Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O que é o Arranque Seguro?
O Arranque Seguro é uma funcionalidade de segurança principal do Windows que ajuda a proteger os dispositivos de software malicioso durante o arranque. Quando o Arranque Seguro está ativado, o firmware do sistema (UEFI) verifica se apenas os componentes fidedignos e assinados digitalmente têm permissão para carregar à medida que o dispositivo é iniciado. Isto ajuda a impedir software maligno ao nível do arranque e garante que o Windows começa a utilizar código bem conhecido e assinado de forma segura.
O Arranque Seguro baseia-se em certificados digitais armazenados no firmware do sistema. Estes certificados têm de permanecer atualizados para garantir a proteção e compatibilidade contínuas com as atualizações de segurança do Windows.
Por que motivo a status de Arranque Seguro é importante
À medida que a segurança do Windows evolui, alguns certificados de Arranque Seguro são atualizados ou substituídos para lidar com ameaças emergentes e reforçar as proteções da plataforma. Os dispositivos com o Arranque Seguro ativado, mas em falta, as atualizações de certificado necessárias podem encontrar problemas de compatibilidade ou segurança ao longo do tempo.
O relatório de status de Arranque Seguro no Windows Autopatch foi concebido para ajudar os administradores de TI a compreender a postura de Arranque Seguro da sua frota e identificar dispositivos que possam necessitar de atenção antes de ocorrerem problemas.
Saiba mais sobre a expiração do certificado de Arranque Seguro do Windows e as atualizações da AC.
Descrição geral do relatório de status de Arranque Seguro
O relatório de status de Arranque Seguro fornece uma vista ao nível do dispositivo do Arranque Seguro nos seus dispositivos geridos pelo Windows Autopatch. Ajuda a responder a três perguntas-chave:
- Que dispositivos têm o Arranque Seguro ativado?
- Que dispositivos preparados para Arranque Seguro estão totalmente atualizados?
- Que dispositivos com Arranque Seguro precisam de atualizações de certificados?
Para cada dispositivo, o relatório mostra se o Arranque Seguro está ativado ou não. Os dispositivos que não tenham o Arranque Seguro ativado não necessitam de qualquer ação.
Para localizar este relatório:
- Aceda ao centro de administração do Intune.
- Navegue para Relatórios Atualizações> dequalidade do WindowsAutopatch> do Windows.
- Selecione o separador Relatórios .
- Selecione Arranque Seguro status.
Dispositivos com Arranque Seguro ativado
Para dispositivos onde o Arranque Seguro está ativado, o relatório indica ainda se os certificados de Arranque Seguro do dispositivo estão atualizados.
- Se o Arranque Seguro estiver ativado no dispositivo e os certificados estiverem atualizados, não é necessária qualquer ação.
- Se o Arranque Seguro estiver ativado no dispositivo, mas os certificados estiverem desatualizados, é necessária uma ação. Atualize os certificados de Arranque Seguro do dispositivo para as versões de 2023. Saiba mais sobre orientações para profissionais de TI e organizações para atualizações de certificados de Arranque Seguro.
Dispositivos sem Arranque Seguro ativado
Se o Arranque Seguro não estiver ativado num dispositivo, não é necessária qualquer ação na perspetiva de preparação do certificado de Arranque Seguro. Estes dispositivos estão incluídos no relatório para visibilidade, mas as atualizações de certificados de Arranque Seguro aplicam-se apenas a dispositivos onde o Arranque Seguro está ativado.
Como este relatório ajuda os administradores de TI
O relatório status de Arranque Seguro ajuda-o enquanto administrador de TI a fazer o seguinte:
- Compreenda a adoção do Arranque Seguro em todo o seu ambiente.
- Identifique dispositivos com Arranque Seguro ativado que necessitem de atualizações de certificados.
- Planeie estratégias de atualização de firmware e BIOS com confiança.
- Reduza o risco ao abordar proativamente a preparação do Arranque Seguro.
Ao centralizar estas informações no Windows Autopatch, pode monitorizar mais facilmente a preparação do Arranque Seguro. Tome medidas informadas e direcionadas sempre que necessário, sem remediação ou adivinhação desnecessárias.
Interpretar o certificado de Arranque Seguro status
À medida que utiliza este relatório para avaliar a preparação do Arranque Seguro em todo o ambiente, é importante compreender como o certificado de Arranque Seguro status é avaliado e como interpretar os resultados.
Se comparar a preparação do certificado de Arranque Seguro mostrada neste relatório com os resultados de scripts personalizados ou ferramentas de inspeção de firmware, poderá notar diferenças. Estas diferenças são muitas vezes esperadas e não indicam um problema com o relatório.
A preparação do certificado de Arranque Seguro é determinada pela configuração de confiança de firmware de um dispositivo, não apenas pelo fabricante do dispositivo. O Windows Autopatch avalia a aplicabilidade do certificado com base na forma como o dispositivo está configurado para confiar nos componentes de arranque, em vez de exigir um conjunto uniforme de certificados de Arranque Seguro em todos os dispositivos.
Por exemplo, um dispositivo configurado para confiar apenas em componentes de arranque assinados pela Microsoft pode ser reportado como atualizado, mesmo que os certificados da Microsoft para componentes de firmware não Microsoft estejam ausentes. Neste cenário, os componentes de firmware que não sejam da Microsoft não se aplicam à configuração de arranque desse dispositivo.
Ao validar o certificado de Arranque Seguro status, confirme que contabiliza a configuração de confiança de firmware do dispositivo. Se comparar a presença do certificado sem considerar a configuração de arranque ativa, poderá chegar a conclusões incorretas sobre a preparação do dispositivo.
Não é necessária qualquer ação se um dispositivo for reportado como atualizado no relatório de status de Arranque Seguro.
Como a configuração da fidedignidade de Arranque Seguro afeta a status de certificados
A configuração de fidedignidade de Arranque Seguro do dispositivo é essencial para interpretar corretamente status de certificados.
O relatório inclui agora uma coluna de configuração de fidedignidade de Arranque Seguro para tornar esta relação explícita.
Especificamente:
- Os dispositivos configurados para confiar apenas em componentes assinados pela Microsoft podem não necessitar de componentes de firmware que não sejam da Microsoft.
- Os dispositivos configurados para confiar nos componentes de firmware da Microsoft e não da Microsoft requerem um conjunto mais amplo de certificados.
Ao avaliar o certificado status:
- Verifique a configuração de confiança do dispositivo.
- Utilize o certificado status detalhes (ao selecionar o valor) para compreender que certificados são aplicáveis e quais estão em falta.
Interpretar o nível de confiança
A coluna Nível de confiança fornece orientações com base na análise da Microsoft de dispositivos e configurações de firmware semelhantes. Destina-se a ajudá-lo a tomar decisões de implementação mais seguras para atualizações de certificados de Arranque Seguro. Considere-o especialmente quando planear a implementação faseada em hardware diversificado.
Que valor de nível de confiança representa
- Uma classificação de confiança com base nos resultados observados em dispositivos semelhantes e configurações de firmware.
- Uma ação recomendada: pode implementar ou implementar manualmente algumas atualizações de certificados de Arranque Seguro para um dispositivo.
Que valor de nível de confiança não representa
- Não substitui status de Certificado. Um dispositivo pode estar Atualizado independentemente da classificação de confiança.
- Não significa necessariamente que é necessária uma acção. Em alguns casos, o nível de confiança é informativo (por exemplo, elevada confiança com a implementação automática permitida).
Importante
Um dispositivo pode ser reportado como Atualizado enquanto mostra Sem Dados Observados. Isto reflete uma cobertura de dados limitada para dispositivos semelhantes, não um problema com o dispositivo ou o estado atual do certificado.
Implementação automática versus manual
A implementação automática de certificados de Arranque Seguro requer que ambas as condições sejam verdadeiras:
- O dispositivo é classificado como de alta confiança.
- A política de implementação de alta confiança é permitida (não está a bloquear a implementação automática).
Se a implementação automática for bloqueada pela política, os dispositivos necessitam de implementação manual, mesmo que sejam de elevada confiança.
Saiba mais sobre Microsoft Intune método de Arranque Seguro para dispositivos Windows com atualizações geridas por TI.
Ação de administrador recomendada por nível de confiança
| Nível de confiança | Descrição | Ação de administrador recomendada |
|---|---|---|
Alta confiança (e ConfigureHighConfidenceOptOut == 0) |
Os dados observados para este grupo de dispositivos sugerem que podem atualizar o firmware com êxito com os novos certificados de Arranque Seguro. | Nenhuma ação é necessária. Os dispositivos receberão automaticamente atualizações de certificados de Arranque Seguro através de Windows Update. |
Alta confiança (e ConfigureHighConfidenceOptOut == 1) |
Os dados observados para este grupo de dispositivos sugerem que podem atualizar o firmware com êxito com os novos certificados de Arranque Seguro. No entanto, a implementação automática é desativada pela política. | Implementar atualizações de certificado manualmente quando estiver pronto. |
| Em Observação – Mais Dados Necessários | Os dispositivos neste grupo não estão bloqueados, mas ainda não existem dados suficientes para classificá-los como sendo de alta confiança. As atualizações do certificado de Arranque Seguro podem ser diferidas até que estejam disponíveis dados suficientes. | Pode optar por testar e implementar atualizações de certificados de forma controlada para validar a compatibilidade. |
| Sem Dados Observados - Ação Necessária | A Microsoft não observou este tipo de dispositivo nos dados de atualização de Arranque Seguro. Esta classificação só é apresentada quando o dispositivo não é encontrado na base de dados de alta confiança. Como resultado, as atualizações automáticas de certificados não podem ser avaliadas para este dispositivo e é provável que seja necessária uma ação de administrador. | Teste cuidadosamente as atualizações de certificados e planeie uma implementação antes de implementar as atualizações amplamente. |
| Temporariamente em Pausa | Os dispositivos neste grupo são afetados por um problema conhecido. Para reduzir o risco, as atualizações de certificados de Arranque Seguro são temporariamente colocadas em pausa enquanto a Microsoft e os parceiros trabalham para uma resolução suportada. Isto pode exigir uma atualização de firmware. | Não implemente atualizações de certificados. Verifique se existem atualizações de firmware do OEM e monitorize as orientações da Microsoft. Veja ID do Evento 1802 para obter mais detalhes. |
| Não Suportado - Limitação Conhecida | Os dispositivos neste grupo não suportam o caminho de atualização de certificados de Arranque Seguro automatizado devido a limitações de hardware ou firmware. Não existe atualmente nenhuma resolução automática suportada disponível para esta configuração. | Exclua estes dispositivos da implementação automatizada e documente-os como uma exceção. |
Observação
O nível de confiança reflete a cobertura de dados da Microsoft para dispositivos semelhantes. Se os dispositivos não forem de alta confiança, não indica que o dispositivo está desatualizado.
Colunas de relatório de status de Arranque Seguro
O relatório status de Arranque Seguro inclui um conjunto de colunas predefinidas que são apresentadas para todos os utilizadores. Também pode adicionar colunas opcionais à vista para obter informações mais aprofundadas sobre hardware e firmware.
Colunas predefinidas
Estas colunas são apresentadas por predefinição e foram concebidas para ajudar os administradores de TI a compreender rapidamente a cobertura do Arranque Seguro e a preparação de certificados nos respetivos dispositivos.
| Nome da coluna | Descrição |
|---|---|
| Nome do dispositivo | O nome do dispositivo |
| Versão do sistema operacional | A versão do sistema operativo Windows em execução no dispositivo |
| Microsoft Entra ID do dispositivo | O ID do dispositivo Microsoft Entra associado ao dispositivo |
| Inicialização Segura habilitada | Indica se o Arranque Seguro está ativado no dispositivo. |
| Modelo do dispositivo | O modelo comercial do dispositivo |
| Status de certificados | Uma status agregada que mostra se os certificados de Arranque Seguro no dispositivo estão Atualizados, Não atualizados ou Não aplicáveis. Pode selecionar este valor para ver os status detalhados por certificado do dispositivo. |
| Configuração de fidedignidade de Arranque Seguro | Indica como a fidedignidade de Arranque Seguro está configurada no dispositivo: apenas Microsoft ou Microsoft e não Microsoft. Esta configuração determina quais os certificados aplicáveis. |
| Nível de confiança | Indica o nível de confiança da Microsoft de que as atualizações de certificados de Arranque Seguro podem ser aplicadas com segurança. Este valor baseia-se em dados observados de dispositivos semelhantes. Ajuda a orientar as decisões de implementação e pode indicar se a implementação automática ou manual é necessária. |
| Data comunicada pela última vez | A data e hora em que os dados de Arranque Seguro foram recebidos pela última vez do dispositivo. Ajuda a identificar a latência de relatórios ou dados obsoletos. |
| Alertas | Apresenta alertas associados ao dispositivo, como dados de diagnóstico em falta ou dispositivos que requerem ação. |
Colunas opcionais
Pode adicionar colunas opcionais ao relatório para ver um contexto de hardware e firmware mais detalhado. São úteis para resolução de problemas, correlação de hardware e análise avançada, mas não são necessárias para compreender os status de Arranque Seguro.
| Nome da coluna | Descrição |
|---|---|
| Fabricante do dispositivo | O fabricante do dispositivo reportado pelo OEM |
| Fabricante do quadro de sistema | O fabricante da placa do sistema do dispositivo (placa principal) |
| Família de modelos | A família de produtos ou a linha de produtos do dispositivo |
| Modelo de quadro do sistema | O modelo de quadro de sistema específico utilizado no dispositivo |
| Versão do quadro do sistema | A versão ou revisão do quadro do sistema |
| SKU do Dispositivo | O SKU do OEM que identifica uma configuração de hardware específica |
| Fabricante de firmware | O fabricante do firmware do dispositivo (BIOS/UEFI) |
| Versão do firmware | A versão de firmware (BIOS/UEFI) atualmente instalada |
Atualização de dados, latência de relatórios e requisitos de dados de diagnóstico
O relatório de status de Arranque Seguro baseia-se em eventos relacionados com o Arranque Seguro. Os dispositivos comunicam estes eventos após o arranque. Como resultado, as alterações ao estado de Arranque Seguro ou ao certificado status podem não aparecer imediatamente no relatório.
Depois de os certificados de Arranque Seguro serem atualizados e o dispositivo ser reiniciado, pode demorar até 12 horas a processar e refletir a status atualizada no relatório status de Arranque Seguro.
Se um dispositivo mostrar Não atualizado, Não aplicável ou Desconhecido logo após a remediação, tal não indica uma falha. Aguarde algum tempo para que o dispositivo conclua os relatórios antes de efetuar ações adicionais.
O relatório de status de Arranque Seguro também depende de relatórios e processamento bem-sucedidos de dados de diagnóstico de Arranque Seguro. Se um dispositivo não estiver configurado para partilhar os dados de diagnóstico obrigatórios (básicos) do Windows, os eventos de Arranque Seguro poderão não ser comunicados. Como tal, o dispositivo pode aparecer como Desconhecido ou Não aplicável no relatório. Neste caso, o relatório não indica um erro ou uma configuração incorreta; indica que não existem dados de diagnóstico de Arranque Seguro para o dispositivo.
Além disso, os dispositivos que não comunicaram dados de diagnóstico durante um período prolongado também podem aparecer como Desconhecidos. Especificamente, se um dispositivo estiver inativo há mais de 28 dias, poderá já não ter dados de diagnóstico de Arranque Seguro recentes disponíveis. Como resultado, o dispositivo pode aparecer como Desconhecido no relatório, mesmo que não existam problemas de configuração.
Para garantir um relatório preciso, verifique se os dispositivos estão ativos e comunicam regularmente dados de diagnóstico de Arranque Seguro. Verifique se o inquilino ativou o Serviço de Processador de Dados para Windows (DPSW).
Alertas no relatório de Arranque Seguro
A coluna Alertas fornece visibilidade para problemas que afetam dispositivos individuais.
- Os dispositivos com dados de diagnóstico em falta podem mostrar um alerta DeviceDiagnosticDataNotReceived .
- Os dispositivos que não estão atualizados podem apresentar alertas que indicam a ação necessária.
Utilizar alertas para:
- Identifique rapidamente os dispositivos afetados.
- Priorize a investigação e a remediação.
Requisitos adicionais de relatórios
Tarefa agendada de Atualização de Arranque Seguro
A tarefa agendada Atualização de Arranque Seguro é necessária para que o Windows aplique atualizações de certificados de Arranque Seguro.
Se esta tarefa estiver desativada ou eliminada:
- As atualizações do certificado de Arranque Seguro não progridem.
- Os dispositivos podem continuar a comunicar status desatualizadas ou incompletas.
Saiba mais sobre como resolver problemas da tarefa agendada de arranque seguro.
DesativarOneSettings Política de transferências
Não ative DisableOneSettingsDownloads CSP.
O Windows liga-se periodicamente ao serviço OneSettings para obter os dados de configuração necessários para a criação de relatórios. Se esta política estiver ativada, os dados de relatórios necessários poderão não ser transferidos. Por conseguinte, os status do dispositivo podem parecer incompletos ou obsoletos.
Para obter mais informações sobre esta política, veja a Documentação do Sistema CSP de Políticas.
Novidades no relatório de status de Arranque Seguro
O relatório de status de Arranque Seguro foi melhorado desde o início. As melhorias proporcionam visibilidade adicional sobre a configuração do dispositivo, a preparação de atualizações e a precisão dos relatórios.
Estão agora disponíveis os seguintes melhoramentos:
- Os valores de status de certificados são agora interativos, permitindo informações detalhadas por certificado.
- Uma nova coluna de configuração de fidedignidade de Arranque Seguro mostra quais os certificados aplicáveis a cada dispositivo.
- Uma nova coluna Nível de confiança fornece orientações com base nos dados da Microsoft sobre o êxito da atualização para dispositivos semelhantes.
- Uma nova coluna Data comunicada pela última vez mostra quando o dispositivo comunicou pela última vez os dados de diagnóstico.
- Uma nova coluna Alertas apresenta problemas que afetam cada dispositivo diretamente no relatório.
- As colunas de relatórios melhoraram a ordenação e a filtragem.
Para cada dispositivo, o relatório mostra se o Arranque Seguro está ativado ou não. Os dispositivos que não tenham o Arranque Seguro ativado não necessitam de qualquer ação.