Aplica-se A
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data Original Publicada: 14 de outubro de 2025

ID da BDC: 5068202

Este artigo tem orientações para:  

  • Organizações com dispositivos Windows geridos por TI e atualizações.

Disponibilidade deste suporte:  

  • As chaves de registo AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut e MicrosoftUpdateManagedOptIn são incluídas nas atualizações lançadas nas datas seguintes:

    • 14 de outubro de 2025: as versões suportadas incluem Windows 10, versão 22H2 e versões mais recentes (incluindo 21H2 LTSC), todas as versões suportadas do Windows 11, bem como Windows Server 2022 e posterior.

    • 11 de novembro de 2025: para versões do Windows ainda em suporte.

Neste artigo

Introdução

Este documento descreve o suporte para implementar, gerir e monitorizar as atualizações de certificados de Arranque Seguro com chaves de registo do Windows. As chaves consistem nas seguintes: 

  • Uma chave para acionar a implementação dos certificados e do gestor de arranque no dispositivo.

  • Duas chaves para monitorizar o estado da implementação.

  • Duas chaves para gerir as definições de opt-in/opt-out para as duas assistências de implementação disponíveis.

Estas chaves de registo podem ser definidas manualmente no dispositivo ou remotamente através do software de gestão de frotas disponível. Outros métodos de implementação, como Política de Grupo, Intune e WinCS, são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações geridas por TI.  

Chaves de registo de Arranque Seguro

Nesta secção

Chaves de registo

Todas as chaves de registo de Arranque Seguro descritas neste documento estão localizadas neste caminho de registo: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

A tabela seguinte descreve cada um dos valores do registo. 

Valor do Registo

Tipo

Descrição & Utilização

AvailableUpdates

REG_DWORD (máscara de bits)

Atualize os sinalizadores do acionador.

Controla as ações de atualização de Arranque Seguro a executar no dispositivo. Definir o campo de bits adequado aqui inicia a implementação de novos certificados de Arranque Seguro e atualizações relacionadas. Para a implementação empresarial, esta opção deve ser definida como 0x5944 (hex) – um valor que permite todas as atualizações relevantes (adicionar os novos certificados de AC de 2023, atualizar o KEK e instalar o novo gestor de arranque). 

Configurações: 

  • 0 ou não definido - Não é efetuada nenhuma atualização da chave de Arranque Seguro.

  • 0x5944 – Implementar todos os certificados necessários e atualizar para o gestor de arranque assinado PCA2023

UEFICA2023Status

REG_SZ (cadeia)

Indicador de estado de implementação.

Reflete o estado atual da atualização da chave de Arranque Seguro no dispositivo. Será definido como um dos seguintes valores de texto:

  • NotStarted:A atualização ainda não foi executada.

  • Entrada:A atualização está ativamente em curso.

  • Atualizado: A atualização foi concluída com êxito.

Inicialmente, o estado é NotStarted. Muda para InProgress assim que a atualização é iniciada e, por fim, para Atualizada quando todas as novas chaves e o novo gestor de arranque tiverem sido implementados. Se existir um erro, o valor do registo UEFICA2023Error é definido como um código diferente de zero.

UEFICA2023Error

REG_DWORD (código)

Código de erro (se existir).

Este valor permanece 0 com êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error está definido para um código de erro diferente de zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização de Arranque Seguro não foi totalmente bem-sucedida e pode exigir investigação ou remediação nesse dispositivo.  

Por exemplo, se a atualização da base de dados (base de dados de assinaturas fidedignas) tiver falhado devido a um problema de firmware, esta chave de registo poderá mostrar um código de erro que pode ser mapeado para um registo de eventos ou um ID de erro documentado em eventos de atualização da variável DBX e secure boot

HighConfidenceOptOut

REG_DWORD

Uma opção de optar ativamente por não participar.

Para empresas que pretendam optar ativamente por não participar em registos de alta confiança que serão automaticamente aplicados como parte da LCU.

Pode definir esta chave como um valor diferente de zero para optar ativamente por não participar nos registos de alta confiança. 

Definições 

  • 0 ou a chave não existe – Optar ativamente por participar

  • 1 – Optar ativamente por participar

MicrosoftUpdateManagedOptIn

REG_DWORD

Uma opção de optar ativamente por participar.

Para empresas que pretendam optar ativamente por participar na manutenção da Implementação de Funcionalidades Controladas (CFR), também conhecida como Microsoft Managed.

Além de definir esta chave, permita o envio de dados de diagnóstico necessários (veja Configurar dados de diagnóstico do Windows na sua organização). 

Definições

  • 0 ou a chave não existe – Optar ativamente por não participar

  • 1 – Optar ativamente por participar

Como estas chaves funcionam em conjunto

O administrador de TI configura o valor de registo AvailableUpdates para 0x5944, o que sinaliza o Windows para executar a atualização e instalação da chave de Arranque Seguro no dispositivo.

À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, por fim, para Atualizado após o êxito. À medida que cada bit no 0x5944 é processado com êxito, é limpo.

Se algum passo falhar, é registado um código de erro no UEFICA2023Error (e o estado permanece InProgress).

Este mecanismo dá aos administradores uma forma clara de acionar e controlar a implementação por dispositivo. 

Implementação com chaves de registo 

A implementação num grupo de dispositivos consiste nos seguintes passos: 

  1. Defina o valor do registo AvailableUpdates para 0x5944 em cada um dos dispositivos a atualizar.

  2. Monitorize as chaves de registo UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão a progredir. Lembre-se de que a tarefa que processa estas atualizações é executada uma vez a cada 12 horas. Tenha em atenção que a atualização do gestor de arranque pode não acontecer até que ocorra um reinício.

  3. Investigue os problemas se ocorrerem. Se UEFICA2023Error não estiver a zero num dispositivo, pode verificar se existem eventos relacionados com este problema no registo de eventos. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot ) para obter uma lista completa dos eventos de Arranque Seguro.

Nota sobre reinícios: embora possa ser necessário reiniciar para concluir o processo, iniciar a implementação das atualizações de Arranque Seguro não causará um reinício. Se for necessário reiniciar, a implementação de Arranque Seguro depende de reinícios que ocorrem como o curso normal de utilização do dispositivo. 

Teste de dispositivos com chaves de registo 

Ao testar dispositivos individuais para garantir que os dispositivos irão processar as atualizações corretamente, as chaves de registo podem ser uma forma simples de testar. 

Para testar, execute cada um dos seguintes comandos separadamente a partir de uma linha de comandos do PowerShell do administrador: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

O primeiro comando inicia a implementação do certificado e do gestor de arranque no dispositivo. O segundo comando faz com que a tarefa que processa a chave de registo AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. 

Pode encontrar os resultados observando as chaves de registo UEFICA2023Status e UEFICA2023Error e os registos de eventos, conforme descrito em Eventos de atualização da variável DBX e Secure Boot

Optar ativamente por participar e optar ativamente por não participar nas assistências 

As chaves de registo HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser utilizadas para gerir as duas "assistências" de implementação descritas em dispositivos Windows com atualizações geridas por TI

  • A chave de registo HighConfidenceOptOut controla a atualização automática de dispositivos através das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos a serem atualizados com êxito, serão considerados dispositivos de "alta confiança" e as atualizações de certificados de Arranque Seguro ocorrerão automaticamente. A predefinição para esta opção optou por participar.

  • A chave de registo MicrosoftUpdateManagedOptIn permite que os departamentos de TI optem ativamente por participar na implementação automática gerida pela Microsoft. Esta definição está desativada por predefinição e está a defini-la como 1 opt-in. Esta definição também requer que o dispositivo envie dados de diagnóstico opcionais.

Versões suportadas do Windows

Esta tabela divide ainda mais o suporte com base na chave de registo. 

Chave 

Versões suportadas do Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Todas as versões do Windows que suportam o Arranque Seguro (Windows Server 2012 e versões posteriores do Windows).  

Nota: Embora os dados de confiança sejam recolhidos no Windows 10, versões LTSC, 22H2 e versões posteriores do Windows, podem ser aplicados a dispositivos em execução em versões anteriores do Windows.    

  • Windows 10, versões LTSC e 22H2

  • Windows 11, versões 22H2 e 23H2

  • Windows 11, versão 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Eventos de erro de Arranque Seguro

​​​​​​​​​​​​​​Os eventos de erro têm uma função de relatório crítica para informar sobre o Estado e o progresso do Arranque Seguro.  Para obter informações sobre os eventos de erro, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot). Os eventos de erro estão a ser atualizados com informações de evento adicionais para o Arranque Seguro. 

Alterações adicionais de componentes para o Arranque Seguro 

Nesta secção

Alterações de TPMTasks 

Modifique tPMTasks para determinar se o estado do dispositivo tem os certificados de Arranque Seguro atualizados. Atualmente, pode fazer essa determinação, mas apenas se o CFR selecionar um computador para atualização. Essa determinação e registo subsequente devem ocorrer em todas as sessões de arranque, independentemente do CFR. Se os certificados de Arranque Seguro não estiverem totalmente atualizados, emitirão os dois eventos de erro descritos acima. Se os certificados estiverem atualizados, emitirão o evento Informações. Os certificados de Arranque Seguro que serão verificados são:  

  • WINDOWS UEFI CA 2023

  • Microsoft UEFI CA 2023 e Microsoft Option ROM UEFI CA 2023 – estas duas ACs só têm de estar presentes se o MICROSOFT UEFI CA 2011 estiver presente. Se o MICROSOFT UEFI CA 2011 não estiver presente, não é necessária nenhuma verificação.

  • Microsoft Corporation KEK 2K CA 2023

Evento de metadados do computador 

Este evento recolherá os metadados do computador e emitirá o seguinte evento:

  • BucketId + Evento de Classificação de Confiança   

Este evento utilizará os metadados do computador para encontrar a entrada correspondente na base de dados das máquinas (entrada de registo). A máquina irá formatar e emitir um evento com estes dados juntamente com quaisquer informações de confiança sobre o registo. ​​​​​​​ 

Assistência de dispositivos altamente confiante 

Para dispositivos em registos de alta confiança, os certificados de Arranque Seguro e o gestor de arranque assinado 2023 serão aplicados automaticamente.   

A atualização será acionada ao mesmo tempo que os dois eventos de erro são gerados e o evento BucketId + Classificação de Confiança inclui uma classificação de alta confiança.   

Optar ativamente por não participar

Para os clientes que pretendam optar ativamente por não participar, estará disponível uma nova chave de registo da seguinte forma:   

Localização do registo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Nome da tecla

HighConfidenceOptOut

Tipo de chave

DWORD

Valor DWORD

0 ou a chave não existe – a assistência de alta confiança está ativada.    

1 – A assistência de alta confiança está desativada   

Qualquer outro valor é indefinido   

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade