Zertifikat für den sicheren Start Updates für Windows 365

Einführung

Sicherer Start ist ein UEFI-Firmwaresicherheitsfeature, das sicherstellt, dass nur vertrauenswürdige, digital signierte Software während einer Startsequenz des Geräts ausgeführt wird. Die 2011 ausgestellten Microsoft Secure Boot-Zertifikate laufen im Juni 2026 ab. Ohne die aktualisierten 2023-Zertifikate erhalten Geräte keine neuen Schutzmaßnahmen für den sicheren Start und den Start-Manager mehr oder keine Risikominderungen für neu entdeckte Sicherheitsrisiken auf Startebene.

Alle Cloud-PCs mit Aktiviertem sicheren Start, die im Windows 365-Dienst bereitgestellt werden, und benutzerdefinierte Images, die für deren Bereitstellung verwendet werden, müssen vor dem Ablauf auf die Zertifikate 2023 aktualisiert werden, um geschützt zu bleiben. Weitere Informationen finden Sie unter Ablauf von Zertifikaten für den sicheren Start auf Windows-Geräten.

Gilt dies für meine Windows 365 Umgebung?

Szenario	Sicherer Start aktiv?	Aktion erforderlich
Cloud-PCs
Cloud-PC mit aktiviertem sicheren Start	Ja	Aktualisieren von Zertifikaten auf dem Cloud-PC
Cloud-PC mit deaktiviertem sicheren Start	Nein	Keine Aktion erforderlich
Images
Azure Compute Gallery-Image mit aktiviertem sicheren Start	Ja	Aktualisieren von Zertifikaten im Quellimage vor dem Generalisieren
Azure Compute Gallery-Image ohne vertrauenswürdigen Start	Nein	Anwenden von Updates auf Cloud-PCs nach der Bereitstellung
Verwaltetes Image (unterstützt nicht den vertrauenswürdigen Start)	Nein	Anwenden von Updates auf Cloud-PCs nach der Bereitstellung

Vollständige Hintergrundinformationen finden Sie unter Updates des Zertifikats für den sicheren Start: Leitfaden für IT-Experten und Organisationen.

Bestand und Überwachung

Bevor Sie Maßnahmen ergreifen, inventarisieren Sie Ihre Umgebung, um Geräte zu identifizieren, die Updates erfordern. Die Überwachung ist unerlässlich, um zu bestätigen, dass Zertifikate vor dem Stichtag vom Juni 2026 angewendet werden – auch wenn Sie auf automatische Bereitstellungsmethoden angewiesen sind. Im Folgenden finden Sie Optionen, um zu bestimmen, ob Maßnahmen ergriffen werden müssen.

Option 1: Microsoft Intune Korrekturen

Für Cloud-PCs, die in Microsoft Intune registriert sind, können Sie mithilfe von Intune Remediations (Proaktive Korrekturen) ein Erkennungsskript bereitstellen, um automatisch zertifikate für den sicheren Start status in Ihrer gesamten Flotte zu erfassen. Das Skript wird automatisch auf jedem Gerät ausgeführt und meldet status des sicheren Starts, den Status der Zertifikataktualisierung und Gerätedetails zurück an das Intune-Portal. An den Geräten werden keine Änderungen vorgenommen. Die Ergebnisse können zur flottenweiten Analyse direkt aus dem Intune Admin Center als CSV-Datei angezeigt und exportiert werden.

Schritt-für-Schritt-Anweisungen zum Bereitstellen des Erkennungsskripts finden Sie unter Überwachen des Status des Zertifikats für den sicheren Start mit Microsoft Intune Wartungen.

Option 2: Windows Autopatch Secure Boot Status Report

Wechseln Sie für Cloud-PCs, die bei Windows Autopatch registriert sind, Intune Admin Center > Berichte > Windows Autopatch > Windows-Qualitätsupdates > Berichte > RegisterkarteSicherer Start status. Weitere Informationen finden Sie unter Sicherer Start status Bericht in Windows Autopatch.

Hinweis: Um Windows Autopatch mit Windows 365 verwenden zu können, müssen Cloud-PCs beim Windows Autopatch-Dienst registriert sein. Weitere Informationen finden Sie unter Windows Autopatch für Windows 365 Enterprise Workloads.

Option 3: Registrierungsschlüssel für die Flottenüberwachung

Verwenden Sie Ihre vorhandenen Geräteverwaltungstools, um diese Registrierungswerte für Ihre gesamte Flotte abzufragen.

Registrierungspfad	Key	Funktion
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Aktuelle status
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Fehler	Gibt Fehler an (sollte nicht vorhanden sein)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Gibt die Ereignis-ID an (sollte nicht vorhanden sein)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Ausstehende Updatebits

Vollständige Registrierungsschlüsseldetails finden Sie unter Registrierungsschlüsselupdates für den sicheren Start.

Option 4: Ereignisprotokollüberwachung

Verwenden Sie Ihre vorhandenen Geräteverwaltungstools, um diese Ereignis-IDs aus dem Systemereignisprotokoll in Ihrer Flotte zu erfassen und zu überwachen.

Ereigniskennung	Standort	Bedeutung
1808	System	Zertifikate erfolgreich angewendet
1801	System	Aktualisieren von status- oder Fehlerdetails

Eine vollständige Liste der Ereignisdetails finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen.

Option 5: PowerShell Inventory Script

Führen Sie das Microsoft Sample Secure Boot Inventory Data Collection-Skript aus, um das Update des Zertifikats für den sicheren Start status zu überprüfen. Das Skript sammelt mehrere Datenpunkte, einschließlich des Status des sicheren Starts, des UEFI CA 2023-Updates status, der Firmwareversion und der Ereignisprotokollaktivität.

Bereitstellung

Wichtig: Unabhängig davon, für welche Bereitstellungsoption Sie sich entscheiden, empfehlen wir, Ihre Geräteflotte zu überwachen, um sicherzustellen, dass Zertifikate vor dem Stichtag im Juni 2026 erfolgreich angewendet wurden. Informationen zu benutzerdefinierten Images finden Sie unter Überlegungen zu benutzerdefinierten Images.

Option 1: Automatische Updates von Windows Update (Geräte mit hoher Zuverlässigkeit)

Microsoft aktualisiert Geräte automatisch über monatliche Windows-Updates, wenn ausreichende Telemetrie die erfolgreiche Bereitstellung auf ähnlichen Hardwarekonfigurationen bestätigt.

Status: Standardmäßig für Geräte mit hoher Zuverlässigkeit aktiviert
Keine Aktion erforderlich, es sei denn, Sie möchten sich abmelden

Registrierung	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Key	HighConfidenceOptOut = 1 zum Abmelden
Gruppenrichtlinie	Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > sicherer Start > automatische Zertifikatbereitstellung über Updates > Auf Deaktiviert festlegen, um sich abzumelden

Empfehlung: Überwachen Sie auch bei aktivierten automatischen Updates Ihre Cloud-PCs, um zu überprüfen, ob Zertifikate angewendet werden. Nicht alle Geräte sind für die automatische Bereitstellung mit hoher Zuverlässigkeit qualifiziert.

Weitere Informationen finden Sie unter Automatisierte Bereitstellungsunterstützung.

Option 2: IT-Initiated-Bereitstellung

Manuelles Auslösen von Zertifikatupdates für den sofortigen oder kontrollierten Rollout.

Methode	Dokumentation
Microsoft Intune	Microsoft Intune-Methode
Gruppenrichtlinie	GPO-Methode
Registrierungsschlüssel	Registrierungsschlüsselmethode
WinCS CLI	WinCS-APIs

Hinweise:

Kombinieren Sie keine von der IT initiierten Bereitstellungsmethoden (z. B. Intune und GPO) auf demselben Gerät. Sie steuern dieselben Registrierungsschlüssel und können konflikte.
Warten Sie ca. 48 Stunden und mindestens einen Neustart, damit Zertifikate vollständig angewendet werden.

Überlegungen zu benutzerdefinierten Images

Benutzerdefinierte Images werden vollständig von Ihrem organization verwaltet. Sie sind dafür verantwortlich, die Zertifikatupdates für den sicheren Start auf das benutzerdefinierte Image anzuwenden und es erneut hochzuladen, bevor Sie es für die Bereitstellung verwenden.

Das Anwenden von Zertifikatupdates für den sicheren Start auf das Quellimage wird nur mit Azure Compute Gallery-Images (Vorschau) unterstützt, die den vertrauenswürdigen Start und den sicheren Start unterstützen. Verwaltete Images unterstützen den sicheren Start nicht, sodass Zertifikatupdates nicht auf Imageebene angewendet werden können. Wenden Sie Updates für Cloud-PCs, die aus verwalteten Images bereitgestellt werden, mithilfe einer der oben genannten Bereitstellungsmethoden direkt auf dem Cloud-PC an.

Überprüfen Sie vor dem Generalisieren eines neuen benutzerdefinierten Images, ob Zertifikate aktualisiert werden:

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Bekannte Probleme

Wartungsregistrierungsschlüssel ist nicht vorhanden

Problembeschreibung	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing Pfad ist nicht vorhanden.
Ursache	Zertifikatupdates wurden auf dem Gerät nicht initiiert
Lösung	Warten Sie auf die automatische Bereitstellung über Windows Update, oder initiieren Sie manuell eine der oben genannten IT-initiierten Bereitstellungsmethoden.

Der Status zeigt "InProgress" für einen längeren Zeitraum an.

Problembeschreibung	UEFICA2023Status bleibt nach mehreren Tagen "InProgress"
Ursache	Das Gerät muss möglicherweise neu gestartet werden, um den Updatevorgang abzuschließen.
Lösung	Starten Sie den Cloud-PC neu, und überprüfen Sie status nach 15 Minuten erneut. Wenn das Problem weiterhin besteht, finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen anleitungen zur Problembehandlung.

UEFICA2023Fehlerregistrierungsschlüssel vorhanden

Problembeschreibung	UEFICA2023Fehlerregistrierungsschlüssel vorhanden
Ursache	Fehler bei der Zertifikatbereitstellung
Lösung	Weitere Informationen finden Sie im Systemereignisprotokoll. Anleitungen zur Problembehandlung finden Sie unter Updateereignisse für SICHERE START-DATENBANKEN und DBX-Variablen.