Aplica-se A
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data de publicação original: 26 de junho de 2025

ID da BDC: 5062710

Alterar Data

Alterar Descrição

10 de novembro de 2025

Foram corrigidos dois erros de digitação em "Novo Certificado":

  • da Microsoft Corporation KEK CA 2023" para "Microsoft Corporation KEK 2K CA 2023"

  • e de "Microsoft Option ROM CA 2023" para "Microsoft Option ROM UEFI CA 2023"

O que é o Arranque Seguro?

O Arranque Seguro é uma funcionalidade de segurança no firmware baseado na Interface de Firmware Extensível Unificada (UEFI) que ajuda a garantir que apenas o software fidedigno é executado durante a sequência de arranque (início) de um dispositivo. Funciona ao verificar a assinatura digital do software de pré-arranque num conjunto de certificados digitais fidedignos (também conhecidos como autoridade de certificação ou AC) armazenados no firmware do dispositivo. Como padrão do setor, o Arranque Seguro UEFI define como o firmware da plataforma gere os certificados, autentica o firmware e como o sistema operativo (SO) interage com este processo. Para obter mais detalhes sobre UEFI e Arranque Seguro, consulte Arranque seguro.

O Arranque Seguro foi introduzido pela primeira vez no Windows 8 para proteger contra a ameaça de software maligno de pré-arranque emergente (também conhecido como bootkit) nessa altura. Como parte da inicialização da plataforma, o Arranque Seguro autentica módulos de firmware antes da execução. Estes módulos incluem controladores de firmware UEFI (como ROMs de Opção), carregadores de arranque e aplicações. Como passo final do processo de Arranque Seguro, o firmware verifica se o Arranque Seguro confia no carregador de arranque. Em seguida, o firmware passa o controlo para o carregador de arranque, que por sua vez verifica, carrega para a memória e inicia o SO Windows.

O Arranque Seguro define o código fidedigno através de uma política de firmware definida durante o fabrico. As alterações a esta política, como adicionar ou revogar certificados, são controladas por uma hierarquia de chaves. Esta hierarquia começa com a Chave de Plataforma (PK), normalmente propriedade do fabricante do hardware, seguida da Chave de Inscrição de Chaves (KEK) (também conhecida como Chave do Exchange de Chaves), que pode incluir um KEK da Microsoft e outros KEKs OEM. A Base de Dados de Assinatura Permitida (DB) e a Base de Dados de Assinatura Não Permitida (DBX) determinam que código pode ser executado no ambiente UEFI antes do início do SO. A BD inclui certificados geridos pela Microsoft e pelo OEM, enquanto o DBX é atualizado pela Microsoft com as revogações mais recentes. Qualquer entidade com uma KEK pode atualizar a BD e o DBX.

Os certificados de Arranque Seguro do Windows expiram em 2026

Desde que o Windows introduziu o suporte de Arranque Seguro, todos os dispositivos baseados em Windows têm o mesmo conjunto de certificados da Microsoft na KEK e na BD. Estes certificados originais estão a aproximar-se da data de expiração e o dispositivo é afetado se tiver alguma das versões de certificado listadas. Para continuar a executar o Windows e a receber atualizações regulares para a configuração de Arranque Seguro, terá de atualizar estes certificados.

Terminologia

  • KEK: Chave de Inscrição de Chaves

  • AC: Autoridade de Certificação

  • BD: Base de Dados de Assinatura de Arranque Seguro

  • DBX: Base de Dados de Assinatura Revogada de Arranque Seguro

Certificado a Expirar

Data de expiração

Novo Certificado

Localização de armazenamento

Objetivo

Microsoft Corporation KEK CA 2011

Junho de 2026

Microsoft Corporation KEK 2K CA 2023

Armazenado no KEK

Assina atualizações para DB e DBX.

Microsoft Windows Production PCA 2011

Outubro de 2026

WINDOWS UEFI CA 2023

Armazenado na base de dados

Utilizado para assinar o carregador de arranque do Windows.

Microsoft UEFI CA 2011*

Junho de 2026

Microsoft UEFI CA 2023

Armazenado na base de dados

Assina carregadores de arranque de terceiros e aplicações EFI.

Microsoft UEFI CA 2011*

Junho de 2026

MICROSOFT Option ROM UEFI CA 2023

Armazenado na base de dados

Assina ROMs de opção de terceiros

*Durante a renovação do certificado MICROSOFT Corporation UEFI CA 2011, dois certificados separam a assinatura do carregador de arranque da assinatura rom de opção. Isto permite um controlo mais fino sobre a confiança do sistema. Por exemplo, os sistemas que precisam de confiar na opção ROMs podem adicionar o UEFI CA 2023 do MICROSOFT Option ROM 2023 sem adicionar confiança aos carregadores de arranque de terceiros.

A Microsoft emitiu certificados atualizados para garantir a continuidade da proteção de Arranque Seguro em dispositivos Windows. A Microsoft irá gerir o processo de atualização destes novos certificados numa parte significativa dos dispositivos Windows. Além disso, iremos oferecer orientações detalhadas para organizações que gerem as suas próprias atualizações de dispositivos.

Importante Quando as ACs de 2011 expirarem, os dispositivos Windows que não tenham novos certificados 2023 já não podem receber correções de segurança para componentes de pré-arranque que comprometem a segurança de arranque do Windows.

Chamada à ação

Poderá ter de tomar medidas para garantir que o seu dispositivo Windows permanece seguro quando os certificados expirarem em 2026. Tanto a BASE de Dados de Arranque Seguro UEFI como a KEK têm de ser atualizadas com as novas versões de certificados de 2023 correspondentes. Para obter mais informações sobre os novos certificados, consulte Windows Secure Boot Key Creation and Management Guidance (Orientações de Criação e Gestão de Chaves de Arranque Seguro do Windows). 

Importante Sem atualizações, os dispositivos Windows com Arranque Seguro ativado correm o risco de não receber atualizações de segurança ou confiar em novos carregadores de arranque, o que comprometerá tanto a capacidade de serviço como a segurança.

As suas ações variam consoante o tipo de dispositivo Windows que tiver. Selecione no menu à esquerda o tipo de dispositivo e a ação específica que precisa de efetuar.  

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade