Secure Boot Certificate Teabevärskendused for Windows 365
Avaldamise algne kuupäev: 19. veebruar 2026
KB ID: 5080914
Selles artiklis on toodud juhised järgmiseks.
-
Windows 365 pilvepõhiseid arvuteid haldavad administraatorid.
-
Ettevõtted, mis kasutavad Windows 365 juurutuste jaoks turvalist algkäivitust lubavad pilvarvutid.
-
Ettevõtted, mis kasutavad Windows 365 juurutuste jaoks kohandatud pilte.
Selles artiklis kirjeldatakse järgmist.
Sissejuhatus
Secure Boot on UEFI püsivara turbefunktsioon, mis aitab tagada, et seadme algkäivitusjada ajal töötab ainult usaldusväärne digitaalallkirjastatud tarkvara. 2011. aastal välja antud Microsofti turvalise algkäivituse serdid aeguvad 2026. aasta juunis. Ilma värskendatud 2023 sertideta ei saa seadmed enam uusi secure Booti ja Boot Manageri kaitset ega leevendusi äsja avastatud algkäivitustaseme nõrkuste jaoks.
Kõik Windows 365 teenuses ettevalmistatud turvalise algkäivitusega pilvearvutid ja nende ettevalmistamiseks kasutatavad kohandatud pildid tuleb enne aegumist värskendada 2023 serdile, et jääda kaitstuks. Lugege artiklit Secure Booti sertide aegumine Windowsi seadmetes.
Kas see kehtib minu Windows 365 keskkonna kohta?
|
Stsenaarium |
Kas turvaline algkäivitus on aktiivne? |
Nõutav toiming |
|
Pilvarvutid |
||
|
Pilvarvuti, kus on lubatud turvaline käivitamine |
Jah |
Pilvarvuti sertide värskendamine |
|
Pilvarvuti, kus turvaline käivitamine on keelatud |
Ei |
Midagi pole vaja teha |
|
Pildid |
||
|
Azure arvutusgalerii pilt, kus on lubatud turvaline algkäivitus |
Jah |
Värskenda enne üldistamist lähtepildi serdid |
|
Azure arvutusgalerii pilt ilma usaldusväärse käivitamiseta |
Ei |
Värskenduste rakendamine pilvarvutis pärast ettevalmistamist |
|
Hallatav pilt (ei toeta usaldusväärset käivitamist) |
Ei |
Värskenduste rakendamine pilvarvutis pärast ettevalmistamist |
Täieliku taustateabe leiate teemast Secure Booti serdi värskendused: juhised IT-spetsialistidele ja organisatsioonidele.
Inventuur ja jälgimine
Enne toimingute tegemist inventuurige oma keskkond, et tuvastada seadmed, mis nõuavad värskendusi. Jälgimine on oluline sertide rakendamise kinnitamiseks enne 2026. aasta juuni tähtaega – isegi kui kasutate automaatse juurutamise meetodeid. Allpool on toodud võimalused, kuidas teha kindlaks, kas tuleb midagi ette võtta.
1. võimalus: paranduste Microsoft Intune
Microsoft Intune registreeritud pilvarvutite puhul saate juurutada tuvastamisskripti, kasutades Intune parandusi (ennetavaid parandusi), et koguda turvalise algkäivituse serdi olek automaatselt kogu teie laevastiku ulatuses. Skript töötab vaikselt igas seadmes ja teatab turvalise algkäivituse oleku, serdi värskendamise edenemise ja seadme üksikasjad tagasi Intune portaali – seadmeid ei muudeta. Tulemeid saab vaadata ja eksportida CSV-failina otse Intune halduskeskusest kogu laevastikuüleseks analüüsiks.
Üksikasjalikud juhised tuvastamisskripti juurutamise kohta leiate teemast Turvalise algkäivituse serdi oleku jälgimine Microsoft Intune parandustega.
2. võimalus: Windows Autopatch Secure Boot Status Report
Windowsi automaatpatšis registreeritud pilvarvutite korral avage Intune halduskeskus > Aruanded > Windowsi automaatpaki > Windowsi kvaliteedivärskendused > vahekaart Aruanded > Turvalise algkäivituse olek. Lugege artiklit Turvalise algkäivituse oleku aruanne Windowsi automaatpatšis.
Märkus. Windowsi automaatpatši kasutamiseks Windows 365 peab pilvarvuti olema registreeritud Windowsi automaatpaki teenuses. Lugege artiklit Windows Autopatch Windows 365 Enterprise töökoormuste kohta.
3. võimalus: laevastiku jälgimise registrivõtmed
Olemasolevate seadmehaldustööriistade abil saate esitada päringuid nende registriväärtuste kohta kogu ettevõtte ulatuses.
|
Registritee |
Võti |
Eesmärk |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Praeguse juurutuse olek |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Tähistab tõrkeid (neid ei tohiks olla) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Näitab sündmuse ID-d (pole olemas) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Ootel värskendus bitid |
Täielikud registrivõtme üksikasjad leiate teemast Secure Booti registrivõtme värskendused.
4. võimalus: sündmuselogi jälgimine
Olemasolevate seadmehaldustööriistade abil saate neid sündmuse ID-sid koguda ja jälgida süsteemi sündmustelogist kogu seadmepargi ulatuses.
|
Sündmuse ID |
Asukoht |
Tähendus |
|
1808 |
Süsteem |
Serdid on rakendatud |
|
1801 |
Süsteem |
Värskenduse olek või tõrke üksikasjad |
Sündmuse üksikasjade täieliku loendi leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused.
5. võimalus: PowerShelli inventuuri skript
Käivitage Secure Boot Inventory Data Collectioni näidisskript secure Booti serdi värskendamise oleku kontrollimiseks. Skript kogub mitmeid andmepunkte, sh Secure Booti olek, UEFI CA 2023 värskenduse olek, püsivara versioon ja sündmuselogi tegevus.
Juurutamine
NB!: Olenemata sellest, millise juurutussuvandi valite, soovitame jälgida seadmeparki, et serdid oleksid rakendatud enne 2026. aasta juuni tähtaega. Kohandatud piltide kohta leiate teavet teemast Kohandatud pildikaalutlused.
1. võimalus: automaatne Teabevärskendused Windows Update (väga usaldusväärsed seadmed)
Microsoft värskendab seadmeid Windowsi igakuiste värskenduste kaudu automaatselt, kui piisav telemeetria kinnitab, et sarnaste riistvarakonfiguratsioonide juurutamine õnnestus.
-
Olek: suure usaldusväärsusega seadmetes vaikimisi lubatud
-
Midagi pole vaja teha, kui te ei soovi sellest loobuda
|
Registri |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Võti |
HighConfidenceOptOut = 1 loobumiseks |
|
Rühmapoliitika |
Arvuti konfiguratsioon > Haldusmallid > Windowsi komponendid > turvaline käivitamine > automaatne serdi juurutamine Teabevärskendused kaudu > seadmiseks keelatud |
Soovitus: Isegi kui automaatsed värskendused on lubatud, jälgige oma pilvarvutiid sertide rakendamise kontrollimiseks. Kõik seadmed ei pruugi saada väga usaldusväärset automaatset juurutamist.
Lisateavet leiate teemast Automaatse juurutamise abi.
2. võimalus: IT-Initiated juurutamine
Käivitage serdi värskendused käsitsi koheseks või juhitavaks väljaandmiseks.
|
Meetod |
Dokumentatsioon |
|
Microsoft Intune |
|
|
Rühmapoliitika |
|
|
Registrivõtmed |
|
|
WinCS CLI |
Märkused:
-
Ärge segage IT-käivitatud juurutusmeetodeid (nt Intune ja GPO) samas seadmes– need juhivad samu registrivõtmeid ja võivad olla vastuolus.
-
Sertide täielikuks rakendamiseks lubage umbes 48 tundi ja üks või mitu taaskäivitamist.
Kohandatud pildikaalutlused
Kohandatud pilte haldab täielikult teie asutus. Peate rakendama secure Booti serdi värskendused kohandatud pildile ja selle enne ettevalmistamiseks kasutamist uuesti üles laadima.
Lähtepildile turvalise algkäivituse serdi värskenduste rakendamist toetavad ainult Azure arvutigalerii pildid (eelvaade), mis toetavad usaldusväärset käivitamist ja turvalist käivitamist. Hallatavad pildid ei toeta secure Booti, seega ei saa serdivärskendusi pilditasemel rakendada. Hallatavatest piltidest ette valmistatud pilvarvutite puhul rakendage värskendused otse pilvarvutis, kasutades ühte ülalpool kirjeldatud juurutusmeetoditest.
Enne uue kohandatud pildi üldistamist kontrollige, kas serdid on värskendatud.
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Teadaolevad probleemid
Teeninduse registrivõtit pole olemas
|
Tunnus |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing teed pole olemas |
|
Põhjus |
Seadmes pole serdivärskendusi algatatud |
|
Lahendus |
Oodake automaatset juurutamist Windows Update kaudu või käivitage käsitsi, kasutades mõnda eespool kirjeldatud IT-algatanud juurutusmeetodit. |
Status shows "InProgress" for extended period
|
Tunnus |
UEFICA2023Status jääb pärast mitut päeva "InProgress" |
|
Põhjus |
Seadme värskendamise lõpuleviimiseks võib olla vajalik taaskäivitamine |
|
Lahendus |
Taaskäivitage pilvarvuti ja kontrollige 15 minuti pärast uuesti olekut. Kui probleem ei lahene, vaadake tõrkeotsingujuhiseid jaotisest Secure Boot DB ja DBX muutuja värskendussündmused. |
UEFICA2023Tõrke registrivõti on olemas
|
Tunnus |
UEFICA2023Tõrke registrivõti on olemas |
|
Põhjus |
Serdi juurutamisel ilmnes tõrge |
|
Lahendus |
Üksikasjalikumat teavet leiate süsteemisündmuste logist. Tõrkeotsingujuhised leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused. |
Ressursid
Kas vajate veel abi?
Kas soovite rohkem valikuvariante?
Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.
Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.
