Security

Windows Secure Boot 2026: atualização dos certificados

3 min de leitura

Resumo

A Microsoft confirmou que os certificados originais do Secure Boot introduzidos em 2011 começam a expirar no final de junho de 2026 e está a distribuir novos certificados através das atualizações mensais do Windows, em coordenação com OEMs e fornecedores de UEFI. Isto é importante porque, sem esta atualização, os dispositivos podem continuar a arrancar, mas deixam de conseguir receber futuras proteções ao nível do arranque, criando um risco de segurança e um prazo claro para as equipas de TI se prepararem.

Precisa de ajuda com Security?Fale com um especialista

Introdução: porque isto importa

O Secure Boot é uma das proteções mais importantes do Windows no momento do arranque, garantindo que apenas componentes fidedignos e assinados digitalmente são executados antes de o OS carregar. Essa confiança está ancorada em certificados armazenados no firmware UEFI — e a Microsoft confirmou que os certificados originais do Secure Boot introduzidos em 2011 estão a chegar ao fim do seu ciclo de vida e começam a expirar no final de junho de 2026. Para as equipas de TI, trata-se de um evento de manutenção de segurança com prazo definido e impacto em todo o ecossistema: se os dispositivos falharem a atualização de certificados, poderão continuar a arrancar, mas vão perder a capacidade de receber futuras proteções ao nível do arranque.

O que há de novo

A “root of trust” do Secure Boot está a ser atualizada

  • Os certificados de longa duração do Secure Boot começam a expirar no final de junho de 2026.
  • Novos certificados estão a ser implementados em dispositivos Windows com suporte através da cadência normal das atualizações mensais do Windows.
  • Este é um esforço coordenado entre o servicing do Windows, o firmware do OEM e os fornecedores de UEFI para minimizar risco e disrupção.

Preparação alargada dos OEM (especialmente em dispositivos mais recentes)

  • Muitos PCs fabricados desde 2024 — e praticamente todos os dispositivos enviados em 2025 — já incluem os certificados atualizados.
  • Para um subconjunto menor de dispositivos no mercado, a aplicação dos novos certificados pode exigir primeiro uma atualização de firmware do OEM.

Melhor visibilidade e implementação faseada

  • A Microsoft está a implementar a alteração com uma abordagem cuidadosa e faseada, suportada por testes e por readiness baseada em telemetria.
  • Nos próximos meses, é expectável que surjam mensagens de estado sobre atualizações de certificados na app Windows Security para ajudar os utilizadores a acompanhar o progresso.

Impacto para administradores de TI e utilizadores finais

Se os dispositivos não receberem os novos certificados a tempo

  • É provável que os dispositivos continuem a funcionar e que o software existente continue a executar.
  • No entanto, entram num estado de segurança degradado e poderão não conseguir receber futuras mitigações ao nível do arranque (por exemplo, quando forem descobertas novas vulnerabilidades de arranque).
  • Com o tempo, aumentam os riscos de compatibilidade: OS/firmware/hardware mais recentes ou software dependente do Secure Boot podem falhar no carregamento.

Versões do Windows sem suporte são um risco-chave

  • Dispositivos em versões sem suporte (notavelmente o Windows 10 após o fim do suporte a 14 de outubro de 2025, a menos que estejam inscritos no ESU) não vão receber as atualizações via Windows Update.
  • Esses endpoints devem ser tratados como itens prioritários de remediação (atualizar/substituir ou garantir elegibilidade para ESU e uma estratégia de atualização).

Ações recomendadas / próximos passos

  1. Inventário e âmbito
    • Identifique todos os endpoints Windows e Windows Server no âmbito, incluindo quiosques, servidores especializados e dispositivos IoT/edge que possam ter servicing atípico.
  2. Validar o caminho de servicing
    • Confirme que os dispositivos estão a receber as mais recentes atualizações cumulativas mensais (geridas pela Microsoft quando aplicável).
    • Garanta que os requisitos de diagnóstico/telemetria usados para validação de readiness estão alinhados com as políticas da sua organização.
  3. Verificação de prontidão do firmware
    • Reveja proativamente os avisos e páginas de suporte dos OEM (Dell/HP/Lenovo e outros) e agende as atualizações necessárias de UEFI/firmware.
    • Faça um piloto das atualizações de firmware em modelos de hardware representativos antes de uma implementação alargada.
  4. Planear exceções
    • Para dispositivos cuja validação não seja segura através da abordagem faseada da Microsoft, use a orientação do playbook para administradores de TI da Microsoft e as suas ferramentas existentes (Intune, Configuration Manager ou de terceiros) para implementar e monitorizar.
  5. Preparar runbooks de suporte
    • Passos de primeira linha: aplicar as mais recentes atualizações do Windows, verificar o firmware do OEM mais recente e, em seguida, escalar via canais de suporte da Microsoft/OEM se os problemas persistirem.

Precisa de ajuda com Security?

Nossos especialistas podem ajudá-lo a implementar e otimizar suas soluções Microsoft.

Fale com um especialista

Fique atualizado sobre as tecnologias Microsoft

Ler o artigo original de Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Posts relacionados

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.