Monitoramento do Secure Boot via Intune Remediations: controle proativo de conformidade

 

A Microsoft trouxe uma abordagem prática para monitorar o estado do Secure Boot em dispositivos Windows utilizando o Microsoft Intune, com base em scripts de remediação. Essa solução permite identificar e corrigir automaticamente problemas relacionados a certificados de Secure Boot, algo cada vez mais crítico para a segurança dos endpoints.

O Secure Boot é um recurso fundamental do Windows 11 que garante que apenas softwares confiáveis sejam carregados durante a inicialização.

Problemas com certificados de Secure Boot podem causar falhas de boot, vulnerabilidades de segurança e incompatibilidade com atualizações críticas. Por isso, monitorar esse estado de forma contínua se torna essencial em ambientes corporativos.

O que a solução entrega

A Microsoft propõe o uso de Remediations no Intune para verificar o estado dos certificados de Secure Boot, identificar dispositivos fora de conformidade e aplicar correções automaticamente quando necessário, transformando um processo manual e reativo em algo automatizado e contínuo.

Como funciona na prática

A solução utiliza dois scripts, um de detecção e um de remediação.

O fluxo é simples: o Intune executa o script de detecção e, se identificar problema, dispara a remediação e o dispositivo é corrigido automaticamente.

Esse processo pode ser agendado para rodar periodicamente, garantindo conformidade constante.

Integração com segurança e compliance

Esse tipo de monitoramento se encaixa diretamente em estratégias de segurança baseadas em hardening de endpoints, compliance contínuo e redução de superfície de ataque. Além disso, ajuda a manter os dispositivos alinhados com requisitos modernos de segurança exigidos pelo Windows 11.

A implementação desse cenário no Microsoft Intune é relativamente simples, mas exige atenção em permissões e estrutura dos scripts. A ideia é usar um script de detecção para validar o estado do Secure Boot e outro de remediação para corrigir quando necessário.

Garanta que os dispositivos estejam gerenciados pelo Intune, os usuários/dispositivos tenham licença compatível (E3/E5 ou equivalente), os dispositivos rodem Windows 10 ou Windows 11 e o Secure Boot esteja suportado pelo hardware

Etapa 1: acessar Remediations

1. Acesse o portal do Intune

2. Vá em Devices

3. Clique em Scripts and remediations

4. Selecione Remediations

Aqui é onde você cria o pacote com detecção + correção.

Etapa 2: criar o script de detecção

Esse script verifica se o Secure Boot está ok: powershell_scripts/Microsoft/Intune/security_boot.ps1 at main · iamjrbro/powershell_scripts

Lógica:

• exit 0 → tudo certo

• exit 1 → precisa remediar

Etapa 3: criar o script de remediação

Aqui você trata o problema. Em muitos casos, não é possível “ligar” Secure Boot via script, mas você pode identificar certificados inválidos, registrar logs e orientar correção.

Exemplo simples:

Write-Output "Secure Boot issue detected. Manual intervention may be required."

Etapa 4: criar o pacote no Intune

1. Clique em Create script package

2. Nomeie (ex: Secure Boot Monitoring)

3. Faça upload de:

   • Detection script

   • Remediation script

4. Configure:

• Run script using logged-on credentials: No

• Run script in 64-bit PowerShell: Yes

Etapa 5: definir agendamento

Escolha a frequência de execução:

• a cada 1 hora (ambiente crítico)

• diariamente (mais comum)

Isso garante monitoramento contínuo.

Etapa 6: atribuir aos dispositivos

1. Vá em Assignments

2. Selecione grupos do Microsoft Entra ID

3. Pode começar com um grupo piloto

Etapa 7: monitorar resultados

Após o deploy:

1. Acesse o pacote criado

2. Vá em Device status

3. Analise os dispositivos compliant, com falha e as remediações executadas
   
   

• Evite tentar forçar alterações de BIOS/UEFI via script
• Use remediação mais para diagnóstico e preparação
• Combine com políticas de compliance do Intune
• Teste sempre em grupo piloto antes de produção

Com Remediations no Intune, você consegue monitorar e agir proativamente, mantendo os dispositivos alinhados com os requisitos de segurança do ambiente.

Para administradores, proporciona visibilidade centralizada do estado dos dispositivos, além da automação de correções, redução de esforço manual e prevenção de incidentes antes que impactem o usuário.

Esse tipo de abordagem é ideal para ambientes que utilizam Intune para gerenciamento de endpoints, possuem dispositivos Windows modernos e precisam garantir conformidade com políticas de segurança.

Saiba mais: Monitoring Secure Boot certificate status with Microsoft Intune remediations - Microsoft Support

Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree