Мониторинг на състоянието на сертификата за защитено стартиране с корекции на Microsoft Intune

Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Забележка

  • Първоначална дата на публикуване: 18 февруари 2026 г.
  • ИД на БЗ: 5080921

Тази статия има указания за:

  • ИТ администратори, които се нуждаят от видимост за състоянието на актуализация на сертификата за защитено стартиране от техните записани в Intune устройства с Windows
  • Организации, подготвящи се за крайния срок за изтичане на срока на сертификата за защитено стартиране през юни 2026 г.
  • Екипи, които искат да наблюдават напредъка на внедряването на сертификата на своите записани за Intune устройства с Windows

В тази статия:

Въведение

Сертификатите за защитено стартиране на Microsoft (2011 CA) изтичат от юни 2026 г. Всички устройства с Windows с разрешено защитено зареждане трябва да бъдат актуализирани до сертификатите от 2023 г. преди изтичане на срока, за да се осигури непрекъсната поддръжка на актуализации на защитата.

Това ръководство предоставя подход само за наблюдение с помощта на Microsoft Intune Remediations (проактивни лечения). Скриптът за откриване събира състоянието на защитено стартиране и сертификат от всяко устройство и го докладва обратно в портала на Intune – не се предприемат действия за отстраняване на последствията. Това дава на администраторите централизиран изглед, който може да се експортира, на напредъка на актуализирането на сертификата на техните записани устройства с Windows в Intune.

Защо да използвате този подход?

Полза Описание
Видимост на цялото устройство Вижте състоянието на всеки сертификат на записано в Intune устройство с Windows на едно място
С възможност за експортиране Експортиране на резултати в CSV файл директно от портала на Intune
Необработени стойности на системния регистър Вижте действителните данни в системния регистър, а не само "успешни/неуспешни"
Контекст на устройството Включва производител, модел, версия на BIOS и тип на фърмуера
Телеметрия на регистъра на събитията Заснема ИД на събития от защитено стартиране (1801/1808), идентификаторите на наборите и доверителните нива
Нулево докосване Изпълнява се безшумно като СИСТЕМА – не се изисква взаимодействие с потребителя

За пълна основна информация относно актуализациите на сертификати вижте Актуализации на сертификати за защитено стартиране: указания за професионалисти и организации в областта на информационните технологии.

Задължителни компоненти

Преди да разположите скрипта за откриване, уверете се, че вашата среда отговаря на необходимите изисквания.

Това решение използва възстановяването в Microsoft Intune. За пълен списък на задължителните компоненти вижте "Използвайте лечение за откриване и коригиране на проблеми с поддръжката – Microsoft Intune".

Скриптове за откриване

Скриптът за откриване е скрипт на PowerShell, който събира изчерпателни данни за описа на защитеното стартиране от всяко устройство и ги извежда като JSON низ. Скриптът чете от следните източници:

Системен регистър – състояние на актуализация на сертификата за защитено стартиране, ключове за обслужване, атрибути на устройството и настройки за включване/отписване от HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot и неговите подключове

WMI/CIM – версия на операционната система, последно време на стартиране и информация за хардуера на основната платка

Регистрационни файлове на събитията – записи в регистъра на системните събития за ИД на събития 1801 и 1808 (събития за актуализиране на защитеното стартиране)

Изходът от JSON се показва в портала на Intune под Remediations > Monitor > Device > status "Изход за откриване преди отстраняването на грешки" и може да се експортира в CSV за анализ.

Важно: Това е скрипт само за откриване. Не са направени промени по устройството. Не е нужен скрипт за възстановяване.

Creating the Script File

Забележка

ВАЖНО Следната статия, съдържаща примерния скрипт, е оттеглена. Ако сте инсталирали актуализация на Windows, издадена на или след 12 май 2026 г., примерният скрипт може да бъде намерен в папката %systemroot%\SecureBoot\ExampleRolloutScripts на вашето устройство.

Създаване на лечение в Intune

Следвайте тези стъпки, за да разположите скрипта за откриване като отстраняване (скриптов пакет) в Microsoft Intune.

Стъпка 1: Създаване на пакета на скриптовете

Стъпка 2: основни положения

  • Конфигурирайте следните настройки в раздела "Основи ":
Настройка Стойност
Име Монитор на състоянието на сертификата за защитено стартиране
Описание Следи състоянието на актуализация на сертификата за защитено стартиране в цялата флота. Само откриване – не се предприемат действия за отстраняване.
Publisher (името на вашата организация)
  • Щракнете върху Напред

Стъпка 3: Настройки

  • Конфигурирайте следните настройки в раздела "Настройки" :
Настройка Стойност Забележки
Скриптов файл за откриване Качване Detect-SecureBootCertificateStatus.ps1 Скриптът от предишния раздел
Скриптов файл за отстраняване на грешки (оставете празно) Не е необходимо лечение — това е само наблюдение
Изпълнете този скрипт, като използвате идентификационните данни за влизане Не Изпълнява се като СИСТЕМА, за да осигури достъп до Confirm-SecureBootUEFI и системния регистър
Принудителна проверка на подпис на скрипт Не Задайте на "Да ", ако вашата организация изисква подписани скриптове
Изпълнение на скрипт в 64-битова версия на PowerShell Да Изисква се за Confirm-SecureBootUEFI кратки команди и точни прочити на системния регистър
  • Щракнете върху Напред

Стъпка 4: Етикети на обхвата

  • Добавете всякакви етикети за обхвати, изисквани от вашата организация, или ги оставете по подразбиране
  • Щракнете върху Напред

Стъпка 5: Възложени задачи

Настройка Стойност Забележки
Назначения Изберете групите устройства, които искате да наблюдавате Използвайте всички устройства за наблюдение на целия автопарк или конкретни групи за целенасочено наблюдение
Планиране Конфигуриране според вашите нужди от наблюдение Препоръчва се: Веднъж дневно за активно проследяване на внедряването или веднъж седмично за текущо наблюдение

Забележка: Лечението се изпълнява по конфигурирания график на устройството. Първото изпълнение може да отнеме до 24 часа след задаването в зависимост от цикъла на отбелязване на устройството.

Щракнете върху Напред

Стъпка 6: Преглед + създаване

  • Преглед на всички настройки
  • Щракнете върху "Създай"

Преглед и експортиране на резултатите

Преглед на резултатите в портала

  • Придвижване до корекции на устройства >
  • Щракнете върху монитора на състоянието на сертификата за защитено стартиране (или върху името, което сте избрали)
  • Избор на раздела " Монитор "
  • Щракнете върху "Състояние на устройството"
  • Щракнете върху ''Колони'' и добавете резултатите от откриването преди отстраняването на проблеми

Монитор на състоянието

Ще видите таблица със следните колони:

Колона Описание
Име на устройството Името на устройството
Потребителско име Основният потребител на устройството
Състояние на откриване Без проблем (сертификатите са актуализирани) или с проблем (сертификатите не са актуализирани)
Резултати от откриването преди лечението Пълният JSON резултат от скрипта
Последна промяна Кога скриптът за последно е изпълнен на устройството

Експортиране в CSV файл

  • На страницата за състоянието на устройството щракнете върху бутона "Експортиране" в горния край на таблицата
  • CSV файлът ще изтегли всички колони, включително пълния резултат от откриването на JSON за всяко устройство
  • Отваряне в Excel за филтриране, сортиране и анализиране по всяко поле

Съвет: В Excel можете да използвате функциите TEXTJOIN или JSON, за да анализирате изходния JSON за откриване в отделни колони за по-лесен анализ.

Раздел "Общ преглед"

Общ преглед на Intune

Разделът "Общ преглед " на системата за лечение предоставя обобщено табло:

Показател Значение
Устройства с проблеми Устройства, на които сертификатите все още не са актуализирани
Устройства без проблеми Устройства, на които сертификатите са актуални
Устройства с неуспешно откриване Устройства, на които скриптът е открил грешка

Често задавани въпроси

Това променя ли нещо на моите устройства?

Не. Това е скрипт само за откриване. Стойностите на системния регистър не са променени, не се задействат актуализации и не се предприемат действия за отстраняване на проблема. Скриптът само чете стойности и ги докладва.

Какво означава "С проблем"?

"С проблем" означава, че устройството все още не разполага с приложени сертификати за защитено стартиране за 2023 г. и подписан от 2023 г. диспечер за стартиране. Това може да се дължи на следното: - Актуализацията на сертификата не е започната - Актуализацията е в ход и може да се наложи рестартиране, за да завърши - Защитеното стартиране не е разрешено на устройството - Устройството не е базирано на UEFI или изчаква рестартиране, за да приложи диспечера за зареждане.

Какво означава "Без проблем"?

"Без проблем" означава, че устройството е с разрешено защитено стартиране и стойността на системния регистър UEFICA2023Status е актуализирана, което показва, че сертификатите от 2023 г. са приложени успешно.

Колко често се изпълнява скриптът?

Скриптът се изпълнява по график, който конфигурирате в задачата. За активно наблюдение по време на внедряването се препоръчва ежедневно. За текущ мониторинг е достатъчна седмично.

Какво става, ако ключът от системния регистър за обслужване не съществува?

Ако ключът HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing не съществува на дадено устройство, полето UEFICA2023Status ще показва NoValue. Това обикновено означава, че на устройството не са започнати актуализации на сертификати.

Какви лицензи са необходими?

Лечението изисква лицензи за Windows 10/11 Enterprise E3/E5, Education A3/A5 или F3. Ако вашите устройства имат само лицензи за Business Premium или Pro, няма да са налични лечения. Вижте предварителните изисквания за възстановявания.

Ресурси

Сценарий за актуализиране на сертификат за защитено стартиране

Актуализации на сертификата за защитено стартиране: указания за ИТ специалисти

Актуализации на ключове от системния регистър за защитено стартиране

Събития за актуализиране на променливи DB и DBX

Лечение в Microsoft Intune

Предварителни изисквания за отстраняване на проблеми