Expiração do certificado do Secure Boot do Windows e atualizações de certificados | Suporte Oficial

ASUS Suporte Perguntas frequentes

FAQ

Expiração do certificado do Secure Boot do Windows e atualizações de certificados

Desde que o Windows passou a oferecer suporte ao Secure Boot, a maioria dos dispositivos Windows utiliza uma série de certificados da Microsoft no banco de dados UEFI Secure Boot. Esses certificados mais antigos começarão a expirar gradualmente a partir de 2026. Para manter a segurança do boot e a integridade da cadeia de confiança, os sistemas precisam ser atualizados para a versão 2023 dos certificados da Microsoft.

Se o seu sistema atualmente está com o Secure Boot ativado, por favor, certifique-se de que esses certificados estejam atualizados antes de expirarem em meados de 2026.

A Microsoft recomenda concluir a atualização dos certificados do Secure Boot por meio do Windows Update

Para a maioria dos usuários, as atualizações necessárias serão entregues automaticamente pelo Windows Update, não sendo necessária nenhuma ação por parte do usuário.

Se as atualizações foram recebidas com sucesso pode ser verificado pelo aplicativo Segurança do Windows, conforme descrito em Status da atualização do certificado Secure Boot no aplicativo Segurança do Windows.

Quando [Windows Update] está ativado e o sistema está com o Secure Boot ativado (por favor, consulte como ativar o Secure Boot), dispositivos Windows compatíveis irão baixar e aplicar automaticamente os novos certificados do Secure Boot e o novo Boot Manager no momento apropriado.

A nova atualização do banco de dados do Secure Boot vem sendo implementada em fases para dispositivos com Secure Boot ativado desde 2024 e irá concluir automaticamente a atualização do dispositivo antes que o certificado expire em junho de 2026.

[Ative o Windows Update para obter novos certificados]

Perguntas & Respostas

Pergunta 1: Como posso verificar o status do UEFI Secure Boot?

Resposta 1: Por favor, siga os passos abaixo:

Na barra de pesquisa do Windows, digite Segurança do Windows.
Selecione [Segurança do dispositivo] no menu à esquerda. Em [Secure boot], você verá um indicador de status. O ícone de Secure boot é marcado com um selo verde, amarelo ou vermelho, cada um representando o estado atual do Secure boot no seu sistema.

Pergunta 2: O que devo fazer se o ícone do Secure boot estiver amarelo ou vermelho?

Resposta 2: Por favor, siga os passos abaixo:

Execute o Windows Update e certifique-se de que a versão do sistema operacional é 26100.6725 ou posterior.
Histórico de atualizações do Windows 11, versão 25H2 - Suporte da Microsoft
Na barra de pesquisa do Windows, digite Windows PowerShell.
Nos resultados da busca, clique com o botão direito em Windows PowerShell e selecione Executar como administrador.
Digite o seguinte comando:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f
Em seguida, digite o seguinte comando:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Reinicie seu computador.
Após reiniciar, abra o Windows PowerShell novamente como administrador.
Digite novamente o seguinte comando:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Reinicie seu computador mais uma vez.
Verifique se o ícone do Secure Boot mudou para verde, indicando que o Secure Boot agora está ativado e funcionando corretamente.

Pergunta 3: O que acontece se meu dispositivo não obtiver um novo certificado de Secure Boot antes que o certificado antigo expire?

Resposta 3: Após o certificado de Secure Boot expirar, dispositivos que ainda não receberam o novo certificado de 2023 ainda podem iniciar e operar normalmente, e as atualizações padrão do Windows continuarão sendo instaladas. No entanto, esses dispositivos não poderão obter novas proteções de segurança durante o processo inicial de boot, incluindo a atualização dos administradores de boot do Windows, bancos de dados de Secure Boot, listas de revogação ou medidas de mitigação para vulnerabilidades recentemente descobertas no nível de boot.

Com o tempo, isso limita a proteção do dispositivo contra ameaças emergentes e pode afetar cenários que dependem da confiança no Secure Boot, como o reforço do BitLocker ou boot loaders de terceiros. A maioria dos dispositivos Windows receberá automaticamente as credenciais atualizadas, e muitos fabricantes OEM também fornecerão atualizações de firmware quando necessário. Manter o dispositivo sempre atualizado ajuda a garantir que ele continue recebendo toda a proteção de segurança projetada para uma inicialização segura.

Pergunta 4: Quais são os efeitos de desativar o dispositivo de Secure Boot?

Resposta 4: Dispositivos que desativam o secure boot não receberão novas credenciais de secure boot no firmware. Portanto, eles continuarão vulneráveis a malwares na camada de boot (como bootkits), pois a proteção do secure boot não será aplicada.

Pergunta 5: Após redefinir o firmware para as configurações padrão, o dispositivo parou de iniciar - o que aconteceu? Como devo corrigir isso?

Resposta 5: Se o Windows já utilizou o gerenciador de boot assinado de 2023, mas o firmware foi redefinido para o valor padrão que não inclui o certificado Windows UEFI CA 2023, o secure boot irá bloquear o processo de boot.

Você pode consultar a FAQ:

[Notebook] Solução de Problemas - Erro de Violação do Secure Boot na Inicialização

Pergunta 6: Se o certificado de Secure Boot do meu dispositivo expirou, ainda posso receber um certificado atualizado?

Resposta 6: Sim. Mesmo que as credenciais existentes tenham expirado, atualizações cumulativas contendo novas credenciais de secure boot ainda podem ser aplicadas. Se o dispositivo pode iniciar o Windows e instalar atualizações, as credenciais atualizadas podem ser gravadas no firmware de acordo com as diretrizes de implantação publicadas. A maioria dos dispositivos receberá essas atualizações automaticamente, mas alguns sistemas podem exigir atualizações de firmware adicionais.

Pergunta 7: Como verificar o status das chaves do UEFI Secure Boot?

Resposta 7: Por favor, siga os passos abaixo:

Digite PowerShell na caixa de pesquisa do sistema Windows.
Nos resultados da pesquisa, clique no ícone do Windows PowerShell e selecione Executar como Administrador.
Confirme se Key Exchange Key (KEK) inclui "Microsoft Corporation KEK 2K CA 2023"
Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Se aparecer Verdadeiro, significa que inclui "Microsoft Corporation KEK 2K CA 2023"
Confirme se Signature Databases (DB) inclui "Windows UEFI CA 2023"
Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Se aparecer Verdadeiro, significa que inclui "Windows UEFI CA 2023"
Confirme se Signature Databases (DB) inclui "Microsoft UEFI CA 2023"
Digite [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Se aparecer Verdadeiro, significa que inclui "Microsoft UEFI CA 2023"

Pergunta 8: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1801) no Visualizador de Eventos?

Resposta 8: O motivo desta mensagem de erro é que as credenciais de boot seguro foram atualizadas, mas ainda não foram aplicadas ao firmware do dispositivo.

Por favor, execute o Windows Update primeiro para garantir que a compilação do sistema operacional seja 26100.6725 ou posterior, e depois siga os passos descritos na Pergunta 2.

Histórico de atualização do Windows 11, versão 25H2.

Pergunta 9: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1802) no Visualizador de Eventos?

Resposta 9: O motivo desta mensagem de erro é que a atualização de boot está sendo deliberadamente bloqueada porque o dispositivo está em conformidade com condições conhecidas de firmware ou hardware, o que impede que a atualização seja concluída com segurança.

Por favor, relate o problema através do centro de serviço ASUS.

Pergunta 10: O que devo fazer se encontrar uma mensagem de erro TPM WMI (ID do Evento: 1803) no Visualizador de Eventos?

Resposta 10: O motivo para esta mensagem de erro é que o dispositivo não consegue encontrar a Chave de Troca de Chaves (KEK) assinada por PK.

Por favor, relate o problema através do centro de serviço da ASUS.

Referência:

Expiração do certificado do Secure Boot do Windows e atualizações de CA - Suporte da Microsoft
Status da atualização do certificado do Secure Boot no aplicativo de Segurança do Windows
Perguntas frequentes sobre o processo de atualização do Secure Boot - Suporte da Microsoft
Eventos de atualização das variáveis DB e DBX do Secure Boot - Suporte da Microsoft
Histórico de atualizações do Windows 11, versão 25H2 - Suporte da Microsoft

Esta informação foi útil?

Yes No

Contatar Suporte

Entre em contato conosco se as informações acima não resolverem o seu problema

Above information might be partly or entirely quoted from exterior websites or sources. please refer to the information based on the source that we noted. Please directly contact or inquire the sources if there is any further question and note that ASUS is neither relevant nor responsible for its content/service
This information may not suitable for all the products from the same category/series. Some of the screen shots and operations could be different from the software versions.
ASUS provides the above information for reference only. If you have any questions about the content, please contact the above product vendor directly. Please note that ASUS is not responsible for the content or service provided by the above product vendor.

ASUS Suporte Perguntas frequentes

Voltar ao início