Entenda, de forma prática e atual, como escolher entre Legacy BIOS e UEFI no Windows Server 2025 e 2022, quando cada modo faz sentido, como migrar com segurança e quais recursos você ganha ao optar por UEFI e Secure Boot.
Visão geral do problema
Ao planejar novas instalações ou upgrades de Windows Server 2025 e Windows Server 2022, surge a dúvida: “devo inicializar em Legacy BIOS ou UEFI?” A decisão impacta segurança (Secure Boot, VBS/HVCI), suporte a discos GPT e compatibilidade com hipervisores e PXE. Escolher certo evita retrabalho em migrações e ativa recursos modernos de proteção sem complicações.
Resposta direta e solução
- Windows Server 2022: suporta Legacy BIOS e UEFI. A recomendação é usar UEFI para habilitar Secure Boot e demais recursos de segurança.
- Windows Server 2025: a prática observada nas versões recentes e no ecossistema atual indica suporte a Legacy BIOS e UEFI. Recomenda-se UEFI para tirar proveito dos recursos de segurança mais recentes e maior compatibilidade com cenários modernos.
Resumo prático: ambos funcionam em Legacy e UEFI; para novas instalações (físicas ou VMs), opte por UEFI com Secure Boot.
O que muda entre Legacy BIOS e UEFI
Legacy BIOS é o firmware tradicional, com tabela de partições MBR e recursos limitados no pré-boot. UEFI é o sucessor, com suporte a GPT, drivers e variáveis de firmware, interface padronizada e recursos de segurança mais robustos.
| Tema | Legacy BIOS (MBR) | UEFI (GPT) |
|---|---|---|
| Gestão de boot | Carregador legado, sem variáveis de firmware | Boot Manager em EFI System Partition, entradas NVRAM |
| Particionamento | MBR, até ~2 TB por volume de boot | GPT, volumes de boot >2 TB |
| Segurança | Sem validação de boot | Secure Boot, Measured Boot, base para Secured-core |
| VBS/HVCI | Limitado | Suporte recomendado e simplificado |
| NVMe e hardware recente | Pode exigir Option ROM específica | Suporte mais amplo e consistente |
| PXE | PXE legado (x86/BIOS) | PXE UEFI (x64), imagens WinPE UEFI |
| Virtualização | Hyper‑V Geração 1 (IDE, PXE legado) | Hyper‑V Geração 2 (SCSI, Secure Boot) |
| Automação | Menos alinhado a práticas atuais | Compatível com requisitos de segurança corporativa moderna |
Compatibilidade por versão do Windows Server
| Versão | Legacy BIOS | UEFI | Secure Boot | Recomendação |
|---|---|---|---|---|
| Windows Server 2022 | Suportado | Suportado | Suportado em UEFI | UEFI + Secure Boot |
| Windows Server 2025 | Suporte esperado/observado | Suporte esperado/observado | Suportado em UEFI | UEFI + Secure Boot |
Observação: em servidores físicos, Secured-core server (quando disponível) se beneficia de UEFI, TPM 2.0, IOMMU e outras proteções que exigem firmware moderno.
Quando escolher UEFI
- Você precisa de Secure Boot, VBS/HVCI (virtualization‑based security / hypervisor‑enforced code integrity) ou planeja configurar Secured‑core server.
- Vai inicializar a partir de disco GPT (incluindo volumes de boot maiores que 2 TB).
- Vai usar máquinas virtuais Hyper‑V Geração 2 (UEFI, boot por SCSI, Secure Boot).
- Quer alinhamento com melhores práticas de segurança, auditoria e conformidade.
- Precisa de PXE em UEFI x64 para imagens WinPE modernas (implantação via MECM/MDT/WDS).
Quando ainda usar Legacy BIOS
- Hardware mais antigo sem UEFI estável ou sem suporte adequado a Secure Boot.
- Compatibilidade com VMs Hyper‑V Geração 1 (cenários legados ou dependências específicas).
- Ambientes fixos em MBR/BIOS com aplicações críticas onde a migração demanda projeto extenso.
Migração e implantação
De MBR/BIOS para GPT/UEFI em servidores físicos
A migração é viável e pode ser feita com a ferramenta MBR2GPT, desde que o firmware dê suporte a UEFI e o layout do disco cumpra os pré-requisitos. Planeje janela de manutenção e backups verificados.
- Valide o firmware: confirme que o servidor oferece UEFI e que você poderá alternar o modo no setup.
- Cheque o particionamento: veja se há espaço para criar a EFI System Partition. Revise partições OEM e de recuperação.
- Backups e testes: snapshot/backup integral e, se possível, ensaio em cópia do sistema.
- Conversão: use
mbr2gpt.exepara converter o disco do sistema. - Troca no firmware: após a conversão, altere o modo para UEFI e habilite Secure Boot (se compatível).
mbr2gpt /validate /allowFullOS /disk:0
mbr2gpt /convert /allowFullOS /disk:0
Dicas: desative criptografia em volume de sistema (se houver) antes da conversão e reative após validar o boot em UEFI. Em cenários complexos (arranjos RAID, controladoras) teste fora do horário de produção.
Virtualização com Hyper‑V
- Geração 1: BIOS legado, boot em IDE, sem Secure Boot.
- Geração 2: UEFI, boot por SCSI, Secure Boot e inicialização de rede UEFI.
Importante: não é possível “trocar a geração” de uma VM existente. Para sair de BIOS (Geração 1) para UEFI (Geração 2), crie uma nova VM e migre o SO/dados. Abordagens comuns:
- Rebuild controlado: instale o SO em nova VM Gen 2 e restaure apps/dados.
- Clonagem assistida: converta o sistema para GPT (MBR2GPT) e, após preparar o disco, anexe-o a uma VM Gen 2 e regenere o BCD com
bcdbootse necessário.
Outros hipervisores e nuvem
- VMware: VMs podem usar BIOS ou UEFI. A mudança exige planejamento; prefira criar nova VM UEFI e migrar o SO/dados, garantindo GPT e bootloader correto.
- Nuvem pública: provedores modernos priorizam imagens UEFI (Gen 2) com Secure Boot; verifique as diretrizes da plataforma e do marketplace.
Como verificar o modo de boot atual
Via interface
Abra msinfo32 e confira o campo Modo da BIOS (exibirá “UEFI” ou “Legado”).
Via PowerShell
# Verifica o firmware
Get-ComputerInfo | Select-Object BiosFirmwareType
Verifica se o Secure Boot está ativo (retorna True/False em UEFI)
Confirm-SecureBootUEFI
Conferir estilo de partição do disco do sistema
Get-Disk | Select-Object Number, FriendlyName, PartitionStyle, IsBoot, IsSystem Secure Boot, VBS e Secured‑core server
Secure Boot valida a cadeia de inicialização contra chaves confiáveis, barrando bootloaders ou drivers EFI alterados. A partir dele, Recursos como VBS (Virtualization-Based Security) e HVCI isolam processos sensíveis e reforçam a integridade do kernel, dificultando ataques de injeção de código e rootkits. O conjunto de práticas chamado Secured‑core server integra UEFI, TPM 2.0, IOMMU/DMA Protection e configurações de segurança predefinidas.
Para ambientes regulados (PCI‑DSS, ISO 27001, LGPD em contextos de gestão de risco), adotar UEFI + Secure Boot simplifica auditorias e dá base para controles adicionais (medidas de integridade, proteção de credenciais e de memória).
PXE, WinPE e imagens de implantação
Serviços de implantação (MECM/SCCM, MDT, WDS) exigem imagens políticas para cada firmware:
- PXE legado: usado por BIOS; requer boot images compatíveis e drivers de rede adequados.
- PXE UEFI x64: usado por UEFI; precisa de imagens WinPE x64 assinadas e configuradas para Secure Boot.
Boas práticas: mantenha duas sequências de tarefas (BIOS e UEFI), valide driver packs e documente o fluxo de DHCP/Option 66/67 (ou IP Helpers) de acordo com a rota de PXE adotada.
Boas práticas para novas instalações
- Padronize UEFI + Secure Boot para 2022 e 2025.
- Ative TPM 2.0 quando disponível e configure VBS/HVCI de acordo com a carga de trabalho.
- Use GPT mesmo em volumes pequenos; evita bloqueios futuros.
- Para Hyper‑V, prefira Gen 2 (UEFI), boot por SCSI e features de segurança.
- Automatize a checagem de firmware/particionamento nas task sequences para evitar imagens erradas.
Armadilhas comuns e como evitar
- “No boot device found” após alternar para UEFI: o disco continua MBR; converta para GPT com
MBR2GPTe crie a EFI System Partition. - PXE falha em UEFI: imagem WinPE errada (BIOS) ou servidor TFTP/WDS sem as opções para UEFI x64.
- VM Hyper‑V Geração 1 convertida para GPT não inicia: a VM continua com firmware BIOS; crie VM Geração 2 e migre corretamente.
- Secure Boot desabilitado por driver legado: revise drivers/opções de inicialização e use versões assinadas.
Tabela de decisão rápida
| Cenário | Escolha recomendada | Observações |
|---|---|---|
| Nova instalação física | UEFI + Secure Boot | Habilite TPM 2.0, VBS/HVCI se compatível |
| Nova VM em Hyper‑V | Geração 2 (UEFI) | Boot por SCSI, Secure Boot, PXE UEFI |
| Servidor legado sem UEFI estável | Legacy BIOS | Planeje atualização de hardware |
| Ambiente MBR consolidado | Migrar por ondas | Use MBR2GPT e janela de manutenção |
Passo a passo sugerido para migração controlada
- Inventário: descubra o modo de boot, partição e suporte a UEFI por servidor/VM.
- Piloto: selecione poucos nós com perfil representativo (discos, controladoras, apps).
- Backups e rollback: plano reversível e testado.
- Conversão: MBR2GPT, troca de firmware para UEFI, habilitar Secure Boot.
- Pós‑migração: validar VBS/HVCI, BitLocker (se aplicável), monitoramento e baseline de segurança.
FAQ rápido
Posso instalar Windows Server 2022/2025 em BIOS?
Sim. Ambos funcionam em BIOS, mas você perderá recursos como Secure Boot e facilidade para VBS/HVCI.
UEFI é obrigatório para discos de boot >2 TB?
Sim, pois requer GPT e inicialização via UEFI.
Consigo “ligar” Secure Boot depois, sem reinstalar?
Se o sistema já inicializa em UEFI e a pilha de boot está íntegra, geralmente sim. Em BIOS, primeiro é preciso migrar para UEFI/GPT.
É possível converter uma VM Hyper‑V Geração 1 para Geração 2?
Não diretamente. Crie uma nova VM Gen 2 e migre o sistema/dados.
Preciso de TPM 2.0 no Windows Server?
Não é estritamente obrigatório para instalar, mas é fortemente recomendado para recursos de segurança avançados e conformidade.
Checklist operacional
- Firmware atualizado, UEFI e (idealmente) Secure Boot disponíveis.
- Disco do sistema pronto para GPT; espaço para partição EFI.
- Imagens de implantação separadas para PXE BIOS e PXE UEFI.
- Políticas para VBS/HVCI, Credential Guard e BitLocker definidas.
- Processos de backup/restore testados antes da janela de migração.
Conclusão
UEFI com Secure Boot é a base moderna para Windows Server 2022 e 2025, viabilizando VBS/HVCI e a postura Secured‑core. Use Legacy BIOS apenas onde a realidade do hardware exigir. Para novas instalações físicas ou virtuais, padronize UEFI desde o início: além de aumentar a segurança, reduz atritos em PXE, automação e compatibilidade futura.