A Microsoft começou recentemente a substituir certificados expirados de inicialização segura em sistemas Windows 11 qualificados executando 24H2 e 25H2, de acordo com um relatório da BleepingComputer. Atualizar: A partir de 9 de março, a Microsoft começou a lançar certificados de inicialização segura atualizados por meio da atualização de chave de troca de chave permitida de inicialização segura (KEK) para mais PCs, relata o Windows Latest. A atualização está sendo disponibilizada através do Windows Update, mas o lançamento é gradual, então talvez você ainda não a veja.

A inicialização segura é um recurso de segurança importante que impede a execução de software malicioso durante a inicialização do sistema. Faz parte do UEFI/BIOS do Windows e compara as assinaturas digitais do software com chaves específicas armazenadas no sistema.

A Microsoft alertou em novembro que os certificados de inicialização segura para a maioria dos dispositivos Windows atualmente em uso expirarão em junho de 2026. Os administradores de TI, em particular, devem agir logo para evitar problemas com os dispositivos afetados.

“Sem atualizações, os dispositivos Windows com inicialização segura habilitada correm o risco de não receber atualizações de segurança ou de não confiar em novos carregadores de inicialização, o que compromete a capacidade de manutenção e a segurança”, explica a Microsoft.

Quem é afetado?

Segundo a Microsoft, os dispositivos fabricados antes de 2024 serão particularmente afetados. Os PCs Windows mais recentes já possuem os certificados mais recentes.

Além disso, apenas os usuários cujos dispositivos também iniciam no modo Secure Boot são afetados. Se não for esse o caso, não haverá problemas. Você pode testar se o seu PC inicia com inicialização segura ativando Ganhar + Rinserindo “msinfo32”, e verificando o valor de Status de inicialização segura. Se diz Sobrea inicialização segura está ativa.

O que você pode fazer

Para verificar o status do certificado atualmente em uso, proceda da seguinte forma:

1. Abra o Windows Powershell com direitos de administrador.
2. Digite o seguinte comando: (System.Text.Encoding)::ASCII. GetString((Get-SecureBootUEFI db).bytes)
3. Na melhor das hipóteses, você deverá ver pelo menos um certificado atual com o carimbo de data/hora 2023, por exemplo MicrosoftUEFICertificateAuthority_2023.cer
4. Dica: Com a adição de -match ‘Windows UEFI CA 2023’você também pode filtrar diretamente pelo certificado que está procurando e receber Verdadeiro ou Falso como a resposta.

Se, por outro lado, os certificados forem mais antigos, existe uma grande probabilidade de surgirem problemas o mais tardar em junho. Portanto, você deve instalar os novos certificados antecipadamente.

Se isso não funcionar, você pode abrir o Editor do Registro do Windows e verificar em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing. WindowsUEFICA2023Capaz não deve ter o valor 0 aqui, caso contrário o certificado não estará disponível.

Segundo a Microsoft, instalar uma série de atualizações de qualidade do Windows deve ser suficiente. Depois que um número suficiente de “sinais de atualização bem-sucedidos” for enviado, a Microsoft poderá “garantir uma implantação segura e gradual”. Você também deve permitir que seu PC envie dados de diagnóstico para a Microsoft.

Alternativamente, as empresas também podem obter certificados de inicialização segura usando chaves de registro especiais ou o sistema de configuração do Windows (WinCS). Para obter mais informações, consulte o guia oficial da Microsoft.