- Microsoft interrompeu todos os patches de segurança para Windows 10 em 14 de outubro de 2025; cada CVE encontrado após essa data estará permanentemente aberto em máquinas sem patch
- Cerca de 28% das máquinas Windows no Reino Unido e 26% na Holanda ainda usavam Windows 10 no início de 2026
- O Windows 11 requer TPM 2.0, que é o bloqueador mais comum para máquinas de 2016–2018; verifique o BIOS antes de assumir que a substituição é necessária
- As Atualizações de Segurança Estendidas (ESU) estão disponíveis a preço de custo e compram até três anos de patches, mas não substituem a migração
- Cyber Essentials, ISO 27001 Anexo A.8.8 e NIS2 Artigo 21 exigem sistemas operacionais compatíveis e corrigidos
O que fim de vida significa na prática
O fim da vida útil não significa que o Windows 10 pare de funcionar. Isso significa que o Microsoft para de consertar. As atualizações do Patch Tuesday cessaram em 14 de outubro de 2025. Qualquer vulnerabilidade descoberta após essa data, seja uma exploração de dia zero por grupos de ransomware ou um CVE divulgado publicado no National Vulnerability Database, permanece aberta em máquinas Windows 10 indefinidamente. Nenhum patch virá.
A comparação com o fim da vida útil do Windows 7 em janeiro de 2020 é instrutiva. Em poucos meses, a atividade de exploração direcionada a máquinas com Windows 7 sem correção aumentou acentuadamente. Os agentes de ameaças mantêm listas de sistemas operacionais em fim de vida precisamente porque a superfície de ataque é conhecida, permanente e cresce a cada nova divulgação de CVE.
Além da segurança, o Windows 10 perde progressivamente o suporte de terceiros. Os fornecedores de software atualizam suas matrizes de compatibilidade quando uma nova versão é lançada. Os aplicativos continuarão funcionando no curto prazo, mas as configurações suportadas pelo fornecedor, as atualizações de driver para novo hardware e as melhorias de segurança do navegador deixarão de estar disponíveis no Windows 10 nos próximos um a dois anos.
A escala do problema
Os dados do Statcounter do início de 2026 colocam a participação do Windows 10 nas máquinas Windows em aproximadamente 28% no Reino Unido e 26% na Holanda. Para um conjunto comercial de 100 máquinas, são 26 a 28 dispositivos que não tiveram patches de segurança por mais de seis meses.
A concentração é maior em empresas que compraram hardware em 2017–2019, seja porque essas máquinas não atendem aos requisitos de hardware do Windows 11 ou porque nenhuma migração foi planejada quando o Windows 11 foi lançado em 2021. Muitas organizações só descobriram o problema quando os avaliadores do Cyber Essentials ou os auditores do ISO 27001 o sinalizaram.
Suas três opções
Opção 1: atualização no local (gratuita)
Se a máquina atender aos requisitos de hardware do Windows 11, a atualização será gratuita por meio do Windows Update ou do Assistente de Instalação do Windows 11. O processo leva de 45 a 90 minutos, preserva aplicativos e arquivos existentes e não requer compra de licença. Para máquinas qualificadas, este é o caminho de menor atrito.
O bloqueador comum é o TPM 2.0. O Windows 11 requer um Trusted Platform Module na versão 2.0. Muitas máquinas de 2016 a 2018 foram fornecidas com TPM 1.2 ou com TPM 2.0 presente, mas desabilitadas nas configurações do BIOS. Antes de decidir que uma máquina não pode ser atualizada, verifique as configurações de firmware do BIOS. Um chip TPM 2.0 desabilitado pode ser habilitado em minutos e torna a máquina elegível para uma atualização gratuita. Execute o aplicativo Microsoft PC Health Check em cada dispositivo para confirmar seu status de elegibilidade antes de planejar qualquer outra coisa.
Opção 2: Substituir hardware
As máquinas que falham nas verificações de compatibilidade após a inspeção do BIOS são candidatas à substituição. De qualquer forma, um laptop com um ciclo de atualização de 4 a 5 anos normalmente deveria ser substituído nesse período. O prazo final do Windows 10 acelera uma atualização de hardware que já estava no horizonte.
Se estiver substituindo, padronize uma especificação de hardware. O hardware consistente reduz a complexidade do suporte e agiliza a geração de imagens, a implantação e a solução de problemas. Documente as especificações mínimas para novas compras daqui para frente, para que as decisões de aquisição não recriem o mesmo problema em quatro anos.
Opção 3: Atualizações de Segurança Estendidas (ESU)
O Microsoft vende patches de segurança estendidos para Windows 10 por £ 25–45 por dispositivo no primeiro ano, aumentando nos anos dois e três. O ESU está disponível até outubro de 2028 por meio de contratos de licenciamento por volume ou, para assinantes do Microsoft 365 Business Premium, sem custo adicional no primeiro ano.
A ESU mantém as máquinas corrigidas contra vulnerabilidades divulgadas, mas não restaura atualizações de recursos, suporte de driver para novo hardware ou compatibilidade com versões futuras de software. É uma ponte para o planeamento e execução da migração, e não uma alternativa permanente. Se seu plano for ESU agora e migração depois, defina o prazo de migração antes que o período da ESU expire.
O Cyber Essentials exige que os sistemas operacionais sejam suportados e recebam atualizações de segurança do fornecedor. A orientação publicada do Microsoft afirma que a ESU fornece atualizações de segurança, mas os avaliadores divergem sobre se as máquinas cobertas pela ESU contam como totalmente suportadas. Consulte seu órgão de certificação antes de confiar na ESU como sua postura de conformidade para avaliações do Cyber Essentials.
Auditando seu patrimônio
Antes de planejar qualquer migração, você precisa de um inventário preciso de cada dispositivo, sua versão do sistema operacional e seu status de compatibilidade com o Windows 11.
Se sua organização usa o Microsoft Intune, execute um relatório de conformidade do dispositivo filtrado por versão do sistema operacional. O Intune também pode executar resultados do PC Health Check em escala por meio de uma política de conformidade. Se você usar outra plataforma RMM, gere um relatório de inventário do sistema operacional no console de gerenciamento. Onde você não possui ferramentas de gerenciamento remoto, o aplicativo Microsoft PC Health Check pode ser executado localmente em cada máquina.
Exporte os resultados para uma planilha e agrupe os dispositivos em três categorias: elegíveis para atualização no local, requerem substituição de hardware e cobertos por ESU com substituição pendente. Crie uma ordem de correção priorizada: primeiro administre contas de administrador e máquinas que acessam sistemas financeiros, dados privilegiados ou recursos conectados por VPN.
Requisitos de hardware do Windows 11
Implicações de conformidade
Fundamentos Cibernéticos exige que todo software receba atualizações de segurança de seu fornecedor e seja coberto por uma versão suportada. O Windows 10 após outubro de 2025 não receberá atualizações de segurança. Qualquer avaliação do Cyber Essentials sinalizará as máquinas Windows 10 no escopo como não compatíveis com os requisitos de patch e software.
ISO 27001:2022, Anexo A.8.8 (Gerenciamento de Vulnerabilidades Técnicas) exige que as organizações identifiquem vulnerabilidades em seus ativos de informação e as resolvam dentro de um prazo definido. Um sistema operacional que acumula permanentemente CVEs não corrigidos é uma vulnerabilidade técnica documentada para a qual um auditor exigirá um plano de correção por escrito.
NIS2 (UE, Artigo 21) exige que entidades essenciais e importantes mantenham seus sistemas em estado seguro, incluindo a aplicação de patches e atualizações. Espera-se que as entidades holandesas supervisionadas pelo NCSC-NL operem em pilhas de software suportadas. Sistemas operacionais sem correção e sem suporte em sistemas dentro do escopo são uma falha de controle que as autoridades de supervisão documentarão.
O Windows 10 não se tornou inseguro em 14 de outubro de 2025. Ele parou de ser corrigido.