Como fazer, Notícias

O prazo final para a segurança Windows seu Windows é junho de 2026

por Stefan Dasic | 28 de maio de 2026
Windows um laptop

Uma atualização dos certificados do Secure Boot está sendo implementada em todos Windows compatíveis por meio Windows . Em junho de 2026, os certificados do Secure Boot que acompanham o Windows 2011 começarão a expirar, e a Microsoft os está substituindo por novos certificados com data de 2023.

A boa notícia: se você mantiver seu PC atualizado, provavelmente não precisará fazer nada. A má notícia: alguns dispositivos mais antigos podem não fazer a transição sem problemas. Seu PC não vai parar de funcionar de repente, mas, com o tempo, ele pode deixar de contar com proteções de segurança importantes no nível de inicialização sem que você perceba.

Veja aqui o que está acontecendo, por que isso é importante e como verificar se o seu equipamento está dentro do prazo.

O que é o Secure Boot e o que está prestes a expirar?

O Secure Boot é um recurso do firmware UEFI integrado a praticamente todos os PCs vendidos desde aproximadamente 2012. Ele é executado antes Windows começar a carregar, e sua função é verificar se o carregador de inicialização e os componentes iniciais do processo de inicialização foram assinados por uma entidade confiável. Se algum elemento que não conste na lista de confiança tentar se inserir na cadeia de inicialização — um bootkit, por exemplo —, o Secure Boot impedirá sua execução.

Como funciona o Secure Boot

A parte relativa à “parte confiável” é o ponto crucial. A confiança é estabelecida por meio de certificados criptográficos integrados ao firmware da placa-mãe. Os certificados atuais foram emitidos em 2011 e estão prestes a expirar. Trata-se de três certificados específicos:

  • Microsoft Corporation KEK CA 2011: expira em 24 de junho de 2026
  • Microsoft UEFI CA 2011: expira em 27 de junho de 2026
  • Microsoft Windows PCA 2011: validade até 19 de outubro de 2026

A Microsoft está substituindo-os por um conjunto com data de 2023, incluindo Windows CA 2023 e o Microsoft Corporation KEK 2K CA 2023. De acordo com engenheiros da Microsoft que se pronunciaram durante uma sessão de perguntas e respostas (AMA) em março de 2026, os novos certificados são válidos até 2038, e está prevista uma transição separada para a criptografia pós-quântica por volta de 2030 para o hardware futuro.

“Meu computador vai parar de funcionar?”

Não. Essa é a coisa mais importante a se entender, porque os boatos têm se sobressaído aos fatos.

Se o prazo expirar e o seu PC ainda estiver usando os certificados de 2011, Windows inicializando, Windows continuará funcionando e o seu PC continuará operando normalmente.

A diferença é que, nas próprias palavras da Microsoft, o dispositivo “não poderá mais receber novas proteções de segurança” para o processo de inicialização inicial, incluindo atualizações do Gerenciador Windows , bancos de dados do Secure Boot, listas de revogação e medidas de mitigação para vulnerabilidades recém-descobertas no nível de inicialização.

Em linguagem simples: com o tempo, fica cada vez mais difícil proteger o seu computador. Ele está protegido contra as ameaças de inicialização conhecidas atualmente, mas não necessariamente contra aquelas que serão descobertas no mês que vem ou no ano que vem.

Isso é um problema porque os bootkits operam por baixo Windows dos programas antivírus. Eles são executados antes de qualquer outra coisa e podem desativar as ferramentas de segurança que normalmente os detectariam.

O problema do BlackLotus

Se você quer um exemplo concreto de por que a segurança no nível de inicialização é importante, dê uma olhada no BlackLotus.

O BlackLotus é um bootkit UEFI que surgiu em fóruns de hackers em 2022 e foi confirmado em ambiente real por pesquisadores no início de 2023. Ele explorava a vulnerabilidade CVE-2022-21894, apelidada de “Baton Drop”, para contornar a Secure Boot em Windows totalmente atualizados. Uma vez instalado, ele era capaz de desativar o BitLocker, a Integridade de Código Protegida por Hypervisor (HVCI) e o Microsoft Defender antes que Windows fosse Windows carregado.

A Microsoft corrigiu a falha subjacente noCVE-2023-24932, mas corrigir gerenciadores de inicialização vulneráveis de forma segura é complicado. Revogar os componentes de inicialização errados pode tornar os sistemas incapazes de inicializar, razão pela qual a Microsoft vem implementando proteções gradualmente ao longo de vários anos.

A renovação dos certificados em 2026 é um evento planejado do ciclo de vida (os certificados de 2011 sempre estariam prestes a expirar), mas também permite o fortalecimento mais abrangente do Secure Boot que a Microsoft vem realizando em resposta a gerenciadores de inicialização vulneráveis e ataques como o BlackLotus.

Com as novas âncoras de confiança implementadas, a Microsoft pode continuar lançando componentes de inicialização mais recentes, assinados em 2023, e revogar com segurança aqueles que apresentam vulnerabilidades à medida que surgem novas ameaças. Os dispositivos que não fizerem a transição poderão acabar ficando sem essas proteções futuras.

Como funciona a implementação

A Microsoft está adotando uma implementação gradual, projetada para evitar falhas nos sistemas.

Uma Windows agendada Windows é executada aproximadamente a cada 12 horas e aplica a atualização em etapas:

  1. Adicione a novaCAWindows 2023ao banco de dados de assinaturas do firmware.
  2. Se o certificado de terceiros antigo de 2011 ainda estiver presente, adicione oMicrosoft UEFI CA 2023eo Microsoft Option ROM UEFI CA 2023junto com ele.
  3. Adicione a nova chaveKEK 2K CA 2023 da Microsoft Corporation.
  4. Atualize o Gerenciador Windows para uma versão assinada pelo novo certificado. Esta etapa será adiada até a próxima reinicialização normal.

De acordo com as orientações da Microsoft para profissionais de TI, estima-se que o processo completo leve cerca de 48 horas e exija uma ou mais reinicializações para ser concluído. Cada etapa deve ser concluída com sucesso antes que a seguinte seja executada; portanto, um dispositivo pode ficar parado no meio da sequência por algum tempo se (por exemplo) estiver aguardando uma atualização de firmware ou uma reinicialização programada.

Para a maioria dos usuários domésticos, isso ocorre silenciosamente em segundo plano por meio das atualizações cumulativas normais.

A partir da Windows de abril de 2026, o aplicativo Windows inclui informações atualizadas sobre o status da Inicialização Segura na seção Segurança do dispositivo, que mostram se os novos certificados foram aplicados com sucesso.

Configurações de inicialização segura

O que poderia dar errado

A maioria dos sistemas fará a transição sem problemas, mas há alguns pontos críticos conhecidos:

  • Computadores mais antigos com firmware desatualizado.Algumas implementações mais antigas de firmware UEFI não oferecem suporte adequado aos novos certificados. Esses sistemas podem exigir uma atualização do BIOS ou do firmware fornecida pelo fabricante para que a transição seja concluída.
  • Computadores que contornaram os requisitos Windows .Se a inicialização segura (Secure Boot) foi desativada para instalar Windows por meio de soluções alternativas não oficiais, os novos certificados não podem ser aplicados corretamente.
  • Sistemas com BIOS tradicional / CSM.Os dispositivos que utilizam BIOS tradicional (ou UEFI com o Módulo de Suporte à Compatibilidade ativado) não utilizam o Secure Boot de forma alguma, pelo que estão totalmente fora do âmbito desta atualização.
  • Firmware personalizado e configurações incomuns.Algumas configurações de firmware personalizadas ou incomuns podem acionar um aviso de recuperação do BitLocker após a alteração das variáveis do Secure Boot. A Microsoft fez questão de esclarecer que o BitLocker em sinãoestá sendo desativado, mas os usuários devem ter suas chaves de recuperação à mão, por precaução.

Windows relatou ter observado falhas na atualização em milhares de PCs com firmware desatualizado durante os testes. As próprias orientações da Microsoft alertam, de forma mais ampla, que limitações de firmware, plataforma e OEM podem impedir a transição. Em muitos casos, Windows sinalizará os sistemas afetados com avisos de status em amarelo ou vermelho.

O que os usuários domésticos devem fazer

Para a maioria das pessoas, o conselho é simples:

  • Mantenha Windows atualizado.A Microsoft está implementando os novos certificados por meio Windows normais Windows , e a maioria dos usuários domésticos não precisará fazer nada além de instalar as atualizações mensais.
  • Verifique o status do Secure Boot (o texto, não apenas a cor).AbraWindows >Segurança do dispositivo>Secure Boot. Um ícone verde com o texto“O Secure Boot está ativado, impedindo que softwares maliciosos sejam carregados quando o dispositivo é inicializado”indica que está tudo em ordem. A Microsoft alerta que uma marca de seleção verde por si só não confirma que os novos certificados foram aplicados.
  • Se o seu dispositivo for mais antigo, verifique se há uma atualização do BIOS/firmware disponível junto ao fabricante.Alguns sistemas precisam dessas atualizações para que a atualização do Secure Boot seja concluída corretamente. Isso é especialmente importante para PCs fabricados antes de 2024.
  • Não desative o Secure Boot para “consertar” alguma coisa.Desativar o Secure Boot é exatamente a atitude errada — isso remove totalmente a proteção, em vez de atualizá-la. Alguns sistemas antitrapaça de jogos e aplicativos mais antigos pedem que os usuários façam isso.
  • Não se preocupe com a nova pasta SecureBoot. A atualização cumulativa de maio de 2026 Windows (KB5089549) cria uma pasta em C:\Windows\SecureBoot contém exemplos de scripts do PowerShell destinados a administradores de TI. Não se trata de malware, é algo esperado e você não precisa excluí-lo.
  • Utilize uma proteção antimalware atualizada e em tempo real, capaz de detectar ameaças no nível do sistema operacional, mesmo que alguma delas consiga passar pela Secure Boot.

O que as equipes de TI devem fazer

Se você gerencia uma frota, a Microsoft publicouorientações detalhadas, e o trabalho é mais complexo. Resumindo:

  • Faça um inventário dos seus dispositivos agora. Obtenha informações sobre o fabricante, o modelo, a versão do BIOS e a data, o produto da placa-mãe e o status do Secure Boot em toda a frota. A Microsoft disponibiliza um script de exemplo do PowerShell em aka.ms/GetSecureBoot que exibe as chaves de registro e os IDs de evento relevantes.
  • Fique atento aos IDs de evento 1801 e 1808.O ID de evento 1808 confirma que os novos certificados estão instalados. O ID de evento 1801 indica que o dispositivo não concluiu a atualização.
  • Faça testes antes da implantação em larga escala.A Microsoft recomenda testar pelo menos quatro dispositivos por combinação única de fabricante/modelo/firmware. Alguns sistemas podem precisar de uma atualização de firmware do fabricante antes de poderem aceitar os novos certificados.
  • Escolha um método de implantação por dispositivo.Use chaves do Registro, Política de Grupo, ferramentas de linha de comando do WinCS ou scripts do Intune/ConfigMgr, mas não misture métodos na mesma máquina.
  • Preste atenção à criação de imagens PXE e ao Hyper-V. Os servidores PXE do SCCM/MECM podem precisar ser assinados novamente boot.wim, e os hosts Hyper-V podem precisar ser atualizados antes que novas VMs sejam criadas com o KEK 2023 no modelo de firmware.
  • Identifique os dispositivos que não podem ser atualizados.Equipamentos mais antigos sem suporte ao firmware do fabricante original (OEM) podem precisar ser substituídos antes do prazo final ou formalmente aceitos como uma exceção, desde que sejam acompanhados de controles compensatórios. Esses dispositivos continuarão funcionando, mas poderão não contar com proteções futuras no nível de inicialização.

Conclusão

Este é um daqueles eventos de segurança que não causará nenhum incidente grave em 24 de junho de 2026. Nada visível irá dar errado naquele dia.

O risco está no que acontecerá nos meses e anos seguintes. Os dispositivos que não conseguirem fazer a transição para a nova cadeia de confiança poderão ficar gradualmente para trás em relação às futuras proteções no nível de inicialização, à medida que a Microsoft continua a responder a ameaças como o BlackLotus e outros bootkits.

Para a maioria dos usuários domésticos, Windows cuidará da transição automaticamente. Sua principal tarefa é manter o sistema atualizado e verificar o status do Secure Boot antes que os prazos se esgotem.

Se o seu hardware for mais antigo, este é um bom momento para verificar se o fabricante ainda oferece atualizações de firmware — e se o seu PC está preparado para a próxima década de proteções do Secure Boot.

Prêmio Escolha dos Editores da CNET 2026

“Um dos melhores pacotes de segurança cibernética do mundo.” 

De acordo com a CNET.Leia a resenha deles

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Violações de dados
mulher e navio de cruzeiro

A Carnival confirma violação de dados que afetou quase 6 milhões de pessoas

Maio 28, 2026

A gigante do setor de cruzeiros Carnival sofreu mais uma violação de dados, com o grupo ShinyHunters alegando ter roubado dados pessoais que afetam quase 6 milhões de pessoas.

IA
Informações sobre ameaças: ameaças ocultas

Site falso de download do ChatGPT infecta Mac Windows Mac com malware

Maio 28, 2026

Está procurando o ChatGPT? Este site falso de download distribui malware tanto para Mac Windows Mac , utilizando cargas maliciosas específicas para cada plataforma.

Notícias
phishing em grande escala

O kit de phishing Kali365 contorna a autenticação de duas etapas (MFA) e rouba credenciais de login da Microsoft

Maio 27, 2026

O FBI alertou que os cibercriminosos estão usando um novo kit de phishing para obter acesso prolongado a contas do Microsoft Outlook, Teams e OneDrive.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes