Zertifikat für den sicheren Start Updates für Azure Virtual Desktop
Gilt für
Ursprüngliches Veröffentlichungsdatum: 19. Februar 2026
KB-ID: 5080931
Dieser Artikel enthält Anleitungen für:
-
Azure Virtual Desktop-Administratoren, die Sitzungshostupdates verwalten
-
Organisationen, die sichere Start-fähige VMs für Azure Virtual Desktop-Bereitstellungen verwenden
-
Organisationen, die benutzerdefinierte Images (goldene Images) für Azure Virtual Desktop-Bereitstellungen verwenden
In diesem Artikel:
Einführung
Sicherer Start ist ein UEFI-Firmwaresicherheitsfeature, das sicherstellt, dass nur vertrauenswürdige, digital signierte Software während einer Startsequenz des Geräts ausgeführt wird. Die 2011 ausgestellten Microsoft Secure Boot-Zertifikate laufen im Juni 2026 ab. Ohne die aktualisierten 2023-Zertifikate erhalten Geräte keine neuen Schutzmaßnahmen für den sicheren Start und den Start-Manager mehr oder keine Risikominderungen für neu entdeckte Sicherheitsrisiken auf Startebene.
Alle VMs mit Aktiviertem sicheren Start, die im Azure Virtual Desktop-Dienst registriert sind, und benutzerdefinierte Images, die für deren Bereitstellung verwendet werden, müssen vor dem Ablauf auf die Zertifikate 2023 aktualisiert werden, um geschützt zu bleiben. Weitere Informationen finden Sie unter Ablauf von Zertifikaten für den sicheren Start auf Windows-Geräten.
Gilt dies für meine Azure Virtual Desktop-Umgebung?
|
Szenario |
Sicherer Start aktiv? |
Aktion erforderlich |
|
Sitzungshosts |
||
|
Vertrauenswürdiger Start eines virtuellen Computers mit aktiviertem sicheren Start |
Ja |
Aktualisieren von Zertifikaten auf dem Sitzungshost |
|
Vertrauenswürdiger Start eines virtuellen Computers mit deaktiviertem sicheren Start |
Nein |
Keine Aktion erforderlich |
|
Standard sicherheitstyp-VM |
Nein |
Keine Aktion erforderlich |
|
VM der 1. Generation |
Nicht unterstützt |
Keine Aktion erforderlich |
|
Goldene Bilder |
||
|
Azure Compute Gallery-Image mit aktiviertem sicheren Start |
Ja |
Aktualisieren von Zertifikaten im Quellimage |
|
Azure Compute Gallery-Image ohne vertrauenswürdigen Start |
Nein |
Anwenden von Updates im Sitzungshost nach der Bereitstellung |
|
Verwaltetes Image (unterstützt nicht den vertrauenswürdigen Start) |
Nein |
Anwenden von Updates im Sitzungshost nach der Bereitstellung |
Vollständige Hintergrundinformationen finden Sie unter Updates des Zertifikats für den sicheren Start: Leitfaden für IT-Experten und Organisationen.
Bestand und Überwachung
Bevor Sie Maßnahmen ergreifen, inventarisieren Sie Ihre Umgebung, um Geräte zu identifizieren, die Updates erfordern. Die Überwachung ist unerlässlich, um zu bestätigen, dass Zertifikate vor dem Stichtag vom Juni 2026 angewendet werden – auch wenn Sie auf automatische Bereitstellungsmethoden angewiesen sind. Im Folgenden finden Sie Optionen, um zu bestimmen, ob Maßnahmen ergriffen werden müssen.
Option 1: Microsoft Intune Korrekturen
Für Sitzungshosts, die in Microsoft Intune registriert sind, können Sie mithilfe von Intune Wartungen (proaktive Korrekturen) ein Erkennungsskript bereitstellen, um automatisch status secure boot certificate status in Ihrer gesamten Flotte zu erfassen. Das Skript wird automatisch auf jedem Gerät ausgeführt und meldet status des sicheren Starts, den Status der Zertifikataktualisierung und Gerätedetails zurück an das Intune-Portal. An den Geräten werden keine Änderungen vorgenommen. Die Ergebnisse können zur flottenweiten Analyse direkt aus dem Intune Admin Center als CSV-Datei angezeigt und exportiert werden.
Schritt-für-Schritt-Anweisungen zum Bereitstellen des Erkennungsskripts finden Sie unter Überwachen des Status des Zertifikats für den sicheren Start mit Microsoft Intune Wartungen.
Option 2: Windows Autopatch Secure Boot Status Report
Für persönliche persistente Sitzungshosts, die mit Windows Autopatch registriert sind, wechseln Sie Intune Admin Center > Berichte > Windows Autopatch > Windows-Qualitätsupdates > Registerkarte Berichte > sicheren Start status. Weitere Informationen finden Sie unter Sicherer Start status Bericht in Windows Autopatch.
Hinweis: Windows Autopatch unterstützt nur persönliche persistente virtuelle Computer für Azure Virtual Desktop. Hosts mit mehreren Sitzungen, gepoolte nicht persistente virtuelle Computer und Remote-App-Streaming werden nicht unterstützt. Weitere Informationen finden Sie unter Windows Autopatch für Azure Virtual Desktop-Workloads.
Option 3: Registrierungsschlüssel für die Flottenüberwachung
Verwenden Sie Ihre vorhandenen Geräteverwaltungstools, um diese Registrierungswerte für Ihre gesamte Flotte abzufragen.
|
Registrierungspfad |
Key |
Funktion |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuelle status |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Fehler |
Gibt Fehler an (sollte nicht vorhanden sein) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Gibt die Ereignis-ID an (sollte nicht vorhanden sein) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Ausstehende Updatebits |
Vollständige Registrierungsschlüsseldetails finden Sie unter Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit IT-verwalteten Updates.
Option 4: Ereignisprotokollüberwachung
Verwenden Sie Ihre vorhandenen Geräteverwaltungstools, um diese Ereignis-IDs aus dem Systemereignisprotokoll in Ihrer Flotte zu erfassen und zu überwachen.
|
Ereigniskennung |
Standort |
Bedeutung |
|
1808 |
System |
Zertifikate erfolgreich angewendet |
|
1801 |
System |
Aktualisieren von status- oder Fehlerdetails |
Eine vollständige Liste der Ereignisdetails finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen.
Option 5: PowerShell Inventory Script
Führen Sie das Microsoft-Beispielskript für die Sammlung von Bestandsdaten für den sicheren Start aus, um das Update des Zertifikats für den sicheren Start status zu überprüfen. Das Skript sammelt mehrere Datenpunkte, einschließlich des Status des sicheren Starts, des UEFI CA 2023-Updates status, der Firmwareversion und der Ereignisprotokollaktivität.
Bereitstellung
Wichtig: Unabhängig davon, für welche Bereitstellungsoption Sie sich entscheiden, empfehlen wir, Ihre Geräteflotte zu überwachen, um sicherzustellen, dass Zertifikate vor dem Stichtag im Juni 2026 erfolgreich angewendet wurden. Informationen zu benutzerdefinierten Images finden Sie unter Überlegungen zu goldenen Images.
Option 1: Automatische Updates von Windows Update (Geräte mit hoher Zuverlässigkeit)
Microsoft aktualisiert Geräte automatisch über monatliche Windows-Updates, wenn ausreichende Telemetrie die erfolgreiche Bereitstellung auf ähnlichen Hardwarekonfigurationen bestätigt.
-
Status: Standardmäßig aktiviert für Geräte mit hoher Zuverlässigkeit
-
Keine Aktion erforderlich, es sei denn, Sie möchten sich abmelden
|
Registrierung |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Key |
HighConfidenceOptOut = 1 zum Abmelden |
|
Gruppenrichtlinie |
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > sicherer Start > automatische Zertifikatbereitstellung über Updates > Auf Deaktiviert festlegen, um die Deaktivierung zu deaktivieren. |
Empfehlung: Überwachen Sie auch bei aktivierten automatischen Updates Ihre Sitzungshosts, um zu überprüfen, ob Zertifikate angewendet werden. Nicht alle Geräte sind für die automatische Bereitstellung mit hoher Zuverlässigkeit qualifiziert.
Weitere Informationen finden Sie unter Automatisierte Bereitstellungsunterstützung.
Option 2: IT-Initiated-Bereitstellung
Manuelles Auslösen von Zertifikatupdates für den sofortigen oder kontrollierten Rollout.
|
Methode |
Dokumentation |
|
Microsoft Intune |
|
|
Gruppenrichtlinie |
|
|
Registrierungsschlüssel |
|
|
WinCS CLI |
Hinweise:
-
Kombinieren Sie keine von der IT initiierten Bereitstellungsmethoden (z. B. Intune und GPO) auf demselben Gerät. Sie steuern dieselben Registrierungsschlüssel und können konflikte.
-
Warten Sie ca. 48 Stunden und mindestens einen Neustart, damit Zertifikate vollständig angewendet werden.
Überlegungen zu goldenen Bildern
Wenden Sie für Azure Virtual Desktop-Umgebungen, die Azure Compute Gallery-Images mit aktiviertem sicheren Start verwenden, das Zertifikatupdate für den sicheren Start 2023 auf das goldene Image an, bevor Sie es erfassen. Verwenden Sie eine der oben beschriebenen Methoden, um das Update anzuwenden, und überprüfen Sie dann, ob Zertifikate vor der Generalisierung aktualisiert werden:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Images ohne aktivierten vertrauenswürdigen Start können keine Zertifikatupdates für den sicheren Start über das Image empfangen. Dies umfasst verwaltete Images, die den vertrauenswürdigen Start nicht unterstützen, und Azure Compute Gallery-Images, bei denen der vertrauenswürdige Start nicht aktiviert ist. Wenden Sie für Geräte, die mit diesen Images bereitgestellt werden, Updates im Gastbetriebssystem mithilfe einer der oben genannten Methoden an.
Bekannte Probleme
Wartungsregistrierungsschlüssel ist nicht vorhanden
|
Problembeschreibung |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path ist nicht vorhanden |
|
Ursache |
Zertifikatupdates wurden auf dem Gerät nicht initiiert |
|
Lösung |
Warten Sie auf die automatische Bereitstellung über Windows Update, oder initiieren Sie manuell eine der oben genannten IT-initiierten Bereitstellungsmethoden. |
Der Status zeigt "InProgress" für einen längeren Zeitraum an.
|
Problembeschreibung |
UEFICA2023Status bleibt nach mehreren Tagen "InProgress" |
|
Ursache |
Das Gerät muss möglicherweise neu gestartet werden, um den Updatevorgang abzuschließen. |
|
Lösung |
Starten Sie den Sitzungshost neu, und überprüfen Sie status nach 15 Minuten erneut. Wenn das Problem weiterhin besteht, finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen anleitungen zur Problembehandlung. |
UEFICA2023Fehlerregistrierungsschlüssel vorhanden
|
Problembeschreibung |
UEFICA2023Fehlerregistrierungsschlüssel vorhanden |
|
Ursache |
Fehler bei der Zertifikatbereitstellung |
|
Lösung |
Weitere Informationen finden Sie im Systemereignisprotokoll. Anleitungen zur Problembehandlung finden Sie unter Updateereignisse für SICHERE START-DATENBANKEN und DBX-Variablen. |
Ressourcen
Benötigen Sie weitere Hilfe?
Möchten Sie weitere Optionen?
Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.
In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.
