Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data original publicada: 30 de outubro de 2025

ID do KB: 5068198

Este artigo tem diretrizes para: 

  • Organizações que têm seu próprio departamento de TI gerenciando dispositivos Windows e atualizações.

Observação: se você é um indivíduo que possui um dispositivo Windows pessoal, consulte o artigo Dispositivos Windows para usuários domésticos, empresas e escolas com atualizações gerenciadas pela Microsoft

Disponibilidade desse suporte

  • 14 de outubro de 2025: as versões com suporte incluem Windows 10, versão 22H2 e versões mais recentes (incluindo 21H2 LTSC), todas as versões com suporte de Windows 11 bem como Windows Server 2022 e posteriores.

  • 11 de novembro de 2025: para versões do Windows ainda em suporte.

Alterar Data

Descrição da alteração

11 de novembro de 2025

  • O link do cliente foi atualizado em "Recursos" de - "https://www.microsoft.com/download/details.aspx?id=108394" para "www.microsoft.com/en-us/download/details.aspx?id=108428".

  • A data publicada foi alterada de 29/09/2025 para 27/10/2025

26 de novembro de 2025

  • Adicionou uma nova nota em "Implantação automática de certificado por meio de Atualizações".

  • Troquei as definições de Habilitado e Desabilitado em "Implantação automática de certificado por meio de Atualizações".

Neste artigo:

Introdução

Este documento descreve o suporte para implantar, gerenciar e monitorar as atualizações de certificado de Inicialização Segura usando o objeto Política de Grupo de Inicialização Segura. As configurações consistem em: 

  • A capacidade de disparar a implantação em um dispositivo

  • Uma configuração para optar por entrar/optar por buckets de alta confiança

  • Uma configuração para optar por entrar/optar por não gerenciar atualizações da Microsoft

Método de configuração do objeto Política de Grupo (GPO)

Esse método oferece uma configuração de Política de Grupo de Inicialização Segura simples que os administradores de domínio podem definir para implantar atualizações de Inicialização Segura em todos os clientes e servidores windows ingressados no domínio. Além disso, duas assistências de Inicialização Segura podem ser gerenciadas com configurações de opt-in/opt out. 

Para obter as atualizações que incluem a política de implantação de atualizações de certificado de Inicialização Segura, confira a seção Recursos abaixo.

Essa política pode ser encontrada no seguinte caminho na interface do usuário Política de Grupo: 

           Configuração do computador >modelos administrativos >Inicialização segura >componentes do Windows 

Importante: As atualizações de inicialização segura dependem do firmware do dispositivo e alguns dispositivos podem ter problemas de compatibilidade. Para garantir uma distribuição segura:

  1. Valide a política de atualização em pelo menos um dispositivo representativo para cada tipo de dispositivo em sua organização.

  2. Confirme se os certificados de Inicialização Segura são aplicados com êxito ao UEFI DB e ao KEK. Para obter etapas detalhadas, visite Atualizações de Certificado de Inicialização Segura: Diretrizes para profissionais e organizações de TI.

  3. Após a validação, agrupar dispositivos por hash bucket e aplicar a política a esses dispositivos para uma distribuição controlada.

Configurações disponíveis 

Imagem

As três configurações disponíveis para implantação do certificado de Inicialização Segura são descritas aqui. Essas configurações correspondem às chaves de registro descritas nas atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas por TI

Habilitar a implantação do certificado de inicialização segura 

Política de Grupo nome da configuração: habilitar a implantação do certificado de inicialização segura 

images

Descrição: Essa política controla se o Windows inicia o processo de implantação do certificado de Inicialização Segura em dispositivos. 

  • Habilitado: o Windows começa automaticamente a implantar certificados de Inicialização Segura atualizados assim que a tarefa Inicialização Segura for executada.

  • Desabilitado: o Windows não implanta certificados automaticamente.

  • Não configurado: o comportamento padrão se aplica (sem implantação automática).

Observações: 

  • A tarefa que processa essa configuração é executada a cada 12 horas. Algumas atualizações podem exigir uma reinicialização para serem concluídas com segurança.

  • Depois que os certificados são aplicados ao firmware, eles não podem ser removidos do Windows. A limpeza de certificados deve ser feita por meio da interface do firmware.

  • Essa configuração é considerada uma preferência; se o GPO for removido, o valor do registro permanecerá.

  • Corresponde à chave do registro AvailableUpdates.

Implantação automática de certificado por meio de Atualizações 

Política de Grupo nome da configuração: Implantação automática de certificado por meio de Atualizações 

Imagens.

Descrição: Essa política controla se as atualizações de certificado de Inicialização Segura são aplicadas automaticamente por meio de atualizações mensais de segurança e não de segurança do Windows. Os dispositivos validados pela Microsoft como capazes de processar atualizações de variável de Inicialização Segura receberão essas atualizações como parte da manutenção cumulativa e as aplicarão automaticamente. 

Observação: Habilitar essa política desabilita a implantação automática de certificado por meio de Atualizações. Isso é equivalente a definir a chave de registro HighConfidenceOptOut como 1.Desabilitar essa política opta pela implantação automática do certificado por meio de Atualizações, o que equivale a definir HighConfidenceOptOut como 0.

  • Habilitado: a implantação automática está bloqueada; as atualizações devem ser gerenciadas manualmente.

  • Desabilitado: dispositivos com resultados de atualização validados receberão atualizações de certificado automaticamente durante a manutenção.

  • Não configurado: a implantação automática ocorre por padrão.

Observações: 

  • Dispositivos pretendidos confirmados para processar atualizações com êxito.

  • Configure essa política para optar pela implantação automática.

  • Corresponde à chave do registro HighConfidenceOptOut.

Implantação de certificado por meio da distribuição de recursos controlados 

Política de Grupo nome da configuração: Implantação de certificado por meio da distribuição de recursos controlados 

imagem

Descrição: Essa política permite que as empresas participem de uma distribuição de recursos controlados da atualização de certificado de Inicialização Segura gerenciada pela Microsoft.

  • Habilitado: a Microsoft auxilia na implantação de certificados em dispositivos registrados na distribuição.

  • Desabilitado ou não configurado: nenhuma participação na distribuição controlada.

Requisitos

Recursos

Confira também Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas por TI para obter detalhes sobre as chaves de registro UEFICA2023Status e UEFICA2023Error para monitorar os resultados do dispositivo. 

Consulte Eventos de atualização de variável DB e DBX de Inicialização Segura para eventos úteis na compreensão do status de dispositivos, atributos de dispositivo e IDs de bucket do dispositivo. Preste atenção especial aos eventos 1801 e 1808 descritos na página de eventos. 

Para as MSIs Política de Grupo e a Planilha de Referência de Configurações de GP, use os links abaixo ou verifique se os modelos administrativos usados são publicados em ou após as datas listadas na tabela. 

Plataforma

MSI publicado

Planilha de referência de configurações de GP publicada

Client

Baixar Modelos Administrativos (.admx) para Windows 11 atualização 2025 (25H2) – V2.0 do site oficial da Microsoft

Publicado em: 27/10/2025

Baixar Política de Grupo Planilha de Referência de Configurações para Windows 11 Atualização 2025 (25H2) – V2.0 do site oficial da Microsoft

Publicado em: 2/10/2025

Servidor

Baixar Modelos Administrativos (.admx) para Windows Server 2025 (versão de 25 de outubro) do site oficial da Microsoft

Publicado em: 27/10/2025

Baixar Política de Grupo Planilha de Referência de Configurações para Windows Server 2025 (versão de 25 de outubro) do site oficial da Microsoft

Publicado em: 27/10/2025
Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade