Expiração e atualização de certificados do Secure Boot do Windows

Resposta 1: Por favor siga os passos abaixo:

1. Na barra de pesquisa do Windows, escreva Segurança do Windows.  
   
2. Selecione [Segurança do dispositivo] no menu à esquerda. Em [Arranque seguro], verá um indicador de estado. O ícone de arranque seguro está marcado com uma insígnia verde, amarela ou vermelha, cada uma representando o estado atual do arranque seguro no seu sistema.  
   

Resposta 2: Por favor siga os passos abaixo:

1. Run Windows Update e assegure-se de que a versão do sistema operativo é 26100.6725 ou posterior.  
   Histórico de atualizações do Windows 11, versão 25H2 - Suporte da Microsoft
2. No campo de pesquisa do Windows, escreva Windows PowerShell.  
   Nos resultados da pesquisa, clique com o botão direito do rato em Windows PowerShell e selecione Executar como administrador.  
   
3. Insira o seguinte comando:  
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f  
   
4. Depois insira o seguinte comando:  
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"  
   
5. Reinicie o seu computador.
6. Depois de reiniciar, abra novamente o Windows PowerShell como administrador.
7. Volte a inserir o seguinte comando:  
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"  
   
8. Reinicie o seu computador mais uma vez.
9. Verifique se o ícone do Secure Boot mudou para verde, indicando que o Secure Boot está agora ativado e a funcionar corretamente.

Resposta 3: Após o certificado de arranque seguro expirar, os dispositivos que ainda não receberam o novo certificado de 2023 podem continuar a iniciar e funcionar normalmente, e as atualizações padrão do Windows continuarão a ser instaladas. No entanto, estes dispositivos não poderão obter novas proteções de segurança durante o processo inicial de arranque, incluindo atualizar os administradores de arranque do Windows, bases de dados de Secure Boot, listas de revogação ou medidas de mitigação para vulnerabilidades de arranque recentemente descobertas.

Com o tempo, isto limita a proteção do dispositivo contra ameaças emergentes e pode afetar cenários que dependem da confiança do Secure Boot, como o reforço do BitLocker ou carregadores de arranque de terceiros. A maioria dos dispositivos Windows receberá automaticamente credenciais atualizadas, e muitos fabricantes OEM também fornecerão atualizações de firmware quando necessário. Manter o dispositivo sempre atualizado ajuda a garantir que possa continuar a receber a proteção completa de segurança concebida para um arranque seguro.

Resposta 4: Dispositivos que desativam o secure boot não receberão novas credenciais de secure boot no firmware. Portanto, continuarão vulneráveis a malware na camada de boot (como bootkits), pois a proteção de secure boot não é aplicada.

Resposta 5: Se o Windows já utilizou o gestor de boot assinado de 2023, mas o firmware foi reposto para o valor padrão que não inclui o certificado Windows UEFI CA 2023, o secure boot irá bloquear o processo de boot.

Pode consultar a FAQ:

[Portátil] Resolução de problemas - Erro de Violação de Secure Boot no arranque

Resposta 6: Sim. Mesmo que as credenciais existentes tenham expirado, atualizações cumulativas contendo novas credenciais de secure boot podem ser aplicadas. Se o dispositivo conseguir iniciar o Windows e instalar atualizações, as credenciais atualizadas podem ser gravadas no firmware conforme as orientações de implementação publicadas. A maioria dos dispositivos receberá estas atualizações automaticamente, mas alguns sistemas podem precisar de atualizações de firmware adicionais.

Resposta 7: Por favor, siga os seguintes passos:

1. Introduza PowerShell na caixa de pesquisa do sistema Windows.  
   Nos resultados da pesquisa, clique no ícone do Windows PowerShell e selecione Executar como Administrador.  
   
2. Confirme que a Chave de Troca de Chaves (KEK) inclui "Microsoft Corporation KEK 2K CA 2023"  
   Introduza [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
   Se aparecer Verdadeiro, significa que inclui "Microsoft Corporation KEK 2K CA 2023"  
   
3. Confirme que as Bases de Dados de Assinaturas (DB) incluem "Windows UEFI CA 2023"  
   Introduza [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
   Se aparecer Verdadeiro, significa que inclui "Windows UEFI CA 2023"  
   
4. Confirme que as Bases de Dados de Assinaturas (DB) incluem "Microsoft UEFI CA 2023"  
   Introduza [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
   Se aparecer Verdadeiro, significa que inclui "Microsoft UEFI CA 2023"  
   

Resposta 8: O motivo desta mensagem de erro é que as credenciais de arranque seguro foram atualizadas, mas ainda não foram aplicadas ao firmware do dispositivo.

Por favor, execute a Atualização do Windows primeiro para garantir que a versão do sistema operativo seja 26100.6725 ou posterior, e depois prossiga com os passos descritos na Pergunta 2.

Histórico de atualizações do Windows 11, versão 25H2.

Resposta 9: O motivo desta mensagem de erro é que a atualização de arranque é deliberadamente bloqueada porque o dispositivo está em conformidade com condições de firmware ou hardware conhecidas, o que impede que a atualização seja concluída de forma segura.

Por favor, comunique o problema através do centro de assistência ASUS.

Resposta 10: O motivo para esta mensagem de erro é que o dispositivo não consegue encontrar a Chave de Troca de Chaves (KEK) assinada por PK.

Por favor, reporte o problema através do centro de serviço ASUS.