Aplica-se A
Windows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Data de publicação original: 13 de agosto de 2024

ID da BDC: 5042562

O suporte para o Windows 10 terminará em outubro de 2025

Após 14 de outubro de 2025, a Microsoft deixará de fornecer atualizações de software gratuitas a partir do Windows Update, assistência técnica ou correções de segurança para o Windows 10. O seu PC continuará a funcionar, mas recomendamos que mude para o Windows 11.

Saiba mais

Nota importante sobre a política SkuSiPolicy.p7b

Para obter instruções para aplicar a política atualizada, consulte a secção Implementar uma política de revogação assinada pela Microsoft (SkuSiPolicy.p7b ). 

Neste artigo

Resumo

A Microsoft foi informada de uma vulnerabilidade no Windows que permite a um atacante com privilégios de administrador substituir os ficheiros atualizados do sistema Windows com versões mais antigas, abrindo a porta para um atacante reintroduzir vulnerabilidades na segurança baseada em Virtualização (VBS).  A reversão destes binários pode permitir a um atacante contornar as funcionalidades de segurança do VBS e exfiltrar dados protegidos por VBS. Este problema está descrito em CVE-2024-21302 | Elevação do Modo Kernel Seguro do Windows de Vulnerabilidade de Privilégios.

Para resolver este problema, vamos revogar ficheiros de sistema VBS vulneráveis que não são atualizados. Devido ao grande número de ficheiros relacionados com VBS que têm de ser bloqueados, utilizamos uma abordagem alternativa para bloquear versões de ficheiros que não são atualizadas.

Âmbito do Impacto

Todos os dispositivos Windows que suportam VBS são afetados por este problema. Isto inclui dispositivos físicos no local e máquinas virtuais (VMs). O VBS é suportado em versões Windows 10 e posteriores do Windows e Windows Server 2016 e versões Windows Server posteriores.

O estado do VBS pode ser verificado através da ferramenta Microsoft System Information (Msinfo32.exe). Esta ferramenta recolhe informações sobre o seu dispositivo. Depois de iniciar Msinfo32.exe, desloque-se para baixo até à linha de segurança baseada em Virtualização . Se o valor desta linha for Em execução, o VBS está ativado e em execução.

Caixa de diálogo Informações do Sistema com a linha "Segurança baseada em virtualização" realçada

O estado do VBS também pode ser verificado com Windows PowerShell com a classe WMI Win32_DeviceGuard. Para consultar o estado do VBS a partir do PowerShell, abra uma sessão de Windows PowerShell elevada e, em seguida, execute o seguinte comando:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Depois de executar o comando do PowerShell acima, o estado do estado do VBS deve ser um dos seguintes.

Nome do campo

Estado

VirtualizationBasedSecurityStatus

  • Se o campo for igual a 0, o VBS não está ativado.

  • Se o campo for igual a 1, o VBS está ativado, mas não está em execução.

  • Se o campo for igual a 2, o VBS está ativado e em execução.

Mitigações disponíveis

Para todas as versões suportadas do Windows 10, versão 1507 e versões posteriores do Windows e Windows Server 2016 e versões Windows Server posteriores, os administradores podem implementar uma política de revogação assinada pela Microsoft (SkuSiPolicy.p7b). Isto impedirá que as versões vulneráveis dos ficheiros do sistema VBS que não são atualizados sejam carregadas pelo sistema operativo.  

Quando o SkuSiPolicy.p7b é aplicado a um dispositivo Windows, a política também será bloqueada no dispositivo ao adicionar uma variável ao firmware UEFI. Durante o arranque, a política carrega e o Windows bloqueia o carregamento de binários que violam a política. Se o bloqueio UEFI for aplicado e a política for removida ou substituída por uma versão mais antiga, o gestor de arranque do Windows não será iniciado e o dispositivo não será iniciado. Esta falha de arranque não mostrará um erro e o sistema avançará para a próxima opção de arranque disponível, o que poderá resultar num ciclo de arranque.

Uma política de CI assinada pela Microsoft adicional que está ativada por predefinição e não requer passos de implementação adicionais foi adicionada, o que não está vinculado à UEFI. Esta política ci assinada será carregada durante o arranque e a imposição desta política impedirá a reversão dos ficheiros do sistema VBS durante essa sessão de arranque. Ao contrário do SkuSiPolicy.p7b, um dispositivo pode continuar a arrancar se a atualização não estiver instalada. Esta política está incluída em todas as versões suportadas do Windows 10, versão 1507 e posterior. O SkuSkiPolicy.p7b ainda pode ser aplicado pelos administradores para fornecer proteção adicional para reversão em sessões de arranque.   

Os registos de Arranque Medido do Windows utilizados para atestar o estado de funcionamento do arranque do PC incluem informações sobre a versão da política a ser carregada durante o processo de arranque. Estes registos são mantidos em segurança pelo TPM durante o arranque e os serviços de atestado da Microsoft analisam estes registos para verificar se as versões de política corretas estão a ser carregadas. Os serviços de atestado impõem regras que garantem que uma versão de política específica ou superior é carregada; caso contrário, o sistema não será atestado como estando em bom estado de funcionamento.

Para que a mitigação da política funcione, a política tem de ser atualizada através da atualização de manutenção do Windows, uma vez que os componentes do Windows e a política têm de ser da mesma versão. Se a mitigação da política for copiada para o dispositivo, o dispositivo poderá não iniciar se for aplicada a versão errada da mitigação ou se a mitigação não funcionar conforme esperado. Além disso, as mitigações descritas no KB5025885 devem ser aplicadas ao seu dispositivo.

No Windows 11, versão 24H2, Windows Server 2022 e Windows Server 23H2, a Raiz Dinâmica de Confiança para Medição (DRTM) adiciona uma mitigação adicional para a vulnerabilidade de reversão. Esta mitigação está ativada por predefinição. Nestes sistemas, as chaves de encriptação protegidas por VBS estão vinculadas à política ci de Sessão de arranque VBS ativada por predefinição e só serão reveladas se a versão da política de CI correspondente estiver a ser imposta. Para ativar reversões iniciadas pelo utilizador, foi adicionado um período de tolerância para ativar a reversão segura de 1 versão do pacote de atualização do Windows sem perder a capacidade de anular a instalação da chave mestra do VSM. No entanto, a reversão iniciada pelo utilizador só é possível se o SkuSiPolicy.p7b não for aplicado. A política DE CI do VBS impõe que todos os binários de arranque não tenham sido revertidos para versões revogadas. Isto significa que, se um atacante com privilégios de administrador reverter binários de arranque vulneráveis, o sistema não será iniciado. Se a política de CI e os binários forem revertidos para uma versão anterior, os dados protegidos pelo VSM não serão selados.

Compreender os riscos de mitigação

Tem de estar ciente dos potenciais riscos antes de aplicar a política de revogação assinada pela Microsoft. Reveja estes riscos e faça as atualizações necessárias ao suporte de dados de recuperação antes de aplicar a mitigação.

Nota Estes riscos só são aplicáveis à política SkuSiPolicy.p7b e não são aplicáveis às proteções ativadas por predefinição.

  • Bloqueio UEFI e Desinstalação de atualizações. Depois de aplicar o bloqueio UEFI com a política de revogação assinada pela Microsoft num dispositivo, o dispositivo não pode ser revertido (desinstalando as atualizações do Windows, utilizando um ponto de restauro ou por outros meios) se continuar a aplicar o Arranque Seguro. Mesmo reformatar o disco não removerá o bloqueio UEFI da mitigação se já tiver sido aplicado. Isto significa que se tentar reverter o SO Windows para um estado anterior que não tenha a mitigação aplicada, o dispositivo não será iniciado, não será apresentada nenhuma mensagem de erro e o UEFI avançará para a próxima opção de arranque disponível. Isto pode resultar num ciclo de arranque. Tem de desativar o Arranque Seguro para remover o bloqueio UEFI. Tenha em atenção todas as possíveis implicações e teste minuciosamente antes de aplicar as revogações descritas neste artigo no seu dispositivo.

  • Suporte de Dados de Arranque Externo. Depois de as mitigações de bloqueio UEFI terem sido aplicadas a um dispositivo, o suporte de dados de arranque externo tem de ser atualizado com a atualização mais recente do Windows instalada no dispositivo. Se o suporte de dados de arranque externo não for atualizado para a mesma versão do Windows Update, o dispositivo poderá não arrancar a partir desse suporte de dados. Veja as instruções na secção Atualizar suportes de dados de arranque externos antes de aplicar as mitigações.

  • Ambiente de Recuperação do Windows. O Ambiente de Recuperação do Windows (WinRE) no dispositivo tem de ser atualizado com a mais recente Atualização Dinâmica do SO Seguro do Windows disponibilizada a 8 de julho de 2025 no dispositivo antes de o SkuSipolicy.p7b ser aplicado ao dispositivo. Omitir este passo pode impedir o WinRE de executar a funcionalidade Repor PC.  Para obter mais informações, consulte Adicionar um pacote de atualização ao Windows RE.

  • Arranque do Ambiente de Execução Pré-arranque (PXE). Se a mitigação for implementada num dispositivo e tentar utilizar o arranque PXE, o dispositivo não será iniciado a menos que a atualização mais recente do Windows também seja aplicada à imagem de arranque do servidor PXE. Não recomendamos a implementação de mitigações em origens de arranque de rede, a menos que o servidor de Arranque PXE tenha sido atualizado para a atualização mais recente do Windows lançada em ou depois de janeiro de 2025, incluindo o gestor de arranque PXE.  

Diretrizes de implementação de mitigação

Para resolver os problemas descritos neste artigo, pode implementar uma política de revogação assinada pela Microsoft (SkuSiPolicy.p7b). Esta mitigação só é suportada no Windows 10, versão 1507 e versões posteriores do Windows e Windows Server 2016.

Nota Se utilizar o BitLocker, certifique-se de que foi criada uma cópia de segurança da chave de recuperação BitLocker. Pode executar o seguinte comando a partir de uma linha de comandos do Administrador e tomar nota da palavra-passe numérica de 48 dígitos:

manage-bde -protectors -get %systemdrive%​​​​​​​

Implementar uma política de revogação assinada pela Microsoft (SkuSiPolicy.p7b)

A política de revogação assinada pela Microsoft está incluída como parte da atualização mais recente do Windows. Esta política só deve ser aplicada aos dispositivos ao instalar a atualização do Windows mais recente disponível e, em seguida, siga estes passos:

Nota Se as atualizações estiverem em falta, o dispositivo poderá não começar com a mitigação aplicada ou a mitigação poderá não funcionar conforme esperado. Certifique-se de que atualiza o suporte de dados windows de arranque com a atualização mais recente do Windows disponível antes de implementar a política. Para obter detalhes sobre como atualizar suportes de dados de arranque, consulte a secção Atualizar suportes de dados de arranque externos .

  1. Certifique-se de que a atualização mais recente do Windows lançada em ou depois de janeiro de 2025 está instalada.

    • Para Windows 11, versão 22H2 e 23H2, instale a atualização de 22 de julho de 2025 (KB5062663) ou posterior antes de seguir estes passos.

    • Para Windows 10, versão 21H2, instale a atualização do Windows disponibilizada em agosto de 2025 ou uma atualização posterior antes de seguir estes passos.

  2. Execute os seguintes comandos numa linha de Windows PowerShell elevada:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x20 /f

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. Reinicie o seu dispositivo.

  4. Confirme que a política é carregada no Visualizador de Eventos com as informações na secção Registos de eventos do Windows.

Notas

  • Não deve remover o ficheiro de revogação SkuSiPolicy.p7b (política) depois de ser implementado. O seu dispositivo poderá já não conseguir iniciar se o ficheiro for removido.

  • Se o dispositivo não iniciar, consulte a secção Procedimento de recuperação.

A atualizar suportes de dados de arranque externos

Para utilizar suportes de dados de arranque externos com um dispositivo que tenha uma política de revogação assinada pela Microsoft aplicada, o suporte de dados de arranque externo tem de ser atualizado com a atualização mais recente do Windows, incluindo o Gestor de arranque. Se o suporte de dados não incluir a atualização mais recente do Windows, o suporte de dados não será iniciado.

Importante Recomendamos que crie uma unidade de recuperação antes de continuar. Este suporte de dados pode ser utilizado para reinstalar um dispositivo no caso de existir um problema grave.

Utilize os seguintes passos para atualizar o suporte de dados de arranque externo:

  1. Aceda a um dispositivo onde foram instaladas as atualizações mais recentes do Windows.

  2. Monte o suporte de dados de arranque externo como uma letra de unidade. Por exemplo, montar uma pen usb como D:.

  3. Clique em Iniciar, escreva Criar uma Unidade de Recuperação na caixa Procurar e, em seguida, clique em Criar um painel de controlo da unidade de recuperação. Siga as instruções para criar uma unidade de recuperação com a pen montada.

  4. Remova com segurança a pen montada.

Se gerir suportes de dados instaláveis no seu ambiente através da documentação de orientação Atualizar o suporte de dados de instalação do Windows com a Atualização Dinâmica , siga estes passos:

  1. Aceda a um dispositivo onde foram instaladas as atualizações mais recentes do Windows.

  2. Siga os passos em Atualizar o suporte de dados de instalação do Windows com o Dynamic Update para criar suportes de dados com as atualizações mais recentes do Windows instaladas.

Registos de Eventos do Windows

O Windows regista eventos quando as políticas de integridade do código, incluindo SkuSiPolicy.p7b, são carregadas e quando um ficheiro é bloqueado devido à imposição de políticas. Pode utilizar estes eventos para verificar se a mitigação foi aplicada.

Os registos de integridade do código estão disponíveis no Windows Visualizador de Eventos em Registos de Aplicações e Serviços > Microsoft > > Integridade do Código do Windows > registos de Aplicações e Serviços > Operacionais > Services > Microsoft > Windows > AppLocker > MSI e Script.

Para obter mais informações sobre eventos de integridade de código, veja o Guia operacional do Controlo de Aplicações do Windows Defender.

Eventos de ativação de políticas

Os eventos de ativação de políticas estão disponíveis no windows Visualizador de Eventos em Registos de Aplicações e Serviços > Microsoft > Windows > CodeIntegrity > Operacional.

  • PolicyNameBuffer – Política SKU SI do Microsoft Windows

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Política SKU SI do Microsoft Windows

Se tiver aplicado a política de auditoria ou a mitigação ao seu dispositivo e o Evento de Integridade do Código 3099 para a política aplicada não estiver presente, a política não está a ser imposta. Consulte as instruções de implementação para verificar se a política foi instalada corretamente.

Nota O evento 3099 da Integridade do Código não é suportado em versões do Windows 10 Enterprise 2016, Windows Server 2016 e Windows 10 Enterprise 2015 LTSB. Para verificar se a política foi aplicada (política de auditoria ou revogação), tem de montar a Partição do Sistema EFI com o comando mountvol.exe e verificar se a política foi aplicada à partição EFI. Certifique-se de que desmonta a Partição do Sistema EFI após a verificação.

SkuSiPolicy.p7b – Política de Revogação

A política SkuSiPolicy.p7b foi aplicada

Auditar e bloquear eventos

Os eventos de auditoria e bloqueio de integridade do código estão disponíveis no Windows Visualizador de Eventos em Registos de Aplicações e Serviços > Microsoft >Integridade do Código do Windows > > registos de Aplicações e Serviçosoperacionais > > Microsoft > Windows > AppLocker > MSI e Script.

A localização de registo anterior inclui eventos sobre o controlo de executáveis, dlls e controladores. Esta última localização de registo inclui eventos sobre o controlo de instaladores, scripts e objetos COM do MSI.

Evento de Integridade do Código 3077 no registo "Integridade do Código – Operacional" indica que um controlador executável, .dll ou foi impedido de carregar. Este evento inclui informações sobre o ficheiro bloqueado e sobre a política imposta. Para ficheiros bloqueados pela mitigação, as informações de política no Evento de Integridade do Código 3077 corresponderão às informações da política de SkuSiPolicy.p7b do Evento de Integridade do Código 3099. O Evento de Integridade do Código 3077 não estará presente se não existirem controladores executáveis, .dll ou em violação da política de integridade do código no seu dispositivo.

Para outros eventos de auditoria de integridade do código e de bloqueio, veja Understanding Application Control events (Compreender os eventos do Controlo de Aplicações).

Procedimento de Remoção e Recuperação de Políticas

Se algo correr mal depois de aplicar a mitigação, pode utilizar os seguintes passos para remover a mitigação:

  1. Suspenda o BitLocker se estiver ativado. Execute o seguinte comando a partir de uma janela de Linha de Comandos elevada:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Desative o Arranque Seguro no menu DO BIOS do UEFI.O procedimento para desativar o Arranque Seguro difere entre fabricantes e modelos de dispositivos. Para obter ajuda para localizar onde desativar o Arranque Seguro, consulte a documentação do fabricante do dispositivo. Pode encontrar mais detalhes em Desativar o Arranque Seguro.

  3. Remova a política SkuSiPolicy.p7b.

    1. Inicie o Windows normalmente e, em seguida, inicie sessão.A política SkuSiPolicy.p7b tem de ser removida da seguinte localização:

      • <partição do sistema EFI>\Microsoft\Boot\SkuSiPolicy.p7b

    2. Execute os seguintes comandos a partir de uma sessão de Windows PowerShell elevada para limpar a política dessas localizações:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } ​​​​​​​mountvol $MountPoint /D

  4. Ative o Arranque Seguro a partir do BIOS.Consulte a documentação do fabricante do dispositivo para saber onde ativar o Arranque Seguro.Se tiver desativado o Arranque Seguro no Passo 1 e a unidade estiver protegida pelo BitLocker, suspenda a proteção do BitLocker e, em seguida, ative o Arranque Seguro no menu DO BIOS do UEFI .

  5. Ative o BitLocker. Execute o seguinte comando a partir de uma janela de Linha de Comandos elevada:

    Manager-bde -protectors -enable c:

  6. Reinicie o seu dispositivo.

Alterar data

Descrição

22 de julho de 2025

  • Foram atualizados os passos de instrução na secção "Implementar uma política de revogação assinada pela Microsoft (SkuSiPolicy.p7b)".

10 de julho de 2025

  • Foi removida a secção "Implementar uma política de modo de auditoria", uma vez que a funcionalidade foi descontinuada após a instalação do lançamento das atualizações do Windows em ou depois de 8 de julho de 2025.

  • Removeu a secção "CodeIntegrity Event 3099", uma vez que já não se aplica.

  • Na secção "Compreender os riscos de mitigação", atualizou o tópico "Ambiente de Recuperação do Windows" De:

    Ambiente de Recuperação do Windows. O Ambiente de Recuperação do Windows (WinRE) no dispositivo tem de ser atualizado com as atualizações mais recentes do Windows instaladas no dispositivo antes de o SkuSipolicy.p7b ser aplicado ao dispositivo. Omitir este passo pode impedir o WinRE de executar a funcionalidade Repor PC.  Para obter mais informações, consulte Adicionar um pacote de atualização ao Windows RE.

    Para:

    Ambiente de Recuperação do Windows. O Ambiente de Recuperação do Windows (WinRE) no dispositivo tem de ser atualizado com a mais recente Dinâmica do SO Seguro do Windows lançada em ou depois de julho de 2025 no dispositivo antes de o SkuSipolicy.p7b ser aplicado ao dispositivo. Omitir este passo pode impedir o WinRE de executar a funcionalidade Repor PC.  Para obter mais informações, consulte Adicionar um pacote de atualização ao Windows RE.

    Se não estiverem disponíveis atualizações seguras do SO DU, implemente a atualização Cumumulativa mais recente.

  • Na secção "Mitigações disponíveis", substituiu o seguinte parágrafo:

    Uma política de CI assinada pela Microsoft adicional que está ativada por predefinição e não requer passos de implementação adicionais foi adicionada, o que não está vinculado à UEFI. Esta política ci assinada será carregada durante o arranque e a imposição desta política impedirá a reversão dos ficheiros do sistema VBS durante essa sessão de arranque. Ao contrário do SkuSiPolicy.p7b, um dispositivo pode continuar a arrancar se a política ativada predefinida tiver sido adulterada ou removida. Esta mitigação está disponível em dispositivos com Windows 10 22H2 e posterior. O SkuSkiPolicy.p7b ainda pode ser aplicado pelos administradores para fornecer proteção adicional para reversão em sessões de arranque.  

    Com o parágrafo seguinte:

    Uma política de CI assinada pela Microsoft adicional que está ativada por predefinição e não requer passos de implementação adicionais foi adicionada, o que não está vinculado à UEFI. Esta política ci assinada será carregada durante o arranque e a imposição desta política impedirá a reversão dos ficheiros do sistema VBS durante essa sessão de arranque. Ao contrário do SkuSiPolicy.p7b, um dispositivo pode continuar a arrancar se a atualização não estiver instalada. Esta política está incluída em todas as versões suportadas do Windows 10, versão 1507 e posterior. O SkuSkiPolicy.p7b ainda pode ser aplicado pelos administradores para fornecer proteção adicional para reversão em sessões de arranque.

  • Na secção "Mitigações disponíveis", foram adicionadas as seguintes versões do Windows à primeira frase do último parágrafo:Windows 11, versão 24H2, Windows Server 2022 e Windows Server 23H2

  • Foi removida a Imagem da listagem "SiPolicy.p7b – Política de Auditoria" na secção "Eventos de ativação de políticas".

8 de abril de 2025

  • Foi removida a primeira frase da secção "Nota importante sobre a política SkuSiPolicy.p7b", uma vez que a atualização mais recente não está atualmente disponível para todas as versões do Windows.

  • Foi atualizada a secção "Mitigações disponíveis" adicionando informações mais detalhadas.

  • Foram adicionadas mitigações predefinidas para a sessão de arranque para impedir a reversão de binários para Windows 10, versão 22H2 e posterior e proteção de dados VBS para dispositivos baseados em Secure Launch ou DRTM no Windows 11, versão 24H2.

24 de fevereiro de 2025

  • Atualizou a Nota na secção "Eventos de ativação de políticas" e adicionou uma segunda captura de ecrã da listagem do diretório com o ficheiro "SiPolicy.p7b – Política de Auditoria".

11 de fevereiro de 2025

  • O script foi atualizado no Passo 1 na secção "Implementar uma política de revogação assinada pela Microsoft (SkuSiPolicy.p7b)".

  • Foi adicionada uma Nota ao final da secção "Eventos de ativação de políticas" e adicionou uma captura de ecrã da lista de diretórios a mostrar o ficheiro "SkuSiPolicy.p7b – Política de Revogação".

  • Atualizou o script no Passo 3b na secção "Remoção de Políticas e Procedimento de Recuperação".

14 de janeiro de 2025

  • Foi adicionada a nota Importante sobre a política SkuSiPolicy.p7b na parte superior deste artigo.*

  • Foi removida a seguinte Nota (que foi adicionada a 12 de novembro de 2024) da secção "Mitigações disponíveis" como já não necessária:"Nota suporte para as políticas SKUSIPolicy.p7b e VbsSI_Audit.p7b para Windows 10, versão 1507, Windows 10 Enterprise 2016 e Windows Server 2016 foram adicionadas como parte das atualizações mais recentes do Windows lançadas em e depois de 8 de outubro de 2024. As versões mais recentes do Windows e Windows Server introduziram estas políticas nas atualizações de 13 de agosto de 2024".

  • Foram adicionadas mais informações à Nota na secção "Implementar uma política de revogação assinada pela Microsoft (SkuSiPolicy.p7b)". O texto original era "Nota Se as atualizações estiverem em falta, o dispositivo pode não começar com a mitigação aplicada ou a mitigação pode não funcionar conforme esperado.". *

  • Foi removido o segundo parágrafo da secção "Atualizar suporte de dados de arranque externo". O texto original removido foi "Suporte de dados de arranque atualizado com a política de revogação assinada pela Microsoft, só deve ser utilizado para dispositivos de arranque que tenham a mitigação já aplicada.  Se for utilizado com dispositivos sem mitigação, o bloqueio UEFI será aplicado durante o arranque a partir do suporte de dados de arranque. As iniciações subsequentes a partir do disco falharão, a menos que o dispositivo seja atualizado com a mitigação ou o bloqueio UEFI seja removido." *

  • Foi removido o passo "Com o suporte de dados recentemente criado montado, copie o ficheiro SkuSiPolicy.p7b para <MediaRoot>\EFI\Microsoft\Boot (por exemplo, D:\EFI\Microsoft\Boot)" no procedimento "passos para atualizar o suporte de dados de arranque externo" na secção "Atualizar suportes de dados de arranque externos", uma vez que este passo já não é necessário.*

  • Os Passos 3 a 5 foram removidos no procedimento "Atualizar suporte de dados de instalação do Windows com orientação de Atualização Dinâmica " na secção "Atualizar suporte de dados de arranque externo", uma vez que os passos já não são necessários.*

    • 3. Coloque o conteúdo do suporte de dados numa pen USB e monte a pen usb como uma letra de unidade. Por exemplo, monte a pen como D:.

    • 4. Copie SkuSiPolicy.p7b para <MediaRoot>\EFI\Microsoft\Boot (por exemplo, D:\EFI\Microsoft\Boot).

    • 5. Remova com segurança a pen montada.

  • Foi atualizado o primeiro parágrafo do tópico "Suporte de Dados de Arranque Externo" na secção "Compreender os riscos de mitigação". O texto original era "Após as mitigações de bloqueio UEFI terem sido aplicadas a um dispositivo, o suporte de dados de arranque externo tem de ser atualizado com as atualizações mais recentes do Windows instaladas no dispositivo e com a política de revogação assinada pela Microsoft (SkuSiPolicy.p7b). Se o suporte de dados de arranque externo não for atualizado, o dispositivo poderá não arrancar a partir desse suporte de dados. Veja as instruções na secção Atualizar suportes de dados de arranque externos antes de aplicar as mitigações.*

  • Foi removido o segundo parágrafo do tópico "Suporte de Dados de Arranque Externo" na secção "Compreender os riscos de mitigação". O texto original era "Suporte de dados de arranque atualizado com a política de revogação assinada pela Microsoft, só deve ser utilizado para dispositivos de arranque que tenham a mitigação já aplicada.  Se for utilizado com dispositivos sem mitigação, o bloqueio UEFI será aplicado durante o arranque a partir do suporte de dados de arranque. As iniciações subsequentes a partir do disco falharão, a menos que o dispositivo seja atualizado com a mitigação ou o bloqueio UEFI seja removido." *

  • Foi atualizado o tópico "Pré-arranque do Ambiente de Execução (PXE) na secção "Compreender os riscos de mitigação". O texto original era "Se a mitigação for implementada num dispositivo e tentar utilizar o arranque PXE, o dispositivo não será iniciado, a menos que as mitigações também sejam aplicadas às origens de arranque de rede (raiz onde bootmgfw.efi está presente). Se um dispositivo iniciar a partir de uma origem de arranque de rede que tenha a mitigação aplicada, o bloqueio UEFI será aplicado ao dispositivo e afetará os inícios subsequentes. Não recomendamos a implementação de mitigações em origens de arranque de rede, a menos que todos os dispositivos no seu ambiente tenham as mitigações implementadas. "*

12 de novembro de 2024

  • Na secção "Mitigações disponíveis", o suporte para as políticas SkuSiPolicy.p7b e VbsSI_Audit.p7b para Windows 10, versão 1507, Windows 10 Enterprise 2016 e Windows Server 2016 foi adicionado como parte das atualizações do Windows lançadas a 8 de outubro de 2024.

  • Atualização das datas de lançamento do Windows de 13 de agosto de 2024 a 12 de novembro de 2024.
Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade