Aplica-se A
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data original publicada: 26 de junho de 2025

ID da BDC: 5062713

Este artigo tem orientações para:

Organizações (empresariais, pequenas empresas e educação) com dispositivos e atualizações Windows geridos por TI.

Nota: se for um indivíduo proprietário de um dispositivo Windows pessoal, aceda ao artigo Dispositivos Windows para utilizadores domésticos, empresas e escolas com atualizações geridas pela Microsoft.

Alterar Data

Alterar Descrição

5 de maio de 2026

30 de março de 2026

  • Resolvemos o problema conhecido: "As atualizações do certificado de Arranque Seguro podem falhar com o ID do Evento 1795 em máquinas virtuais hyper-V"

24 de março de 2026

  • Foi atualizado o problema conhecido: "As atualizações do certificado de Arranque Seguro podem falhar com o ID do Evento 1795 em máquinas virtuais do Hyper-V"

16 de março de 2026

  • A secção "Dados de confiança de exemplo" foi removida em "Script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo", uma vez que está desatualizada.

3 de março de 2026

  • Reformatou o resultado do exemplo na secção "Preparação", para que fique dentro da caixa.

24 de fevereiro de 2026

  • Foi atualizado o conteúdo do "Script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo" na secção "Preparação". 

  • Foi adicionada uma nova secção "Saída de exemplo" na secção "Preparação".

23 de fevereiro de 2026

  • Foi atualizado o conteúdo do "Script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo" na secção "Preparação".

13 de fevereiro de 2026

  • Foram adicionados os itens "Dados de confiança de exemplo" à secção "Preparação". 

  • O "script de coleção para eventos pendentes 1801 e 1808" foi removido da secção "Preparação", uma vez que já não é necessário. 

3 de fevereiro de 2026

  • Problemas comuns movidos e reformatados na secção Resolução de problemas.

  • Foi adicionado um novo problema comum: "As atualizações do certificado de Arranque Seguro podem falhar com o ID do Evento 1795 em máquinas virtuais hyper-V".

26 de janeiro de 2026

  • Foi atualizado o texto em "Assistência de Implementação Automática" de "Ambos os auxiliares necessitam de dados de diagnóstico". para "Apenas o auxiliar de Implementação de Funcionalidades Controladas requer dados de diagnóstico.

11 de novembro de 2025

Foram corrigidos dois erros de digitação em "Suporte de implementação de certificados de Arranque Seguro".

  • 0x0800 - O nome do certificado foi alterado de "Microsoft UEFI CA 2023" para "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 - "Microsoft Option ROM CA 2023" alterado para "Microsoft UEFI CA 2023".

10 de novembro de 2025

  • Foram corrigidos dois erros de digitação em "Novo Certificado": de "Microsoft Corporation KEK CA 2023" a "Microsoft Corporation KEK 2K CA 2023" e de "Microsoft Option ROM CA 2023" a "Microsoft Option ROM UEFI CA 2023".

  • Foram adicionados novos scripts do PowerShell nos cabeçalhos "Verificar o estado de Arranque Seguro na frota: O Arranque Seguro está ativado?" e "Preparação".

Neste artigo:

Descrição geral

Este artigo destina-se a organizações com profissionais de TI dedicados que gerem ativamente atualizações em toda a frota de dispositivos. A maior parte deste artigo irá focar-se nas atividades necessárias para que o departamento de TI de uma organização tenha êxito na implementação dos novos certificados de Arranque Seguro. Estas atividades incluem testar firmware, monitorizar atualizações de dispositivos, iniciar a implementação e diagnosticar problemas à medida que surgem. São apresentados vários métodos de implementação e monitorização. Além destas atividades principais, oferecemos vários auxiliares de implementação, incluindo a opção de optar pelos dispositivos cliente para participação numa Implementação de Funcionalidades Controladas (CFR) especificamente para implementação de certificados.

Manual de procedimentos de implementação para profissionais de TI 

Planeie e execute atualizações de certificados de Arranque Seguro em toda a sua frota de dispositivos através da preparação, monitorização, implementação e remediação.

Verificar o estado de Arranque Seguro em toda a sua frota: O Arranque Seguro está ativado? 

A maioria dos dispositivos fabricados desde 2012 têm suporte para o Arranque Seguro e são enviados com o Arranque Seguro ativado. Para verificar se um dispositivo tem o Arranque Seguro ativado, efetue um dos seguintes procedimentos: 

  • Método GUI: Aceda a IniciarDefinições de > > Privacidade & Segurança> Segurança do Windows> Segurança do Dispositivo. Em Segurança do dispositivo, a secção Arranque seguro deve indicar que o Arranque Seguro está ativado.

  • Método da Linha de Comandos: Numa linha de comandos elevada no PowerShell, escreva Confirm-SecureBootUEFI e, em seguida, prima Enter. O comando deve devolver Verdadeiro indicando que o Arranque Seguro está ativado.

Em implementações de grande escala para uma frota de dispositivos, o software de gestão utilizado pelos profissionais de TI terá de fornecer uma verificação para a ativação de Arranque Seguro. 

Por exemplo, o método para verificar o estado de Arranque Seguro em dispositivos geridos pelo Microsoft Intune é criar e implementar um Intune script de conformidade personalizado. Intune definições de conformidade são abrangidas em Utilizar definições de conformidade personalizadas para dispositivos Linux e Windows com Microsoft Intune.  

Exemplo de script do Powershell para verificar se o Arranque Seguro está ativado:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Se o Arranque Seguro não estiver ativado, pode ignorar os passos de atualização abaixo, uma vez que não são aplicáveis.

Como as atualizações são implementadas

Existem várias formas de direcionar os dispositivos para as atualizações de certificados de Arranque Seguro. Os detalhes da implementação, incluindo definições e eventos, serão abordados mais à frente neste documento. Quando direciona um dispositivo para atualizações, é efetuada uma definição no dispositivo para indicar que o dispositivo deve iniciar o processo de aplicação dos novos certificados. Uma tarefa agendada é executada no dispositivo a cada 12 horas e deteta que o dispositivo foi direcionado para as atualizações. Um destaque do que a tarefa faz é o seguinte:

  1. A AC uefi do Windows 2023 é aplicada à BD.

  2. Se o dispositivo tiver a CA UEFI da Microsoft Corporation 2011 na BD, a tarefa aplica a CA UEFI 2023 da Opção Microsoft e a CA 2023 do UEFI da Microsoft à BD.

  3. Em seguida, a tarefa adiciona a AC 2K 2K da Microsoft Corporation KEK 2023.

  4. Por fim, a tarefa agendada atualiza o gestor de arranque do Windows para o que foi assinado pela CA 2023 do UEFI do Windows. O Windows detetará que é necessário reiniciar antes de o gestor de arranque poder ser aplicado. A atualização do gestor de arranque será adiada até que o reinício ocorra naturalmente (por exemplo, quando são aplicadas atualizações mensais) e, em seguida, o Windows tentará novamente aplicar a atualização do gestor de arranque.

Cada um dos passos acima tem de ser concluído com êxito antes de a tarefa agendada passar para o passo seguinte. Durante este processo, os registos de eventos e outro estado estarão disponíveis para ajudar na monitorização da implementação. Abaixo, são fornecidos mais detalhes sobre a monitorização e os registos de eventos.  

Atualizar os Certificados de Arranque Seguro permite uma atualização futura para o Gestor de Arranque 2023, que é mais Seguro. As atualizações específicas no Gestor de Arranque estarão em versões futuras.

Passos de implementação 

  • Preparação: inventário e dispositivos de teste.

  • Considerações sobre firmware

  • Monitorização: verifique se a monitorização funciona e a linha de base da frota.

  • Implementação: segmente dispositivos para atualizações, começando com pequenos subconjuntos e expandindo-se com base em testes bem-sucedidos.

  • Remediação: investigue e resolva quaisquer problemas com os registos e o suporte do fornecedor.

Preparação 

Hardware e firmware de inventário. Crie um exemplo representativo de dispositivos com base no Fabricante do Sistema, No Modelo de Sistema, na Versão/Data do BIOS, na versão do Produto BaseBoard, etc., e teste as atualizações nesses dispositivos antes de uma implementação abrangente.  Estes parâmetros estão normalmente disponíveis nas informações do sistema (MSINFO32). Utilize os comandos do PowerShell de exemplo incluídos para verificar o estado da atualização de Arranque Seguro e para inventariar dispositivos em toda a organização.

Notas: 

  • Estes comandos aplicam-se se o estado de Arranque Seguro estiver ativado.

  • Muitos destes comandos precisam de privilégios de administrador para funcionar.

Script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo

Copie e cole este script de exemplo e modifique conforme necessário para o seu ambiente: o script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo.

Saída de Exemplo:

{"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0", "AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"03/11/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.50000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Níveis de Confiança de Arranque Seguro

Nível de Confiança

Significado

Ação Necessária

Alta Confiança

A Microsoft validou que esta classe de dispositivo é segura para atualizações

Seguro para implementar atualizações de certificados

Em Observação – Mais Dados Necessários

A Microsoft ainda está a recolher dados de Diagnóstico de Implementação de Arranque Seguro sobre estes dispositivos

Aguarde pela classificação da Microsoft

Sem Dados Observados - Ação Necessária

A classe de dispositivos não é conhecida pela Microsoft

Enterprise tem de testar e planear a implementação

Temporariamente em Pausa

Problemas de compatibilidade conhecidos

Verificar a Atualização do OEM BIOS; Aguarde até que a Microsoft resolva

Não Suportado - Limitação Conhecida

Limitações de plataforma ou hardware

Documento como exceção

O primeiro passo se o Arranque Seguro estiver ativado é verificar se existem eventos pendentes que tenham sido atualizados recentemente ou no processo de atualização dos certificados de Arranque Seguro. De interesse específico são os eventos mais recentes em 1801 e 1808. Estes eventos são descritos em detalhe nos eventos de atualização de variáveis DBX e Secure Boot DBX. Consulte também a secção Monitorização e implementação para saber como os eventos podem mostrar o estado das atualizações pendentes.  

O próximo passo consiste em inventariar dispositivos em toda a sua organização. Recolha os seguintes detalhes com os comandos do PowerShell para criar um exemplo representativo: 

Identificadores Básicos (2 valores)

      1. HostName - $env: COMPUTERNAME 

      2. CollectionTime - Get-Date 

Registo: Chave Principal de Arranque Seguro (3 valores) 

     3. SecureBootEnabled - Confirm-SecureBootUEFI cmdlet ou HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registo: Chave de Manutenção (3 valores) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registo: Atributos do Dispositivo (7 valores) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Registos de Eventos: Registo do Sistema (5 valores) 

     16. LatestEventId - Evento de Arranque Seguro mais recente 

     17. BucketID - Extraído do Evento 1801/1808 

     18. Confiança - Extraído do Evento 1801/1808 

     19. Event1801Count - Contagem de eventos 

     20. Event1808Count - Contagem de eventos 

Consultas WMI/CIM (4 valores) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime - Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Fabricante  

     26. (Get-CIMInstance Win32_ComputerSystem). Modelo  

    27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/aaaa")  

    28. (Get-CIMInstance Win32_BaseBoard). Produto  

Considerações sobre firmware

A implementação dos novos certificados de Arranque Seguro na sua frota de dispositivos requer que o firmware do dispositivo tenha um papel na conclusão da atualização. Embora a Microsoft espere que a maioria do firmware do dispositivo funcione conforme esperado, é necessário um teste cuidadoso antes de implementar os novos certificados.

Examine o inventário de hardware e crie uma pequena amostra representativa de dispositivos com base nos seguintes critérios exclusivos, tais como: 

  • Fabricante

  • Número do Modelo

  • Versão do Firmware

  • Versão do OEM Baseboard, etc.

Antes de implementar amplamente em dispositivos na sua frota, recomendamos que teste as atualizações de certificado em dispositivos de exemplo representativos (conforme definido por fatores como fabricante, modelo, versão de firmware) para garantir que as atualizações são processadas com êxito. A documentação de orientação recomendada sobre o número de dispositivos de exemplo a testar para cada categoria exclusiva é 4 ou mais.

Isto ajudará a criar confiança no seu processo de implementação e ajudará a evitar impactos inesperados na sua frota mais ampla. 

Em alguns casos, poderá ser necessária uma atualização de firmware para atualizar com êxito os certificados de Arranque Seguro. Nestes casos, recomendamos que consulte o OEM do dispositivo para ver se o firmware atualizado está disponível.

Windows em ambientes virtualizados

Para o Windows em execução num ambiente virtual, existem dois métodos para adicionar os novos certificados às variáveis de firmware de Arranque Seguro:  

  • O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware, etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isto funcionaria para novos dispositivos virtualizados.

  • Para o Windows em execução a longo prazo numa VM, as atualizações podem ser aplicadas através do Windows, como qualquer outro dispositivo, se o firmware virtualizado suportar atualizações de Arranque Seguro.

Monitorização e implementação 

Recomendamos que inicie a monitorização do dispositivo antes da implementação para garantir que a monitorização está a funcionar corretamente e que tem uma boa noção do estado da frota com antecedência. As opções de monitorização são abordadas abaixo. 

A Microsoft fornece vários métodos para implementar e monitorizar as atualizações de certificados de Arranque Seguro.

Assistências de implementação automatizadas 

A Microsoft está a fornecer duas assistências de implementação. Estas assistências podem ser úteis para ajudar na implementação dos novos certificados na sua frota. Apenas o auxiliar de Implementação de Funcionalidades Controladas requer dados de diagnóstico.

  • Opção para atualizações cumulativas com registos de confiança: A Microsoft pode incluir automaticamente grupos de dispositivos de alta confiança em atualizações mensais com base nos dados de diagnóstico partilhados até à data, para beneficiar sistemas e organizações que não podem partilhar dados de diagnóstico. Este passo não requer a ativação dos dados de diagnóstico.

    • Para organizações e sistemas que podem partilhar dados de diagnóstico, dá à Microsoft a visibilidade e a confiança de que os dispositivos podem implementar os certificados com êxito. Estão disponíveis mais informações sobre como ativar os dados de diagnóstico em: Configurar dados de diagnóstico do Windows na sua organização. Estamos a criar "registos" para cada dispositivo exclusivo (conforme definido por atributos que incluem fabricante, versão da placa principal, fabricante de firmware, versão de firmware e pontos de dados adicionais). Para cada registo, estamos a monitorizar as provas de sucesso em vários dispositivos. Depois de vermos atualizações com êxito suficientes e sem falhas, consideraremos o registo de "alta confiança" e incluiremos esses dados nas atualizações cumulativas mensais. Quando as atualizações mensais são aplicadas a um dispositivo num registo de alta confiança, o Windows aplicará automaticamente os certificados às variáveis de Arranque Seguro UEFI no firmware.

    • Os registos de alta confiança incluem dispositivos que estão a processar as atualizações corretamente. Naturalmente, nem todos os dispositivos fornecerão dados de diagnóstico, o que pode limitar a confiança da Microsoft na capacidade de um dispositivo processar as atualizações corretamente.

    • Este auxiliar está ativado por predefinição para dispositivos de alta confiança e pode ser desativado com uma definição específica do dispositivo. Mais informações serão partilhadas em futuras versões do Windows.

  • Implementação de Funcionalidades Controladas (CFR):  Optar ativamente por participar em dispositivos para a implementação gerida pela Microsoft se os dados de diagnóstico estiverem ativados.

    • A Implementação controlada de funcionalidades (CFR) pode ser utilizada com dispositivos cliente em frotas organizacionais. Isto requer que os dispositivos estejam a enviar dados de diagnóstico necessários para a Microsoft e tenham sinalizado que o dispositivo está a optar por permitir CFR no dispositivo. Os detalhes sobre como optar ativamente por participar são descritos abaixo.

    • A Microsoft irá gerir o processo de atualização destes novos certificados em dispositivos Windows onde os dados de diagnóstico estão disponíveis e os dispositivos estão a participar na Implementação controlada de funcionalidades (CFR). Embora o CFR possa ajudar na implementação dos novos certificados, as organizações não poderão confiar no CFR para remediar as respetivas frotas– será necessário seguir os passos descritos neste documento na secção sobre Métodos de implementação não abrangidos por assistências automatizadas.

    • Limitações: Existem algumas razões pelas quais o CFR pode não funcionar no seu ambiente. Por exemplo:

      • Não existem dados de diagnóstico disponíveis ou os dados de diagnóstico não são utilizáveis como parte da implementação do CFR.

      • Os dispositivos não estão em versões de cliente suportadas do Windows 11 e Windows 10 com atualizações de segurança alargadas (ESU).

Métodos de implementação não abrangidos por assistências automatizadas

Escolha o método que se adequa ao seu ambiente. Evite misturar métodos no mesmo dispositivo: 

  • Chaves de registo: controle a implementação e monitorize os resultados.Existem várias chaves de registo disponíveis para controlar o comportamento da implementação dos certificados e para monitorizar os resultados. Além disso, existem duas chaves para optar ativamente por participar e sair dos auxiliares de implementação descritos acima. Para obter mais informações sobre as chaves de registo, veja Registry Key Atualizações for Secure Boot - Dispositivos Windows com atualizações geridas por TI.

  • Política de Grupo Objects (GPO): Gerir definições; monitorizar através do registo e dos registos de eventos.A Microsoft fornecerá suporte para gerir as atualizações de Arranque Seguro com Política de Grupo numa atualização futura. Tenha em atenção que, uma vez que Política de Grupo se destina a definições, a monitorização do estado do dispositivo terá de ser feita através de métodos alternativos, incluindo a monitorização de chaves de registo e entradas de registo de eventos.

  • CLI do WinCS (Sistema de Configuração do Windows): utilize ferramentas de linha de comandos para clientes associados a um domínio.Em alternativa, os administradores de domínio podem utilizar o Sistema de Configuração do Windows (WinCS) incluído nas atualizações do SO Windows para implementar as atualizações de Arranque Seguro em clientes e servidores Windows associados a um domínio. Consiste numa série de utilitários de linha de comandos (um executável tradicional e um módulo do PowerShell) para consultar e aplicar configurações de Arranque Seguro localmente a um computador. Para obter mais informações, consulte os seguintes artigos:

  • Microsoft Intune/Configuration Manager: Implementar scripts do PowerShell. Um Fornecedor de Serviços de Configuração (CSP) será fornecido numa atualização futura para permitir a implementação com Intune.

Monitorizar Registos de Eventos

Estão a ser fornecidos dois novos eventos para ajudar na implementação das atualizações do certificado de Arranque Seguro. Estes eventos são descritos detalhadamente em eventos de atualização de variáveis DBX e DBX de Arranque Seguro

  • ID do Evento: 1801 Este evento é um evento de erro que indica que os certificados atualizados não foram aplicados ao dispositivo. Este evento fornece alguns detalhes específicos do dispositivo, incluindo os atributos do dispositivo, que ajudarão a correlacionar os dispositivos que ainda precisam de ser atualizados.

  • ID do Evento: 1808 Este evento é um evento informativo que indica que o dispositivo tem os novos certificados de Arranque Seguro necessários aplicados ao firmware do dispositivo.

Estratégias de implementação 

Para minimizar o risco, implemente atualizações de Arranque Seguro por fases em vez de todas ao mesmo tempo. Comece com um pequeno subconjunto de dispositivos, valide os resultados e, em seguida, expanda para grupos adicionais. Sugerimos que comece com subconjunto de dispositivos e, à medida que ganha confiança nessas implementações, adicione subconjuntos adicionais de dispositivos. Vários fatores podem ser utilizados para determinar o que vai para um subconjunto, incluindo resultados de teste em dispositivos de exemplo e estrutura organizacional, etc. 

A decisão sobre os dispositivos que implementa cabe-lhe a si. Algumas estratégias possíveis estão listadas aqui. 

  • Grande frota de dispositivos: comece por depender das assistências descritas acima para os dispositivos mais comuns que gere. Em paralelo, concentre-se nos dispositivos menos comuns geridos pela sua organização. Teste pequenos dispositivos de exemplo e, se o teste for bem-sucedido, implemente nos restantes dispositivos do mesmo tipo. Se o teste produzir problemas, investigue a causa do problema e determine os passos de remediação. Também pode considerar classes de dispositivos que têm um valor mais elevado na sua frota e começar a testar e implementar para garantir que esses dispositivos têm a proteção atualizada em vigor mais cedo.

  • Frota pequena, grande variedade: Se a frota que está a gerir contiver uma grande variedade de máquinas onde testar dispositivos individuais seria proibitivo, considere confiar fortemente nas duas assistências descritas acima, especialmente para dispositivos que provavelmente serão dispositivos comuns no mercado. Inicialmente, concentre-se em dispositivos críticos para a operação diária, teste e, em seguida, implemente. Continue a mover para baixo a lista de dispositivos de alta prioridade, testando e implementando enquanto monitoriza a frota para confirmar que as assistências estão a ajudar com o resto dos dispositivos.

Notas 

  • Preste atenção aos dispositivos mais antigos, especialmente aos dispositivos que já não são suportados pelo fabricante. Embora o firmware deva efetuar as operações de atualização corretamente, alguns poderão não. Nos casos em que o firmware não funciona corretamente e o dispositivo já não é suportado, considere substituir o dispositivo para garantir a proteção de Arranque Seguro em toda a sua frota.

  • Os novos dispositivos fabricados nos últimos 1 a 2 anos podem já ter os certificados atualizados implementados, mas podem não ter o gestor de arranque assinado do UEFI CA 2023 do Windows aplicado ao sistema. A aplicação deste gestor de arranque é um último passo crítico na implementação para cada dispositivo.

  • Depois de um dispositivo ter sido selecionado para atualizações, poderá demorar algum tempo até que as atualizações estejam concluídas. Calcule 48 horas e um ou mais reinícios para que os certificados se apliquem.

Perguntas Mais Frequentes (FAQ)

Para perguntas mais frequentes, veja o artigo FAQ sobre Arranque Seguro .

Resolução de Problemas

Veja o documento Resolução de problemas para obter mais detalhes.

Recursos adicionais

Sugestão: Adicione estes recursos adicionais aos marcadores.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade