Забележка
- Първоначална дата на публикуване: 19 февруари 2026 г.
- ИД на БЗ: 5080931
Забележка
Тази статия има указания за:
Администратори на виртуален работен плот на Azure, управляващи актуализациите на хоста на сесията
Организации, използващи VM с активирано защитено стартиране за разполагания на Azure Virtual Desktop
Организации, използващи изображения по избор (златни изображения) за разполагания на виртуален работен плот в Azure
В тази статия:
Въведение
Защитеното стартиране е функция за защита на фърмуера UEFI, която помага да се гарантира, че само надежден, цифрово подписан софтуер се изпълнява по време на поредица за стартиране на устройството. Сертификатите за защитено стартиране на Microsoft, издадени през 2011 г., изтичат през юни 2026 г. Без актуализираните сертификати от 2023 г. устройствата вече няма да получават нови защити на диспечера за защитено стартиране и стартиране или смекчавания на новооткрити уязвимости на ниво стартиране.
Всички виртуални машини с разрешено защитено стартиране, регистрирани в услугата Azure Virtual Desktop, и персонализираните изображения, използвани за осигуряването им, трябва да бъдат актуализирани до сертификатите от 2023 г. преди изтичането на срока, за да останат защитени. Вижте кога изтича срокът на сертификатите за защитено стартиране на устройства с Windows
Това отнася ли се за моята среда на виртуален работен плот на Azure?
| Симптом | Защитеното стартиране активно ли е? | Изисква се действие |
|---|---|---|
| Домакини на сесии | ||
| Надеждно стартиране на VM с разрешено защитено зареждане | Да | Актуализиране на сертификати на сесията на хоста |
| Надеждно стартиране на VM с забранено защитено зареждане | Не | Не е необходимо действие |
| Standard security type VM | Не | Не е необходимо действие |
| Generation 1 VM | Не се поддържа | Не е необходимо действие |
| Златни изображения | ||
| Изображение на галерията от изчисления на Azure с разрешено защитено стартиране | Да | Актуализиране на сертификати в изображението източник |
| Изображение на галерията от изчисления на Azure без надеждно стартиране | Не | Прилагане на актуализации в хоста на сесията след разполагане |
| Управлявано изображение (не поддържа надеждно стартиране) | Не | Прилагане на актуализации в хоста на сесията след разполагане |
За пълна допълнителна информация вижте Актуализации на сертификата за защитено стартиране: указания за професионалисти и организации в областта на информационните технологии.
Наличности и монитор
Преди да предприемете действие, инвентаризирайте вашата среда, за да идентифицирате устройства, които изискват актуализации. Наблюдението е от съществено значение, за да се уверите, че сертификатите се прилагат преди крайния срок през юни 2026 г. – дори ако разчитате на методи за автоматично разполагане. По-долу са дадени опциите, с които да определите дали трябва да се предприемат действия.
Опция 1: Отстраняване на проблеми от Microsoft Intune
За хостове на сесии, записани в Microsoft Intune, можете да разположите скрипт за откриване с помощта на Intune Remediations (проактивни корекции), за да събирате автоматично състоянието на сертификата за защитено стартиране в цялата си автопарка. Скриптът се изпълнява безшумно на всяко устройство и докладва състоянието на защитеното стартиране, напредъка на актуализирането на сертификата и подробните данни за устройството обратно в портала на Intune – не са направени промени на устройствата. Резултатите могат да се преглеждат и експортират в CSV директно от центъра за администриране на Intune за анализ на целия автопарк.
За инструкции "стъпка по стъпка" за разполагане на скрипта за откриване вижте "Наблюдение на състоянието на сертификата за защитено стартиране" с помощта на корекции на грешки от Microsoft Intune.
Опция 2: Отчет за състоянието на защитеното стартиране на Windows Autopatch
За лични постоянни хостове на сесии, регистрирани с Windows Autopatch, отидете в центъра >за администриране на IntuneОтчети>Windows Autopatch> актуализациина качеството>на Windows Раздел>"Отчети" Състояние на защитеното стартиране. Вижте отчета за състоянието на защитеното стартиране в Windows Autopatch.
Забележка
Windows Autopatch поддържа само лични постоянни виртуални машини за виртуален работен плот на Azure. Не се поддържат хостове с много сесии, насложени непостоянни виртуални машини и отдалечено поточно предаване на приложения. Вижте Windows Autopatch в работни натоварвания на виртуален работен плот на Azure.
Опция 3: Ключове от системния регистър за мониторинг на автопарка
Използвайте съществуващите инструменти за управление на устройства, за да изпращате заявки до тези стойности на системния регистър във вашата автопарка.
| Път на системния регистър | Клавиш | Цел |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Състояние | Текущо състояние на разполагане |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Грешка | Показва грешки (не би трябвало да съществуват) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Показва ИД на събитие (не би трябвало да съществува) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
НаличниАктуализации | Битове за чакаща актуализация |
За пълни подробности за ключовете от системния регистър вж. Актуализации на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от информационни технологии.
Опция 4: Наблюдение на регистъра на събитията
Използвайте съществуващите инструменти за управление на устройства, за да събирате и наблюдавате тези идентификатори на събития от регистъра на системните събития във вашата автопарка.
| ИД на събитие | Местоположение | Значение |
|---|---|---|
| 1808 | Система | Успешно приложени сертификати |
| 1801 | Система | Актуализиране на състояние или подробности за грешка |
За пълен списък на подробностите за събитията вж. събитията за актуализиране на база данни за защитено стартиране и променливи DBX.
Опция 5: Скрипт за наличности на PowerShell
Изпълнете примерния скрипт за събиране на данни за инвентар на Microsoft за защитено стартиране, за да проверите състоянието на актуализация на сертификата за защитено стартиране. Скриптът събира няколко точки от данни, включително състояние на защитено стартиране, състояние на актуализация на UEFI CA 2023, версия на фърмуера и дейност в регистъра на събитията.
Разполагане
Важно
Независимо коя опция за разполагане изберете, препоръчваме да наблюдавате вашия парк от устройства, за да потвърдите, че сертификатите са приложени успешно преди крайния срок юни 2026 г. За изображения по избор вижте съображенията за Golden Image.
Опция 1: Автоматични Актуализации от актуализиране на Windows (устройства с висока достоверност)
Microsoft автоматично актуализира устройствата чрез месечни актуализации на Windows, когато достатъчна телеметрия потвърди успешно разполагане на подобни хардуерни конфигурации.
- Състояние: Разрешено по подразбиране за устройства с висока достоверност
- Не се изисква действие, освен ако не искате да се отпишете
| Системен регистър | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Клавиш | HighConfidenceOptOut = 1 за отписване |
| групови правила | Компютърна конфигурация>Административни шаблони>Компоненти >на WindowsЗащитено стартиране>Автоматично внедряване на сертификат чрез Актуализации> Задайте на "Забранено", за да се откажете. |
Забележка
Препоръка: Дори когато автоматичните актуализации са разрешени, наблюдавайте домакините на сесията, за да проверите дали се прилагат сертификатите. Не всички устройства отговарят на условията за високоуверено автоматично разполагане.
За повече информация вижте "Помощ за автоматизирано разполагане".
Опция 2: IT-Initiated разполагане
Ръчно задействайте актуализации на сертификати за незабавно или контролирано внедряване.
| Метод на приготвяне | Документация |
|---|---|
| Microsoft Intune | Метод на Microsoft Intune |
| Групови правила | Метод с обекти с групови правила (GPO) |
| Ключове от системния регистър | Метод с ключ от системния регистър |
| WinCS CLI | API на WinCS |
Забележка
- Не смесвайте методи за внедряване, инициирани от ИТ (например Intune и GPO) на едно и също устройство – те контролират едни и същи ключове от системния регистър и може да са в конфликт.
- Разрешете приблизително 48 часа и един или повече рестартирания, за да се приложат напълно сертификатите.
Съображения за Golden Image
За среди на виртуален работен плот на Azure, използващи изображения на изчислителна галерия на Azure с разрешено защитено зареждане, приложете актуализацията на сертификата за защитено стартиране 2023 към златното изображение, преди да го заснемете. Използвайте един от методите, описани по-горе, за да приложите актуализацията, след което проверете дали сертификатите са актуализирани, преди да обобщите:
Забележка
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Изображения без разрешено надеждно стартиране не могат да получават актуализации на сертификата за защитено стартиране чрез изображението. Това включва управлявани изображения, които не поддържат надеждно стартиране, и изображения на изчислителна галерия на Azure, където надеждното стартиране не е разрешено. За устройства, осигурени от тези изображения, приложете актуализациите в ОС втор, като използвате един от методите по-горе.
Известни проблеми
Ключът от системния регистър за обслужване не съществува
| Симптом | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing път не съществува |
|---|---|
| Причина | На устройството не са инициирани актуализации на сертификати |
| Решение | Изчакайте автоматично разполагане чрез актуализиране на Windows или започнете ръчно, като използвате един от методите за внедряване, инициирани от ИТ по-горе |
Състоянието показва "В ход" за продължителен период
| Симптом | UEFICA2023Status остава "В ход" след няколко дни |
|---|---|
| Причина | Устройството може да се нуждае от рестартиране, за да завърши процесът на актуализиране |
| Решение | Рестартирайте хоста на сесията и проверете състоянието отново след 15 минути. Ако проблемът продължава, вижте събитията за актуализиране на променливи DB за защитено стартиране и DBX за указания за отстраняване на неизправности |
Съществува ключ от системния регистър за грешка на UEFICA2023
| Симптом | Ключът от системния регистър UEFICA2023Error е наличен |
|---|---|
| Причина | Възникна грешка по време на внедряването на сертификата |
| Решение | Проверете регистъра на системните събития за подробности. Вижте събития за актуализиране на променливи DB и DBX за указания за отстраняване на неизправности |