Como renovar os certificados de Inicialização Segura no Windows e evitar problemas de segurança.

Informatec Digital » Recursos » Como renovar os certificados de Inicialização Segura no Windows e evitar problemas de segurança.

Se você usa o Windows 10 ou o Windows 11 e tem o Inicialização segura habilitadaVocê será diretamente afetado pelas mudanças nos certificados que a Microsoft e os fabricantes de PCs implementarão entre agora e junho de 2026. Isso não é uma questão teórica: estamos falando do componente que valida o que pode ser executado em sua máquina a partir do momento em que você pressiona o botão liga/desliga, e cujos certificados originais estão perto de expirar.

Durante anos, presumimos que o sistema estivesse protegido desde o início, mas agora é hora de verificar se tudo está pronto para a renovação do certificado de Inicialização SeguraA Microsoft, fabricantes de equipamentos originais (OEMs, como a Acer) e administradores de sistemas já começaram a trabalhar nisso, e vale a pena entender o que está acontecendo, quais as consequências da inação e quais medidas práticas você pode tomar, seja você um usuário doméstico ou esteja gerenciando uma frota de dispositivos em uma empresa.

Por que os certificados de Inicialização Segura expiram e o que isso significa?

O mecanismo de Inicialização segura baseada em UEFI Ele se baseia em certificados digitais armazenados no firmware para decidir qual código é confiável na inicialização: carregadores de inicialização, drivers de firmware, componentes críticos do pré-sistema operacional, etc. Este modelo foi projetado em torno de um hierarquia principal que estabelece uma cadeia de confiança desde o firmware até o Windows.

Nessa hierarquia encontramos, por exemplo, o Chave de plataforma (PK) que geralmente é do fabricante original (como a Acer), o Chaves de troca de chaves (KEK) da Microsoft e do fabricante, e dois bancos de dados essenciais: o DB (assinaturas permitidas) e o DBX (assinaturas revogadas). O DB inclui certificados e assinaturas considerados confiáveis, enquanto o DBX é atualizado com itens que devem ser bloqueados por serem inseguros ou terem sido comprometidos.

Os primeiros certificados Secure Boot emitidos em conjunto pela Acer e pela Microsoft datam de 2011e foram projetados com uma vida útil aproximada de 15 anos. Isso significa que a partir de Junho de 2026 Esses certificados iniciais estão chegando ao fim de sua validade. Se o firmware do seu dispositivo ainda depende deles e não foi atualizado para os novos certificados de 2023, a proteção de inicialização se tornará obsoleta.

Com certificados expirados, o computador ainda pode ligar e executar o Windows normalmente, mas o ponto crucial é que A Microsoft não conseguirá aplicar adequadamente as novas medidas de mitigação. sobre o ambiente de inicialização. Isso inclui proteções contra malware que é carregado antes do sistema, tentativas de burlar o BitLocker e outros ataques contra a cadeia de confiança inicial.

Em máquinas mais antigas ou em sistemas que não são mais suportados (como instalações do Windows 10 sem ESU), o risco é acabar com um ambiente de inicialização que funciona, mas cujo A superfície de ataque aumenta. Porque não recebe as mesmas atualizações de segurança nem pode tirar proveito das revogações modernas no DBX.

Contexto: fim do suporte ao Windows 10, ascensão do Windows 11 e dependência da Inicialização Segura (Secure Boot).

O anúncio de fim do ciclo de vida do Windows 10 Isso levou milhões de usuários a atualizarem para o Windows 11 para evitar a perda de atualizações de segurança. Hoje, a participação de mercado claramente se deslocou para o Windows 11, com cerca de 63% em comparação com 35% para o Windows 10, em grande parte devido à pressão do fim do suporte.

Embora ainda existam instalações do Windows 10 com canais especiais, como LTSC ou programas Atualizações de segurança estendidas (ESU)A realidade é que a maioria das pessoas terá que conviver com o Windows 11 ou, no mínimo, com distribuições Linux se quiserem se manter bem protegidas. Mas isso não significa que o Windows 11 seja impenetrável: agora o... Validade dos certificados de Inicialização Segura.

No Windows 11, a Inicialização Segura não é um recurso opcional, mas sim uma funcionalidade. requisito de instalação Na maioria dos cenários suportados, a Microsoft insiste em mantê-lo ativo não apenas por questões de segurança geral, mas também porque muitas medidas de mitigação dependem dessa cadeia de confiança. Mesmo no mundo dos jogos, é cada vez mais comum que títulos modernos (como a série Battlefield e outros jogos AAA) exijam isso. A inicialização segura está ativada. para ser executado.

O pacote mais recente de atualizações de segurança para o Windows 11 inclui exatamente o rotação de certificados do Secure Boot que expiram em junho de 2026. Uma grande parte dos usuários receberá esses certificados automaticamente pelo Windows Update, sem precisar procurar arquivos ou pacotes manualmente.

No caso de computadores desktop ou laptops adquiridos a partir de 2024-2025, os fabricantes OEM já estão incorporando diretamente o Certificados UEFI CA 2023 em seus firmwares, então esses computadores vêm prontos de fábrica, e tudo o que você precisa fazer é manter o Windows atualizado e não desativar a Inicialização Segura sem motivo.

O que acontece se você não renovar seus certificados de Inicialização Segura?

Uma dúvida muito comum é se o computador deixará de inicializar quando atingir a data de expiração. A resposta, para a maioria dos usuários, é que sim. Ele continuará ligando e funcionando. Como de costume. Você poderá abrir seus aplicativos, navegar na internet e usar o sistema operacional normalmente, como faz agora.

O verdadeiro problema é mais sutil: uma equipe com Certificados de Inicialização Segura expirados Pode ser que o sistema deixe de receber ou aplicar corretamente certas atualizações que exigem essa nova cadeia de confiança. Algumas melhorias críticas de segurança no nível de inicialização podem não ser instaladas, criando vulnerabilidades que podem ser exploradas por invasores.

Além disso, essas renovações de certificados visam atender a vulnerabilidades modernas No ambiente pré-sistema operacional, se a base de certificados não for atualizada, o computador pode se tornar um alvo mais fácil para malware de inicialização (bootkit), rootkits persistentes ou ferramentas projetadas para burlar mecanismos como o BitLocker nos estágios iniciais da inicialização.

Há outro cenário a considerar: algumas aplicações, especialmente em ambientes corporativos ou de alta segurança, podem É necessário que a Inicialização Segura esteja operacional e atualizada.Se as verificações internas detectarem certificados expirados, eles poderão se recusar a executar o sistema ou limitar sua funcionalidade, afetando a produtividade.

Portanto, a recomendação da Microsoft é clara: mantenha sempre Inicialização segura ativada e atualizadaInstale as atualizações mais recentes do Windows 11 ou, no caso do Windows 10 com ESU, aplique todos os patches de segurança e certifique-se de ter a versão mais recente do firmware/BIOS disponível para cada computador.

Como verificar o status dos certificados de Inicialização Segura no Windows

Para descobrir se sua máquina já adotou o novos certificados de inicialização seguraVocê pode realizar uma verificação rápida usando o PowerShell. A Microsoft oferece um comando que inspeciona o conteúdo do banco de dados de assinaturas do Secure Boot (db) e procura especificamente pela presença do Windows UEFI CA 2023.

Com o PowerShell aberto com privilégios de administrador, você pode executar algo equivalente a:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Se o comando retornar a VerdadeiraIsso significa que o dispositivo já está usando o novo certificado UEFI de 2023 e está protegido contra a expiração dos certificados originais de 2011. Nesse caso, você não precisa se preocupar além de continuar aplicando as atualizações normais do Windows e do firmware quando estiverem disponíveis.

Por outro lado, se a expressão retornar FalsoA máquina ainda depende de certificados que expiram em junho de 2026. Nesse cenário, é recomendável verificar primeiro se a Inicialização Segura está realmente habilitada na BIOS/UEFI e, em seguida, forçar ou facilitar a chegada das atualizações necessárias por meio do Windows Update ou através da configuração apropriada em ambientes gerenciados.

Para confirmar se a Inicialização Segura está ativada, você pode usar a ferramenta Informações do Sistema com o comando msinfo32Na janela que se abre, verifique o campo correspondente a “Status da Inicialização Segura”: se mostrar “Ativado”, a função está funcionando; se mostrar “Desativado” ou “Não suportado”, você terá que entrar na UEFI da placa-mãe ou do notebook para ativá-la, desde que o hardware permita.

Se, após verificar o msinfo32 e o comando do PowerShell, você ainda não visualizar o certificado de 2023, o próximo passo lógico é Windows UpdateVerificar se há atualizações pendentes, especialmente aquelas classificadas como atualizações de segurança ou de firmware. Em muitas máquinas, basta instalar esses pacotes e reiniciar para que a renovação do certificado seja aplicada automaticamente.

Atualização manual dos certificados de Inicialização Segura em computadores individuais.

Existem casos em que, mesmo com a Inicialização Segura ativada e o Windows Update em execução, a atualização da base de certificados não é aplicada automaticamente. Para essas situações, a Microsoft descreve uma maneira de sinalização de atualização forçada através do Registro do Windows.

O procedimento padrão envolve a criação ou modificação do valor. Atualizações disponíveis no ramo do registro dedicado à Inicialização Segura. No PowerShell com privilégios de administrador, você pode usar um comando como:

reg add HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

É importante observar que, ao colar este comando no PowerShell, você deve substituir as barras “/” no caminho do registro pelo caractere “/”. barras invertidas padrão do Windows Para que o comando funcione corretamente, uma vez que esse valor seja criado ou ajustado, o Windows deve detectar que possui atualizações de certificado disponíveis e proceder à sua aplicação após o próximo ciclo do Windows Update e reinicialização.

Antes de modificar o Registro, é recomendável garantir que o sistema atenda aos requisitos básicos: Inicialização segura ativada No BIOS, é necessário que a versão do Windows seja compatível (principalmente Windows 11 ou Windows 10 com ESU) e que o serviço do Windows Update esteja em execução. Quaisquer alterações incorretas no registro podem causar problemas, portanto, é recomendável ter um backup ou um ponto de restauração.

Após a conclusão do processo e depois de uma ou mais reinicializações, você pode executar novamente o comando do PowerShell que busca por “Windows UEFI CA 2023” no banco de dados de Inicialização Segura. Se a resposta for Verdadeira desta vez, a máquina agora está funcionando com o sistema. certificados renovados e as futuras medidas de mitigação para startups podem ser aplicadas sem impedimentos.

Monitoramento avançado: eventos, registro de logs e WMI para administradores.

Em ambientes corporativos, a Microsoft recomenda ir muito além da verificação manual com alguns comandos. Para entender a posição de cada equipe em relação ao atualização do certificado de Inicialização SeguraÉ fundamental analisar os eventos do sistema e coletar informações detalhadas usando PowerShell, registros em log e consultas WMI/CIM.

O primeiro passo é inspecionar o eventos de inicialização segura Os eventos mais recentes, especialmente aqueles com os identificadores 1801 e 1808, são documentados como parte dos registros associados às atualizações do banco de dados de inicialização segura (db) e do banco de dados de revogação (DBX). A análise desses eventos recentes ajuda a determinar se há atualizações pendentes, erros de aplicativo ou estados de sucesso.

Além disso, sugere-se fazer um inventário detalhado de dispositivos em toda a organização. Scripts do PowerShell podem ser usados ​​para coletar parâmetros como o nome da máquina (HostName, por exemplo, $env:COMPUTERNAME) e a data e hora da coleta (Get-Date), para obter uma visão clara do parque de equipamentos em um momento específico.

No Registro, existem várias chaves particularmente relevantes. Por exemplo, a chave principal de Inicialização Segura em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBootIsso permite avaliar valores como SecureBootEnabled, HighConfidenceOptOut e AvailableUpdates. Esses dados indicam se a Inicialização Segura está ativa, se o dispositivo optou por determinadas políticas de confiança e se há atualizações de certificado disponíveis.

Por outro lado, existe o ramo de manutenção em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\ServicingIsso inclui parâmetros como UEFICA2023Status, WindowsUEFICA2023Capable e UEFICA2023Error. Esses valores indicam se o dispositivo é capaz de adotar os novos certificados UEFI CA 2023, se os aplicou e se ocorreram erros durante o processo.

A seção de atributos do dispositivo também é útil: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributesÉ aqui que são armazenados dados como OEMManufacturerName, OEMModelSystemFamily, OEMModelNumber, FirmwareVersion, FirmwareReleaseDate, OSArchitecture e CanAttemptUpdateAfter. Essas informações ajudam a verificar a compatibilidade do firmware com o status das atualizações do Secure Boot.

Com relação aos registros de eventos, é recomendável coletar indicadores como: ÚltimoID doEvento Associado à Inicialização Segura (Secure Boot), o BucketID e o nível de confiança são extraídos dos eventos 1801/1808, assim como dos contadores Event1801Count e Event1808Count. Com essa telemetria, as equipes de TI podem detectar padrões, erros recorrentes ou dispositivos que nunca concluem com sucesso as atualizações de certificado.

Finalmente, através de Consultas WMI/CIM São obtidos detalhes adicionais do sistema: versão do Windows (Get-CimInstance Win32_OperatingSystem para OSVersion e LastBootTime), fabricante e produto da placa-mãe (Get-CimInstance Win32_BaseBoard), fabricante e modelo do computador (Get-CIMInstance Win32_ComputerSystem para Manufacturer e Model) e dados da BIOS (Get-CIMInstance Win32_BIOS para descrição e data de lançamento). Tudo isso permite a correlação de versões de firmware, hardware e status da Inicialização Segura em um único inventário.

Ambientes gerenciados pelo Intune e dispositivos gerenciados pela TI

Para organizações que utilizam Intune ou outras soluções MDM Para gerenciar seus dispositivos Windows, a questão principal é se basta deixar o Windows Update fazer seu trabalho ou se etapas adicionais precisam ser tomadas até 2026. A Microsoft indicou que, em ambientes gerenciados, desde que o dados de diagnóstico Se estiverem ativadas pelo menos no nível "Obrigatório", as atualizações necessárias serão entregues automaticamente.

Na prática, isso significa que, se suas políticas do Intune já permitem telemetria e suas opções de atualização estão configuradas corretamente, você pode ficar tranquilo. Mesmo assim, muitos administradores se perguntam se devem criar manualmente certas chaves de registro, como MicrosoftUpdateManagedOptIn, ou se elas são configuradas automaticamente quando o dispositivo atende aos requisitos.

A Microsoft publicou documentação específica indicando que a chave MicrosoftUpdateManagedOptIn, localizado em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot, deve ser definido como 1 em dispositivos com atualizações gerenciadas pela TI para o renovação automática de certificados Para ser executada corretamente, em alguns casos essa chave pode ser configurada automaticamente, mas em outros pode ser desejável impô-la por meio de políticas.

A recomendação, portanto, é revisar as políticas do Intune relacionadas a diagnósticos e atualizações, verificar o estado real das máquinas usando scripts de inventário e, se necessário, implantar uma solução. política de configuração Isso garante que o MicrosoftUpdateManagedOptIn esteja com o valor apropriado e que os ramos de manutenção reflitam a compatibilidade com a CA UEFI 2023.

É igualmente importante não presumir cegamente que “nada precisará ser feito em 2026”. Embora a Microsoft automatize grande parte do processo, cada organização tem suas próprias características únicas: dispositivos com firmware desatualizado, computadores que não se conectam regularmente, políticas de rede restritivas ou máquinas com atualizações adiadas. plano de validação proativo Evite surpresas de última hora.

Papel dos OEMs e atualizações de BIOS/firmware

Fabricantes de computadores e placas-mãe, como a Acer, desempenham um papel fundamental em todo esse processo. Eles controlam o Chave da Plataforma (PK) e parte do KEK que residem no firmware, bem como as versões da BIOS/UEFI que determinam como os bancos de dados Secure Boot DB e DBX são carregados e gerenciados.

Segundo a Acer, a empresa planeja publicar atualizações específicas da BIOS Para laptops e desktops afetados no primeiro trimestre de 2026. Essas versões incluem a PK, KEK e DB atualizadas com os certificados de 2023, portanto, após a aplicação da BIOS, o computador estará alinhado com a nova cadeia de confiança do Secure Boot.

Outros fabricantes de equipamentos originais (OEMs) seguirão estratégias semelhantes, portanto, administradores de TI e usuários avançados devem ficar atentos. notas de suporte dos seus fabricantesEm muitos casos, o processo envolverá o download de uma nova BIOS do site do fabricante do equipamento original (OEM) ou o recebimento dela por meio de ferramentas proprietárias (como utilitários de atualização automática) e a aplicação da atualização seguindo as instruções padrão.

Para computadores lançados em 2024 ou 2025, a BIOS geralmente vem pré-instalada com chaves de BIOS de 2023 ou recebe essa atualização logo após a compra. Se você comprou seu PC nessa época, provavelmente já possui as chaves da BIOS. certificados renovadosMesmo assim, uma verificação com o PowerShell é sempre uma boa ideia para confirmar.

No caso de infraestruturas distribuídas, centros de dados ou grandes frotas de laptops, pode ser necessário coordenar com os fabricantes de equipamentos originais (OEMs). plano de implantação faseada de firmwareIsso evita a aplicação simultânea de atualizações críticas da BIOS em todos os dispositivos sem testes prévios. Essa funcionalidade está integrada ao gerenciamento do ciclo de vida criptográfico e de firmware que muitas empresas já implementam.

Melhores práticas de cibersegurança relacionadas ao Secure Boot

A renovação do certificado de Inicialização Segura não é um evento isolado, mas parte do processo de inicialização. gerenciamento do ciclo de vida de criptomoedas da organização. O planejamento da rotação de chaves e certificados, a auditoria do que está sendo efetivamente usado no ambiente e a manutenção dos controles de integridade no firmware e no TPM reduzem a probabilidade de alguém adulterar o sistema nos estágios iniciais de inicialização.

Nesse sentido, é aconselhável combinar os controles de inicialização com outras camadas de proteção: criptografia de disco usando BitLockerSistemas de detecção e resposta (EDR/XDR), monitoramento de alterações de firmware e configuração, e revisões regulares das políticas de segurança do Windows e do hardware. Tudo isso ajuda a garantir que uma única falha em uma camada não comprometa todo o sistema.

Empresas especializadas em cibersegurança e testes de penetração podem agregar valor realizando... avaliações de correntes de botasIsso envolve simular ataques contra o firmware, a UEFI e a Inicialização Segura (Secure Boot), e verificar se as defesas se comportam conforme o esperado. Esses estudos também costumam incluir recomendações para automatizar e orquestrar atualizações.

Em organizações com infraestruturas altamente distribuídas, que dependem de serviços em nuvem como Azure ou AWS A configuração de canais de distribuição e o gerenciamento centralizado de atualizações podem simplificar o controle de patches, certificados e firmware. Além disso, o uso de dashboards no Power BI e análises de telemetria ajuda a priorizar quais dispositivos exigem atenção urgente.

O uso de ferramentas Inteligência artificial e detecção de anomalias Sistemas focados em eventos de inicialização e comportamento do firmware estão se tornando cada vez mais comuns. Esses sistemas podem detectar padrões incomuns em logs de Inicialização Segura, reinicializações anômalas ou modificações na configuração da UEFI que podem indicar uma tentativa de ataque ou configuração incorreta.

Em termos operacionais, algumas recomendações básicas incluem: verificar regularmente o Windows Update e o status de segurança na Central de Segurança do Windows, solicitar o firmware oficial dos fabricantes para máquinas que não atualizam automaticamente, testar as atualizações em laboratório antes da implementação em massa e realizar a manutenção. sistemas atualizados de gerenciamento de inventários e patches bem configurado.

A combinação dessas práticas com a renovação adequada dos certificados de Inicialização Segura ajuda a manter uma postura de segurança robusta, reduzindo as janelas de exposição e facilitando auditorias futuras, sejam elas internas ou externas.

Em resumo, o vencimento dos certificados de Inicialização Segura em junho de 2026 torna necessário revisar como nossos sistemas estão configurados e atualizados, tanto em casa quanto em grandes organizações: para garantir que A inicialização segura está ativa.Confirmar a presença da Autoridade Certificadora UEFI do Windows 2023 a partir do PowerShell, validar chaves e eventos do registro, coordenar com os fabricantes de equipamentos originais (OEMs) para aplicar o firmware mais recente e aproveitar os recursos do Intune, WSUS, SCCM ou soluções MDM para automatizar as implantações faz a diferença entre um ambiente que permanece protegido contra ameaças modernas na inicialização e um que, embora aparentemente normal, acumula riscos silenciosos difíceis de detectar à primeira vista.