Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Alkuperäinen julkaisupäivä: 26. kesäkuuta 2025

KB-tunnus: 5062713

Tässä artikkelissa on ohjeita:

Organisaatiot (yritykset, pienyrittäjien ja oppilaitosten organisaatiot), joissa on IT-hallittuja Windows-laitteita ja -päivityksiä.

Huomautus: Jos olet henkilö, joka omistaa henkilökohtaisen Windows-laitteen, siirry artikkeliin Windows-laitteet kotikäyttäjille, yrityksille ja kouluille, joissa on Microsoftin hallinnoimia päivityksiä.

Muuta päivämäärää

Muuta kuvausta

5. toukokuuta 2026

30. maaliskuuta 2026

  • Korjattu tunnettu ongelma: Suojatun käynnistyksen varmennepäivitykset saattoivat epäonnistua tapahtumatunnuksella 1795 Hyper-V-virtuaalikoneissa.

24. maaliskuuta 2026

  • Päivitetty tunnettu ongelma: Suojatun käynnistyksen varmennepäivitykset saattavat epäonnistua Tapahtumatunnus 1795 Hyper-V-virtuaalikoneissa

16. maaliskuuta 2026

  • Suojatun käynnistyksen varastotietojen keräämisen esimerkkikomentosarja on poistettu luottamustietojen malliosasta, koska se on vanhentunut.

3. maaliskuuta 2026

  • Muotoili otostuloksen uudelleen Valmistelu-osiossa niin, että se pysyy ruudussa.

24. helmikuuta 2026

  • Päivitetty "Suojatun käynnistyksen esimerkkivaraston tietojen keräämisen komentosarjan" sisältö Valmistelu-osiossa

  • Lisäsin uuden osan "Mallitulos" Valmistelu-osioon.

23. helmikuuta 2026

  • Päivitetty "Suojatun käynnistyksen esimerkkivaraston tietojen keräämisen komentosarjan" sisältö Valmistelu-osiossa.

13. helmikuuta 2026

  • Lisäsi "Malliluottamustiedot" -kohteet Valmistelu-osaan

  • "Kokoelmakomentosarja odottaville tapahtumille 1801 ja 1808" poistettiin Valmistelu-osasta, koska sitä ei enää tarvita. 

3. helmikuuta 2026

  • Yleisiä ongelmia on siirretty ja muotoiltu uudelleen Vianmääritys-osassa.

  • Lisätty uusi yleinen ongelma: "Suojatun käynnistyksen varmennepäivitykset saattavat epäonnistua Tapahtumatunnus 1795 Hyper-V-virtuaalikoneissa".

26. tammikuuta 2026

  • Päivitetty automaattinen käyttöönottoavustaja -kohdan teksti "Molemmat avustajat edellyttävät diagnostiikkatietoja". Tekstiksi "Vain hallittu ominaisuuden käyttöönottoavustaja edellyttää diagnostiikkatietoja.

11. marraskuuta 2025

Korjattu kaksi kirjoitusvirheitä suojatun käynnistyksen varmenteen käyttöönoton tuki -kohdassa.

  • 0x0800 - Varmenteen nimi muutettiin Microsoft UEFI CA 2023 :sta Microsoft Option ROM UEFI CA 2023-versioksi.​​​​​​​

  • 0x1000 – Muuttanut Microsoft Option ROM CA 2023 -asetukseksi Microsoft UEFI CA 2023.

10. marraskuuta 2025

  • Korjattu kaksi kirjoitusvirheitä kohdassa "Uusi varmenne": "Microsoft Corporation KEK CA 2023" ja "Microsoft Corporation KEK 2K CA 2023" ja "Microsoft Option ROM CA 2023" ja "Microsoft Option ROM UEFI CA 2023".

  • Uudet PowerShell-komentosarjat lisättiin ylätunnisteisiin "Suojatun käynnistyksen tilan tarkistaminen koko kalustossa: Onko suojattu käynnistys käytössä? " ja "Valmistelu".

Tässä artikkelissa:

Yleiskatsaus

Tämä artikkeli on tarkoitettu organisaatioille, joissa on it-ammattilaisia, jotka hallitsevat päivityksiä aktiivisesti koko laitekalustossaan. Suurin osa tästä artikkelista keskittyy toimintoihin, joita tarvitaan, jotta organisaation IT-osasto voi ottaa uudet suojatun käynnistyksen varmenteet käyttöön. Näitä toimintoja ovat esimerkiksi laiteohjelmiston testaaminen, laitepäivitysten valvonta, käyttöönoton aloittaminen ja ongelmien vianmääritys niiden ilmetessä. Esittelyssä on useita käyttöönotto- ja valvontamenetelmiä. Näiden ydintoimintojen lisäksi tarjoamme useita käyttöönottoapuvälineitä, kuten mahdollisuuden valita asiakaslaitteet osallistumaan cfr(Controlled Feature Rollout) -käyttöönottoon erityisesti varmenteiden käyttöönottoa varten.

KÄYTTÖÖNOTTO-pelikirja IT-ammattilaisille 

Suunnittele ja suorita suojatun käynnistyksen varmennepäivityksiä koko laitteen kalustossa valmistelun, seurannan, käyttöönoton ja korjaamisen avulla.

Suojatun käynnistyksen tilan tarkistaminen koko kalustossa: Onko suojattu käynnistys käytössä? 

Useimmat vuodesta 2012 lähtien valmistetut laitteet tukevat suojattua käynnistystä, ja ne toimitetaan suojatun käynnistyksen ollessa käytössä. Jos haluat varmistaa, että laitteessa on käytössä suojattu käynnistys, tee jompikumpi seuraavista: 

  • GUI-menetelmä: Siirry aloitusvalikkoon >Asetukset > Tietosuoja & Suojaus > Windowsin suojaus > Device Security. Suojatun käynnistyksen kohdassa Laitteen suojaus pitäisi olla merkkinä siitä, että suojattu käynnistys on käytössä.

  • Komentorivimenetelmä: Kirjoita PowerShellin laajennettuun komentokehotteeseen Vahvista-SecureBootUEFI ja paina sitten Enter-näppäintä. Komennon pitäisi palauttaa Tosi, mikä ilmaisee, että suojattu käynnistys on käytössä.

It-ammattilaisten käyttämien hallintaohjelmistojen on tehtävä suojatun käynnistyksen käyttöönottotarkistus laajamittaisissa käyttöönotoissa. 

Esimerkiksi suojatun käynnistyksen tilan tarkistaminen Microsoft Intune hallinnoiduissa laitteissa on mukautetun yhteensopivuuskomentosarjan Intune luominen ja käyttöönotto. Intune yhteensopivuusasetuksia käsitellään kohdassa Mukautettujen yhteensopivuusasetusten käyttäminen Linux- ja Windows-laitteissa Microsoft Intune kanssa.  

Esimerkki Powershell-komentosarjasta, joka tarkistaa, onko suojattu käynnistys käytössä:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Jos suojattu käynnistys ei ole käytössä, voit ohittaa alla olevat päivitysvaiheet, koska ne eivät ole sovellettavissa.

Päivitysten käyttöönotto

Suojatun käynnistyksen varmennepäivityksiä voi kohdentaa laitteisiin monella tavalla. Käyttöönoton tietoja, kuten asetuksia ja tapahtumia, käsitellään myöhemmin tässä asiakirjassa. Kun kohdistat laitteen päivityksiä varten, laitteeseen tehdään asetus, joka ilmaisee, että laitteen on aloitettava uusien varmenteiden käyttöönotto. Ajoitettu tehtävä suoritetaan laitteessa 12 tunnin välein ja se havaitsee, että laite on kohdistettu päivityksille. Tehtävän toiminnan jäsennys on seuraava:

  1. Windows UEFI CA 2023 otetaan käyttöön DB:ssä.

  2. Jos laitteessa on Microsoft Corporation UEFI CA 2011 DB:ssä, tehtävä soveltaa DB:hen Microsoft Option ROM UEFI CA 2023:a ja Microsoft UEFI CA 2023:a.

  3. Tämän jälkeen tehtävä lisää Microsoft Corporation KEK 2K CA 2023:n.

  4. Ajoitettu tehtävä päivittää Windowsin käynnistyksen hallinnan Windows UEFI CA 2023:n allekirjoittamaan tehtävään. Windows havaitsee, että uudelleenkäynnistys on tarpeen, ennen kuin käynnistyksen hallinta voidaan ottaa käyttöön. Käynnistyksen hallinnan päivitys viivästyy, kunnes uudelleenkäynnistys tapahtuu luonnollisesti (esimerkiksi kuukausittaisten päivitysten yhteydessä), ja windows yrittää sitten uudelleen ottaa käyttöön käynnistyksen hallinnan päivityksen.

Kaikki edellä mainitut vaiheet on suoritettava onnistuneesti, ennen kuin ajoitettu tehtävä siirtyy seuraavaan vaiheeseen. Tämän prosessin aikana tapahtumalokit ja muut tilat ovat käytettävissä käyttöönoton seurannassa. Lisätietoja seurannasta ja tapahtumalokeista on alla.  

Suojatun käynnistyksen varmenteiden päivittäminen mahdollistaa tulevan päivityksen 2023 Boot Manageriin, joka on turvallisempi. Käynnistyksen hallinnan tietyt päivitykset julkaistaan tulevissa versioissa.

Käyttöönottovaiheet 

  • Valmistelu: Varasto- ja testauslaitteet.

  • Laiteohjelmistoon liittyvät seikat

  • Valvonta: Varmista, että valvonta toimii ja että kalustosi on perustasolla.

  • Käyttöönotto: Kohdelaitteet päivityksiä varten, alkaen pienistä alijoukoista ja laajentamalla tietoja onnistuneiden testien perusteella.

  • Korjaus: Tutki ja ratkaise mahdolliset ongelmat lokien ja toimittajan tuen avulla.

Valmistelu 

Varastolaitteisto ja laiteohjelmisto. Muodosta edustava esimerkki laitteista, jotka perustuvat esimerkiksi järjestelmän valmistajaan, järjestelmämalliin, BIOS-versioon/päivämäärään ja BaseBoard-tuoteversioon, ja testaa näiden laitteiden päivitykset ennen laajaa käyttöönottoa.  Nämä parametrit ovat yleisesti käytettävissä järjestelmätiedoissa (MSINFO32). Voit tarkistaa suojatun käynnistyksen päivityksen tilan ja varastolaitteet koko organisaatiossa käyttämällä mukana toimitettuja PowerShell-mallikomentoja.

Huomautukset: 

  • Nämä komennot ovat käytössä, jos suojatun käynnistyksen tila on käytössä.

  • Monet näistä komennoista tarvitsevat järjestelmänvalvojan oikeudet toimiakseen.

Esimerkki suojatun käynnistyksen varastotietojen keräämisen komentosarjasta

Kopioi ja liitä tämä esimerkkikomentosarja ja muokkaa sitä tarpeen mukaan ympäristössäsi: Suojatun käynnistyksen inventaariotietojen keräämisen esimerkkikomentosarja.

Mallitulos:

{"UEFICA2023Status;Päivitetty","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates\0x0","AvailableUpdatesPolicy":null,"Hostname\LAPTOP-FEDU3LOS", "CollectionTime?2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily;Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture?AMD64","CanAttemptUpdateAfter;2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId?04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence?UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct\Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus\Ready","WinCSKeyApplied":true,"WinCSKeyStatus\Applied"}

Suojatun käynnistyksen luottamustasot

Luottamustaso

Merkitys

Toiminto pakollinen

Suuri luottamus

Microsoft on vahvistanut, että tämä laiteluokka on turvallinen päivityksiä varten

Varmennepäivitysten käyttöönotto on turvallista

Tarkkailussa – tarvitaan lisää tietoja

Microsoft kerää edelleen suojatun käynnistyksen käyttöönoton diagnostiikkatietoja näistä laitteista

Odota Microsoftin luokitusta

Tietoja ei havaittu – toimenpide vaaditaan

Microsoft ei tunne laiteluokkaa

Yrityksen on testattava ja suunniteltava käyttöönottoa

Keskeytetty tilapäisesti

Tunnetut yhteensopivuusongelmat

Tarkista OEM BIOS -päivitys; Odota, että Microsoft ratkaisee ongelman

Ei tuettu – tunnettu rajoitus

Käyttöympäristön tai laitteiston rajoitukset

Asiakirja poikkeuksena

Jos suojattu käynnistys on käytössä, ensimmäinen vaihe on tarkistaa, onko äskettäin päivitettyjä odottavia tapahtumia vai päivitetäänkö suojatun käynnistyksen varmenteita. Erityisen kiinnostavia ovat viimeisimmät tapahtumat vuosina 1801 ja 1808. Nämä tapahtumat on kuvattu yksityiskohtaisesti suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumissa. Tarkista myös Seuranta ja käyttöönotto -osiosta, miten tapahtumat voivat näyttää odottavien päivitysten tilan.  

Seuraava vaihe on organisaation laitteiden inventointi. Kerää seuraavat tiedot PowerShell-komennoilla edustavan otoksen muodostamista varten: 

Perustunnisteet (2 arvoa)

      1. HostName – $env: COMPUTERNAME 

      2. CollectionTime – Get-Date 

Rekisteri: Suojatun käynnistyksen pääavain (3 arvoa) 

     3. SecureBootEnabled – Confirm-SecureBootUEFI cmdlet- tai HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Rekisteri: Ylläpitoavain (3 arvoa) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Rekisteri: Laitteen määritteet (7 arvoa) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Tapahtumalokit: Järjestelmäloki (5 arvoa) 

     16. LatestEventId – viimeisin suojatun käynnistyksen tapahtuma 

     17. BucketID - Poimittu tapahtumasta 1801/1808 

     18. Luottamus - Poimittu tapahtumasta 1801/1808 

     19. Tapahtuma1801Laske – Tapahtumien määrä 

     20. Tapahtuma1808Laske – Tapahtumien määrä 

WMI/CIM-kyselyt (4 arvoa) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime – Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct – Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Valmistaja  

     26. (Get-CIMInstance Win32_ComputerSystem). Malli  

    27. (Get-CIMInstance Win32_BIOS). Kuvaus + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("KK/kk/vv")  

    28. (Get-CIMInstance Win32_BaseBoard). Tuotteen  

Laiteohjelmistoon liittyvät seikat

Uusien suojatun käynnistyksen varmenteiden käyttöönotto laitteiden kalustossa edellyttää, että laitteen laiteohjelmistolla on osansa päivityksen viimeistelyssä. Vaikka Microsoft odottaa, että useimmat laitteen laiteohjelmistot toimivat odotetulla tavalla, tarvitaan huolellista testausta ennen uusien varmenteiden käyttöönottoa.

Tutki laitteistoluetteloa ja luo pieni, edustava otos laitteista seuraavien yksilöllisten ehtojen perusteella, kuten: 

  • Valmistaja

  • Mallinumero

  • Laiteohjelmistoversio

  • OEM Baseboard -versio jne.

Ennen kuin otat yleisesti käyttöön kalustosi laitteissa, suosittelemme, että testaat varmennepäivitykset edustavissa mallilaitteissa (kuten valmistajan, mallin tai laiteohjelmistoversion mukaan) varmistaaksesi, että päivitykset käsitellään onnistuneesti. Suositeltu ohje kunkin yksilöllisen luokan testattavien mallilaitteiden määrästä on 4 tai enemmän.

Tämä auttaa lisäämään luottamusta käyttöönottoprosessiisi ja välttämään odottamattomia vaikutuksia laajempaan kalustoon. 

Joissakin tapauksissa suojatun käynnistyksen varmenteiden päivittäminen saattaa edellyttää laiteohjelmistopäivitystä. Näissä tapauksissa suosittelemme tarkistamaan laitteen alkuperäisestä laitevalmistajasta, onko päivitettyä laiteohjelmistoa saatavilla.

Windows virtualisoiduissa ympäristöissä

Virtuaalisessa ympäristössä suoritettavassa Windowsissa on kaksi tapaa lisätä uudet varmenteet suojatun käynnistyksen laiteohjelmistomuuttujiin:  

  • Virtuaaliympäristön luoja (AWS, Azure, Hyper-V, VMware jne.) voi tarjota ympäristöpäivityksen ja sisällyttää uudet varmenteet virtualisoituun laiteohjelmistoon. Tämä toimisi uusissa virtualisoituissa laitteissa.

  • Jos Windows toimii pitkään virtuaalikoneessa, päivityksiä voidaan käyttää Windowsin kautta muiden laitteiden tavoin, jos virtualisoitu laiteohjelmisto tukee suojatun käynnistyksen päivityksiä.

Seuranta ja käyttöönotto 

Suosittelemme, että aloitat laitteen valvonnan ennen käyttöönottoa varmistaaksesi, että valvonta toimii oikein ja että sinulla on hyvä käsitys laivaston tilasta etukäteen. Seurantavaihtoehdoista keskustellaan alla. 

Microsoft tarjoaa useita tapoja suojatun käynnistyksen varmennepäivitysten käyttöönottoon ja valvontaan.

Automaattinen käyttöönotto auttaa 

Microsoft tarjoaa kaksi käyttöönottoapua. Nämä avustukset voivat osoittautua hyödyllisiksi apuna uusien varmenteiden käyttöönotossa kalustossasi. Vain Hallittu ominaisuuksien käyttöönotto -apu edellyttää diagnostiikkatietoja.

  • Vaihtoehto kumulatiivisille päivityksille luottamussäilöillä: Microsoft saattaa sisällyttää automaattisesti korkean luottamuksen laiteryhmiä kuukausittaisiin päivityksiin tähän mennessä jaettujen diagnostiikkatietojen perusteella sellaisten järjestelmien ja organisaatioiden eduksi, jotka eivät voi jakaa diagnostiikkatietoja. Tämä vaihe ei edellytä diagnostiikkatietojen asentamista käyttöön.

    • Organisaatioissa ja järjestelmissä, jotka voivat jakaa diagnostiikkatietoja, Microsoft näkee ja luottaa siihen, että laitteet voivat ottaa varmenteet onnistuneesti käyttöön. Lisätietoja diagnostiikkatietojen käyttöönotosta on artikkelissa Windowsin diagnostiikkatietojen määrittäminen organisaatiossa. Luomme "säilöjä" jokaiselle yksilölliselle laitteelle (sellaisinaan määritteet, joihin kuuluvat valmistaja, emolevyversio, laiteohjelmiston valmistaja, laiteohjelmistoversio ja muut arvopisteet). Seuraamme jokaisen säilön osalta onnistumisnäyttöä useissa laitteissa. Kun olemme nähneet tarpeeksi onnistuneita päivityksiä eikä virheitä, tarkastelemme säilöä "erittäin luottavaisena" ja sisällytämme nämä tiedot kuukausittaisiin kumulatiivisiin päivityksiin. Kun kuukausittaisia päivityksiä otetaan käyttöön laitteessa, joka on luotettavassa säilössä, Windows käyttää varmenteita automaattisesti laiteohjelmiston suojatun käynnistyksen muuttujiin.

    • Luotettavat säilöt sisältävät laitteita, jotka käsittelevät päivityksiä oikein. Luonnollisesti kaikki laitteet eivät tarjoa diagnostiikkatietoja, mikä saattaa rajoittaa Microsoftin luottamusta laitteen kykyyn käsitellä päivitykset oikein.

    • Tämä avustaja on oletusarvoisesti käytössä korkean varmuuden laitteissa, ja se voidaan poistaa käytöstä laitekohtaisen asetuksen avulla. Lisätietoja jaetaan tulevissa Windows-julkaisuissa.

  • Hallittu ominaisuuksien käyttöönotto (CFR):  Ota käyttöön laitteet Microsoftin hallinnoimaan käyttöönottoon, jos diagnostiikkatiedot ovat käytössä.

    • Hallittua ominaisuuksien käyttöönottoa (CFR) voidaan käyttää asiakaslaitteiden kanssa organisaation kalustossa. Tämä edellyttää, että laitteet lähettävät pakollisia diagnostiikkatietoja Microsoftille ja ovat ilmoittaneet, että laite ottaa CFR:n käyttöön laitteessa. Lisätietoja siitä, miten voit osallistua, on kuvattu alla.

    • Microsoft hallitsee näiden uusien varmenteiden päivitysprosessia Windows-laitteissa, joissa diagnostiikkatietoja on saatavilla ja laitteet osallistuvat CFR (Controlled Feature Rollout) -käyttöönottoon. Vaikka CFR voi auttaa uusien varmenteiden käyttöönotossa, organisaatiot eivät voi käyttää CFR:ää kalustonsa korjaamiseen. Se edellyttää, että noudatat tässä asiakirjassa kuvattuja ohjeita käyttöönottomenetelmiä koskevassa osiossa, jota automaattiset avustukset eivät kata.

    • Rajoitukset: On muutamia syitä, miksi CFR ei ehkä toimi ympäristössäsi. Esimerkki:

      • Diagnostiikkatietoja ei ole saatavilla tai diagnostiikkatietoja ei voi käyttää cfr-käyttöönoton yhteydessä.

      • Laitteet eivät ole Windows 11 tuetuissa asiakasversioissa ja Windows 10 laajennetuilla suojauspäivityksillä (ESU).

Käyttöönottotavat, joita automaattiset avustukset eivät kata

Valitse ympäristöön sopiva menetelmä. Vältä sekoittamista samassa laitteessa: 

  • Rekisteriavaimet: Hallitse käyttöönottoa ja valvo tuloksia.Käytettävissä on useita rekisteriavaimia varmenteiden käyttöönoton toiminnan hallintaan ja tulosten seurantaan. Lisäksi on olemassa kaksi avainta, joiden avulla voit ottaa käyttöön ja poistaa edellä kuvatut käyttöönottoapuvälineet. Lisätietoja rekisteriavaimista on artikkelissa Rekisteriavaimen Päivitykset suojatulle käynnistystoiminnolle – Windows-laitteille, joissa on IT-hallittuja päivityksiä.

  • ryhmäkäytäntö Objektit (ryhmäkäytäntöobjektit): Asetusten hallinta; valvonta rekisteri- ja tapahtumalokien kautta.Microsoft tarjoaa tukea suojatun käynnistyksen päivitysten hallintaan ryhmäkäytäntö avulla tulevassa päivityksessä. Huomaa, että koska ryhmäkäytäntö koskee asetuksia, laitteen tilan valvonta on tehtävä vaihtoehtoisilla menetelmillä, kuten rekisteriavainten ja tapahtumalokimerkintöjen valvonnalla.

  • WinCS (Windows Configuration System) CLI: Käytä komentorivityökaluja toimialueeseen liitettyihin asiakasohjelmiin.Toimialueen järjestelmänvalvojat voivat vaihtoehtoisesti käyttää Windows-käyttöjärjestelmän päivityksiin sisältyvää Windowsin määritysjärjestelmää (WinCS) suojatun käynnistyksen päivitysten käyttöönottoon toimialueeseen yhdistetyissä Windows-asiakasohjelmissa ja -palvelimissa. Se koostuu komentoriviapuohjelmista (sekä perinteisestä suoritettavasta että PowerShell-moduulista), joiden avulla voit tehdä kyselyjä ja käyttää suojatun käynnistyksen määrityksiä paikallisesti koneessa. Lisätietoja on seuraavissa artikkeleissa:

  • Microsoft Intune/Configuration Manager: Ota PowerShell-komentosarjat käyttöön. Tulevassa päivityksessä tarjotaan määrityspalveluntarjoaja, joka mahdollistaa käyttöönoton Intune.

Tapahtumalokien valvonta

Suojatun käynnistyksen varmennepäivitysten käyttöönotossa on kaksi uutta tapahtumaa. Nämä tapahtumat on kuvattu yksityiskohtaisesti suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumissa

  • Tapahtumatunnus: 1801 Tämä tapahtuma on virhetapahtuma, joka ilmaisee, että päivitettyjä varmenteita ei ole käytetty laitteessa. Tämä tapahtuma antaa joitakin laitetta koskevia tietoja, mukaan lukien laitteen määritteet, jotka auttavat korreloimaan, mitkä laitteet on vielä päivitettävä.

  • Tapahtumatunnus: 1808 Tämä tapahtuma on informaatiotapahtuma, joka ilmaisee, että laitteessa on laitteen laiteohjelmistoon sovellettavat pakolliset uudet suojatun käynnistyksen varmenteet.

Käyttöönottostrategiat 

Riskien minimoimiseksi ota suojatun käynnistyksen päivitykset käyttöön vaiheittain eikä kaikki kerralla. Aloita pienellä laitejoukolla, vahvista tulokset ja laajenna sitten muihin ryhmiin. Suosittelemme, että aloitat laitteiden alijoukoista ja lisäät laitteiden alijoukkoja, kun luotat näihin käyttöönottoihin. Useita tekijöitä voidaan käyttää määrittämään, mitä alijoukkoon kuuluu, mukaan lukien testitulokset mallilaitteissa ja organisaation rakenteessa jne. 

Päätös siitä, mitkä laitteet otat käyttöön, on sinun tehtäväsi. Tässä on lueteltu joitakin mahdollisia strategioita. 

  • Suuri laitekalusto: aloita luottamalla yllä kuvattuihin apuvälineisiin yleisimmissä laitteissa, joita hallitset. Keskity samaan aikaan organisaation hallitsemiin vähemmän yleisiin laitteisiin. Testaa pieniä näytelaitteita ja ota testauksen onnistuessa käyttöön muissa samantyyppisissä laitteissa. Jos testauksessa ilmenee ongelmia, tutki ongelman syy ja määritä korjausvaiheet. Voit myös harkita laiteluokkia, joilla on suurempi arvo kalustossasi, ja aloittaa testauksen ja käyttöönoton varmistaaksesi, että nämä laitteet ovat päivittäneet suojauksen ajoissa.

  • Pieni laivasto, suuri valikoima: Jos hallinnoimasi kalusto sisältää monenlaisia koneita, joissa yksittäisten laitteiden testaaminen olisi kiellettyä, harkitse vahvasti edellä kuvattujen kahden avustimen tukemista erityisesti laitteissa, jotka ovat todennäköisesti yleisiä laitteita markkinoilla. Keskity aluksi laitteisiin, jotka ovat kriittisiä päivittäiselle toiminnalle, testaa ja ota sitten käyttöön. Jatka suuren prioriteetin laitteiden luettelon siirtämistä, testaamista ja käyttöönottoa samalla kun valvot kalustoa varmistaaksesi, että avustukset auttavat jäljellä olevien laitteiden kanssa.

Huomautukset 

  • Kiinnitä huomiota vanhempiin laitteisiin, erityisesti laitteisiin, joita valmistaja ei enää tue. Vaikka laiteohjelmiston pitäisi suorittaa päivitystoiminnot oikein, jotkin eivät ehkä toimi. Jos laiteohjelmisto ei toimi oikein eikä laite enää tue sitä, harkitse laitteen vaihtamista suojatun käynnistyksen suojauksen varmistamiseksi koko kalustossa.

  • Uusissa laitteissa, jotka on valmistettu viimeisten 1–2 vuoden aikana, on ehkä jo asennettu päivitetyt varmenteet, mutta windows UEFI CA 2023:n allekirjoitettua käynnistyshallintaa ei ehkä ole otettu käyttöön järjestelmässä. Tämän käynnistyksen hallinnan käyttäminen on tärkeä viimeinen vaihe kunkin laitteen käyttöönotossa.

  • Kun laite on valittu päivityksiä varten, päivitysten valmistuminen voi kestää jonkin aikaa. Arvioi, että varmenteet ovat voimassa 48 tuntia ja yksi tai useampi uudelleenkäynnistys.

Usein kysytyt kysymykset (usein kysytyt kysymykset)

Lisätietoja usein kysytyistä kysymyksistä on suojatun käynnistyksen usein kysytyissä kysymyksissä.

Vianmääritys

Lisätietoja on vianmääritysasiakirjassa .

Muut resurssit

Vihje: Merkitse nämä lisäresurssit kirjanmerkkeihin.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus