Expiração do certificado do Secure Boot do Windows e atualizações de certificados

Desde que o Windows começou a suportar [Inicialização Segura (Secure Boot)], a maioria dos dispositivos Windows utilizou uma série de certificados da Microsoft no banco de dados de [UEFI Secure Boot]. Esses certificados mais antigos começarão a expirar gradualmente a partir de 2026. Para manter a segurança da inicialização e a integridade da cadeia de confiança, os sistemas precisam ser atualizados para a versão de 2023 dos certificados da Microsoft.

Se o seu sistema atualmente possui [Inicialização Segura (Secure Boot)] ativada, certifique-se de que esses certificados sejam atualizados antes de expirarem em meados de 2026.

 

A Microsoft recomenda concluir a atualização dos certificados de [Inicialização Segura (Secure Boot)] através da atualização do Windows

Para a maioria dos usuários, as atualizações necessárias serão entregues automaticamente através do [Windows Updates] sem necessidade de ação do usuário.

Se as atualizações foram recebidas com sucesso pode ser verificado pelo aplicativo [Windows Security], conforme descrito em Status da atualização de certificado de [Inicialização Segura (Secure Boot)] no aplicativo [Windows Security].

Quando [Windows Update] estiver ativado e o sistema com [Inicialização Segura (Secure Boot)] ativada (consulte como ativar a [Inicialização Segura (Secure Boot)]), os dispositivos Windows compatíveis irão baixar e aplicar automaticamente os novos certificados de [Inicialização Segura (Secure Boot)] e o novo [Boot Manager] no momento apropriado.

A nova atualização do banco de dados de [Inicialização Segura (Secure Boot)] está sendo lançada em fases para dispositivos com [Inicialização Segura (Secure Boot)] ativada desde 2024 e irá completar automaticamente a atualização do dispositivo antes que o certificado expire em junho de 2026.

[Ativar o Windows Update para obter novos certificados]

 

Perguntas & Respostas

Pergunta 1: Como posso verificar o status do UEFI Secure Boot?

Resposta 1: Por favor, siga os passos abaixo:

  1. No campo de pesquisa do Windows, digite Segurança do Windows
  2. Selecione [Segurança do dispositivo] no menu à esquerda. Em [Secure boot], você verá um indicador de status. O ícone do Secure boot é marcado com um selo verde, amarelo ou vermelho, cada um representando o estado atual do Secure boot no seu sistema. 

 

Pergunta 2: O que devo fazer se o ícone do Secure boot estiver amarelo ou vermelho?

Resposta 2: Consulte os passos de resolução detalhados no artigo: Solução de problemas - Ícone do Secure Boot exibe selo amarelo ou vermelho.

 

Pergunta 3: O que acontece se meu dispositivo não obtiver um novo certificado de Inicialização Segura antes que o certificado antigo expire?

Resposta 3: Após o certificado de inicialização segura expirar, dispositivos que ainda não receberam o novo certificado de 2023 ainda podem iniciar e operar normalmente, e as atualizações padrão do Windows continuarão sendo instaladas. No entanto, esses dispositivos não poderão obter novas proteções de segurança durante o processo inicial de inicialização, incluindo atualização dos administradores de inicialização do Windows, bancos de dados de inicialização segura, listas de revogação ou medidas de mitigação para vulnerabilidades recém-descobertas no nível de inicialização.

Com o tempo, isso limita a proteção do dispositivo contra novas ameaças e pode afetar cenários que dependem da confiança da inicialização segura, como reforço do BitLocker ou carregadores de inicialização de terceiros. A maioria dos dispositivos Windows receberá automaticamente credenciais atualizadas, e muitos fabricantes OEM também fornecerão atualizações de firmware quando necessário. Manter o dispositivo sempre atualizado ajuda a garantir que ele possa continuar recebendo a proteção completa de segurança projetada para uma inicialização segura.

 

Pergunta 4: Quais são os efeitos de desligar o dispositivo de inicialização segura?

Resposta 4: Dispositivos que desativam a inicialização segura não receberão novas credenciais de inicialização segura no firmware. Portanto, eles continuarão vulneráveis a malware na camada de inicialização (como bootkits), já que a proteção de inicialização segura não é aplicada.

 

Pergunta 5: Após redefinir o firmware para as configurações padrão, o dispositivo parou de iniciar - o que aconteceu? Como devo corrigir isso?

Resposta 5: Se o Windows já utilizou o gerenciador de inicialização assinado de 2023, mas o firmware foi redefinido para o valor padrão que não inclui o certificado Windows UEFI CA 2023, o secure boot irá bloquear o processo de inicialização.

Você pode consultar a FAQ:

[Notebook] Solução de problemas - Erro de Violação do Secure Boot na Inicialização

 

Pergunta 6: Se o certificado do Secure Boot do meu dispositivo expirou, ainda posso receber um certificado atualizado?

Resposta 6: Sim. Mesmo que as credenciais existentes tenham expirado, atualizações cumulativas que contenham novas credenciais do secure boot ainda podem ser aplicadas. Se o dispositivo conseguir iniciar o Windows e instalar atualizações, as credenciais atualizadas podem ser gravadas no firmware conforme as diretrizes de implantação publicadas. A maioria dos dispositivos receberá essas atualizações automaticamente, mas alguns sistemas podem exigir atualizações adicionais de firmware.

 

Pergunta 7: Como verificar o status das Chaves UEFI Secure Boot?

Resposta 7: Por favor, consulte os seguintes passos:

  1. Digite PowerShell na caixa de pesquisa do sistema Windows. 
    Nos resultados da pesquisa, clique no ícone do Windows PowerShell e selecione Executar como Administrador. 
  2. Confirme que Key Exchange Key (KEK) inclui "Microsoft Corporation KEK 2K CA 2023" 
    Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
    Se aparecer Verdadeiro, significa que inclui "Microsoft Corporation KEK 2K CA 2023" 
  3. Confirme que Signature Databases (DB) inclui "Windows UEFI CA 2023" 
    Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
    Se aparecer Verdadeiro, significa que inclui "Windows UEFI CA 2023" 
  4. Confirme que Signature Databases (DB) inclui "Microsoft UEFI CA 2023" 
    Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
    Se aparecer Verdadeiro, significa que inclui "Microsoft UEFI CA 2023" 

 

Pergunta 8: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1801) no Visualizador de Eventos?

Resposta 8: O motivo para essa mensagem de erro é que as credenciais de inicialização segura foram atualizadas, mas ainda não foram aplicadas ao firmware do dispositivo.

Por favor, execute a Atualização do Windows primeiro para garantir que a versão do sistema operacional seja 26100.6725 ou posterior, e depois siga os passos descritos na Pergunta 2.

Histórico de atualizações do Windows 11, versão 25H2.

 

Pergunta 9: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1802) no Visualizador de Eventos?

Resposta 9: O motivo para essa mensagem de erro é que a atualização de inicialização está deliberadamente bloqueada porque o dispositivo está de acordo com condições conhecidas de firmware ou hardware, o que impede que a atualização seja concluída com segurança.

Por favor, reporte o problema pelo centro de serviço ASUS.

 

Pergunta 10: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1803) no Visualizador de Eventos?

Resposta 10: O motivo para essa mensagem de erro é que o dispositivo não consegue encontrar a Key Exchange Key (KEK) assinada pelo PK.

Por favor, reporte o problema pelo centro de serviço ASUS.

 

 

Referência:

Expiração do certificado de Secure Boot do Windows e atualizações de CA - Suporte da Microsoft  
Status da atualização do certificado de Secure Boot no aplicativo de Segurança do Windows  
Perguntas frequentes sobre o processo de atualização do Secure Boot - Suporte da Microsoft  
Eventos de atualização das variáveis DB e DBX de Secure Boot - Suporte da Microsoft  
Histórico de atualização do Windows 11, versão 25H2 - Suporte da Microsoft