Perguntas frequentes sobre o processo de atualização de Inicialização Segura

Depois que os certificados de Inicialização Segura expirarem, os dispositivos que não receberam os certificados 2023 mais recentes continuarão a iniciar e operar normalmente, e as atualizações padrão do Windows continuarão a ser instaladas. No entanto, esses dispositivos não poderão mais receber novas proteções de segurança para o processo de inicialização antecipada, incluindo atualizações para o Windows Boot Manager, bancos de dados de Inicialização Segura, listas de revogação ou mitigações para vulnerabilidades de nível de inicialização recém-descobertas. 

Ao longo do tempo, isso limita a proteção do dispositivo contra ameaças emergentes e pode afetar cenários que dependem da confiança de Inicialização Segura, como o endurecimento do BitLocker ou bootloaders de terceiros. A maioria dos dispositivos Windows receberá os certificados atualizados automaticamente e muitos OEMs forneceram atualizações de firmware quando necessário. Manter o dispositivo atual com essas atualizações ajuda a garantir que ele possa continuar recebendo o conjunto completo de proteções de segurança que a Inicialização Segura foi projetada para fornecer.

É melhor atualizar certificados de Inicialização Segura bem antes da data de validade de junho de 2026. 

Se o dispositivo for gerenciado pela Microsoft e compartilhar dados de diagnóstico com a Microsoft, a Microsoft tentará atualizar os certificados de Inicialização Segura automaticamente na maioria dos casos. Embora a Microsoft faça o seu melhor para atualizar a Inicialização Segura, haverá algumas situações em que a atualização não é garantida para ser aplicada e precisará de ação do cliente. O cliente é, em última análise, responsável por atualizar os certificados de Inicialização Segura. 

Exemplos de situações em que dispositivos gerenciados pela Microsoft com dados de diagnóstico habilitados podem não receber atualizações incluem:

• As atualizações de Inicialização Segura da Microsoft se aplicam apenas a algumas versões em suporte do Windows.

• Os dados de diagnóstico habilitados em seu dispositivo podem ser bloqueados por um firewall em sua organização e não chegar à Microsoft.

• Pode haver algo errado com o firmware no dispositivo.

Observação O que significa ser "Gerenciado pela Microsoft"? O sistema compartilha dados de diagnóstico e é gerenciado pelo Microsoft Cloud ou Intune. 

Se o seu dispositivo não estiver compartilhando dados de diagnóstico com a Microsoft e for gerenciado pelo departamento de TI da sua organização ou pelo cliente, o departamento de TI poderá atualizar os sistemas seguindo as diretrizes da Microsoft nas atualizações de certificado de Inicialização Segura do Windows e de CA.

Se o computador for gerenciado pela Microsoft, os certificados de Inicialização Segura serão atualizados por meio de Windows Update.  

Se o computador for gerenciado por sua organização ou administrador de TI empresarial, o departamento de TI terá métodos para atualizar o sistema usando diretrizes em atualizações de certificado de Inicialização Segura do Windows e atualizações de AC. 

Windows 10 Suporte termina em 14 de outubro de 2025. Para obter mais informações, consulte Windows 10 o suporte termina em 14 de outubro de 2025. 

Para continuar a receber Atualizações de segurança após essa data, os clientes que permanecem no Windows 10 podem se inscrever para: 

• O programa Windows 10 ESU (Atualizações de Segurança Estendida), consulte Windows 10 Programa de Atualizações de Segurança Estendida (ESU)

• Ou se você tiver uma versão LTSC com suporte do Windows 10, ele continuará a obter segurança Atualizações até a data de validade do LTSC. Por exemplo, consulte Programa de ESU (Atualizações de Segurança Estendida) para Windows 10

Observação

• Windows 10 Enterprise LTSC está disponível para compra como um SKU autônomo ou como parte de uma assinatura do Windows Enterprise E3.

• O WINDOWS IoT Enterprise LTSC pode ser comprado diretamente de um OEM ou por meio de uma Licença de Fornecedor como um SKU autônomo.

Certificados de Inicialização Segura permitem que o firmware verifique se os componentes críticos, como gerenciador de inicialização, ROMs de opção (drivers de firmware) e outros softwares baseados em firmware, são confiáveis e não foram adulterados. A Microsoft usa esses certificados para assinar gerenciador de inicialização e outros componentes que devem ser confiáveis, bem como atualizações de Inicialização Segura. Quando os certificados mais antigos expiram, eles não podem mais ser usados para assinar novos componentes ou atualizações.

Dispositivos com Inicialização Segura desabilitados não receberão os novos certificados de Inicialização Segura no firmware. Como resultado, eles permanecerão vulneráveis ao malware no nível da inicialização, como kits de inicialização, porque as proteções de Inicialização Segura não são impostas. 

Para dispositivos qualificados, como aqueles que recebem atualizações cumulativas por meio de implantação baseada em confiança ou registrados no CFR (Control Feature Rollout) com dados de diagnóstico habilitados, a Microsoft tentará atualizar todos os certificados aplicáveis. No entanto, essas atualizações são fornecidas como uma assistência, não uma garantia. Os administradores de TI permanecem responsáveis por garantir que toda a frota seja atualizada, usando o CFR automatizado da Microsoft e outros métodos de implantação documentados.

Os certificados foram incluídos na LCU (atualização cumulativa) de 13 de maio de 2025 e posterior. No entanto, elas não são aplicadas automaticamente são necessárias etapas adicionais. Para obter diretrizes de implantação, consulte https://aka.ms/getsecureboot.

Eles servem a propósitos diferentes.

As atualizações de firmware podem atualizar as variáveis padrão de Inicialização Segura armazenadas no firmware. Isso será útil principalmente se as configurações de Inicialização Segura forem posteriormente redefinidas para os padrões porque os padrões de firmware determinam quais certificados são restaurados nesse cenário.

O Windows aplica alterações às variáveis ativas de Inicialização Segura que são impostas durante a inicialização normal. Essas variáveis ativas são o que o firmware usa para validar componentes de inicialização e no que o Windows depende para fornecer futuras proteções de Inicialização Segura.

Na prática, o Windows é responsável por manter a configuração ativa da Inicialização Segura atual. As atualizações de firmware ajudam a garantir que os valores padrão também sejam atualizados, o que reduz o risco se a Inicialização Segura for redefinida ou reinitializada no futuro.

Os administradores devem garantir que as variáveis ativas de Inicialização Segura sejam atualizadas e monitorar status de implantação, independentemente de as atualizações de firmware estarem disponíveis.

Há dois caminhos possíveis: 

• Se o computador for gerenciado pela Microsoft com dados de diagnóstico compartilhados e o sistema operacional tiver suporte, a Microsoft tentará atualizar.

• Se o dispositivo for gerenciado pelo cliente ou gerenciado por um administrador de TI, o departamento de TI poderá aplicar as atualizações no conjunto validado de computadores que podem receber atualizações com segurança de acordo com as diretrizes da Microsoft nas atualizações do certificado de Inicialização Segura do Windows e das atualizações de AC.

Espera-se que essas etapas resolvam a maioria dos clientes sem precisar de uma atualização do Firmware de OEMs. No entanto, haverá certos casos em que as atualizações não se aplicam devido a problemas conhecidos ou desconhecidos no firmware do dispositivo. Nesses casos, siga as diretrizes do OEM sobre atualizações de firmware. 

Observação O processo acima aplica as Variáveis Ativas de Inicialização Segura por meio do sistema operacional. Os valores padrão firmware de inicialização segura são mantidos no Firmware que é lançado pelo OEM. A orientação é não alterar ou atualizar a configuração de Inicialização Segura, a menos que o OEM tenha lançado uma atualização para alterar os padrões do Firmware para os novos certificados.

 Se os certificados expirarem, a proteção contra inicialização segura será degradada. Se o sistema atender aos requisitos de um sistema operacional mais recente, como Windows 11, será possível atualizar para uma versão mais recente do sistema operacional do Windows 11.  

Se a Inicialização Segura não estiver habilitada em seus Windows 10 dispositivos LTSC, elas não serão incluídas na distribuição atual para os novos certificados de Inicialização Segura. Ao iniciar a atualização para Windows 11 LTSC, você precisará seguir etapas de migração específicas relevantes nesse momento para garantir que os novos certificados de 2023 sejam incluídos.

Somente as versões do sistema operacional Windows com suporte receberão os certificados. 

Para o Windows em execução em um ambiente virtual, há dois métodos para adicionar os novos certificados às variáveis de firmware De Inicialização Segura: 

• O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isso funcionaria para novos dispositivos virtualizados.

• Para o Windows que executa a longo prazo em uma VM, as atualizações podem ser aplicadas por meio do Windows como qualquer outro dispositivo, se o firmware virtualizado for compatível com atualizações de Inicialização Segura.

Esses ambientes gerenciados pelo cliente/TI geralmente não têm dados de diagnóstico suficientes para que a Microsoft implemente novos recursos com confiança e segurança. Além disso, os departamentos de TI normalmente preferem manter controle total sobre o tempo e o conteúdo da atualização para garantir a conformidade, a estabilidade e a compatibilidade com ferramentas internas e fluxos de trabalho. Muitos dispositivos empresariais também operam em ambientes confidenciais ou restritos em que o acesso ou o gerenciamento externo, implícito pelo CFR, podem ser indesejáveis ou proibidos.

Se o Windows já estiver usando o gerenciador de inicialização assinado em 2023, mas o firmware for redefinido para padrões que não incluem o certificado CA 2023 do Windows UEFI, a Inicialização Segura bloqueará o processo de inicialização. 

Para corrigir isso, você precisa reaplicar o certificado 2023 ao DB do firmware usando o aplicativo de recuperação. Isso é feito criando um USB de recuperação e inicializando o dispositivo afetado desse USB para restaurar o certificado ausente. 

Para obter instruções passo a passo, confira as diretrizes oficiais da Microsoft para atualizar a mídia de instalação do Windows. 

​​​​​​​Sim. As atualizações cumulativas que contêm os novos certificados de Inicialização Segura ainda podem ser aplicadas mesmo que os certificados existentes tenham expirado. Se o dispositivo puder inicializar o Windows e instalar atualizações, os certificados atualizados poderão ser gravados no firmware seguindo as diretrizes de implantação publicadas. A maioria dos dispositivos receberá essas atualizações automaticamente, mas alguns sistemas podem exigir atualizações adicionais de firmware.