certificado rom de opção ao DB é necessária para garantir a continuidade do suporte antes da expiração da CA da UEFI da Microsoft em 2011 em 2026.
Informações do log de erros
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1044 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Atualização do DB de Inicialização Segura para instalar o certificado ROM UEFI CA 2023 da Microsoft Option aplicado com êxito |
ID do evento: 1045
Esse evento é registrado quando o certificado MICROSOFT UEFI CA 2023 é adicionado à variável DB. A variável do Banco de Dados é usada para adicionar confiança para componentes de Inicialização Segura e normalmente é usada para confiar em certificados usados para assinar gerenciadores de inicialização. A adição do novo certificado MICROSOFT UEFI CA 2023 ao DB é necessária para garantir a continuidade do suporte antes da expiração do Microsoft UEFI CA 2011 em 2026.
Informações do log de erros
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1045 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Atualização do DB de Inicialização Segura para instalar o certificado MICROSOFT UEFI CA 2023 aplicado com êxito |
ID do evento: 1796
Quando a atualização de Inicialização Segura é aplicada a um dispositivo e ocorre um erro que não é abordado por outros eventos, um evento é registrado e o Windows tentará aplicar a atualização de Inicialização Segura ao firmware na próxima reinicialização do sistema.
Informações do log de eventos
A ID do evento 1796 ocorre quando um erro inesperado é encontrado. A entrada do log de eventos incluirá o código de erro para o erro inesperado. Nesse evento, <tipo de evento> pode ser um dos seguintes: "DB", "DBX", "SBAT", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Opção ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" ou "Revogar UEFI CA 2011 (DBX)".
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1796 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
A atualização de Arranque Seguro não conseguiu atualizar <tipo de evento> com o erro <código de erro>. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
ID do Evento: 1797
Este evento é registrado durante uma tentativa de adicionar o certificado Microsoft Windows Production PCA 2011 ao Banco de Dados de Assinaturas Proibidas de Inicialização segura da UEFI (DBX).
Antes de adicionar este certificado ao DBX, é feita uma verificação para garantir que o certificado do UEFI CA 2023 do Windows tenha sido adicionado ao Banco de Dados de Assinatura de Inicialização Segura (DB) da UEFI. Se o UEFI CA 2023 do Windows não tiver sido adicionado ao Banco de dados, o Windows falhará intencionalmente na atualização do DBX. Isso é feito para garantir que o dispositivo confie em pelo menos um desses dois certificados, o que garante que o dispositivo confiará nos aplicativos de inicialização assinados pela Microsoft.
Ao adicionar o PCA 2011 de Produção do Microsoft Windows ao DBX, duas verificações são feitas para garantir que o dispositivo continue a inicializar com êxito: 1) garantir que o Windows UEFI CA 2023 tenha sido adicionado ao DB, 2) garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado Microsoft Windows Production PCA 2011.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1797 |
|
Nível |
Erro |
|
Texto da mensagem de erro |
A atualização de Arranque Seguro falhou porque o certificado DA UEFI ca 2023 do Windows não está presente na base de dados. |
ID do Evento: 1798
Este evento é registrado durante uma tentativa de adicionar o certificado Microsoft Windows Production PCA 2011 ao Banco de Dados de Assinaturas Proibidas de Inicialização segura da UEFI (DBX).
Antes de adicionar esse certificado ao DBX, é feita uma verificação para garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado de assinatura do Microsoft Windows Production PCA 2011. Se o aplicativo de inicialização padrão for assinado pelo certificado de assinatura do Microsoft Windows Production PCA 2011, o Windows intencionalmente falhará na atualização do DBX.
Ao adicionar o PCA 2011 de Produção do Microsoft Windows ao DBX, duas verificações são feitas para garantir que o dispositivo continue a inicializar com êxito: 1) garantir que o Windows UEFI CA 2023 tenha sido adicionado ao DB, 2) garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado Microsoft Windows Production PCA 2011.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1798 |
|
Nível |
Erro |
|
Texto da mensagem de erro |
A atualização do Dbx de Arranque Seguro falhou porque o gestor de arranque não está assinado com o certificado CA 2023 do UEFI do Windows. |
ID do Evento: 1799
Este evento é registrado quando um gerenciador de inicialização é aplicado ao sistema que é assinado pelo certificado UEFI CA 2023 do Windows
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1799 |
|
Nível |
Informações |
|
Texto da mensagem de erro |
O gerenciador de inicialização assinado com o UEFI CA 2023 do Windows foi instalado com êxito |
ID do Evento: 1800
Este evento é registado quando o sistema deteta que a aplicação de uma atualização de Arranque Seguro no ciclo de arranque atual pode criar um conflito com alterações recentes, como uma atualização do Gestor de Arranque ou atualizações para variáveis de Arranque Seguro em dispositivos que utilizam segurança baseada em virtualização. Um reinício limpa estas condições para que a atualização possa prosseguir em segurança. Neste evento, <tipo de evento> pode ser um dos seguintes: "DB", "DBX", "Atualização de Políticas (SKU)", "CA UEFI do Windows 2023 (DB)", "Opção ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" ou "Revoke UEFI CA 2011 (DBX)".
Informações do log de eventos
|
Log de eventos |
Sistema |
|
ID de Evento |
1800 |
|
Nível |
Aviso |
|
Texto da mensagem de evento |
É necessário reiniciar antes de instalar a atualização de Arranque Seguro: <tipo de evento>. |
Eventos específicos do dispositivo
Nesta seção
Detalhes do evento
-
DeviceAttributes descreve as características do dispositivo. Estes valores são utilizados ao calcular o BucketID.
-
BucketID é um hash exclusivo que identifica um grupo de dispositivos equivalentes. Um dispositivo pode mover-se para um registo diferente quando os respetivos atributos mudam, por exemplo, após uma atualização de firmware.
-
UpdateType será 0 ou 22852 (0x5944). O valor 0x5944 indica uma atualização de Alta Confiança.
-
BucketConfidenceLevel é apresentado quando o sistema tem dados suficientes para avaliar a confiança com que o dispositivo pode aceitar a atualização. Os valores possíveis incluem:
-
Confiança Elevada: Os dispositivos deste grupo demonstraram, através de dados observados, que podem atualizar o firmware com êxito com os novos certificados de Arranque Seguro.
-
Temporariamente em Pausa: Os dispositivos neste grupo são afetados por um problema conhecido. Para reduzir o risco, as atualizações de certificados de Arranque Seguro são temporariamente colocadas em pausa enquanto a Microsoft e os parceiros trabalham para uma resolução suportada. Isto pode exigir uma atualização de firmware. Procure um evento 1802 para obter mais detalhes.
-
Não Suportado – Limitação Conhecida: Os dispositivos neste grupo não suportam o caminho de atualização do certificado de Arranque Seguro automatizado devido a limitações de hardware ou firmware. Não existe atualmente nenhuma resolução automática suportada disponível para esta configuração.
-
Em Observação – Mais Dados Necessários: Os dispositivos neste grupo não estão atualmente bloqueados, mas ainda não existem dados suficientes para classificá-los como sendo de elevada confiança. As atualizações do certificado de Arranque Seguro podem ser diferidas até que estejam disponíveis dados suficientes.
-
Sem Dados Observados - Ação Necessária: A Microsoft não observou este dispositivo nos dados de atualização de Arranque Seguro. Como resultado, as atualizações automáticas de certificado não podem ser avaliadas para este dispositivo, e a ação do administrador provavelmente é necessária. Para obter diretrizes, consulte: https://aka.ms/SecureBootStatus.
-
ID do evento: 1795
Quando um DB (Banco de Dados de Assinatura de Inicialização Segura), um DBX (Banco de Dados de Assinatura Revogada) ou uma atualização kek (chave de troca de chaves) é aplicado ao firmware, o firmware pode retornar um erro. Quando ocorre um erro, um evento é registrado e o Windows tentará aplicar a atualização ao firmware na próxima reinicialização do sistema.
Tome medidas
Entre em contato com o fabricante do dispositivo para determinar se uma atualização de firmware está disponível.
Informações do log de eventos
A ID do evento 1795 será registrada quando o firmware no dispositivo retornar um erro. A entrada do log de eventos incluirá o código de erro retornado do firmware.
