Guia de atualização do certificado do Windows Secure Boot
Laptops
I. Introdução: Secure Boot e a necessidade de atualização
O Secure Boot é um recurso essencial de segurança projetado para impedir a execução de softwares não autorizados durante a inicialização do sistema. Como o certificado original do Secure Boot de 2011 da Microsoft está programado para expirar em junho de 2026, será necessário substituí-lo pelo certificado mais recente de 2023 para garantir que o sistema continue recebendo atualizações de segurança para os componentes de boot do Windows.
Referência oficial: Act now: Secure Boot certificates expire in June 2026
II. Impactos da expiração do certificado
Mesmo após a expiração do certificado original, o sistema ainda poderá iniciar o Windows normalmente. No entanto, os seguintes impactos podem ocorrer:
- Bloqueio de atualizações de segurança: o sistema não poderá mais receber atualizações específicas para o bootloader do Windows.
- Redução da segurança na inicialização: o processo de boot pode se tornar mais vulnerável a ameaças de baixo nível, como bootkits e malwares pré-sistema operacional.
- Limitações de recuperação: caso arquivos relacionados ao boot sejam corrompidos no futuro, mídias de recuperação mais recentes podem falhar ao iniciar devido a incompatibilidades de certificado detectadas pela BIOS.
III. Como atualizar os certificados do Secure Boot em notebooks MSI
Para a maioria dos usuários, as atualizações necessárias serão distribuídas automaticamente via Windows Update, sem necessidade de ação adicional. O método específico depende da geração do processador:
1. Modelos com processadores Intel 7ª a 11ª geração / AMD Ryzen 3000H a 5000U
Nesses modelos, a atualização do certificado ocorre principalmente por meio de atualizações de segurança do sistema.
- Método recomendado: aguardar o Windows Update distribuir automaticamente os certificados atualizados. A Microsoft prevê concluir esse processo por meio de atualizações cumulativas mensais a partir de 2026.
- Observação: este método requer que o sistema esteja executando Windows 11 ou esteja inscrito no programa Windows 10 Consumer Extended Security Updates (ESU).
- Atualização antecipada: caso seja necessário atualizar antes, consulte o guia oficial da Microsoft para aplicar manualmente o novo certificado.
2. Modelos com processadores Intel 12ª geração / AMD Ryzen 5000H ou mais recentes
A MSI já está disponibilizando versões de BIOS com os novos certificados para essa geração e modelos mais recentes.
- Atualizar a BIOS: acesse a página oficial de suporte da MSI para baixar e instalar a versão mais recente da BIOS que inclua a descrição: "Update Secure Boot Key: Windows UEFI CA 2023 & Microsoft UEFI CA 2023".
- Observação: antes de iniciar a atualização da BIOS, salve a chave de recuperação do BitLocker.
- Ativação do certificado: após atualizar a BIOS, é recomendado aguardar o Windows Update ativar automaticamente os certificados. Caso precise ativar antes, consulte as diretrizes da Microsoft para ativação manual.
3. Atualização manual via Registro (usuários avançados / administradores de TI)
Para testes antecipados ou gestão centralizada de TI, utilize o método de atualização via Registro conforme documentado pela Microsoft.
IV. Verificação: como checar o status da atualização
Você pode verificar se a atualização foi aplicada com sucesso pelo Centro de Segurança do Windows. Para mais detalhes, consulte Secure Startup Credential Update Status in the Windows Security Center application.
Outra opção é verificar o status atual do certificado no Visualizador de Eventos (Logs do Windows → Sistema, Fonte: “TPM-WMI”):
- Status: totalmente atualizado e ativo (Event ID 1808)
Mensagem: “This device has updated Secure Boot CA/keys”, indicando que o novo certificado do Secure Boot foi aplicado com sucesso. - Status: BIOS atualizada, certificado não aplicado (Event ID 1801)
Mensagem: “Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection.”
Ação: abra o Windows Update para permitir que as atualizações cumulativas mensais da Microsoft ativem automaticamente o novo certificado. Para remover imediatamente o Event ID 1801, utilize o método de atualização manual. - Status: versão da BIOS não inclui o novo certificado (Event ID 1801)
Mensagem: “Need to update Secure Boot CA/keys.”
Ação: abra o Windows Update e aguarde as atualizações cumulativas mensais da Microsoft para instalar automaticamente o novo certificado.
