Актуализации на сертификата за защитено стартиране за Windows 365

Забележка

  • Първоначална дата на публикуване: 19 февруари 2026 г.
  • ИД на БЗ: 5080914

Забележка

Тази статия има указания за:

  • Администратори на Windows 365, управляващи компютри в облака.

  • Организации, използващи компютри в облака с активирано защитено стартиране за разполагания на Windows 365.

  • Организации, използващи персонализирани изображения за разполагания на Windows 365.

В тази статия:

Въведение

Защитеното стартиране е функция за защита на фърмуера UEFI, която помага да се гарантира, че само надежден, цифрово подписан софтуер се изпълнява по време на последователността за стартиране на устройството. Сертификатите за защитено стартиране на Microsoft, издадени през 2011 г., изтичат през юни 2026 г. Без актуализираните сертификати от 2023 г. устройствата вече няма да получават нови защити на диспечера за защитено стартиране и стартиране или смекчавания на новооткрити уязвимости на ниво стартиране.

Всички компютри в облака с активирано защитено стартиране, осигурени в услугата Windows 365, и персонализирани изображения, използвани за осигуряването им, трябва да бъдат актуализирани до сертификатите от 2023 г. преди изтичането на срока, за да останат защитени. Вижте кога изтича срокът на сертификатите за защитено стартиране на устройства с Windows.

Това важи ли за моята среда на Windows 365?

Симптом Защитеното стартиране активно ли е? Изисква се действие
Компютри в облака
Компютър в облака с разрешено защитено зареждане Да Актуализиране на сертификати на компютъра в облака
Компютър в облака със защитено зареждане деактивирано Не Не е необходимо действие
Изображения
Изображение на галерията от изчисления на Azure с разрешено защитено стартиране Да Актуализиране на сертификати в изображението източник преди обобщаване
Изображение на галерията от изчисления на Azure без надеждно стартиране Не Прилагане на актуализации в компютър в облака след осигуряване
Управлявано изображение (не поддържа надеждно стартиране) Не Прилагане на актуализации в компютър в облака след осигуряване

За пълна допълнителна информация вижте Актуализации на сертификата за защитено стартиране: указания за професионалисти и организации в областта на информационните технологии.

Наличности и монитор

Преди да предприемете действие, инвентаризирайте вашата среда, за да идентифицирате устройства, които изискват актуализации. Наблюдението е от съществено значение, за да се уверите, че сертификатите се прилагат преди крайния срок през юни 2026 г. – дори ако разчитате на методи за автоматично разполагане. По-долу са дадени опциите, с които да определите дали трябва да се предприемат действия.

Опция 1: Отстраняване на проблеми от Microsoft Intune

За компютри в облака, записани в Microsoft Intune, можете да разположите скрипт за откриване с помощта на Intune Remediations (проактивни корекции), за да събирате автоматично състоянието на сертификата за защитено стартиране в цялата си автопарка. Скриптът се изпълнява безшумно на всяко устройство и докладва състоянието на защитеното стартиране, напредъка на актуализирането на сертификата и подробните данни за устройството обратно в портала на Intune – не са направени промени на устройствата. Резултатите могат да се преглеждат и експортират в CSV директно от центъра за администриране на Intune за анализ на целия автопарк.

За инструкции "стъпка по стъпка" за разполагане на скрипта за откриване вижте "Наблюдение на състоянието на сертификата за защитено стартиране" с помощта на корекции на грешки от Microsoft Intune.

Опция 2: Отчет за състоянието на защитеното стартиране на Windows Autopatch

За компютри в облака, регистрирани с Windows Autopatch, отидете в центъра >за администриране на IntuneОтчети>Windows Autopatch> актуализациина качеството>на Windows Раздел> "Отчети" Състояние на защитеното стартиране. Вижте отчета за състоянието на защитеното стартиране в Windows Autopatch.

Забележка: За да използвате Windows Autopatch с Windows 365, компютрите в облака трябва да бъдат регистрирани в услугата Windows Autopatch. Вижте Windows Autopatch при работни натоварвания на Windows 365 Enterprise.

Опция 3: Ключове от системния регистър за мониторинг на автопарка

Използвайте съществуващите инструменти за управление на устройства, за да изпращате заявки до тези стойности на системния регистър във вашата автопарка.

Път на системния регистър Клавиш Цел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Състояние Текущо състояние на разполагане
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Грешка Показва грешки (не би трябвало да съществуват)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Показва ИД на събитие (не би трябвало да съществува)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
НаличниАктуализации Битове за чакаща актуализация

За пълни подробности за ключовете от системния регистър вж. актуализациите на ключовете от системния регистър за защитено стартиране.

Опция 4: Наблюдение на регистъра на събитията

Използвайте съществуващите инструменти за управление на устройства, за да събирате и наблюдавате тези идентификатори на събития от регистъра на системните събития във вашата автопарка.

ИД на събитие Местоположение Значение
1808 Система Успешно приложени сертификати
1801 Система Актуализиране на състояние или подробности за грешка

За пълен списък на подробностите за събитията вж. събитията за актуализиране на база данни за защитено стартиране и променливи DBX.

Опция 5: Скрипт за наличности на PowerShell

Изпълнете примерния скрипт за събиране на данни за инвентар на Microsoft за защитено стартиране, за да проверите състоянието на актуализация на сертификата за защитено стартиране. Скриптът събира няколко точки от данни, включително състояние на защитено стартиране, състояние на актуализация на UEFI CA 2023, версия на фърмуера и дейност в регистъра на събитията.

Разполагане

Важно

Независимо коя опция за разполагане изберете, препоръчваме да наблюдавате вашия парк от устройства, за да потвърдите, че сертификатите са приложени успешно преди крайния срок юни 2026 г. За изображения по избор вж. "Съображения за потребителски изображения".

Опция 1: Автоматични Актуализации от актуализиране на Windows (устройства с висока достоверност)

Microsoft автоматично актуализира устройствата чрез месечни актуализации на Windows, когато достатъчна телеметрия потвърди успешно разполагане на подобни хардуерни конфигурации.

  • Състояние: Разрешено по подразбиране за устройства с висока достоверност
  • Не се изисква действие, освен ако не искате да се отпишете
Системен регистър HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Клавиш HighConfidenceOptOut = 1 за отписване
групови правила Компютърна конфигурация>Административни шаблони>Компоненти >на WindowsЗащитено стартиране>Автоматично внедряване на сертификат чрез Актуализации> Задайте на "Забранено", за да се отпишете

Забележка

Препоръка: Дори когато автоматичните актуализации са разрешени, наблюдавайте вашите компютри в облака, за да проверите дали сертификатите се прилагат. Не всички устройства отговарят на условията за високоуверено автоматично разполагане.

За повече информация вижте "Помощ за автоматизирано разполагане".

Опция 2: IT-Initiated разполагане

Ръчно задействайте актуализации на сертификати за незабавно или контролирано внедряване.

Метод на приготвяне Документация
Microsoft Intune Метод на Microsoft Intune
Групови правила Метод с GPO
Ключове от системния регистър Метод с ключ от системния регистър
WinCS CLI API на WinCS

Забележка

  • Не смесвайте методи за внедряване, инициирани от ИТ (например Intune и GPO) на едно и също устройство – те контролират едни и същи ключове от системния регистър и може да са в конфликт.
  • Разрешете приблизително 48 часа и един или повече рестартирания, за да се приложат напълно сертификатите.

Съображения за персонализирани изображения

Персонализираните изображения се управляват изцяло от вашата организация. Вие носите отговорност за прилагането на актуализациите на сертификата за защитено стартиране за потребителското изображение и повторното му качване, преди да го използвате за осигуряване.

Прилагането на актуализации на сертификата за защитено стартиране към изображението източник се поддържа само с изображения на изчислителната галерия на Azure (предварителен преглед), които поддържат надеждно стартиране и защитено зареждане. Управляваните изображения не поддържат защитено стартиране, така че актуализациите на сертификата не могат да се прилагат на ниво изображение. За компютри в облака, осигурени от управлявани изображения, приложете актуализациите директно на компютъра в облака, като използвате един от методите за разполагане по-горе.

Преди да обобщите ново изображение по избор, проверете дали сертификатите са актуализирани:

Забележка

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Известни проблеми

Ключът от системния регистър за обслужване не съществува

Симптом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing път не съществува
Причина На устройството не са инициирани актуализации на сертификати
Решение Изчакайте автоматично разполагане чрез актуализиране на Windows или започнете ръчно, като използвате един от методите за внедряване, инициирани от ИТ по-горе

Състоянието показва "В ход" за продължителен период

Симптом UEFICA2023Status остава "В ход" след няколко дни
Причина Устройството може да се нуждае от рестартиране, за да завърши процесът на актуализиране
Решение Рестартирайте компютъра в облака и проверете състоянието отново след 15 минути. Ако проблемът продължава, вижте събитията за актуализиране на променливи DB за защитено стартиране и DBX за указания за отстраняване на неизправности

Съществува ключ от системния регистър за грешка на UEFICA2023

Симптом Ключът от системния регистър UEFICA2023Error е наличен
Причина Възникна грешка по време на внедряването на сертификата
Решение Проверете регистъра на системните събития за подробности. Вижте събития за актуализиране на променливи DB и DBX за указания за отстраняване на неизправности

Ресурси