O que é e como habilitar a Inicialização de Segurança (Secure Boot) no Windows 11

Secure Boot é uma tecnologia de segurança desenvolvida para garantir que um computador seja inicializado apenas com software confiável do fabricante original (OEM). Essa tecnologia impede, por exemplo, que um software malicioso ou não autorizado seja carregado durante o processo de inicialização, verificando a assinatura digital de cada componente do software de boot. 

A verificação desta “inicialização de segurança” inclui drivers de firmware UEFI, aplicativos EFI e o sistema operacional. Caso as assinaturas sejam válidas, o sistema é iniciado normalmente, garantindo a integridade e a segurança do processo de inicialização.

Como funciona a sequência de inicialização?

A sequência de inicialização com Secure Boot segue um processo rigoroso para garantir que apenas software confiável seja executado:

1. Verificação de Assinatura: ao ligar o PC, o firmware UEFI verifica a assinatura de cada componente de inicialização.
2. Inicialização do Firmware UEFI: se todas as assinaturas forem válidas, o firmware UEFI continua a inicialização.
3. Carregamento do Gerenciador de Inicialização: o firmware passa o controle ao Gerenciador de Inicialização do Windows.
4. Verificação de Drivers e Kernel: o Gerenciador de Inicialização verifica os drivers e o kernel do Windows antes de carregá-los.
5. Carregamento do Windows: com todos os componentes verificados, o Windows é carregado junto com o software antimalware e outros drivers necessários.

Caso algum componente falhe na verificação, o firmware UEFI inicia uma recuperação específica do OEM ou tenta usar uma cópia de backup.

Requisitos da Inicialização Segura

Requisito de Hardware	Detalhes
Variáveis UEFI Versão 2.3.1 Errata C	Variáveis devem ser definidas como SecureBoot=1 e SetupMode=0 com um banco de dados de assinatura (EFI_IMAGE_SECURITY_DATABASE) necessário para inicialização segura, incluindo uma PK no banco de dados KEK.
UEFI v2.3.1 Seção 27	A plataforma deve expor uma interface conforme UEFI v2.3.1 Seção 27.
Banco de Dados de Assinatura UEFI	Deve ser provisionado com as chaves corretas no banco de dados de assinatura UEFI (db) e oferecer suporte a atualizações autenticadas seguras.
Assinatura de Firmware	Todos os componentes de firmware devem ser assinados com pelo menos RSA-2048 com SHA-256.
Gerenciador de Inicialização	Deve usar criptografia de chave pública para verificar as assinaturas de todas as imagens na sequência de inicialização.
Proteção Contra Reversão	O sistema deve proteger contra reversão de firmware para versões mais antigas.
EFI_HASH_PROTOCOL	A plataforma deve fornecer o EFI_HASH_PROTOCOL para descarregar operações de hash criptográfico e o EFI_RNG_PROTOCOL para acessar a entropia da plataforma.
TPM	Necessário para armazenar chaves públicas.
CSM	Deve ser desativado para garantir a inicialização correta do sistema.
Virtualização para HVCI	Recomendado para ativar HVCI, uma função de segurança adicional.

Importante!

Apenas ativar o Secure Boot sem garantir que as outras configurações necessárias estão corretas pode causar problemas, como o sistema não inicializar corretamente. Certifique-se de verificar e configurar todos os requisitos listados acima para evitar complicações.

Como verificar se o Secure Boot está ativo?

Verificar se o Secure Boot está ativo no seu PC é simples e pode ser feito sem acessar o BIOS:

1. Abra o menu Iniciar e digite msinfo32 (ou Informações do Sistema).
2. Verifique se o campo “Estado do Secure Boot” está definido como “Ativado”. Se estiver “Desativado”, siga os passos para ativá-lo.

Leia mais:

• Como monitorar a temperatura da CPU e da GPU na Barra de Tarefas
• Como emular um PC antigo
• Como ver a memória RAM do PC

Como ativar o Secure Boot no Windows 11

Agora, para ativá-lo não tem como fugir da BIOS. Os passos para ativar o Secure Boot podem variar ligeiramente dependendo do fabricante do seu PC, mas geralmente seguem um processo semelhante:

1. Abra o Menu Iniciar.
2. Enquanto segura a tecla Shift, clique no botão de energia e selecione “Reiniciar”.
3. Após a reinicialização, clique em “Solução de Problemas”.
4. Selecione “Opções Avançadas”.
5. Clique em “Configurações de Firmware UEFI” e depois em “Reiniciar”.
6. No menu de BIOS, procure por uma opção de Boot ou Segurança.
7. Selecione “Secure Boot” e defina como “Ativado” ou “Ligado”.

Caso você queira desativar o Secure Boot, basta seguir os mesmos passos e definir a opção como “Desativado” ou “Desligado”.

Configurações necessárias para o Windows 11

Para o bom funcionamento do sistema operacional da Microsoft, algumas configurações na BIOS são mandatórias:

• UEFI Boot: certifique-se de que o sistema está configurado para inicializar em modo UEFI.
• Secure Boot: como explicado, deve ser ativado.
• TPM (Trusted Platform Module): deve estar ativado e configurado corretamente para armazenar chaves públicas.
• Virtualização para HVCI: ativar a virtualização é recomendado para habilitar Hypervisor-protected Code Integrity (HVCI), adicionando uma camada a mais de segurança.

Conclusão

Desenvolvido pelo consórcio UEFI, que reúne algumas das maiores empresas de tecnologia do mundo, o Secure Boot impede que códigos não verificados e não confiáveis sejam executados durante o processo de inicialização do sistema.

Assim, apenas software autenticado e de fontes confiáveis pode ser carregado, protegendo o PC contra ataques que possam injetar códigos maliciosos no processo de boot.

Embora desativar o Secure Boot possa ser útil para quem deseja utilizar o dual-boot com algumas distribuições Linux, as mais populares já oferecem suporte a essa funcionalidade. Portanto, manter o Secure Boot ativado é, em geral, a melhor prática para garantir a proteção do seu dispositivo.