Expiração do certificado do Secure Boot do Windows e atualizações de certificados

Desde que o Windows começou a suportar o Secure Boot, a maioria dos dispositivos Windows tem usado uma série de certificados da Microsoft no banco de dados UEFI Secure Boot. Esses certificados anteriores começarão a expirar gradualmente a partir de 2026. Para manter a segurança do boot e a integridade da cadeia de confiança, os sistemas precisam ser atualizados para a versão 2023 dos certificados da Microsoft.

Se o seu sistema atualmente tem o Secure Boot ativado, por favor, garanta que esses certificados sejam atualizados antes de expirar em meados de 2026.

 

O que você precisa fazer?           
Você só precisa completar um dos seguintes métodos de atualização e aguardar o novo Windows Boot Manager:           
 

(Método I) Via Atualização Automática do Windows

Quando「Atualização do Windows」está ativada e o sistema tem o Secure Boot ativado (por favor, consulte como ativar o Secure Boot), os dispositivos Windows suportados irão automaticamente baixar e aplicar os novos certificados Secure Boot e o novo Boot Manager no momento apropriado.

A nova atualização do banco de dados Secure Boot foi lançada em fases para dispositivos com Secure Boot ativado desde 2024 e irá completar automaticamente a atualização do dispositivo antes que o certificado expire em junho de 2026.

Usuários com configurações padrão normalmente não precisam realizar operações manuais adicionais.

[Ativar o Windows Update para obter novos certificados]           

 

 

 

(Método II) Atualizar manualmente UEFI BIOS

Aviso: Após atualizar o BIOS, você pode ser solicitado a inserir a chave de recuperação do BitLocker para desbloquear e acessar o sistema operacional. Para etapas detalhadas, consulte este artigo: Como encontrar a chave do BitLocker.
Você também pode desativar a Criptografia de Dispositivo e a Criptografia BitLocker Padrão antes de atualizar o BIOS, e então reativar a criptografia após a atualização do BIOS para proteger a segurança dos seus dados. Para etapas detalhadas, consulte este artigo: Introdução à Criptografia de Dispositivo e à Criptografia BitLocker Padrão.

Para Placa-mãe    

Você também pode baixar e atualizar para a versão mais recente do UEFI BIOS no site oficial da ASUS para obter os certificados Secure Boot atualizados.

Este método é mais adequado para usuários avançados familiarizados com o processo de atualização do BIOS ou sistemas que não podem receber atualizações normalmente pelo Windows Update.

1. Para baixar e atualizar para a versão mais recente do UEFI BIOS no site oficial da ASUS, você pode consultar: Como atualizar o BIOS

2. Limpar chaves do Secure Boot           
2.1 Após atualizar o BIOS e reiniciar o sistema, reentre na configuração do BIOS, vá para Avançado\Boot > Secure Boot.

Se o modo Secure Boot estiver como Padrão, altere para Personalizado.

2.2 Clique em Gerenciamento de Chaves.

2.3 Execute "Limpar chaves do Secure Boot".

Clique em [Sim].

2.4 Confirme que todas as chaves UEFI Secure Boot (PK, KEK, DB, DBX) foram limpas com sucesso.

3. Instalar Chaves Padrão de Secure Boot           
3.1 Após limpar as Chaves de Secure Boot, execute "Instalar Chaves Padrão de Secure Boot".           

Clique em [Sim].

3.2 Verifique se o Tamanho/Número de Chaves para PK/KEK/DB/DBX não é 0 e a Fonte da Chave é [Padrão]. O processo de atualização das Chaves de Secure Boot UEFI está completo.

 

Perguntas & Respostas           
Pergunta 1: Como Verificar o Status das Chaves de Secure Boot UEFI?           
Resposta: Por favor, siga estes passos:           
1. Na página do BIOS, vá para Avançado\Boot > Secure Boot > Gerenciamento de Chaves.           
2. Selecione os seguintes itens respectivamente e então selecione "Excluir Chaves":           
➢ Gerenciamento KEK           
➢ Gerenciamento DB

3. Selecione "Não" na janela de aviso. (Observação: Esta operação é apenas para exibir as informações da Chave; selecionar "Sim" irá excluir a Chave.)

4. Confirme que o Gerenciamento KEK contém "Microsoft Corporation KEK 2K CA 2023".

5. Confirme que o Gerenciamento DB contém tanto "Microsoft UEFI CA 2023" quanto "Windows UEFI CA 2023".

Para Notebook

Você também pode baixar e atualizar o UEFI BIOS para a versão mais recente no site oficial da ASUS para obter os certificados Secure Boot atualizados.           
Este método é mais adequado para usuários avançados que estão familiarizados com o processo de atualização do UEFI BIOS.           
1. Baixe e atualize o UEFI BIOS para a versão mais recente no site oficial da ASUS. Você pode consultar: Como atualizar o BIOS no Windows.           
2. Redefinir para o modo de configuração           
2.1 Após atualizar o BIOS, reinicie o sistema e entre novamente na configuração do BIOS. Vá para Avançado\Boot > Secure Boot.           
2.2 Clique em Gerenciamento de Chaves.

2.3 Execute "Redefinir para o modo de configuração".

2.4 Clique em [Sim].

 

 

2.5 Confirme que todas as chaves do UEFI Secure Boot (PK, KEK, DB, DBX) foram apagadas com sucesso.

3. Restaurar chaves de fábrica           
3.1 Execute "Restaurar chaves de fábrica".

          
3.2 Clique em [Sim].

3.3 Verifique se o Tamanho/Número de Chaves para PK/KEK/DB/DBX não é zero.           
O processo de atualização das Chaves de Inicialização Segura UEFI está agora completo.

          
 

Perguntas & Respostas           
Pergunta 1: Como verificar o status das Chaves de Inicialização Segura UEFI?           
Resposta: Por favor, siga estes passos:           
1. Na página do BIOS, vá para Avançado\Inicialização > Inicialização Segura > Gerenciamento de Chaves.           
2. Selecione cada um dos itens a seguir e depois clique em “Detalhes”:           
➢ Chaves de Troca (KEK)           
➢ Assinaturas Autorizadas (db)

3. Confirme que as Chaves de Troca de Chaves [KEK] incluem "Microsoft Corporation KEK 2K CA 2023".

4. Confirme que as Assinaturas Autorizadas [db] incluem tanto "Microsoft UEFI CA 2023" quanto "Windows UEFI CA 2023".

Para AIOT

Os usuários podem baixar e atualizar para a versão mais recente do UEFI BIOS no site oficial da ASUS para obter os certificados de Secure Boot atualizados. Este método é mais adequado para usuários avançados que já estão familiarizados com o processo de atualização do BIOS, ou para sistemas que não conseguem receber atualizações corretamente pelo Windows Update.

Baixe e atualize para a versão mais recente do UEFI BIOS no site oficial da ASUS AIoT. Para instruções, você pode consultar:            
1. Baixe e atualize para a versão mais recente do UEFI BIOS no site oficial da ASUS AIoT. Para instruções, você pode consultar: Como atualizar o BIOS           
2. Instale as Chaves Padrão de Secure Boot:           
2.1 Após atualizar o BIOS, reinicie o sistema. Entre novamente na utilidade de configuração do BIOS e navegue até Segurança > Secure Boot.

2.2 Se o modo Secure Boot estiver definido como Custom, por favor altere para Standard.

2.3 Clique em OK (para aplicar "Instalar padrão de fábrica na Gestão de Chaves")

2.4 Clique em Expert Key Management.

2.5 Verifique se o Tamanho/Número de Chaves para PK, KEK, DB e DBX não é zero.

 

Perguntas & Respostas           
Pergunta 1: Como posso verificar o status das chaves UEFI Secure Boot para confirmar que os certificados Microsoft de 2023 foram instalados?           
Resposta: Por favor siga os passos abaixo:

1. Se o modo Secure Boot estiver definido como Standard, altere para Custom.           

2. Clique em OK.

3. Clique em Expert Key Management. 

4. Selecione Key Exchange Key (KEK) > Detalhes.

5. Verifique se o gerenciamento KEK inclui "Microsoft Corporation KEK 2K CA 2023".

6. Selecione Authorized Signatures (db) > Detalhes.

7. Verifique se o gerenciamento DB contém todos os seguintes: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" e "Microsoft Option ROM UEFI CA 2023".