Secure Boot Certificate Teabevärskendused Azure Virtual Desktopi jaoks
Rakenduskoht
Avaldamise algne kuupäev: 19. veebruar 2026
KB ID: 5080931
Selles artiklis on toodud juhised järgmiseks.
-
Azure virtuaaltöölaua administraatorid, kes haldavad seansihosti värskendusi
-
Ettevõtted, mis kasutavad Azure virtuaaltöölaua juurutuste jaoks turvalist käivitamist lubavad virtuaalarvutid
-
Ettevõtted, mis kasutavad Azure virtuaaltöölaua juurutamiseks kohandatud pilte (kuldseid pilte)
Selles artiklis kirjeldatakse järgmist.
Sissejuhatus
Secure Boot on UEFI püsivara turbefunktsioon, mis aitab tagada, et seadme algkäivitusjada ajal töötab ainult usaldusväärne digitaalallkirjastatud tarkvara. 2011. aastal välja antud Microsofti turvalise algkäivituse serdid aeguvad 2026. aasta juunis. Ilma värskendatud 2023 sertideta ei saa seadmed enam uusi secure Booti ja Boot Manageri kaitset ega leevendusi äsja avastatud algkäivitustaseme nõrkuste jaoks.
Kõik Azure virtuaaltöölaua teenuses registreeritud turvalise algkäivituse lubatud virtuaalarvutid ja nende ettevalmistamiseks kasutatavad kohandatud pildid tuleb enne kaitse säilitamiseks aegumist värskendada 2023 serdile. Vaadake, millal Secure Booti serdid Windowsi seadmetes aeguvad
Kas see kehtib minu Azure virtuaaltöölaua keskkonna kohta?
|
Stsenaarium |
Kas turvaline algkäivitus on aktiivne? |
Nõutav toiming |
|
Seansihostid |
||
|
Trusted Launch VM with Secure Boot enabled |
Jah |
Sertide värskendamine seansi hostis |
|
Trusted Launch VM with Secure Boot disabled |
Ei |
Midagi pole vaja teha |
|
VM-i turbetüübi Standard |
Ei |
Midagi pole vaja teha |
|
1. põlvkonna virtuaalarvuti |
Ei toetata |
Midagi pole vaja teha |
|
Kuldsed pildid |
||
|
Azure arvutusgalerii pilt, kus on lubatud turvaline algkäivitus |
Jah |
Lähtepildi sertide värskendamine |
|
Azure arvutusgalerii pilt ilma usaldusväärse käivitamiseta |
Ei |
Värskenduste rakendamine seansihosti ajal pärast juurutamist |
|
Hallatav pilt (ei toeta usaldusväärset käivitamist) |
Ei |
Värskenduste rakendamine seansihosti ajal pärast juurutamist |
Täieliku taustateabe leiate teemast Secure Booti serdi värskendused: juhised IT-spetsialistidele ja organisatsioonidele.
Inventuur ja jälgimine
Enne toimingute tegemist inventuurige oma keskkond, et tuvastada seadmed, mis nõuavad värskendusi. Jälgimine on oluline sertide rakendamise kinnitamiseks enne 2026. aasta juuni tähtaega – isegi kui kasutate automaatse juurutamise meetodeid. Allpool on toodud võimalused, kuidas teha kindlaks, kas tuleb midagi ette võtta.
1. võimalus: paranduste Microsoft Intune
Microsoft Intune registreeritud seansihostide jaoks saate juurutada tuvastamisskripti, kasutades Intune parandusi (Ennetavaid parandusi), et koguda turvalise algkäivituse serdi olek automaatselt kogu teie laevastiku ulatuses. Skript töötab vaikselt igas seadmes ja teatab turvalise algkäivituse oleku, serdi värskendamise edenemise ja seadme üksikasjad tagasi Intune portaali – seadmeid ei muudeta. Tulemeid saab vaadata ja eksportida CSV-failina otse Intune halduskeskusest kogu laevastikuüleseks analüüsiks.
Üksikasjalikud juhised tuvastamisskripti juurutamise kohta leiate teemast Turvalise algkäivituse serdi oleku jälgimine Microsoft Intune parandustega.
2. võimalus: Windows Autopatch Secure Boot Status Report
Windowsi automaatpatšis registreeritud isiklike püsiseansihostide korral avage Intune halduskeskus > Aruanded > Windowsi automaatpatš > Windowsi kvaliteedivärskendused > vahekaart Aruanded > turvalise algkäivituse olek. Lugege artiklit Turvalise algkäivituse oleku aruanne Windowsi automaatpatšis.
Märkus.: Windows Autopatch toetab Azure Virtual Desktopi jaoks ainult isiklikke püsivirtuaalarvuteid. Mitme seansi hoste, mittevajalikud virtuaalarvutid ja kaugrakenduste voogesitust ei toetata. Lugege Azure virtuaaltöölaua töökoormuste kohta jaotist Windowsi automaatmakse.
3. võimalus: laevastiku jälgimise registrivõtmed
Olemasolevate seadmehaldustööriistade abil saate esitada päringuid nende registriväärtuste kohta kogu ettevõtte ulatuses.
|
Registritee |
Võti |
Eesmärk |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Praeguse juurutuse olek |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Tähistab tõrkeid (neid ei tohiks olla) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Näitab sündmuse ID-d (pole olemas) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Ootel värskendus bitid |
Täielikud registrivõtme üksikasjad leiate teemast Secure Booti registrivõtme värskendused: Windowsi seadmed, kus on IT-haldusega värskendused.
4. võimalus: sündmuselogi jälgimine
Olemasolevate seadmehaldustööriistade abil saate neid sündmuse ID-sid koguda ja jälgida süsteemi sündmustelogist kogu seadmepargi ulatuses.
|
Sündmuse ID |
Asukoht |
Tähendus |
|
1808 |
Süsteem |
Serdid on rakendatud |
|
1801 |
Süsteem |
Värskenduse olek või tõrke üksikasjad |
Sündmuse üksikasjade täieliku loendi leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused.
5. võimalus: PowerShelli inventuuri skript
Käivitage Secure Boot Inventory Data Collectioni näidisskript secure Booti serdi värskendamise oleku kontrollimiseks. Skript kogub mitmeid andmepunkte, sh Secure Booti olek, UEFI CA 2023 värskenduse olek, püsivara versioon ja sündmuselogi tegevus.
Juurutamine
NB!: Olenemata sellest, millise juurutussuvandi valite, soovitame jälgida seadmeparki, et serdid oleksid rakendatud enne 2026. aasta juuni tähtaega. Kohandatud piltide kohta leiate teavet teemast Kuldse pildi kaalutlused.
1. võimalus: automaatne Teabevärskendused Windows Update (väga usaldusväärsed seadmed)
Microsoft värskendab seadmeid Windowsi igakuiste värskenduste kaudu automaatselt, kui piisav telemeetria kinnitab, et sarnaste riistvarakonfiguratsioonide juurutamine õnnestus.
-
Olek: Väga usaldusväärsete seadmete jaoks vaikimisi lubatud
-
Midagi pole vaja teha, kui te ei soovi sellest loobuda
|
Registri |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Võti |
HighConfidenceOptOut = 1 loobumiseks |
|
Rühmapoliitika |
Arvuti konfiguratsioon > Haldusmallid > Windowsi komponendid > turvaline käivitamine > automaatne serdi juurutamine Teabevärskendused kaudu > loobumiseks määrake väärtuseks Keelatud. |
Soovitus: Isegi kui automaatsed värskendused on lubatud, jälgige oma seansihoste, et kontrollida, kas serdid on rakendatud. Kõik seadmed ei pruugi saada väga usaldusväärset automaatset juurutamist.
Lisateavet leiate teemast Automaatse juurutamise abi.
2. võimalus: IT-Initiated juurutamine
Käivitage serdi värskendused käsitsi koheseks või juhitavaks väljaandmiseks.
|
Meetod |
Dokumentatsioon |
|
Microsoft Intune |
|
|
Rühmapoliitika |
|
|
Registrivõtmed |
|
|
WinCS CLI |
Märkused:
-
Ärge segage IT-käivitatud juurutusmeetodeid (nt Intune ja GPO) samas seadmes– need juhivad samu registrivõtmeid ja võivad olla vastuolus.
-
Sertide täielikuks rakendamiseks lubage umbes 48 tundi ja üks või mitu taaskäivitamist.
Kuldse pildi kaalutlused
Azure virtuaaltöölaua keskkondades, mis kasutavad Azure Compute Gallery pilte, millel on lubatud Secure Boot, rakendage secure Boot 2023 serdi värskendus kuldse pildi enne selle jäädvustamist. Kasutage ühte ülalkirjeldatud meetoditest värskenduse rakendamiseks ja seejärel veenduge, et serdid oleksid enne üldistamist värskendatud.
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Pildid, kus usaldusväärne käivitamine on lubatud, ei saa pildi kaudu turvalise käivitamise serdi värskendusi vastu võtta. See hõlmab hallatavaid pilte, mis ei toeta usaldusväärset käivitamist, ja Azure arvutusgalerii pilte, kus usaldusväärne käivitamine pole lubatud. Nendest piltidest valmistatud seadmete korral rakendage guest OS-is värskendusi, kasutades ühte ülaltoodud meetoditest.
Teadaolevad probleemid
Teeninduse registrivõtit pole olemas
|
Tunnus |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing teed pole olemas |
|
Põhjus |
Seadmes pole serdivärskendusi algatatud |
|
Lahendus |
Oodake automaatset juurutamist Windows Update kaudu või käivitage käsitsi, kasutades mõnda eespool kirjeldatud IT-algatanud juurutusmeetodit. |
Status shows "InProgress" for extended period
|
Tunnus |
UEFICA2023Status jääb pärast mitut päeva "InProgress" |
|
Põhjus |
Seadme värskendamise lõpuleviimiseks võib olla vajalik taaskäivitamine |
|
Lahendus |
Taaskäivitage seansihost ja kontrollige 15 minuti pärast uuesti olekut. Kui probleem ei lahene, vaadake tõrkeotsingujuhiseid jaotisest Secure Boot DB ja DBX muutuja värskendussündmused. |
UEFICA2023Tõrke registrivõti on olemas
|
Tunnus |
UEFICA2023Tõrke registrivõti on olemas |
|
Põhjus |
Serdi juurutamisel ilmnes tõrge |
|
Lahendus |
Üksikasjalikumat teavet leiate süsteemisündmuste logist. Tõrkeotsingujuhised leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused. |
Ressursid
Kas vajate veel abi?
Kas soovite rohkem valikuvariante?
Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.
Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.
