A atualização do certificado de autorização Windows UEFI CA 2023 é um tema crucial para a segurança e compatibilidade de sistemas Windows. Este artigo detalhado, com otimização SEO para sites de tecnologia, explora os desafios e soluções para essa atualização, oferecendo um guia completo para técnicos e usuários.

O que é o Certificado Windows UEFI CA 2023?

O certificado Windows UEFI CA 2023 é um componente essencial para o funcionamento do Secure Boot, um recurso de segurança que garante que apenas softwares confiáveis sejam executados durante o processo de inicialização do sistema. Esse certificado é utilizado para assinar digitalmente os gerenciadores de inicialização e outros componentes críticos do sistema, garantindo sua integridade e autenticidade.

Desafios da Atualização

A atualização para o novo certificado Windows UEFI CA 2023 apresenta alguns desafios, especialmente para usuários e técnicos que trabalham com imagens ISO e instalações personalizadas do Windows.

1. Atualização de Imagens ISO

O script PowerShell Make2023BootableMedia.ps1 é uma ferramenta fundamental para atualizar o suporte do gerenciador de inicialização em mídias do Windows para a versão assinada pelo novo certificado. No entanto, a instalação do Windows utiliza arquivos internos da imagem que podem não conter a assinatura do novo certificado, resultando em duas situações:

• Firmware antigo sem suporte ao Windows UEFI CA 2023: Nesses casos, é necessário desativar o Secure Boot para iniciar a instalação do Windows. Após a instalação, o Secure Boot pode ser reativado sem problemas.
• Firmware novo com suporte ao Windows UEFI CA 2023: Mesmo com suporte ao novo certificado, pode ser necessário desativar o Secure Boot para que o sistema instalado inicialize corretamente.

2. Imagens do Windows 10 e Windows 11

Embora as imagens mais recentes do Windows 10 e Windows 11 já contenham arquivos assinados com suporte ao Windows UEFI CA 2023, pode ser necessário substituir manualmente esses arquivos ou utilizar scripts automatizados após a instalação para garantir a remoção dos arquivos assinados pelo certificado antigo na partição de boot EFI.

3. Futuras Compilações do Windows

A Microsoft pode atualizar os diretórios padrão em futuras compilações do Windows para incluir os arquivos já assinados com o novo certificado. Quando isso ocorrer, a instalação em computadores com firmwares antigos só será possível com o Secure Boot desativado.

Soluções e Recomendações

Para contornar os desafios da atualização do certificado Windows UEFI CA 2023, recomendamos as seguintes soluções:

• Utilize o script Make2023BootableMedia.ps1: Esse script é essencial para atualizar suas imagens ISO e garantir a compatibilidade com o novo certificado.
• Mantenha o Windows ADK atualizado: O Windows Assessment and Deployment Kit (ADK) é necessário para utilizar o script Make2023BootableMedia.ps1.
• Verifique o firmware do seu computador: Identifique se o firmware do seu computador possui suporte ao Windows UEFI CA 2023.
• Considere a desativação temporária do Secure Boot: Em alguns casos, pode ser necessário desativar temporariamente o Secure Boot durante a instalação do Windows.
• Mantenha-se informado: Acompanhe as atualizações da Microsoft e as novidades sobre o certificado Windows UEFI CA 2023 para garantir a segurança e compatibilidade do seu sistema.

Nota Equipe Sayro:

Para fins de teste a nossa equipe criou uma ISO (copilou, e não vem com essa de oficial) com o novo certificado citado acima. Se você testar essa nova ISO em uma placa mae com Secure Boot Mode ativado, e sua BIOS não estiver atualizada (o que inclui ter novo firmware atualizado com o novo certifiacdo) o sistema não carregará ou nesse caso o pendrive não irá subir.

Script Oficial

Baseado na documentação da Microsoft criamos esse script para adicionar o novo certificado em qualquer ISO do Windows 10 e 11 (notoriamente as novas ISOs vão vim com o novo certificado em breve) e de fato já estão vindo na 24H2 conforme você viu com exclusividade em nosso canal (só está oculto ainda o certificado).

No entanto, para os entusiastas que queiram ir testando o novo certificado abaixo vamos deixar o link de um script que pega uma ISO normal com certificado 2011 e adiciona através do script para Microsoft o novo certificado.

Detalhe, não pegue esse script e simplesmente saia adicionando nas suas ISOs, primeiro leia o artigo e entenda bem sobre tudo isso. Não seja leviano nas coisas, pesquise também não espere um artigo pronto para facilitar as coisas para vocês. Mesmo conhecendo nosso trabalho o minino que o usuário deve fazer e ler, pesquisar, estudar. Lembre-se que o só ter o certificado e não verificar o Secure Boot pode dar errado no arranque do pen drive boot.

Requisitos baixar e instalar o Windows ADK. Em seguida baixe o nosso script no link abaixo.

Instalando Certificado 

Seguido estriramente os comandos da Microsoft, você pode atualizar sua máquina para que a mesma passe a usar o padrão do novo certificado. O comando abaixo já habilita sua BIOS para tal requisito, siga os passos abaixo.

Instalar o certificado UEFI CA 2023 da Microsoft no firmware UEFI a partir do Windows 11 é muito fácil:

Para que os comandos abaixo funcionem você precisa está com Secure Boot ativado no seu PC.

1. Abra o PowerShell como administrador;

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot” -Name “AvailableUpdates” -Value 0x40

3. Execute o comando:

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

4. Reiniciar (duas vezes)

5. Verifique se o certificado foi instalado. Execute no PowerShell

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Ele deve retornar True.

Se voltar com a mensagem False, você precisar atualizar a BIOS do seu PC manualmente. Agora se comando voltar com uma mensagem em vermelho, você precisa ativar o secure boot, e repetir os comandos acima, reiniciando o PC 2 vezes.

Com isso você poderá testar um pen drive boot com o novo certificado em um PC com Secure Boot ativado. Ter os 2 certificados na sua BIOS não irá atrapalhar em nada, no entanto, é possível remover ou revogar o novo ou o antigo certificado veja no exemplo abaixo.

Impacto da Revogação do Certificado PCA 2011 na Inicialização do Windows

Atualmente, ao substituir os binários assinados pelo certificado PCA 2011 pelos binários com o certificado CA UEFI 2023, observa-se que essa alteração ocorre apenas no instalador do Windows, localizado na pasta EFI da ISO de instalação. No entanto, após a instalação do sistema, os binários presentes na partição de boot continuam sendo aqueles que foram copiados durante o processo de instalação padrão, ou seja, os assinados com o certificado antigo.

Se o certificado PCA 2011 for completamente revogado e adicionado à lista proibitiva da Microsoft, os sistemas que ainda utilizam esses binários não conseguirão inicializar, resultando em erro de “Boot Violation”.

O problema ocorre porque o processo de instalação do Windows não está copiando os binários atualizados das pastas que contêm o certificado CA UEFI 2023. Em vez disso, ele está copiando arquivos da pasta que ainda utiliza o certificado PCA 2011, resultando na incompatibilidade pós-instalação.

Possíveis soluções para essa questão incluem:

▶️ A Microsoft pode manter ambos os conjuntos de binários e adicionar uma verificação automática para copiar os arquivos corretos durante a instalação.

▶️ A Microsoft pode remover completamente os binários assinados com PCA 2011, deixando apenas os assinados com CA UEFI 2023.

▶️ A Microsoft pode incluir um parâmetro de escolha para o usuário definir quais binários devem ser copiados.

A tendência é que, no futuro, a Microsoft torne padrão a utilização dos binários CA UEFI 2023, eliminando a necessidade de decisões manuais. No entanto, enquanto essa padronização não for implementada, será necessário substituir manualmente os binários para garantir a inicialização correta do sistema.

Conclusão

A atualização do certificado Windows UEFI CA 2023 é um passo importante para garantir a segurança e a integridade do seu sistema. Ao seguir este guia completo e utilizar as ferramentas recomendadas, você estará preparado para enfrentar os desafios dessa atualização e manter seu sistema sempre atualizado e protegido.

Technical Tools PE

Para empresas ou lojas de informáttica, o Technical Tools PE exibirá a opção de usar o certificado antigo ou o novo. Clique aqui para conhecer. O Technical Tools PE é uma ferramenta para manutenção, implantação, formatação e instalação de sistemas Windows no modo automático, onde drivers, programas e outros são instalados automátticos de acordo com a escolha do sistema. O mesmo também dá suporte a instalação via REDE.