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1795 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
O firmware do sistema retornou um erro <código de erro de firmware> ao tentar atualizar uma variável de Inicialização Segura <DB, DBX ou KEK>. Estas informações de assinatura do dispositivo estão incluídas aqui.DeviceAttributes: <atributos> BucketId: <ID exclusiva do bucket do dispositivo> BucketConfidenceLevel: <nível de confiança do bucket> Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
ID do evento: 1801
Este é um evento de erro que indica que os certificados atualizados não foram aplicados ao firmware do dispositivo. Este evento fornece alguns detalhes sobre o dispositivo, incluindo atributos de dispositivo e ID do bucket do dispositivo, que ajudarão a correlacionar quais dispositivos ainda precisam ser atualizados.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1801 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
Os certificados de Inicialização Segura foram atualizados, mas ainda não foram aplicados ao firmware do dispositivo. Examine as diretrizes publicadas para concluir a atualização e garantir a proteção total. Estas informações de assinatura do dispositivo estão incluídas aqui. DeviceAttributes: <atributos>BucketId: <ID do bucket>BucketConfidenceLevel: <nível de confiança>UpdateType: <tipo de atualização> Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2301018. |
ID do evento: 1802
Esse evento indica que a atualização de Inicialização Segura foi bloqueada intencionalmente porque o dispositivo corresponde a um firmware ou condição de hardware conhecido que impede que a atualização seja concluída com segurança. Essas condições são baseadas em problemas relatados por fabricantes de dispositivos ou identificados por meio de testes da Microsoft, em que a aplicação da atualização falharia ou poderia levar a problemas mais graves. O evento identifica o motivo específico para que os administradores possam entender por que a atualização não prossegue. Nesse evento, <tipo de evento> pode ser um dos seguintes: "DB", "DBX", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Opção ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" ou "Revogar a UEFI CA 2011 (DBX)". Detalhes sobre <> de ID de problema conhecido e as diretrizes para correção estão disponíveis em https://go.microsoft.com/fwlink/?linkid=2339472.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
ID de Evento |
1802 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
A atualização de Inicialização Segura <tipo de evento> foi bloqueada devido a um problema de firmware conhecido no dispositivo. Verifique com o fornecedor do dispositivo uma atualização de firmware que resolva o problema. Estas informações de assinatura do dispositivo estão incluídas aqui.DeviceAttributes: <atributos>BucketId: <ID do bucket>BucketConfidenceLevel: <nível de confiança>SkipReason: <ID do problema conhecido> Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2339472 |
ID do evento: 1803
A Inicialização Segura só pode atualizar a Chave do Key Exchange quando o KEK é assinado corretamente pela Chave de Plataforma. Fabricantes de dispositivos ou outros proprietários da Chave de Plataforma assinam o MICROSOFT KEK e fornecem esse KEK assinado para a Microsoft para que ele possa ser incluído nas atualizações do Windows. Esse evento significa que um KEK assinado por PK para este dispositivo não foi encontrado na atualização cumulativa, portanto, a atualização KEK não pode continuar. Os clientes podem marcar com seu fabricante de dispositivos para o status de um KEK assinado por PK para seu modelo. Mais informações estão disponíveis em https://go.microsoft.com/fwlink/?linkid=2339472.
|
Log de eventos |
Sistema |
|
ID de Evento |
1803 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
Não foi possível encontrar uma KEK (Chave de Troca de Chaves) assinada por PK para este dispositivo. Verifique com o fabricante do dispositivo o provisionamento de chave adequado.Estas informações de assinatura do dispositivo estão incluídas aqui.DeviceAttributes: <atributos>BucketId: <ID do bucket>BucketConfidenceLevel: <nível de confiança> Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2339472 |
ID do evento: 1808
Este é um evento informativo que indica que o dispositivo tem os novos certificados de Inicialização Segura necessários aplicados ao firmware do dispositivo. Esse evento será registrado quando todos os certificados necessários tiverem sido aplicados ao firmware e o gerenciador de inicialização for atualizado para o gerenciador de inicialização assinado pelo certificado "Windows UEFI CA 2023".
Observação: Esse evento indica que o dispositivo está totalmente atualizado. O BucketConfidenceLevel reflete a cobertura de dados da Microsoft para dispositivos semelhantes e não indica que novas ações são necessárias neste dispositivo.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1808 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Este dispositivo atualizou a CA/keys da Inicialização Segura. Estas informações de assinatura do dispositivo estão incluídas aqui. DeviceAttributes: <atributos>BucketId: <ID do bucket>BucketConfidenceLevel: <nível de confiança>UpdateType: <tipo de atualização> Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2301018. |
Log de mudanças
|
Data da alteração |
Descrição |
|
18 de abril de 2026 |
|
|
10 de fevereiro de 2026 |
|
|
9 de fevereiro de 2026 |
|
|
14 de outubro de 2025 |
|
|
9 de julho de 2025 |
|
|
29 de janeiro de 2025 |
|
