אישור אתחול מאובטח עדכונים עבור שולחן Azure וירטואלי
חל על
תאריך פרסום מקורי: ה-19 בפברואר 2026
מזהה KB: 5080931
מאמר זה כולל הדרכה עבור:
-
Azure מנהלי מערכת של שולחן עבודה וירטואלי המנהלים עדכונים של מארח הפעלה
-
ארגונים המשתמשים במחשבים וירטואליים מותאמי אתחול מאובטח Azure של שולחן עבודה וירטואלי
-
ארגונים המשתמשים בתמונות מותאמות אישית (תמונות מוזהבות) Azure של שולחן עבודה וירטואלי
במאמר זה:
מבוא
אתחול מאובטח הוא תכונת אבטחת קושחה של UEFI שמסייעת להבטיח שרק תוכנה מהימנה וחתימה בחתימה דיגיטלית תפעל במהלך רצף אתחול של מכשיר. תוקפם של אישורי האתחול המאובטח של Microsoft שהונפקו ב- 2011 מתחיל לפוג ביוני 2026. ללא האישורים המעודכנים של 2023, מכשירים לא יקבלו עוד הגנות חדשות של Secure Boot and Boot Manager או צמצום סיכונים עבור פגיעויות חדשות ברמת האתחול שהתגלו.
יש לעדכן את כל המחשבים הווירטואליים המותאמים לאתחול המאובטח הרשומים בשירות שולחן העבודה הווירטואלי של Azure, ותמונות מותאמות אישית המשמשות להקצאתם, להתעדכן לאישורי 2023 לפני פקיעת התוקף כדי להישאר מוגנים. ראה מתי פג תוקפם של אישורי אתחול מאובטח במכשירי Windows
האם הדבר חל על סביבת שולחן Azure וירטואלית שלי?
|
תרחיש |
האם לבצע אתחול מאובטח פעיל? |
נדרשת פעולה |
|
מארחי הפעלה |
||
|
VM של הפעלה מהימנה עם אתחול מאובטח זמין |
כן |
עדכון אישורים במארח ההפעלה |
|
VM של הפעלה מהימנה עם אתחול מאובטח לא זמין |
לא |
לא נדרשת פעולה |
|
Standard סוג אבטחה וירטואלי |
לא |
לא נדרשת פעולה |
|
מדור 1 של מחשב וירטואלי |
לא נתמך |
לא נדרשת פעולה |
|
תמונות מוזהבות |
||
|
Azure גלריית חישובים כאשר אתחול מאובטח זמין |
כן |
עדכון אישורים בתמונת המקור |
|
Azure גלריית חישובים ללא הפעלה מהימנה |
לא |
החלת עדכונים במארח ההפעלה לאחר הפריסה |
|
תמונה מנוהלת (אינה תומכת בהפעלה מהימנה) |
לא |
החלת עדכונים במארח ההפעלה לאחר הפריסה |
לקבלת מידע רקע מלא, ראה עדכוני אישור אתחול מאובטח: הדרכה עבור מומחי IT וארגונים.
מלאי וצג
לפני נקיטת פעולה, מלאי את הסביבה שלך כדי לזהות מכשירים הדורשים עדכונים. ניטור הוא חיוני לאישור החלת האישורים לפני תאריך היעד של יוני 2026 - גם אם אתה מסתכן בשיטות פריסה אוטומטיות. להלן אפשרויות הקובעות אם יש לבצע פעולה.
אפשרות 1: Microsoft Intune תיקון
עבור מארחי הפעלה הרשומים ל- Microsoft Intune, באפשרותך לפרוס קובץ Script לזיהוי באמצעות Intune Remediations (תיקונים פרואקטיביים) כדי לאסוף באופן אוטומטי מצב אישור אתחול מאובטח בצי שלך. קובץ ה- Script פועל באופן שקט בכל מכשיר ומדוחות מצב אתחול מאובטח, התקדמות עדכון אישור ופרטי מכשיר בחזרה לפורטל Intune - לא בוצעו שינויים במכשירים. ניתן להציג ולייצא את התוצאות לקובץ CSV ישירות Intune הניהול של מרכז הניהול של הצי לצורך ניתוח כלל-הצי.
לקבלת הוראות מפורטות לפריסת קובץ ה- Script לזיהוי, ראה ניטור מצב אישור אתחול מאובטח עם Microsoft Intune תיקון.
אפשרות 2: דוח מצב אתחול מאובטח של התאמה אוטומטית של Windows
עבור מארחי הפעלה עקבית אישית הרשומים עם התאמה אוטומטית של Windows, עבור אל Intune admin center > Reports > Windows Autopatch > Windows quality updates > Reports >Secure Boot status. ראה דוח מצב אתחול מאובטח ב- Windows Autopatch.
הערה: התאמה אוטומטית של Windows תומכת רק במחשבים וירטואליים עקביים אישיים Azure שולחן עבודה וירטואלי. אין תמיכה במארחים מרובי הפעלות, מחשבים וירטואליים במאגר שאינם מתמידים והזמת יישומים מרוחקים. ראה התאמה אוטומטית של Windows Azure עבודה של שולחן עבודה וירטואלי.
אפשרות 3: מפתחות רישום עבור ניטור צי
השתמש בכלי ניהול ההתקנים הקיימים שלך כדי לבצע שאילתה על ערכי רישום אלה בכל הצי שלך.
|
נתיב רישום |
מפתח |
מטרה |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
מצב פריסה נוכחי |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
מציין שגיאות (לא אמורות להתקיים) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
מציין מזהה אירוע (לא אמור להתקיים) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
עדכונים זמינים |
סיביות עדכון ממתינות |
לקבלת פרטים מלאים של מפתח הרישום, ראה עדכוני מפתח רישום עבור אתחול מאובטח: מכשירי Windows עם עדכונים המנוהלי על-ידי IT.
אפשרות 4: ניטור יומן אירועים
השתמש בכלי ניהול המכשירים הקיימים שלך כדי לאסוף ולנטר את זהות האירועים האלה מ יומן האירועים של המערכת בצי שלך.
|
מזהה האירוע |
מיקום |
משמעות |
|
1808 |
מערכת |
האישורים הוחלו בהצלחה |
|
1801 |
מערכת |
עדכון מצב או פרטי שגיאה |
לקבלת רשימה מלאה של פרטי אירוע, ראה אירועי עדכון משתני DB ו- DBX של אתחול מאובטח.
אפשרות 5: קובץ Script של מלאי PowerShell
הפעל את קובץ ה- Script לדוגמה של אוסף נתוני מלאי אתחול מאובטח של Microsoft כדי לבדוק את מצב עדכון אישור האתחול המאובטח. קובץ ה- Script אוסף כמה נקודות נתונים, כולל מצב אתחול מאובטח, מצב עדכון UEFI CA 2023, גירסת קושחה ופעילות יומן אירועים.
פריסה
חשוב: ללא קשר לאפשרויות הפריסה שתבחר, מומלץ לנטר את צי המכשירים שלך כדי לאשר שהאישורים הוחלו בהצלחה לפני תאריך היעד של יוני 2026. לקבלת תמונות מותאמות אישית, ראה שיקולי תמונה מוזהבים.
אפשרות 1: אוטומטי עדכונים מ- Windows Update (מכשירים בעלי רמת מהימנות גבוהה)
Microsoft מעדכנות באופן אוטומטי מכשירים באמצעות עדכונים חודשיים של Windows כאשר מדידת שימוש מספקת מאשרת פריסה מוצלחת של תצורות חומרה דומות.
-
מצב: מופעל כברירת מחדל עבור מכשירים בעלי רמת מהימנות גבוהה
-
לא נדרשת פעולה אלא אם ברצונך לבטל את ההצטרפות
|
הרישום |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
מפתח |
HighConfidenceOptOut = 1 כדי לבטל את ההצטרפות |
|
מדיניות קבוצתית |
תצורת מחשב > תבניות מנהליות > רכיבי Windows > אתחול מאובטח > פריסת אישור אוטומטית באמצעות עדכונים > הגדר כלא זמינה כדי לבטל את ההצטרפות. |
המלצות: גם כאשר עדכונים אוטומטיים זמינים, נטר את מארחי ההפעלה שלך כדי לוודא שהוחלו אישורים. לא כל המכשירים עשויים להיות זכאים לפריסה אוטומטית במהימנות גבוהה.
לקבלת מידע נוסף, ראה סיועים בפריסה אוטומטית.
אפשרות 2: IT-Initiated אישית
הפעל עדכוני אישור באופן ידני לפריסה מיידית או מבוקרת.
|
שיטת |
תיעוד |
|
Microsoft Intune |
|
|
מדיניות קבוצתית |
|
|
מפתחות רישום |
|
|
WinCS CLI |
הערות:
-
אל תערבב שיטות פריסה ביוזמת IT (לדוגמה, Intune ו- GPO) באותו מכשיר - הן שולטות באותם מפתחות רישום ועשויות להתנגש.
-
אפשר כ- 48 שעות והפעלה מחדש אחת או יותר כדי שהאישורים יחולו באופן מלא.
שיקולי תמונה מוזהבים
עבור Azure שולחן עבודה וירטואלי באמצעות תמונות Azure Compute Gallery עם אתחול מאובטח זמין, החל את עדכון אישור האתחול המאובטח 2023 על התמונה הזהב לפני לכידתה. השתמש באחת מהשיטות המתוארות לעיל כדי להחיל את העדכון ולאחר מכן ודא שהאישורים מעודכנים לפני ביצוע כללי:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
תמונות ללא הפעלה מהימנה אינן יכולות לקבל עדכונים לאישור אתחול מאובטח באמצעות התמונה. אפשרות זו כוללת תמונות מנוהלות, אשר אינן תומכות בהפעלה מהימנה, Azure גלריית חישוב כאשר הפעלה מהימנה אינה זמינה. עבור מכשירים שהוקצו מתמונות אלה, החל עדכונים על מערכת ההפעלה האורחת באמצעות אחת מהשיטות לעיל.
בעיות ידועות
מפתח הרישום של מתן השירות אינו קיים
|
תסמין |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path אינו קיים |
|
סיבה |
עדכוני אישורים לא אותחלו במכשיר |
|
פתרון |
המתן לפריסה אוטומטית באמצעות Windows Update, או הפעל ידנית באמצעות אחת משיטות הפריסה ביוזמת ה- IT לעיל |
המצב מציג "InProgress" עבור תקופה מותכת
|
תסמין |
UEFICA2023Status נותר "InProgress" לאחר מספר ימים |
|
סיבה |
ייתכן שיהיה צורך בהפעלה מחדש של המכשיר כדי להשלים את תהליך העדכון |
|
פתרון |
הפעל מחדש את מארח ההפעלה ובדוק שוב את המצב לאחר 15 דקות. אם הבעיה נמשכת, ראה אירועי עדכון משתנה מסוג DB ו- DBX של אתחול מאובטח לקבלת הדרכה לפתרון בעיות |
מפתח הרישום UEFICA2023Error קיים
|
תסמין |
מפתח הרישום UEFICA2023Error קיים |
|
סיבה |
אירעה שגיאה במהלך פריסת אישור |
|
פתרון |
עיין ביומן האירועים של המערכת לקבלת פרטים. ראה אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח לקבלת הדרכה לפתרון בעיות |
משאבים
זקוק לעזרה נוספת?
מעוניין באפשרויות נוספות?
גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.
קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.
