Perguntas frequentes sobre a transição da inicialização segura

Sistemas operacionais afetados:

• Windows

Sumário

• Informações gerais
• Computadores e atualizações da Dell
• Comunicação e orientação ao cliente
• Impacto e recuperação
• Custos e duração

Informações gerais:

• O que é a transição da chave de inicialização segura?
  • Os certificados atuais de inicialização segura de 2011 da Microsoft começam a expirar em junho de 2026. Eles serão substituídos por uma nova cadeia de certificados de 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Os certificados de 2023 são necessários para a instalação do Windows 11 25H2?
  • Não. Os dispositivos podem instalar o 25H2 usando os certificados de 2011.
• O que acontece quando o certificado de inicialização segura atual expira?
  • O computador ainda consegue inicializar. No entanto, com um certificado expirado, o computador não pode obter atualizações futuras do bootloader ou de inicialização segura.
• Qual é a estratégia de certificado duplo da Dell?
  • Para facilitar a transição, a Dell começou a enviar os certificados 2011 e 2023 em plataformas recém-lançadas no final de 2024 e, até o final de 2025, em todas as plataformas de sustentação enviadas pelas fábricas da Dell. Isso permite que os clientes corporativos com imagens mais antigas inicializem imagens assinadas com qualquer um dos certificados.
• Qual é a diferença entre o banco de dados Ativo e Padrão de inicialização segura?
  • O banco de dados Ativo de inicialização segura é aquele que o computador usa durante a inicialização para verificar o software confiável. O banco de dados Padrão de inicialização segura é um conjunto de backup de chaves confiáveis originais que podem ser restauradas, se necessário.
    Em resumo:
    • Ativo: Atualmente aplicado (geralmente atualizado a partir do Windows Update)
    • Padrão: A versão de redefinição de fábrica não é usada a menos que seja restaurada (atualizada usando uma atualização do BIOS)
    Nota: É importante que o banco de dados Padrão de inicialização segura seja atualizado para os certificados 2023. Caso contrário, se a opção Expert Key Mode for ativada, isso poderá apagar as variáveis ativas provenientes do Windows Update.
• Como o banco de dados Ativo é atualizado?
  • O banco de dados Ativo pode ser atualizado usando o Windows Update. Isso evita interrupções nos recursos de segurança, como o BitLocker. No entanto, se o Windows Update não for uma opção e o cliente for um usuário avançado, o banco de dados Ativo poderá ser substituído usando um comando no BIOS para redefinir as chaves. Consulte Como atualizar o banco de dados Ativo de inicialização segura no BIOS para obter mais informações.
• Como o banco de dados Padrão é atualizado?
  • O banco de dados Padrão é atualizado usando um FLASH do BIOS.
• O que acontece quando o certificado de inicialização segura atual expira?
  • O computador ainda consegue inicializar. No entanto, com um certificado expirado, o computador não pode obter atualizações futuras do bootloader ou de inicialização segura.

Voltar ao início

Computadores e atualizações da Dell:

• Quais computadores da Dell recebem atualizações do BIOS?
  • Atualizações da Dell:
    • Plataformas comerciais e para consumidores com fim da vida útil de serviço (EOSL) após 31 de dezembro de 2025, envio das fábricas da Dell ou em campo
  • A Dell não atualiza:
    • Plataformas com um EOSL antes de 1º de janeiro de 2026. Isso significa que, embora a Microsoft possa disponibilizar os novos certificados, o BIOS nesses computadores mais antigos talvez não os aceite, especialmente se a inicialização segura for ativada ou se os padrões do BIOS forem redefinidos.
• O que a Dell está fazendo para reduzir o impacto para o cliente?
  • Fornecer atualizações do BIOS para plataformas compatíveis até o final de 2025
  • Coordenar com a Microsoft as ferramentas de recuperação
  • Publicação de artigos da base de conhecimento
  • Atualização da mídia inicializável
• E o impacto sobre placas gráficas de terceiros e computadores Linux?
  • Para substituir CAs de terceiros de 2011 prestes a expirar, a Microsoft criou dois novos CAs de terceiros de 2023. Em outras palavras, o CA UEFI 2011 da Microsoft Corporation foi dividido em CA UEFI 2023 da Microsoft (para bootloaders) e CA UEFI 2023 da Microsoft Option ROM (para ROMs opcionais). E já foram feitas atualizações no Hardware Device Center (HDC) da Microsoft para dar suporte à assinatura de drivers de terceiros que precisam desses novos CAs 2023. Embora os parceiros possam começar a assinar com os novos CAs 2023 em outubro de 2025, a Microsoft e os OEMs continuam a oferecer suporte ao CA UEFI 2011 existente da Microsoft Corporation até que o ecossistema tenha tempo suficiente para migrar para os novos CAs 2023.
• Como um cliente empresarial pode obter um novo certificado 2023 para sua frota atual de dispositivos?
  • Clientes empresariais têm a opção de permitir que a Microsoft gerencie as atualizações em seus dispositivos por meio do Windows Update (WU) ou, como alternativa, aplique manualmente as atualizações aos próprios dispositivos da frota. As orientações estão disponíveis aqui: Dispositivos Windows com atualizações gerenciadas pela TI . Além disso, a Dell envia atualizações do BIOS para dispositivos em serviço, que podem ser usadas para alimentar o banco de dados ativo. Para obter instruções, consulte Como atualizar o banco de dados Ativo de inicialização segura no BIOS.
• Há algum requisito específico de hardware para obter esse certificado?
  • Os dispositivos devem permitir inicialização segura e serem compatíveis com atualizações de firmware UEFI. A Dell está validando as plataformas internamente e publicou uma lista de computadores compatíveis no artigo Expiração do certificado de inicialização segura do Microsoft 2011 da base de conhecimento Dell.

Voltar ao início

Comunicação e orientação ao cliente:

• Como a Dell está comunicando isso aos clientes?
  • A Dell publicou uma expiração do certificado de inicialização segura 2011 da Microsoft, atualizada com a lista das plataformas da Dell prontas para atualização. A Dell enviará mensagens adicionais alinhadas com a orientação pública da Microsoft, conforme necessário.
• O que os clientes empresariais devem fazer agora?
  • Planeje as atualizações do BIOS antes da implementação do Windows 25H2, usando a lista de dispositivos Dell mantidos em expiração do certificado de inicialização segura 2011 da Microsoft.
  • Se preferirem gerenciar dispositivos internamente (em vez de por meio do WU), as empresas já poderão começar a atualizar dispositivos com os novos CAs 2023, de acordo com as orientações aqui: Dispositivos Windows com atualizações gerenciadas pela TI .
  • Relate quaisquer problemas de atualização à Dell.
• Como um cliente sabe se tem um certificado 2011 ou 2023?
  • A Microsoft planeja adicionar notificações ao Windows para usuários finais. Além disso, os usuários podem executar o seguinte comando do PowerShell para verificar se têm os CAs 2011 ou 2023 (a metodologia será apresentada em um artigo futuro da base de conhecimento).
• Como um cliente sabe se o certificado expirou ou está prestes a expirar?
  • Computadores com qualquer um dos três certificados (CAs) que expirarão em 2026:

    CAs 2011	Expiration Date
    Microsoft Corporation KEK CA 2011	24 de junho de 2026
    Microsoft Windows Production PCA 2011	19 de outubro de 2026
    Microsoft Corporation UEFI CA 2011	27 de junho de 2026

• Se um cliente tiver um certificado 2023, ele precisará fazer alguma coisa?
  • Não. Se os certificados Windows UEFI CA 2023 e Microsoft Corporation KEK 2K CA 2023 estiverem presentes, nenhuma ação adicional será necessária.
• Um cliente pode mudar para um certificado 2023 se seus dispositivos estiverem executando o Windows 10 e tiverem adquirido ou estiverem prestes a adquirir atualizações de segurança estendidas (ESU)?
  • Sim. A Microsoft está atualizando os certificados ativos para dispositivos Windows 11 em uso e atualizará os dispositivos Windows 10 se o dispositivo:
    • Estiver executando o Windows LTSC 2021
    • Tiver uma licença ESU ativada

Voltar ao início

Impacto e recuperação:

• Qual é o impacto de um certificado expirado?
  • Quando os certificados de inicialização segura expirarem (a partir de junho de 2026), os computadores continuarão a inicializar (com a inicialização segura ativada). No entanto, o computador não receberá mais atualizações para os componentes Gerenciador de inicialização do Windows e Inicialização segura usando o Windows Update, colocando-os em um estado de segurança comprometido.
• O que acontecerá se a inicialização segura for desativada ou ativada em um dispositivo?
  • Às vezes, desativar a inicialização segura pode apagar todas as variáveis UEFI ativas, o que significa que quaisquer CAs 2023 que já estão sendo usados no dispositivo podem ser eliminados (e posteriormente substituídos por CAs 2011 mais antigos do firmware padrão, se ele nunca tiver sido atualizado). Em dispositivos Dell, isso ocorre quando um usuário seleciona a opção Expert Key Mode no menu do BIOS. Nesse caso, as variáveis ativas são extraídas do firmware padrão.
    Nota: Se o BitLocker estiver ativado no dispositivo, você poderá precisar digitar a chave de recuperação do BitLocker.
• Que ferramentas estão disponíveis para recuperação?
  • A Microsoft lançou uma ferramenta de recuperação manual, mas ela tem limitações. Ainda estão sendo desenvolvidas ferramentas automatizadas para ajudar os clientes.

Voltar ao início

Custos e duração:

• Há algum custo associado aos novos certificados?
  • Não há custo direto para receber os certificados 2023 usando o Windows Update, e os CAs 2023 já estão disponíveis gratuitamente em Orientação de criação e gerenciamento de chaves de inicialização segura do Windows . No entanto, as atualizações do BIOS para dispositivos fora de serviço podem exigir intervenção manual ou envolvimento de suporte, o que pode acarretar custos dependendo dos acordos de suporte.
• Qual é a duração do novo certificado?
  • Os certificados 2023 são válidos por 15 anos (2038).

Voltar ao início