Aplica-se A
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data Original Publicada: 14 de outubro de 2025

ID da BDC: 5068202

Este artigo tem orientações para:  

  • Organizações com dispositivos Windows geridos por TI e atualizações.

Disponibilidade deste suporte:  

As chaves de registo são incluídas nas atualizações lançadas na data ou depois da seguinte data:

  • 11 de novembro de 2025: Para versões do Windows ainda em suporte.

Alterar data

Alterar descrição

20 de março de 2026

  • Foi adicionado o valor do registo AvailableUpdatesPolicy na primeira tabela na secção "Chaves de registo".

  • Foi atualizado o valor de registo WindowsUEFICA2023Capable "Descrição e Utilização" na segunda tabela na secção "Chaves de registo".

20 de fevereiro de 2026

  • Foram adicionadas três novas chaves de registo ao artigo " UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel".

  • Foi atualizada a secção "Disponibilidade deste suporte".

4 de novembro de 2025

  • Foi adicionada mais uma chave de registo à página.

  • Foi corrigida uma instrução de "Por exemplo, se a atualização da BD (base de dados de assinaturas fidedignas) tiver falhado devido a um problema de firmware, esta chave de registo poderá mostrar um código de erro que pode ser mapeado para um registo de eventos ou ID de erro documentado no" para dizer "Por exemplo, se a atualização da BD (base de dados de assinaturas fidedignas) falhar devido a um problema de firmware, esta chave de registo pode mostrar um código de erro do firmware. Quando esta chave existir e não for zero, recomendamos que procure eventos de Arranque Seguro nos Registos de Eventos do Windows . Consulte (ligação) para obter mais detalhes".

  • Foram adicionados dois caminhos separados para chaves de registo abaixo

11 de novembro de 2025

  • O parágrafo foi atualizado em Teste de dispositivos com chaves de registo com informações adicionais: "A chave do registo deve mudar rapidamente para 0x4100. Reiniciar e executar novamente a tarefa fará com que o gestor de arranque seja atualizado e que as Atualizações Disponíveis se tornem 0x0100. Veja Resolução de problemas para obter mais detalhes sobre o comportamento de AvailableUpdates."

  • Atualize o texto na caixa cinzenta em Teste de dispositivos com chaves de registo para ter dois comandos adicionais do PowerShell

  • Em chaves de registo, o Valor do Registo -MicrosoftUpdateManagedOptIn foi alterado de "1 – Optar ativamente por participar" para "1 ou qualquer valor diferente de zero – Optar ativamente por participar"

16 de novembro de 2025

O conteúdo foi atualizado em "Teste de dispositivos com Chaves de Registo". O valor atualização Disponível foi alterado de "0x0100" para "0x4000".

Neste artigo

Introdução

Este documento descreve o suporte para implementar, gerir e monitorizar as atualizações de certificados de Arranque Seguro com chaves de registo do Windows. As chaves consistem nas seguintes: 

  • Uma chave para acionar a implementação dos certificados e do gestor de arranque no dispositivo.

  • Duas chaves para monitorizar o estado da implementação.

  • Duas chaves para gerir as definições optar ativamente por participar/optar ativamente por não participar nas duas assistências de implementação disponíveis.

Estas chaves de registo podem ser definidas manualmente no dispositivo ou remotamente através do software de gestão de frotas disponível. Outros métodos de implementação, como Política de Grupo, Microsoft Intune e WinCS, são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações geridas por TI.  

Chaves de registo de Arranque Seguro

Nesta secção

Chaves de registo

Todas as chaves de registo de Arranque Seguro descritas abaixo estão localizadas neste caminho de registo: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

A tabela seguinte descreve cada um dos valores do registo:

Valor do Registo

Tipo

Descrição e Utilização

AvailableUpdates

REG_DWORD (máscara de bits)

Atualize os sinalizadores do acionador.

Controla as ações de atualização de Arranque Seguro a executar no dispositivo. Definir o campo de bits adequado aqui inicia a implementação de novos certificados de Arranque Seguro e atualizações relacionadas. Para a implementação empresarial, deve ser definido como 0x5944 (hex) – um valor que permite todas as atualizações relevantes (adicionar os novos certificados de AC de 2023, atualizar o KEK e instalar o novo gestor de arranque). 

Definições

  • 0 ou não definido - Não é efetuada nenhuma atualização da chave de Arranque Seguro.

  • 0x5944 – Implementar todos os certificados necessários e atualizar para o gestor de arranque assinado PCA2023

HighConfidenceOptOut

REG_DWORD

Uma opção de optar ativamente por não participar.

Para empresas que pretendam optar ativamente por não participar em registos de alta confiança que serão automaticamente aplicados como parte da LCU.

Pode definir esta chave como um valor diferente de zero para optar ativamente por não participar nos registos de alta confiança. 

Definições 

  • 0 ou a chave não existe – optar ativamente por participar

  • 1 – Optar ativamente por não participar

MicrosoftUpdateManagedOptIn

REG_DWORD

Uma opção de optar ativamente por participar.

Para empresas que pretendam optar ativamente por participar na manutenção da Implementação de Funcionalidades Controladas (CFR), também conhecida como Microsoft Managed.

Além de definir esta chave, permita o envio de dados de diagnóstico necessários (veja Configurar dados de diagnóstico do Windows na sua organização). 

Definições

  • 0 ou a chave não existe – Optar ativamente por não participar

  • 1 ou qualquer valor   diferente de zero– Optar ativamente por participar

AvailableUpdatesPolicy

REG_DWORD (máscara de bits)

Apenas para referência – não atualize esta chave através do registo. Esta chave é utilizada por Política de Grupo e Intune para comunicar ações relacionadas com o Arranque Seguro ao Windows. Representa a política definida por Intune ou Política de Grupo.

Todas as chaves de registo de Arranque Seguro descritas abaixo estão localizadas neste caminho de registo: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

A tabela seguinte descreve cada um dos valores do registo:

Valor do Registo

Tipo

Descrição e Utilização

UEFICA2023Status

REG_SZ (cadeia)

Indicador de estado de implementação.

Reflete o estado atual da atualização da chave de Arranque Seguro no dispositivo. Será definido como um dos seguintes valores de texto:

  • NotStarted: a atualização ainda não foi executada.

  • InProgress: a atualização está ativamente em curso.

  • Atualizado: a atualização foi concluída com êxito.

Inicialmente, o estado é NotStarted. Muda para InProgress assim que a atualização é iniciada e, por fim, para Atualizada quando todas as novas chaves e o novo gestor de arranque tiverem sido implementados. Se existir um erro, o valor do registo UEFICA2023Error é definido como um código diferente de zero.

UEFICA2023Error

REG_DWORD (código)

Código de erro (se existir).

Este valor permanece 0 com êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error está definido para um código de erro diferente de zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização de Arranque Seguro não foi totalmente bem-sucedida e pode exigir investigação ou remediação nesse dispositivo.  

Por exemplo, se a atualização da BD (base de dados de assinaturas fidedignas) tiver falhado devido a um problema de firmware, esta chave de registo poderá mostrar um código de erro do firmware. Quando esta chave existir e não for zero, recomendamos que procure eventos de Arranque Seguro nos Registos de Eventos do Windows . Para obter mais detalhes, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX ).

UEFICA2023ErrorEvent

REG_DWORD (código)

UEFICA2023ErrorEvent especifica o ID de evento que o Windows utilizou para comunicar um erro relacionado com a aplicação das atualizações de Arranque Seguro do UEFI CA 2023 do Windows. Este valor está correlacionado com a chave de registo UEFICA2023Error e é preenchido quando essa chave está definida, o que indica que o Windows encontrou um erro ao tentar aplicar a atualização de Arranque Seguro. Quando isto ocorre, o Windows regista o evento de Arranque Seguro correspondente documentado na página pública Secure Boot DB e eventos de atualização da variável DBX, que fornece detalhes adicionais sobre o motivo pelo qual a atualização não pôde ser concluída e que ação pode ser necessária.

WindowsUEFICA2023Capable

REG_DWORD (código)

Apenas para referência – não utilize esta chave ao obter o estado das atualizações de Arranque Seguro. Em alternativa, utilize a chave UEFICA2023Status.

Esta chave de registo destina-se a cenários de implementação limitados e não é recomendada para utilização geral.

Valores válidos:

0 – ou a chave não existe – o certificado "WINDOWS UEFI CA 2023" não está na base de dados

1 - O certificado "WINDOWS UEFI CA 2023" está na base de dados

2 - O certificado "WINDOWS UEFI CA 2023" está na BD e o sistema começa a partir do gestor de arranque assinado em 2023

BucketHash

REG_SZ (cadeia)

BucketHash identifica o registo de implementação ao qual um dispositivo é atribuído como parte da implementação do certificado de Arranque Seguro. O valor é um hash derivado das características do dispositivo e é utilizado para agrupar dispositivos com firmware e atributos de plataforma semelhantes para implementação faseada e gestão de riscos. Este é o mesmo hash de registo que aparece nos eventos específicos do dispositivo documentados na página de eventos de atualização de variáveis DB e DBX de Arranque Seguro , permitindo que os administradores correlacionem o estado do registo com as entradas de registo de eventos e compreendam como um dispositivo está a ser visado durante o processo de atualização de Arranque Seguro.

Nível de Confiança

REG_SZ (cadeia)

ConfidenceLevel indica a avaliação de confiança associada ao registo de implementação de Arranque Seguro do dispositivo. Este valor corresponde ao BucketConfidenceLevel que o Windows atribui ao dispositivo com base no comportamento de atualização observado em configurações de hardware e firmware semelhantes. O mesmo nível de confiança está incluído nos eventos específicos do dispositivo documentados na página de eventos de atualização de variáveis DBX e DBX de Arranque Seguro , permitindo que os administradores correlacionem o valor do registo com as entradas do registo de eventos. Para obter mais detalhes sobre os valores possíveis para esta chave, veja as descrições de eventos do registo de eventos específicas do dispositivo.

Como estas chaves funcionam em conjunto

Os administradores de TI configuram o valor de registo AvailableUpdates para 0x5944, o que sinaliza o Windows para executar a atualização e instalação da chave de Arranque Seguro no dispositivo.

À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, por fim, para Atualizado após o êxito. À medida que cada bit no 0x5944 é processado com êxito, é limpo.

Se algum passo falhar, é registado um código de erro no UEFICA2023Error (e o estado permanece InProgress).

Este mecanismo dá aos administradores uma forma clara de acionar e controlar a implementação por dispositivo. 

Implementação com chaves de registo 

A implementação num grupo de dispositivos consiste nos seguintes passos: 

  1. Defina o valor do registo AvailableUpdates para 0x5944 em cada um dos dispositivos a atualizar.

  2. Monitorize as chaves de registo UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão a progredir. A tarefa que processa estas atualizações é executada a cada 12 horas. Tenha em atenção que a atualização do gestor de arranque pode não acontecer até que ocorra um reinício.

  3. Investigue os problemas se ocorrerem. Se UEFICA2023Error não estiver a zero num dispositivo, pode verificar se existem eventos relacionados com este problema no registo de eventos. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot ) para obter uma lista completa dos eventos de Arranque Seguro.

Nota sobre reinícios: embora possa ser necessário reiniciar para concluir o processo, iniciar a implementação das atualizações de Arranque Seguro não causará um reinício. Se for necessário reiniciar, a implementação de Arranque Seguro depende de reinícios que ocorrem como o curso normal de utilização do dispositivo. 

Teste de dispositivos com chaves de registo 

Ao testar dispositivos individuais para garantir que os dispositivos irão processar as atualizações corretamente, as chaves de registo podem ser uma forma simples de testar. 

Para testar, execute cada um dos seguintes comandos separadamente a partir de uma linha de comandos do PowerShell do administrador: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Reinicie manualmente o sistema quando o AvailableUpdates se tornar 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

O primeiro comando inicia a implementação do certificado e do gestor de arranque no dispositivo. O segundo comando faz com que a tarefa que processa a chave de registo AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. A chave do registo deve mudar rapidamente para 0x4100. Reiniciar e executar novamente a tarefa fará com que o gestor de arranque seja atualizado e que as Atualizações Disponíveis se tornem 0x4000. Veja Resolução de problemas para obter mais detalhes sobre o comportamento de AvailableUpdates.

Pode encontrar os resultados observando as chaves de registo UEFICA2023Status e UEFICA2023Error e os registos de eventos, conforme descrito em Eventos de atualização da variável DBX e Secure Boot

Optar ativamente por participar e optar ativamente por não participar nas assistências 

As chaves de registo HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser utilizadas para gerir as duas "assistências" de implementação descritas em dispositivos Windows com atualizações geridas por TI

  • A chave de registo HighConfidenceOptOut controla a atualização automática de dispositivos através das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos a serem atualizados com êxito, serão considerados dispositivos de "alta confiança" e as atualizações de certificados de Arranque Seguro ocorrerão automaticamente. A predefinição é optar ativamente por participar.

  • A chave de registo MicrosoftUpdateManagedOptIn permite que os departamentos de TI optem ativamente por participar na implementação automática gerida pela Microsoft. Esta definição está desativada por predefinição e está a defini-la como 1 opt-in. Esta definição também requer que o dispositivo envie dados de diagnóstico opcionais.

Versões suportadas do Windows

Esta tabela divide ainda mais o suporte com base na chave de registo. 

Chave 

Versões suportadas do Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Todas as versões do Windows que suportam o Arranque Seguro (Windows Server 2012 e versões posteriores do Windows).  

Nota: Embora os dados de confiança sejam recolhidos no Windows 10, versões LTSC, 22H2 e versões posteriores do Windows, podem ser aplicados a dispositivos em execução em versões anteriores do Windows.    

  • Windows 10, versões LTSC e 22H2

  • Windows 11, versões 22H2 e 23H2

  • Windows 11, versão 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Eventos de erro de Arranque Seguro

​​​​​​​​​​​​​​Os eventos de erro têm uma função de relatório crítica para informar sobre o Estado e o progresso do Arranque Seguro.  Para obter informações sobre os eventos de erro, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot). Os eventos de erro estão a ser atualizados com informações de evento adicionais para o Arranque Seguro. 

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade