[PC comercial] Anúncio sobre a atualização do certificado do Secure Boot do Windows

2.1 Não Afectado (Novo Certificado Suportado Por Defeito)

Todos os PCs empresariais enviados em 2024 ou posteriormente, bem como todos os novos modelos futuros, já vêm com o novo certificado Secure Boot pré-instalado. Não é necessária qualquer atualização manual.

Portáteis (NB): Os seguintes modelos, bem como todas as séries lançadas após 2024.

Computadores de secretária: Os seguintes modelos, assim como todas as séries lançadas após 2024.

Tudo-em-um (AIO): Os seguintes modelos, bem como todas as séries lançadas após 2024.

2.2 Modelos que requerem uma atualização

Se o seu modelo não estiver listado acima, significa que o dispositivo está atualmente a utilizar o certificado antigo e precisará de ser atualizado.

Como obtenho a atualização?

Para os modelos afetados, a ASUS já concluiu a submissão do novo certificado. A atualização será entregue automaticamente pela Microsoft através do Windows Update.

Ação recomendada: Vá a Definições > Windows Update e certifique-se de que as atualizações automáticas estão ativadas.

Instalação automática: O sistema irá transferir e instalar automaticamente o certificado de segurança mais recente — não são necessárias ferramentas ou transferências manuais.

Esta secção explica os certificados de Secure Boot de terceiros da Microsoft. Se o seu dispositivo precisar de executar ambientes não-Windows (ex: Linux) ou hardware de terceiros (ex: GPUs externas), por favor leia o seguinte.

3.1 Visão geral do Certificado de Terceiros da Microsoft

3.2 Se os Certificados Microsoft de Terceiros forem necessários, por favor consulte as instruções seguintes

Nota: Se o seu computador comercial tiver o Windows BitLocker ativado, por favor suspenda-o antecipadamente seguindo as instruções abaixo antes de realizar qualquer operação de Secure Boot.

Os dispositivos enviados em 2026 já incluem estes certificados. Pode aceder à configuração do BIOS (pressione F2 durante o arranque) para verificar ou configurar as opções de certificados de terceiros.

Adicionalmente, pode consultar a Secção 8.3 para verificar se os certificados de terceiros estão presentes. Se não estiverem incluídos, por favor atualize o BIOS para a versão mais recente e siga Secção 5. SOP 1: Atualizar Certificados de Secure Boot.

Se os certificados de terceiros necessários ainda não aparecerem, por favor avance para Secção 6. SOP 2: Adicionar Certificados de Secure Boot.

No caso de que ao redefinir as chaves de Secure Boot resulte no aparecimento do seguinte ecrã ao iniciar o Windows, siga Secção 7. SOP 3: Restaurar Certificados de Secure Boot.

Referências

1. https://learn.microsoft.com/pt-pt/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
2. https://support.microsoft.com/pt-pt/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

Notas Pré-Operacionais:

1. É fortemente recomendado fazer uma cópia de segurança de todos os dados do seu computador antecipadamente para evitar qualquer possível perda de dados durante o processo de atualização manual.
2. Se o BitLocker estiver ativado, por favor certifique-se que está suspenso antes de prosseguir com os passos seguintes. Assim que o processo estiver concluído, o BitLocker pode ser reativado.
3. Não suspender o BitLocker pode resultar num cenário de bloqueio. Nos casos em que o BitLocker não consegue desbloquear automaticamente o disco encriptado do Windows, será necessária uma chave de recuperação. Esta chave é um código numérico de 48 dígitos que lhe permite recuperar o acesso ao seu disco rígido. Caso não esteja familiarizado com os procedimentos descritos abaixo, por favor contacte-nos para assistência.

Se precisar recuperar a chave de recuperação do BitLocker, consulte o artigo: Como recuperar a sua chave de recuperação do BitLocker.

Passos do procedimento

1. Ligue ou reinicie o sistema, depois pressione F2 para entrar na configuração do BIOS.   
   Pressione F7 para mudar para o Modo Avançado, depois navegue até Segurança > Arranque Seguro (ou diretamente Segurança > Arranque Seguro).   
   
2. Selecione Gestão de Chaves.   
   
3. Selecione Assinaturas Autorizadas (db).   
   
4. Escolha Atualizar.   
   
5. Selecione Sim.   
     
   Nota: Ao selecionar "Sim", irá restaurar os certificados correspondentes para as definições padrão de fábrica. Qualquer certificado anteriormente adicionado pelo sistema ou pelo utilizador será removido.
6. Selecione Detalhes para verificar que os certificados das Assinaturas Autorizadas (db) foram atualizados com sucesso.   
   
7. Prima F10 para Guardar & Sair.
8. Se o BitLocker foi previamente suspendido, por favor assegure-se de que está novamente ativado.

1. Descarregue Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776, e guarde-o no diretório raiz de uma unidade USB (por exemplo, “D:\windows uefi ca 2023.crt”).
2. Ligue ou reinicie o sistema, depois pressione F2 para entrar na configuração do BIOS.   
   Pressione F7 para mudar para o Modo Avançado, depois navegue para Segurança > Arranque Seguro (ou diretamente Segurança > Arranque Seguro).   
   
3. Selecione Gestão das Chaves.   
   
4. Selecione Assinaturas Autorizadas (db).   
   
5. Escolha Adicionar.   
   
6. Selecione Não.   
   
7. Selecione a unidade USB.
8. Localize e selecione o ficheiro armazenado no diretório raiz: “windows uefi ca 2023.crt”.
9. Selecione Certificado de Chave Pública, depois pressione Enter no ecrã de confirmação do GUID.   
   
10. Selecione Sim.   
    
11. Verifique se Windows UEFI CA 2023 está agora listado em Assinaturas Autorizadas (db).   
    
12. Prima F10 para Guardar & Sair.
13. Se o BitLocker estiver ativado, certifique-se de que tem a sua chave de recuperação BitLocker disponível.

Como verificar o estado da chave de Secure Boot UEFI? Os procedimentos seguintes não afetam o estado do Windows BitLocker.

8.1 Passos Preliminares

Introduza PowerShell na barra de pesquisa do Windows.

Nos resultados da pesquisa, clique com o botão direito em Windows PowerShell e selecione Executar como Administrador.

8.2 Verificação dos Certificados de Secure Boot Microsoft Windows

1. Confirme que a Key Exchange Key (KEK) inclui “Microsoft Corporation KEK 2K CA 2023”.  
   Execute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
   Um resultado de Verdadeiro indica que o certificado "Microsoft Corporation KEK 2K CA 2023" está presente.  
   
2. Confirme que as Bases de Dados de Assinaturas (DB) incluem "Windows UEFI CA 2023".  
   Execute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
   Um resultado de Verdadeiro indica que o certificado "Windows UEFI CA 2023" está presente.  
   

8.3 Verificação dos Certificados Microsoft de Arranque Seguro de Terceiros

1. Confirme que as Bases de Dados de Assinaturas (DB) incluem "Microsoft UEFI CA 2023".  
   Execute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
   Um resultado de Verdadeiro indica que o certificado "Microsoft UEFI CA 2023" está presente.  
   
2. Confirme que as Bases de Dados de Assinaturas (DB) incluem "Microsoft Option ROM UEFI CA 2023".  
   Execute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'  
   Um resultado de Verdadeiro indica que o certificado "Microsoft Option ROM UEFI CA 2023" está presente.