O prazo do Secure Boot chegou: o que checar agora no Windows antes de sobrar para o BitLocker

Tem muito barulho errado em cima do prazo do Secure Boot em junho de 2026. A leitura apressada parece dramática demais: como se um monte de PCs Windows fosse simplesmente parar de funcionar agora.

Não é isso que a Microsoft está dizendo.

O problema real é mais traiçoeiro. A máquina pode continuar ligando normalmente e recebendo update mensal, mas ficar sem as próximas proteções de boot se ainda estiver presa aos certificados de 2011. E, quando esse atraso encontra firmware velho, parque misto e BitLocker ativo, o assunto sai da documentação e vira problema de operação.

Captura de tela do Windows Security mostrando a área de Secure Boot para verificar o status da proteção.
Tela de status do Secure Boot no Windows Security, útil para checar se o dispositivo já recebeu a atualização dos certificados. Fonte: Malwarebytes.

O que vence em junho de 2026 de verdade

A Microsoft está trocando os certificados de Secure Boot emitidos em 2011 por versões de 2023. Entre os marcos mais importantes estão:

  • Microsoft Corporation KEK CA 2011: expira em 24 de junho de 2026
  • Microsoft UEFI CA 2011: expira em 27 de junho de 2026
  • Microsoft Windows Production PCA 2011: expira em 19 de outubro de 2026

Esses certificados fazem parte da cadeia de confiança usada antes do Windows subir. É por isso que o tema importa: não é “só mais um detalhe de update”. É a base que permite validar boot manager, bancos do Secure Boot, listas de revogação e correções futuras contra falhas de boot.

O que não acontece hoje

Esse é o ponto que mais vale fixar: o Windows não deixa de inicializar automaticamente só porque o prazo chegou.

A própria Microsoft diz que dispositivos não atualizados podem continuar iniciando normalmente e recebendo updates padrão do Windows. O que muda é outra coisa: esses dispositivos podem deixar de receber novas proteções de Secure Boot para componentes de boot.

Na prática, o PC segue vivo, mas vai ficando para trás justamente na camada que deveria proteger o começo da partida.

Onde a dor operacional aparece de verdade

Se fosse só um relógio correndo no calendário, o tema seria bem menor. O problema é que a transição não é totalmente neutra em ambientes antigos.

A documentação da Microsoft cita cenários em que firmware desatualizado ou incompatibilidades na aplicação dos certificados podem gerar:

  • erro de validação do Secure Boot
  • prompt de recuperação do BitLocker
  • loop de recovery
  • travamento na inicialização
  • falha de boot

É por isso que a recomendação oficial insiste em atualizar firmware antes, testar com piloto real e não empurrar tudo no escuro.

Notebook Windows com contexto de Secure Boot, usado como imagem de apoio para checagem de firmware e boot.
Imagem contextual de notebook com Secure Boot e painel de configuração, usada como apoio visual para a checagem do ambiente antes do rollout. Fonte: Malwarebytes.

Como saber se o seu parque ainda está atrasado

A leitura útil aqui não é “Secure Boot está ligado ou desligado?”. A Microsoft pede sinais mais específicos de prontidão:

  • status do Secure Boot indicando que o dispositivo não foi atualizado
  • Event ID 1801 no log do sistema
  • Event ID 1795 em cenários com falha
  • valor de registro UEFICA2023Status diferente de Updated

Para usuário final, o caminho mais simples é olhar o Windows Security > Device security > Secure Boot e conferir o texto do status, não só a cor do selo.

Para times de infra, a recomendação é inventariar fabricante, modelo, BIOS/firmware, status do Secure Boot e sinais de evento antes do rollout amplo.

O checklist que faz sentido nesta semana

Se você cuida de endpoints Windows, o movimento mais seguro agora é este:

1. Descobrir onde ainda existem certificados de 2011

Sem inventário, a operação vai trabalhar no escuro. O primeiro passo é saber quais máquinas ainda não fizeram a transição para a cadeia de 2023.

2. Atualizar firmware OEM antes de mexer no resto

Essa parte aparece com força nas orientações da Microsoft por um motivo simples: muito problema de transição nasce em firmware antigo.

3. Fazer piloto com parque real

Não adianta validar só nas máquinas “bonitinhas”. O piloto precisa incluir:

  • fabricantes diferentes
  • versões diferentes de firmware
  • máquinas com BitLocker ativo
  • cenários de reboot natural

4. Observar se houve reboot pendente e atualização completa

A Microsoft explica que a tarefa agendada roda em etapas e pode levar cerca de 48 horas, além de depender de reinicialização natural para concluir a troca do boot manager.

5. Só depois escalar rollout

Intune, registro, CSP e GPO entram depois. Se a base ainda tem firmware inconsistente, automatizar cedo demais só acelera o estrago.

Por que isso conversa tão rápido com BitLocker

BitLocker não entra nessa história como “culpado”. Ele entra como consequência previsível.

Quando a cadeia de boot muda, o ambiente de confiança muda junto. Se o parque já está envelhecido, heterogêneo ou mal documentado, a chance de o BitLocker pedir recuperação sobe — e aí o problema deixa de ser técnico apenas. Vira fila de suporte, usuário travado e corrida atrás de recovery key.

Por isso o tema interessa menos a quem pensa em “notícia de Windows” e mais a quem pensa em custo operacional.

O resumo honesto

O prazo do Secure Boot em junho de 2026 não é o fim do seu parque Windows. Mas também não é um detalhe para ignorar.

O risco real é continuar com máquinas que ligam normalmente, mas perdem a capacidade de acompanhar as próximas proteções de boot. E, quando a correção chega tarde num ambiente com firmware velho e BitLocker sensível, a conta costuma vir em forma de suporte, recovery e rollout quebrado.

Se o seu ambiente é misturado, antigo ou mal inventariado, esse é o tipo de assunto que vale resolver antes de virar chamado em lote.

Fontes

Os comentários estão desativados.

plugins premium WordPress