Data de publicação original: 15 de setembro de 2025
ID da BDC: 5068008
FAQ gerais sobre o Arranque Seguro
É melhor atualizar os certificados de Arranque Seguro antes da data de expiração de junho de 2026.
Se o seu dispositivo for gerido pela Microsoft e partilhar dados de diagnóstico com a Microsoft, a Microsoft tentará atualizar automaticamente os certificados de Arranque Seguro na maioria dos casos. Embora a Microsoft faça o seu melhor para atualizar o Arranque Seguro, haverá algumas situações em que não é garantido que a atualização se aplique e precisará da ação do Cliente. Em última análise, o cliente é responsável pela atualização dos Certificados de Arranque Seguro.
Algumas situações de exemplo em que os dispositivos geridos pela Microsoft com dados de diagnóstico partilhados não são atualizados são as seguintes:
-
As atualizações de Arranque Seguro da Microsoft só funcionam em algumas versões de suporte do Windows.
-
Os dados de diagnóstico ativados no seu dispositivo podem ser bloqueados por uma firewall na sua organização e não chegar à Microsoft.
-
Pode haver algo de errado com o Firmware no dispositivo.
Observação O que significa ser "Gerido pela Microsoft"? O sistema partilha dados de diagnóstico e é gerido pelo Microsoft Cloud ou Intune.
Se o seu dispositivo não estiver a partilhar dados de diagnóstico com a Microsoft e for gerido pelo departamento de TI da sua organização ou pelo cliente, o departamento de TI pode atualizar os sistemas seguindo as orientações da Microsoft em Atualizações de AC e expiração de certificados de Arranque Seguro do Windows.
Se o computador for gerido pela Microsoft, os certificados de Arranque Seguro são atualizados através de Windows Update.
Se o computador for gerido pela sua organização ou administrador de TI empresarial, o departamento de TI tem métodos para atualizar o sistema através da documentação de orientação na expiração do certificado de Arranque Seguro do Windows e atualizações da AC.
O computador continuará a iniciar o Windows normalmente, mesmo que os certificados de Arranque Seguro não sejam atualizados. Eventualmente, o computador deixará de receber determinadas atualizações de segurança do Windows da Microsoft, incluindo atualizações de segurança do Componente de Arranque Seguro e Gestor de Arranque Seguro. Isto colocará o dispositivo em risco de BootKits que podem assumir o controlo total do computador.
Windows 10 o Suporte termina a 14 de outubro de 2025. Para obter mais informações, consulte Windows 10 suporte termina a 14 de outubro de 2025.
Para continuar a receber Atualizações de Segurança após esta data, os clientes que permanecerem no Windows 10 podem inscrever-se para:
-
O Programa Windows 10 de Atualizações de Segurança Alargada (ESU), veja Windows 10 Programa de Atualizações de Segurança Alargada (ESU)
-
Em alternativa, se tiver uma versão LTSC suportada do Windows 10, continuará a obter Atualizações de Segurança até à data de expiração do LTSC. Por exemplo, veja Programa de Atualizações de Segurança Alargada (ESU) para Windows 10
Observação
-
Windows 10 Enterprise LTSC está disponível para compra como um SKU autónomo ou como parte de uma subscrição do Windows Enterprise E3.
-
O Windows IoT Enterprise LTSC pode ser comprado diretamente a partir de um OEM ou através de uma Licença de Fornecedor como um SKU autónomo.
FAQ sobre o Arranque Seguro dos Sistemas Geridos de TI/Cliente
Existem dois caminhos possíveis:
-
Se o computador for gerido pela Microsoft com dados de diagnóstico partilhados e o SO for suportado, a Microsoft tentará atualizar.
-
Se o dispositivo for gerido pelo cliente ou gerido por um administrador de TI, o departamento de TI pode aplicar as atualizações no conjunto validado de computadores que podem receber atualizações de forma segura de acordo com as orientações da Microsoft na expiração do certificado de Arranque Seguro do Windows e atualizações da AC.
Espera-se que estes passos se dirijam à maioria dos clientes sem precisar de uma atualização de Firmware dos OEMs. No entanto, haverá determinados casos em que as atualizações não se aplicam devido a problemas conhecidos ou desconhecidos no firmware do dispositivo. Nestes casos, siga a documentação de orientação do OEM sobre atualizações de firmware.
Observação O processo acima aplica as Variáveis Ativas de Arranque Seguro através do SO. Os valores Predefinidos de Firmware de Arranque Seguro são mantidos no Firmware que é lançado pelo OEM. A documentação de orientação é não alterar ou atualizar a configuração de Arranque Seguro, a menos que o OEM tenha lançado uma atualização para alterar as predefinições de Firmware para os novos certificados.
Se os certificados expirarem, a proteção de Arranque Seguro será degradada. Se o sistema cumprir os requisitos de um SO mais recente, como Windows 11, será possível atualizar para uma versão mais recente do SO do Windows 11.
Se o Arranque Seguro não estiver ativado no Windows 10 dispositivos LTSC, estes não serão incluídos na implementação atual dos novos certificados de Arranque Seguro. Quando iniciar a atualização para Windows 11 LTSC, terá de seguir passos de migração específicos relevantes nesse momento para garantir que os novos certificados 2023 estão incluídos.
Apenas as versões suportadas do SO Windows irão obter os certificados.
Após a expiração dos certificados, o dispositivo continuará a arrancar sem alterações. No entanto, o dispositivo deixará de receber atualizações de segurança para o gestor de arranque e os componentes de Arranque Seguro. Isto colocará todo o dispositivo em risco de software maligno "bootkit" que pode afetar todos os aspetos da segurança no dispositivo.
Para o Windows em execução num ambiente virtual, existem dois métodos para adicionar os novos certificados às variáveis de firmware de Arranque Seguro:
-
O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware, etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isto funcionaria para novos dispositivos virtualizados.
-
Para o Windows em execução a longo prazo numa VM, as atualizações podem ser aplicadas através do Windows, como qualquer outro dispositivo, se o firmware virtualizado suportar atualizações de Arranque Seguro.
Estes ambientes geridos pelo Cliente/TI muitas vezes carecem de dados de diagnóstico suficientes para a Microsoft implementar com confiança e segurança novas funcionalidades. Além disso, os departamentos de TI normalmente preferem manter o controlo total sobre o tempo de atualização e o conteúdo para garantir a conformidade, estabilidade e compatibilidade com ferramentas internas e fluxos de trabalho. Muitos dispositivos empresariais também operam em ambientes confidenciais ou restritos em que o acesso ou a gestão externos , implícito pelo CFR, podem ser indesejáveis ou proibidos.
Se o Windows já estiver a utilizar o gestor de arranque assinado em 2023, mas o firmware for reposto para predefinições que não incluam o certificado CA 2023 da UEFI do Windows, o Arranque Seguro bloqueará o processo de arranque.
Para corrigir este problema, tem de reaplicar o certificado 2023 à BD do firmware com a aplicação de recuperação. Isto é feito através da criação de uma USB de recuperação e, em seguida, do arranque do dispositivo afetado a partir desse USB para restaurar o certificado em falta.
Para obter instruções passo a passo, consulte a documentação de orientação oficial da Microsoft para atualizar o suporte de dados de instalação do Windows.
