Surface Studio 2 sem senha do UEFI (Secure Boot): como reinstalar o Windows de forma suportada

Apagou o SSD do Surface Studio 2, esqueceu a senha do UEFI e o Secure Boot impede o arranque por USB (instalador do Windows ou imagem BMR)? Este guia explica, de forma direta, por que isso acontece, o que a Microsoft permite e os passos práticos para voltar a utilizar o equipamento com segurança.

Índice

Contexto: quando o Surface Studio 2 fica preso ao UEFI

O Surface Studio 2 utiliza firmware UEFI com Secure Boot ativado por padrão. Se o SSD foi apagado e não há sistema operativo, a única forma de reinstalar o Windows seria arrancar por uma pen USB de instalação ou por uma imagem de recuperação (Bare Metal Recovery, BMR). Porém, se existe uma senha de firmware definida e você não a recorda, qualquer alteração de ordem de arranque ou desativação do Secure Boot fica bloqueada. Resultado: o dispositivo mostra mensagens do tipo “Secure Boot” / “Secure Boot Violation” e impede o boot externo.

Resposta oficial em resumo

Não existe procedimento de auto‑suporte para remover, recuperar ou repor a senha do UEFI nos dispositivos Surface. A orientação suportada pela Microsoft é abrir um pedido de assistência e enviar o equipamento para avaliação e reparação/substituição da placa‑mãe (quando necessário). Isto preserva a segurança do dispositivo e a integridade do ecossistema de arranque.

Por que o USB não arranca — explicação técnica

  • Secure Boot: verifica a assinatura criptográfica do gestor de arranque. Se o firmware exigir senha para mudar a ordem de boot ou para aceitar uma mídia externa, o processo trava.
  • Menu UEFI bloqueado: para autorizar um USB, alterar “Boot Configuration” ou desligar o Secure Boot, é obrigatório entrar no UEFI — o que requer a mesma senha que foi esquecida.
  • SSD apagado ≠ desbloqueio: limpar o disco não altera variáveis de firmware (armazenadas em NVRAM do UEFI). Assim, o bloqueio permanece mesmo sem sistema.

O que a Microsoft permite (e o que não permite)

ItemDetalhe
Reposição local da senha UEFINão é possível. Nem há “backdoor”, nem a Microsoft fornece a senha esquecida. É uma medida de segurança.
Remover bateria/CMOSNão funciona. Em equipamentos modernos, a NVRAM do UEFI e o TPM não perdem o estado de proteção ao tirar a alimentação.
Ferramentas externas de “BIOS reset”Não recomendado. Pode danificar a placa‑mãe e inviabilizar a reparação. Também pode violar termos de garantia.
Reinstalação limpa via USB/BMRImpossível sem acesso ao UEFI. O Secure Boot impede o arranque por mídia externa quando o firmware está protegido por senha.
Solução suportadaPedido de assistência à Microsoft para desbloqueio via serviço autorizado e, se preciso, substituição da motherboard.

Checklist rápido: como confirmar que o bloqueio é realmente de firmware

SintomaO que significaAção
Mensagem “Secure Boot”/“Secure Boot Violation” ao tentar USBUEFI impede boot externo sem autorizaçãoConfirma bloqueio de firmware; siga para assistência
UEFI pede senha ao premir Volume + e PowerSenha de firmware ativaSem a senha, não é possível mudar configurações
SSD vazio ou sem WindowsSem gestor de arranque internoExige boot por USB/BMR — o que está bloqueado

Passo a passo: abrir uma ordem de serviço com a Microsoft

  1. Use outro computador ou telemóvel com Internet.
  2. Aceda ao site de suporte da Microsoft e escolha Surface → Contactar o Suporte.
  3. Tenha em mãos:
    • Número de série do Surface Studio 2 (na base do equipamento/etiqueta ou na embalagem).
    • Comprovativo de compra (nota fiscal/fatura). Se comprou em segunda mão, leve documentação de transferência de titularidade.
    • Descrição clara: “Apaguei o SSD, esqueci a senha do UEFI, Secure Boot impede o arranque por USB; preciso de criar uma ordem de serviço”.
  4. Escolha o canal: chat ou telefone. Nos países suportados, existe recolha por transportadora ou entrega em centro autorizado.
  5. Crie a ordem de serviço conforme instruções do suporte. Serão fornecidos prazos estimados e, se fora da garantia, o valor da reparação.
  6. Prepare o envio:
    • Remova acessórios (teclados/ratos/USBs), desative contas do Windows se ainda existirem (neste caso, o disco já está apagado), e limpe dados pessoais do packaging.
    • Embale de forma segura. Guarde o código de rastreio.

O que esperar do processo de assistência

  • Diagnóstico: a equipa técnica valida o bloqueio de UEFI/TPM e verifica a viabilidade de desbloqueio dentro das políticas de segurança.
  • Intervenção: quando aplicável, pode envolver substituição da placa‑mãe. Em alguns casos, o equipamento poderá ser trocado por unidade equivalente.
  • Dados: qualquer intervenção de placa‑mãe pressupõe que os dados anteriores são irrecuperáveis. Como o SSD já foi apagado, não há recuperação local a fazer.
  • Custos: dentro da garantia, a reparação segue os termos do fabricante. Fora de garantia, aplica‑se taxa de serviço; confirme valores no suporte do seu país.
  • Tempo: varia por região, disponibilidade de peças e logística. Receberá uma estimativa ao abrir a ordem de serviço.

Casos de uso empresarial (Intune/MDM/Autopilot)

Se o Surface Studio 2 pertence a uma organização, é possível que a senha do UEFI tenha sido definida por políticas de TI (Intune/MDM). Antes de contactar a Microsoft, fale com a sua equipa de TI. Em muitos ambientes corporativos, apenas o administrador possui a senha UEFI ou um método interno de recuperação corporativa. Se a sua TI não tiver a senha, eles próprios devem abrir o pedido de assistência em nome da empresa.

O que não funciona — e porquê

TentativaPor que falhaRisco
Desmontar o equipamento e tirar a “pilha da BIOS”O bloqueio reside em NVRAM/TPM, não no RTC. O estado de segurança persiste.Danos físicos, perda de garantia.
Ferramentas de “reset de BIOS” não oficiaisUEFI é assinado; gravações não autorizadas são recusadas.Brick da placa‑mãe; serviço fica mais caro.
Instalador do Windows em USB “universal”Secure Boot bloqueia o arranque externo sem permissão do UEFI.Perda de tempo; sem efeito.
Imagem BMR/SDE (Surface Data Eraser)Também requer arranque por USB autorizado.Nenhum.

Guia de decisão: o que fazer agora

  1. Tem a senha do UEFI? Se sim, entre no UEFI, autorize o USB assinado e reinstale o Windows. Se não, prossiga.
  2. O equipamento é empresarial? Contacte a TI para obter a senha ou abrir a ordem de serviço corporativa.
  3. Equipamento pessoal e sem senha? Abra o pedido de assistência à Microsoft. Esse é o único caminho suportado.

Passo a passo da reinstalação (quando houver acesso ao UEFI)

Para referência futura — útil se, após a assistência, você voltar a ter acesso ao UEFI:

  1. No UEFI, garanta que o Secure Boot está em modo padrão e que o USB Storage está permitido.
  2. Crie um USB do Windows 10/11 com a Ferramenta de Criação de Mídia ou utilize a imagem BMR específica do Surface Studio 2.
  3. Inicie o Surface com o USB conectado. Siga o instalador para particionar e instalar o Windows.
  4. Instale drivers e firmware do Surface (Pacote de Drivers do Surface) e aplique o Windows Update.

Perguntas frequentes (FAQ)

Posso adivinhar a senha ou tentar “força bruta”?

Não é viável nem recomendado. Múltiplas tentativas falhadas não vão desbloquear o UEFI. Procure a via oficial.

Existe código mestre (“master key”) do fabricante?

Não. Por motivações de segurança, não há “chave mestra” pública ou canal de recuperação por conta própria.

O TPM influencia esse bloqueio?

O TPM armazena chaves e participa da cadeia de arranque seguro. Embora distinto do UEFI, o ecossistema trabalha em conjunto para impedir alterações não autorizadas.

Se a placa‑mãe for trocada, muda o número de série?

É possível. Em alguns cenários de substituição, a unidade regressa com número de série diferente. Guarde a documentação da assistência.

Comprei em segunda mão, sem fatura. E agora?

Prepare qualquer prova de propriedade (recibo, troca de e‑mails, contrato) e explique ao suporte. A política pode variar por região; o objetivo é verificar propriedade legítima.

Consigo recuperar dados antigos?

Não. O disco já foi apagado. Além disso, intervenções em placa‑mãe não visam recuperação de dados. Mantenha sempre backups regulares.

Boas práticas para nunca mais ficar bloqueado

  • Evite definir senha de UEFI se não for estritamente necessário para o seu caso de uso doméstico.
  • Se definir, guarde a senha num gestor de palavras‑passe confiável e num local físico seguro (impresso e lacrado).
  • Mantenha a chave de recuperação do BitLocker guardada na sua Conta Microsoft ou cofre corporativo.
  • Crie periodicamente uma imagem de recuperação (BMR) e valide que o USB arranca enquanto você ainda sabe a senha do UEFI.
  • Registe o Surface no portal de dispositivos da Microsoft para facilitar o suporte.

Checklist de envio para assistência

ItemEstado
Número de série anotado
Comprovativo de compra/transferência
Descrição do problema preparada
Acessórios removidos (USBs, cartões, periféricos)
Embalagem adequada e proteção
Etiqueta/código de envio conferido

Quadro de resolução rápida

ProblemaCausa provávelSolução suportada
USB do Windows não arrancaSecure Boot + senha UEFIAssistência Microsoft
BMR acusa violação de Secure BootArranque externo não autorizadoAssistência Microsoft
Não consigo entrar no UEFISenha de firmware esquecidaAssistência Microsoft
“Reset” pela bateria CMOSNVRAM/TPM retêm o bloqueioNão funciona

Glossário essencial

  • UEFI: firmware moderno que substitui a BIOS; controla arranque e segurança de baixo nível.
  • Secure Boot: mecanismo que permite iniciar apenas software de arranque assinado e confiável.
  • BMR (Bare Metal Recovery): imagem de recuperação para reinstalar o sistema do zero.
  • NVRAM: memória não volátil onde o UEFI guarda configurações e variáveis.
  • TPM: hardware criptográfico para proteger chaves e integridade do arranque.

Resumo executivo

Sem a senha do UEFI, não é possível prosseguir localmente com a reinstalação do Windows no Surface Studio 2. O Secure Boot impede o arranque por USB/BMR e não há como redefinir a senha por conta própria. A única via suportada é abrir um pedido de assistência com a Microsoft para desbloqueio por serviço autorizado ou substituição da placa‑mãe, conforme o diagnóstico.

Índice