Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A Microsoft está atualizando os certificados de Inicialização Segura emitidos originalmente em 2011 para garantir que os dispositivos Windows continuem a verificar o software de inicialização confiável. Esses certificados mais antigos começam a expirar em junho de 2026. Para evitar interrupções, examine as diretrizes e tome medidas para atualizar os certificados com antecedência.
A inicialização segura é um padrão de segurança desenvolvido por membros da indústria de computadores para ajudar a garantir que um dispositivo seja inicializado usando apenas o software confiável pelo Fabricante de Equipamento Original (OEM). Quando o computador é iniciado, o firmware verifica a assinatura de cada parte do software de inicialização, incluindo drivers de firmware UEFI (também conhecidos como ROMs de opção), aplicativos EFI e o sistema operacional. Se as assinaturas forem válidas, o computador será inicializado e o firmware dará controle ao sistema operacional.
O OEM pode usar instruções do fabricante de firmware para criar chaves de inicialização seguras e armazená-las no firmware do computador. Ao adicionar drivers UEFI, você também precisará verificar se eles estão assinados e incluídos no banco de dados de Inicialização Segura.
Para obter informações sobre como o processo de inicialização segura funciona, incluindo Inicialização Confiável e Inicialização Medida, veja Proteger o processo de inicialização do Windows 10.
Requisitos de inicialização seguros
Para dar suporte à inicialização segura, você deve fornecer o seguinte.
| Requisito de hardware | Detalhes |
|---|---|
| Variáveis da Errata C da versão 2.3.1 da UEFI | As variáveis devem ser definidas como SecureBoot=1 e SetupMode=0 com um banco de dados de assinatura (EFI_IMAGE_SECURITY_DATABASE) necessário para inicializar o computador com segurança pré-provisionado e incluir um PK definido em um banco de dados KEK válido. Para obter mais informações, pesquise os requisitos do sistema System.Fundamentals.Firmware.UEFISecureBoot no download em PDF das Especificações e Políticas do Programa de Compatibilidade de Hardware do Windows. |
| UEFI v2.3.1 Seção 27 | A plataforma deve expor uma interface que adere ao perfil da UEFI v2.3.1 Seção 27. |
| Banco de dados de assinatura UEFI | A plataforma deve vir provisionada com as chaves corretas no banco de dados de assinatura UEFI (db) para permitir que o Windows seja inicializado. Ele também deve dar suporte a atualizações autenticadas seguras para os bancos de dados. O armazenamento de variáveis seguras deve ser isolado do sistema operacional em execução, de modo que elas não possam ser modificadas sem detecção. |
| Assinatura de firmware | Todos os componentes de firmware devem ser assinados usando pelo menos RSA-2048 com SHA-256. |
| Gerenciador de inicialização | Quando a energia é ativada, o sistema deve começar a executar código no firmware e usar a criptografia de chave pública de acordo com a política de algoritmo para verificar as assinaturas de todas as imagens na sequência de inicialização, até e incluindo o Gerenciador de Inicialização do Windows. |
| Proteção de reversão | O sistema deve impedir a reversão do firmware para versões mais antigas. |
| EFI_HASH_PROTOCOL | A plataforma fornece o EFI_HASH_PROTOCOL (conforme UEFI v2.3.1) para delegar operações criptográficas de hash e o EFI_RNG_PROTOCOL (definido pela Microsoft) para acessar a entropia da plataforma. |
Chaves criptográficas e bancos de dados de assinaturas digitais
Antes de o computador ser implantado, você, como OEM, armazena os bancos de dados de Inicialização Segura no computador. Isso inclui o banco de dados de assinatura (db), o banco de dados de assinaturas revogado (dbx) e o KEK (Key Enrollment Key Database). Esses bancos de dados são armazenados na RAM nãovolatile do firmware (NV-RAM) no momento da fabricação.
O banco de dados de assinaturas (db) e o banco de dados de assinaturas revogadas (dbx) listam os signatários ou hashes de imagem de aplicativos UEFI, carregadores de sistema operacional (como o Carregador de Sistema Operacional da Microsoft ou o Gerenciador de Inicialização) e drivers UEFI existentes que podem ser carregados no dispositivo. A lista revogada contém itens que não são mais confiáveis e podem não ser carregados. Se um hash de imagem estiver presente em ambos os bancos de dados, o banco de dados oriundo de assinaturas revogadas (dbx) terá precedência.
O banco de dados de Key Enrollment Key (KEK) é um banco de dados separado de chaves de assinatura que pode ser usado para atualizar o banco de dados de assinaturas e o banco de dados de assinaturas revogadas. A Microsoft requer que uma chave especificada seja incluída no banco de dados KEK para que, no futuro, a Microsoft possa adicionar novos sistemas operacionais ao banco de dados de assinatura ou adicionar imagens incorretas conhecidas ao banco de dados de assinaturas revogado.
Depois que esses bancos de dados tiverem sido adicionados e após a validação e teste final do firmware, o OEM bloqueará o firmware para edição, exceto por atualizações assinadas com a chave correta ou atualizações feitas por um usuário fisicamente presente que esteja utilizando menus de firmware, e então gera uma chave de plataforma (PK). O PK pode ser usado para assinar atualizações no KEK ou para desativar a Inicialização Segura.
Entre em contato com o fabricante do firmware para obter ferramentas e assistência na criação desses bancos de dados.
Sequência de inicialização
- Depois que o computador é ativado, os bancos de dados de assinatura são verificados em relação à chave da plataforma.
- Se o firmware não for confiável, o firmware UEFI deverá iniciar a recuperação específica do OEM para restaurar o firmware confiável.
- Se houver um problema com o Gerenciador de Inicialização do Windows, o firmware tentará inicializar uma cópia de backup do Gerenciador de Inicialização do Windows. Se isso também falhar, o firmware deverá iniciar a correção específica do OEM.
- Depois que o Windows Boot Manager começar a ser executado, se houver um problema com os drivers ou o kernel do NTOS, o Windows RE (Ambiente de Recuperação do Windows) será carregado para que esses drivers ou a imagem do kernel possam ser recuperados.
- O Windows carrega software antimalware.
- O Windows carrega outros drivers de kernel e inicializa os processos de modo de usuário.