Aplica-se A
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Data de publicação original: 19 de março de 2026

ID da BDC: 5085046

Neste artigo

Descrição geral

Esta página orienta os administradores e profissionais de suporte para diagnosticar e resolver problemas relacionados com o Arranque Seguro em dispositivos Windows. Os tópicos incluem falhas de atualização do certificado de Arranque Seguro, estados de Arranque Seguro incorretos, pedidos de recuperação bitLocker inesperados e falhas de arranque após alterações na configuração do Arranque Seguro.

A documentação de orientação explica como verificar a manutenção e a configuração do Windows, rever os valores de registo relevantes e os registos de eventos e identificar quando as limitações de firmware ou plataforma requerem uma atualização do OEM. Este conteúdo destina-se a diagnosticar problemas em dispositivos existentes. Não se destina a planear novas implementações. Este documento será atualizado à medida que forem identificados novos cenários de resolução de problemas e documentação de orientação.

voltar ao início

Como funciona a manutenção do certificado de Arranque Seguro

A manutenção do certificado de Arranque Seguro no Windows é um processo coordenado entre o sistema operativo e o firmware UEFI de um dispositivo. O objetivo é atualizar âncoras de confiança críticas, preservando a capacidade de arranque em cada fase.

O processo é impulsionado por uma tarefa agendada do Windows, uma sequência baseada no registo de ações de atualização e comportamento de registo e repetição incorporados. Em conjunto, estes componentes garantem que os certificados de Arranque Seguro e o gestor de arranque do Windows são atualizados de forma controlada e ordenada e apenas após os passos de pré-requisitos serem bem-sucedidos.

voltar ao início

Por onde começar durante a resolução de problemas

Quando um dispositivo não parece estar a fazer o progresso esperado ao aplicar atualizações de certificados de Arranque Seguro, comece por identificar a categoria do problema. A maioria dos problemas enquadra-se numa de quatro áreas: estado de manutenção do Windows, mecanismo de atualização de Arranque Seguro, comportamento de firmware ou uma limitação de plataforma ou OEM.

Comece com as verificações abaixo, por ordem. Em muitos casos, estes passos são suficientes para explicar o comportamento observado e determinar as ações seguintes sem uma investigação mais aprofundada.

  1. Confirmar a elegibilidade da plataforma e da manutenção do Windows

    1. ​​​​​​​Verifique se o dispositivo cumpre os requisitos básicos para receber atualizações de certificados de Arranque Seguro:

    2. O dispositivo está a executar uma versão suportada do Windows.

    3. As atualizações de segurança mais recentes necessárias do Windows estão instaladas.

    4. O Arranque Seguro está ativado no firmware UEFI.

    5. Se alguma destas condições não for cumprida, resolva-as antes de continuar com a resolução de problemas.

  2. Verificar o estado da tarefa Atualização de Arranque Seguro

    1. Confirme que o mecanismo do Windows responsável pela aplicação de atualizações de certificados de Arranque Seguro está presente e a funcionar:

    2. A tarefa agendada Atualização de Arranque Seguro existe.

    3. A tarefa está ativada e é executada como Sistema Local.

    4. A tarefa foi executada pelo menos uma vez desde que a atualização de segurança mais recente do Windows foi instalada.

    5. Se a tarefa estiver desativada, eliminada ou não estiver em execução, não é possível aplicar atualizações do certificado de Arranque Seguro. A resolução de problemas deve focar-se no restauro da tarefa antes de investigar outras causas.

  3. Verificar as definições do registo para a progressão esperada

    Reveja o estado de manutenção de Arranque Seguro do dispositivo no registo:

    1. Examine UEFICA2023Status, UEFICA2023Error e UEFICA2023ErrorEvent.

    2. Examine AvailableUpdates e compare-o com a progressão esperada (veja Referência e Internos).

    Em conjunto, estes valores indicam se a manutenção está a progredir normalmente, a repetir uma operação ou se está parada num passo específico.

  4. Correlacionar o estado do registo com eventos de Arranque Seguro

    Veja Eventos relacionados com o Arranque Seguro no registo de eventos do Sistema e correlacione-os com o estado do registo. Normalmente, os dados do evento confirmam se o dispositivo está a fazer progressos, a tentar novamente devido a uma condição transitória ou bloqueado por um problema de firmware ou plataforma.

    Em conjunto, os registos e os registos de eventos normalmente indicam se o comportamento é esperado, temporário ou requer uma ação corretiva.

voltar ao início

Tarefa agendada de Atualização de Arranque Seguro

A manutenção do certificado de Arranque Seguro é implementada através de uma tarefa agendada do Windows denominada Secure-Boot-Update. A tarefa é registada no seguinte caminho:

\Microsoft\Windows\PI\Secure-Boot-Update

A tarefa é executada como Sistema Local. Por predefinição, é executada no arranque do sistema e a cada 12 horas depois. Sempre que é executada, verifica se as ações de atualização de Arranque Seguro estão pendentes e tenta aplicá-las em sequência.

Se esta tarefa estiver desativada ou em falta, não é possível aplicar atualizações do certificado de Arranque Seguro. A tarefa Atualização de Arranque Seguro tem de permanecer ativada para que a manutenção do Arranque Seguro funcione.

voltar ao início

Por que motivo é utilizada uma tarefa agendada

As atualizações de certificados de Arranque Seguro requerem coordenação entre firmware do Windows e UEFI, incluindo a escrita de variáveis UEFI que armazenam chaves de Arranque Seguro e certificados. Uma tarefa agendada permite ao Windows tentar estas atualizações quando o sistema está num estado em que as variáveis de firmware podem ser modificadas.

A agenda periódica de 12 horas proporciona oportunidades adicionais para repetir atualizações se uma tentativa anterior tiver falhado ou se o dispositivo permanecer ligado sem reiniciar. Esta estrutura ajuda a garantir o progresso sem necessidade de intervenção manual.

voltar ao início

A máscara de bits do registo AvailableUpdates

A tarefa Secure-Boot-Update é impulsionada pelo valor de registo AvailableUpdates . Este valor é uma máscara de bits de 32 bits localizada em:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Cada bit no valor representa uma ação de atualização de Arranque Seguro específica. O processo de atualização começa quando AvailableUpdates está definido para um valor diferente de zero, automaticamente pelo Windows ou explicitamente por um administrador. Por exemplo, um valor como 0x5944 indica que estão pendentes várias ações de atualização.

Quando a tarefa Atualização de Arranque Seguro é executada, interpreta os bits definidos como trabalho pendente e processa-os por uma ordem definida.

voltar ao início

Atualizações sequenciais, registos e comportamento de novo julgamento

As atualizações do certificado de Arranque Seguro são aplicadas por uma ordem fixa. Cada ação de atualização foi concebida para ser segura para tentar novamente e é concluída de forma independente. A tarefa Atualização de Arranque Seguro não avança para o passo seguinte até que a ação atual seja bem-sucedida e o bit correspondente seja limpo de AvailableUpdates.

Cada operação utiliza interfaces UEFI padrão para atualizar variáveis de Arranque Seguro, como a BD e a KEK, ou para instalar o gestor de arranque do Windows atualizado. O Windows regista o resultado de cada passo no registo de eventos do Sistema. Os eventos de êxito confirmam o progresso de reencaminhamento, enquanto os eventos de falha indicam o motivo pelo qual não foi possível concluir uma ação.

Se um passo de atualização falhar, a tarefa deixa de ser processada, regista o erro e deixa o conjunto de bits associado. A operação é repetida da próxima vez que a tarefa for executada. Este comportamento de novo julgamento permite que os dispositivos recuperem automaticamente de condições temporárias, como suporte de firmware em falta ou atualizações OEM atrasadas.

Os administradores podem controlar o progresso correlacionando o estado do registo com as entradas do registo de eventos. Os valores de registo, como UEFICA2023Status, UEFICA2023Error e UEFICA2023ErrorEvent, juntamente com a máscara de bits AvailableUpdates , indicam que passo está ativo, concluído ou bloqueado.

