Napomena
- Izvorni datum objave: Veljače 19, 2026
- ID baze znanja: 5080914
Napomena
Ovaj članak sadrži smjernice za:
Administratori sustava Windows 365 upravljaju računalima u oblaku.
Tvrtke ili ustanove koje koriste PC-jeve u oblaku za implementacije sustava Windows 365 s omogućenim sigurnim pokretanjem.
Tvrtke ili ustanove koje koriste prilagođene slike za implementacije sustava Windows 365.
Sadržaj članka:
Uvod
Sigurno pokretanje sigurnosna je značajka UEFI opreme koja osigurava da se tijekom slijeda pokretanja uređaja pokrene samo pouzdani, digitalno potpisani softver. Certifikati za Microsoftovo sigurno pokretanje izdani 2011. počinju isteći u lipnju 2026. Bez ažuriranih certifikata za 2023. uređaji više neće primati nove zaštite ili ublažavanja sigurnosti sigurnog pokretanja i upravitelja pokretanja za novootkrivene ranjivosti na razini pokretanja.
Da bi svi PC-jevi u oblaku za koje je omogućeno sigurno pokretanje sustava i koji su dodijeljeni servisu sustava Windows 365, kao i prilagođene slike koje se koriste za njihovu dodjelu moraju se ažurirati na certifikate 2023 prije isteka. Pogledajte kada istječu certifikati za sigurno pokretanje sustava na uređajima sa sustavom Windows.
Odnosi li se to na moje okruženje sustava Windows 365?
| Scenarij | Sigurno pokretanje je aktivno? | Potrebna je radnja |
|---|---|---|
| PC-jevi u oblaku | ||
| PC u oblaku s omogućenim sigurnim pokretanjem sustava | Da | Ažuriranje certifikata na PC-ju u oblaku |
| PC u oblaku s onemogućenim sigurnim pokretanjem sustava | Ne | Nije potrebno ništa poduzeti |
| Slike | ||
| Slika Azure Compute Gallery s omogućenim sigurnim pokretanjem sustava | Da | Ažuriranje certifikata na izvornoj slici prije generalizacije |
| Slika Galerije računalstava Azure bez pouzdanog pokretanja | Ne | Primjena ažuriranja na PC-ju u oblaku nakon dodjele resursa |
| Upravljana slika (ne podržava pouzdano pokretanje) | Ne | Primjena ažuriranja na PC-ju u oblaku nakon dodjele resursa |
Potpune pozadinske informacije potražite u članku Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove.
Inventar i nadzor
Prije nego što poduzmete nešto u vezi s poduzetnijom, pokrenite svoje okruženje inventarom kako biste prepoznali uređaje koji zahtijevaju ažuriranja. Praćenje je ključno za potvrdu jesu li certifikati primijenjeni prije roka u lipnju 2026. – čak i ako se oslanjate na metode automatske implementacije. U nastavku su navedene mogućnosti za utvrđivanje je li potrebno nešto poduzeti.
1. mogućnost: popravci za Microsoft Intune
Za PC-jeve u oblaku registrirane za Microsoft Intune možete implementirati skriptu otkrivanja pomoću Intune popravaka (proaktivnih popravaka) za automatsko prikupljanje statusa certifikata sigurnog pokretanja sustava za cijelu flotu. Skripta se tiho pokreće na svakom uređaju i izvješćuje o statusu sigurnog pokretanja, tijeku ažuriranja certifikata i pojedinostima o uređaju na portal Intune – na uređajima nema promjena. Rezultati se mogu pregledavati i izvesti u CSV izravno iz centra za administratore servisa Intune radi analize na razini cijele flote.
Detaljne upute za implementaciju skripte otkrivanja potražite u članku Praćenje statusa certifikata sigurnog pokretanja sustava uz popravke servisa Microsoft Intune.
Druga mogućnost: Izvješće o statusu sigurnog pokretanja servisa Windows Autopatch
Za PC-jeve u oblaku registrirane pomoću tehnologije Windows Autopatch idite u centar > za administratore servisa IntuneIzvješća>značajke Windows Autopatch>Ažuriranja kvalitete sustava Windows Kartica>>Izvješćastatus sigurnog pokretanja. Pogledajte Izvješće o statusu sigurnog pokretanja u značajci Windows Autopatch.
Napomena: da biste koristili Windows Autopatch sa sustavom Windows 365, PC-jevi u oblaku moraju biti registrirani na servisu Windows Autopatch. Pogledajte Windows Autopatch na radnim opterećenjima sustava Windows 365 Enterprise.
3. mogućnost: ključevi registra za nadzor voznog parka
Upotrijebite postojeće alate za upravljanje uređajima da biste pretraživali te vrijednosti registra u cijeloj floti.
| Put registra | Tipka | Svrha |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status | Trenutačni status implementacije |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error | Označava pogreške (ne smiju postojati) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Označava ID događaja (ne smije postojati) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Dostupna ažuriranja | Bitovi ažuriranja na čekanju |
Sve pojedinosti o ključu registra potražite u odjeljku Ažuriranja ključa registra za sigurno pokretanje.
4. mogućnost: praćenje zapisnika događaja
Upotrijebite postojeće alate za upravljanje uređajem za prikupljanje i nadzor ID-ova događaja iz zapisnika događaja sustava za cijelu svoju flotu.
| ID događaja | Lokacija | Značenje |
|---|---|---|
| 1808 | Sustav | Certifikati su uspješno primijenjeni |
| 1801 | Sustav | Ažuriranje statusa ili pojedinosti o pogrešci |
Potpuni popis pojedinosti o događajima potražite u članku Sigurnosno pokretanje DB i DBX događaji ažuriranja varijabli.
5. mogućnost: skripta inventara komponente PowerShell
Pokrenite Microsoftovu oglednu skriptu za prikupljanje podataka inventara sigurnog pokretanja sustava da biste provjerili status ažuriranja certifikata sigurnog pokretanja sustava. Skripta prikuplja nekoliko točaka podataka, uključujući stanje sigurnog pokretanja, status ažuriranja UEFI CA 2023, verziju opreme i aktivnost zapisnika događaja.
Implementacija
Važno
Bez obzira na to koju mogućnost implementacije odaberete, preporučujemo nadzor flote uređaja da biste potvrdili jesu li certifikati uspješno primijenjeni prije roka u lipnju 2026. Prilagođene slike potražite u odjeljku Razmatranja prilagođenih slika.
1. mogućnost: Automatska Ažuriranja putem servisa Windows Update (uređaji visoke pouzdanosti)
Microsoft automatski ažurira uređaje putem mjesečnih ažuriranja za Windows kada dostatna telemetrija potvrdi uspješnu implementaciju na sličnim hardverskim konfiguracijama.
- Status: omogućeno prema zadanim postavkama za uređaje visoke pouzdanosti
- Ako ne želite odustati, nije potrebna nikakva radnja
| Registar | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tipka | HighConfidenceOptOut = 1 za odustajanje |
| pravilnik grupe | Konfiguracija> računalaAdministrativni predlošci>Komponente >sustava WindowsSigurno pokretanje>Automatska implementacija certifikata putem Ažuriranja> Postavite na Onemogućeno za odjavu |
Napomena
Preporuka: Čak i ako su omogućena automatska ažuriranja, nadzirite računala u oblaku da biste provjerili primjenjuju li se certifikati. Ne mogu svi uređaji ispunjavati uvjete za automatsku implementaciju s visokom sigurnošću.
Dodatne informacije potražite u odjeljku Pomoć za automatiziranu implementaciju.
2. mogućnost: IT-Initiated implementacija
Ručno pokretanje ažuriranja certifikata radi trenutačnog ili kontroliranog uvođenja.
| način | Dokumentacija |
|---|---|
| Microsoft Intune | Microsoft Intune metoda |
| Pravilnik grupe | Metoda GPO-a |
| Registarski ključevi | Način korištenja ključa registra |
| WinCS CLI | API-ji za WinCS |
Napomena
- Nemojte kombinirati načine implementacije koje je pokrenuo IT (npr. Intune i GPO) na istom uređaju – one kontroliraju iste ključeve registra i mogu biti u sukobu.
- Pričekajte približno 48 sati i jedno ili više ponovnih pokretanja da bi se certifikati u potpunosti primijenili.
Razmatranja prilagođene slike
Prilagođenim slikama u potpunosti upravlja vaša tvrtka ili ustanova. Sami ste odgovorni za primjenu ažuriranja certifikata sigurnog pokretanja sustava na prilagođenu sliku i njezin ponovni prijenos prije korištenja za dodjelu resursa.
Primjena ažuriranja certifikata sigurnog pokretanja sustava na izvornu sliku podržana je samo sa slikama Azure Compute Gallery (pretpregled), koje podržavaju pouzdano pokretanje i sigurno pokretanje. Upravljane slike ne podržavaju sigurno pokretanje, pa nije moguće primijeniti ažuriranja certifikata na razini slike. Za PC-jeve u oblaku koji su dodijeljeni iz upravljanih slika primijenite ažuriranja izravno na PC-ju u oblaku pomoću jedne od prethodno navedenih metoda implementacije.
Prije generalizacije nove prilagođene slike provjerite jesu li certifikati ažurirani:
Napomena
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Poznati problemi
Servisni ključ registra ne postoji
| Simptom | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing put ne postoji |
|---|---|
| Uzrok | Ažuriranja certifikata nisu pokrenuta na uređaju |
| Rješenje | Pričekajte automatsku implementaciju putem servisa Windows Update ili ručno pokrenite upotrebu jedne od prethodno navedenih metoda implementacije koje je pokrenuo IT |
Status za produljeno razdoblje prikazuje "U tijeku"
| Simptom | UEFICA2023Status ostaje "U tijeku" nakon više dana |
|---|---|
| Uzrok | Uređaj će možda trebati ponovno pokrenuti uređaj kako bi se dovršio postupak ažuriranja |
| Rješenje | Ponovno pokrenite PC u oblaku i ponovno provjerite status nakon 15 minuta. Ako se problem nastavi pojavljivati, upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje sustava DB i događaji ažuriranja varijable DBX |
UEFICA2023Error postoji ključ registra
| Simptom | UEFICA2023Error je prisutan ključ registra |
|---|---|
| Uzrok | Došlo je do pogreške tijekom implementacije certifikata |
| Rješenje | Pojedinosti provjerite u zapisniku događaja u sustavu. Upute za otklanjanje poteškoća potražite u odjeljku Sigurnosno pokretanje DB i događaji ažuriranja varijable DBX |