Napomena
- Izvorni datum objave: Veljače 19, 2026
- ID baze znanja: 5080931
Napomena
Ovaj članak sadrži smjernice za:
Administratori virtualne radne površine na platformi Azure Upravljanje ažuriranjima glavnog računala sesije
Tvrtke ili ustanove koje koriste virtualne računala za sigurnosno pokretanje sustava za implementacije virtualne radne površine na platformi Azure
Tvrtke ili ustanove koje koriste prilagođene slike (zlatne slike) za implementacije virtualne radne površine na platformi Azure
Sadržaj članka:
Uvod
Sigurno pokretanje sigurnosna je značajka UEFI opreme koja osigurava da se tijekom slijeda pokretanja uređaja pokrene samo pouzdani, digitalno potpisani softver. Certifikati za Microsoftovo sigurno pokretanje izdani 2011. počinju isteći u lipnju 2026. Bez ažuriranih certifikata za 2023. uređaji više neće primati nove zaštite ili ublažavanja sigurnosti sigurnog pokretanja i upravitelja pokretanja za novootkrivene ranjivosti na razini pokretanja.
Svi VM-ovi s omogućenim sigurnim pokretanjem sustava i koji su registrirani na servisu virtualne radne površine Azure i prilagođene slike koje se koriste za njihovu dodjelu moraju se ažurirati na certifikate 2023 prije isteka kako bi ostali zaštićeni. Pogledajte kada istječu certifikati za sigurno pokretanje sustava na uređajima sa sustavom Windows
Odnosi li se to na moje okruženje virtualne radne površine na platformi Azure?
| Scenarij | Sigurno pokretanje je aktivno? | Potrebna je radnja |
|---|---|---|
| Domaćini sesija | ||
| Trusted Launch VM with Secure Boot enabled | Da | Ažuriranje certifikata na glavnom računalu sesije |
| Trusted Launch VM with Secure Boot disabled | Ne | Nije potrebno ništa poduzeti |
| Standard security type VM | Ne | Nije potrebno ništa poduzeti |
| VM 1. generacije | Nije podržano | Nije potrebno ništa poduzeti |
| Zlatne slike | ||
| Slika Azure Compute Gallery s omogućenim sigurnim pokretanjem sustava | Da | Ažuriranje certifikata na izvornoj slici |
| Slika Galerije računalstava Azure bez pouzdanog pokretanja | Ne | Primjena ažuriranja na glavnom računalu sesije nakon implementacije |
| Upravljana slika (ne podržava pouzdano pokretanje) | Ne | Primjena ažuriranja na glavnom računalu sesije nakon implementacije |
Potpune pozadinske informacije potražite u članku Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove.
Inventar i nadzor
Prije nego što poduzmete nešto u vezi s poduzetnijom, pokrenite svoje okruženje inventarom kako biste prepoznali uređaje koji zahtijevaju ažuriranja. Praćenje je ključno za potvrdu jesu li certifikati primijenjeni prije roka u lipnju 2026. – čak i ako se oslanjate na metode automatske implementacije. U nastavku su navedene mogućnosti za utvrđivanje je li potrebno nešto poduzeti.
1. mogućnost: popravci za Microsoft Intune
Za domaćine sesije registrirane u Microsoft Intune možete implementirati skriptu otkrivanja pomoću Intune popravaka (proaktivnih popravaka) za automatsko prikupljanje statusa certifikata sigurnog pokretanja sustava za cijelu flotu. Skripta se tiho pokreće na svakom uređaju i izvješćuje o statusu sigurnog pokretanja, tijeku ažuriranja certifikata i pojedinostima o uređaju na portal Intune – na uređajima nema promjena. Rezultati se mogu pregledavati i izvesti u CSV izravno iz centra za administratore servisa Intune radi analize na razini cijele flote.
Detaljne upute za implementaciju skripte otkrivanja potražite u članku Praćenje statusa certifikata sigurnog pokretanja sustava uz popravke servisa Microsoft Intune.
Druga mogućnost: Izvješće o statusu sigurnog pokretanja servisa Windows Autopatch
Za osobna domaćina trajne sesije registrirana pomoću servisa Windows Autopatch idite u centar > za administratore servisa IntuneIzvješća>značajke Windows Autopatch>Ažuriranja kvalitete sustava Windows Kartica>>IzvješćaStatus sigurnog pokretanja. Pogledajte Izvješće o statusu sigurnog pokretanja u značajci Windows Autopatch.
Napomena
Windows Autopatch podržava samo osobna stalna virtualna računala za virtualnu radnu površinu Azure. Glavna računala s više sesija, združena nestrajna virtualna računala i daljinsko strujanje aplikacija nisu podržani. Pogledajte Windows Autopatch na radnim opterećenjima virtualne radne površine na platformi Azure.
3. mogućnost: ključevi registra za nadzor voznog parka
Upotrijebite postojeće alate za upravljanje uređajima da biste pretraživali te vrijednosti registra u cijeloj floti.
| Put registra | Tipka | Svrha |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status | Trenutačni status implementacije |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error | Označava pogreške (ne smiju postojati) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Označava ID događaja (ne smije postojati) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Dostupna ažuriranja | Bitovi ažuriranja na čekanju |
Sve pojedinosti o ključu registra potražite u članku Ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT.
4. mogućnost: praćenje zapisnika događaja
Upotrijebite postojeće alate za upravljanje uređajem za prikupljanje i nadzor ID-ova događaja iz zapisnika događaja sustava za cijelu svoju flotu.
| ID događaja | Lokacija | Značenje |
|---|---|---|
| 1808 | Sustav | Certifikati su uspješno primijenjeni |
| 1801 | Sustav | Ažuriranje statusa ili pojedinosti o pogrešci |
Potpuni popis pojedinosti o događajima potražite u članku Sigurnosno pokretanje DB i DBX događaji ažuriranja varijabli.
5. mogućnost: skripta inventara komponente PowerShell
Pokrenite Microsoftovu oglednu skriptu za prikupljanje podataka inventara sigurnog pokretanja sustava da biste provjerili status ažuriranja certifikata sigurnog pokretanja sustava. Skripta prikuplja nekoliko točaka podataka, uključujući stanje sigurnog pokretanja, status ažuriranja UEFI CA 2023, verziju opreme i aktivnost zapisnika događaja.
Implementacija
Važno
Bez obzira na to koju mogućnost implementacije odaberete, preporučujemo nadzor flote uređaja da biste potvrdili jesu li certifikati uspješno primijenjeni prije roka u lipnju 2026. Prilagođene slike potražite u odjeljku Razmatranja o zlatnoj slici.
1. mogućnost: Automatska Ažuriranja putem servisa Windows Update (uređaji visoke pouzdanosti)
Microsoft automatski ažurira uređaje putem mjesečnih ažuriranja za Windows kada dostatna telemetrija potvrdi uspješnu implementaciju na sličnim hardverskim konfiguracijama.
- Status: Omogućeno prema zadanim postavkama za uređaje visoke pouzdanosti
- Ako ne želite odustati, nije potrebna nikakva radnja
| Registar | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tipka | HighConfidenceOptOut = 1 za odustajanje |
| pravilnik grupe | Konfiguracija> računalaAdministrativni predlošci>Komponente >sustava WindowsSigurno pokretanje>Automatska implementacija certifikata putem Ažuriranja> Postavite na Onemogućeno za odjavu. |
Napomena
Preporuka: Čak i kad su omogućena automatska ažuriranja, nadzirite glavna računala sesije da biste provjerili primjenjuju li se certifikati. Ne mogu svi uređaji ispunjavati uvjete za automatsku implementaciju s visokom sigurnošću.
Dodatne informacije potražite u odjeljku Pomoć za automatiziranu implementaciju.
2. mogućnost: IT-Initiated implementacija
Ručno pokretanje ažuriranja certifikata radi trenutačnog ili kontroliranog uvođenja.
| način | Dokumentacija |
|---|---|
| Microsoft Intune | Microsoft Intune metoda |
| Pravilnik grupe | Metoda objekata pravilnik grupe (GPO) |
| Registarski ključevi | Način korištenja ključa registra |
| WinCS CLI | API-ji za WinCS |
Napomena
- Nemojte kombinirati načine implementacije koje je pokrenuo IT (npr. Intune i GPO) na istom uređaju – one kontroliraju iste ključeve registra i mogu biti u sukobu.
- Pričekajte približno 48 sati i jedno ili više ponovnih pokretanja da bi se certifikati u potpunosti primijenili.
Na što je potrebno obratiti pozornost u vezi sa zlatnom slikom
Za okruženja virtualne radne površine platforme Azure koja koriste slike Azure Compute Gallery uz omogućeno sigurno pokretanje sustava primijenite ažuriranje certifikata sigurnog pokretanja sustava 2023 na zlatnu sliku prije snimanja. Primijenite ažuriranje jednom od prethodno opisanih metoda, a zatim prije generalizacije provjerite jesu li certifikati ažurirani:
Napomena
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Slike bez omogućenog pouzdanog pokretanja ne mogu putem svoje slike primati ažuriranja certifikata sigurnog pokretanja. To obuhvaća upravljane slike, koje ne podržavaju pouzdano pokretanje, i slike iz galerije Azure Compute Gallery za koje nije omogućena značajka pouzdanog pokretanje. Za uređaje dodijeljene iz tih slika primijenite ažuriranja u OS-u gosta na jedan od gore navedenih načina.
Poznati problemi
Servisni ključ registra ne postoji
| Simptom | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist |
|---|---|
| Uzrok | Ažuriranja certifikata nisu pokrenuta na uređaju |
| Rješenje | Pričekajte automatsku implementaciju putem servisa Windows Update ili ručno pokrenite upotrebu jedne od prethodno navedenih metoda implementacije koje je pokrenuo IT |
Status za produljeno razdoblje prikazuje "U tijeku"
| Simptom | UEFICA2023Status ostaje "U tijeku" nakon više dana |
|---|---|
| Uzrok | Uređaj će možda trebati ponovno pokrenuti uređaj kako bi se dovršio postupak ažuriranja |
| Rješenje | Ponovno pokrenite glavno računalo sesije i ponovno provjerite status nakon 15 minuta. Ako se problem nastavi pojavljivati, upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje sustava DB i događaji ažuriranja varijable DBX |
UEFICA2023Error postoji ključ registra
| Simptom | UEFICA2023Error je prisutan ključ registra |
|---|---|
| Uzrok | Došlo je do pogreške tijekom implementacije certifikata |
| Rješenje | Pojedinosti provjerite u zapisniku događaja u sustavu. Upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje DB i događaji ažuriranja varijable DBX |