Ažuriranja certifikata sigurnog pokretanja sustava za Windows 365

Napomena

  • Izvorni datum objave: Veljače 19, 2026
  • ID baze znanja: 5080914

Napomena

Ovaj članak sadrži smjernice za:

  • Administratori sustava Windows 365 upravljaju računalima u oblaku.

  • Tvrtke ili ustanove koje koriste PC-jeve u oblaku za implementacije sustava Windows 365 s omogućenim sigurnim pokretanjem.

  • Tvrtke ili ustanove koje koriste prilagođene slike za implementacije sustava Windows 365.

Sadržaj članka:

Uvod

Sigurno pokretanje sigurnosna je značajka UEFI opreme koja osigurava da se tijekom slijeda pokretanja uređaja pokrene samo pouzdani, digitalno potpisani softver. Certifikati za Microsoftovo sigurno pokretanje izdani 2011. počinju isteći u lipnju 2026. Bez ažuriranih certifikata za 2023. uređaji više neće primati nove zaštite ili ublažavanja sigurnosti sigurnog pokretanja i upravitelja pokretanja za novootkrivene ranjivosti na razini pokretanja.

Da bi svi PC-jevi u oblaku za koje je omogućeno sigurno pokretanje sustava i koji su dodijeljeni servisu sustava Windows 365, kao i prilagođene slike koje se koriste za njihovu dodjelu moraju se ažurirati na certifikate 2023 prije isteka. Pogledajte kada istječu certifikati za sigurno pokretanje sustava na uređajima sa sustavom Windows.

Odnosi li se to na moje okruženje sustava Windows 365?

Scenarij Sigurno pokretanje je aktivno? Potrebna je radnja
PC-jevi u oblaku
PC u oblaku s omogućenim sigurnim pokretanjem sustava Da Ažuriranje certifikata na PC-ju u oblaku
PC u oblaku s onemogućenim sigurnim pokretanjem sustava Ne Nije potrebno ništa poduzeti
Slike
Slika Azure Compute Gallery s omogućenim sigurnim pokretanjem sustava Da Ažuriranje certifikata na izvornoj slici prije generalizacije
Slika Galerije računalstava Azure bez pouzdanog pokretanja Ne Primjena ažuriranja na PC-ju u oblaku nakon dodjele resursa
Upravljana slika (ne podržava pouzdano pokretanje) Ne Primjena ažuriranja na PC-ju u oblaku nakon dodjele resursa

Potpune pozadinske informacije potražite u članku Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove.

Inventar i nadzor

Prije nego što poduzmete nešto u vezi s poduzetnijom, pokrenite svoje okruženje inventarom kako biste prepoznali uređaje koji zahtijevaju ažuriranja. Praćenje je ključno za potvrdu jesu li certifikati primijenjeni prije roka u lipnju 2026. – čak i ako se oslanjate na metode automatske implementacije. U nastavku su navedene mogućnosti za utvrđivanje je li potrebno nešto poduzeti.

1. mogućnost: popravci za Microsoft Intune

Za PC-jeve u oblaku registrirane za Microsoft Intune možete implementirati skriptu otkrivanja pomoću Intune popravaka (proaktivnih popravaka) za automatsko prikupljanje statusa certifikata sigurnog pokretanja sustava za cijelu flotu. Skripta se tiho pokreće na svakom uređaju i izvješćuje o statusu sigurnog pokretanja, tijeku ažuriranja certifikata i pojedinostima o uređaju na portal Intune – na uređajima nema promjena. Rezultati se mogu pregledavati i izvesti u CSV izravno iz centra za administratore servisa Intune radi analize na razini cijele flote.

Detaljne upute za implementaciju skripte otkrivanja potražite u članku Praćenje statusa certifikata sigurnog pokretanja sustava uz popravke servisa Microsoft Intune.

Druga mogućnost: Izvješće o statusu sigurnog pokretanja servisa Windows Autopatch

Za PC-jeve u oblaku registrirane pomoću tehnologije Windows Autopatch idite u centar > za administratore servisa IntuneIzvješća>značajke Windows Autopatch>Ažuriranja kvalitete sustava Windows Kartica>>Izvješćastatus sigurnog pokretanja. Pogledajte Izvješće o statusu sigurnog pokretanja u značajci Windows Autopatch.

Napomena: da biste koristili Windows Autopatch sa sustavom Windows 365, PC-jevi u oblaku moraju biti registrirani na servisu Windows Autopatch. Pogledajte Windows Autopatch na radnim opterećenjima sustava Windows 365 Enterprise.

3. mogućnost: ključevi registra za nadzor voznog parka

Upotrijebite postojeće alate za upravljanje uređajima da biste pretraživali te vrijednosti registra u cijeloj floti.

Put registra Tipka Svrha
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Trenutačni status implementacije
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Error Označava pogreške (ne smiju postojati)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Označava ID događaja (ne smije postojati)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Dostupna ažuriranja Bitovi ažuriranja na čekanju

Sve pojedinosti o ključu registra potražite u odjeljku Ažuriranja ključa registra za sigurno pokretanje.

4. mogućnost: praćenje zapisnika događaja

Upotrijebite postojeće alate za upravljanje uređajem za prikupljanje i nadzor ID-ova događaja iz zapisnika događaja sustava za cijelu svoju flotu.

ID događaja Lokacija Značenje
1808 Sustav Certifikati su uspješno primijenjeni
1801 Sustav Ažuriranje statusa ili pojedinosti o pogrešci

Potpuni popis pojedinosti o događajima potražite u članku Sigurnosno pokretanje DB i DBX događaji ažuriranja varijabli.

5. mogućnost: skripta inventara komponente PowerShell

Pokrenite Microsoftovu oglednu skriptu za prikupljanje podataka inventara sigurnog pokretanja sustava da biste provjerili status ažuriranja certifikata sigurnog pokretanja sustava. Skripta prikuplja nekoliko točaka podataka, uključujući stanje sigurnog pokretanja, status ažuriranja UEFI CA 2023, verziju opreme i aktivnost zapisnika događaja.

Implementacija

Važno

Bez obzira na to koju mogućnost implementacije odaberete, preporučujemo nadzor flote uređaja da biste potvrdili jesu li certifikati uspješno primijenjeni prije roka u lipnju 2026. Prilagođene slike potražite u odjeljku Razmatranja prilagođenih slika.

1. mogućnost: Automatska Ažuriranja putem servisa Windows Update (uređaji visoke pouzdanosti)

Microsoft automatski ažurira uređaje putem mjesečnih ažuriranja za Windows kada dostatna telemetrija potvrdi uspješnu implementaciju na sličnim hardverskim konfiguracijama.

  • Status: omogućeno prema zadanim postavkama za uređaje visoke pouzdanosti
  • Ako ne želite odustati, nije potrebna nikakva radnja
Registar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tipka HighConfidenceOptOut = 1 za odustajanje
pravilnik grupe Konfiguracija> računalaAdministrativni predlošci>Komponente >sustava WindowsSigurno pokretanje>Automatska implementacija certifikata putem Ažuriranja> Postavite na Onemogućeno za odjavu

Napomena

Preporuka: Čak i ako su omogućena automatska ažuriranja, nadzirite računala u oblaku da biste provjerili primjenjuju li se certifikati. Ne mogu svi uređaji ispunjavati uvjete za automatsku implementaciju s visokom sigurnošću.

Dodatne informacije potražite u odjeljku Pomoć za automatiziranu implementaciju.

2. mogućnost: IT-Initiated implementacija

Ručno pokretanje ažuriranja certifikata radi trenutačnog ili kontroliranog uvođenja.

način Dokumentacija
Microsoft Intune Microsoft Intune metoda
Pravilnik grupe Metoda GPO-a
Registarski ključevi Način korištenja ključa registra
WinCS CLI API-ji za WinCS

Napomena

  • Nemojte kombinirati načine implementacije koje je pokrenuo IT (npr. Intune i GPO) na istom uređaju – one kontroliraju iste ključeve registra i mogu biti u sukobu.
  • Pričekajte približno 48 sati i jedno ili više ponovnih pokretanja da bi se certifikati u potpunosti primijenili.

Razmatranja prilagođene slike

Prilagođenim slikama u potpunosti upravlja vaša tvrtka ili ustanova. Sami ste odgovorni za primjenu ažuriranja certifikata sigurnog pokretanja sustava na prilagođenu sliku i njezin ponovni prijenos prije korištenja za dodjelu resursa.

Primjena ažuriranja certifikata sigurnog pokretanja sustava na izvornu sliku podržana je samo sa slikama Azure Compute Gallery (pretpregled), koje podržavaju pouzdano pokretanje i sigurno pokretanje. Upravljane slike ne podržavaju sigurno pokretanje, pa nije moguće primijeniti ažuriranja certifikata na razini slike. Za PC-jeve u oblaku koji su dodijeljeni iz upravljanih slika primijenite ažuriranja izravno na PC-ju u oblaku pomoću jedne od prethodno navedenih metoda implementacije.

Prije generalizacije nove prilagođene slike provjerite jesu li certifikati ažurirani:

Napomena

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Poznati problemi

Servisni ključ registra ne postoji

Simptom HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing put ne postoji
Uzrok Ažuriranja certifikata nisu pokrenuta na uređaju
Rješenje Pričekajte automatsku implementaciju putem servisa Windows Update ili ručno pokrenite upotrebu jedne od prethodno navedenih metoda implementacije koje je pokrenuo IT

Status za produljeno razdoblje prikazuje "U tijeku"

Simptom UEFICA2023Status ostaje "U tijeku" nakon više dana
Uzrok Uređaj će možda trebati ponovno pokrenuti uređaj kako bi se dovršio postupak ažuriranja
Rješenje Ponovno pokrenite PC u oblaku i ponovno provjerite status nakon 15 minuta. Ako se problem nastavi pojavljivati, upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje sustava DB i događaji ažuriranja varijable DBX

UEFICA2023Error postoji ključ registra

Simptom UEFICA2023Error je prisutan ključ registra
Uzrok Došlo je do pogreške tijekom implementacije certifikata
Rješenje Pojedinosti provjerite u zapisniku događaja u sustavu. Upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje DB i događaji ažuriranja varijable DBX

Resursi