Se você tentou ativar o Secure Boot para instalar o Windows 11, rodar algum jogo moderno (como Valorant e seu sistema Vanguard) ou softwares de segurança, muito provavelmente já se deparou com este cenário frustrante: a BIOS da sua placa-mãe está desatualizada, o Windows Update simplesmente se recusa a instalar as chaves de segurança mais recentes, ou você possui uma placa-mãe genérica (como as famosas placas chinesas de Xeon/X99 da AliExpress) que não oferecem qualquer suporte ou atualização por parte do fabricante.

Quando isso acontece, o computador entra em um “limbo”: o hardware tem suporte físico para a segurança, mas o sistema operacional não consegue conversar com a placa para carimbar essa autorização. Felizmente, existe uma solução definitiva e extremamente poderosa usando o ecossistema do Linux.

💡 Uma Analogia Simples para Entender o Problema

Imagine que o Secure Boot é o segurança na porta de um clube VIP super exclusivo (o seu processador). Para entrar, os convidados (o Windows ou o Linux) precisam mostrar uma carteirinha com um carimbo oficial da empresa organizadora (a Microsoft ou a fabricante da placa).

O problema é que o Windows Update tenta entregar carimbos novos, mas a portaria da sua placa-mãe é teimosa, antiga ou genérica, e não aceita a atualização pelo ambiente Windows. É aí que entra o Linux: ele funciona como um despachante altamente especializado. Ele consegue entrar na sala de administração da portaria, limpar a bagunça, criar uma nova lista de convidados e forçar o segurança a aceitar os carimbos corretos da Microsoft.

Por que usar o Linux para resolver um problema do Windows/BIOS?

O Linux possui ferramentas de controle de hardware muito mais diretas e profundas do que o Windows. Usando uma ferramenta chamada sbctl (Secure Boot Control), nós conseguimos assumir o controle da NVRAM (a memória interna da sua placa-mãe onde as chaves ficam salvas), limpar os erros deixados de fábrica e injetar manualmente os certificados oficiais da Microsoft (incluindo as chaves atualizadas de 2011 e as novas de 2023), além de criar uma chave personalizada para o próprio sistema.

Este tutorial é 100% compatível e testado nas seguintes distribuições modernas baseadas em Debian/Ubuntu:

Ubuntu 26.04 LTS (e versões anteriores como 24.04)

Linux Mint (uma das opções mais amigáveis para quem vem do Windows)

Zorin OS (com interface visual muito parecida com o Windows)

⚠️ O Único Pré-requisito Obrigatório na BIOS

Antes de ligar o Linux, você precisa abrir as portas da administração da placa-mãe. Reinicie o computador, fique apertando a tecla Delete (o F2 em algumas placas) para entrar na BIOS.

Vá até a aba Security ou Boot, encontre a opção Secure Boot e mude o status para Disabled (Desativado) ou mude o modo de operação para Custom / Setup Mode. Salve e saia (geralmente apertando F10).

Passo a Passo: Assumindo o Controle com o sbctl
Passo 1: Preparando as Ferramentas de Trabalho
O programa que vamos usar é construído em uma linguagem de programação moderna chamada Go. Abra o terminal do seu Ubuntu, Mint ou Zorin e digite o comando abaixo para instalar as ferramentas de compilação:

sudo apt update

Certamente terá atualizações do sistema para fazer, mais você pode fazer pela central de atualizações da sua distro Linux, logo em seguida reinicie o PC.

sudo apt full-upgrade

sudo apt install golang-go git libpcsclite-dev -y

O que isso faz: Atualiza a lista de programas do sistema e instala o necessário para baixar e criar o nosso “despachante” de chaves.

ls

para ver as pastas criadas (NÃO PRECISA EXECUTAR ESSE COMANDO).

cd sbctl

para listaR nosso directório principal (NÃO PRECISA EXECUTAR ESSE COMANDO).

Passo 2: Baixando e Compilando o sbctl Direto da Fonte
Como placas genéricas ou BIOS problemáticas precisam da versão mais recente e estável do programa para evitar erros de compatibilidade, vamos baixá-lo diretamente do repositório oficial de desenvolvimento e compilá-lo dentro da sua máquina:

1/2. Constrói o programa executável principal

go build ./cmd/sbctl

3. Move o programa para a pasta de comandos globais do sistema

sudo mv sbctl /usr/local/bin/
sudo chmod +x /usr/local/bin/sbctl

4. Limpa a pasta temporária que sobrou no seu usuário

cd ~
sudo sbctl status

Passo 3: Faxina na Placa-Mãe e Injeção dos Certificados Microsoft
Agora vem o momento mais importante.

Cria o seu par de chaves de segurança locais

sudo sbctl create-keys

Força a injeção das suas chaves junto com as CAs da Microsoft de 2011 e 2023

sudo sbctl enroll-keys -m

Se o comando terminar sem mensagens de erro, as chaves que o Windows Update falhava em aplicar agora estão gravadas fisicamente no chip da sua placa-mãe!

Passo 4: Carimbando os Arquivos de Boot do Linux
Como modificamos a portaria da placa-mãe, precisamos garantir que o Linux que você está usando agora também tenha o carimbo correto para conseguir iniciar no próximo boot:

Verifica quais arquivos precisam receber a assinatura

sudo sbctl verify

Carimba os arquivos genéricos da partição EFI de boot

sudo sbctl sign -s /boot/efi/EFI/BOOT/BOOTX64.EFI
sudo sbctl sign -s /boot/efi/EFI/BOOT/fbx64.efi
sudo sbctl sign -s /boot/efi/EFI/BOOT/mmx64.efi

Carimba os inicializadores específicos do Ubuntu/Mint/Zorin

sudo sbctl sign -s /boot/efi/EFI/ubuntu/grubx64.efi
sudo sbctl sign -s /boot/efi/EFI/ubuntu/mmx64.efi
sudo sbctl sign -s /boot/efi/EFI/ubuntu/shimx64.efi

sudo sbctl verify

Conslusão

Passo 5: Reativando a Segurança Máxima
Tudo pronto no sistema operacional! Agora basta reiniciar o computador, entrar na sua BIOS novamente pressionando Delete e mudar a opção Secure Boot de volta para Enabled (Ativado). Salve as alterações e inicie o sistema normalmente.

💡 Dica de Ouro para Atualizações Futuras
O Linux frequentemente atualiza seu Kernel automaticamente para trazer melhorias de performance e segurança. Sempre que o sistema atualizar e você notar que um novo Kernel foi instalado, evite dores de cabeça rodando um único comando rápido no terminal antes de reiniciar. Ele vai varrer o sistema e assinar tudo automaticamente de novo com base no seu banco de dados local: