Potvrda sigurnog pokretanja Ažuriranja za Azure virtualnu radnu površinu

Izvorni datum objave: 19. veljače 2026.

KB ID: 5080931

Ovaj članak sadrži smjernice za:

Azure administratora virtualne radne površine koji upravljaju ažuriranjima glavnog računala sesije

Tvrtke ili ustanove koje koriste virtualna računala s omogućenim sigurnim pokretanjem Azure implementacije virtualne radne površine

Tvrtke ili ustanove koje koriste prilagođene slike (zlatne slike) za Azure virtualne radne površine

U ovom članku:

Uvod

Inventar i monitor

Implementacije

Golden Image Considerations

Poznati problemi

Resursi

Uvod

Sigurno pokretanje značajka je sigurnosti UEFI opreme koja omogućuje pokretanje samo pouzdanog, digitalno potpisanog softvera tijekom slijeda pokretanja uređaja. Certifikati microsoftova sigurnog pokretanja izdani 2011. počinju istječe u lipnju 2026. Bez ažuriranih certifikata iz 2023. uređaji više neće primati nove zaštite ili ublažavanja zaštite upravitelja za sigurno pokretanje ni ublažavanja za novootkrivene slabe točke na razini pokretanja.

Sva virtualna računala s omogućenim sigurnim pokretanjem registrirana u servisu Azure Virtual Desktop i prilagođene slike koje se koriste za dodjelu resursa moraju se ažurirati na certifikate verzije 2023 prije isteka da bi ostali zaštićeni. Pogledajte članak Kada certifikati za sigurno pokretanje istječu na uređajima sa sustavom Windows

Odnosi li se to na okruženje Azure virtualne radne površine?

Scenarij	Aktivno sigurno pokretanje?	Potrebna je akcija
Domaćini sesija
Pouzdano pokretanje VM-a s omogućenim sigurnim pokretanjem	Da	Ažuriranje certifikata na glavnom računalu sesije
Pouzdano pokretanje VM-a s onemogućenim sigurnim pokretanjem	Ne	Nije potrebna nikakva akcija
Standard vrsta sigurnosti VM	Ne	Nije potrebna nikakva akcija
Virtualno računalo prve generacije	Nije podržano	Nije potrebna nikakva akcija
Zlatne slike
Azure galerija računala s omogućenim sigurnim pokretanjem	Da	Ažuriranje certifikata na izvornoj slici
Azure galerija računala bez pouzdanog pokretanja	Ne	Primjena ažuriranja u glavnom računalu sesije nakon implementacije
Upravljana slika (ne podržava pouzdano pokretanje)	Ne	Primjena ažuriranja u glavnom računalu sesije nakon implementacije

Potpune pozadinske informacije potražite u članku Ažuriranja certifikata za sigurno pokretanje: Smjernice za IT profesionalce i tvrtke ili ustanove.

Inventar i monitor

Prije nego što nešto poduzeti, inventar vaše okruženje za prepoznavanje uređaja koji zahtijevaju ažuriranja. Nadzor je ključan za potvrdu da se certifikati primjenjuju prije krajnjeg roka za lipanj 2026. – čak i ako se koristite metodama automatske implementacije. U nastavku su navedene mogućnosti za utvrđivanje je li potrebno poduzeti akciju.

1. mogućnost: Microsoft Intune popravke

Za glavna računala sesija uključena Microsoft Intune, možete implementirati skriptu otkrivanja pomoću programa Intune Remediations (Proactive Remediations) da biste automatski prikupili status certifikata sigurnog pokretanja u cijeloj floti. Skripta se tiho pokreće na svakom uređaju i izvješćuje o statusu sigurnog pokretanja, napretku ažuriranja certifikata i pojedinostima o uređaju na portalu za Intune – na uređajima se ne unose promjene. Rezultate je moguće pregledavati i izvoziti u CSV izravno iz centra Intune za administratore radi analize na razini cijele flote.

Detaljne upute o implementaciji skripte otkrivanja potražite u članku Praćenje statusa certifikata za sigurno pokretanje uz pomoć Microsoft Intune popravke.

2. mogućnost: Izvješće o statusu sigurnog pokretanja automatskog pokretanja sustava Windows

Za osobna glavna računala za trajnu sesiju registrirana u značajci Windows Autopatch idite na Intune admin center > Reports > Windows Autopatch > Ažuriranja kvalitete sustava Windows > Kartica Izvješća > Status sigurnog pokretanja. Pogledajte izvješće o statusu sigurnog pokretanja u automatskom uparu sustava Windows.

Napomena: Windows Autopatch podržava samo osobna trajna virtualna računala za Azure virtualnu radnu površinu. Hostovi za više sesija, neusmjesna virtualna računala i daljinsko strujanje aplikacija nisu podržani. Pročitajte članak Automatsko učitavanje sustava Windows Azure radnim opterećenjima virtualne radne površine.

3. mogućnost: ključevi registra za nadzor flote

Upotrijebite postojeće alate za upravljanje uređajima za slanje upita tim vrijednostima registra u cijeloj floti.

Put registra	Ključ	Svrhu
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Trenutni status implementacije
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Pogreška	Označava pogreške (ne bi trebale postojati)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Označava ID događaja (ne bi trebalo postojati)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot	Dostupniažuriranja	Bitovi ažuriranja na čekanju

Potpune pojedinosti ključa registra potražite u članku Ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT.

4. mogućnost: nadzor zapisnika događaja

Pomoću postojećih alata za upravljanje uređajima prikupite i pratite ove ID-ove događaja iz zapisnika događaja sustava u cijeloj floti.

ID događaja	Lokacija	Značenje
1808	Sustav	Certifikati su uspješno primijenjeni
1801	Sustav	Ažuriranje statusa ili pojedinosti o pogrešci

Potpuni popis pojedinosti o događaju potražite u članku Događaji ažuriranja secure boot DB i DBX varijabli.

5. mogućnost: skripta inventara komponente PowerShell

Pokrenite skriptu prikupljanja podataka o oglednom inventaru sigurnog pokretanja tvrtke Microsoft da biste provjerili status ažuriranja certifikata sigurnog pokretanja. Skripta prikuplja nekoliko točaka podataka, uključujući stanje sigurnog pokretanja, status ažuriranja UEFI CA 2023, verziju opreme i aktivnost zapisnika događaja.

Implementacije

Važno: Bez obzira na to koju mogućnost implementacije odaberete, preporučujemo praćenje flote uređaja da biste potvrdili da su certifikati uspješno primijenjeni prije krajnjeg roka za lipanj 2026. Prilagođene slike potražite u članku Razmatranja zlatne slike.

1. mogućnost: automatsko Ažuriranja s Windows Update (uređaji visoke pouzdanosti)

Microsoft automatski ažurira uređaje putem mjesečnih ažuriranja sustava Windows kada dovoljna telemetrija potvrdi uspješnu implementaciju na sličnim hardverskim konfiguracijama.

Status: Omogućeno prema zadanim postavkama za uređaje visoke pouzdanosti

Nije potrebna nikakva akcija osim ako želite odustati

Registry	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Ključ	HighConfidenceOptOut = 1 za odustajanje
Pravilnik grupe	Konfiguracija računala > Administrativni predlošci > komponente sustava Windows > Implementacija sigurnog pokretanja > automatskog pokretanja certifikata putem servisa Ažuriranja > Postavljeno na Onemogućeno da biste odustali.

Preporuka: Čak i ako su omogućena automatska ažuriranja, pratite glavna računala sesije da biste provjerili primjenjuju li se certifikati. Ne ispunjavaju svi uređaji uvjete za automatsku implementaciju visoke pouzdanosti.

Dodatne informacije potražite u članku Pomoć za automatiziranu implementaciju.

2. mogućnost: IT-Initiated implementacije

Ručno pokrenite ažuriranja certifikata za trenutačno ili kontrolirano pokretanje.

Metoda	Dokumentacija
Microsoft Intune	Microsoft Intune metoda
Pravilnik grupe	pravilnik grupe objekta (GPO)
Ključevi registra	Metoda ključa registra
WinCS CLI	API-ji za WinCS

Napomene:

Nemojte miješati metode implementacije koje pokreće IT (npr. Intune i GPO) na istom uređaju – oni kontroliraju iste ključeve registra i mogu biti u sukobu.
Omogućite otprilike 48 sati i jedno ili više ponovnih pokretanja da bi se certifikati u potpunosti primijenili.

Golden Image Considerations

Za Azure okruženja virtualne radne površine koja koriste slike Azure Galerija računala s omogućenim sigurnim pokretanjem primijenite ažuriranje certifikata sigurnog pokretanja 2023 na zlatnu sliku prije nego što je otvorite. Da biste primijenili ažuriranje, upotrijebite jedan od prethodno opisanih načina, a zatim provjerite ažuriraju li se certifikati prije generalizacije:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Slike bez omogućenog pouzdanog pokretanja ne mogu primati ažuriranja certifikata za sigurno pokretanje putem slike. To obuhvaća upravljane slike koje ne podržavaju pouzdano pokretanje i slike Azure galerije računala na kojima nije omogućeno pouzdano pokretanje. Za uređaje koji su dodijeljeni tim slikama primijenite ažuriranja u OS-u gosta na jedan od gore navedenih načina.

Poznati problemi

Ključ registra servisa ne postoji

Simptom	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path ne postoji
Uzrok	Ažuriranja certifikata nisu pokrenuta na uređaju
Rješenje	Pričekajte automatsku implementaciju putem Windows Update ili ručno pokrenite na jedan od gore navedenih načina implementacije koje je pokrenuo IT

Status prikazuje "InProgress" za prošireno razdoblje

Simptom	UEFICA2023Status ostaje "InProgress" nakon više dana
Uzrok	Uređaj će možda trebati ponovno pokretanje da bi se dovršio postupak ažuriranja
Rješenje	Ponovno pokrenite glavno računalo sesije i ponovno provjerite status nakon 15 minuta. Ako se problem nastavi pojavljivati, upute za otklanjanje poteškoća potražite u člancima Događaji ažuriranja secure boot DB i DBX varijabli

Ključ registra UEFICA2023Error postoji

Simptom	Postoji ključ registra UEFICA2023Error
Uzrok	Došlo je do pogreške tijekom implementacije certifikata
Rješenje	Pojedinosti potražite u zapisniku događaja sustava. Upute za otklanjanje poteškoća potražite u člancima Secure Boot DB i DBX variable update events

Resursi

Secure Boot Certificate Update Playbook

Certifikat za sigurno pokretanje Ažuriranja: Smjernice za IT profesionalce