Ažuriranja certifikata sigurnog pokretanja sustava za Azure Virtual Desktop

Primjenjuje se na
Azure Virtual Desktop

Napomena

  • Izvorni datum objave: Veljače 19, 2026
  • ID baze znanja: 5080931

Napomena

Ovaj članak sadrži smjernice za:

  • Administratori virtualne radne površine na platformi Azure Upravljanje ažuriranjima glavnog računala sesije

  • Tvrtke ili ustanove koje koriste virtualne računala za sigurnosno pokretanje sustava za implementacije virtualne radne površine na platformi Azure

  • Tvrtke ili ustanove koje koriste prilagođene slike (zlatne slike) za implementacije virtualne radne površine na platformi Azure

Sadržaj članka:

Uvod

Sigurno pokretanje sigurnosna je značajka UEFI opreme koja osigurava da se tijekom slijeda pokretanja uređaja pokrene samo pouzdani, digitalno potpisani softver. Certifikati za Microsoftovo sigurno pokretanje izdani 2011. počinju isteći u lipnju 2026. Bez ažuriranih certifikata za 2023. uređaji više neće primati nove zaštite ili ublažavanja sigurnosti sigurnog pokretanja i upravitelja pokretanja za novootkrivene ranjivosti na razini pokretanja.

Svi VM-ovi s omogućenim sigurnim pokretanjem sustava i koji su registrirani na servisu virtualne radne površine Azure i prilagođene slike koje se koriste za njihovu dodjelu moraju se ažurirati na certifikate 2023 prije isteka kako bi ostali zaštićeni. Pogledajte kada istječu certifikati za sigurno pokretanje sustava na uređajima sa sustavom Windows

Odnosi li se to na moje okruženje virtualne radne površine na platformi Azure?

Scenarij Sigurno pokretanje je aktivno? Potrebna je radnja
Domaćini sesija
Trusted Launch VM with Secure Boot enabled Da Ažuriranje certifikata na glavnom računalu sesije
Trusted Launch VM with Secure Boot disabled Ne Nije potrebno ništa poduzeti
Standard security type VM Ne Nije potrebno ništa poduzeti
VM 1. generacije Nije podržano Nije potrebno ništa poduzeti
Zlatne slike
Slika Azure Compute Gallery s omogućenim sigurnim pokretanjem sustava Da Ažuriranje certifikata na izvornoj slici
Slika Galerije računalstava Azure bez pouzdanog pokretanja Ne Primjena ažuriranja na glavnom računalu sesije nakon implementacije
Upravljana slika (ne podržava pouzdano pokretanje) Ne Primjena ažuriranja na glavnom računalu sesije nakon implementacije

Potpune pozadinske informacije potražite u članku Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove.

Inventar i nadzor

Prije nego što poduzmete nešto u vezi s poduzetnijom, pokrenite svoje okruženje inventarom kako biste prepoznali uređaje koji zahtijevaju ažuriranja. Praćenje je ključno za potvrdu jesu li certifikati primijenjeni prije roka u lipnju 2026. – čak i ako se oslanjate na metode automatske implementacije.  U nastavku su navedene mogućnosti za utvrđivanje je li potrebno nešto poduzeti.

1. mogućnost: popravci za Microsoft Intune

Za domaćine sesije registrirane u Microsoft Intune možete implementirati skriptu otkrivanja pomoću Intune popravaka (proaktivnih popravaka) za automatsko prikupljanje statusa certifikata sigurnog pokretanja sustava za cijelu flotu. Skripta se tiho pokreće na svakom uređaju i izvješćuje o statusu sigurnog pokretanja, tijeku ažuriranja certifikata i pojedinostima o uređaju na portal Intune – na uređajima nema promjena. Rezultati se mogu pregledavati i izvesti u CSV izravno iz centra za administratore servisa Intune radi analize na razini cijele flote.

Detaljne upute za implementaciju skripte otkrivanja potražite u članku Praćenje statusa certifikata sigurnog pokretanja sustava uz popravke servisa Microsoft Intune.

Druga mogućnost: Izvješće o statusu sigurnog pokretanja servisa Windows Autopatch

Za osobna domaćina trajne sesije registrirana pomoću servisa Windows Autopatch idite u centar > za administratore servisa IntuneIzvješća>značajke Windows Autopatch>Ažuriranja kvalitete sustava Windows Kartica>>IzvješćaStatus sigurnog pokretanja. Pogledajte Izvješće o statusu sigurnog pokretanja u značajci Windows Autopatch.

Napomena

Windows Autopatch podržava samo osobna stalna virtualna računala za virtualnu radnu površinu Azure. Glavna računala s više sesija, združena nestrajna virtualna računala i daljinsko strujanje aplikacija nisu podržani. Pogledajte Windows Autopatch na radnim opterećenjima virtualne radne površine na platformi Azure.

3. mogućnost: ključevi registra za nadzor voznog parka

Upotrijebite postojeće alate za upravljanje uređajima da biste pretraživali te vrijednosti registra u cijeloj floti.

Put registra Tipka Svrha
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Trenutačni status implementacije
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Error Označava pogreške (ne smiju postojati)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Označava ID događaja (ne smije postojati)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Dostupna ažuriranja Bitovi ažuriranja na čekanju

Sve pojedinosti o ključu registra potražite u članku Ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT.

4. mogućnost: praćenje zapisnika događaja

Upotrijebite postojeće alate za upravljanje uređajem za prikupljanje i nadzor ID-ova događaja iz zapisnika događaja sustava za cijelu svoju flotu.

ID događaja Lokacija Značenje
1808 Sustav Certifikati su uspješno primijenjeni
1801 Sustav Ažuriranje statusa ili pojedinosti o pogrešci

Potpuni popis pojedinosti o događajima potražite u članku Sigurnosno pokretanje DB i DBX događaji ažuriranja varijabli.

5. mogućnost: skripta inventara komponente PowerShell

Pokrenite Microsoftovu oglednu skriptu za prikupljanje podataka inventara sigurnog pokretanja sustava da biste provjerili status ažuriranja certifikata sigurnog pokretanja sustava. Skripta prikuplja nekoliko točaka podataka, uključujući stanje sigurnog pokretanja, status ažuriranja UEFI CA 2023, verziju opreme i aktivnost zapisnika događaja.

Implementacija

Važno

Bez obzira na to koju mogućnost implementacije odaberete, preporučujemo nadzor flote uređaja da biste potvrdili jesu li certifikati uspješno primijenjeni prije roka u lipnju 2026. Prilagođene slike potražite u odjeljku Razmatranja o zlatnoj slici.

1. mogućnost: Automatska Ažuriranja putem servisa Windows Update (uređaji visoke pouzdanosti)

Microsoft automatski ažurira uređaje putem mjesečnih ažuriranja za Windows kada dostatna telemetrija potvrdi uspješnu implementaciju na sličnim hardverskim konfiguracijama.

  • Status: Omogućeno prema zadanim postavkama za uređaje visoke pouzdanosti
  • Ako ne želite odustati, nije potrebna nikakva radnja
Registar HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Tipka HighConfidenceOptOut = 1 za odustajanje
pravilnik grupe Konfiguracija> računalaAdministrativni predlošci>Komponente >sustava WindowsSigurno pokretanje>Automatska implementacija certifikata putem Ažuriranja> Postavite na Onemogućeno za odjavu.

Napomena

Preporuka: Čak i kad su omogućena automatska ažuriranja, nadzirite glavna računala sesije da biste provjerili primjenjuju li se certifikati. Ne mogu svi uređaji ispunjavati uvjete za automatsku implementaciju s visokom sigurnošću.

Dodatne informacije potražite u odjeljku Pomoć za automatiziranu implementaciju.

2. mogućnost: IT-Initiated implementacija

Ručno pokretanje ažuriranja certifikata radi trenutačnog ili kontroliranog uvođenja.

način Dokumentacija
Microsoft Intune Microsoft Intune metoda
Pravilnik grupe Metoda objekata pravilnik grupe (GPO)
Registarski ključevi Način korištenja ključa registra
WinCS CLI API-ji za WinCS

Napomena

  • Nemojte kombinirati načine implementacije koje je pokrenuo IT (npr. Intune i GPO) na istom uređaju – one kontroliraju iste ključeve registra i mogu biti u sukobu.
  • Pričekajte približno 48 sati i jedno ili više ponovnih pokretanja da bi se certifikati u potpunosti primijenili.

Na što je potrebno obratiti pozornost u vezi sa zlatnom slikom

Za okruženja virtualne radne površine platforme Azure koja koriste slike Azure Compute Gallery uz omogućeno sigurno pokretanje sustava primijenite ažuriranje certifikata sigurnog pokretanja sustava 2023 na zlatnu sliku prije snimanja. Primijenite ažuriranje jednom od prethodno opisanih metoda, a zatim prije generalizacije provjerite jesu li certifikati ažurirani:

Napomena

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Slike bez omogućenog pouzdanog pokretanja ne mogu putem svoje slike primati ažuriranja certifikata sigurnog pokretanja. To obuhvaća upravljane slike, koje ne podržavaju pouzdano pokretanje, i slike iz galerije Azure Compute Gallery za koje nije omogućena značajka pouzdanog pokretanje. Za uređaje dodijeljene iz tih slika primijenite ažuriranja u OS-u gosta na jedan od gore navedenih načina.

Poznati problemi

Servisni ključ registra ne postoji

Simptom HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist
Uzrok Ažuriranja certifikata nisu pokrenuta na uređaju
Rješenje Pričekajte automatsku implementaciju putem servisa Windows Update ili ručno pokrenite upotrebu jedne od prethodno navedenih metoda implementacije koje je pokrenuo IT

Status za produljeno razdoblje prikazuje "U tijeku"

Simptom UEFICA2023Status ostaje "U tijeku" nakon više dana
Uzrok Uređaj će možda trebati ponovno pokrenuti uređaj kako bi se dovršio postupak ažuriranja
Rješenje Ponovno pokrenite glavno računalo sesije i ponovno provjerite status nakon 15 minuta. Ako se problem nastavi pojavljivati, upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje sustava DB i događaji ažuriranja varijable DBX

UEFICA2023Error postoji ključ registra

Simptom UEFICA2023Error je prisutan ključ registra
Uzrok Došlo je do pogreške tijekom implementacije certifikata
Rješenje Pojedinosti provjerite u zapisniku događaja u sustavu. Upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje DB i događaji ažuriranja varijable DBX

Resursi