Biztonságos rendszerindítási tanúsítvány frissítések Windows 365-höz

Megjegyzés

  • Eredeti közzétételi dátum: Február 19, 2026
  • Tudásbáziscikk azonosítója: 5080914

Megjegyzés

Ez a cikk a következőkre nyújt útmutatást:

  • A felhőalapú PC-ket kezelő Windows 365-rendszergazdák.

  • A biztonságos rendszerindítással engedélyezett felhőalapú PC-ket a Windows 365 üzembe helyezéséhez használó szervezetek.

  • A Windows 365-telepítésekhez egyéni lemezképeket használó szervezetek.

A cikk tartalma:

Bevezetés

A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági szolgáltatás, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni. A frissített 2023-as tanúsítványok nélkül az eszközök többé nem kapnak új biztonságos rendszerindítási és rendszerindításkezelői védelmet, illetve az újonnan felfedezett rendszerindítási szintű biztonsági rések enyhítését.

A Windows 365 szolgáltatásban kiépített összes biztonságos rendszerindítást támogató felhőalapú PC-t és a kiépítésükhöz használt egyéni rendszerképeket a lejárat előtt frissíteni kell a 2023-as tanúsítványokra, hogy védett maradjon. Tekintse meg , ha a biztonságos rendszerindítási tanúsítványok lejárnak a Windows-eszközökön.

Ez vonatkozik a Windows 365-környezetemre?

Forgatókönyv Aktív a biztonságos rendszerindítás? Beavatkozás szükséges
Felhőalapú PC-k
Felhőalapú PC engedélyezett biztonságos rendszerindítással Igen Tanúsítványok frissítése a felhőalapú PC-n
Felhőalapú PC, amelyen le van tiltva a biztonságos rendszerindítás Nem Nincs teendője
Képek
Azure Compute Gallery-lemezkép engedélyezett biztonságos rendszerindítással Igen Tanúsítványok frissítése a forrásképen általánosítás előtt
Azure Compute Gallery rendszerképe megbízható indítás nélkül Nem Frissítések alkalmazása a felhőalapú PC-n a kiépítés után
Felügyelt rendszerkép (nem támogatja a megbízható indítást) Nem Frissítések alkalmazása a felhőalapú PC-n a kiépítés után

A teljes háttérinformációkért lásd : Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakemberek és szervezetek számára.

Leltár és figyelés

Mielőtt lépéseket tesz, készítsen leltárt a környezetéről, hogy azonosíthassa a frissítést igénylő eszközöket. A figyelés elengedhetetlen annak ellenőrzéséhez, hogy a tanúsítványokat a 2026. júniusi határidő előtt alkalmazzák – még akkor is, ha automatikus üzembe helyezési módszereket használ. Az alábbi lehetőségek segítségével eldöntheti, hogy kell-e tenni valamilyen műveletet.

1. lehetőség: Microsoft Intune-szervizelés

A Microsoft Intune-ban regisztrált felhőalapú PC-k esetében üzembe helyezhet egy észlelési szkriptet az Intune Remediaations (Proactive Remediations) használatával, amely automatikusan összegyűjti a biztonságos rendszerindítási tanúsítvány állapotát a teljes flottában. A szkript csendben fut az összes eszközön, és jelenti a biztonságos rendszerindítás állapotát, a tanúsítványfrissítési folyamatot és az eszköz részleteit az Intune portálnak – az eszközökön nem történik módosítás. Az eredmények megtekinthetők és CSV-fájlba exportálhatók közvetlenül az Intune felügyeleti központból a teljes flottaszintű elemzéshez.

Az észlelési szkript üzembe helyezésének részletes utasításaiért lásd: Biztonságos rendszerindítási tanúsítvány állapotának figyelése a Microsoft Intune szervizeléssel.

2. lehetőség: A Windows Autopatch biztonságos rendszerindítási állapotjelentése

A Windows Autopatch szolgáltatással regisztrált felhőalapú PC-k esetén nyissa meg az Intune Felügyeleti központot>Jelentések>Windows automatikus javítás>Windows minőségi frissítések>Jelentések lap>Biztonságos rendszerindítás állapota. Tekintse meg a Biztonságos rendszerindítás állapotjelentését a Windows Autopatch-ben.

Megjegyzés: A Windows Autopatch szolgáltatás Windows 365-tel való használatához a felhőalapú PC-ket regisztrálni kell a Windows Autopatch szolgáltatásban. Lásd: Windows Autopatch a Windows 365 Enterprise terheléseken.

3. lehetőség: Beállításkulcsok a flottafigyeléshez

A meglévő eszközkezelő eszközökkel lekérdezheti ezeket a beállításazonosítókat a teljes flottában.

Beállításjegyzékbeli elérési út Billentyű Rendeltetés
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Állapot Központi telepítés jelenlegi állapota
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Hiba Hibákat jelez (nem szabad létezniük)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Eseményazonosítót jelez (nem szabad létezni)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Elérhető frissítések Függőben lévő frissítések bitjei

A beállításkulcsok részletes adatait lásd: Beállításkulcs-frissítések a biztonságos rendszerindításhoz.

4. lehetőség: Eseménynapló figyelése

A meglévő eszközkezelési eszközökkel összegyűjtheti és figyelheti ezeket az eseményazonosítókat a rendszer eseménynaplójából a teljes flottában.

Eseményazonosító Hely: Jelentés
1808 Rendszer Sikeresen alkalmazott tanúsítványok
1801 Rendszer Állapot vagy hiba részleteinek frissítése

Az események részleteinek teljes listáját lásd: Secure Boot DB és DBX változófrissítési események.

5. lehetőség: PowerShell leltárszkript

Futtassa a Microsoft biztonságos rendszerindítási leltár adatgyűjtési parancsfájlját a biztonságos rendszerindítási tanúsítvány frissítési állapotának ellenőrzéséhez. A szkript számos adatpontot gyűjt, beleértve a biztonságos rendszerindítási állapotot, az UEFI CA 2023 frissítés állapotát, a belső vezérlőprogram verzióját és az eseménynapló tevékenységét.

Üzembe helyezés

Fontos

Függetlenül attól, hogy melyik üzembe helyezési lehetőséget választja, javasoljuk, hogy figyelje az eszközflottát, és győződjön meg arról, hogy a tanúsítványok sikeresen alkalmazva lett-e a 2026. júniusi határidő előtt. Egyéni képekkel kapcsolatban lásd: Az egyéni képekkel kapcsolatos szempontok.

1. lehetőség: Automatikus Frissítések a Windows Update-ről (nagy megbízhatóságú eszközök)

A Microsoft automatikusan frissíti az eszközöket a Windows havi frissítésein keresztül, amikor a megfelelő telemetria megerősíti a sikeres üzembe helyezést hasonló hardverkonfigurációkon.

  • Állapot: Alapértelmezés szerint engedélyezve a nagy megbízhatóságú eszközökhöz
  • Nincs teendője, hacsak nem szeretné letiltani a funkciót
Beállításjegyzék HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Billentyű HighConfidenceOptOut = 1 a kikapcsoláshoz
Csoportházirend Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Biztonságos rendszerindítás>Automatikus tanúsítványtelepítés a Frissítések> segítségével Beállítás letiltva a letiltáshoz

Megjegyzés

Javaslat: Az automatikus frissítések engedélyezése mellett is figyelje a felhőalapú számítógépeket, és ellenőrizze a tanúsítványok alkalmazottságát. Előfordulhat, hogy nem minden eszköz felel meg a nagy megbízhatóságú automatikus üzembe helyezés feltételeinek.

További információ: Automatizált telepítési segédeszközök.

2. lehetőség: IT-Initiated üzembe helyezés

Tanúsítványfrissítések manuális aktiválása azonnali vagy szabályozott bevezetés céljából.

Módszer: Dokumentáció
Microsoft Intune Microsoft Intune módszer
Csoportházirend GPO módszer
Beállításkulcsok Beállításkulcs módszere
WinCS parancssori felület WinCS API-k

Megjegyzés

  • Ne keverje az informatikai részleg által kezdeményezett telepítési módszereket (például az Intune-t és a csoportházirend-objektumot) ugyanazon az eszközön – ezek ugyanazokat a beállításkulcsokat vezérlik, és ütközhetnek.
  • A tanúsítványok teljes alkalmazása körülbelül 48 órát és egy vagy több újraindítást vesz igénybe.

Egyéni képekkel kapcsolatos megfontolandó szempontok

Az egyéni rendszerképeket teljes mértékben a szervezete kezeli. Az Ön felelőssége a biztonságos rendszerindítási tanúsítvány frissítéseinek alkalmazása az egyéni lemezképre, majd újbóli feltöltése, mielőtt felhasználná a kiépítéshez.

A biztonságos rendszerindítási tanúsítvány frissítéseinek forrásrendszerképre való alkalmazása csak az Azure Compute Gallery (előzetes verzió) rendszerképekkel támogatott, amelyek támogatják a megbízható indítást és a biztonságos rendszerindítást. A felügyelt lemezképek nem támogatják a biztonságos rendszerindítást, így a tanúsítványfrissítések nem alkalmazhatók a lemezkép szintjén. A felügyelt rendszerképekből kiépített felhőalapú PC-k esetében alkalmazza a frissítéseket közvetlenül a felhőalapú PC-n a fenti üzembe helyezési módszerek egyikével.

Új egyéni rendszerkép általánosítása előtt ellenőrizze, hogy frissültek-e a tanúsítványok:

Megjegyzés

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Ismert problémák

A karbantartási beállításkulcs nem létezik

Tünet HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing elérési út nem létezik
A jelenség oka Az eszközön nem kezdeményeztek tanúsítványfrissítéseket
Megoldás Várja meg az automatikus üzembe helyezést a Windows Update-en keresztül, vagy indítsa el manuálisan az IT által kezdeményezett fenti telepítési módszerek egyikével.

Az állapot hosszabb ideig "Folyamatban" állapotot mutat

Tünet UEFICA2023Az állapot több nap után is "folyamatban" marad
A jelenség oka Előfordulhat, hogy a frissítési folyamat befejezéséhez újra kell indítani az eszközt
Megoldás Indítsa újra a felhőalapú PC-t, és 15 perc múlva ellenőrizze újból az állapotot. Ha a probléma továbbra is fennáll, tekintse meg a Secure Boot DB és a DBX változófrissítési eseményeit a hibaelhárítási útmutatóért

Létezik UEFICA2023Error rendszerleíró kulcs

Tünet UEFICA2023Error rendszerleíró kulcs jelen van
A jelenség oka Hiba történt a tanúsítvány telepítése során
Megoldás A részletekért tekintse meg a rendszer eseménynaplóját. A hibaelhárítási útmutatóért tekintse meg a biztonságos rendszerindítási DB és a DBX változófrissítési eseményeit

Források