אישור אתחול מאובטח עדכונים עבור Windows 365
תאריך פרסום מקורי: ה-19 בפברואר 2026
מזהה KB: 5080914
מאמר זה כולל הדרכה עבור:
-
Windows 365 המנהלים מחשבים בענן.
-
ארגונים המשתמשים במחשבי ענן המותאמים לאתחול מאובטח Windows 365 פריסה.
-
ארגונים המשתמשים בתמונות מותאמות אישית Windows 365 פריסות .
במאמר זה:
מבוא
אתחול מאובטח הוא תכונת אבטחת קושחה של UEFI שמסייעת להבטיח שרק תוכנה מהימנה וחתימה בחתימה דיגיטלית תפעל במהלך רצף אתחול של מכשיר. תוקפם של אישורי האתחול המאובטח של Microsoft שהונפקו ב- 2011 מתחיל לפוג ביוני 2026. ללא האישורים המעודכנים של 2023, מכשירים לא יקבלו עוד הגנות חדשות של Secure Boot and Boot Manager או צמצום סיכונים עבור פגיעויות חדשות ברמת האתחול שהתגלו.
יש לעדכן את כל מחשבי הענן המותאמים לאתחול המאובטח שהוקצו בשירות Windows 365, ותמונות מותאמות אישית המשמשות להקצאתם, לאישורי 2023 לפני פקיעת התוקף כדי להישאר מוגנים. ראה כאשר פג תוקפם של אישורי אתחול מאובטח במכשירי Windows.
האם זה חל על הסביבה Windows 365 שלי?
|
תרחיש |
האם לבצע אתחול מאובטח פעיל? |
נדרשת פעולה |
|
מחשבים בענן |
||
|
מחשב ענן עם אתחול מאובטח זמין |
כן |
עדכון אישורים במחשב הענן |
|
מחשב ענן עם אתחול מאובטח לא זמין |
לא |
לא נדרשת פעולה |
|
תמונות |
||
|
Azure גלריית חישובים כאשר אתחול מאובטח זמין |
כן |
עדכן אישורים בתמונת המקור לפני ההכללה |
|
Azure גלריית חישובים ללא הפעלה מהימנה |
לא |
החלת עדכונים במחשב ענן לאחר הקצאת משאבים |
|
תמונה מנוהלת (אינה תומכת בהפעלה מהימנה) |
לא |
החלת עדכונים במחשב ענן לאחר הקצאת משאבים |
לקבלת מידע רקע מלא, ראה עדכוני אישור אתחול מאובטח: הדרכה עבור מומחי IT וארגונים.
מלאי וצג
לפני נקיטת פעולה, מלאי את הסביבה שלך כדי לזהות מכשירים הדורשים עדכונים. ניטור הוא חיוני לאישור החלת האישורים לפני תאריך היעד של יוני 2026 - גם אם אתה מסתכן בשיטות פריסה אוטומטיות. להלן אפשרויות הקובעות אם יש לבצע פעולה.
אפשרות 1: Microsoft Intune תיקון
עבור מחשבי ענן הרשומים ל- Microsoft Intune, באפשרותך לפרוס קובץ Script לזיהוי באמצעות Intune Remediations (תיקונים פרואקטיביים) כדי לאסוף באופן אוטומטי מצב אישור אתחול מאובטח בצי שלך. קובץ ה- Script פועל באופן שקט בכל מכשיר ומדוחות מצב אתחול מאובטח, התקדמות עדכון אישור ופרטי מכשיר בחזרה לפורטל Intune - לא בוצעו שינויים במכשירים. ניתן להציג ולייצא את התוצאות לקובץ CSV ישירות Intune הניהול של מרכז הניהול של הצי לצורך ניתוח כלל-הצי.
לקבלת הוראות מפורטות לפריסת קובץ ה- Script לזיהוי, ראה ניטור מצב אישור אתחול מאובטח עם Microsoft Intune תיקון.
אפשרות 2: דוח מצב אתחול מאובטח של התאמה אוטומטית של Windows
עבור מחשבי ענן הרשומים עם התאמה אוטומטית של Windows, עבור אל Intune admin center > Reports > Windows Autopatch > Windows quality updates > Reports >Secure Boot status. ראה דוח מצב אתחול מאובטח ב- Windows Autopatch.
הערה: כדי להשתמש ב- Windows Autopatch עם Windows 365, יש לרשום מחשבים בענן באמצעות שירות ההשלמה האוטומטית של Windows. ראה התאמה אוטומטית של Windows Windows 365 Enterprise עומסי עבודה.
אפשרות 3: מפתחות רישום עבור ניטור צי
השתמש בכלי ניהול ההתקנים הקיימים שלך כדי לבצע שאילתה על ערכי רישום אלה בכל הצי שלך.
|
נתיב רישום |
מפתח |
מטרה |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
מצב פריסה נוכחי |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
מציין שגיאות (לא אמורות להתקיים) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
מציין מזהה אירוע (לא אמור להתקיים) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
עדכונים זמינים |
סיביות עדכון ממתינות |
לקבלת פרטי מפתח רישום מלאים, ראה עדכוני מפתח רישום עבור אתחול מאובטח.
אפשרות 4: ניטור יומן אירועים
השתמש בכלי ניהול המכשירים הקיימים שלך כדי לאסוף ולנטר את זהות האירועים האלה מ יומן האירועים של המערכת בצי שלך.
|
מזהה האירוע |
מיקום |
משמעות |
|
1808 |
מערכת |
האישורים הוחלו בהצלחה |
|
1801 |
מערכת |
עדכון מצב או פרטי שגיאה |
לקבלת רשימה מלאה של פרטי אירוע, ראה אירועי עדכון משתני DB ו- DBX של אתחול מאובטח.
אפשרות 5: קובץ Script של מלאי PowerShell
הפעל את קובץ ה- Script לדוגמה של אוסף נתוני מלאי אתחול מאובטח של Microsoft כדי לבדוק את מצב עדכון אישור האתחול המאובטח. קובץ ה- Script אוסף כמה נקודות נתונים, כולל מצב אתחול מאובטח, מצב עדכון UEFI CA 2023, גירסת קושחה ופעילות יומן אירועים.
פריסה
חשוב: ללא קשר לאפשרויות הפריסה שתבחר, מומלץ לנטר את צי המכשירים שלך כדי לאשר שהאישורים הוחלו בהצלחה לפני תאריך היעד של יוני 2026. לקבלת תמונות מותאמות אישית, ראה שיקולי תמונה מותאמים אישית.
אפשרות 1: אוטומטי עדכונים מ- Windows Update (מכשירים בעלי רמת מהימנות גבוהה)
Microsoft מעדכנות באופן אוטומטי מכשירים באמצעות עדכונים חודשיים של Windows כאשר מדידת שימוש מספקת מאשרת פריסה מוצלחת של תצורות חומרה דומות.
-
מצב: זמין כברירת מחדל עבור מכשירים בעלי רמת מהימנות גבוהה
-
לא נדרשת פעולה אלא אם ברצונך לבטל את ההצטרפות
|
הרישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
מפתח |
HighConfidenceOptOut = 1 כדי לבטל את ההצטרפות |
|
מדיניות קבוצתית |
תצורת מחשב > תבניות ניהול > רכיבי Windows > אתחול מאובטח > פריסה אוטומטית של אישורים באמצעות עדכונים > הגדר כלא זמין כדי לבטל את ההצטרפות |
המלצות: גם כאשר עדכונים אוטומטיים זמינים, נטר את מחשבי הענן שלך כדי לוודא שהוחלו אישורים. לא כל המכשירים עשויים להיות זכאים לפריסה אוטומטית במהימנות גבוהה.
לקבלת מידע נוסף, ראה סיועים בפריסה אוטומטית.
אפשרות 2: IT-Initiated אישית
הפעל עדכוני אישור באופן ידני לפריסה מיידית או מבוקרת.
|
שיטת |
תיעוד |
|
Microsoft Intune |
|
|
מדיניות קבוצתית |
|
|
מפתחות רישום |
|
|
WinCS CLI |
הערות:
-
אל תערבב שיטות פריסה ביוזמת IT (לדוגמה, Intune ו- GPO) באותו מכשיר - הן שולטות באותם מפתחות רישום ועשויות להתנגש.
-
אפשר כ- 48 שעות והפעלה מחדש אחת או יותר כדי שהאישורים יחולו באופן מלא.
שיקולי תמונה מותאמים אישית
תמונות מותאמות אישית מנוהלות באופן מלא על-ידי הארגון שלך. עליך להחיל את עדכוני אישור האתחול המאובטח על התמונה המותאמת אישית ולהעלות אותה מחדש לפני השימוש בה להקצאת משאבים.
החלת עדכוני אישור אתחול מאובטח על תמונת המקור נתמכת רק עם תמונות Azure גלריית חישוב (תצוגה מקדימה), התומכות בהפעלה מהימנה ובאתחול מאובטח. תמונות מנוהלות אינן תומכות באתחול מאובטח, ולכן אין אפשרות להחיל עדכוני אישור ברמת התמונה. עבור מחשבי ענן שהוקצו מתמונות מנוהלות, החל עדכונים ישירות במחשב הענן באמצעות אחת משיטות הפריסה שלעיל.
לפני ביצוע כללי של תמונה מותאמת אישית חדשה, ודא שהאישורים מעודכנים:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
בעיות מוכרות
מפתח הרישום של מתן השירות אינו קיים
|
תסמין |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing הנתיב אינו קיים |
|
סיבה |
עדכוני אישורים לא אותחלו במכשיר |
|
פתרון |
המתן לפריסה אוטומטית באמצעות Windows Update, או הפעל ידנית באמצעות אחת משיטות הפריסה ביוזמת ה- IT לעיל |
המצב מציג "InProgress" עבור תקופה מותכת
|
תסמין |
UEFICA2023Status נותר "InProgress" לאחר מספר ימים |
|
סיבה |
ייתכן שיהיה צורך בהפעלה מחדש של המכשיר כדי להשלים את תהליך העדכון |
|
פתרון |
הפעל מחדש את המחשב בענן ובדוק שוב את המצב לאחר 15 דקות. אם הבעיה נמשכת, ראה אירועי עדכון משתנה מסוג DB ו- DBX של אתחול מאובטח לקבלת הדרכה לפתרון בעיות |
מפתח הרישום UEFICA2023Error קיים
|
תסמין |
מפתח הרישום UEFICA2023Error קיים |
|
סיבה |
אירעה שגיאה במהלך פריסת אישור |
|
פתרון |
עיין ביומן האירועים של המערכת לקבלת פרטים. ראה אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח לקבלת הדרכה לפתרון בעיות |
משאבים
זקוק לעזרה נוספת?
מעוניין באפשרויות נוספות?
גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.
קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.
