Suojattu käynnistysvarmenne Päivitykset Azure virtuaalityöpöydälle
Käytetään kohteeseen
Alkuperäinen julkaisupäivä: 19. helmikuuta 2026
KB-tunnus: 5080931
Tässä artikkelissa on ohjeita:
-
Azure virtuaalityöpöydän järjestelmänvalvojat hallinnoivat istuntojen isäntäpäivityksiä
-
Organisaatiot, jotka käyttävät suojattua käynnistystä virtuaalikoneiden Azure virtuaalityöpöydän käyttöönotossa
-
Organisaatiot, jotka käyttävät mukautettuja kuvia (kultaisia kuvia) Azure virtuaalityöpöydän käyttöönottoihin
Tässä artikkelissa:
Johdanto
Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, joka auttaa varmistamaan, että vain luotetut, digitaalisesti allekirjoitetut ohjelmistot suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoft secure boot -varmenteet alkavat vanhentua kesäkuussa 2026. Ilman päivitettyjä 2023-varmenteita laitteet eivät enää saa uusia suojatun käynnistyksen ja käynnistyksen hallinnan suojauksia tai lievennyksiä äskettäin löydettyjen käynnistystason haavoittuvuuksien varalta.
Kaikki Azure virtuaalityöpöytäpalveluun rekisteröidyt suojatun käynnistyksen virtuaalikoneet ja niiden valmisteluun käytetyt mukautetut näköistiedostot on päivitettävä vuoden 2023 varmenteisiin ennen vanhenemista, jotta ne pysyvät suojattuina. Katso, kun suojatun käynnistyksen varmenteet vanhenevat Windows-laitteissa
Koskeeko tämä Azure virtuaalityöpöytäympäristöäni?
|
Skenaario |
Suojattu käynnistys aktiivinen? |
Toiminto pakollinen |
|
Istuntoisännät |
||
|
Luotettu käynnistys virtuaalikone, jossa suojattu käynnistys on käytössä |
Kyllä |
Varmenteiden päivittäminen istunnon isännässä |
|
Luotettu käynnistys virtuaalikone suojatun käynnistyksen ollessa poissa käytöstä |
Ei |
Toimia ei tarvita |
|
Standard suojaustyyppi VM |
Ei |
Toimia ei tarvita |
|
Sukupolven 1 virtuaalikone |
Ei tuettu |
Toimia ei tarvita |
|
Kultaiset kuvat |
||
|
Azure-laskentavalikoiman kuva, jossa suojattu käynnistys on käytössä |
Kyllä |
Lähdekuvan varmenteiden päivittäminen |
|
Azure-laskentavalikoiman kuva ilman luotettua käynnistystä |
Ei |
Päivitysten ottaminen käyttöön istunnon isännässä käyttöönoton jälkeen |
|
Hallittu kuva (ei tue luotettua käynnistämistä) |
Ei |
Päivitysten ottaminen käyttöön istunnon isännässä käyttöönoton jälkeen |
Täydelliset taustatiedot ovat artikkelissa Suojatun käynnistyksen varmennepäivitykset: OHJEITA IT-ammattilaisille ja organisaatioille.
Varasto ja valvonta
Ennen kuin ryhdyt toimenpiteisiin, voit varastoida ympäristösi tunnistaaksesi laitteet, jotka vaativat päivityksiä. Valvonta on tärkeää varmenteiden käyttöönoton varmistamiseksi ennen kesäkuun 2026 määräaikaa , vaikka luottaisit automaattisiin käyttöönottomenetelmiin. Alla on vaihtoehtoja sen määrittämiseksi, onko toimia toteutettava.
Vaihtoehto 1: Microsoft Intune korjaukset
Microsoft Intune rekisteröityjen istuntoisäntien kohdalla voit ottaa käyttöön tunnistuskomentosarjan käyttämällä Intune Korjauksia (ennakoivat korjaukset) kerätäksesi suojatun käynnistyksen varmenteen tilan automaattisesti koko kalustoon. Komentosarja toimii äänettömästi jokaisessa laitteessa ja raportoi suojatun käynnistyksen tilasta, varmenteen päivityksen edistymisestä ja laitteen tiedoista takaisin Intune-portaaliin – laitteisiin ei tehdä muutoksia. Tuloksia voi tarkastella ja viedä CSV:hen suoraan Intune hallintakeskuksesta koko laivaston kattavaa analyysia varten.
Vaiheittaiset ohjeet tunnistuskomentosarjan käyttöönottoon ovat artikkelissa Suojatun käynnistysvarmenteen tilan valvominen Microsoft Intune korjausten avulla.
Vaihtoehto 2: Windowsin automaattisen suojatun käynnistyksen tilaraportti
Jos haluat käyttää Windowsin automaattisella näppäimistöllä rekisteröityjä henkilökohtaisia pysyviä istuntoisäntiä, siirry Intune hallintakeskukseen > Raportit > Windowsin automaattisen korjauksen > Windowsin laatupäivitykset > Raportit-välilehtisuojatun käynnistyksen tilan >. Katso Suojatun käynnistyksen tilaraportti Windowsin automaattisessa paperissa.
Huomautus: Windowsin automaattinen tallennus tukee vain Azure virtuaalityöpöydän henkilökohtaisia pysyviä virtuaalikoneita. Usean istunnon isäntiä, yhdistettyjä ei-pysyviä virtuaalikoneita ja sovellusten etästriimausta ei tueta. Katso Windowsin automaattinen tallennus Azure virtuaalityöpöydän työkuormista.
Vaihtoehto 3: Rekisteriavaimet kaluston valvontaa varten
Käytä olemassa olevia laitehallintatyökalujasi näiden rekisteriarvojen kyselyihin koko kalustossa.
|
Rekisteripolku |
Avain |
Tarkoitus |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Käyttöönoton nykyinen tila |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Virhe |
Osoittaa virheet (ei pitäisi olla olemassa) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Ilmaisee tapahtumatunnuksen (sitä ei pitäisi olla) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Käytettävissä Olevat versiot |
Odottavat päivitysbikit |
Lisätietoja rekisteriavaimesta on artikkelissa Rekisteriavainpäivitykset suojatun käynnistyksen yhteydessä: Windows-laitteet, joissa on IT-hallittuja päivityksiä.
Vaihtoehto 4: Tapahtumalokin valvonta
Olemassa olevien laitehallintatyökalujen avulla voit kerätä ja valvoa näitä tapahtumatunnuksia järjestelmän tapahtumalokista koko kalustossasi.
|
Tapahtumatunnus |
Sijainti |
Merkitys |
|
1808 |
Järjestelmä |
Varmenteiden lisääminen onnistui |
|
1801 |
Järjestelmä |
Päivityksen tila- tai virhetiedot |
Täydellinen luettelo tapahtuman tiedoista on artikkelissa Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.
Vaihtoehto 5: PowerShell Inventory Script
Tarkista suojatun käynnistyksen varmenteen päivityksen tila suorittamalla Microsoftin suojatun käynnistyksen inventaarion tietojen keräämisen esimerkkikomentosarja. Komentosarja kerää useita arvopisteitä, kuten suojatun käynnistyksen tilan, UEFI CA 2023 -päivityksen tilan, laiteohjelmistoversion ja tapahtumalokitoiminnan.
Käyttöönotto
Tärkeää: Riippumatta siitä, minkä käyttöönottovaihtoehdon valitset, suosittelemme valvomaan laitteen kalustoa sen varmistamiseksi, että varmenteet on otettu käyttöön onnistuneesti ennen kesäkuun 2026 määräaikaa. Lisätietoja mukautetuista kuvista on ohjeaiheessa Golden Image Considerations.
Vaihtoehto 1: Automaattinen Päivitykset Windows Update (high-confidence Devices) -laitteista
Microsoft päivittää laitteet automaattisesti Windowsin kuukausipäivitysten kautta, kun riittävä telemetria vahvistaa onnistuneen käyttöönoton vastaavissa laitteistokokoonpanoissa.
-
Tila: Oletusarvoisesti käytössä luotettaville laitteille
-
Toimia ei tarvita, ellet halua kieltäytyä
|
Rekisterin |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Avain |
HighConfidenceOptOut = 1 jättäytyäksesi pois |
|
Ryhmäkäytäntö |
Tietokoneasetukset > hallintamallit, > Windowsin osat > suojattu käynnistys > automaattinen varmenteiden käyttöönotto Päivitykset > Poista käytöstä valitsemalla Ei käytössä. |
Suositus: Vaikka automaattiset päivitykset ovat käytössä, valvo istuntojen isäntiä varmenteiden soveltamisen varmistamiseksi. Kaikki laitteet eivät ehkä ole oikeutettuja luotettavaan automaattiseen käyttöönottoon.
Lisätietoja on artikkelissa Automaattisen käyttöönoton aputoiminnot.
Vaihtoehto 2: IT-Initiated käyttöönotto
Käynnistä varmenteiden päivitykset manuaalisesti välitöntä tai hallittua käyttöönottoa varten.
|
Menetelmä |
Dokumentaatio |
|
Microsoft Intune |
|
|
Ryhmäkäytäntö |
|
|
Rekisteriavaimet |
|
|
WinCS CLI |
Huomautukset:
-
Älä sekoita it-käynnistettyjä käyttöönottotapoja (esimerkiksi Intune ja ryhmäkäytäntöobjektia) samaan laitteeseen, sillä niissä hallitaan samoja rekisteriavaimia ja ne voivat olla ristiriidassa.
-
Salli noin 48 tunnin ja yhden tai useamman uudelleenkäynnistyksen, jotta varmenteet ovat täysin voimassa.
Kultaisen kuvan huomioiminen
Jos Azure virtuaalityöpöytäympäristöissä, joissa käytetään Azure-laskentavalikoiman kuvia suojatulla käynnistystoiminnolla, ota suojatun käynnistyksen 2023 varmennepäivitys käyttöön kultaisessa kuvassa ennen sen sieppaamista. Ota päivitys käyttöön jollakin yllä kuvatulla tavalla ja varmista, että varmenteet päivitetään ennen yleistämistä:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Kuvat, joiden luotettu käynnistys ei ole käytössä, eivät voi vastaanottaa suojatun käynnistyksen varmennepäivityksiä näköistiedoston kautta. Tämä sisältää hallitut kuvat, jotka eivät tue luotettua käynnistämistä, ja Azure laskentavalikoiman kuvia, joissa Luotettu käynnistys ei ole käytössä. Jos laite on valmistettu näistä kuvista, ota päivitykset käyttöön vieraskäyttöjärjestelmässä jollakin yllä olevista tavoista.
Tunnetut ongelmat
Rekisteriavaimen ylläpitoa ei ole
|
Oire |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing-polkua ei ole |
|
Syy |
Laitteessa ei ole aloitettu varmennepäivityksiä |
|
Ratkaisu |
Odota automaattista käyttöönottoa Windows Update kautta tai aloita käyttö manuaalisesti jollakin yllä mainituista IT-käyttöönottotavoista |
Tilana näkyy "InProgress" pidennetyllä aikavälillä
|
Oire |
UEFICA2023Status pysyy InProgressina useiden päivien jälkeen |
|
Syy |
Laite saattaa tarvita uudelleenkäynnistyksen päivitysprosessin loppuunsaattamiseksi |
|
Ratkaisu |
Käynnistä istunnon isäntä uudelleen ja tarkista tila uudelleen 15 minuutin kuluttua. Jos ongelma jatkuu, katso vianmääritysohjeet artikkelista Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat |
UEFICA2023Virheen rekisteriavain on olemassa
|
Oire |
UEFICA2023Error-rekisteriavain on käytössä |
|
Syy |
Varmenteen käyttöönoton aikana tapahtui virhe |
|
Ratkaisu |
Katso lisätietoja järjestelmän tapahtumalokista. Katso vianmääritysohjeet artikkelista Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat |
Resurssit
Tarvitsetko lisäohjeita?
Haluatko lisää vaihtoehtoja?
Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.
Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.
