Como fazer, Notícias

Windows seu Windows tem um prazo de segurança que termina em junho de 2026

por Stefan Dasic | 28 de maio de 2026
Windows portátil

Está a ser implementada uma atualização dos certificados de Secure Boot em todos Windows compatíveis através Windows . Em junho de 2026, os certificados de Secure Boot incluídos no Windows 2011 começarão a expirar, e a Microsoft está a substituí-los por novos certificados com data de 2023.

A boa notícia: se mantiver o seu PC atualizado, provavelmente não precisará de fazer nada. A má notícia: alguns dispositivos mais antigos podem não fazer a transição sem problemas. O seu PC não vai deixar de funcionar de repente, mas, com o tempo, poderá ficar sem proteções de segurança importantes ao nível do arranque sem que se aperceba.

Eis o que se passa, por que é importante e como verificar se a sua máquina cumpre o prazo.

O que é o Secure Boot e o que está a expirar?

O Secure Boot é uma funcionalidade do firmware UEFI integrada em praticamente todos os computadores vendidos desde cerca de 2012. É executado antes Windows começar a carregar, e a sua função é verificar se o carregador de arranque e os primeiros componentes de arranque foram assinados por uma entidade de confiança. Se algo que não conste da lista de confiança tentar inserir-se na cadeia de arranque — um bootkit, por exemplo —, o Secure Boot recusa a sua execução.

Como funciona o Secure Boot

A parte relativa à «entidade de confiança» é o ponto crucial. A confiança é estabelecida através de certificados criptográficos incorporados no firmware da placa-mãe. Os certificados atuais foram emitidos em 2011 e estão agora a chegar ao fim do prazo de validade. Estão envolvidos três certificados específicos:

  • Microsoft Corporation KEK CA 2011: expira a 24 de junho de 2026
  • Microsoft UEFI CA 2011: expira a 27 de junho de 2026
  • Microsoft Windows PCA 2011: expira a 19 de outubro de 2026

A Microsoft está a substituí-los por um conjunto com data de 2023, incluindo Windows CA 2023 e o Microsoft Corporation KEK 2K CA 2023. De acordo com os engenheiros da Microsoft que intervieram numa sessão AMA em março de 2026, os novos certificados são válidos até 2038, estando prevista uma transição separada para a criptografia pós-quântica por volta de 2030 para o hardware futuro.

«O meu computador vai deixar de funcionar?»

Não. Esta é a coisa mais importante a compreender, porque os rumores têm sido mais fortes do que os factos.

Se o prazo terminar e o seu computador continuar a utilizar os certificados de 2011, Windows arrancar, Windows continuará a funcionar e o seu computador continuará a funcionar normalmente.

A novidade é que, nas próprias palavras da Microsoft, o dispositivo «deixará de poder receber novas proteções de segurança» para o processo de arranque inicial, incluindo atualizações do Gestor Windows , bases de dados do Arranque Seguro, listas de revogação e medidas de mitigação para vulnerabilidades a nível do arranque recentemente descobertas.

Em linguagem simples: com o passar do tempo, torna-se cada vez mais difícil proteger o seu computador. Ele está protegido contra as ameaças de arranque conhecidas atualmente, mas não necessariamente contra aquelas que serão descobertas no próximo mês ou no próximo ano.

Isso é um problema porque os bootkits operam por baixo Windows do software antivírus. São executados antes de qualquer outra coisa e podem desativar as ferramentas de segurança que normalmente os detetariam.

O problema do BlackLotus

Se quiser um exemplo concreto da importância da segurança ao nível do arranque, veja o caso do BlackLotus.

O BlackLotus é um bootkit UEFI que surgiu em fóruns de hackers em 2022 e cuja presença em ambiente real foi confirmada por investigadores no início de 2023. Este exploitava a vulnerabilidade CVE-2022-21894, apelidada de «Baton Drop», para contornar a Secure Boot em Windows totalmente atualizados. Uma vez instalado, conseguia desativar o BitLocker, a Integridade de Código Protegida por Hipervisor (HVCI) e o Microsoft Defender antes de Windows carregar Windows .

A Microsoft corrigiu a falha subjacente identificada noCVE-2023-24932, mas corrigir os gestores de arranque vulneráveis de forma segura é complicado. A revogação dos componentes de arranque errados pode tornar os sistemas incapazes de arrancar, razão pela qual a Microsoft tem vindo a implementar proteções gradualmente ao longo de vários anos.

A renovação dos certificados de 2026 é um evento planeado do ciclo de vida (os certificados de 2011 iriam, de qualquer forma, expirar), mas também permite o reforço mais abrangente da Secure Boot que a Microsoft tem vindo a implementar em resposta a gestores de arranque vulneráveis e a ataques como o BlackLotus.

Com as novas âncoras de confiança implementadas, a Microsoft pode continuar a lançar componentes de arranque mais recentes, assinados em 2023, e revogar com segurança os que apresentam vulnerabilidades à medida que surgem novas ameaças. Os dispositivos que não efetuarem a transição poderão, eventualmente, ficar sem essas proteções futuras.

Como funciona a implementação

A Microsoft está a adotar uma implementação faseada, concebida para evitar falhas nos sistemas.

Uma Windows agendada Windows é executada aproximadamente a cada 12 horas e aplica a atualização em etapas:

  1. Adicione a novaCAWindows 2023à base de dados de assinaturas do firmware.
  2. Se o certificado de terceiros antigo de 2011 ainda estiver presente, adicione oMicrosoft UEFI CA 2023eo Microsoft Option ROM UEFI CA 2023juntamente com ele.
  3. Adicione a nova chaveKEK 2K CA 2023 da Microsoft Corporation.
  4. Atualize o Gestor Windows para uma versão assinada pelo novo certificado. Este passo é adiado até ao próximo reinício automático.

De acordo com as orientações da Microsoft para profissionais de TI, estima-se que o processo completo demore cerca de 48 horas e exija uma ou mais reinicializações para ser concluído. Cada etapa deve ser concluída com sucesso antes de se passar à seguinte, pelo que um dispositivo pode ficar parado a meio da sequência durante algum tempo se, por exemplo, estiver à espera de uma atualização de firmware ou de uma reinicialização programada.

Para a maioria dos utilizadores domésticos, isto ocorre silenciosamente em segundo plano, através das habituais atualizações cumulativas.

A partir da Windows de abril de 2026, a aplicação Windows inclui informações atualizadas sobre o estado do Arranque Seguro na secção «Segurança do dispositivo», que indicam se os novos certificados foram aplicados com sucesso.

Definições de arranque seguro

O que é que pode correr mal?

A maioria dos sistemas fará a transição sem problemas, mas existem alguns pontos problemáticos conhecidos:

  • Computadores mais antigos com firmware desatualizado.Algumas implementações mais antigas de firmware UEFI não suportam adequadamente os novos certificados. Estes sistemas podem necessitar de uma atualização do BIOS ou do firmware fornecida pelo fabricante para que a transição possa ser concluída.
  • Computadores que contornaram os requisitos Windows .Se a Secure Boot tiver sido desativada para instalar Windows através de soluções alternativas não oficiais, os novos certificados não poderão ser aplicados corretamente.
  • Sistemas com BIOS tradicional / CSM.Os dispositivos que utilizam BIOS tradicional (ou UEFI com o Módulo de Suporte à Compatibilidade ativado) não utilizam o Secure Boot de todo, pelo que estão totalmente fora do âmbito desta atualização.
  • Firmware personalizado e configurações invulgares.Algumas configurações de firmware personalizadas ou invulgares podem ativar um aviso de recuperação do BitLocker após a alteração das variáveis do Secure Boot. A Microsoft tem tido o cuidado de salientar que o BitLocker em sinãoestá a ser desativado, mas os utilizadores devem ter as suas chaves de recuperação à mão, por via das dúvidas.

Windows relatou ter observado falhas na atualização em milhares de computadores com firmware desatualizado durante os testes. As próprias orientações da Microsoft alertam, de forma mais geral, que limitações de firmware, plataforma e OEM podem impedir a transição. Em muitos casos, Windows assinalará os sistemas afetados com avisos de estado a amarelo ou a vermelho.

O que os utilizadores domésticos devem fazer

Para a maioria das pessoas, o conselho é simples:

  • Mantenha Windows atualizado.A Microsoft está a implementar os novos certificados através Windows normais Windows , e a maioria dos utilizadores domésticos não precisará de fazer nada além de instalar as atualizações mensais.
  • Verifique o estado do Secure Boot (o texto, não apenas a cor).AbraWindows >Segurança do dispositivo>Secure Boot. Um ícone verde com o texto«O Secure Boot está ativado, impedindo que software malicioso seja carregado quando o dispositivo é iniciado.»indica que está tudo em ordem. A Microsoft avisa que uma marca de verificação verde, por si só, não confirma que os novos certificados tenham sido aplicados.
  • Se o seu dispositivo for mais antigo, verifique se existe uma atualização do BIOS/firmware disponível junto do fabricante.Alguns sistemas necessitam dessas atualizações para que a atualização do Secure Boot possa ser concluída corretamente. Isto é especialmente importante para computadores fabricados antes de 2024.
  • Não desative o Secure Boot para «resolver» algum problema.Desativar o Secure Boot é exatamente a resposta errada — isso elimina completamente a proteção, em vez de a atualizar. Alguns sistemas anti-batota de jogos e aplicações mais antigas pedem aos utilizadores que o façam.
  • Não se preocupe com a nova pasta SecureBoot. A atualização cumulativa de maio de 2026 Windows (KB5089549) cria uma pasta em C:\Windows\SecureBoot que contém exemplos de scripts do PowerShell destinados a administradores de TI. Não se trata de malware, é algo esperado e não é necessário eliminá-lo.
  • Utilize uma proteção antimalware atualizada e em tempo real, capaz de detetar ameaças ao nível do sistema operativo, mesmo que alguma delas consiga contornar o Secure Boot.

O que as equipas de TI devem fazer

Se gere uma frota, a Microsoft publicouorientações detalhadase o trabalho é mais complexo. Em resumo:

  • Faça agora o inventário dos seus dispositivos. Recolha o fabricante, o modelo, a versão do BIOS e a data, o produto da placa-mãe e o estado do Secure Boot em toda a frota. A Microsoft disponibiliza um script de exemplo do PowerShell em aka.ms/GetSecureBoot que apresenta as chaves de registo e os IDs de evento relevantes.
  • Fique atento aos IDs de evento 1801 e 1808.O ID de evento 1808 confirma que os novos certificados estão instalados. O ID de evento 1801 significa que o dispositivo não concluiu a atualização.
  • Teste antes da implementação em larga escala.A Microsoft recomenda testar pelo menos quatro dispositivos por cada combinação única de fabricante/modelo/firmware. Alguns sistemas podem necessitar de uma atualização de firmware do fabricante antes de poderem aceitar os novos certificados.
  • Escolha um método de implementação por dispositivo.Utilize chaves do Registo, Política de Grupo, ferramentas de linha de comandos do WinCS ou scripts do Intune/ConfigMgr, mas não misture métodos na mesma máquina.
  • Preste atenção à criação de imagens PXE e ao Hyper-V. Os servidores PXE do SCCM/MECM podem precisar de ser assinados novamente boot.wim, e os anfitriões Hyper-V poderão necessitar de atualização antes da criação de novas máquinas virtuais com o KEK 2023 no modelo de firmware.
  • Identifique os dispositivos que não podem ser atualizados.O hardware mais antigo, sem suporte de firmware do fabricante original, poderá ter de ser substituído antes do prazo ou formalmente aceite como exceção, mediante a implementação de controlos compensatórios. Estes dispositivos continuarão a funcionar, mas poderão não beneficiar de futuras proteções ao nível do arranque.

Conclusão

Este é um daqueles eventos de segurança que não vai causar nenhum incidente grave a 24 de junho de 2026. Nada de visível vai avariar nesse dia.

O risco reside no que acontecerá nos meses e anos seguintes. Os dispositivos que não conseguirem fazer a transição para a nova cadeia de confiança poderão ficar gradualmente desatualizados em relação às futuras proteções ao nível do arranque, à medida que a Microsoft continua a responder a ameaças como o BlackLotus e outros bootkits.

Para a maioria dos utilizadores domésticos, Windows irá tratar da transição automaticamente. A sua principal tarefa é manter o sistema atualizado e verificar o estado do Secure Boot antes do prazo terminar.

Se o seu hardware for mais antigo, este é um bom momento para verificar se o fabricante ainda disponibiliza atualizações de firmware — e se o seu PC está preparado para a próxima década de proteções do Secure Boot.

Prémio «Escolha dos Editores» da CNET 2026

«Uma das melhores suites de cibersegurança do mundo.» 

Segundo a CNET.Leia a análise deles

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

IA
Informações sobre ameaças: As ameaças ocultas

Site falso de download do ChatGPT infecta Mac Windows Mac com malware

maio 28, 2026

Está à procura do ChatGPT? Este site de download falso distribui malware tanto a Mac Windows Mac , utilizando cargas maliciosas distintas, adaptadas a cada plataforma.

Notícias
phishing em grande escala

O kit de phishing Kali365 contorna a autenticação multifator (MFA) e rouba credenciais de login da Microsoft

maio 27, 2026

O FBI alertou que os atacantes estão a utilizar um novo kit de phishing para obter acesso prolongado a contas do Microsoft Outlook, Teams e OneDrive.

Notícias
Telemóvel em cima da mesa

A empresa gabava-se de que os microfones dos telemóveis conseguiam ouvir as conversas. Mas não conseguiam.

maio 27, 2026

A Cox Media afirmou que poderia espiar os utilizadores através dos seus dispositivos e utilizar essas informações para publicidade direcionada, mas isso não era verdade.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes