Primjenjuje se na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Izvorni datum objave: 26. lipnja 2025.

ID baze znanja: 5062713

Ovaj članak sadrži smjernice za:

Tvrtke ili ustanove (velike, male tvrtke i obrazovne ustanove) s uređajima sa sustavom Windows i ažuriranjima kojima upravlja IT odjel.

Napomena: ako ste fizička osoba koja posjeduje osobni uređaj sa sustavom Windows, pročitajte članak Uređaji sa sustavom Windows za kućne korisnike, tvrtke i obrazovne ustanove s ažuriranjima, kojima upravlja Microsoft.

Promjena datuma

Opis izmjene

Neka 5, 2026

30 ožujka, 2026

  • Riješen je poznati problem "Ažuriranja certifikata sigurnog pokretanja sustava možda neće uspjeti uz događaj s ID-jem 1795 na virtualnim računalima Hyper-V"

Ožujak 24, 2026

  • Ažuriran je poznati problem "Ažuriranja certifikata sigurnog pokretanja sustava možda neće uspjeti uz ID događaja 1795 na virtualnim računalima Hyper-V"

Ožujak 16, 2026

  • Uklonjen je odjeljak "Uzorak podataka o pouzdanosti" u odjeljku "Sample Secure Boot Inventory Data Collection script" (Primjer skripte za prikupljanje podataka inventara sigurnog pokretanja) jer je zastario.

Ožujak 3, 2026

  • Ponovno je oblikovan uzorak izlaza u odjeljku "Priprema" tako da ostaje unutar okvira.

Veljače 24, 2026

  • Ažuriran je sadržaj za "Sample Secure Boot Inventory Data Collection script" u odjeljku "Priprema". 

  • Dodan je novi odjeljak "Uzorak izlaza" u odjeljku "Priprema".

Veljače 23, 2026

  • Ažuriran je sadržaj za "Sample Secure Boot Inventory Data Collection script" u odjeljku "Priprema".

Veljače 13, 2026

  • Dodane su stavke "Uzorak podataka o pouzdanosti" u odjeljak "Priprema". 

  • Uklonjena je "skripta zbirke za događaje na čekanju 1801 i 1808" iz odjeljka "Priprema" jer više nije potrebna. 

Veljače 3, 2026

  • Premjestili smo i preoblikovali uobičajene probleme u odjeljku Otklanjanje poteškoća.

  • Dodan je novi uobičajeni problem: "Ažuriranja certifikata sigurnog pokretanja možda neće uspjeti uz događaj s ID-jem 1795 na virtualnim računalima Hyper-V".

Siječanj 26, 2026

  • Tekst u odjeljku "Pomoć za automatsku implementaciju" je ažuriran s "Obje pomoći zahtijevaju dijagnostičke podatke" u "Samo je za pomoć pri kontroliranom uvođenju značajki potrebni dijagnostički podaci.

Studenog 11, 2025

Ispravljene su dvije pogreške u pisanju u odjeljku "Podrška za implementaciju certifikata za sigurno pokretanje".

  • 0x0800 - Naziv certifikata promijenjen je iz "Microsoft UEFI CA 2023" u "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 – Promijenjeno je "Microsoft Option ROM CA 2023" u "Microsoft UEFI CA 2023".

10 studenog, 2025

  • Ispravljene su dvije pogreške pri upisu u odjeljku "Novi certifikat": iz "Microsoft Corporation KEK CA 2023" u "Microsoft Corporation KEK 2K CA 2023" i iz "Microsoft Option ROM CA 2023" u "Microsoft Option ROM UEFI CA 2023".

  • Nove skripte komponente PowerShell dodane su pod zaglavlja "Provjera statusa sigurnog pokretanja u vašoj floti: je li omogućeno sigurno pokretanje sustava?" i "Priprema".

Sadržaj članka:

Pregled

Ovaj je članak namijenjen tvrtkama i ustanovama s posvećenim IT stručnjacima koji aktivno upravljaju ažuriranjima u cijeloj floti uređaja. Veći dio članka bit će posvećen aktivnostima potrebnim da bi IT odjel tvrtke ili ustanove bio uspješan u implementaciji novih certifikata za sigurno pokretanje. Te aktivnosti obuhvaćaju testiranje firmvera, nadzor ažuriranja uređaja, pokretanje implementacije i dijagnosticiranje problema čim se pojave. Prikazani su različiti načini implementacije i nadzora. Osim ovih temeljnih aktivnosti, nudimo nekoliko pomoćnih programa za implementaciju, uključujući mogućnost uključivanja klijentskih uređaja za sudjelovanje u kontroliranom uvođenju značajki (CFR) posebno za implementaciju certifikata.

Proceduralni priručnik za implementaciju za IT profesionalce 

Planirajte i izvodite ažuriranja certifikata sigurnog pokretanja sustava u cijeloj floti uređaja putem pripreme, praćenja, implementacije i popravka.

Provjera statusa sigurnog pokretanja u cijeloj vašoj floti: Je li sigurno pokretanje omogućeno? 

Većina uređaja proizvedenih od 2012. ima podršku za sigurno pokretanje i isporučuju se s omogućenim sigurnim pokretanjem. Da biste provjerili je li na uređaju omogućeno sigurno pokretanje, učinite nešto od sljedećeg: 

  • GUI metoda: Idite na Start > Postavke > zaštite privatnosti & sigurnosti >Sigurnost u sustavu Windows> sigurnosti uređaja. U odjeljku sigurnost uređaja u odjeljku Sigurno pokretanje trebalo bi biti naznačeno da je sigurno pokretanje uključeno.

  • Metoda naredbenog retka: U povišenom naredbenom retku u PowerShellu upišite Confirm-SecureBootUEFI, a zatim pritisnite Enter. Naredba bi trebala vratiti True, što znači da je sigurno pokretanje uključeno.

U implementacijama velikih razmjera za skupinu uređaja, softver za upravljanje koji upotrebljavaju IT profesionalci morat će osigurati provjeru omogućivanja sigurnog pokretanja. 

Na primjer, način provjere stanja sigurnog pokretanja na uređajima kojima upravlja Microsoft Intune jest stvaranje i implementacija prilagođene skripte usklađenosti za Intune. Postavke usklađenosti servisa Intune obuhvaćene su u odjeljku Korištenje prilagođenih postavki usklađenosti za Linux i Windows uređaje uz Microsoft Intune.  

Primjer skripte komponente Powershell za provjeru je li omogućeno sigurno pokretanje:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Ako sigurno pokretanje nije omogućeno, možete preskočiti korake ažuriranja u nastavku jer nisu primjenjivi.

Kako se implementiraju ažuriranja

Postoji više načina na koje možete ciljati uređaje za ažuriranja certifikata za sigurno pokretanje. Pojedinosti o implementaciji, uključujući postavke i događaje, bit će obrađene u nastavku ovog dokumenta. Kada ciljate ažuriranja na uređaju, na uređaju se postavlja postavka koja upućuje na to da uređaj treba započeti s postupkom primjene novih certifikata. Zakazani zadatak pokreće se na uređaju svakih 12 sati i otkriva da je uređaj ciljan za ažuriranja. Slijedi pregled onoga što zadatak obavlja:

  1. Windows UEFI CA 2023 primjenjuje se na bazu podataka.

  2. Ako uređaj u bazi podataka ima Microsoft Corporation UEFI CA 2011, tada zadatak na bazu podataka primjenjuje Microsoftovu mogućnost ROM UEFI CA 2023 i Microsoft UEFI CA 2023.

  3. Zadatak zatim dodaje Microsoft Corporation KEK 2K CA 2023.

  4. Konačno, zakazani zadatak ažurira upravitelj pokretanja sustava Windows na onaj koji je potpisala Windows UEFI CA 2023. Windows će otkriti da je potrebno ponovno pokretanje prije nego što se može primijeniti upravitelj pokretanja. Ažuriranje upravitelja pokretanja odgodit će se dok se ponovno pokretanje ne dogodi prirodno (primjerice kada se primjenjuju mjesečna ažuriranja), a zatim će Windows ponovno pokušati primijeniti ažuriranje upravitelja pokretanja.

Svaki od gore navedenih koraka mora se uspješno dovršiti prije nego što se zakazani zadatak pomakne na sljedeći korak. Tijekom tog postupka bit će dostupni zapisnici događaja i drugi statusi koji pomažu u praćenju implementacije. Dodatne pojedinosti o praćenju i zapisnicima događaja navedene su u nastavku.  

Ažuriranje certifikata za sigurno pokretanje omogućuje buduće ažuriranje upravitelja pokretanja za 2023., koji je sigurniji. Posebna ažuriranja za Boot Manager bit će u budućim izdanjima.

Koraci implementacije 

  • Priprema: Inventar i ispitni uređaji.

  • Razmatranja opreme

  • Praćenje: Provjerite radove na nadzoru i postavite svoj vozni park.

  • Implementacija: ciljajte uređaje za ažuriranja, počevši od malih podskupova i proširivajući se na temelju uspješnih testova.

  • Popravak: istražite i riješite sve probleme pomoću zapisnika i podrške dobavljača.

Priprema 

Inventar, hardver i oprema. Izradite reprezentativni uzorak uređaja na temelju proizvođača sustava, modela sustava, verzije/datuma BIOS-a, verzije osnovnog proizvoda itd. i testirajte ažuriranja na tim uređajima prije opsežne implementacije.  Ti su parametri najčešće dostupni u informacijama o sustavu (MSINFO32). Pomoću priloženih oglednih naredbi komponente PowerShell provjerite status ažuriranja sigurnog pokretanja sustava i provjerite uređaje u cijeloj tvrtki ili ustanovi.

Napomene: 

  • Te se naredbe primjenjuju ako je omogućeno stanje sigurnog pokretanja.

  • Da bi funkcionirale, za mnoge od tih naredbi potrebne su administratorske ovlasti.

Ogledna skripta za prikupljanje podataka inventara sigurnog pokretanja sustava

Kopirajte i zalijepite ovu oglednu skriptu i izmijenite je prema potrebi za svoje okruženje: Ogledna skripta za prikupljanje podataka inventara sigurnog pokretanja sustava.

Ogledni izlaz:

{"UEFICA2023Status":"Ažurirano","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Razine pouzdanosti sigurnog pokretanja sustava

Razina pouzdanosti

Značenje

Potrebna je radnja

Visoka pouzdanost

Microsoft je provjerio je li ova klasa uređaja sigurna za ažuriranja

Sigurno za implementaciju ažuriranja certifikata

Promatranje – potrebno je više podataka

Microsoft još uvijek prikuplja dijagnostičke podatke sigurnog pokretanja sustava o tim uređajima

Pričekajte Microsoftovu klasifikaciju

Podaci se ne opažaju – potrebna je radnja

Klasa uređaja nije poznata Microsoftu

Tvrtka mora testirati i isplanirati uvođenje

Privremeno pauzirano

Poznati problemi s kompatibilnošću

Provjerite ima li OEM ažuriranja BIOS-a; Pričekajte da Microsoft riješi problem

Nije podržano – poznato ograničenje

Ograničenja platforme ili hardvera

Document as exception

Ako je sigurno pokretanje omogućeno, prvi je korak provjeriti postoje li događaji na čekanju koji su nedavno ažurirani ili su u postupku ažuriranja certifikata za sigurno pokretanje. Od posebnog interesa su najnoviji događaji iz 1801. i 1808. godine. Ti su događaji detaljno opisani u događajima ažuriranja varijable Sigurnog pokretanja sustava DB i DBX. Provjerite i odjeljak Praćenje i uvođenje da biste saznali kako događaji mogu prikazati stanje ažuriranja na čekanju.  

Sljedeći je korak inventar uređaja za cijelu tvrtku ili ustanovu. Da biste sastavili reprezentativni uzorak, pomoću naredbi komponente PowerShell prikupite sljedeće pojedinosti: 

Osnovni identifikatori (2 vrijednosti)

      1. HostName – $env: COMPUTERNAME 

      2. CollectionTime – Get-Date 

Registar: Glavni ključ sigurnog pokretanja sustava (3 vrijednosti) 

     3. SecureBootEnabled – Confirm-SecureBootUEFI cmdlet ili HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registar: Servisni ključ (3 vrijednosti) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Pogreška – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registar: Atributi uređaja (7 vrijednosti) 

      9. OEMManufacturerName – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Zapisnici događaja: Zapisnik sustava (5 vrijednosti) 

     16. LatestEventId – najnoviji događaj sigurnog pokretanja sustava. 

     17. BucketID – izdvojeno iz događaja 1801/1808 

     18. Povjerenje - izdvojeno iz Događaja 1801/1808 

     19. Event1801Count – broj događaja 

     20. Event1808Count – broj događaja 

WMI/CIM upiti (4 vrijednosti) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime – Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct – Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Proizvođač  

     26. (Get-CIMInstance Win32_ComputerSystem). Model  

    27. (Get-CIMInstance Win32_BIOS). Opis + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Proizvod  

Razmatranja opreme

Implementacija novih certifikata za sigurno pokretanje na vašu flotu uređaja zahtijeva da oprema uređaja igra ulogu u dovršetku ažuriranja. Premda Microsoft očekuje da će većina programske opreme uređaja funkcionirati prema očekivanjima, prije implementacije novih certifikata potrebno je pažljivo testiranje.

Pregledajte hardverski inventar i sastavite mali, reprezentativni uzorak uređaja na temelju sljedećih jedinstvenih kriterija, kao što su: 

  • Proizvođač

  • Broj modela

  • Verzija opreme

  • OEM verzija matične ploče itd.

Prije šire implementacije na uređaje u vašoj floti preporučujemo testiranje ažuriranja certifikata na reprezentativnim oglednim uređajima (kao što je definirano čimbenicima kao što su proizvođač, model, verzija opreme) da biste bili sigurni da će se ažuriranja uspješno obrađivati. Preporučena smjernica o broju uzoraka uređaja za testiranje za svaku jedinstvenu kategoriju je 4 ili više.

To će pomoći u izgradnji povjerenja u proces implementacije i pomoći u izbjegavanju neočekivanih utjecaja na vaš širi vozni park. 

U nekim slučajevima za uspješno ažuriranje certifikata za sigurno pokretanje može biti potrebno ažuriranje programske opreme. U tim slučajevima preporučujemo da provjerite kod OEM-a uređaja je li dostupna ažurirana oprema.

Windows u virtualiziranim okruženjima

Za Windows koji se izvodi u virtualnom okruženju postoje dva načina dodavanja novih certifikata u varijable opreme sigurnog pokretanja sustava:  

  • Kreator virtualnog okruženja (AWS, Azure, Hyper-V, VMware, itd.) može osigurati ažuriranje za okruženje i uključiti nove certifikate u virtualizirani firmware. To bi funkcioniralo za nove virtualizirane uređaje.

  • Za Windows koji se dugoročno izvodi u VM-u, ažuriranja se mogu primijeniti putem sustava Windows kao bilo koji drugi uređaj, ako virtualizirana oprema podržava ažuriranja sigurnog pokretanja.

Nadzor i uvođenje 

Preporučujemo da započnete s nadzorom uređaja prije implementacije da biste bili sigurni da nadzor funkcionira ispravno i da biste unaprijed imali dobar predosjećaj o stanju voznog parka. Mogućnosti praćenja opisane su u nastavku. 

Microsoft nudi više metoda za implementaciju i nadzor ažuriranja certifikata za sigurno pokretanje.

Pomoć za automatiziranu implementaciju 

Microsoft nudi dvije pomoći za implementaciju. Ove se pomoći mogu pokazati korisnima u implementaciji novih certifikata u vaš vozni park. Samo je za pomoć pri uvođenju kontroliranih značajki potrebni dijagnostički podaci.

  • Mogućnost za kumulativna ažuriranja s grupama pouzdanosti: Microsoft može automatski uključiti grupe uređaja visoke pouzdanosti u mjesečna ažuriranja na temelju dijagnostičkih podataka koji su podijeljeni do danas, kako bi pogodovala sustavima i tvrtkama ili ustanovama koje ne mogu dijeliti dijagnostičke podatke. Za ovaj korak nije potrebno omogućiti dijagnostičke podatke.

    • Tvrtkama ili ustanovama i sustavima koji mogu dijeliti dijagnostičke podatke to Microsoftu daje uvid i sigurnost da uređaji mogu uspješno implementirati certifikate. Dodatne informacije o omogućivanju dijagnostičkih podataka dostupne su u odjeljku: Konfiguriranje dijagnostičkih podataka o sustavu Windows u tvrtki ili ustanovi. Stvaramo "grupe" za svaki jedinstveni uređaj (definirane atributima koji uključuju proizvođača, verziju matične ploče, proizvođača firmvera, verziju firmvera i dodatne podatkovne točke). Za svaku grupu pratimo dokaze o uspjehu na više uređaja. Kada prikupimo dovoljno uspješnih ažuriranja i bez kvarova, grupu ćemo smatrati "visokopouzdanom" i te ćemo podatke uključiti u mjesečna kumulativna ažuriranja. Kada se mjesečna ažuriranja primjenjuju na uređaj u grupi visoke pouzdanosti, Windows će automatski primijeniti certifikate na varijable UEFI sigurnog pokretanja sustava u firmveru.

    • Grupe visoke pouzdanosti obuhvaćaju uređaje koji ispravno obrađuju ažuriranja. Naravno, neće svi uređaji pružati dijagnostičke podatke, što može ograničiti Microsoftovo povjerenje u sposobnost uređaja da ispravno obradi ažuriranja.

    • Ta je pomoć prema zadanim postavkama omogućena za uređaje visoke pouzdanosti i može se onemogućiti postavkom specifičnom za uređaj. Dodatne informacije bit će objavljene u budućim izdanjima sustava Windows.

  • Kontrolirano uvođenje značajki (CFR):  Uključite uređaje za implementaciju kojom upravlja Microsoft ako su omogućeni dijagnostički podaci.

    • Controlled Feature Rollout (CFR) može se koristiti s klijentskim uređajima u organizacijskim flotama. To zahtijeva da uređaji šalju obavezne dijagnostičke podatke Microsoftu i da su signalizirali da uređaj prihvaća dopuštanje CFR-a na uređaju. Pojedinosti o tome kako je možete uključiti navedene su u nastavku.

    • Microsoft će upravljati postupkom ažuriranja za te nove certifikate na uređajima sa sustavom Windows na kojima su dostupni dijagnostički podaci i na uređajima koji sudjeluju u kontroliranom uvođenju značajki (CFR). Iako CFR može pomoći u implementaciji novih certifikata, organizacije se neće moći osloniti na CFR za sanaciju svojih voznih parkova – to će zahtijevati slijeđenje koraka opisanih u ovom dokumentu u odjeljku o metodama implementacije koje nisu obuhvaćene automatiziranim asistencijama.

    • Ograničenja: Postoji nekoliko razloga zbog kojih CFR možda neće raditi u vašem okruženju. Na primjer:

      • Nema dostupnih dijagnostičkih podataka ili dijagnostički podaci nisu upotrebljivi kao dio implementacije CFR-a.

      • Uređaji nisu na podržanim klijentskim verzijama sustava Windows 11 i Windows 10 s proširenim sigurnosnim ažuriranjima (ESU).

Načini implementacije koji nisu obuhvaćeni automatiziranim pomoćima

Odaberite način koji odgovara vašem okruženju. Izbjegavajte metode miješanja na istom uređaju: 

  • Ključevi registra: kontrolirajte implementaciju i pratite rezultate.Dostupno je više ključeva registra za kontrolu ponašanja implementacije certifikata i praćenje rezultata. Osim toga, postoje dva ključa za uključivanje i isključivanje navedenih pomagala za implementaciju. Dodatne informacije o ključevima registra potražite u članku Ažuriranja ključa registra za sigurno pokretanje – uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT.

  • Objekti pravilnik grupe (GPO): upravljanje postavkama; nadzor putem registra i zapisnika događaja.Microsoft će pružati podršku za upravljanje ažuriranjima sigurnog pokretanja pomoću pravilnik grupe u budućem ažuriranju. Imajte na umu da se, budući da se pravilnik grupe odnosi na postavke, morati nadzirati status uređaja alternativnim metodama, uključujući nadzor ključeva registra i unosa u zapisnik događaja.

  • WinCS (Windows Configuration System) CLI: koristite alate naredbenog retka za klijente pridružene domeni.Administratori domena alternativno mogu koristiti konfiguracijski sustav Windows (WinCS) koji je dio ažuriranja za operacijski sustav Windows za implementaciju ažuriranja sigurnog pokretanja na svim klijentima i poslužiteljima sustava Windows pridruženih domeni. Sastoji se od niza uslužnih programa naredbenog retka (tradicionalne izvršne datoteke i modula PowerShell) za postavljanje upita i primjenu konfiguracija sigurnog pokretanja sustava lokalno na računalo. Dodatne informacije potražite u sljedećim člancima:

  • Microsoft Intune/Configuration Manager: Implementirajte skripte komponente PowerShell. Davatelj usluga konfiguracije (CSP) bit će dostupan u budućem ažuriranju da bi se omogućila implementacija pomoću servisa Intune.

Praćenje zapisnika događaja

Pružaju se dva nova događaja kao pomoć u implementaciji ažuriranja certifikata za sigurno pokretanje. Ti su događaji detaljno opisani u događajima ažuriranja varijable Secure Boot DB i DBX

  • ID događaja: 1801 Ovaj je događaj događaj pogreške koji označava da ažurirani certifikati nisu primijenjeni na uređaj. Ovaj događaj daje neke pojedinosti specifične za uređaj, uključujući atribute uređaja, koje će pomoći u povezivanju uređaja kojima je još potrebno ažuriranje.

  • ID događaja: 1808 Ovaj je događaj informativni događaj koji označava da su na uređaju na programsku opremu uređaja primijenjeni obavezni novi certifikati za sigurno pokretanje.

Strategije implementacije 

Da biste minimizirali rizik, implementirajte ažuriranja sigurnog pokretanja u fazama, a ne odjednom. Započnite s malim podskupom uređaja, provjerite valjanost rezultata, a zatim proširite na dodatne grupe. Predlažemo da počnete s podskupovima uređaja, a kada steknete povjerenje u te implementacije, dodate dodatne podskupove uređaja. Za određivanje što ulazi u podskup može se koristiti više čimbenika, uključujući rezultate testiranja na uzorcima uređaja, organizacijskoj strukturi itd. 

Odluka o tome koje ćete uređaje implementirati je na vama. Ovdje su navedene neke moguće strategije. 

  • Velika flota uređaja: za početak se oslonite na prethodno opisane asistencije za najčešće uređaje kojima upravljate. Istodobno se usredotočite na rjeđe uređaje kojima upravlja vaša tvrtka ili ustanova. Testirajte male uzorke uređaja i, ako je testiranje uspješno, implementirajte na ostale uređaje iste vrste. Ako testiranje proizvede probleme, istražite uzrok problema i odredite korake za njegovo rješavanje. Možete i razmotriti klase uređaja koje imaju veću vrijednost u vašoj floti i početi s testiranjem i implementacijom kako biste rano bili sigurni da ti uređaji imaju ažuriranu zaštitu.

  • Mala flota, velika raznolikost: Ako vozni park kojim upravljate sadrži velik broj različitih strojeva na kojima bi testiranje pojedinačnih uređaja bilo pretjerano, razmislite o značajnom oslanjanju na dvije gore opisane pomoći posebno za uređaje koji će vjerojatno biti uobičajeni uređaji na tržištu. Prvo se usredotočite na uređaje koji su ključni za svakodnevni rad, zatim ih testirajte, a zatim implementirajte. Nastavite se pomicati prema dolje po popisu uređaja visokog prioriteta, testirajte i implementirajte dok pratite flotu kako biste potvrdili da pomagači pomažu s preostalim uređajima.

Napomene 

  • Obratite pozornost na starije uređaje, osobito na uređaje koje proizvođač više ne podržava. Iako bi firmver trebao ispravno izvoditi radnje ažuriranja, neki možda neće. U slučajevima kada oprema ne funkcionira ispravno i uređaj više nije podržan, razmislite o zamjeni uređaja da biste osigurali zaštitu sigurnog pokretanja sustava za cijelu flotu.

  • Novi uređaji proizvedeni u proteklih 1-2 godina možda već imaju ažurirane certifikate, ali možda nemaju Windows UEFI CA 2023 signed boot manager applied to the system. Primjena tog upravitelja pokretanja ključan je posljednji korak u implementaciji za svaki uređaj.

  • Kada odaberete uređaj za ažuriranja, može proći neko vrijeme prije nego se ažuriranje dovrši. Procijenite 48 sati i jedno ili više ponovnih pokretanja za primjenu certifikata.

Najčešća pitanja

Najčešća pitanja potražite u članku Najčešća pitanja o sigurnom pokretanju .

Otklanjanje poteškoća

Dodatne pojedinosti potražite u dokumentu Otklanjanje poteškoća .

Dodatni resursi

Savjet: Ove dodatne resurse označite knjižnom oznakom.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost