As atualizações do Secure Boot do Windows 11 de 2023 falham em alguns PCs, revelando problemas mais amplos de firmware.

As atualizações do Secure Boot do Windows 11 de 2023 falham em alguns PCs, revelando problemas mais amplos de firmware.

Desde sua criação em 2011, o Secure Boot tem apoiado discretamente o ecossistema de PCs, mas de 2023 a 2025, ganhou destaque inesperado, para grande desgosto da Microsoft, OEMs e fornecedores de firmware. O que antes era um recurso de segurança discreto tornou-se notícia de primeira página, à medida que a implementação do certificado CA-2023 revelou inconsistências persistentes nas implementações de firmware, gerenciamento de certificados e processos de atualização em toda a indústria de PCs. Infelizmente, os resultados não foram nem esclarecedores nem agradáveis.

Os usuários do Windows enfrentaram uma série desconcertante de complicações, incluindo avisos de inicialização confusos, sequências de inicialização interrompidas e conselhos pouco claros ou contraditórios dos fornecedores. Em vez de promover confiança e confiabilidade, a Inicialização Segura parecia introduzir uma camada de incerteza e frustração.

Este artigo desvenda as complexidades que envolvem a Inicialização Segura (Secure Boot), abordando sua função, importância, as implicações da CA-2023, erros de fornecedores e soluções práticas para usuários que enfrentam falhas na atualização da Inicialização Segura. Desmistificarei cada sigla, guiarei você detalhadamente pela cadeia de confiança e compartilharei insights de uma experiência desafiadora gerenciando minha frota de 10 a 15 PCs para atender às regulamentações da Inicialização Segura usando os certificados de inicialização CA-2023. Essa jornada foi fundamental para expandir meu conhecimento sobre o assunto.

Entendendo a Inicialização Segura e sua Importância

O Secure Boot, um componente integral definido pela Unified Extensible Firmware Interface (UEFI), a substituta moderna da Intel para o BIOS legado, foi projetado para garantir que apenas carregadores de inicialização e componentes do sistema operacional confiáveis ​​e assinados sejam executados durante a inicialização do sistema.

O painel de segurança do Windows ajuda a confirmar se os recursos de segurança de hardware estão ativos.
Funcionalidade de Inicialização Segura, conforme mostrado no painel de segurança do Windows.

O processo de Inicialização Segura (Secure Boot) depende de um conjunto de chaves criptográficas armazenadas no firmware, que determinam a legitimidade do que é permitido e do que é proibido.

Componentes-chave da inicialização segura

Chave da Plataforma (PK) : O identificador principal do proprietário do sistema, normalmente instalado pelos fabricantes de equipamentos originais (OEMs) durante a fabricação. O detentor da PK controla as configurações de Inicialização Segura.

Chave de Troca de Chaves (KEK) : Esta chave gerencia as atualizações dos bancos de dados de Inicialização Segura. Normalmente mantida pela Microsoft, OEMs ou administradores corporativos, uma KEK válida permite que terceiros certificados atualizem certificados e bancos de dados mantidos pela UEFI.

Banco de dados de assinaturas permitidas (DB) : Contém hashes e certificados para bootloaders e componentes do sistema operacional confiáveis. Se uma assinatura corresponder a uma entrada no DB, o firmware permite sua execução.

Banco de Dados de Assinaturas Proibidas (DBX) : Esta lista bloqueia qualquer item anteriormente confiável que tenha sido comprometido. As atualizações do DBX são essenciais para revogar bootloaders vulneráveis. A CA-2011 iniciou esses processos de revogação, com planos da Microsoft de descontinuá-la gradualmente em 2026, adotando progressivamente a CA-2023.

Por que a inicialização segura é vital?

A Inicialização Segura visa impedir rootkits, bootkits e outras ameaças de malware pré-sistema operacional. Uma vez que os invasores obtêm acesso à cadeia de inicialização, eles podem evitar a detecção e operar sem serem identificados. A Inicialização Segura oferece uma proteção vital contra essas incursões.

Embora a Inicialização Segura seja teoricamente uma solução robusta, sua implementação no mundo real muitas vezes se mostra complexa e fragmentada. Sua importância cresceu e, embora funcione eficazmente quando implementada corretamente, podem surgir problemas que consomem tempo e são frustrantes para os usuários.

O acordo CA-2023 que chamou a atenção.

No início de 2023, a Microsoft divulgou uma grave vulnerabilidade de segurança relacionada a versões antigas dos binários do Gerenciador de Inicialização do Windows, que poderia permitir a evasão dos protocolos de Inicialização Segura. Em resposta, a Microsoft lançou a atualização de revogação CA-2023 DBX, que impediu a operação de carregadores de inicialização com falhas e introduziu um novo carregador de inicialização assinado com um certificado correspondente, resistente a essas vulnerabilidades.

Razões por trás desta ação

Atores maliciosos começaram a explorar bootloaders desatualizados para burlar as proteções do Secure Boot. Portanto, revogar esses binários era crucial para manter a integridade do ecossistema.

Por que isso comprometeu os sistemas?

Diversos fabricantes de equipamentos originais (OEMs) enfrentaram o seguinte desafio:

  • Configurações de firmware desatualizadas
  • Implementação desigual de DB/DBX
  • Processos de atualização falhos
  • Implementações não padronizadas de Inicialização Segura
  • Configurações de chave incompletas ou incorretas
  • Firmware ignorando atualizações DBX
  • Firmware efetivamente inutiliza sistemas após atualizações do DBX

Esse processo de revogação evidenciou anos de dívida técnica não resolvida. Muitas vezes, a simples tentativa de atualização resultava em falhas significativas, impedindo a reinicialização dos PCs ou, em casos graves, impedindo-os de inicializar.

Consequências da CA-2023

Milhões de computadores apresentaram um ou mais problemas, tais como:

  • Inicialização segura ativada, mas falha ao aplicar revogações.
  • Inicialização segura desativada devido a falhas nas atualizações.
  • Inicialização segura travada no “Modo de Usuário” com chaves incompatíveis.
  • Sistemas que não inicializam após atualizações do DBX
  • Firmware que resistiu à implementação da atualização CA-2023

Essa crise não se restringiu à Microsoft, mas representou uma deficiência coletiva em todo o setor. Usuários com sistemas afetados enfrentaram inúmeros desafios. Por exemplo, meu PC com Ryzen 5 baseado na placa-mãe ASRock B550 Extreme4 apresentou diversos problemas, o que me levou a, por fim, substituir a placa-mãe.

Decifrando a “Cadeia de Inicialização Segura”

Para compreender a turbulência causada pelo CA-2023, devemos analisar sistematicamente a cadeia de confiança:

  1. O firmware verifica a validade da chave pública (PK).
  2. O firmware autentica os KEKs para atualizações de DB e DBX.
  3. O firmware carrega os bancos de dados DB e DBX, definindo as ações permitidas e proibidas.
  4. O firmware verifica o bootloader. Se ele corresponder a uma entrada no banco de dados e estiver ausente do DBX, a execução prossegue.
  5. O carregador de inicialização inspeciona os componentes do sistema operacional, validando assinaturas em winload.efidrivers e vários componentes de inicialização.
  6. O sistema operacional inicializa com a confiança verificada e a operação normal é retomada.

No entanto, essas etapas apresentam amplas oportunidades para complicações. Uma infinidade de problemas pode interromper o processo, incluindo:

  • Assinatura ausente no banco de dados
  • KEKs desatualizados
  • Um PK incorreto
  • Gerenciamento inadequado de atualizações de firmware
  • Carregadores de inicialização incompatíveis (já que o Windows pode utilizar uma cópia diferente da partição EFI em comparação com a instância armazenada em C:\Windows)

Essas discrepâncias podem resultar na falha inadvertida do Secure Boot em aplicar seus protocolos de segurança. Por exemplo, meu sistema apresentou mensagens errôneas sobre “alterações na CPU”, complicando ainda mais o processo de inicialização.

Desafios comuns de inicialização segura por parte dos fabricantes de placas-mãe

A implementação da norma CA-2023 evidenciou disparidades significativas na proficiência de firmware entre diferentes fornecedores. Algumas máquinas funcionaram perfeitamente, enquanto outras enfrentaram desafios que variaram de pequenos problemas a falhas totais. Vamos analisar como os diversos fabricantes lidaram com essas dificuldades.

ASUS: Muitas placas-mãe ASUS inicialmente exigiam a desativação da Inicialização Segura para aplicar as atualizações do DBX, resultando em um cenário paradoxal. Em outros casos, as atualizações deixavam os sistemas em um estado “semi-revogado”.

MSI: Diversas placas-mãe da MSI apresentaram problemas com:

  • Tratamento inconsistente de atualizações DBX
  • Firmware ignorando atualizações
  • Modos de inicialização segura incompatíveis com os rótulos da interface do usuário.
  • Reversão inesperada para as chaves de fábrica.

ASRock: Os usuários frequentemente se deparavam com a necessidade de intervenção manual, incluindo:

  • Limpeza de chaves
  • Restauração das configurações de fábrica
  • Recadastramento de chaves da Microsoft
  • Aplicativo de atualização manual DBX

A documentação era frequentemente insuficiente, deixando muitos usuários inseguros. Por exemplo, minhas duas placas-mãe B550 Extreme4, aparentemente idênticas, apresentaram reconciliações de atualização completamente diferentes, causando grande frustração.

Fabricantes de equipamentos originais (OEMs) (Dell, HP, Lenovo, etc.): Geralmente lidaram melhor com a situação, mas ainda enfrentaram:

  • Cronogramas de implementação desiguais
  • Agendamento inconsistente de atualizações de BIOS/UEFI
  • Sistemas que exigem múltiplas reinicializações para alterações no DBX

Ao pesquisar fóruns como answers.microsoft.com, TenForums.com e TechPowerUp.com, diversos usuários relataram problemas com a Inicialização Segura (Secure Boot) em laptops e desktops, especialmente em sistemas personalizados e modelos de nicho. Muitos usuários buscavam soluções em silêncio.

Solução de falhas na atualização do Secure Boot

Utilizando as informações do sistema (msinfo32) para verificar o status da Inicialização Segura.
Utilizando o utilitário Informações do Sistema para confirmar o status da Inicialização Segura no Windows

Quando a Inicialização Segura falha, os usuários podem se deparar com situações em que as atualizações do Windows indicam sucesso sem, de fato, alterar a DBX (lista de revogação).Os sistemas podem aparentar ter a Inicialização Segura ativada, mesmo sem impor suas restrições ou, em última instância, inicializar sem as verificações de conformidade. Isso pode levar a discrepâncias no carregador de inicialização e outros problemas, agravados por hardware instável.

Chaves incompatíveis (PK/KEK/DB/DBX) : Se a PK ou KEK estiver desatualizada, isso pode impedir que o firmware aceite atualizações do banco de dados. As correções recomendadas incluem:

  • Restaurar as configurações de fábrica ou as chaves padrão (geralmente acessível na UEFI quando a Inicialização Segura está no modo Personalizado).
  • Reinstale as chaves da Microsoft (a reaplicação de uma atualização da Microsoft pode exigir isso).

Firmware ignorando atualizações de DB ou DBX : Alguns PCs podem exigir ações específicas para habilitar as atualizações, como desativar temporariamente a Inicialização Segura ou o Módulo de Suporte de Compatibilidade (CSM).Pode ser necessário experimentar diferentes configurações para encontrar a solução.

Bootloaders desatualizados : O uso de mídias de instalação do Windows mais antigas pode resultar em bootloaders que não são mais compatíveis com os padrões de Inicialização Segura. Essa complicação tende a aumentar à medida que a Microsoft revoga cada vez mais os componentes CA-2011. As táticas de reparo recomendadas incluem:

  • Execute o Windows Update para substituir os carregadores de inicialização desatualizados pelas versões mais recentes.
  • Reconstrua os arquivos de inicialização usando o bcdbootutilitário.
  • Verifique se a partição EFI está funcional e repare-a, se necessário.

Bugs ou anomalias do firmware : É recomendável atualizar ou reinstalar a UEFI antes de ativar a Inicialização Segura, principalmente em dispositivos mais antigos. Se houver atualizações de firmware disponíveis, considere estas recomendações:

  • Utilize a versão estável mais recente do firmware.
  • Aplique as atualizações ou pacotes fornecidos pelo fornecedor para alterações no banco de dados do Secure Boot.
  • Permita que o Windows Update funcione assim que o firmware estiver atualizado.

Ao seguir uma abordagem sistemática e dar ênfase às atualizações de firmware e do Windows, os usuários podem reduzir o risco de encontrar problemas relacionados à Inicialização Segura.

Utilizando ferramentas da comunidade para resolver problemas de inicialização segura

A implementação do CA-2023 facilitou o surgimento de soluções impulsionadas pela comunidade, aprimorando a experiência do usuário. Notavelmente, o membro da comunidade Garlin criou scripts úteis em PowerShell que auxiliam significativamente os usuários, contribuindo significativamente para revelar as operações subjacentes do firmware.

Seus scripts oferecem diversas funções, incluindo:

  • Enumeração das chaves de inicialização segura
  • Validação de entradas DB/DBX
  • Detecção de bootloaders incompatíveis
  • Verificação do status de aplicação da lei
  • Geração de relatórios detalhados do sistema
Saída do script Check_UEFI-CA2023.ps1 no computador desktop MSI MAG B550.
Saída do script Check_UEFI-CA2023.ps1 em um desktop MSI MAG B550

Os resultados dos scripts de Garlin revelam a presença de chaves de troca de chaves (KEKs) das Autoridades Certificadoras 2011 e 2023, juntamente com a Autoridade Certificadora UEFI 2011 e diversas entradas da Autoridade Certificadora 2023. Apesar da ausência de certificados DBX, isso ilustra o estado atual de forma eficaz.

Importância destes scripts : A maioria dos fornecedores oferece visibilidade limitada da condição completa do Secure Boot de um PC, e a inconsistência nas interfaces de firmware dificulta o diagnóstico. Os scripts de Garlin provam ser cruciais para desmistificar o processo de Secure Boot, revelando informações mais detalhadas sobre as atualizações e correções necessárias.

Etapas a seguir quando a Inicialização Segura não implementa atualizações

Aqui está um fluxo de trabalho estruturado para restaurar a funcionalidade de Inicialização Segura:

  1. Verificar o estado atual : Use o PowerShell ou os scripts de Garlin para investigar:
  • PK
  • KEK
  • DB
  • DBX
  • Situação de aplicação da lei
  • Versões do bootloader
  • Atualização de firmware : Baixe e instale a atualização mais recente da BIOS/UEFI.
  • Restaurar as chaves para os padrões de fábrica : Desative temporariamente a Inicialização Segura, defina para o modo Personalizado e, em seguida, restaure ou redefina as chaves de fábrica.
  • Reative a Inicialização Segura : Certifique-se de que o CSM esteja desativado para permitir que a Inicialização Segura funcione.
  • Aplicar atualizações do DBX : Utilize o Windows Update ou os pacotes de atualização do fornecedor para implementar as atualizações.
  • Recriar arquivos de inicialização (se necessário) : Execute o comando bcdboot C:\Windows /f UEFIpara recriar os arquivos de inicialização conforme necessário.
  • Verificar novamente o estado : Confirme se o DBX inclui entradas do CA 2023 usando o script de Garlin.
    • A execução de scripts do PowerShell está bloqueada pelas configurações padrão.
    Scripts do PowerShell de fontes de terceiros podem exigir desbloqueio para serem executados.

    Recomendações para uma reformulação do Secure Boot

    Embora a implementação do CA 2023 e os esforços contínuos para modernizar a conformidade com o Secure Boot tenham apresentado avanços promissores, também evidenciaram falhas e inconsistências críticas no sistema. Os fabricantes de equipamentos originais (OEMs) precisam aprimorar a padronização e a coerência nas implementações de firmware, além de fornecer melhor documentação e orientações para solução de problemas.

    Atualmente, os processos de atualização são frágeis, apresentando riscos de complicações que afetam o funcionamento normal. Enfrentei desafios frustrantes com minha placa-mãe ASRock, em nítido contraste com o funcionamento perfeito dos meus dispositivos Lenovo. Essa grande diferença evidencia que a integridade da Inicialização Segura (Secure Boot) é tão forte quanto seu componente mais frágil, tornando os procedimentos de atualização desnecessariamente complicados.

    Responsabilidades da Microsoft, dos OEMs e dos usuários

    Todas as partes envolvidas devem colaborar para aprimorar o estado atual da Inicialização Segura. A Microsoft deve impor diretrizes mais rigorosas para certificação e melhorar as ferramentas de diagnóstico. Os fabricantes de equipamentos originais (OEMs) devem padronizar os comportamentos do firmware de forma mais abrangente e testar minuciosamente as atualizações do banco de dados. Quanto aos usuários, manter medidas de segurança vigilantes por meio de atualizações regulares de firmware e gerenciamento ativo do status da Inicialização Segura é essencial.

    Para cumprir a promessa do Secure Boot como medida de proteção contra invasões não autorizadas do sistema, todas as partes interessadas devem agir de forma decisiva e responsável. Assumir esse compromisso garante um ambiente computacional confiável e seguro.

    A relevância contínua do Secure Boot

    A Inicialização Segura continua sendo um componente crítico da estrutura de segurança do Windows, mas a experiência com a CA 2023 ressalta a necessidade de melhorias sistêmicas. Felizmente, o setor está se adaptando; os fornecedores de firmware estão evoluindo, a Microsoft está implementando protocolos mais rigorosos e recursos da comunidade estão surgindo para preencher lacunas. No entanto, a confiança exige diligência e reafirmação contínua, e a Inicialização Segura não é exceção.

    Ao lidar com os desafios da Inicialização Segura, fique atento ao tempo gasto na resolução dos problemas. Uma correção que leve meio dia é aceitável; além disso, pode ser necessário explorar alternativas ou considerar a substituição de hardware. Embora o Windows possa funcionar sem a Inicialização Segura, soluções de longo prazo podem envolver a atualização de hardware ou a reconsideração das configurações do sistema. A escolha é sua!

    Fonte e imagens

    Artigos relacionados:

    A atualização KB5086672 do Windows 11 foi lançada após a Microsoft retirar a atualização opcional de março de 2026.
    Aumente o desempenho da web com o carregamento lento nativo de vídeo e áudio do Google Chrome.

    Deixe um comentário

    O seu endereço de email não será publicado. Campos obrigatórios marcados com *