Esta combinação mostra se o dispositivo está a progredir normalmente, a repetir uma operação ou está parado.

voltar ao início

Integração com firmware OEM

As atualizações do certificado de Arranque Seguro dependem do comportamento e suporte corretos no firmware UEFI de um dispositivo. Enquanto o Windows orquestra o processo de atualização, o firmware é responsável por impor a política de Arranque Seguro e manter as bases de dados de Arranque Seguro.

Os OEMs fornecem dois elementos críticos que permitem a manutenção do certificado de Arranque Seguro:

  • Chaves do Exchange (KEKs) assinadas pela Chave de Plataforma que autorizam a instalação de novos certificados de Arranque Seguro.

  • Implementações de firmware que preservam, acrescentam e validam corretamente as bases de dados de Arranque Seguro durante as atualizações.

Se o firmware não suportar totalmente estes comportamentos, as atualizações de Arranque Seguro podem parar, repetir indefinidamente ou resultar em falhas de arranque. Nestes casos, o Windows não consegue concluir a atualização sem alterações ao firmware.

A Microsoft trabalha com OEMs para identificar problemas de firmware e disponibilizar atualizações corrigidas. Quando a resolução de problemas indica uma limitação ou defeito de firmware, os administradores poderão ter de instalar a atualização de firmware UEFI mais recente fornecida pelo fabricante do dispositivo antes de as atualizações do certificado de Arranque Seguro poderem ser concluídas com êxito.

voltar ao início

Cenários e resoluções comuns de falhas

As atualizações de Arranque Seguro são aplicadas pela tarefa agendada Atualização de Arranque Seguro com base no estado de registo AvailableUpdates .

Em condições normais, estes passos ocorrem automaticamente e registam eventos de sucesso à medida que cada fase é concluída. Em alguns casos, o comportamento do firmware, a configuração da plataforma ou os pré-requisitos de manutenção podem impedir o progresso ou levar a um comportamento de arranque inesperado.

As secções abaixo descrevem os cenários de falha mais comuns, como reconhecê-los, por que motivo ocorrem e os passos seguintes adequados para restaurar o funcionamento normal. Os cenários são ordenados desde os casos mais frequentemente encontrados a casos de impacto de arranque mais graves.

Quando as atualizações de Arranque Seguro não mostram progresso, normalmente significa que o processo de atualização nunca foi iniciado. Como resultado, os valores esperados do registo de Arranque Seguro e os registos de eventos estão em falta porque o mecanismo de atualização nunca foi acionado.

O que aconteceu

O processo de atualização de Arranque Seguro não foi iniciado, pelo que não foram aplicados certificados de Arranque Seguro ou gestor de arranque atualizado ao dispositivo.

Como reconhecê-lo

  • Não existem valores de registo de manutenção de Arranque Seguro, como UEFICA2023Status.

  • Os eventos de Arranque Seguro esperados (por exemplo, 1043, 1044, 1045, 1799, 1801) estão em falta no registo de eventos do Sistema.

  • O dispositivo continua a utilizar certificados de Arranque Seguro mais antigos e componentes de arranque.

Por que acontece

Normalmente, este cenário ocorre quando uma ou mais das seguintes condições são verdadeiras:

  • A tarefa agendada Atualização de Arranque Seguro está desativada ou em falta.

  • O Arranque Seguro está desativado no firmware UEFI.

  • O dispositivo não cumpre os pré-requisitos de manutenção do Windows, como executar uma versão suportada do Windows ou ter as atualizações necessárias instaladas.

O que fazer a seguir

  • Verifique se o dispositivo cumpre os requisitos de elegibilidade da plataforma e de manutenção do Windows.

  • Confirme que o Arranque Seguro está ativado no firmware.

  • Certifique-se de que a tarefa agendada SecureBootUpdate existe e está ativada.

Se a tarefa agendada estiver desativada ou em falta, siga as orientações em Tarefa agendada de Arranque Seguro desativada ou eliminada para restaurá-la. Depois de a tarefa ser restaurada, reinicie o dispositivo ou execute a tarefa manualmente para iniciar a manutenção do Arranque Seguro.

Em alguns casos, as atualizações relacionadas com o Arranque Seguro podem fazer com que um dispositivo entre na recuperação do BitLocker. O comportamento pode ser transitório ou persistente, consoante a causa subjacente.

Cenário 1: Recuperação Onetime BitLocker após atualização de Arranque Seguro

O que acontece

O dispositivo entra na recuperação bitLocker no primeiro arranque após a atualização de Arranque Seguro, mas arranca normalmente nos reinícios subsequentes.

Por que acontece

Durante o primeiro arranque após a atualização, o firmware ainda não comunica os valores de Arranque Seguro atualizados quando o Windows tenta reativar o BitLocker. Isto causa um erro de correspondência temporário nos valores de arranque medidos e aciona a recuperação. No arranque seguinte, o firmware comunica corretamente os valores atualizados, o BitLocker é apresentado novamente com êxito e o problema não se repete.

Como reconhecê-lo

  • A recuperação do BitLocker ocorre uma vez.

  • Depois de introduzir a chave de recuperação, os arranques subsequentes não solicitam a recuperação.

  • Não existe nenhuma ordem de arranque ou envolvimento PXE em curso.

O que fazer a seguir

  • Introduza a chave de recuperação BitLocker para retomar o Windows.

  • Verifique se existem atualizações de firmware.

Cenário 2: Recuperação repetida do BitLocker devido à configuração do primeiro arranque PXE

O que acontece

O dispositivo introduz a recuperação do BitLocker em cada arranque.

Por que acontece

O dispositivo está configurado para tentar primeiro o arranque PXE (rede). A tentativa de arranque PXE falha e, em seguida, o firmware volta para o gestor de arranque do Windows no disco.

Isto resulta na medição de duas autoridades de assinatura diferentes durante um único ciclo de arranque:

  • O caminho de arranque PXE é assinado pelo Microsoft UEFI CA 2011.

  • O gestor de arranque do Windows no disco é assinado pela CA 2023 do UEFI do Windows.

Uma vez que o BitLocker observa diferentes cadeias de fidedignidade de Arranque Seguro durante o arranque, não é possível estabelecer um conjunto estável de medidas TPM para reativar. Como resultado, o BitLocker entra na recuperação em cada arranque.

Como reconhecê-lo

  • A recuperação bitLocker é acionada em cada reinício.

  • Introduzir a chave de recuperação permite que o Windows inicie, mas o pedido regressa no arranque seguinte.

  • O PXE ou o arranque de rede é configurado antes do disco local por ordem de arranque de firmware.

O que fazer a seguir

  • Configure a ordem de arranque do firmware, para que o gestor de arranque do Windows no disco seja o primeiro.

  • Desative o arranque PXE se não for necessário.

  • Se o PXE for necessário, certifique-se de que a infraestrutura PXE utiliza um carregador de arranque do Windows assinado em 2023.

O que aconteceu

Isto reflete uma alteração ao nível do firmware em vez de um problema do Windows. A atualização de Arranque Seguro foi concluída com êxito, mas após um reinício posterior, o dispositivo já não arranca no Windows.

Como reconhecê-lo

  • O dispositivo não inicia o Windows e pode apresentar uma mensagem de firmware ou BIOS que indica uma violação do Arranque Seguro.

  • A falha ocorre depois de as definições de Arranque Seguro serem repostas para as predefinições de firmware.

  • Desativar o Arranque Seguro pode permitir que o dispositivo arranque novamente.

Por que acontece

Repor o Arranque Seguro para as predefinições de firmware limpa as bases de dados de Arranque Seguro armazenadas em firmware. Em dispositivos que já tenham transitado para o gestor de arranque assinado pelo UEFI CA 2023 do Windows, esta reposição remove os certificados necessários para confiar nesse gestor de arranque.

Como resultado, o firmware já não reconhece o gestor de arranque do Windows instalado como fidedigno e bloqueia o processo de arranque.

Este cenário não é causado pela atualização de Arranque Seguro propriamente dito, mas por uma ação de firmware subsequente que remove as âncoras de fidedignidade atualizadas.

O que fazer a seguir

  • Utilize o utilitário de recuperação de Arranque Seguro para restaurar o certificado necessário, para que o dispositivo possa arrancar novamente.

  • Após a recuperação, certifique-se de que o dispositivo tem o firmware mais recente disponível instalado pelo fabricante do dispositivo.

  • Evite repor o Arranque Seguro para predefinições de firmware, a menos que o firmware OEM inclua predefinições de Arranque Seguro atualizadas que confiem nos certificados 2023.

Utilitário de recuperação de Arranque Seguro

Para recuperar o sistema:

  1. Num segundo PC Windows com a atualização do Windows de julho de 2024 ou mais recente instalada, copie SecureBootRecovery.efi de C:\Windows\Boot\EFI\.

  2. Coloque o ficheiro numa pen USB formatada com FAT32 em \EFI\BOOT\ e mude o nome para bootx64.efi.

  3. Inicie o dispositivo afetado a partir da pen USB e permita que o utilitário de recuperação seja executado. O utilitário irá adicionar a AC UEFI do Windows 2023 à BD.

Depois de o certificado ser restaurado e o sistema ser reiniciado, o Windows deverá iniciar normalmente.

Importante: Este processo só irá reaplicar um dos novos certificados. Assim que o dispositivo for recuperado, certifique-se de que tem os certificados mais recentes aplicados novamente e considere atualizar o BIOS/UEFI do sistema para a versão mais recente disponível. Isto pode ajudar a evitar a periodicidade do problema de reposição do Arranque Seguro, uma vez que muitos OEMs lançaram correções de firmware para este problema específico.

O que aconteceu

Depois de aplicar a atualização e o reinício do certificado de Arranque Seguro, o dispositivo não arranca e não chega ao Windows.

Como reconhecê-lo

  • O dispositivo falha imediatamente após o reinício exigido pela atualização de Arranque Seguro.

  • Pode ser apresentado um erro de firmware ou Arranque Seguro ou o sistema pode parar antes de o Windows ser carregado.

  • Desativar o Arranque Seguro pode permitir o arranque do dispositivo.

Por que acontece

Este problema pode ser causado por um defeito na implementação de firmware UEFI do dispositivo.

Quando o Windows aplica atualizações de certificados de Arranque Seguro, espera-se que o firmware acrescente novos certificados à base de dados de assinatura (DB) permitida de Arranque Seguro existente. Algumas implementações de firmware substituem incorretamente a BD em vez de acrescentar à mesma.

Quando isto ocorre,

  • Os certificados anteriormente fidedignos, incluindo o certificado de bootloader do Microsoft 2011, são removidos.

  • Se o sistema ainda estiver a utilizar um gestor de arranque assinado com o certificado 2011 nessa altura, o firmware já não confia no mesmo.

  • O firmware rejeita o gestor de arranque e bloqueia o processo de arranque.

Em alguns casos, a BD também pode ficar danificada em vez de ser substituída de forma limpa, levando ao mesmo resultado. Este comportamento foi observado em implementações de firmware específicas e não é esperado em firmware compatível.

O que fazer a seguir

  • Introduza os menus de configuração de firmware e tente repor as definições de Arranque Seguro.

  • Se o dispositivo arrancar após a reposição, verifique o site de suporte do fabricante do dispositivo para obter uma atualização de firmware que corrija o processamento da BD de Arranque Seguro.

  • Se estiver disponível uma atualização de firmware, instale-a antes de reativar o Arranque Seguro e voltar a aplicar atualizações de certificados de Arranque Seguro.

Se a reposição do Arranque Seguro não restaurar a funcionalidade de arranque, a recuperação adicional provavelmente requer orientações específicas do OEM.

O que aconteceu

A atualização do certificado de Arranque Seguro não foi concluída e permanece bloqueada na fase de atualização da Chave do Exchange de Chaves (KEK).

Como reconhecê-lo

  • O valor de registo AvailableUpdates permanece definido com o bit KEK (0x0004) e não é limpo.

  • UEFICA2023Status não progride para um estado concluído.

  • O registo de eventos do Sistema regista repetidamente o ID do Evento 1803, indicando que não foi possível aplicar a atualização KEK.

  • O dispositivo continua a tentar novamente a atualização sem fazer progressos.

Por que acontece

A atualização da KEK de Arranque Seguro requer autorização da Chave de Plataforma (PK) do dispositivo, que pertence ao OEM.

Para que a atualização tenha êxito, o fabricante do dispositivo tem de fornecer à Microsoft um KEK assinado por PK para essa plataforma específica. Esta KEK assinada pelo OEM está incluída nas atualizações do Windows e permite que o Windows atualize a variável KEK de firmware.

Se o OEM não tiver fornecido um KEK assinado por PK para o dispositivo, o Windows não conseguirá concluir a atualização KEK. Neste estado:

  • As atualizações de Arranque Seguro são bloqueadas por predefinição.

  • O Windows não consegue contornar a autorização em falta.

  • O dispositivo pode permanecer permanentemente incapaz de concluir a manutenção do certificado de Arranque Seguro.

Isto pode ocorrer em dispositivos mais antigos ou sem suporte em que o OEM já não fornece firmware ou atualizações de chaves. Não existe nenhum caminho de recuperação manual suportado para esta condição.

voltar ao início

Quando as atualizações do certificado de Arranque Seguro não se aplicam, o Windows regista eventos de diagnóstico que explicam o motivo pelo qual o progresso foi bloqueado. Estes eventos são escritos ao atualizar a base de dados de assinatura de Arranque Seguro (DB) ou a Chave de Troca de Chaves (KEK) não podem ser concluídas em segurança devido ao firmware, ao estado da plataforma ou às condições de configuração. Os cenários nesta secção fazem referência a estes eventos para identificar padrões de falha comuns e determinar a remediação adequada. Esta secção destina-se a suportar o diagnóstico e a interpretação de problemas descritos anteriormente, não para introduzir novos cenários de falha.

Para obter uma lista completa de IDs de eventos, descrições e entradas de exemplo, veja Secure Boot DB and DBX variable update events (KB5016061).

Falha na atualização kek (as atualizações da BD são bem-sucedidas, a KEK não)

Um dispositivo pode atualizar certificados com êxito na BD de Arranque Seguro, mas falha durante a atualização kek. Quando isto ocorre, não é possível concluir o processo de atualização de Arranque Seguro.

Sintomas

  • Os eventos do certificado DB indicam o progresso, mas a fase KEK não está concluída.

  • AvailableUpdates permanece definido para 0x4004 e o bit de 0x0004 não é limpo após várias execuções de tarefas.

  • O evento 1795 ou 1803 pode estar presente.

Interpretação

  • 1795 normalmente indica uma falha de firmware ao tentar atualizar uma variável de Arranque Seguro.

  • 1803 indica que a atualização KEK não pode ser autorizada porque um payload KEK assinado pelo OEM PK necessário não está disponível para a plataforma.

Próximos passos

  • Para a versão 1795, verifique se existem atualizações de firmware do OEM e valide o suporte de firmware para atualizações de variáveis de Arranque Seguro.

  • Para o 1803, confirme se o OEM forneceu à Microsoft a KEK assinada por PK necessária para o modelo de dispositivo.

Falha na atualização kek em VMs convidadas alojadas no Hyper-V 

Nas máquinas virtuais do Hyper-V, as atualizações de certificados de Arranque Seguro requerem que as atualizações de março de 2026 do Windows sejam instaladas no anfitrião Hyper-V e no SO convidado.

As falhas de atualização são comunicadas a partir do convidado, mas o evento indica onde é necessária a remediação:

  • Evento 1795 (por exemplo, "O suporte de dados está protegido por escrita") comunicado no convidado indica que o anfitrião Hyper-V está em falta na atualização de março de 2026 e tem de ser atualizado.

  • O evento 1803 comunicado no convidado indica que a máquina virtual convidada está em falta na atualização de março de 2026 e tem de ser atualizada.

voltar ao início 

Referência e internos

Esta secção contém informações de referência avançadas destinadas à resolução de problemas e suporte. Não se destina ao planeamento da implementação. Expande-se na mecânica de manutenção de Arranque Seguro resumida anteriormente e fornece material de referência detalhado para interpretar o estado do registo e os registos de eventos.

Nota (implementações geridas por TI): quando configuradas através de Política de Grupo ou Microsoft Intune, duas definições semelhantes não devem ser confundidas. O valor AvailableUpdatesPolicy representa o estado da política configurada. Entretanto, AvailableUpdates reflete o estado de trabalho em curso e de desmarcação de bits. Ambos podem impulsionar o mesmo resultado, mas comportam-se de forma diferente porque a política se aplica novamente ao longo do tempo.

voltar ao início 

Bits AvailableUpdates utilizados para manutenção de certificados

Os bits abaixo são utilizados para as ações do certificado e do gestor de arranque descritas neste documento. A coluna Order reflete a sequência na qual a tarefa Secure-Boot-Update processa cada bit.

Encomenda

Definição de bits

Utilização

1

0x0040

Este bit indica à tarefa agendada para adicionar o certificado CA 2023 da UEFI do Windows à BD de Arranque Seguro. Isto permite que o Windows confie nos gestores de arranque assinados por este certificado.

2

0x0800

Este bit indica à tarefa agendada para aplicar o UEFI CA 2023 da Opção Microsoft à BD.  

Comportamento condicional : quando o sinalizador 0x4000 estiver definido, a tarefa agendada verificará primeiro a base de dados do certificado MICROSOFT Corporation UEFI CA 2011 . Aplicará o certificado UEFI CA 2023 da ROM de Opção da Microsoftapenas se o certificado de 2011 estiver presente.

3

0x1000

Este bit indica à tarefa agendada para aplicar o MICROSOFT UEFI CA 2023 à BD.

Comportamento condicional: quando o sinalizador 0x4000 estiver definido, a tarefa agendada verificará primeiro a base de dados do certificado MICROSOFT Corporation UEFI CA 2011 . Só aplicará o certificado microsoft UEFI CA 2023se o certificado de 2011 estiver presente.

Modificador (sinalizador de comportamento)

0x4000

Este bit modifica o comportamento dos 0x0800 e 0x1000 bits para que o UEFI CA 2023 da Microsoft e o UEFI CA 202 3 da Opção Microsoftsejam aplicados apenas se a BD já contiver a CA UEFI da Microsoft Corporation 2011  Para ajudar a garantir que o perfil de segurança do dispositivo permanece o mesmo, este bit só aplica estes novos certificados se o dispositivo confiar no certificado MICROSOFT Corporation UEFI CA 2011. Nem todos os dispositivos Windows confiam neste certificado.

4

0x0004

Este bit indica à tarefa agendada para procurar uma Chave do Exchange de Chaves assinada pela Chave de Plataforma (PK) do dispositivo. O PK é gerido pelo OEM. Os OEMs assinam o Microsoft KEK com o respetivo PK e entregam-no à Microsoft, onde está incluído nas atualizações cumulativas mensais.

5

0x0100

Este bit indica à tarefa agendada para aplicar o gestor de arranque, assinado pela CA 2023 do UEFI do Windows, à partição de arranque. Esta ação substituirá o gestor de arranque assinado pelo Microsoft Windows Production PCA 2011.

Notas:

  • O bit 0x4000 permanecerá definido depois de todos os outros bits serem processados.

  • Cada bit é processado pela tarefa agendada Secure-Boot-Update pela ordem mostrada acima.

  • Se não for possível processar o bit 0x0004 devido a um KEK assinado por PK em falta, a tarefa agendada continuará a aplicar a atualização do gestor de arranque indicada por bit 0x0100.

voltar ao início 

Progressão esperada (AvailableUpdates)

Quando uma operação é concluída com êxito, o Windows limpa o bit associado de AvailableUpdates. Se uma operação falhar, o Windows regista um evento e tenta novamente quando a tarefa é executada novamente.

A tabela abaixo mostra a progressão esperada dos valores AvailableUpdates à medida que cada ação de atualização de Arranque Seguro é concluída.

Passo

Bit processado

Disponível Atualizações

Descrição

Evento de Êxito Registado

Códigos de Eventos de Erro Possíveis

Iniciar

0x5944

Estado inicial antes do início da manutenção do certificado de Arranque Seguro.

-

-

1

0x0040

0x5944 → 0x5904

O WINDOWS UEFI CA 2023 é adicionado à BD de Arranque Seguro.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Adicione o MICROSOFT Option ROM UEFI CA 2023 à BD se o dispositivo tiver considerado anteriormente fidedigno o MICROSOFT UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

O Microsoft UEFI CA 2023 é adicionado à BD se o dispositivo tiver considerado anteriormente fidedigno o MICROSOFT UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

É aplicada a nova AC 2K 2K do Microsoft KEK 2023 assinada pela chave da plataforma OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

O gestor de arranque assinado pelo WINDOWS UEFI CA 2023 está instalado.

1799

1797

Notas

  • Assim que a operação associada a um bit for concluída com êxito, esse bit é limpo de AvailableUpdates.

  • Se uma destas operações falhar, é registado um evento e a operação é repetida da próxima vez que a tarefa agendada for executada.

  • O bit 0x4000 é um modificador e não está limpo. Um valor final AvailableUpdates de 0x4000 indica a conclusão com êxito de todas as ações de atualização aplicáveis.

  • Os eventos 1032, 1795, 1796, 1802 indicam normalmente limitações de firmware ou plataforma.

  • O evento 1803 indica a falta de KEK assinado pelo OEM PK.

voltar ao início 

Procedimentos de remediação

Esta secção fornece procedimentos passo a passo para remediar problemas de Arranque Seguro específicos. Cada procedimento está confinado a uma condição bem definida e destina-se a ser seguido apenas após o diagnóstico inicial confirmar que o problema se aplica. Utilize estes procedimentos para restaurar o comportamento de Arranque Seguro esperado e permitir que as atualizações de certificados prossigam em segurança. Não aplique estes procedimentos de forma ampla ou preventiva.

voltar ao início

Ativar o Arranque Seguro no firmware

Se o Arranque Seguro estiver desativado no firmware de um dispositivo, veja Windows 11 e Arranque Seguro para obter detalhes sobre como ativar o Arranque Seguro.

voltar ao início

Tarefa agendada de Arranque Seguro desativada ou eliminada

A tarefa agendada Atualização de Arranque Seguro é necessária para que o Windows aplique atualizações de certificados de Arranque Seguro. Se a tarefa estiver desativada ou em falta, a manutenção do certificado de Arranque Seguro não irá progredir.

Detalhes da tarefa

Nome da Tarefa

Atualização de Arranque Seguro

Caminho da tarefa

\Microsoft\Windows\PI\

Caminho completo

\Microsoft\Windows\PI\Secure-Boot-Update

É executado como

SYSTEM (Sistema Local)

Acionadores

No arranque e a cada 12 horas

Estado necessário

Ativado

Como verificar o estado da tarefa

Execute a partir de uma linha de comandos elevada do PowerShell: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Procure o campo Estado:

Estado

Significado

Preparados

A tarefa existe e está ativada.

Desativado

A tarefa existe, mas tem de estar ativada.

Erro/Não Encontrado

A tarefa está em falta e tem de ser recriada.

Como ativar ou recriar a tarefa

Se o campo de estado de Secure-Boot-Update estiver Desativado, Erro ou Não Encontrado, utilize o script de exemplo para ativar a tarefa: Exemplo Enable-SecureBootUpdateTask.ps1

Nota: este é um script de exemplo e não é suportado pela Microsoft. Os administradores devem revê-lo e adaptá-lo ao respetivo ambiente.

Exemplo:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Executar documentação de orientação

  • Se vir Acesso negado, execute novamente o PowerShell como Administrador.

  • Se o script não for executado devido à política de execução, utilize uma desativação do âmbito do processo:

Set-ExecutionPolicy -Processo de Âmbito -ExecutionPolicy Bypass

voltar ao início 

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade