Актуализации на сертификата за защитено стартиране за Windows 365
Първоначална дата на публикуване: 19 февруари 2026 г.
ИД на КБ: 5080914
Тази статия има указания за:
-
Windows 365 администратори, които управляват компютри в облака.
-
Организации, използващи компютри в облака с разрешено защитено стартиране за разполагания на Windows 365.
-
Организации, използващи изображения по избор за разполагания на Windows 365 .
В тази статия:
Въведение
Защитеното стартиране е функция за защита на фърмуера на UEFI, която помага да се гарантира, че само надежден, цифрово подписан софтуер се изпълнява по време на последователността на зареждане на устройството. Сертификатите за защитено стартиране на Microsoft, издадени през 2011 г., започват да изтичат през юни 2026 г. Без актуализираните сертификати от 2023 г. устройствата вече няма да получават нови защити или смекчавания на защитата на диспечера за защитено стартиране и стартиране за наскоро открити уязвимости на ниво стартиране.
Всички компютри със защитено стартиране, обезпечени в услугата Windows 365, и изображенията по избор, използвани за осигуряването им, трябва да бъдат актуализирани до сертификатите от 2023 г., преди изтичането на срока, за да останат защитени. Вижте Кога изтича срокът на сертификатите за защитено стартиране на устройства с Windows.
Важи ли това за моята среда на Windows 365?
|
Симптом |
Защитено стартиране активно? |
Изисква се действие |
|
Компютри в облака |
||
|
Компютър в облака с разрешено защитено стартиране |
Да |
Актуализиране на сертификати на компютъра в облака |
|
Компютър в облака със защитено стартиране дезактивирано |
Не |
Не е необходимо действие |
|
Изображения |
||
|
Azure Compute Gallery image with Secure Boot enabled |
Да |
Актуализиране на сертификатите в изображението източник преди обобщаване |
|
Azure Compute Gallery image without Trusted Launch |
Не |
Прилагане на актуализации в компютър в облака след осигуряване |
|
Управлявано изображение (не поддържа надеждно стартиране) |
Не |
Прилагане на актуализации в компютър в облака след осигуряване |
За пълна основна информация вижте Актуализации на сертификата за защитено стартиране: Указания за ИТ специалисти и организации.
Наличности и монитори
Преди да предприемете действие, описете вашата среда, за да идентифицирате устройствата, които изискват актуализации. Наблюдението е от съществено значение, за да се потвърди, че сертификатите се прилагат преди крайния срок от юни 2026 г. – дори ако разчитате на методите за автоматично разполагане. По-долу са дадени опциите, за да определите дали трябва да се предприеме действие.
Опция 1: Microsoft Intune на отстраняването на грешки
За компютри в облака, записани в Microsoft Intune, можете да разположите скрипт за откриване с помощта на Intune "Отстраняване на грешки" (проактивни оздравяващи), за да събирате автоматично състоянието на сертификата за защитено стартиране във вашия автопарк. Скриптът се изпълнява тихо на всяко устройство и съобщава състоянието на защитеното стартиране, напредъка на актуализацията на сертификата и подробни данни за устройството обратно в портала на Intune – не са правени промени в устройствата. Резултатите могат да бъдат преглеждани и експортирани в CSV файл директно от центъра за администриране на Intune за анализ за целия флот.
За инструкции "стъпка по стъпка" за разполагане на скрипта за откриване вижте Наблюдение на състоянието на сертификата за защитено стартиране с Microsoft Intune отстраняване на грешки.
Опция 2: Отчет за състоянието на защитеното зареждане на автоматичното извличане от Windows
За компютри в облака, регистрирани с автоматичното възстановяване на Windows, отидете в центъра за администриране Intune > Отчети > автоматичното изключване на Windows > актуализации на качеството на Windows > раздела Отчети > състоянието на защитеното зареждане. Вижте отчета за състоянието на защитеното стартиране в "Автоматичното възстановяване на Windows".
Забележка: За да използвате "Автодовършване на Windows" с Windows 365, компютрите в облака трябва да са регистрирани с услугата за автодовършване на Windows. Вижте Автоматичното възстановяване на Windows в Windows 365 Enterprise работни натоварвания.
Опция 3: Ключове от системния регистър за наблюдение на флотата
Използвайте съществуващите инструменти за управление на устройства, за да извършите заявки за тези стойности в системния регистър във вашия автопарк.
|
Път до системния регистър |
Ключ |
Цел |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Текущо състояние на разполагане |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Грешка |
Показва грешки (не трябва да съществуват) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Показва ИД на събитие (не трябва да съществува) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Наличниupdates |
Чакащи битове за актуализиране |
За пълни подробности за ключа от системния регистър вижте Актуализации на ключове от системния регистър за защитено стартиране.
Опция 4: Наблюдение на регистъра на събитията
Използвайте съществуващите инструменти за управление на устройства, за да събирате и наблюдавате тези ИД на събития от регистъра на системните събития през автопарка си.
|
ИД на събитие |
"Местоположение" |
По смисъла |
|
1808 |
Система |
Успешно приложени сертификати |
|
1801 |
Система |
Актуализиране на състоянието или подробните данни за грешката |
За пълен списък с подробности за събития вижте Събития за актуализиране на DB и DBX променливи.
Опция 5: Скрипт за наличности на PowerShell
Изпълнете примерния скрипт за събиране на данни за защитено стартиране на Microsoft, за да проверите състоянието на актуализацията на сертификата за защитено стартиране. Скриптът събира няколко точки от данни, включително състояние на защитено стартиране, състояние на актуализация на UEFI CA 2023, версия на фърмуера и дейност в регистъра на събитията.
Разполагане
Важно: Независимо коя опция за разполагане изберете, препоръчваме да наблюдавате автопарка на устройството си, за да потвърдите, че сертификатите са приложени успешно преди крайния срок от юни 2026 г. За изображения по избор вижте Съображения за изображения по избор.
Опция 1: Автоматично Актуализации от актуализиране на Windows (устройства с висока достоверност)
Microsoft автоматично актуализира устройствата чрез месечни актуализации на Windows, когато достатъчна телеметрия потвърди успешното разполагане на подобни хардуерни конфигурации.
-
Състояние: Разрешено по подразбиране за устройства с висока достоверност
-
Не се изисква действие, освен ако не искате да се отпишете
|
Регистратура |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Ключ |
HighConfidenceOptOut = 1 за отписване |
|
Групови правила |
Компютърна конфигурация > Административни шаблони > компоненти на Windows > защитено стартиране > автоматично разполагане на сертификати чрез Актуализации > зададено на Дезактивирано, за да се отпишете |
Препоръка: Дори когато автоматичните актуализации са разрешени, наблюдавайте компютрите в облака, за да проверите дали сертификатите са приложени. Не всички устройства може да отговарят на условията за автоматично разполагане с висока достоверност.
За повече информация вижте "Помощ за автоматизирано разполагане".
Опция 2: Разполагане на IT-Initiated
Ръчно активиране на актуализации на сертификати за незабавно или контролирано внедряване.
|
Метод |
Документация |
|
Microsoft Intune |
|
|
Групови правила |
|
|
Ключове от системния регистър |
|
|
WinCS CLI |
Забележки:
-
Не смесвайте методи за разполагане, инициирано от ИТ (например Intune и GPO) на едно и също устройство – те управляват едни и същи ключове от системния регистър и може да са в конфликт.
-
Изчакайте приблизително 48 часа и едно или повече рестартирания, за да се приложат напълно сертификатите.
Съображения за изображения по избор
Персонализираните изображения се управляват напълно от вашата организация. Вие носите отговорност за прилагането на актуализациите на сертификата за защитено стартиране към изображението по избор и повторното му качване, преди да го използвате за осигуряване.
Прилагането на актуализации на сертификат за защитено стартиране към изображението източник се поддържа само с изображения Azure Compute Gallery (предварителен преглед), които поддържат надеждно стартиране и защитено стартиране. Управляваните изображения не поддържат защитено стартиране, така че актуализациите на сертификати не могат да бъдат приложени на ниво изображение. За компютри в облака, обезпечени от управлявани изображения, приложете актуализации директно на компютъра в облака, като използвате един от методите за разполагане по-горе.
Преди да обобщите ново изображение по избор, проверете дали сертификатите се актуализират:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Известни проблеми
Не съществува ключ от системния регистър за обслужване
|
Симптом |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing път не съществува |
|
Причина |
Актуализациите на сертификати не са инициирани на устройството |
|
„Разделителна способност” |
Изчакайте автоматичното разполагане чрез актуализиране на Windows или ръчно започнете да използвате един от методите за разполагане, инициирани от ИТ по-горе |
Състояние показва "InProgress" за продължителен период
|
Симптом |
UEFICA2023Status остава "InProgress" след няколко дни |
|
Причина |
Устройството може да се нуждае от рестартиране, за да завърши процеса на актуализиране |
|
„Разделителна способност” |
Рестартирайте компютъра в облака и проверете състоянието отново след 15 минути. Ако проблемът продължава, вижте Събития за актуализиране на DB и DBX променливи за отстраняване на неизправности за указания |
UEFICA2023 Съществува ключ от системния регистър на UEFICA2023
|
Симптом |
UEFICA2023 Ключът от системния регистър на UEFICA2023 присъства |
|
Причина |
Възникна грешка по време на разполагането на сертификата |
|
„Разделителна способност” |
Проверете Регистъра на системните събития за подробности. Вижте събития за актуализиране на DB и DBX променливи за защитено стартиране за указания за отстраняване на неизправности |
Ресурси
Нуждаете ли се от още помощ?
Искате ли още опции?
Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.
Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.
