Megjegyzés
- Eredeti közzétételi dátum: Február 19, 2026
- Tudásbáziscikk azonosítója: 5080931
Megjegyzés
Ez a cikk a következőkre nyújt útmutatást:
A munkamenetgazdák frissítéseit kezelő Azure Virtual Desktop-rendszergazdák
Az Azure Virtual Desktop-üzemelő példányokhoz biztonságos rendszerindítással rendelkező virtuális gépeket használó szervezetek
Az Azure Virtual Desktop-telepítésekhez egyéni rendszerképeket (arany képeket) használó szervezetek
A cikk tartalma:
Bevezetés
A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági szolgáltatás, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni. A frissített 2023-as tanúsítványok nélkül az eszközök többé nem kapnak új biztonságos rendszerindítási és rendszerindításkezelői védelmet, illetve az újonnan felfedezett rendszerindítási szintű biztonsági rések enyhítését.
Az Azure Virtual Desktop szolgáltatásban regisztrált összes biztonságos rendszerindítást támogató virtuális gépet és a kiépítésükhöz használt egyéni rendszerképeket a lejárat előtt frissíteni kell a 2023-as tanúsítványokra, hogy védett maradjon. Annak megtekintése, hogy a biztonságos rendszerindítási tanúsítványok mikor járnak le a Windows-eszközökön
Ez vonatkozik az Azure Virtual Desktop-környezetemre?
| Forgatókönyv | Aktív a biztonságos rendszerindítás? | Beavatkozás szükséges |
|---|---|---|
| Munkamenetgazdák | ||
| Megbízható indítású virtuális gép engedélyezett biztonságos rendszerindítással | Igen | Tanúsítványok frissítése a munkamenetgazdán |
| Megbízható indítású virtuális gép letiltott biztonságos rendszerindítással | Nem | Nincs teendője |
| Standard biztonsági típusú virtuális gép | Nem | Nincs teendője |
| 1. generációs VM | Nem támogatott | Nincs teendője |
| Golden Images | ||
| Azure Compute Gallery-lemezkép engedélyezett biztonságos rendszerindítással | Igen | Tanúsítványok frissítése a forrásképen |
| Azure Compute Gallery rendszerképe megbízható indítás nélkül | Nem | Frissítések alkalmazása a munkamenetgazdában a telepítés után |
| Felügyelt rendszerkép (nem támogatja a megbízható indítást) | Nem | Frissítések alkalmazása a munkamenetgazdában a telepítés után |
A teljes háttérinformációkért lásd : Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakemberek és szervezetek számára.
Leltár és figyelés
Mielőtt lépéseket tesz, készítsen leltárt a környezetéről, hogy azonosíthassa a frissítést igénylő eszközöket. A figyelés elengedhetetlen annak ellenőrzéséhez, hogy a tanúsítványokat a 2026. júniusi határidő előtt alkalmazzák – még akkor is, ha automatikus üzembe helyezési módszereket használ. Az alábbi lehetőségek segítségével eldöntheti, hogy kell-e tenni valamilyen műveletet.
1. lehetőség: Microsoft Intune-szervizelés
A Microsoft Intune-ban regisztrált munkamenetgazdák számára üzembe helyezhet egy észlelési szkriptet az Intune Remediations (Proactive Remediations) használatával, hogy automatikusan összegyűjtse a biztonságos rendszerindítási tanúsítvány állapotát a teljes flottában. A szkript csendben fut az összes eszközön, és jelenti a biztonságos rendszerindítás állapotát, a tanúsítványfrissítési folyamatot és az eszköz részleteit az Intune portálnak – az eszközökön nem történik módosítás. Az eredmények megtekinthetők és CSV-fájlba exportálhatók közvetlenül az Intune felügyeleti központból a teljes flottaszintű elemzéshez.
Az észlelési szkript üzembe helyezésének részletes utasításaiért lásd: Biztonságos rendszerindítási tanúsítvány állapotának figyelése a Microsoft Intune szervizeléssel.
2. lehetőség: A Windows Autopatch biztonságos rendszerindítási állapotjelentése
A Windows Autopatch szolgáltatással regisztrált személyes állandó munkamenetgazdák esetében nyissa meg az Intune Felügyeleti központot>Jelentések>Windows automatikus javítás>Windows minőségi frissítések>Jelentések lap>Biztonságos rendszerindítás állapota. Tekintse meg a Biztonságos rendszerindítás állapotjelentését a Windows Autopatch-ben.
Megjegyzés
A Windows Autopatch csak a személyes állandó virtuális gépeket támogatja az Azure Virtual Desktophoz. A több munkamenetes gazdagépek, a készletezett, nem állandó virtuális gépek és a távoli alkalmazásstreamelés nem támogatott. Lásd: Windows Autopatch az Azure Virtual Desktop számítási feladatokon.
3. lehetőség: Beállításkulcsok a flottafigyeléshez
A meglévő eszközkezelő eszközökkel lekérdezheti ezeket a beállításazonosítókat a teljes flottában.
| Beállításjegyzékbeli elérési út | Billentyű | Rendeltetés |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Állapot | Központi telepítés jelenlegi állapota |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Hiba | Hibákat jelez (nem szabad létezniük) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Eseményazonosítót jelez (nem szabad létezni) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Elérhető frissítések | Függőben lévő frissítések bitjei |
A beállításkulcsok részletes adatait lásd: Beállításkulcs-frissítések a biztonságos rendszerindításhoz: informatikai felügyeletű frissítésekkel rendelkező Windows-eszközök.
4. lehetőség: Eseménynapló figyelése
A meglévő eszközkezelési eszközökkel összegyűjtheti és figyelheti ezeket az eseményazonosítókat a rendszer eseménynaplójából a teljes flottában.
| Eseményazonosító | Hely: | Jelentés |
|---|---|---|
| 1808 | Rendszer | Sikeresen alkalmazott tanúsítványok |
| 1801 | Rendszer | Állapot vagy hiba részleteinek frissítése |
Az események részleteinek teljes listáját lásd: Secure Boot DB és DBX változófrissítési események.
5. lehetőség: PowerShell leltárszkript
Futtassa a Microsoft biztonságos rendszerindítási leltár adatgyűjtési parancsfájlját a biztonságos rendszerindítási tanúsítvány frissítési állapotának ellenőrzéséhez. A szkript számos adatpontot gyűjt, beleértve a biztonságos rendszerindítási állapotot, az UEFI CA 2023 frissítés állapotát, a belső vezérlőprogram verzióját és az eseménynapló tevékenységét.
Üzembe helyezés
Fontos
Függetlenül attól, hogy melyik üzembe helyezési lehetőséget választja, javasoljuk, hogy figyelje az eszközflottát, és győződjön meg arról, hogy a tanúsítványok sikeresen alkalmazva lett-e a 2026. júniusi határidő előtt. Egyéni képekkel kapcsolatban lásd: Arany képpel kapcsolatos szempontok.
1. lehetőség: Automatikus Frissítések a Windows Update-ről (nagy megbízhatóságú eszközök)
A Microsoft automatikusan frissíti az eszközöket a Windows havi frissítésein keresztül, amikor a megfelelő telemetria megerősíti a sikeres üzembe helyezést hasonló hardverkonfigurációkon.
- Állapot: Alapértelmezés szerint engedélyezve a nagy megbízhatóságú eszközökön
- Nincs teendője, hacsak nem szeretné letiltani a funkciót
| Beállításjegyzék | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Billentyű | HighConfidenceOptOut = 1 a kikapcsoláshoz |
| Csoportházirend | Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Biztonságos rendszerindítás>Automatikus tanúsítványtelepítés a Frissítések> segítségével A letiltáshoz állítsa a Letiltva értékre. |
Megjegyzés
Javaslat: Az automatikus frissítések engedélyezése mellett is figyelje a munkamenetgazdákat, és győződjön meg arról, hogy alkalmazva vannak-e a tanúsítványok. Előfordulhat, hogy nem minden eszköz felel meg a nagy megbízhatóságú automatikus üzembe helyezés feltételeinek.
További információ: Automatizált telepítési segédeszközök.
2. lehetőség: IT-Initiated üzembe helyezés
Tanúsítványfrissítések manuális aktiválása azonnali vagy szabályozott bevezetés céljából.
| Módszer: | Dokumentáció |
|---|---|
| Microsoft Intune | Microsoft Intune módszer |
| Csoportházirend | Csoportházirend-objektumok (GPO) módszer |
| Beállításkulcsok | Beállításkulcs módszere |
| WinCS parancssori felület | WinCS API-k |
Megjegyzés
- Ne keverje az informatikai részleg által kezdeményezett telepítési módszereket (például az Intune-t és a csoportházirend-objektumot) ugyanazon az eszközön – ezek ugyanazokat a beállításkulcsokat vezérlik, és ütközhetnek.
- A tanúsítványok teljes alkalmazása körülbelül 48 órát és egy vagy több újraindítást vesz igénybe.
Az Arany képpel kapcsolatos szempontok
A biztonságos rendszerindítást engedélyező Azure Compute Gallery-rendszerképeket használó Azure Virtual Desktop-környezetek esetében rögzítés előtt alkalmazza a Secure Boot 2023 tanúsítványfrissítést az arany képre. Alkalmazza a frissítést a fent ismertetett módszerek egyikével, majd az általánosítás előtt ellenőrizze, hogy frissültek-e a tanúsítványok:
Megjegyzés
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Azok a lemezképek, amelyeken nincs engedélyezve a megbízható indítás, nem kaphatják meg a biztonságos rendszerindítási tanúsítvány frissítéseit a lemezképen keresztül. Ide tartoznak a felügyelt rendszerképek, amelyek nem támogatják a megbízható indítást, valamint az Azure Compute Gallery rendszerképek, amelyeken a megbízható indítás nincs engedélyezve. Az ezekből a lemezképekből kiépített eszközök esetében a fenti módszerek egyikével alkalmazza a frissítéseket a vendég operációs rendszeren.
Ismert problémák
A karbantartási beállításkulcs nem létezik
| Tünet | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist |
|---|---|
| A jelenség oka | Az eszközön nem kezdeményeztek tanúsítványfrissítéseket |
| Megoldás | Várja meg az automatikus üzembe helyezést a Windows Update-en keresztül, vagy indítsa el manuálisan az IT által kezdeményezett fenti telepítési módszerek egyikével. |
Az állapot hosszabb ideig "Folyamatban" állapotot mutat
| Tünet | UEFICA2023Az állapot több nap után is "folyamatban" marad |
|---|---|
| A jelenség oka | Előfordulhat, hogy a frissítési folyamat befejezéséhez újra kell indítani az eszközt |
| Megoldás | Indítsa újra a munkamenetgazdát, és 15 perc múlva ellenőrizze ismét az állapotot. Ha a probléma továbbra is fennáll, tekintse meg a Secure Boot DB és a DBX változófrissítési eseményeit a hibaelhárítási útmutatóért |
Létezik UEFICA2023Error rendszerleíró kulcs
| Tünet | UEFICA2023Error rendszerleíró kulcs jelen van |
|---|---|
| A jelenség oka | Hiba történt a tanúsítvány telepítése során |
| Megoldás | A részletekért tekintse meg a rendszer eseménynaplóját. A hibaelhárítási útmutatóért tekintse meg a biztonságos rendszerindítási DB és a DBX változófrissítési eseményeit |