Expiração do certificado do Secure Boot do Windows e atualizações de certificados
Desde que o Windows começou a suportar [Inicialização Segura (Secure Boot)], a maioria dos dispositivos Windows utilizou uma série de certificados da Microsoft no banco de dados de [UEFI Secure Boot]. Esses certificados mais antigos começarão a expirar gradualmente a partir de 2026. Para manter a segurança da inicialização e a integridade da cadeia de confiança, os sistemas precisam ser atualizados para a versão de 2023 dos certificados da Microsoft.
Se o seu sistema atualmente possui [Inicialização Segura (Secure Boot)] ativada, certifique-se de que esses certificados sejam atualizados antes de expirarem em meados de 2026.
Para a maioria dos usuários, as atualizações necessárias serão entregues automaticamente através do [Windows Updates] sem necessidade de ação do usuário.
Se as atualizações foram recebidas com sucesso pode ser verificado pelo aplicativo [Windows Security], conforme descrito em Status da atualização de certificado de [Inicialização Segura (Secure Boot)] no aplicativo [Windows Security].
Quando [Windows Update] estiver ativado e o sistema com [Inicialização Segura (Secure Boot)] ativada (consulte como ativar a [Inicialização Segura (Secure Boot)]), os dispositivos Windows compatíveis irão baixar e aplicar automaticamente os novos certificados de [Inicialização Segura (Secure Boot)] e o novo [Boot Manager] no momento apropriado.
A nova atualização do banco de dados de [Inicialização Segura (Secure Boot)] está sendo lançada em fases para dispositivos com [Inicialização Segura (Secure Boot)] ativada desde 2024 e irá completar automaticamente a atualização do dispositivo antes que o certificado expire em junho de 2026.
[Ativar o Windows Update para obter novos certificados]

Pergunta 1: Como posso verificar o status do UEFI Secure Boot?
Resposta 1: Por favor, siga os passos abaixo:
- No campo de pesquisa do Windows, digite Segurança do Windows.

- Selecione [Segurança do dispositivo] no menu à esquerda. Em [Secure boot], você verá um indicador de status. O ícone do Secure boot é marcado com um selo verde, amarelo ou vermelho, cada um representando o estado atual do Secure boot no seu sistema.

Pergunta 2: O que devo fazer se o ícone do Secure boot estiver amarelo ou vermelho?
Resposta 2: Consulte os passos de resolução detalhados no artigo: Solução de problemas - Ícone do Secure Boot exibe selo amarelo ou vermelho.
Pergunta 3: O que acontece se meu dispositivo não obtiver um novo certificado de Inicialização Segura antes que o certificado antigo expire?
Resposta 3: Após o certificado de inicialização segura expirar, dispositivos que ainda não receberam o novo certificado de 2023 ainda podem iniciar e operar normalmente, e as atualizações padrão do Windows continuarão sendo instaladas. No entanto, esses dispositivos não poderão obter novas proteções de segurança durante o processo inicial de inicialização, incluindo atualização dos administradores de inicialização do Windows, bancos de dados de inicialização segura, listas de revogação ou medidas de mitigação para vulnerabilidades recém-descobertas no nível de inicialização.
Com o tempo, isso limita a proteção do dispositivo contra novas ameaças e pode afetar cenários que dependem da confiança da inicialização segura, como reforço do BitLocker ou carregadores de inicialização de terceiros. A maioria dos dispositivos Windows receberá automaticamente credenciais atualizadas, e muitos fabricantes OEM também fornecerão atualizações de firmware quando necessário. Manter o dispositivo sempre atualizado ajuda a garantir que ele possa continuar recebendo a proteção completa de segurança projetada para uma inicialização segura.
Pergunta 4: Quais são os efeitos de desligar o dispositivo de inicialização segura?
Resposta 4: Dispositivos que desativam a inicialização segura não receberão novas credenciais de inicialização segura no firmware. Portanto, eles continuarão vulneráveis a malware na camada de inicialização (como bootkits), já que a proteção de inicialização segura não é aplicada.
Pergunta 5: Após redefinir o firmware para as configurações padrão, o dispositivo parou de iniciar - o que aconteceu? Como devo corrigir isso?
Resposta 5: Se o Windows já utilizou o gerenciador de inicialização assinado de 2023, mas o firmware foi redefinido para o valor padrão que não inclui o certificado Windows UEFI CA 2023, o secure boot irá bloquear o processo de inicialização.
Você pode consultar a FAQ:
[Notebook] Solução de problemas - Erro de Violação do Secure Boot na Inicialização
Pergunta 6: Se o certificado do Secure Boot do meu dispositivo expirou, ainda posso receber um certificado atualizado?
Resposta 6: Sim. Mesmo que as credenciais existentes tenham expirado, atualizações cumulativas que contenham novas credenciais do secure boot ainda podem ser aplicadas. Se o dispositivo conseguir iniciar o Windows e instalar atualizações, as credenciais atualizadas podem ser gravadas no firmware conforme as diretrizes de implantação publicadas. A maioria dos dispositivos receberá essas atualizações automaticamente, mas alguns sistemas podem exigir atualizações adicionais de firmware.
Pergunta 7: Como verificar o status das Chaves UEFI Secure Boot?
Resposta 7: Por favor, consulte os seguintes passos:
- Digite PowerShell na caixa de pesquisa do sistema Windows.
Nos resultados da pesquisa, clique no ícone do Windows PowerShell e selecione Executar como Administrador.
- Confirme que Key Exchange Key (KEK) inclui "Microsoft Corporation KEK 2K CA 2023"
Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Se aparecer Verdadeiro, significa que inclui "Microsoft Corporation KEK 2K CA 2023"
- Confirme que Signature Databases (DB) inclui "Windows UEFI CA 2023"
Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Se aparecer Verdadeiro, significa que inclui "Windows UEFI CA 2023"
- Confirme que Signature Databases (DB) inclui "Microsoft UEFI CA 2023"
Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Se aparecer Verdadeiro, significa que inclui "Microsoft UEFI CA 2023"
Pergunta 8: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1801) no Visualizador de Eventos?
Resposta 8: O motivo para essa mensagem de erro é que as credenciais de inicialização segura foram atualizadas, mas ainda não foram aplicadas ao firmware do dispositivo.
Por favor, execute a Atualização do Windows primeiro para garantir que a versão do sistema operacional seja 26100.6725 ou posterior, e depois siga os passos descritos na Pergunta 2.
Histórico de atualizações do Windows 11, versão 25H2.
Pergunta 9: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1802) no Visualizador de Eventos?
Resposta 9: O motivo para essa mensagem de erro é que a atualização de inicialização está deliberadamente bloqueada porque o dispositivo está de acordo com condições conhecidas de firmware ou hardware, o que impede que a atualização seja concluída com segurança.
Por favor, reporte o problema pelo centro de serviço ASUS.
Pergunta 10: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1803) no Visualizador de Eventos?
Resposta 10: O motivo para essa mensagem de erro é que o dispositivo não consegue encontrar a Key Exchange Key (KEK) assinada pelo PK.
Por favor, reporte o problema pelo centro de serviço ASUS.
Referência:
Expiração do certificado de Secure Boot do Windows e atualizações de CA - Suporte da Microsoft
Status da atualização do certificado de Secure Boot no aplicativo de Segurança do Windows
Perguntas frequentes sobre o processo de atualização do Secure Boot - Suporte da Microsoft
Eventos de atualização das variáveis DB e DBX de Secure Boot - Suporte da Microsoft
Histórico de atualização do Windows 11, versão 25H2 - Suporte da Microsoft