חל על
Azure Virtual Desktop

תאריך פרסום מקורי: ה-19 בפברואר 2026

מזהה KB: 5080931

מאמר זה כולל הדרכה עבור:  

  • Azure מנהלי מערכת של שולחן עבודה וירטואלי המנהלים עדכונים של מארח הפעלה

  • ארגונים המשתמשים במחשבים וירטואליים מותאמי אתחול מאובטח Azure של שולחן עבודה וירטואלי

  • ארגונים המשתמשים בתמונות מותאמות אישית (תמונות מוזהבות) Azure של שולחן עבודה וירטואלי

במאמר זה: 

מבוא

אתחול מאובטח הוא תכונת אבטחת קושחה של UEFI שמסייעת להבטיח שרק תוכנה מהימנה וחתימה בחתימה דיגיטלית תפעל במהלך רצף אתחול של מכשיר. תוקפם של אישורי האתחול המאובטח של Microsoft שהונפקו ב- 2011 מתחיל לפוג ביוני 2026. ללא האישורים המעודכנים של 2023, מכשירים לא יקבלו עוד הגנות חדשות של Secure Boot and Boot Manager או צמצום סיכונים עבור פגיעויות חדשות ברמת האתחול שהתגלו. ​​​​​​

יש לעדכן את כל המחשבים הווירטואליים המותאמים לאתחול המאובטח הרשומים בשירות שולחן העבודה הווירטואלי של Azure, ותמונות מותאמות אישית המשמשות להקצאתם, להתעדכן לאישורי 2023 לפני פקיעת התוקף כדי להישאר מוגנים. ראה מתי פג תוקפם של אישורי אתחול מאובטח במכשירי Windows

האם הדבר חל על סביבת שולחן Azure וירטואלית שלי?

תרחיש 

האם לבצע אתחול מאובטח פעיל? 

נדרשת פעולה 

מארחי הפעלה 

VM של הפעלה מהימנה עם אתחול מאובטח זמין 

כן 

עדכון אישורים במארח ההפעלה 

VM של הפעלה מהימנה עם אתחול מאובטח לא זמין 

לא 

לא נדרשת פעולה 

Standard סוג אבטחה וירטואלי 

לא 

לא נדרשת פעולה 

מדור 1 של מחשב וירטואלי 

לא נתמך 

לא נדרשת פעולה 

תמונות מוזהבות 

Azure גלריית חישובים כאשר אתחול מאובטח זמין 

כן 

עדכון אישורים בתמונת המקור 

Azure גלריית חישובים ללא הפעלה מהימנה 

לא 

החלת עדכונים במארח ההפעלה לאחר הפריסה 

תמונה מנוהלת (אינה תומכת בהפעלה מהימנה) 

לא 

החלת עדכונים במארח ההפעלה לאחר הפריסה

לקבלת מידע רקע מלא, ראה עדכוני אישור אתחול מאובטח: הדרכה עבור מומחי IT וארגונים. ​​​​​​

מלאי וצג

לפני נקיטת פעולה, מלאי את הסביבה שלך כדי לזהות מכשירים הדורשים עדכונים. ניטור הוא חיוני לאישור החלת האישורים לפני תאריך היעד של יוני 2026 - גם אם אתה מסתכן בשיטות פריסה אוטומטיות.  להלן אפשרויות הקובעות אם יש לבצע פעולה.

אפשרות 1: Microsoft Intune תיקון

עבור מארחי הפעלה הרשומים ל- Microsoft Intune, באפשרותך לפרוס קובץ Script לזיהוי באמצעות Intune Remediations (תיקונים פרואקטיביים) כדי לאסוף באופן אוטומטי מצב אישור אתחול מאובטח בצי שלך. קובץ ה- Script פועל באופן שקט בכל מכשיר ומדוחות מצב אתחול מאובטח, התקדמות עדכון אישור ופרטי מכשיר בחזרה לפורטל Intune - לא בוצעו שינויים במכשירים. ניתן להציג ולייצא את התוצאות לקובץ CSV ישירות Intune הניהול של מרכז הניהול של הצי לצורך ניתוח כלל-הצי. 

לקבלת הוראות מפורטות לפריסת קובץ ה- Script לזיהוי, ראה ניטור מצב אישור אתחול מאובטח עם Microsoft Intune תיקון.

אפשרות 2: דוח מצב אתחול מאובטח של התאמה אוטומטית של Windows

עבור מארחי הפעלה עקבית אישית הרשומים עם התאמה אוטומטית של Windows, עבור אל Intune admin center > Reports > Windows Autopatch > Windows quality updates > Reports >Secure Boot status. ראה דוח מצב אתחול מאובטח ב- Windows Autopatch

הערה: התאמה אוטומטית של Windows תומכת רק במחשבים וירטואליים עקביים אישיים Azure שולחן עבודה וירטואלי. אין תמיכה במארחים מרובי הפעלות, מחשבים וירטואליים במאגר שאינם מתמידים והזמת יישומים מרוחקים. ראה התאמה אוטומטית של Windows Azure עבודה של שולחן עבודה וירטואלי.

אפשרות 3: מפתחות רישום עבור ניטור צי

השתמש בכלי ניהול ההתקנים הקיימים שלך כדי לבצע שאילתה על ערכי רישום אלה בכל הצי שלך.

נתיב רישום 

מפתח 

מטרה 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023Status 

מצב פריסה נוכחי 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023Error 

מציין שגיאות (לא אמורות להתקיים) 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing 

UEFICA2023ErrorEvent 

מציין מזהה אירוע (לא אמור להתקיים) 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot 

עדכונים זמינים 

סיביות עדכון ממתינות 

לקבלת פרטים מלאים של מפתח הרישום, ראה עדכוני מפתח רישום עבור אתחול מאובטח: מכשירי Windows עם עדכונים המנוהלי על-ידי IT

אפשרות 4: ניטור יומן אירועים 

השתמש בכלי ניהול המכשירים הקיימים שלך כדי לאסוף ולנטר את זהות האירועים האלה מ יומן האירועים של המערכת בצי שלך.

מזהה האירוע 

מיקום 

משמעות 

1808 

מערכת 

האישורים הוחלו בהצלחה 

1801 

מערכת 

עדכון מצב או פרטי שגיאה

לקבלת רשימה מלאה של פרטי אירוע, ראה אירועי עדכון משתני DB ו- DBX של אתחול מאובטח.

אפשרות 5: קובץ Script של מלאי PowerShell

הפעל את קובץ ה- Script לדוגמה של אוסף נתוני מלאי אתחול מאובטח של Microsoft כדי לבדוק את מצב עדכון אישור האתחול המאובטח. קובץ ה- Script אוסף כמה נקודות נתונים, כולל מצב אתחול מאובטח, מצב עדכון UEFI CA 2023, גירסת קושחה ופעילות יומן אירועים.

פריסה

חשוב: ללא קשר לאפשרויות הפריסה שתבחר, מומלץ לנטר את צי המכשירים שלך כדי לאשר שהאישורים הוחלו בהצלחה לפני תאריך היעד של יוני 2026. לקבלת תמונות מותאמות אישית, ראה שיקולי תמונה מוזהבים.

אפשרות 1: אוטומטי עדכונים מ- Windows Update (מכשירים בעלי רמת מהימנות גבוהה)

Microsoft מעדכנות באופן אוטומטי מכשירים באמצעות עדכונים חודשיים של Windows כאשר מדידת שימוש מספקת מאשרת פריסה מוצלחת של תצורות חומרה דומות.

  • מצב: מופעל כברירת מחדל עבור מכשירים בעלי רמת מהימנות גבוהה

  • לא נדרשת פעולה אלא אם ברצונך לבטל את ההצטרפות

הרישום 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot 

מפתח 

HighConfidenceOptOut = 1 כדי לבטל את ההצטרפות 

‏‏מדיניות קבוצתית 

תצורת מחשב > תבניות מנהליות > רכיבי Windows > אתחול מאובטח > פריסת אישור אוטומטית באמצעות עדכונים > הגדר כלא זמינה כדי לבטל את ההצטרפות.

המלצות: גם כאשר עדכונים אוטומטיים זמינים, נטר את מארחי ההפעלה שלך כדי לוודא שהוחלו אישורים. לא כל המכשירים עשויים להיות זכאים לפריסה אוטומטית במהימנות גבוהה. ​​​​​​​

לקבלת מידע נוסף, ראה סיועים בפריסה אוטומטית.

אפשרות 2: IT-Initiated אישית

הפעל עדכוני אישור באופן ידני לפריסה מיידית או מבוקרת.

שיטת 

תיעוד 

Microsoft Intune 

Microsoft Intune אישית 

‏‏מדיניות קבוצתית 

מדיניות קבוצתית השירות Objects (GPO) 

מפתחות רישום 

שיטת מפתח רישום 

WinCS CLI 

ממשקי API של WinCS

הערות: 

  • אל תערבב שיטות פריסה ביוזמת IT (לדוגמה, Intune ו- GPO) באותו מכשיר - הן שולטות באותם מפתחות רישום ועשויות להתנגש.

  • אפשר כ- 48 שעות והפעלה מחדש אחת או יותר כדי שהאישורים יחולו באופן מלא.

שיקולי תמונה מוזהבים

עבור Azure שולחן עבודה וירטואלי באמצעות תמונות Azure Compute Gallery עם אתחול מאובטח זמין, החל את עדכון אישור האתחול המאובטח 2023 על התמונה הזהב לפני לכידתה. השתמש באחת מהשיטות המתוארות לעיל כדי להחיל את העדכון ולאחר מכן ודא שהאישורים מעודכנים לפני ביצוע כללי:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

תמונות ללא הפעלה מהימנה אינן יכולות לקבל עדכונים לאישור אתחול מאובטח באמצעות התמונה. אפשרות זו כוללת תמונות מנוהלות, אשר אינן תומכות בהפעלה מהימנה, Azure גלריית חישוב כאשר הפעלה מהימנה אינה זמינה. עבור מכשירים שהוקצו מתמונות אלה, החל עדכונים על מערכת ההפעלה האורחת באמצעות אחת מהשיטות לעיל.

בעיות ידועות

מפתח הרישום של מתן השירות אינו קיים

תסמין 

HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path אינו קיים 

סיבה 

עדכוני אישורים לא אותחלו במכשיר 

פתרון 

המתן לפריסה אוטומטית באמצעות Windows Update, או הפעל ידנית באמצעות אחת משיטות הפריסה ביוזמת ה- IT לעיל 

המצב מציג "InProgress" עבור תקופה מותכת

תסמין 

UEFICA2023Status נותר "InProgress" לאחר מספר ימים 

סיבה 

ייתכן שיהיה צורך בהפעלה מחדש של המכשיר כדי להשלים את תהליך העדכון 

פתרון 

הפעל מחדש את מארח ההפעלה ובדוק שוב את המצב לאחר 15 דקות. אם הבעיה נמשכת, ראה אירועי עדכון משתנה מסוג DB ו- DBX של אתחול מאובטח לקבלת הדרכה לפתרון בעיות 

מפתח הרישום UEFICA2023Error קיים

תסמין 

מפתח הרישום UEFICA2023Error קיים 

סיבה 

אירעה שגיאה במהלך פריסת אישור 

פתרון 

עיין ביומן האירועים של המערכת לקבלת פרטים. ראה אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח לקבלת הדרכה לפתרון בעיות 

משאבים

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.