Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakembereknek és szervezeteknek

Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Megjegyzés

  • Eredeti közzététel dátuma: 2025. június 26.
  • Tudásbáziscikk azonosítója: 5062713

Megjegyzés

Módosítási napló
Dátum módosítása Módosítás leírása
2026. május 5.
Március 30, 2026
  • Megoldottuk "A biztonságos rendszerindítási tanúsítvány frissítései 1795-ös eseményazonosítóval meghiúsulhatnak a Hyper-V virtuális gépeken" ismert problémát.
Március 24, 2026
  • Frissítettük "A biztonságos rendszerindítási tanúsítvány frissítése 1795-ös eseményazonosítóval meghiúsulhat a Hyper-V virtuális gépeken" ismert problémát
Március 16, 2026
  • Eltávolítottuk a "Minta megbízhatósági adatok" szakaszt a "Biztonságos rendszerindítási leltár adatgyűjtési parancsfájlja" csoportban, mivel elavult.
Március 3, 2026
  • Újraformáztuk a minta kimenetét az "Előkészítés" szakaszban, hogy az a dobozban maradjon.
Február 24, 2026
  • Frissítettük az "Előkészítés" szakaszban található "Biztonságos rendszerindítási leltár adatgyűjtési parancsfájljának mintája" tartalmát.
  • Az "Előkészítés" szakaszban új "Mintakimenet" című szakasz lett hozzáadva.
Február 23, 2026
  • Frissítettük az "Előkészítés" szakaszban található "Biztonságos rendszerindítási leltár adatgyűjtési parancsfájljának mintája" tartalmát.
Február 13, 2026
  • A "Minta megbízhatósági adatok" elemek hozzáadva az " Előkészítés" szakaszhoz.
  • Eltávolítottuk a "Gyűjteményszkript az 1801-es és 1808-as függőben lévő eseményekhez" parancsot az "Előkészítés" szakaszból, mivel már nincs rá szükség.
Február 3, 2026
  • Áthelyeztük és újraformáztuk a gyakori problémákat a Hibaelhárítás szakaszban.
  • Egy új gyakori problémát adtunk hozzá: "A biztonságos rendszerindítási tanúsítvány frissítése 1795-ös eseményazonosítóval meghiúsulhat a Hyper-V virtuális gépeken".
2026. január 26.
  • Frissítettük az "Automatikus üzembe helyezési segéd" szöveget a "Mindegyik segéd diagnosztikai adatokat igényel." szövegről " Csak a Szabályozott funkcióbevezetési segéd diagnosztikai adatokat igényel.
2025. november 11. Kijavítottunk két elírást a "Biztonságos rendszerindítási tanúsítvány központi telepítésének támogatása" területen.
  • 0x0800 – A tanúsítvány neve "Microsoft UEFI CA 2023" névről "Microsoft Option ROM UEFI CA 2023" névre módosult.
  • 0x1000 – A "Microsoft Option ROM CA 2023" a "Microsoft UEFI CA 2023" névre módosult.
2025. november 10.
  • Két elírás kijavítva az "Új tanúsítvány" alatt: a " Microsoft Corporation KEK CA 2023" értékről a " Microsoft Corporation KEK 2K CA 2023" értékre, illetve a " Microsoft Option ROM CA 2023" helyett a " Microsoft Option ROM UEFI CA 2023" értékre.
  • Új PowerShell-parancsfájlokat adtunk hozzá a "Biztonságos rendszerindítási állapot ellenőrzése a flottában: Engedélyezve van a biztonságos rendszerindítás?" és az "Előkészítés" fejlécek alatt.

A témakör tartalma:

Áttekintés

Ez a cikk azoknak a szervezeteknek készült, amelyekben hivatott informatikai szakemberek aktívan kezelik a frissítéseket az eszközparkjukban. A jelen cikk nagy része azokra a tevékenységekre összpontosít, amelyekhez a szervezet informatikai részlege sikeresen telepíti az új biztonságos rendszerindítási tanúsítványokat. Ezek a tevékenységek magukban foglalják a belső vezérlőprogram tesztelését, az eszközfrissítések figyelését, a központi telepítés kezdeményezését és a felmerülő problémák diagnosztizálását. Az üzembe helyezés és a figyelés többféle módszerét mutatjuk be. Ezeken az alapvető tevékenységeken kívül számos telepítési segédeszközt kínálunk, többek között lehetőséget arra, hogy az ügyféleszközöket kifejezetten a tanúsítványok telepítéséhez engedélyezze a szabályozott funkciók bevezetésében (CFR) való részvételhez.

Üzembe helyezési forgatókönyv informatikai szakembereknek

Tervezze meg és hajtsa végre a biztonságos rendszerindítási tanúsítvány frissítéseit a teljes eszközflottában az előkészítés, a monitorozás, a telepítés és a szervizelés révén.

Biztonságos rendszerindítási állapot ellenőrzése a flottában: Engedélyezve van a biztonságos rendszerindítás?

A 2012 óta gyártott eszközök többsége támogatja a biztonságos rendszerindítást, és engedélyezve van a biztonságos rendszerindítás. Ha ellenőrizni szeretné, hogy az eszközön engedélyezve van-e a biztonságos rendszerindítás, tegye a következők egyikét:

  • GUI módszer: Nyissa meg a Start menü>Gépház>Adatvédelem & biztonság>Windows biztonság>Eszközbiztonság menüpontját. Az Eszközbiztonság területen a Biztonságos rendszerindítás szakasznak jeleznie kell, hogy a biztonságos rendszerindítás be van kapcsolva.
  • Parancssori módszer: A PowerShell rendszergazda jogú parancssorába írja be a Confirm-SecureBootUEFI parancsot, majd nyomja le az Enter billentyűt. A parancsnak Igaz értéket kell visszaadnia, jelezve, hogy a biztonságos rendszerindítás be van kapcsolva.

Az eszközök nagy léptékű üzembe helyezése esetén az informatikai szakemberek által használt felügyeleti szoftvernek ellenőriznie kell a biztonságos rendszerindítás engedélyezését.

A biztonságos rendszerindítási állapot Microsoft Intune által felügyelt eszközökön történő ellenőrzésének módszere például egy egyéni Intune megfelelőségi szkript létrehozása és telepítése. Az Intune megfelelőségi beállításait az Egyéni megfelelőségi beállítások használata Linux- és Windows-eszközökhöz a Microsoft Intune-nal című témakörben ismertetjük.

Megjegyzés

  • Példa Powershell-szkriptre a biztonságos rendszerindítás engedélyezésének ellenőrzéséhez:
  • # Initialize result object in preparation for checking Secure Boot state 
  • $result = [PSCustomObject]@{ 
  •    SecureBootEnabled = $null 
  • try { 
  •    $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 
  •    Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 
  • } catch { 
  •    $result.SecureBootEnabled = $null 
  •    Write-Warning "Unable to determine Secure Boot status: $_" 

Ha a biztonságos rendszerindítás nincs engedélyezve, kihagyhatja az alábbi frissítési lépéseket, mivel azok nem alkalmazhatók.

A frissítések telepítése

A biztonságos rendszerindítási tanúsítvány frissítései többféleképpen is megcélozhatók az eszközökön. A központi telepítés részleteit, beleértve a beállításokat és az eseményeket, a dokumentum későbbi részében lesz szó. Amikor egy eszközt frissítésre céloz, a rendszer az eszközön egy olyan beállítást végez, amely jelzi, hogy az eszköz megkezdi az új tanúsítványok alkalmazásának folyamatát. Az ütemezett feladat 12 óránként fut az eszközön, és észleli, hogy az eszközt megcélozták a frissítések. Az alábbiakban áttekintheti a tevékenység feladatait:

  1. A rendszer a Windows UEFI CA 2023-at alkalmazza az adatbázisra.
  2. Ha az eszköz adatbázisában megtalálható a Microsoft Corporation UEFI CA 2011 , akkor a feladat a Microsoft Option ROM UEFI CA 2023 és a Microsoft UEFI CA 2023 beállításait alkalmazza az adatbázisra.
  3. A feladat ezután hozzáadja a Microsoft Corporation KEK 2K CA 2023-at.
  4. Végül az ütemezett feladat frissíti a Windows rendszerindítás-kezelőt a Windows UEFI CA 2023 által aláírt feladatra. A Windows észlelni fogja, hogy újraindításra van szükség a rendszertöltés-vezérlő alkalmazása előtt. A rendszertöltés-kezelő frissítése késleltetve lesz, amíg az újraindítás természetes módon meg nem történik (például havi frissítések alkalmazásakor), majd a Windows ismét megpróbálja telepíteni a rendszertöltés-kezelő frissítését.

Ahhoz, hogy az ütemezett feladat a következő lépésre lépjen, a fenti lépések mindegyikét sikeresen végre kell hajtania. A folyamat során eseménynaplók és egyéb állapotok lesznek elérhetők, amelyek segítenek a telepítés figyelésében. A figyelésről és az eseménynaplókról alább talál további részleteket.

A biztonságos rendszerindítási tanúsítványok frissítése lehetővé teszi a 2023-as rendszerindítás-kezelő későbbi frissítését, amely biztonságosabb. A Rendszertöltés-vezérlőhöz jövőbeli frissítéseket biztosítunk.

Üzembe helyezési lépések

  • Előkészítés: Leltári és teszteszközök.
  • A belső vezérlőprogrammal kapcsolatos megfontolások
  • Felügyelet: Ellenőrizze a felügyeleti munkákat és a flotta alapértékét.
  • Üzembe helyezés: Célozza meg az eszközöket a frissítésekhez, a kis részhalmazoktól kezdve a sikeres tesztek alapján kibontva.
  • Szervizelés: Vizsgálja meg és oldja meg a problémákat a naplók és a szállítói támogatás segítségével.

Előkészítés

Hardverek és belső vezérlőprogramok leltározása. Készítsen reprezentatív mintát az eszközökről a Rendszergyártó, a Rendszermodell, a BIOS verziója/dátuma, az Alaplap termékverziója stb. alapján, és tesztelje a frissítéseket ezeken az eszközökön a széles körű üzembe helyezés előtt.  Ezek a paraméterek általában a rendszerinformációk (MSINFO32) területen érhetők el. A mellékelt PowerShell-mintaparancsokkal ellenőrizheti a biztonságos rendszerindítás frissítési állapotát, és leltárba veheti a szervezetében lévő eszközöket.

Megjegyzés

  • Ezek a parancsok akkor érvényesek, ha a biztonságos rendszerindítási állapot engedélyezve van.
  • Számos parancs működéséhez rendszergazdai jog szükséges.

Biztonságos rendszerindítási leltár adatgyűjtési parancsfájljának mintája

Másolja és illessze be ezt a minta szkriptet, majd módosítsa a környezetének megfelelően: A biztonságos rendszerindítási leltár adatgyűjtési parancsfájljának mintafájlja.

Megjegyzés

  • Példa a kimenetre:
  • {"UEFICA2023Status":"Frissített","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
    "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
    "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
    "HighConfidenceOptOut":null;"MicrosoftUpdateManagedOptIn":null;"OEMManufacturerName":
    "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber":
    "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
    "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
    1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
    "Megbízhatóság":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
    3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
    "Event1801Count":0;"Event1808Count":5;"Event1795Count":0;"Event1795ErrorCode":null,
    "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
    "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
    "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
    "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
    "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Alkalmazva"}

Biztonságos rendszerindítás megbízhatósági szintjei

Konfidenciaszint Jelentés Beavatkozás szükséges
Magas megbízhatóság A Microsoft ellenőrizte, hogy ez az eszközosztály biztonságosan frissíthető Tanúsítványfrissítések biztonságos telepítése
Megfigyelés alatt – több adatra van szükség A Microsoft továbbra is gyűjti a biztonságos rendszerindítással kapcsolatos diagnosztikai adatokat ezekről az eszközökről Várakozás a Microsoft besorolására
Nincs észlelt adat – Beavatkozás szükséges A Microsoft nem ismeri az eszköz osztályát A nagyvállalatnak tesztelnie és meg kell terveznie a bevezetését
Átmenetileg szüneteltetve Ismert kompatibilitási problémák Keressen OEM BIOS-frissítést; Várja meg, amíg a Microsoft megoldja a problémát
Nem támogatott – ismert korlátozás A platform vagy a hardver korlátai Dokumentum kivételként

Ha a biztonságos rendszerindítás engedélyezve van, az első lépés annak ellenőrzése, hogy vannak-e függőben lévő események, amelyek nemrég lettek frissítve, vagy amelyek folyamatban vannak a biztonságos rendszerindítási tanúsítványok frissítése folyamatban. Különösen érdekesek a legutóbbi események 1801-ben és 1808-ban. Ezeket az eseményeket a Secure Boot DB és a DBX változófrissítési eseményei ismertetik részletesen. Kérjük, ellenőrizze azt is, hogy a Figyelés és központi telepítés szakasz hogyan jelenítheti meg a függőben lévő frissítések állapotát.

A következő lépés az eszközök leltárba vétele a szervezeten belül. Egy reprezentatív minta létrehozásához PowerShell-parancsokkal gyűjtse össze a következő adatokat:

Megjegyzés

  • Alapvető azonosítók (2 érték)
  • 1. Állomásnév - $env: SZÁMÍTÓGÉPNÉV
  • 2. CollectionTime – Get-Date
  • Beállításjegyzék: Biztonságos rendszerindítás fő kulcsa (3 érték)
  • 3. SecureBootEnabled – Confirm-SecureBootUEFI parancsmag vagy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 5. Rendelkezésre álló frissítések – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • Beállításjegyzék: Karbantartási kulcs (3 érték)
  • 6. UEFICA2023Állapot -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 7. WindowsUEFICA2023-kompatibilis - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Beállításjegyzék: Eszközattribútumok (7 érték)
  • 9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 10. kerület. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 11. cikkszám OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 12. kerület. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 13. kerület FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 14. kerület OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 15. cikkszám CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Eseménynaplók: Rendszernapló (5 érték)
  • 16. kerület. LatestEventId – Legutóbbi biztonságos rendszerindítási esemény
  • 17. cikk. BucketID – Kinyerve az 1801/1808-as eseményből
  • 18. cikkszám Megbízhatóság – Kivonat az 1801/1808-as eseményből
  • 19. cikkszám Event1801Count – Események száma
  • 20. kerület. Event1808Count – Események száma
  • WMI/CIM lekérdezések (4 érték)
  • 21. cikkszám. OSVersion - Get-CimInstance Win32_OperatingSystem
  • 22. cikkszám. LastBootTime – Get-CimInstance Win32_OperatingSystem
  • 23. cikkszám. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard
  • 24. cikkszám. BaseBoardProduct - Get-CimInstance Win32_BaseBoard
  •      25. (Get-CIMInstance Win32_ComputerSystem). Gyártó
  •      26. (Get-CIMInstance Win32_ComputerSystem). Modell
  •     27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("ÉÉÉÉ. HH. NN.")
  •     28. (Get-CIMInstance Win32_BaseBoard). Termék

A belső vezérlőprogrammal kapcsolatos megfontolások

Az új biztonságos rendszerindítási tanúsítványok eszközflottára való telepítéséhez az eszköz belső vezérlőprogramjának szerepet kell játszania a frissítés elvégzésében. Bár a Microsoft elvárja, hogy a legtöbb eszköz belső vezérlőprogramja a várakozásoknak megfelelően fog működni, az új tanúsítványok telepítése előtt gondos tesztelést kell végrehajtani.

Vizsgálja meg a hardverkészletet, és készítsen egy kisméretű, reprezentatív mintát az eszközökből a következő egyedi feltételek alapján, például:

  • Gyártó
  • Típusszám
  • Belső vezérlőprogram verziója
  • OEM alaplapi verzió stb.

Mielőtt széles körben üzembe helyezné a rendszert a flottájában lévő eszközökön, javasoljuk, hogy tesztelje a tanúsítványfrissítéseket reprezentatív mintaeszközökön (a gyártó, a modell, a belső vezérlőprogram verziója alapján), hogy biztosítsa a frissítések sikeres feldolgozását. Az egyes egyedi kategóriákhoz tesztelendő mintaeszközök számára ajánlott útmutatás 4 vagy több.

Ez elősegíti a telepítési folyamatba vetett bizalom növelését, és segít elkerülni a szélesebb körű flottára gyakorolt váratlan hatásokat.

Bizonyos esetekben a biztonságos rendszerindítási tanúsítványok sikeres frissítéséhez szükség lehet a belső vezérlőprogram frissítésére. Ezekben az esetekben javasoljuk, hogy ellenőrizze az eszköz eredeti gyártójánál, hogy elérhető-e frissített belső vezérlőprogram.

Windows virtualizált környezetekben

Virtuális környezetben futó Windows esetén kétféleképpen lehet hozzáadni az új tanúsítványokat a biztonságos rendszerindítás belsővezérlőprogram-változóihoz:

  • A virtuális környezet (AWS, Azure, Hyper-V, VMware stb.) létrehozója biztosíthatja a környezet frissítését, és beépítheti az új tanúsítványokat a virtualizált belső vezérlőprogramba. Ez új virtualizált eszközökön működik.
  • A virtuális gépen hosszú távon futó Windows esetén a frissítések más eszközökhöz hasonlóan a Windowson keresztül is alkalmazhatók, ha a virtualizált belső vezérlőprogram támogatja a biztonságos rendszerindítás frissítéseit.

Monitorozás és üzembe helyezés

Azt javasoljuk, hogy az üzembe helyezés előtt kezdje el az eszköz figyelését, hogy meggyőződjön arról, hogy a figyelés megfelelően működik, és hogy előre megértse a flotta állapotát. A nyomonkövetési lehetőségeket az alábbiakban tárgyaljuk.

A Microsoft több módszert is kínál a biztonságos rendszerindítási tanúsítványfrissítések telepítésére és figyelésére.

Automatizált központi telepítési segédeszközök

A Microsoft két telepítési segédprogramot biztosít. Ezek az asszisztensek hasznosnak bizonyulhatnak az új tanúsítványok flottában való telepítésében. Csak a Szabályozott funkcióbevezetési segéd működéséhez szükséges diagnosztikai adatok.

  • Összegző frissítések beállítása megbízhatósági gyűjtőkkel: A Microsoft automatikusan belefoglalhat nagy megbízhatóságú eszközcsoportokat a havi frissítésekbe az eddig megosztott diagnosztikai adatok alapján, hogy olyan rendszerek és szervezetek javát szolgáljanak, amelyek nem tudják megosztani a diagnosztikai adatokat. Ehhez a lépéshez nincs szükség diagnosztikai adatok engedélyezésére.

    • A diagnosztikai adatok megosztására képes szervezetek és rendszerek számára a Microsoft számára biztosítja annak átláthatóságát, hogy az eszközök sikeresen üzembe tudják helyezni a tanúsítványokat. A diagnosztikai adatok engedélyezéséről további információt a következő témakörben talál: Windows diagnosztikai adatok konfigurálása a szervezetben. Minden egyes egyedi eszközhöz létrehozunk egy "gyűjtőt" (a gyártót, az alaplapot, a belső vezérlőprogram gyártóját, a belső vezérlőprogram verzióját és a további adatpontokat tartalmazó attribútumok alapján). Minden gyűjtő esetében több eszközön ellenőrizzük a sikerességi bizonyítékokat. Ha elég sikeres frissítést láttunk, és nem észleltünk hibát, akkor a gyűjtőt "nagy megbízhatóságúnak" tekintjük, és ezt az adatot szerepeltetjük a havi összegző frissítésekben. Amikor a rendszer havi frissítéseket alkalmaz egy nagy megbízhatóságú gyűjtőben lévő eszközre, a Windows automatikusan alkalmazza a tanúsítványokat a belső vezérlőprogram UEFI biztonságos rendszerindítási változóira.
    • A nagy megbízhatóságú gyűjtők olyan eszközöket tartalmaznak, amelyek megfelelően dolgozzák fel a frissítéseket. Természetesen nem minden eszköz biztosít diagnosztikai adatokat, és ez korlátozhatja a Microsoft bizalmát az eszközök frissítések megfelelő feldolgozási képességében.
    • Ez az asszisztens alapértelmezés szerint engedélyezve van a nagy megbízhatóságú eszközökön, és egy eszközspecifikus beállítással letiltható. További információkat a jövőbeli Windows-kiadásokban fogunk megosztani.
  • Szabályozott funkcióbevezetés (CFR): A Microsoft által felügyelt üzembe helyezés engedélyezése az eszközökön, ha a diagnosztikai adatok engedélyezve vannak.

    • A szabályozott funkcióbevezetés (CFR) a szervezeti flották ügyféleszközeivel használható. Ehhez az eszközöknek el kell küldeniük a szükséges diagnosztikai adatokat a Microsoftnak, és jelezniük kell, hogy az eszköz engedélyezi a CFR-t az eszközön. A jóváhagyás részleteit alább ismertetjük.

    • Az új tanúsítványok frissítési folyamatát a Microsoft kezeli azokon a Windows-eszközökön, amelyeken elérhetők diagnosztikai adatok, és amelyek részt vesznek a szabályozott funkciók kibocsátásában (CFR). Bár a CFR segíthet az új tanúsítványok üzembe helyezésében, a szervezetek nem fognak tudni a CFR-re támaszkodni a flottájuk szervizeléséhez – ehhez az ebben a dokumentumban ismertetett lépéseket kell követnie az automatikus segédeszközök által nem fedett telepítési módszerekről szóló szakaszban.

    • Korlátozások: Számos oka lehet annak, ha a CFR nem működik a környezetében. Például:

      • Nem állnak rendelkezésre diagnosztikai adatok, vagy a diagnosztikai adatok nem használhatók a CFR központi telepítésének részeként.
      • Az eszközök nem a kiterjesztett biztonsági frissítésekkel (ESU) rendelkező Windows 11 és Windows 10 támogatott kliensverzióin vannak.

Az automatikus segédek által nem fedett központi telepítési módszerek

Válassza ki a környezetének megfelelő módszert. Kerülje a keverési módszereket ugyanazon az eszközön:

  • Beállításkulcsok: A központi telepítés szabályozása és az eredmények figyelése.
    Több beállításkulcs áll rendelkezésre a tanúsítványok üzembe helyezése viselkedésének szabályozására és az eredmények figyelésére. Ezen kívül két kulcs áll rendelkezésre a fent ismertetett telepítési segédeszközökben való részvételhez és az azokról való elutasításhoz. A beállításkulcsokkal kapcsolatos további információkért lásd: Beállításkulcs-Frissítések a biztonságos rendszerindításhoz – informatikai felügyeletű frissítésekkel rendelkező Windows-eszközök.

  • Csoportházirend-objektumok (GPO): Beállítások kezelése; figyelés a beállításjegyzéken és az eseménynaplókon keresztül.
    A Microsoft egy későbbi frissítésben támogatást fog nyújtani a biztonságos rendszerindítási frissítések Csoportházirend használatával történő kezeléséhez. Ne feledje, hogy mivel a Csoportházirend a beállításokra vonatkozik, az eszköz állapotának figyelése alternatív módszerekkel történik, beleértve a beállításkulcsok és az eseménynapló-bejegyzések figyelését.

  • WinCS (Windows konfigurációs rendszer) CLI: Parancssori eszközök használata tartományhoz csatlakoztatott ügyfelekhez.
    A tartományi rendszergazdák a Windows operációs rendszer frissítéseiben található Windows konfigurációs rendszer (WinCS) segítségével is üzembe helyezhetik a biztonságos rendszerindítás frissítéseit a tartományhoz csatlakoztatott Windows-ügyfeleken és -kiszolgálókon. Egy sor parancssori segédprogramból áll (egy hagyományos végrehajtható fájlból és egy PowerShell-modulból is), amelyek biztonságos rendszerindítási konfigurációkat kérdeznek le és alkalmaznak helyileg egy gépen. További információért olvassa el az következő témaköröket:

  • Microsoft Intune/Konfigurációkezelő: PowerShell-szkriptek üzembe helyezése. A konfigurációs szolgáltatót (CSP) egy jövőbeli frissítésben biztosítjuk, amely lehetővé teszi az Intune használatával való üzembe helyezést.

Eseménynaplók figyelése

Két új esemény segíti a biztonságos rendszerindítási tanúsítvány frissítéseinek telepítését. Ezeket az eseményeket a Secure Boot DB és a DBX változófrissítési eseményei ismertetik részletesen:

  • Eseménykód: 1801
    Ez az esemény egy hibaesemény, amely azt jelzi, hogy a frissített tanúsítványokat nem alkalmazta az eszközre. Az esemény néhány, az eszközre jellemző adatot tartalmaz, beleértve az eszközattribútumokat, amelyek segítségével korrelálható, hogy mely eszközök szorulnak még frissítésre.
  • Eseménykód: 1808
    Ez az esemény egy információs esemény, amely azt jelzi, hogy az eszköz rendelkezik a szükséges új biztonságos rendszerindítási tanúsítványokkal, amelyeket az eszköz belső vezérlőprogramjára alkalmaztak.

Üzembe helyezési stratégiák

A kockázat minimalizálása érdekében a biztonságos rendszerindítás frissítéseit ne egyszerre, hanem szakaszosan telepítse. Kezdje az eszközök egy kis részhalmazára, érvényesítse az eredményeket, majd terjessze ki további csoportokra. Azt javasoljuk, hogy kezdje az eszközök alkészleteivel, és ahogy magabiztosabbá válik ezekben a központi telepítésekben, adjon hozzá további eszközcsoportokat. Több tényező is felhasználható annak meghatározásához, hogy mi kerül egy részhalmazba, beleértve a mintaeszközök és a szervezeti struktúra teszteredményeit stb.

Ön dönti el, hogy mely eszközöket telepíti. Az alábbiakban néhány lehetséges stratégiát sorolunk fel.

  • Nagy eszközpark: Első lépésként támaszkodjon a fent leírt segédekre a leggyakrabban kezelt eszközök esetében. Ezzel párhuzamosan összpontosítson a szervezet által kezelt, kevésbé gyakori eszközökre. Teszteljen kis mintaeszközöket, és ha a tesztelés sikeres, telepítse a többi azonos típusú eszközön. Ha a tesztelés problémákat okozott, vizsgálja ki a probléma okát, és határozza meg a szervizelési lépéseket. Érdemes lehet megfontolni a flottában magasabb értékű eszközosztályokat is, valamint megkezdeni a tesztelést és a központi telepítést annak biztosítása érdekében, hogy ezek az eszközök időben megkapják a frissített védelmet.
  • Kis flotta, nagy választék: Ha az Ön által kezelt flotta számos olyan gépet tartalmaz, ahol az egyes eszközök tesztelése megfizethetetlen lenne, fontolja meg a fent ismertetett két segédeszköz használatát, különösen az olyan eszközök esetében, amelyek valószínűleg gyakori eszközök a piacon. Kezdetben összpontosítson a napi működés szempontjából kritikus fontosságú eszközökre, teszteljen, majd helyezze üzembe. Folytassa a magas prioritású eszközök listájának lefelé haladását, a tesztelést és az üzembe helyezést, miközben figyeli a flottát, és győződjön meg arról, hogy az asszisztensek segítenek a többi eszköznél.

Megjegyzések

  • Figyeljen a régebbi eszközökre, különösen azokra az eszközökre, amelyeket a gyártó már nem támogat. Bár a belső vezérlőprogramnak megfelelően kellene elvégeznie a frissítési műveleteket, előfordulhat, hogy nem. Azokban az esetekben, amikor a belső vezérlőprogram nem működik megfelelően, és az eszköz már nem támogatott, fontolja meg az eszköz cseréjét a biztonságos rendszerindítás védelmének biztosítása érdekében a teljes flottában.
  • Előfordulhat, hogy az elmúlt 1–2 évben gyártott új eszközök már rendelkeznek a frissített tanúsítványokkal, de előfordulhat, hogy a Windows UEFI CA 2023 aláírt rendszerindítás-kezelője nem rendelkezik a rendszerrel. Ennek a rendszerindító-kezelőnek az alkalmazása az eszközök központi telepítésének kritikus utolsó lépése.
  • Miután kijelölte az eszközt a frissítésekhez, eltarthat egy ideig, mire a frissítések elkészülnek. Becsült 48 óra és egy vagy több újraindítás szükséges a tanúsítványok alkalmazásához.

Gyakori kérdések (GYIK)

Gyakori kérdésekért tekintse meg a biztonságos rendszerindítással kapcsolatos GYIK cikket.

Hibaelhárítás

További részleteket a hibaelhárítási dokumentumban talál.

További erőforrások

Tipp:

Jelölje meg ezeket a további forrásokat a könyvjelzők között.