Início Segurança Como instalar certificados em placas-mãe antigas, genéricas ou problemáticas usando o Linux

Como instalar certificados em placas-mãe antigas, genéricas ou problemáticas usando o Linux

Por

12 de junho de 2026

Se você tentou ativar o Secure Boot para instalar o Windows 11, rodar algum jogo moderno (como Valorant e seu sistema Vanguard) ou softwares de segurança, muito provavelmente já se deparou com este cenário frustrante: a BIOS da sua placa-mãe está desatualizada, o Windows Update simplesmente se recusa a instalar as chaves de segurança mais recentes, ou você possui uma placa-mãe genérica (como as famosas placas chinesas de Xeon/X99 da AliExpress) que não oferecem qualquer suporte ou atualização por parte do fabricante.

Quando isso acontece, o computador entra em um “limbo”: o hardware tem suporte físico para a segurança, mas o sistema operacional não consegue conversar com a placa para carimbar essa autorização. Felizmente, existe uma solução definitiva e extremamente poderosa usando o ecossistema do Linux.

💡 Uma Analogia Simples para Entender o Problema

Imagine que o Secure Boot é o segurança na porta de um clube VIP super exclusivo (o seu processador). Para entrar, os convidados (o Windows ou o Linux) precisam mostrar uma carteirinha com um carimbo oficial da empresa organizadora (a Microsoft ou a fabricante da placa).

O problema é que o Windows Update tenta entregar carimbos novos, mas a portaria da sua placa-mãe é teimosa, antiga ou genérica, e não aceita a atualização pelo ambiente Windows. É aí que entra o Linux: ele funciona como um despachante altamente especializado. Ele consegue entrar na sala de administração da portaria, limpar a bagunça, criar uma nova lista de convidados e forçar o segurança a aceitar os carimbos corretos da Microsoft.

Por que usar o Linux para resolver um problema do Windows/BIOS?

O Linux possui ferramentas de controle de hardware muito mais diretas e profundas do que o Windows. Usando uma ferramenta chamada sbctl (Secure Boot Control), nós conseguimos assumir o controle da NVRAM (a memória interna da sua placa-mãe onde as chaves ficam salvas), limpar os erros deixados de fábrica e injetar manualmente os certificados oficiais da Microsoft (incluindo as chaves atualizadas de 2011 e as novas de 2023), além de criar uma chave personalizada para o próprio sistema.

Este tutorial é 100% compatível e testado nas seguintes distribuições modernas baseadas em Debian/Ubuntu:

Ubuntu 26.04 LTS (e versões anteriores como 24.04)

Linux Mint (uma das opções mais amigáveis para quem vem do Windows)

Zorin OS (com interface visual muito parecida com o Windows)

Preciso instalar o Linux?

A resposta é não, porém você pode fazer com sistema Linux instalado, no entanto, você precisa usar todos os comandos desse tutorial. Já no Modo Live você não precisa usar todos os comandos abaixo (isso será explicado mais a frente).

Outro detalhe, você pode rodar no modo Live pelo pen drive mesmo se Windows estivar instalado no PC, isso não vai mudar em nada. Recomendamos o Modo Live. Na imagem abaixo você entrar em modo live bastando escolher “Experimentar/Testar” assim você não precisa instalar o Linux e ainda assim vai conseguir rodar os comandos sem problemas.

⚠️ O Único Pré-requisito Obrigatório na BIOS

Antes de ligar o Linux, você precisa abrir as portas da administração da placa-mãe. Reinicie o computador, fique apertando a tecla Delete (o F2 em algumas placas) para entrar na BIOS.

Vá até a aba Security ou Boot, encontre a opção Secure Boot e mude o status para Disabled (Desativado) ou mude o modo de operação para Custom / Setup Mode. Salve e saia (geralmente apertando F10). Quando você entra no Setup Modo (PC desktop) sua placa mãe fica protegida esperando você adicionar as chaves manualmente dos certificados.

No entanto, você pode sair do Setup Modde a hora que quiser. Outro cenário seria você não ter conseguido inserir as chaves para algum motivo. Você pode voltar na BIOS da sua placa mão e sair do Setup Mode e tudo volta ao normal. Para sair do Setup Mode (pelo menos no modelo abaixo) você seleciona a opção “Restore Factory Keys” clica Yes e pronto. O padrão volta ao normal (ou seja, volta da forma que estava anteriomente).

Notebook Dell

Cade modelo de notebook pode ser diferente para entrar no Modo Setup, no entanto, basta vocÊ pesquisar mais sobre seu modelo. Abaixo eu precisei entrar em “Expert Key Management” habilitar o “Enabled Custom Mode” e em seguida clicar para deletar todas as keys. Em seguida bastar entrar com algum pen drive boot com as versões de Linux citadas acima.

Passo a Passo: Assumindo o Controle com o sbctl
Passo 1: Preparando as Ferramentas de Trabalho
O programa que vamos usar é construído em uma linguagem de programação moderna chamada Go. Abra o terminal do seu Ubuntu, Mint ou Zorin e digite o comando abaixo para instalar as ferramentas de compilação:

sudo apt update

Certamente terá atualizações do sistema para fazer, mais você pode fazer pela central de atualizações da sua distro Linux, logo em seguida reinicie o PC. No entanto, você só reinicia o PC se você estiver instalado o Linux, se estiver executando no modo Live CD, você não precisa reiniciar.

sudo apt full-upgrade

No modo live (quando você não instala o Linux) esse erro abaixo pode ocorrer. Apenas clique em cancelar e continue aplicando os comandos abaixo.

sudo apt install golang-go git libpcsclite-dev -y

git clone https://github.com/Foxboron/sbctl.git

O que isso faz: Atualiza a lista de programas do sistema e instala o necessário para baixar e criar o nosso “despachante” de chaves.

para ver as pastas criadas

cd sbctl

para listar nosso directório principal

Passo 2: Baixando e Compilando o sbctl Direto da Fonte
Como placas genéricas ou BIOS problemáticas precisam da versão mais recente e estável do programa para evitar erros de compatibilidade, vamos baixá-lo diretamente do repositório oficial de desenvolvimento e compilá-lo dentro da sua máquina:

1/2. Constrói o programa executável principal

go build ./cmd/sbctl

3. Move o programa para a pasta de comandos globais do sistema

sudo mv sbctl /usr/local/bin/
sudo chmod +x /usr/local/bin/sbctl

4. Limpa a pasta temporária que sobrou no seu usuário

cd ~
sudo sbctl status

Passo 3: Faxina na Placa-Mãe e Injeção dos Certificados Microsoft
Agora vem o momento mais importante.

Cria o seu par de chaves de segurança locais

sudo sbctl create-keys

Força a injeção das suas chaves junto com as CAs da Microsoft de 2011 e 2023

sudo sbctl enroll-keys -m

ATENÇÃO!

Se você rodou o comandos acima no modo Live do Linux você não precisar rodar os comandos abaixo. Só rode os comandos abaixo se você tiver instalado alguma distro Linux daí nesse caso você pode continuar o tutorial.

Se o comando terminar sem mensagens de erro, as chaves que o Windows Update falhava em aplicar agora estão gravadas fisicamente no chip da sua placa-mãe!

O comando abaixo (se tiver feito em modo live) mostra se todas as chaves foram instaladas e assinadas.

sudo sbctl list-enrolled-keys

Se o comando voltar como exibido na imagem abaixo mostrando as chaves e certificados, você já pode sair do Linux, pois tudo deu certo. Não precisa fazer nada na placa mãe.

Passo 4: Carimbando os Arquivos de Boot do Linux
Como modificamos a portaria da placa-mãe, precisamos garantir que o Linux que você está usando agora também tenha o carimbo correto para conseguir iniciar no próximo boot:

Verifica quais arquivos precisam receber a assinatura

sudo sbctl verify

Carimba os arquivos genéricos da partição EFI de boot

sudo sbctl sign -s /boot/efi/EFI/BOOT/BOOTX64.EFI
sudo sbctl sign -s /boot/efi/EFI/BOOT/fbx64.efi
sudo sbctl sign -s /boot/efi/EFI/BOOT/mmx64.efi

Carimba os inicializadores específicos do Ubuntu/Mint/Zorin

sudo sbctl sign -s /boot/efi/EFI/ubuntu/grubx64.efi
sudo sbctl sign -s /boot/efi/EFI/ubuntu/mmx64.efi
sudo sbctl sign -s /boot/efi/EFI/ubuntu/shimx64.efi

sudo sbctl verify

Conslusão

Passo 5: Reativando a Segurança Máxima
Tudo pronto no sistema operacional! Agora basta reiniciar o computador, entrar na sua BIOS novamente pressionando Delete e mudar a opção Secure Boot de volta para Enabled (Ativado). Salve as alterações e inicie o sistema normalmente.

💡 Dica de Ouro para Atualizações Futuras
O Linux frequentemente atualiza seu Kernel automaticamente para trazer melhorias de performance e segurança. Sempre que o sistema atualizar e você notar que um novo Kernel foi instalado, evite dores de cabeça rodando um único comando rápido no terminal antes de reiniciar. Ele vai varrer o sistema e assinar tudo automaticamente de novo com base no seu banco de dados local: