Expiração e atualização de certificados do Secure Boot do Windows

Desde que o Windows começou a suportar o Secure Boot, a maioria dos dispositivos Windows utilizou uma série de certificados da Microsoft na base de dados de Secure Boot do UEFI. Estes certificados anteriores começarão a expirar gradualmente a partir de 2026. Para manter a segurança do boot e a integridade da cadeia de confiança, os sistemas precisam ser atualizados para a versão de 2023 dos certificados Microsoft.

Se o seu sistema tem o Secure Boot ativado atualmente, por favor assegure-se de que estes certificados sejam atualizados antes de expirarem em meados de 2026.

 

O que deve fazer?           
Só precisa de concluir um dos seguintes métodos de atualização e aguardar pelo novo Gestor de Arranque do Windows:           
 

(Método I) Através da Atualização Automática do Windows

Quando o「Windows Update」está ativado e o sistema tem o Secure Boot ativo (por favor consulte como ativar o Secure Boot), os dispositivos Windows suportados irão descarregar e aplicar automaticamente os novos certificados de Secure Boot e o novo Gestor de Arranque no momento apropriado.

A nova atualização da base de dados de Secure Boot foi lançada em fases para dispositivos com Secure Boot ativado desde 2024 e irá concluir automaticamente a atualização do dispositivo antes de o certificado expirar em junho de 2026.

Os utilizadores com definições por defeito normalmente não precisam de realizar operações manuais adicionais.

[Ativar o Windows Update para obter novos certificados]           

 

 

 

(Método II) Atualizar manualmente o UEFI BIOS

Atenção: Depois de atualizar o BIOS, pode ser solicitado que introduza a chave de recuperação do BitLocker para desbloquear e aceder ao sistema operativo. Para os passos detalhados, consulte este artigo: Como encontrar a chave BitLocker.
Pode também desativar a Encriptação de Dispositivo e a Encriptação BitLocker Padrão antes de atualizar o BIOS, e depois voltar a ativar a encriptação após a atualização do BIOS para proteger a segurança dos seus dados. Para os passos detalhados, consulte este artigo: Introdução à Encriptação de Dispositivo e à Encriptação BitLocker Padrão.

Para Motherboard    

Pode também transferir e atualizar para a versão mais recente do UEFI BIOS a partir do site oficial da ASUS para obter os certificados Secure Boot atualizados.

Este método é mais adequado para utilizadores avançados, familiarizados com o processo de atualização do BIOS ou para sistemas que não conseguem receber atualizações normalmente através do Windows Update.

1. Para transferir e atualizar para a versão mais recente do UEFI BIOS a partir do site oficial da ASUS, pode consultar: Como atualizar o BIOS

2. Limpar as Chaves do Secure Boot           
2.1 Depois de atualizar o BIOS e reiniciar o sistema, volte a entrar na configuração do BIOS, vá a Avançado\Arranque > Secure Boot.

Se o Modo Secure Boot estiver em Padrão, altere para Personalizado.

2.2 Clique em Gestão de Chaves.

2.3 Execute "Limpar Chaves do Secure Boot".

Clique em [Sim].

2.4 Confirme que todas as chaves UEFI Secure Boot (PK, KEK, DB, DBX) foram limpas com sucesso.

3. Instalar Chaves de Secure Boot Padrão           
3.1 Após limpar as Chaves de Secure Boot, execute "Instalar Chaves de Secure Boot Padrão."           

Clique em [Sim].

3.2 Verifique se o Tamanho/Número de Chaves para PK/KEK/DB/DBX não é 0 e se a Fonte da Chave é [Padrão]. O processo de atualização das Chaves de Secure Boot UEFI está então concluído.

 

Perguntas e Respostas           
Pergunta 1: Como verificar o estado das chaves UEFI Secure Boot?           
Resposta: Por favor, siga estes passos:           
1. Na página do BIOS, vá a Avançado\Arranque > Secure Boot > Gestão de Chaves.           
2. Selecione os seguintes itens respetivamente e depois selecione "Eliminar Chaves":           
➢ Gestão KEK           
➢ Gestão DB

3. Seleciona "Não" na janela de aviso. (Nota: Esta operação serve apenas para exibir as informações da Chave; selecionar "Sim" irá eliminar a Chave.)

4. Confirma que a Gestão KEK contém "Microsoft Corporation KEK 2K CA 2023".

5. Confirma que a Gestão DB contém tanto "Microsoft UEFI CA 2023" como "Windows UEFI CA 2023".

Para Portátil

Podes também transferir e atualizar o UEFI BIOS para a versão mais recente no site oficial da ASUS para obter os certificados Secure Boot atualizados.           
Este método é mais indicado para utilizadores avançados que estejam familiarizados com o processo de atualização do UEFI BIOS.           
1. Faz o download e atualiza o UEFI BIOS para a versão mais recente a partir do site oficial da ASUS. Podes consultar: Como atualizar a BIOS no Windows.           
2. Repor para o Modo de Configuração           
2.1 Após atualizar a BIOS, reinicie o sistema e volte a entrar na Configuração da BIOS. Vá a Avançado\Arranque > Arranque Seguro.           
2.2 Clique em Gestão de Chaves.

2.3 Execute "Repor para o Modo de Configuração".

2.4 Clique em [Sim].

 

 

2.5 Confirme que todas as chaves de Arranque Seguro UEFI (PK, KEK, DB, DBX) foram eliminadas com sucesso.

3. Restaurar Chaves de Fábrica           
3.1 Execute "Restaurar Chaves de Fábrica".

          
3.2 Clique em [Sim].

3.3 Verifique se o Tamanho/Número de Chaves para PK/KEK/DB/DBX não é zero.             
O processo de atualização das Chaves UEFI Secure Boot está agora concluído.

             
 

Perguntas & Respostas             
Pergunta 1: Como posso verificar o estado das Chaves UEFI Secure Boot?             
Resposta: Siga estes passos:             
1. Na página do BIOS, aceda a Avançado\Arranque > Secure Boot > Gestão de Chaves.             
2. Selecione cada um dos seguintes itens e depois clique em "Detalhes":             
➢ Chaves de Troca de Chaves (KEK)             
➢ Assinaturas Autorizadas (db)

3. Confirme que as Chaves de Troca de Chaves (KEK) incluem "Microsoft Corporation KEK 2K CA 2023".

4. Confirme que as Assinaturas Autorizadas (db) incluem tanto "Microsoft UEFI CA 2023" como "Windows UEFI CA 2023".

Para AIOT

Os utilizadores podem transferir e atualizar para a versão mais recente do UEFI BIOS a partir do site oficial da ASUS para obter os certificados Secure Boot atualizados. Este método é mais adequado para utilizadores avançados, familiarizados com o processo de atualização do BIOS, ou para sistemas que não conseguem receber atualizações corretamente através do Windows Update.

Transfira e atualize para a versão mais recente do UEFI BIOS através do site oficial ASUS AIoT. Para instruções, pode consultar:            
1. Transfira e atualize para a versão mais recente do UEFI BIOS através do site oficial ASUS AIoT. Para instruções, pode consultar: Como atualizar o BIOS           
2. Instale as Chaves Secure Boot Predefinidas:           
2.1 Após atualizar o BIOS, reinicie o sistema. Volte a entrar na configuração do BIOS (Setup) e navegue até Segurança > Secure Boot.

2.2 Se o Modo de Secure Boot estiver definido para Personalizado, por favor altere para Padrão.

2.3 Clique em OK (para aplicar "Instalar predefinição de fábrica em Gestão de Chaves")

2.4 Clique em Gestão Avançada de Chaves.

2.5 Verifique se o Tamanho/Número de Chaves para PK, KEK, DB e DBX não é zero.

 

Perguntas&Respostas           
Pergunta 1: Como posso verificar o estado das Chaves UEFI Secure Boot para confirmar que os certificados Microsoft de 2023 foram instalados?           
Resposta: Por favor siga os passos abaixo:

1. Se o Modo de Secure Boot estiver definido para Padrão, altere para Personalizado.           

2. Clique em OK.

3. Clique em Gestão de Chaves Avançada. 

4. Selecione Chave de Troca de Chaves (KEK) > Detalhes.

5. Verifique se a Gestão KEK inclui "Microsoft Corporation KEK 2K CA 2023".

6. Selecione Assinaturas Autorizadas (db) > Detalhes.

7. Verifique se a Gestão DB contém todos os seguintes: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" e "Microsoft Option ROM UEFI CA 2023".