Expiração do certificado de Arranque Seguro do Windows e atualizações da AC

O que é o Arranque Seguro?

O Arranque Seguro é uma funcionalidade de segurança no firmware baseado na Interface de Firmware Extensível Unificada (UEFI) que ajuda a garantir que apenas o software fidedigno é executado durante a sequência de arranque (início) de um dispositivo. Funciona ao verificar a assinatura digital do software de pré-arranque num conjunto de certificados digitais fidedignos (também conhecidos como autoridade de certificação ou AC) armazenados no firmware do dispositivo. Como padrão do setor, o Arranque Seguro UEFI define como o firmware da plataforma gere os certificados, autentica o firmware e como o sistema operativo (SO) interage com este processo. Para obter mais detalhes sobre UEFI e Arranque Seguro, consulte Arranque seguro.

O Arranque Seguro foi introduzido pela primeira vez no Windows 8 para proteger contra a ameaça de software maligno de pré-arranque emergente (também conhecido como bootkit) nessa altura. Como parte da inicialização da plataforma, o Arranque Seguro autentica módulos de firmware antes da execução. Estes módulos incluem controladores de firmware UEFI (como ROMs de Opção), carregadores de arranque e aplicações. Como passo final do processo de Arranque Seguro, o firmware verifica se o Arranque Seguro confia no carregador de arranque. Em seguida, o firmware passa o controlo para o carregador de arranque, que por sua vez verifica, carrega para a memória e inicia o SO Windows.

O Arranque Seguro define o código fidedigno através de uma política de firmware definida durante o fabrico. As alterações a esta política, como adicionar ou revogar certificados, são controladas por uma hierarquia de chaves. Esta hierarquia começa com a Chave de Plataforma (PK), normalmente propriedade do fabricante do hardware, seguida da Chave de Inscrição de Chaves (KEK) (também conhecida como Chave do Exchange de Chaves), que pode incluir um KEK da Microsoft e outros KEKs OEM. A Base de Dados de Assinatura Permitida (DB) e a Base de Dados de Assinatura Não Permitida (DBX) determinam que código pode ser executado no ambiente UEFI antes do início do SO. A BD inclui certificados geridos pela Microsoft e pelo OEM, enquanto o DBX é atualizado pela Microsoft com as revogações mais recentes. Qualquer entidade com uma KEK pode atualizar a BD e o DBX.

O impacto da expiração do certificado de Arranque Seguro

A Microsoft está a atualizar os certificados de Arranque Seguro originalmente emitidos em 2011 para garantir que os dispositivos Windows continuam a verificar o software de arranque fidedigno. Estes certificados mais antigos começam a expirar em junho de 2026. Os dispositivos que não receberam os certificados 2023 mais recentes continuarão a iniciar e a funcionar normalmente e as atualizações padrão do Windows continuarão a ser instaladas. No entanto, estes dispositivos deixarão de poder receber novas proteções de segurança para o processo de arranque antecipado, incluindo atualizações para o Gestor de Arranque do Windows, bases de dados de Arranque Seguro, listas de revogação ou mitigações para vulnerabilidades de nível de arranque recentemente detetadas. 

Ao longo do tempo, isto limita a proteção do dispositivo contra ameaças emergentes e pode afetar cenários que dependem da confiança de Arranque Seguro, como proteção do BitLocker ou bootloaders de terceiros. A maioria dos dispositivos Windows receberá automaticamente os certificados atualizados e muitos OEMs fornecem atualizações de firmware quando necessário. Manter o dispositivo atualizado com estas atualizações ajuda a garantir que pode continuar a receber o conjunto completo de proteções de segurança que o Arranque Seguro foi concebido para fornecer.

Os certificados de Arranque Seguro do Windows expiram em 2026

Desde que o Windows introduziu o suporte de Arranque Seguro, todos os dispositivos baseados em Windows têm o mesmo conjunto de certificados da Microsoft na KEK e na BD. Estes certificados originais estão a aproximar-se da data de expiração e o dispositivo é afetado se tiver alguma das versões de certificado listadas. Para continuar a executar o Windows e a receber atualizações regulares para a configuração de Arranque Seguro, terá de atualizar estes certificados.

Terminologia

• KEK: Chave de Inscrição de Chaves

• AC: Autoridade de Certificação

• BD: Base de Dados de Assinatura de Arranque Seguro

• DBX: Base de Dados de Assinatura Revogada de Arranque Seguro

A Microsoft emitiu certificados atualizados para garantir a continuidade da proteção de Arranque Seguro em dispositivos Windows. A Microsoft irá gerir o processo de atualização destes novos certificados numa parte significativa dos dispositivos Windows. Além disso, iremos oferecer orientações detalhadas para organizações que gerem as suas próprias atualizações de dispositivos.

Chamada à ação

Poderá ter de tomar medidas para garantir que o seu dispositivo Windows permanece seguro quando os certificados expirarem em 2026. Tanto a BASE de Dados de Arranque Seguro UEFI como a KEK têm de ser atualizadas com as novas versões de certificados de 2023 correspondentes. Para obter mais informações sobre os novos certificados, consulte Windows Secure Boot Key Creation and Management Guidance (Orientações de Criação e Gestão de Chaves de Arranque Seguro do Windows). 

As suas ações variam consoante o tipo de dispositivo Windows que tiver. Selecione no menu à esquerda o tipo de dispositivo e a ação específica que precisa de efetuar.