FAQ sobre a transição da inicialização segura

Sistemas operacionais afetados:

• Windows

Sumário

• Informações gerais
• Computadores e atualizações Dell
• Comunicação e orientação ao cliente
• Impacto e recuperação
• Custos e Duração

Informações Gerais:

• O que é a transição da chave de inicialização segura?
  • Os certificados atuais do Microsoft 2011 Secure Boot começam a expirar em junho de 2026. Eles serão substituídos por uma nova cadeia de certificados de 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Os certificados de 2023 são necessários para instalar o Windows 11 25H2?
  • Não. Os dispositivos podem ser instalados 25H2 usando os certificados 2011.
• O que acontece quando o certificado de inicialização segura atual expira?
  • O computador ainda consegue inicializar. No entanto, com um certificado expirado, o computador não pode obter atualizações futuras para o carregador de inicialização ou inicialização segura.
• Qual é a estratégia de certificado duplo da Dell?
  • Para facilitar a transição, a Dell começou a enviar certificados de 2011 e 2023 em plataformas recém-lançadas no final de 2024 e, até o final de 2025, em todas as plataformas sustentáveis enviadas das fábricas da Dell. Isso permite que clientes corporativos com imagens mais antigas inicializem imagens assinadas com qualquer um dos certificados.
• Qual é a diferença entre o banco de dados de inicialização segura ativo e padrão?
  • O banco de dados de inicialização segura ativa é aquele que seu computador usa durante a inicialização para verificar o software confiável. O banco de dados de inicialização segura padrão é um conjunto de backup de chaves confiáveis originais que podem ser restaurados, se necessário.
    Resumindo:
    • Ativo: Atualmente imposta (comumente atualizada a partir do Windows Update)
    • Padrão: Versão da redefinição de fábrica não usada a menos que seja restaurada (atualizada usando uma atualização do BIOS)
    Nota: É importante que o banco de dados de inicialização segura padrão esteja atualizado para os certificados de 2023. Caso contrário, se o Modo de chave especialista estiver ativado, ele pode apagar as variáveis ativas provenientes do Windows Update.
• Como o banco de dados ativo é atualizado?
  • O banco de dados ativo pode ser atualizado usando o Windows Update. Isso evita disrupções nos recursos de segurança, como o BitLocker. No entanto, se o Windows Update não for uma opção e o cliente for um usuário experiente, o banco de dados ativo poderá ser substituído usando um comando no BIOS para redefinir as chaves. Consulte Como atualizar o banco de dados ativo de inicialização segura do BIOS para obter mais informações.
• Como o banco de dados padrão é atualizado?
  • O banco de dados padrão é atualizado usando um BIOS FLASH.
• O que acontece quando o certificado de inicialização segura atual expira?
  • O computador ainda consegue inicializar. No entanto, com um certificado expirado, o computador não pode obter atualizações futuras para o carregador de inicialização ou inicialização segura.

Voltar ao início

Computadores e atualizações da Dell:

• Quais computadores Dell recebem atualizações do BIOS?
  • Atualizações da Dell:
    • Plataformas comerciais e de consumidor com fim da vida útil de serviço (EoSL) após 31 de dezembro de 2025, enviadas das fábricas da Dell ou em campo
  • A Dell não atualiza:
    • Plataformas com EoSL antes de 1º de janeiro de 2026 Isso significa que, embora a Microsoft possa disponibilizar os novos certificados, o BIOS nesses computadores mais antigos pode não oferecer suporte ou retê-los, especialmente se a inicialização segura for alternada ou se os padrões do BIOS forem redefinidos.
• O que a Dell está fazendo para reduzir o impacto sobre o cliente?
  • Entregar atualizações do BIOS para plataformas compatíveis até o final de 2025
  • Coordenar com a Microsoft em ferramentas de recuperação
  • Publicar artigos da base de conhecimento
  • Atualizar mídia inicializável
• E quanto ao impacto sobre placas gráficas de terceiros e computadores Linux?
  • A Microsoft criou duas novas CAs de terceiros para 2023 para substituir as CAs de terceiros que expiram em 2011. Em outras palavras, o Microsoft Corporation UEFI CA 2011 foi bifurcado no Microsoft UEFI CA 2023 (para carregadores de inicialização) e no Microsoft Option ROM UEFI CA 2023 (para ROMs de opção). Além disso, atualizações já foram feitas no Hardware Device Center (HDC) da Microsoft para oferecer suporte à assinatura de drivers de terceiros que precisam dessas novas CAs de 2023. Embora os parceiros possam começar a assinar com as novas CAs de 2023 em outubro de 2025, a Microsoft e os OEMs continuarão a oferecer suporte à Microsoft Corporation UEFI CA 2011 existente até que o ecossistema tenha tido tempo suficiente para migrar para as novas CAs de 2023.
• Como um cliente empresarial obtém um novo certificado para 2023 em seu parque atual de dispositivos?
  • Os clientes corporativos têm a opção de permitir que a Microsoft gerencie as atualizações em seus dispositivos por meio do Windows Update (WU) ou, alternativamente, aplicar manualmente as atualizações aos próprios dispositivos do parque. As orientações para este último estão disponíveis aqui: Dispositivos Windows com atualizaçõesgerenciadas pela TI , além disso, a Dell envia atualizações do BIOS para dispositivos em serviço, que podem ser usados para preencher o banco de dados ativo. Para obter instruções , consulte Como atualizar o banco de dados ativo de inicialização segura do BIOS.
• Há algum requisito específico de hardware para obter esse certificado?
  • Os dispositivos devem oferecer suporte à inicialização segura e ser compatíveis com atualizações de firmware UEFI. A Dell está validando plataformas internamente e publicou uma lista de computadores compatíveis no artigo Microsoft 2011 Secure Boot Certificate Expiration, da Base de conhecimento Dell.

Voltar ao início

Comunicação e orientação ao cliente:

• Como a Dell está comunicando isso aos clientes?
  • A Dell publicou um Microsoft 2011 Secure Boot Certificate Expiration atualizado com a lista de plataformas da Dell prontas para atualização. A Dell fornecerá mensagens adicionais alinhadas com as orientações públicas da Microsoft, conforme necessário.
• O que os clientes empresariais devem fazer agora?
  • Planeje atualizações do BIOS antes da distribuição do Windows 25H2, usando a lista de dispositivos Dell mantida no Microsoft 2011 Secure Boot Certificate Expiration.
  • Se preferirem gerenciar dispositivos internamente (em vez de por meio de WU), as empresas já podem começar a atualizar dispositivos com as novas CAs de 2023, de acordo com a orientação aqui: Dispositivos Windows com atualizaçõesgerenciadas pela TI .
  • Comunicar quaisquer problemas de atualização à Dell.
• Como um cliente sabe se tem um certificado de 2011 ou 2023?
  • A Microsoft planeja adicionar notificações ao Windows para usuários finais. Além disso, os usuários podem executar o seguinte comando do PowerShell para ver se têm as CAs de 2011 ou 2023 (metodologia que será lançada em um artigo futuro da base de conhecimento).
• Como um cliente sabe se seu certificado venceu ou está prestes a expirar?
  • Computadores com qualquer um dos três certificados (CAs) com vencimento previsto para 2026:

    CAs de 2011	Data de validade
    Microsoft Corporation KEK CA 2011	24 de junho de 2026
    PCA de produção do Microsoft Windows 2011	19 de outubro de 2026
    Microsoft Corporation UEFI CA 2011	27 de junho de 2026

• Se um cliente tiver um certificado de 2023, ele precisará agir?
  • Não. Se os certificados Windows UEFI CA 2023 e Microsoft Corporation KEK 2K CA 2023 estiverem presentes, nenhuma outra ação será necessária.
• Um cliente pode migrar para um certificado de 2023 se seus dispositivos estiverem executando o Windows 10 e tiverem ou estiverem prestes a receber uma atualização de segurança estendida (ESU)?
  • Sim, a Microsoft está atualizando certificados ativos para dispositivos Windows 11 no campo e atualizará dispositivos Windows 10 se o dispositivo:
    • Está executando o Windows LTSC 2021
    • Tem uma licença ESU ativada

Voltar ao início

Impacto e recuperação:

• Qual é o impacto de um certificado expirado?
  • Depois que os certificados do Secure Boot expirarem (a partir de junho de 2026), os computadores continuarão a inicializar (com o Secure Boot ativado). No entanto, o computador não recebe mais atualizações para os componentes Gerenciador de Inicialização do Windows e Inicialização Segura usando o Windows Update, colocando-os em um estado de segurança comprometido.
• O que acontece se o Secure Boot for desativado ou alternado em um dispositivo?
  • Às vezes, desabilitar a inicialização segura pode apagar todas as variáveis UEFI ativas, o que significa que todas as CAs de 2023 que já estão sendo usadas no dispositivo podem ser eliminadas (e posteriormente substituídas por CAs 2011 mais antigas do firmware padrão se nunca tiverem sido atualizadas). Em dispositivos Dell, isso ocorrerá se um usuário selecionar a opção Expert Key Mode no menu do BIOS. Nesse caso, as variáveis ativas são extraídas do firmware padrão.
    Nota: Se o BitLocker estiver ativado no dispositivo, talvez seja solicitado que você digite a chave de recuperação do BitLocker.
• Quais ferramentas estão disponíveis para recuperação?
  • A Microsoft lançou uma ferramenta de recuperação manual, mas ela tem limitações. Ferramentas automatizadas para ajudar os clientes ainda estão sendo desenvolvidas.

Voltar ao início

Custos e Duração:

• Há algum custo associado aos novos certificados?
  • Não há custo direto para receber os certificados de 2023 usando o Windows Update, e as CAs de 2023 já estão disponíveis gratuitamente em Orientações de gerenciamento e criação de chave de inicialização segura do Windows . No entanto, as atualizações do BIOS para dispositivos fora de serviço podem exigir intervenção manual ou engajamento do serviço, o que pode incorrer em custos, dependendo dos contratos de suporte.
• Qual é a duração do novo certificado?
  • Os certificados de 2023 são válidos por 15 anos (2038).

Voltar ao início