Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data de publicação original: 26 de junho de 2025

ID do KB: 5062710

Alterar Data

Descrição da alteração

10 de novembro de 2025

Corrigidos dois erros de digitação em "Novo Certificado":

  • da MICROSOFT Corporation KEK CA 2023" para "Microsoft Corporation KEK 2K CA 2023"

  • e de "MICROSOFT Option ROM CA 2023" a "Microsoft Option ROM UEFI CA 2023"

O que é Inicialização Segura?

A Inicialização Segura é um recurso de segurança no firmware baseado em UEFI (Unified Extensible Firmware Interface) que ajuda a garantir que apenas o software confiável seja executado durante a sequência de inicialização (inicialização) de um dispositivo. Ele funciona verificando a assinatura digital do software de pré-inicialização em um conjunto de certificados digitais confiáveis (também conhecidos como autoridade de certificado ou AC) armazenados no firmware do dispositivo. Como padrão do setor, o UEFI Secure Boot define como o firmware de plataforma gerencia os certificados, autentica o firmware e como o sistema operacional (sistema operacional) interfaces com esse processo. Para obter mais detalhes sobre UEFI e Inicialização Segura, consulte Inicialização segura.

A Inicialização Segura foi introduzida pela primeira vez no Windows 8 para proteger contra a ameaça emergente de malware pré-inicialização (também conhecido como bootkit) na época. Como parte da inicialização da plataforma, a Inicialização Segura autentica módulos de firmware antes da execução. Esses módulos incluem drivers de firmware UEFI (como ROMs de opção), carregadores de inicialização e aplicativos. Como a etapa final do processo de Inicialização Segura, o firmware verifica se a Inicialização Segura confia no carregador de inicialização. Em seguida, o firmware passa o controle para o carregador de inicialização, que, por sua vez, verifica, carrega na memória e inicia o sistema operacional Windows.

A Inicialização Segura define o código confiável por meio de um conjunto de políticas de firmware durante a fabricação. Alterações nessa política, como adicionar ou revogar certificados, são controladas por uma hierarquia de chaves. Essa hierarquia começa com a Chave de Plataforma (PK), normalmente de propriedade do fabricante de hardware, seguida pela KEK (Chave de Registro de Chave) (também conhecida como Key Exchange Key), que pode incluir um KEK da Microsoft e outros KEKs OEM. O DB (Banco de Dados de Assinatura Permitido) e o DBX (Banco de Dados de Assinatura Não Permitido) determinam qual código pode ser executado no ambiente UEFI antes do início do sistema operacional. O DB inclui certificados gerenciados pela Microsoft e pelo OEM, enquanto o DBX é atualizado pela Microsoft com as revogações mais recentes. Qualquer entidade com um KEK pode atualizar o DB e o DBX.

Certificados de Inicialização Segura do Windows expirando em 2026

Desde que o Windows introduziu o suporte à Inicialização Segura, todos os dispositivos baseados no Windows carregaram o mesmo conjunto de certificados da Microsoft no KEK e no DB. Esses certificados originais estão se aproximando da data de validade e o dispositivo será afetado se ele tiver alguma das versões de certificado listadas. Para continuar executando o Windows e recebendo atualizações regulares para sua configuração de Inicialização Segura, você precisará atualizar esses certificados.

Terminologia

  • KEK: Chave de registro de chave

  • CA: Autoridade de Certificado

  • DB: Banco de Dados de Assinatura de Inicialização Segura

  • DBX: Banco de Dados de Assinatura Revogada de Inicialização Segura

Certificado expirando

Data de validade

Novo Certificado

Armazenamento de localização

Finalidade

Microsoft Corporation KEK CA 2011

junho de 2026

Microsoft Corporation KEK 2K CA 2023

Armazenado em KEK

Assina atualizações para DB e DBX.

Microsoft Windows Production PCA 2011

Outubro de 2026

CA do Windows UEFI 2023

Armazenado no DB

Usado para assinar o carregador de inicialização do Windows.

Microsoft UEFI CA 2011*

junho de 2026

Microsoft UEFI CA 2023

Armazenado no DB

Assina carregadores de inicialização de terceiros e aplicativos EFI.

Microsoft UEFI CA 2011*

junho de 2026

Microsoft Option ROM UEFI CA 2023

Armazenado no DB

Assina ROMs de opção de terceiros

*Durante a renovação do certificado UEFI CA 2011 da Microsoft Corporation, dois certificados separam a assinatura do carregador de inicialização da opção de assinatura de ROM. Isso permite um controle mais fino sobre a confiança do sistema. Por exemplo, sistemas que precisam confiar em ROMs de opção podem adicionar a CA 2023 da Rom UEFI da opção microsoft sem adicionar confiança para carregadores de inicialização de terceiros.

A Microsoft emitiu certificados atualizados para garantir a continuidade da proteção contra inicialização segura em dispositivos Windows. A Microsoft gerenciará o processo de atualização desses novos certificados em uma parte significativa dos dispositivos Windows. Além disso, ofereceremos diretrizes detalhadas para organizações que gerenciam suas próprias atualizações de dispositivo.

Importante Quando os CAs de 2011 expirarem, os dispositivos Windows que não têm novos certificados 2023 não poderão mais receber correções de segurança para componentes de pré-inicialização que comprometem a segurança de inicialização do Windows.

Chamada para ação

Talvez seja necessário tomar medidas para garantir que seu dispositivo Windows permaneça seguro quando os certificados expirarem em 2026. O DB de Inicialização Segura UEFI e o KEK precisam ser atualizados com as novas versões de certificado 2023 correspondentes. Para obter mais informações sobre os novos certificados, consulte Windows Secure Boot Key Creation and Management Guidance

Importante Sem atualizações, os dispositivos Windows habilitados para Inicialização Segura correm o risco de não receber atualizações de segurança ou confiar em novos carregadores de inicialização, o que comprometerá a capacidade de serviço e a segurança.

Suas ações variam dependendo do tipo de dispositivo Windows que você tem. Selecione no menu à esquerda para o tipo de dispositivo e a ação específica que você precisa tomar.  

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade