Актуализации на сертификата за защитено стартиране за Azure виртуален работен плот
Отнася се за
Първоначална дата на публикуване: 19 февруари 2026 г.
ИД в КБ: 5080931
Тази статия има указания за:
-
администратори на Azure виртуален работен плот, които управляват актуализации на хостове на сесии
-
Организации, използващи виртуални машини с разрешено защитено стартиране за разполагания на Azure виртуален работен плот
-
Организации, използващи изображения по избор (златни изображения) за разполагания на Azure виртуален работен плот
В тази статия:
Въведение
Защитеното стартиране е функция за защита на фърмуера на UEFI, която помага да се гарантира, че само надежден, цифрово подписан софтуер се изпълнява по време на последователността на зареждане на устройството. Сертификатите за защитено стартиране на Microsoft, издадени през 2011 г., започват да изтичат през юни 2026 г. Без актуализираните сертификати от 2023 г. устройствата вече няма да получават нови защити или смекчавания на защитата на диспечера за защитено стартиране и стартиране за наскоро открити уязвимости на ниво стартиране.
Всички виртуални машини със защитено стартиране, регистрирани в услугата Azure виртуален работен плот, както и изображенията по избор, използвани за осигуряването им, трябва да бъдат актуализирани до сертификатите от 2023 г. преди изтичане на срока, за да останат защитени. Вижте Кога изтичат сертификатите за защитено стартиране на устройства с Windows
Важи ли това за средата на виртуалния работен плот на Azure?
|
Симптом |
Защитено стартиране активно? |
Изисква се действие |
|
Домакини на сесии |
||
|
Trusted Launch VM with Secure Boot enabled |
Да |
Актуализиране на сертификати на хоста на сесията |
|
Надеждно стартиране на VM със забранено защитено стартиране |
Не |
Не е необходимо действие |
|
Standard тип защита VM |
Не |
Не е необходимо действие |
|
Generation 1 VM |
Не се поддържа |
Не е необходимо действие |
|
Златни изображения |
||
|
Azure Compute Gallery image with Secure Boot enabled |
Да |
Актуализиране на сертификати в изображението източник |
|
Azure Compute Gallery image without Trusted Launch |
Не |
Прилагане на актуализации в хоста на сесията след разполагане |
|
Управлявано изображение (не поддържа надеждно стартиране) |
Не |
Прилагане на актуализации в хоста на сесията след разполагане |
За пълна основна информация вижте Актуализации на сертификата за защитено стартиране: Указания за ИТ специалисти и организации.
Наличности и монитори
Преди да предприемете действие, описете вашата среда, за да идентифицирате устройствата, които изискват актуализации. Наблюдението е от съществено значение, за да се потвърди, че сертификатите се прилагат преди крайния срок от юни 2026 г. – дори ако разчитате на методите за автоматично разполагане. По-долу са дадени опциите, за да определите дали трябва да се предприеме действие.
Опция 1: Microsoft Intune на отстраняването на грешки
За хостове на сесии, записани в Microsoft Intune, можете да разположите скрипт за откриване, като използвате Intune "Отстраняване на грешки" (Проактивни грешки), за да събирате автоматично състоянието на сертификата за защитено стартиране във вашия автопарк. Скриптът се изпълнява тихо на всяко устройство и съобщава състоянието на защитеното стартиране, напредъка на актуализацията на сертификата и подробни данни за устройството обратно в портала на Intune – не са правени промени в устройствата. Резултатите могат да бъдат преглеждани и експортирани в CSV файл директно от центъра за администриране на Intune за анализ за целия флот.
За инструкции "стъпка по стъпка" за разполагане на скрипта за откриване вижте Наблюдение на състоянието на сертификата за защитено стартиране с Microsoft Intune отстраняване на грешки.
Опция 2: Отчет за състоянието на защитеното зареждане на автоматичното извличане от Windows
За лични хостове на постоянна сесия, регистрирани с автоматичното възстановяване на Windows, отидете Intune центъра за администриране > Отчети > автоматичното преминаване към Windows > актуализации на качеството на Windows > раздела Отчети > състоянието на защитеното стартиране. Вижте отчета за състоянието на защитеното стартиране в "Автоматичното възстановяване на Windows".
Забележка: Автоматичното възстановяване на Windows поддържа само лични постоянни виртуални машини за Azure виртуален работен плот. Хостове с много сесии, групирани непостоянни виртуални машини и отдалечено поточно предаване на приложения не се поддържат. Вижте Автоматичното възстановяване на Windows на работни натоварвания на виртуалния работен плот на Azure.
Опция 3: Ключове от системния регистър за наблюдение на флотата
Използвайте съществуващите инструменти за управление на устройства, за да извършите заявки за тези стойности в системния регистър във вашия автопарк.
|
Път до системния регистър |
Ключ |
Цел |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Текущо състояние на разполагане |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Грешка |
Показва грешки (не трябва да съществуват) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Показва ИД на събитие (не трябва да съществува) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Наличниupdates |
Чакащи битове за актуализиране |
За пълни подробности за ключа от системния регистър вижте Актуализации на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от ИТ.
Опция 4: Наблюдение на регистъра на събитията
Използвайте съществуващите инструменти за управление на устройства, за да събирате и наблюдавате тези ИД на събития от регистъра на системните събития през автопарка си.
|
ИД на събитие |
"Местоположение" |
По смисъла |
|
1808 |
Система |
Успешно приложени сертификати |
|
1801 |
Система |
Актуализиране на състоянието или подробните данни за грешката |
За пълен списък с подробности за събития вижте Събития за актуализиране на DB и DBX променливи.
Опция 5: Скрипт за наличности на PowerShell
Изпълнете примерния скрипт за събиране на данни за защитено стартиране на Microsoft, за да проверите състоянието на актуализацията на сертификата за защитено стартиране. Скриптът събира няколко точки от данни, включително състояние на защитено стартиране, състояние на актуализация на UEFI CA 2023, версия на фърмуера и дейност в регистъра на събитията.
Разполагане
Важно: Независимо коя опция за разполагане изберете, препоръчваме да наблюдавате автопарка на устройството си, за да потвърдите, че сертификатите са приложени успешно преди крайния срок от юни 2026 г. За персонализирани изображения вижте Съображения за златни изображения.
Опция 1: Автоматично Актуализации от актуализиране на Windows (устройства с висока достоверност)
Microsoft автоматично актуализира устройствата чрез месечни актуализации на Windows, когато достатъчна телеметрия потвърди успешното разполагане на подобни хардуерни конфигурации.
-
Състояние: Разрешено по подразбиране за устройства с висока достоверност
-
Не се изисква действие, освен ако не искате да се отпишете
|
Регистратура |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Ключ |
HighConfidenceOptOut = 1 за отписване |
|
Групови правила |
Конфигурация на компютъра > Административни шаблони > компоненти на Windows > защитено стартиране > автоматично разполагане на сертификати чрез Актуализации > Зададено на Дезактивирано за отписване. |
Препоръка: Дори когато автоматичните актуализации са разрешени, наблюдавайте хостовете на вашата сесия, за да проверите дали сертификатите са приложени. Не всички устройства може да отговарят на условията за автоматично разполагане с висока достоверност.
За повече информация вижте "Помощ за автоматизирано разполагане".
Опция 2: Разполагане на IT-Initiated
Ръчно активиране на актуализации на сертификати за незабавно или контролирано внедряване.
|
Метод |
Документация |
|
Microsoft Intune |
|
|
Групови правила |
|
|
Ключове от системния регистър |
|
|
WinCS CLI |
Забележки:
-
Не смесвайте методи за разполагане, инициирано от ИТ (например Intune и GPO) на едно и също устройство – те управляват едни и същи ключове от системния регистър и може да са в конфликт.
-
Изчакайте приблизително 48 часа и едно или повече рестартирания, за да се приложат напълно сертификатите.
Съображения за златисти изображения
За Azure среди на виртуални работни плотове, използващи изображения на галерията с Azure compute с разрешено защитено стартиране, приложете актуализацията на сертификата за Защитено стартиране 2023 към златното изображение, преди да го заснемете. Използвайте един от методите, описани по-горе, за да приложите актуализацията, след което проверете дали сертификатите са актуализирани, преди да обобщите:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Изображения без разрешено надеждно стартиране не могат да получават актуализации на сертификата за защитено стартиране чрез изображението. Това включва управлявани изображения, които не поддържат надеждно стартиране, и изображения на галерията с изчисления Azure, където не е разрешено надеждно стартиране. За устройства, обезпечени от тези изображения, приложете актуализациите в вторична ОС, като използвате един от методите по-горе.
Известни проблеми
Не съществува ключ от системния регистър за обслужване
|
Симптом |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing път не съществува |
|
Причина |
Актуализациите на сертификати не са инициирани на устройството |
|
„Разделителна способност” |
Изчакайте автоматичното разполагане чрез актуализиране на Windows или ръчно започнете да използвате един от методите за разполагане, инициирани от ИТ по-горе |
Състояние показва "InProgress" за продължителен период
|
Симптом |
UEFICA2023Status остава "InProgress" след няколко дни |
|
Причина |
Устройството може да се нуждае от рестартиране, за да завърши процеса на актуализиране |
|
„Разделителна способност” |
Рестартирайте хоста на сесията и проверете състоянието отново след 15 минути. Ако проблемът продължава, вижте Събития за актуализиране на DB и DBX променливи за отстраняване на неизправности за указания |
UEFICA2023 Съществува ключ от системния регистър на UEFICA2023
|
Симптом |
UEFICA2023 Ключът от системния регистър на UEFICA2023 присъства |
|
Причина |
Възникна грешка по време на разполагането на сертификата |
|
„Разделителна способност” |
Проверете Регистъра на системните събития за подробности. Вижте събития за актуализиране на DB и DBX променливи за защитено стартиране за указания за отстраняване на неизправности |
Ресурси
Нуждаете ли се от още помощ?
Искате ли още опции?
Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.
Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.
