Huomautus
- Alkuperäinen julkaisupäivä: Helmikuu 19, 2026
- KB-tunnus: 5080931
Huomautus
Tässä artikkelissa on seuraavat ohjeet:
Azure-virtuaalityöpöydän järjestelmänvalvojat, jotka hallitsevat istunnon isäntäpäivityksiä
Organisaatiot, jotka käyttävät suojattua käynnistystä käyttäviä virtuaalikoneita Azure Virtual Desktopin käyttöönottoihin
Organisaatiot, jotka käyttävät mukautettuja kuvia (kultaisia kuvia) Azure Virtual Desktopin käyttöönottoihin
Artikkelin sisältö:
Johdanto
Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, jonka avulla voidaan varmistaa, että vain luotettuja, digitaalisesti allekirjoitettuja ohjelmistoja suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoftin suojatun käynnistyksen varmenteet alkavat vanhentua kesäkuussa 2026. Ilman päivitettyjä 2023 varmenteita laitteet eivät enää saa uusia suojatun käynnistyksen ja käynnistyksen hallinnan suojauksia tai lievennyksiä äskettäin löydettyihin käynnistystason haavoittuvuuksiin.
Kaikki suojattua käynnistystä käyttävät virtuaalikoneet, jotka on rekisteröity Azure-virtuaalityöpöytäpalveluun, ja niiden valmisteluun käytetyt mukautetut näköistiedostot on päivitettävä vuoden 2023 varmenteiksi ennen vanhenemista, jotta ne pysyvät suojattuina. Katso , milloin suojatun käynnistyksen varmenteet vanhenevat Windows-laitteissa
Koskeeko tämä Azure-virtuaalityöpöytäympäristöäni?
| Skenaario | Suojattu käynnistys aktiivinen? | Toimia tarvitaan |
|---|---|---|
| Istunnon isännät | ||
| Luotetun käynnistyksen virtuaalikone, jossa on suojattu käynnistys käytössä | Kyllä | Varmenteiden päivittäminen istunnon isännässä |
| Luotetun käynnistyksen virtuaalikone, jonka suojattu käynnistys on poistettu käytöstä | Ei | Toimia ei tarvita |
| Standard-suojaustyyppi VM | Ei | Toimia ei tarvita |
| Sukupolven 1 virtuaalikone | Ei tuettu | Toimia ei tarvita |
| Kultaiset kuvat | ||
| Azure Compute Gallery -näköistiedosto, jossa on käytössä suojattu käynnistys | Kyllä | Varmenteiden päivittäminen lähdekuvassa |
| Azure Compute Galleryn kuva ilman luotettua käynnistystä | Ei | Päivitysten ottaminen käyttöön istunnon isännässä käyttöönoton jälkeen |
| Hallittu näköistiedosto (ei tue luotettua käynnistystä) | Ei | Päivitysten ottaminen käyttöön istunnon isännässä käyttöönoton jälkeen |
Katso täydelliset taustatiedot artikkelista Secure Boot -varmenteen päivitykset: ohjeita IT-ammattilaisille ja organisaatioille.
Inventointi ja valvonta
Ennen kuin ryhdyt toimiin, inventoi ympäristösi ja tunnista laitteet, jotka vaativat päivityksiä. Valvonta on tärkeää, jotta varmenteet otetaan käyttöön ennen kesäkuun 2026 määräaikaa – vaikka käyttäisit automaattisia käyttöönottomenetelmiä. Alla on vaihtoehtoja määrittää, onko toimenpiteisiin ryhdyttävä.
Vaihtoehto 1: Microsoft Intune -korjaukset
Microsoft Intune rekisteröityjen istunnon isäntien kohdalla voit ottaa käyttöön tunnistuskomentosarjan käyttämällä Intune-korjauksia (ennakoivia korjauksia), jotka keräävät automaattisesti Secure Boot -varmenteen tilan koko kalustostasi. Komentosarja suoritetaan äänettömästi jokaisessa laitteessa ja raportoi suojatun käynnistyksen tilan, varmenteen päivityksen edistymisen ja laitteen tiedot takaisin Intune-portaaliin – laitteisiin ei tehdä muutoksia. Tuloksia voi tarkastella ja viedä CSV-tiedostoon suoraan Intune-hallintakeskuksesta koko kalustoa koskevaa analyysia varten.
Katso vaiheittaiset ohjeet tunnistuskomentosarjan käyttöönottoon artikkelista Suojatun käynnistyksen varmenteen tilan valvonta Microsoft Intune -korjauksilla.
Vaihtoehto 2: Windows Autopatchin suojatun käynnistyksen tilaraportti
Jos haluat henkilökohtaisia pysyviä istunnon isäntiä, jotka on rekisteröity Windows Autopatch -palveluun, siirry Intune-hallintakeskukseen> WindowsAutopatch-raportit>>Windowsin laatupäivitykset>Raportit-välilehti>Suojatun käynnistyksen tila. Katso suojatun käynnistyksen tilaraportti Windowsin automaattisessa päivityksessä.
Huomautus
Windowsin automaattinen päivitys tukee vain henkilökohtaisia pysyviä näennäiskoneita Azure Virtual Desktopille. Usean istunnon isäntiä, vartuja ei-pysyviä näennäiskoneita ja etäsovellusten suoratoistoa ei tueta. Katso Windows Autopatch Azure Virtual Desktop -kuormituksissa.
Vaihtoehto 3: Rekisteriavaimet ajoneuvojen valvontaa varten
Voit käyttää olemassa olevia laitehallintatyökaluja näiden rekisteriarvojen kyselyjen suorittamiseen koko kalustossa.
| Rekisteripolku | Näppäin | Käyttötarkoitus |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Tila | Käyttöönoton nykyinen tila |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023-virhe | Osoittaa virheitä (ei pitäisi olla) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Ilmaisee tapahtumatunnuksen (ei pitäisi olla olemassa) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Saatavilla olevat päivitykset | Odottavat päivitykset |
Lisätietoja rekisteriavaimesta on kohdassa Rekisteriavaimen päivitykset Secure Bootia varten: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä.
Vaihtoehto 4: Tapahtumalokin valvonta
Voit käyttää olemassa olevia laitehallintatyökaluja näiden tapahtumatunnusten keräämiseen ja seuraamiseen järjestelmän tapahtumalokista koko kalustossa.
| Tapahtumatunnus | Sijainti | Merkitys |
|---|---|---|
| 1808 | Järjestelmä | Varmenteiden käyttöönotto onnistui |
| 1801 | Järjestelmä | Päivityksen tila tai virhetiedot |
Täydellinen luettelo tapahtumatiedoista on kohdassa Secure Boot DB- ja DBX-muuttujien päivitystapahtumat.
Vaihtoehto 5: PowerShell Inventory -komentosarja
Tarkista suojatun käynnistyksen varmenteen päivityksen tila suorittamalla Microsoftin Sample Secure Boot Inventory Data Collection -komentosarja . Komentosarja kerää useita datapisteitä, kuten suojatun käynnistyksen tilan, UEFI CA 2023 -päivityksen tilan, laiteohjelmistoversion ja tapahtumalokin toiminnan.
Käyttöönotto
Tärkeää
Valitsemastasi käyttöönottotavasta riippumatta suosittelemme valvomaan laitekantaasi varmistaaksesi, että varmenteet on otettu onnistuneesti käyttöön ennen kesäkuun 2026 määräaikaa. Mukautettujen kuvien osalta katso Golden Image (Kultainen kuva) -huomioita.
Vaihtoehto 1: Automaattiset Päivitykset Windows Update:sta (erittäin luotettavat laitteet)
Microsoft päivittää laitteet automaattisesti Windowsin kuukausittaisten päivitysten kautta, kun riittävät telemetriatiedot vahvistavat onnistuneen käyttöönoton samankaltaisissa laitteistokokoonpanoissa.
- Tila: Käytössä oletusarvoisesti erittäin luotettavissa laitteissa
- Toimenpiteitä ei tarvita, ellet halua jättäytyä ulkopuolelle
| Rekisteri | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Näppäin | HighConfidenceOptOut = 1 , jos haluat jättäytyä ulkopuolelle |
| Ryhmäkäytäntö | Tietokoneen määritykset>Hallintamallit>Windowsin osat>Suojattu käynnistys>Varmenteen automaattinen käyttöönotto Päivitykset-sovelluksen> kautta Määritä tilaksi Ei käytössä, jos haluat jättäytyä pois. |
Huomautus
Suositus: Vaikka automaattiset päivitykset olisivat käytössä, varmista istunnon isäntien avulla, että varmenteet otetaan käyttöön. Kaikki laitteet eivät välttämättä täytä luotettavan automaattisen käyttöönoton vaatimuksia.
Lisätietoja on artikkelissa Automaattiset käyttöönottoavustukset.
Vaihtoehto 2: IT-Initiated käyttöönotto
Varmennepäivitykset käynnistetään manuaalisesti välitöntä tai hallittua käyttöönottoa varten.
| Menetelmä | Dokumentaatio |
|---|---|
| Microsoft Intune | Microsoft Intune -menetelmä |
| Ryhmäkäytäntö | Ryhmäkäytäntö-objektimenetelmä |
| Rekisteriavaimet | Rekisteriavaimen menetelmä |
| WinCS CLI | WinCS-ohjelmointirajapinnat |
Huomautus
- Älä käytä samassa laitteessa usean IT-aloitteen käynnistämiä käyttöönottomenetelmiä (kuten Intune ja ryhmäkäytäntöobjekti), sillä ne hallitsevat samoja rekisteriavaimia ja voivat olla ristiriitaisia.
- Varmenteiden käyttöönottoon kuluu noin 48 tuntia ja yksi tai useampi uudelleenkäynnistys.
Kultaista imagoa koskevia näkökohtia
Azure Virtual Desktop -ympäristöissä, joissa käytetään Azure Compute Gallery -kuvia, joissa suojattu käynnistys on käytössä, käytä Secure Boot 2023 -varmennepäivitystä kultaiseen näköistiedostoon ennen sen sieppaamista. Ota päivitys käyttöön jollakin yllä kuvatuista tavoista ja varmista sitten, että varmenteet on päivitetty ennen yleistämistä:
Huomautus
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Näköistiedostot, joiden luotettu käynnistys ei ole käytössä, eivät voi vastaanottaa suojatun käynnistyksen varmennepäivityksiä näköistiedoston kautta. Tämä sisältää hallitut näköistiedostot, jotka eivät tue luotettua käynnistystä, ja Azure Compute Galleryn näköistiedostot, joissa luotettu käynnistys ei ole käytössä. Ota näiden näköistiedostojen avulla valmisteltujen laitteiden päivitykset käyttöön vieraskäyttöjärjestelmässä jollakin yllä mainituista tavoista.
Tunnetut ongelmat
Ylläpidon rekisteriavainta ei ole olemassa
| Oire | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Huoltopolkua ei ole olemassa |
|---|---|
| Syy | Varmennepäivityksiä ei ole aloitettu laitteessa |
| Ratkaisu | Odota automaattista käyttöönottoa Windows Update kautta tai aloita manuaalinen käyttöönotto jollakin yllä mainituista IT-aloitetuista käyttöönottotavoista |
Tilana on pitkä ajanjakso "Käynnissä"
| Oire | UEFICA2023Status remains "InProgress" useiden päivien jälkeen |
|---|---|
| Syy | Laite on ehkä käynnistettävä uudelleen päivitysprosessin viimeistelemiseksi |
| Ratkaisu | Käynnistä istunnon isäntä uudelleen ja tarkista tila uudelleen 15 minuutin kuluttua. Jos ongelma jatkuu, katso vianmääritysohjeita kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat |
UEFICA2023Virheen rekisteriavain on olemassa
| Oire | UEFICA2023Virheen rekisteriavain on läsnä |
|---|---|
| Syy | Varmenteen käyttöönoton aikana tapahtui virhe |
| Ratkaisu | Katso lisätietoja järjestelmän tapahtumalokista. Katso vianmääritysohjeet kohdasta Secure Boot DB- ja DBX-muuttujapäivitystapahtumat |