Biztonságos rendszerindítási tanúsítvány frissítések Azure Virtual Desktophoz

Hatókör
Azure Virtual Desktop

Megjegyzés

  • Eredeti közzétételi dátum: Február 19, 2026
  • Tudásbáziscikk azonosítója: 5080931

Megjegyzés

Ez a cikk a következőkre nyújt útmutatást:

  • A munkamenetgazdák frissítéseit kezelő Azure Virtual Desktop-rendszergazdák

  • Az Azure Virtual Desktop-üzemelő példányokhoz biztonságos rendszerindítással rendelkező virtuális gépeket használó szervezetek

  • Az Azure Virtual Desktop-telepítésekhez egyéni rendszerképeket (arany képeket) használó szervezetek

A cikk tartalma:

Bevezetés

A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági szolgáltatás, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni. A frissített 2023-as tanúsítványok nélkül az eszközök többé nem kapnak új biztonságos rendszerindítási és rendszerindításkezelői védelmet, illetve az újonnan felfedezett rendszerindítási szintű biztonsági rések enyhítését.

Az Azure Virtual Desktop szolgáltatásban regisztrált összes biztonságos rendszerindítást támogató virtuális gépet és a kiépítésükhöz használt egyéni rendszerképeket a lejárat előtt frissíteni kell a 2023-as tanúsítványokra, hogy védett maradjon. Annak megtekintése, hogy a biztonságos rendszerindítási tanúsítványok mikor járnak le a Windows-eszközökön

Ez vonatkozik az Azure Virtual Desktop-környezetemre?

Forgatókönyv Aktív a biztonságos rendszerindítás? Beavatkozás szükséges
Munkamenetgazdák
Megbízható indítású virtuális gép engedélyezett biztonságos rendszerindítással Igen Tanúsítványok frissítése a munkamenetgazdán
Megbízható indítású virtuális gép letiltott biztonságos rendszerindítással Nem Nincs teendője
Standard biztonsági típusú virtuális gép Nem Nincs teendője
1. generációs VM Nem támogatott Nincs teendője
Golden Images
Azure Compute Gallery-lemezkép engedélyezett biztonságos rendszerindítással Igen Tanúsítványok frissítése a forrásképen
Azure Compute Gallery rendszerképe megbízható indítás nélkül Nem Frissítések alkalmazása a munkamenetgazdában a telepítés után
Felügyelt rendszerkép (nem támogatja a megbízható indítást) Nem Frissítések alkalmazása a munkamenetgazdában a telepítés után

A teljes háttérinformációkért lásd : Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakemberek és szervezetek számára.

Leltár és figyelés

Mielőtt lépéseket tesz, készítsen leltárt a környezetéről, hogy azonosíthassa a frissítést igénylő eszközöket. A figyelés elengedhetetlen annak ellenőrzéséhez, hogy a tanúsítványokat a 2026. júniusi határidő előtt alkalmazzák – még akkor is, ha automatikus üzembe helyezési módszereket használ.  Az alábbi lehetőségek segítségével eldöntheti, hogy kell-e tenni valamilyen műveletet.

1. lehetőség: Microsoft Intune-szervizelés

A Microsoft Intune-ban regisztrált munkamenetgazdák számára üzembe helyezhet egy észlelési szkriptet az Intune Remediations (Proactive Remediations) használatával, hogy automatikusan összegyűjtse a biztonságos rendszerindítási tanúsítvány állapotát a teljes flottában. A szkript csendben fut az összes eszközön, és jelenti a biztonságos rendszerindítás állapotát, a tanúsítványfrissítési folyamatot és az eszköz részleteit az Intune portálnak – az eszközökön nem történik módosítás. Az eredmények megtekinthetők és CSV-fájlba exportálhatók közvetlenül az Intune felügyeleti központból a teljes flottaszintű elemzéshez.

Az észlelési szkript üzembe helyezésének részletes utasításaiért lásd: Biztonságos rendszerindítási tanúsítvány állapotának figyelése a Microsoft Intune szervizeléssel.

2. lehetőség: A Windows Autopatch biztonságos rendszerindítási állapotjelentése

A Windows Autopatch szolgáltatással regisztrált személyes állandó munkamenetgazdák esetében nyissa meg az Intune Felügyeleti központot>Jelentések>Windows automatikus javítás>Windows minőségi frissítések>Jelentések lap>Biztonságos rendszerindítás állapota. Tekintse meg a Biztonságos rendszerindítás állapotjelentését a Windows Autopatch-ben.

Megjegyzés

A Windows Autopatch csak a személyes állandó virtuális gépeket támogatja az Azure Virtual Desktophoz. A több munkamenetes gazdagépek, a készletezett, nem állandó virtuális gépek és a távoli alkalmazásstreamelés nem támogatott. Lásd: Windows Autopatch az Azure Virtual Desktop számítási feladatokon.

3. lehetőség: Beállításkulcsok a flottafigyeléshez

A meglévő eszközkezelő eszközökkel lekérdezheti ezeket a beállításazonosítókat a teljes flottában.

Beállításjegyzékbeli elérési út Billentyű Rendeltetés
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Állapot Központi telepítés jelenlegi állapota
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Hiba Hibákat jelez (nem szabad létezniük)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Eseményazonosítót jelez (nem szabad létezni)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Elérhető frissítések Függőben lévő frissítések bitjei

A beállításkulcsok részletes adatait lásd: Beállításkulcs-frissítések a biztonságos rendszerindításhoz: informatikai felügyeletű frissítésekkel rendelkező Windows-eszközök.

4. lehetőség: Eseménynapló figyelése

A meglévő eszközkezelési eszközökkel összegyűjtheti és figyelheti ezeket az eseményazonosítókat a rendszer eseménynaplójából a teljes flottában.

Eseményazonosító Hely: Jelentés
1808 Rendszer Sikeresen alkalmazott tanúsítványok
1801 Rendszer Állapot vagy hiba részleteinek frissítése

Az események részleteinek teljes listáját lásd: Secure Boot DB és DBX változófrissítési események.

5. lehetőség: PowerShell leltárszkript

Futtassa a Microsoft biztonságos rendszerindítási leltár adatgyűjtési parancsfájlját a biztonságos rendszerindítási tanúsítvány frissítési állapotának ellenőrzéséhez. A szkript számos adatpontot gyűjt, beleértve a biztonságos rendszerindítási állapotot, az UEFI CA 2023 frissítés állapotát, a belső vezérlőprogram verzióját és az eseménynapló tevékenységét.

Üzembe helyezés

Fontos

Függetlenül attól, hogy melyik üzembe helyezési lehetőséget választja, javasoljuk, hogy figyelje az eszközflottát, és győződjön meg arról, hogy a tanúsítványok sikeresen alkalmazva lett-e a 2026. júniusi határidő előtt. Egyéni képekkel kapcsolatban lásd: Arany képpel kapcsolatos szempontok.

1. lehetőség: Automatikus Frissítések a Windows Update-ről (nagy megbízhatóságú eszközök)

A Microsoft automatikusan frissíti az eszközöket a Windows havi frissítésein keresztül, amikor a megfelelő telemetria megerősíti a sikeres üzembe helyezést hasonló hardverkonfigurációkon.

  • Állapot: Alapértelmezés szerint engedélyezve a nagy megbízhatóságú eszközökön
  • Nincs teendője, hacsak nem szeretné letiltani a funkciót
Beállításjegyzék HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Billentyű HighConfidenceOptOut = 1 a kikapcsoláshoz
Csoportházirend Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Biztonságos rendszerindítás>Automatikus tanúsítványtelepítés a Frissítések> segítségével A letiltáshoz állítsa a Letiltva értékre.

Megjegyzés

Javaslat: Az automatikus frissítések engedélyezése mellett is figyelje a munkamenetgazdákat, és győződjön meg arról, hogy alkalmazva vannak-e a tanúsítványok. Előfordulhat, hogy nem minden eszköz felel meg a nagy megbízhatóságú automatikus üzembe helyezés feltételeinek.

További információ: Automatizált telepítési segédeszközök.

2. lehetőség: IT-Initiated üzembe helyezés

Tanúsítványfrissítések manuális aktiválása azonnali vagy szabályozott bevezetés céljából.

Módszer: Dokumentáció
Microsoft Intune Microsoft Intune módszer
Csoportházirend Csoportházirend-objektumok (GPO) módszer
Beállításkulcsok Beállításkulcs módszere
WinCS parancssori felület WinCS API-k

Megjegyzés

  • Ne keverje az informatikai részleg által kezdeményezett telepítési módszereket (például az Intune-t és a csoportházirend-objektumot) ugyanazon az eszközön – ezek ugyanazokat a beállításkulcsokat vezérlik, és ütközhetnek.
  • A tanúsítványok teljes alkalmazása körülbelül 48 órát és egy vagy több újraindítást vesz igénybe.

Az Arany képpel kapcsolatos szempontok

A biztonságos rendszerindítást engedélyező Azure Compute Gallery-rendszerképeket használó Azure Virtual Desktop-környezetek esetében rögzítés előtt alkalmazza a Secure Boot 2023 tanúsítványfrissítést az arany képre. Alkalmazza a frissítést a fent ismertetett módszerek egyikével, majd az általánosítás előtt ellenőrizze, hogy frissültek-e a tanúsítványok:

Megjegyzés

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Azok a lemezképek, amelyeken nincs engedélyezve a megbízható indítás, nem kaphatják meg a biztonságos rendszerindítási tanúsítvány frissítéseit a lemezképen keresztül. Ide tartoznak a felügyelt rendszerképek, amelyek nem támogatják a megbízható indítást, valamint az Azure Compute Gallery rendszerképek, amelyeken a megbízható indítás nincs engedélyezve. Az ezekből a lemezképekből kiépített eszközök esetében a fenti módszerek egyikével alkalmazza a frissítéseket a vendég operációs rendszeren.

Ismert problémák

A karbantartási beállításkulcs nem létezik

Tünet HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist
A jelenség oka Az eszközön nem kezdeményeztek tanúsítványfrissítéseket
Megoldás Várja meg az automatikus üzembe helyezést a Windows Update-en keresztül, vagy indítsa el manuálisan az IT által kezdeményezett fenti telepítési módszerek egyikével.

Az állapot hosszabb ideig "Folyamatban" állapotot mutat

Tünet UEFICA2023Az állapot több nap után is "folyamatban" marad
A jelenség oka Előfordulhat, hogy a frissítési folyamat befejezéséhez újra kell indítani az eszközt
Megoldás Indítsa újra a munkamenetgazdát, és 15 perc múlva ellenőrizze ismét az állapotot. Ha a probléma továbbra is fennáll, tekintse meg a Secure Boot DB és a DBX változófrissítési eseményeit a hibaelhárítási útmutatóért

Létezik UEFICA2023Error rendszerleíró kulcs

Tünet UEFICA2023Error rendszerleíró kulcs jelen van
A jelenség oka Hiba történt a tanúsítvány telepítése során
Megoldás A részletekért tekintse meg a rendszer eseménynaplóját. A hibaelhárítási útmutatóért tekintse meg a biztonságos rendszerindítási DB és a DBX változófrissítési eseményeit

Források