Aplica-se A
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data de publicação original: 14 de outubro de 2025

ID da BDC: 5068197

Este artigo tem orientações para: 

  • Organizações que têm o seu próprio departamento de TI a gerir dispositivos e atualizações do Windows.

Nota: se for um indivíduo proprietário de um dispositivo Windows pessoal, aceda ao artigo Dispositivos Windows para utilizadores domésticos, empresas e escolas com atualizações geridas pela Microsoft

Disponibilidade deste suporte:  

  • Incluído nas atualizações do Windows lançadas em e depois de 28 de outubro de 2025, para Windows 11, versão 24H2 e Windows 11, versão 23H2.

  • Incluído nas atualizações lançadas em e depois de 11 de novembro de 2025, para Windows 10, versão 21H2, Windows 10, versão 22H2 e Windows Server 2022.

  • Incluído nas atualizações lançadas no primeiro trimestre de 2026 para outras versões do Windows.

Alterar data

Alterar descrição

20 de fevereiro de 2026

  • Foi adicionada uma nova secção "Primeiro, verifique se os certificados de Arranque Seguro estão atualizados na sua plataforma"

16 de dezembro de 2025

  • Corrigimos a linha de comandos na secção "Como aplicar a configuração de Arranque Seguro", uma vez que incluía carateres incorretos.Para: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • Corrigimos a linha de comandos na secção "Como auditar a configuração do Arranque Seguro", uma vez que incluía um espaço no final da linha.Para: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Na secção "Disponibilidade deste suporte", acrescentou que Windows 10, as versões 21H2 e 22H2 e Windows Server 2022 são adicionadas nas versões datadas de 11 de novembro de 2025. Além disso, o suporte para outras versões do Windows será incluído nas atualizações lançadas durante o primeiro trimestre de 2026.

11 de dezembro de 2025

  • Foi alterado o Passo 3 da secção "Como auditar a configuração do Arranque Seguro":De: Para verificar se a atualização da BD de Arranque Seguro foi bem-sucedida, abra uma linha de comandos do PowerShell como administrador e, em seguida, execute o seguinte comando: Para: Como uma verificação rápida se a atualização da BD de Arranque Seguro foi bem-sucedida, abra uma linha de comandos do PowerShell como administrador e, em seguida, execute o seguinte comando:

  • Foi adicionado um Passo 4 à secção "Como auditar a configuração do Arranque Seguro": Para verificar se todos os certificados estão atualizados, veja Atualizações do Certificado de Arranque Seguro: Orientações para profissionais de TI e organizações e siga as orientações na secção "Monitorizar Registos de Eventos". Esta secção lista O ID do Evento: 1801 e ID do Evento: 1808 , que é uma forma completa de auditar que os certificados foram atualizados.

CLI de Arranque Seguro com o Sistema de Configuração do Windows (WinCS)

Objetivo: os administradores de domínio podem, em alternativa, utilizar o Sistema de Configuração do Windows (WinCS) lançado com atualizações do SO Windows para implementar as atualizações de Arranque Seguro em clientes e servidores Windows associados a um domínio. Consiste num utilitário de interface de linha de comandos (CLI) para consultar e aplicar configurações de Arranque Seguro localmente a um computador.  

O WinCS funciona com uma chave de configuração que pode ser utilizada com o utilitário da linha de comandos para modificar o estado de configuração de Arranque Seguro no computador. Depois de aplicado, o Próximo Arranque Seguro agendado executará ações de acordo com a chave. 

Primeiro, verifique se os certificados de Arranque Seguro estão atualizados na sua plataforma 

Pode verificar o estado do Arranque Seguro com o comando do PowerShell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Se o Estado mostrar "Atualizado", não precisa de executar o WinCS e pode ignorar os passos abaixo.

Se os Certificados não forem atualizados para versões de 2023, aplicam-se os passos adicionais abaixo.

Plataformas suportadas do WinCS

O utilitário da linha de comandos WinCS é suportado em Windows 10, versão 21H2, Windows 10, versão 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versão 23H2, Windows 11, versão 24H2, Windows 11, versão 25H2.

Este utilitário está disponível nas atualizações do Windows lançadas em e depois de 28 de outubro de 2025, para Windows 11, versão 24H2 e Windows 11, versão 23H2.

Este utilitário também está disponível nas atualizações do Windows lançadas em e depois de 11 de novembro de 2025, para Windows 10, versão 21H2, Windows 10, versão 22H2 e Windows Server 2022.

Para Windows Server 2019, este utilitário é enviado nas atualizações do Windows lançadas em e depois de 13 de janeiro de 2026. 

E para Windows Server 2016, Windows 10 1607, este utilitário é enviado nas atualizações do Windows lançadas em e depois de 10 de fevereiro de 2026.

Nota: estamos a trabalhar para disponibilizar este suporte do WinCS para Windows 10 plataformas. Atualizaremos este artigo assim que o suporte estiver ativado. 

Eis a chave de funcionalidade de configuração de Arranque Seguro que os administradores de domínio irão consultar e aplicar aos dispositivos através do WinCS. 

Nome da funcionalidade

Chave WinCS

Descrição

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Ativar esta chave permite a instalação dos seguintes novos certificados de Arranque Seguro fornecidos pela Microsoft no seu dispositivo. 

  • Microsoft Corporation KEK 2K CA 2023

  • WINDOWS UEFI CA 2023

  • Microsoft UEFI CA 2023

  • MICROSOFT Option UEFI ROM CA 2023

Valor da chave WinCS: 

  • F33E0C8E002 – Estado de configuração do Arranque Seguro = Ativado

Como consultar a configuração do Arranque Seguro 

A configuração de Arranque Seguro pode ser consultada ao abrir uma linha de comandos como administrador e ao executar este comando:

WinCsFlags.exe /query --key F33E0C8E002

Isto irá devolver as seguintes informações (numa máquina limpa): 

Sinalizador: F33E0C8E 

  Configuração Atual: F33E0C8E001

  Estado: Desativado

  Configuração Pendente: Nenhuma 

  Ação Pendente: Nenhuma  

  FwLink: https://aka.ms/getsecureboot 

  Configurações Disponíveis: 

    F33E0C8E002 

    F33E0C8E001 

Repare que a configuração atual num dispositivo é F33E0C8E001, o que significa que a chave de Arranque Seguro está no estado Desativado .  

Como aplicar a configuração de Arranque Seguro  

A configuração de Arranque Seguro pode ser aplicada ao abrir uma linha de comandos como administrador e ao executar este comando:

WinCsFlags.exe /apply --key "F33E0C8E002"

Uma aplicação com êxito da chave deve devolver as seguintes informações: 

Sinalizador: F33E0C8E 

  Configuração Atual: F33E0C8E002

  Estado: Ativado

  Configuração Pendente: Nenhuma 

  Ação Pendente: Nenhuma

  FwLink: https://aka.ms/getsecureboot 

 Configurações Disponíveis: 

    F33E0C8E002 

    F33E0C8E001  

Como auditar a configuração de Arranque Seguro  

Para determinar o estado da configuração de Arranque Seguro mais tarde, pode executar novamente o comando de consulta inicial ao abrir uma linha de comandos como administrador:

WinCsFlags.exe /query --key F33E0C8E002

As informações devolvidas serão semelhantes às seguintes, consoante o estado do sinalizador: 

Sinalizador: F33E0C8E 

  Configuração Atual: F33E0C8E002

  Estado: Ativado

  Configuração Pendente: Nenhuma 

  Ação Pendente: Nenhuma

  FwLink: https://aka.ms/getsecureboot 

  Configurações Disponíveis: 

    F33E0C8E002 

    F33E0C8E001  

Repare que o estado da chave está agora Ativado e a configuração atual é F33E0C8E002. 

Nota: Aplicar a chave de Arranque Seguro através do WinCS não significa que o processo de instalação do certificado de Arranque Seguro tenha sido iniciado ou concluído.  Apenas indica que o computador irá prosseguir com as atualizações de Arranque Seguro quando a tarefa de manutenção de Arranque Seguro (TPMTasks) for executada nesse computador na próxima oportunidade disponível. Quando o TPMTasks é executado nesse computador, irá detetar 0x5944 e executar a atualização. Por predefinição, a tarefa agendada Atualização de Arranque Seguro é executada a cada 12 horas para processar esses sinalizadores de atualização de Arranque Seguro. Os administradores também podem agilizar ao executar manualmente a tarefa ou ao reiniciar, se assim o desejar.  

Também pode acionar manualmente a tarefa de manutenção de Arranque Seguro ao seguir os passos abaixo: 

  1. Abra uma linha de comandos do PowerShell como administrador e, em seguida, execute o seguinte comando:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Reinicie o dispositivo duas vezes depois de executar o comando para confirmar que o dispositivo está a começar com a base de dados atualizada de assinaturas fidedignas (BD).

  3. Como uma verificação rápida se a atualização da BD de Arranque Seguro foi bem-sucedida, abra uma linha de comandos do PowerShell como administrador e, em seguida, execute o seguinte comando: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Arranque Seguro

    Se o comando devolver Verdadeiro, a atualização foi efetuada com êxito.Em caso de erros ao aplicar a atualização da BD, veja o artigo KB5016061: Abordar Gestores de Arranque vulneráveis e revogados.

    Nota: Isto está a verificar apenas uma AC e nem todas as ACs.

  4. Para verificar se todos os certificados estão atualizados, veja Atualizações do Certificado de Arranque Seguro: Orientações para profissionais de TI e organizações e siga as orientações na secção "Monitorizar Registos de Eventos". Esta secção lista O ID do Evento: 1801 e ID do Evento: 1808 , que é uma forma mais completa de auditar se os certificados foram atualizados.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade