Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: 26. června 2025

ID znalostní báze: 5062713

Tento článek obsahuje pokyny pro:

Organizace (podniky, malé firmy a vzdělávací organizace) se zařízeními a aktualizacemi s Windows spravovanými IT

Poznámka: Pokud jste osoba, která vlastní osobní zařízení s Windows, přejděte na článek Zařízení s Windows pro domácí uživatele, firmy a školy s aktualizacemi spravovanými Microsoftem.

Změnit datum

Změnit popis

5. května 2026

úterý 30. března 2026

  • Vyřešili jsme známý problém s tím, že na virtuálních počítačích Hyper-V můžou selhat aktualizace certifikátů zabezpečeného spouštění s ID události 1795.

úterý 24. března 2026

  • Aktualizovali jsme známý problém s tím, že na virtuálních počítačích Hyper-V můžou selhat aktualizace certifikátů zabezpečeného spouštění s ID události 1795.

úterý 16. března 2026

  • Odebrali jsme část Ukázková data spolehlivosti v části Ukázkový skript pro shromažďování dat inventáře zabezpečeného spouštění, protože je zastaralý.

úterý 3. března 2026

  • Přeformátujte výstup ukázky v části Příprava tak, aby zůstal v poli.

středa 24. února 2026

  • Byl aktualizován obsah ukázkového skriptu pro shromažďování dat inventáře zabezpečeného spouštění v části Příprava

  • V části Příprava byl přidán nový oddíl Ukázkový výstup.

středa 23. února 2026

  • Byl aktualizován obsah ukázkového skriptu pro shromažďování dat inventáře zabezpečeného spouštění v části Příprava.

středa 13. února 2026

  • Do části Příprava se přidaly položky Ukázková data spolehlivosti

  • Z části Příprava se odebral skript kolekce pro čekající události 1801 a 1808, protože už není potřeba. 

středa 3. února 2026

  • Přesunuly a přeformátují běžné problémy v části Řešení potíží.

  • Přidali jsme nový běžný problém: Na virtuálních počítačích Hyper-V můžou selhat aktualizace certifikátů zabezpečeného spouštění s ID události 1795.

úterý 26. ledna 2026

  • Byl aktualizován text v části Pomocník pro automatické nasazení z části Oba pomocníky vyžadují diagnostická data na "Diagnostická data vyžaduje pouze pomocník s řízeným zaváděním funkcí.

úterý 11. listopadu 2025

Opravili jsme dva překlepy v části Podpora nasazení certifikátu zabezpečeného spouštění.

  • 0x0800 - Název certifikátu se změnil z Microsoft UEFI CA 2023 na Microsoft Option ROM UEFI CA 2023.​​​​​​​

  • 0x1000 – Změna microsoft option ROM CA 2023 na Microsoft UEFI CA 2023.

úterý 10. listopadu 2025

  • Opravili jsme dva překlepy v části Nový certifikát: z "Microsoft Corporation KEK CA 2023" na "Microsoft Corporation KEK 2K CA 2023" a z "Microsoft Option ROM CA 2023" na "Microsoft Option ROM UEFI CA 2023".

  • Nové skripty PowerShellu byly přidány pod hlavičky "Ověření stavu zabezpečeného spouštění ve vašem vozovém parku: Je povolené zabezpečené spouštění?" a "Příprava".

V tomto článku:

Přehled

Tento článek je určený pro organizace s vyhrazenými ODBORNÍKY v oblasti IT, kteří aktivně spravují aktualizace v rámci svého vozového parku zařízení. Většina tohoto článku se zaměří na aktivity potřebné k tomu, aby IT oddělení organizace úspěšně nasadí nové certifikáty zabezpečeného spouštění. Mezi tyto aktivity patří testování firmwaru, monitorování aktualizací zařízení, zahájení nasazení a diagnostika problémů, jakmile se objeví. Je uvedeno několik metod nasazení a monitorování. Kromě těchto základních aktivit nabízíme několik pomůcek pro nasazení, včetně možnosti vyjádřit výslovný souhlas s klientskými zařízeními pro účast v řízeném zavádění funkcí (CFR) speciálně pro nasazení certifikátů.

Playbook nasazení pro IT profesionály 

Naplánujte a proveďte aktualizace certifikátů zabezpečeného spouštění ve vaší sadě zařízení prostřednictvím přípravy, monitorování, nasazení a nápravy.

Ověření stavu zabezpečeného spouštění ve vašem vozovém parku: Je povolené zabezpečené spouštění? 

Většina zařízení vyrobených od roku 2012 podporuje zabezpečené spouštění a dodává se s povoleným zabezpečeným spouštěním. Pokud chcete ověřit, že je na zařízení povolené zabezpečené spouštění, udělejte jednu z těchto věcí: 

  • Metoda grafického uživatelského rozhraní: Přejděte na Start > Nastavení > Ochrana osobních údajů & Zabezpečení > Zabezpečení Windows > Zabezpečení zařízení. V části Zabezpečení zařízení by v části Zabezpečené spouštění mělo být uvedeno, že zabezpečené spouštění je zapnuté.

  • Metoda příkazového řádku: Na příkazovém řádku se zvýšenými oprávněními v PowerShellu zadejte Confirm-SecureBootUEFI a stiskněte KlávesuEnter. Příkaz by měl vrátit hodnotu True označující, že je zapnuté zabezpečené spouštění.

V rozsáhlých nasazeních pro řadu zařízení bude software pro správu, který používají IT specialisté, muset zkontrolovat povolení zabezpečeného spouštění. 

Například metodou kontroly stavu zabezpečeného spouštění na zařízeních spravovaných microsoftem Intune je vytvoření a nasazení Intune vlastního skriptu dodržování předpisů. Intune nastavení dodržování předpisů najdete v tématu Použití vlastních nastavení dodržování předpisů pro Linux a zařízení s Windows s Microsoft Intune.  

Ukázkový skript PowerShellu pro kontrolu, jestli je povolené zabezpečené spouštění:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Pokud zabezpečené spouštění není povolené, můžete následující kroky aktualizace přeskočit, protože se nedají použít.

Jak se nasazují aktualizace

Existuje několik způsobů, jak cílit na zařízení pro aktualizace certifikátů zabezpečeného spouštění. Podrobnosti o nasazení, včetně nastavení a událostí, budou popsány dále v tomto dokumentu. Když cílíte na zařízení kvůli aktualizacím, nastaví se na zařízení nastavení, které indikuje, že zařízení by mělo zahájit proces použití nových certifikátů. Naplánovaná úloha se na zařízení spouští každých 12 hodin a zjistí, že zařízení bylo cílem aktualizací. Přehled toho, co úkol dělá, je následující:

  1. Na databázi se použije ca rozhraní UEFI windows 2023.

  2. Pokud má zařízení v databázi Microsoft Corporation UEFI CA 2011, pak úloha použije Microsoft Option ROM UEFI CA 2023 a Microsoft UEFI CA 2023 na databázi.

  3. Úkol pak přidá Microsoft Corporation KEK 2K CA 2023.

  4. Nakonec naplánovaná úloha aktualizuje správce spouštění systému Windows na správce podepsaného certifikační autoritou UEFI systému Windows 2023. Systém Windows zjistí, že je potřeba restartovat, než bude možné použít správce spouštění. Aktualizace správce spouštění se zpozdí, dokud k restartování nedojde přirozeně (například při použití měsíčních aktualizací), a pak se systém Windows znovu pokusí nainstalovat aktualizaci správce spouštění.

Každý z výše uvedených kroků musí být úspěšně dokončen, než se naplánovaná úloha přesune k dalšímu kroku. Během tohoto procesu budou k dispozici protokoly událostí a další stav, které vám pomůžou monitorovat nasazení. Další podrobnosti o monitorování a protokolech událostí najdete níže.  

Aktualizace certifikátů zabezpečeného spouštění umožňuje budoucí aktualizaci Správce spouštění 2023, která je bezpečnější. Konkrétní aktualizace ve Správci spouštění budou v budoucích verzích.

Kroky nasazení 

  • Příprava: Inventarizace a testování zařízení.

  • Aspekty firmwaru

  • Monitorování: Ověřte, že monitorování funguje a podle plánu vašeho vozového parku.

  • Nasazení: Cílová zařízení pro aktualizace, počínaje malými podmnožinami a rozšířením na základě úspěšných testů.

  • Náprava: Prozkoumejte a vyřešte všechny problémy s využitím protokolů a podpory dodavatelů.

Příprava 

Inventarizace hardwaru a firmwaru Vytvořte reprezentativní vzorek zařízení založených na výrobci systému, modelu systému, verzi a datu systému BIOS, verzi produktu BaseBoard atd., a otestujte aktualizace na těchto zařízeních před širokým nasazením.  Tyto parametry jsou běžně dostupné v informacích o systému (MSINFO32). Pomocí zahrnutých ukázkových příkazů PowerShellu můžete zkontrolovat stav aktualizace zabezpečeného spouštění a inventarizovat zařízení v celé organizaci.

Poznámky: 

  • Tyto příkazy se použijí, pokud je povolený stav zabezpečeného spouštění.

  • Mnoho z těchto příkazů potřebuje oprávnění správce, aby fungovaly.

Ukázkový skript pro shromažďování dat inventáře zabezpečeného spouštění

Zkopírujte a vložte tento ukázkový skript a upravte ho podle potřeby pro vaše prostředí: Ukázkový skript pro shromažďování dat inventáře zabezpečeného spouštění.

Ukázkový výstup:

{"UEFICA2023Status":"Aktualizováno","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Název hostitele":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Událost1801Count":0,"Událost1808Count":5,"Událost1795Count":0,"Událost1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Událost1802Count":0,"KnownIssueId":null,"Událost1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Úrovně spolehlivosti zabezpečeného spouštění

Úroveň spolehlivosti

Význam

Vyžaduje se akce.

Vysoká spolehlivost

Společnost Microsoft ověřila, že tato třída zařízení je bezpečná pro aktualizace.

Bezpečné nasazení aktualizací certifikátů

V rámci pozorování – potřeba dalších dat

Microsoft stále shromažďuje diagnostická data o zavedení zabezpečeného spouštění o těchto zařízeních.

Počkejte na klasifikaci Microsoftu.

Nebyla zjištěna žádná data – vyžaduje se akce.

Třída zařízení není microsoftu známa

Podnik musí nasazení otestovat a naplánovat

Dočasně pozastaveno

Známé problémy s kompatibilitou

Zkontrolujte aktualizaci systému BIOS OEM; Počkejte, až microsoft vyřeší řešení.

Nepodporováno – známé omezení

Omezení platformy nebo hardwaru

Dokument jako výjimka

Prvním krokem, pokud je povolené zabezpečené spouštění, je kontrola, jestli nedošlo k nedávné aktualizaci událostí čekajících na vyřízení, nebo k aktualizaci certifikátů zabezpečeného spouštění. Zvláštní zajímavostí jsou nejnovější události v 1801 a 1808. Tyto události jsou podrobně popsané v tématu Události aktualizace databáze zabezpečeného spouštění a DBX proměnných. Informace o tom, jak události můžou zobrazit stav čekajících aktualizací, najdete také v části Monitorování a nasazení.  

Dalším krokem je inventarizace zařízení v celé organizaci. Shromážděte následující podrobnosti pomocí příkazů PowerShellu a vytvořte reprezentativní ukázku: 

Základní identifikátory (2 hodnoty)

      1. Název hostitele – $env: NÁZEV_POČÍTAČE 

      2. CollectionTime - Get-Date 

Registr: Hlavní klíč zabezpečeného spouštění (3 hodnoty) 

     3. SecureBootEnabled – rutina Confirm-SecureBootUEFI nebo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. K dispoziciAktualizace - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registr: Servisní klíč (3 hodnoty) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Chyba – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registr: Atributy zařízení (7 hodnot) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Protokoly událostí: Systémový protokol (5 hodnot) 

     16. LatestEventId – nejnovější událost zabezpečeného spuštění 

     17. BucketID – extrahované z události 1801/1808 

     18. Spolehlivost – extrahovaná z události 1801/1808 

     19. Událost1801Count – počet událostí 

     20. Událost1808Count – počet událostí 

Dotazy WMI/CIM (4 hodnoty) 

     21. OSVersion – Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime - Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Výrobce  

     26. (Get-CIMInstance Win32_ComputerSystem). Model  

    27. (Get-CIMInstance Win32_BIOS). Popis + ", " + (get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Produktu  

Aspekty firmwaru

Nasazení nových certifikátů zabezpečeného spouštění do vaší skupiny zařízení vyžaduje, aby při dokončení aktualizace hrál roli firmware zařízení. I když Microsoft očekává, že většina firmwaru zařízení bude fungovat podle očekávání, před nasazením nových certifikátů je potřeba pečlivě otestovat.

Zkontrolujte inventář hardwaru a sestavte malý reprezentativní vzorek zařízení na základě následujících jedinečných kritérií, jako jsou: 

  • Výrobce

  • Číslo modelu

  • Verze firmwaru

  • Verze základní desky OEM atd.

Před širším nasazením do zařízení ve vašem vozovém parku doporučujeme otestovat aktualizace certifikátů na reprezentativních ukázkových zařízeních (jak jsou definovány faktory, jako je výrobce, model nebo verze firmwaru), abyste měli jistotu, že se aktualizace úspěšně zpracují. Doporučené pokyny k počtu ukázkových zařízení, která se mají testovat pro každou jedinečnou kategorii, je 4 nebo více.

Pomůže vám to budovat důvěru v proces nasazení a vyhnout se nepředvídatelným dopadům na širší vozový park. 

V některých případech může být k úspěšné aktualizaci certifikátů zabezpečeného spouštění vyžadována aktualizace firmwaru. V těchto případech doporučujeme zkontrolovat u výrobce OEM vašeho zařízení, jestli je k dispozici aktualizovaný firmware.

Windows ve virtualizovaných prostředích

Pro Windows běžící ve virtuálním prostředí existují dvě metody přidání nových certifikátů do proměnných firmwaru zabezpečeného spouštění:  

  • Tvůrce virtuálního prostředí (AWS, Azure, Hyper-V, VMware atd.) může poskytnout aktualizaci prostředí a zahrnout nové certifikáty do virtualizovaného firmwaru. To by fungovalo pro nová virtualizovaná zařízení.

  • Pokud virtualizovaný firmware podporuje aktualizace zabezpečeného spouštění, je možné aktualizace v systému Windows použít v systému Windows jako na všech ostatních zařízeních.

Monitorování a nasazení 

Doporučujeme zahájit monitorování zařízení před nasazením, abyste měli jistotu, že monitorování funguje správně a máte předem dobrý přehled o stavu vozového parku. Možnosti monitorování jsou popsány níže. 

Microsoft poskytuje několik metod pro nasazení a monitorování aktualizací certifikátů zabezpečeného spouštění.

Pomoc s automatizovaným nasazením 

Microsoft poskytuje dva pomocníky při nasazení. Tyto pomocníky se můžou ukázat jako užitečné při nasazování nových certifikátů do vašeho vozového parku. Diagnostická data vyžaduje jenom pomocník s řízeným zaváděním funkcí.

  • Možnost pro kumulativní aktualizace s intervaly spolehlivosti: Společnost Microsoft může automaticky zahrnout vysoce důvěryhodné skupiny zařízení do měsíčních aktualizací na základě dosud sdílených diagnostických dat, což bude přínosem pro systémy a organizace, které nemůžou sdílet diagnostická data. Tento krok nevyžaduje povolení diagnostických dat.

    • Organizacím a systémům, které můžou sdílet diagnostická data, poskytuje Microsoftu přehled a jistotu, že zařízení můžou certifikáty úspěšně nasadit. Další informace o povolení diagnostických dat najdete v tématu Konfigurace diagnostických dat Windows ve vaší organizaci. Vytváříme "kbelíky" pro každé jedinečné zařízení (definované atributy, mezi které patří výrobce, verze základní desky, výrobce firmwaru, verze firmwaru a další datové body). U každého kbelíku monitorujeme důkazy o úspěchu na více zařízeních. Jakmile se dočkáme dostatečného množství úspěšných aktualizací a nedojde k žádným selháním, budeme tento kbelík považovat za vysoce důvěryhodný a zahrneme tato data do měsíčních kumulativních aktualizací. Když se na zařízení použijí měsíční aktualizace ve vysoce důvěryhodném kontejneru, systém Windows automaticky použije certifikáty na proměnné zabezpečeného spouštění rozhraní UEFI ve firmwaru.

    • Kontejnery s vysokou spolehlivostí zahrnují zařízení, která zpracovávají aktualizace správně. Samozřejmě, že ne všechna zařízení budou poskytovat diagnostická data, což může microsoftu omezit důvěru ve schopnost zařízení správně zpracovávat aktualizace.

    • Tento pomocník je ve výchozím nastavení povolený pro zařízení s vysokou spolehlivostí a je možné ho zakázat pomocí nastavení specifického pro konkrétní zařízení. Další informace budeme sdílet v budoucích verzích Windows.

  • CFR (Controlled Feature Rollout):  Pokud jsou povolená diagnostická data, přihlaste se k nasazení spravovaným Microsoftem.

    • Řízené zavedení funkcí (CFR) je možné použít s klientskými zařízeními ve fleetech organizace. To vyžaduje, aby zařízení odesílala do Microsoftu povinná diagnostická data a signalizovala, že se zařízení přihlašuje k povolení CFR na zařízení. Podrobnosti o tom, jak se přihlásit, jsou popsány níže.

    • Microsoft bude spravovat proces aktualizace těchto nových certifikátů na zařízeních s Windows, kde jsou k dispozici diagnostická data a zařízení se účastní zavedení kontrolovaných funkcí (CFR). I když může CFR pomoct s nasazením nových certifikátů, organizace se nebudou moct spoléhat na CFR, aby opravily své flotily – bude vyžadovat provedení kroků popsaných v tomto dokumentu v části Věnované metodám nasazení, které nejsou pokryty automatizovanými pomocníky.

    • Omezení: Existuje několik důvodů, proč CFR nemusí ve vašem prostředí fungovat. Například:

      • Nejsou k dispozici žádná diagnostická data nebo diagnostická data nejsou použitelná v rámci nasazení CFR.

      • Zařízení nejsou v podporovaných klientských verzích Windows 11 a Windows 10 s rozšířenými aktualizacemi zabezpečení (ESU).

Metody nasazení, které nejsou pokryty automatizovanými pomocníky

Zvolte metodu, která odpovídá vašemu prostředí. Vyhněte se metodám míchání na stejném zařízení: 

  • Klíče registru: Řízení nasazení a monitorování výsledků.K dispozici je několik klíčů registru pro řízení chování nasazení certifikátů a pro monitorování výsledků. Kromě toho existují dva klíče pro vyjádření souhlasu a odhlášení z výše popsaných pomůcek pro nasazení. Další informace o klíčích registru najdete v tématu Klíč registru Aktualizace pro zabezpečené spouštění – zařízení s Windows s aktualizacemi spravovanými IT.

  • Zásady skupiny Objekty (GPO): Správa nastavení, monitorování prostřednictvím registru a protokolů událostí.Microsoft bude poskytovat podporu pro správu aktualizací zabezpečeného spouštění pomocí Zásady skupiny v budoucí aktualizaci. Vzhledem k tomu, že Zásady skupiny slouží k nastavení, bude potřeba monitorovat stav zařízení pomocí alternativních metod, včetně monitorování klíčů registru a položek protokolu událostí.

  • Rozhraní příkazového řádku WinCS (Windows Configuration System): Pro klienty připojené k doméně používejte nástroje příkazového řádku.Správci domény můžou alternativně použít systém Windows Configuration System (WinCS), který je součástí aktualizací operačního systému Windows, k nasazení aktualizací zabezpečeného spouštění na klienty a servery Windows připojené k doméně. Skládá se z řady nástrojů příkazového řádku (tradiční spustitelný soubor i modul PowerShellu), které místně dotazují a aplikují konfigurace zabezpečeného spouštění na počítač. Další informace najdete v následujících článcích:

  • Microsoft Intune/Configuration Manager: Nasazení skriptů PowerShellu V budoucí aktualizaci bude k dispozici poskytovatel konfiguračních služeb (CSP), který umožní nasazení pomocí Intune.

Monitorování protokolů událostí

K dispozici jsou dvě nové události, které vám pomůžou s nasazením aktualizací certifikátů zabezpečeného spouštění. Tyto události jsou podrobně popsány v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX

  • ID události: 1801 Tato událost je chybová událost, která značí, že se na zařízení nepoužily aktualizované certifikáty. Tato událost poskytuje určité podrobnosti specifické pro zařízení, včetně atributů zařízení, které vám pomůžou s korelací zařízení, která se stále potřebují aktualizovat.

  • ID události: 1808 Tato událost je informační událost, která označuje, že zařízení má na firmware zařízení použité požadované nové certifikáty zabezpečeného spouštění.

Strategie nasazení 

Aby se minimalizovalo riziko, nasaďte aktualizace zabezpečeného spouštění ve fázích, nikoli ve všech najednou. Začněte s malou podmnožinou zařízení, ověřte výsledky a pak rozbalte další skupiny. Doporučujeme, abyste začali s podmnožinami zařízení, a až v těchto nasazeních získáte důvěru, přidejte další podmnožinu zařízení. K určení toho, co je součástí podmnožina, je možné použít několik faktorů, včetně výsledků testů na ukázkových zařízeních, organizační struktuře atd. 

Rozhodnutí o tom, která zařízení nasadíte, je na vás. Tady jsou uvedené některé možné strategie. 

  • Rozsáhlý vozový park zařízení: Začněte tím, že budete spoléhat na výše popsané pomocníky pro nejběžnější zařízení, která spravujete. Souběžně se zaměřte na méně běžná zařízení spravovaná vaší organizací. Otestujte malá ukázková zařízení, a pokud je testování úspěšné, nasaďte je do zbývajících zařízení stejného typu. Pokud testování způsobuje problémy, prozkoumejte příčinu problému a určete nápravné kroky. Můžete také zvážit třídy zařízení, které mají vyšší hodnotu ve vašem vozovém parku, a začít testovat a nasazovat, abyste zajistili, že tato zařízení mají aktualizovanou ochranu v rané fázi.

  • Malá flotila, velká rozmanitost: Pokud vozový park, který spravujete, obsahuje velké množství počítačů, u kterých by testování jednotlivých zařízení bylo zakázané, zvažte, zda se do značné míry spoléhat na dvě výše popsané pomocníky, zejména u zařízení, která budou pravděpodobně běžnými zařízeními na trhu. Nejprve se zaměřte na zařízení, která jsou důležitá pro každodenní provoz, otestujte a pak nasaďte. Pokračujte v procházení seznamu zařízení s vysokou prioritou a testování a nasazování během monitorování vozového parku, abyste si ověřili, že asistence pomáhají se zbývajícími zařízeními.

Poznámky 

  • Věnujte pozornost starším zařízením, zejména zařízením, která už nejsou podporována výrobcem. I když by firmware měl provádět operace aktualizace správně, některé ne. V případech, kdy firmware nefunguje správně a zařízení už není podporované, zvažte výměnu zařízení, aby se zajistila ochrana zabezpečeného spouštění ve vašem vozovém parku.

  • Nová zařízení vyrobená v posledních 1 až 2 letech už můžou mít aktualizované certifikáty, ale nemusí mít na systém použitý správce spouštění podepsaný windows UEFI CA 2023. Použití tohoto správce spouštění je kritickým posledním krokem v nasazení pro každé zařízení.

  • Po výběru zařízení pro aktualizace může dokončení aktualizací nějakou dobu trvat. Odhadněte 48 hodin a jedno nebo více restartování, aby se certifikáty použily.

Nejčastější dotazy

Nejčastější dotazy najdete v článku Věnovaném nejčastějším dotazům k zabezpečenému spouštění .

Řešení potíží

Další podrobnosti najdete v dokumentu Řešení potíží .

Další zdroje informací

Tip: Přidejte si tyto další prostředky do záložek.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti