Biztonságos rendszerindítási tanúsítvány Frissítések Azure Virtual Desktophoz

Ismertető

A Biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági funkció, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási sorozata során. A 2011-ben kiadott Microsoft Secure Boot-tanúsítványok 2026 júniusában lejárnak. A 2023-ra frissített tanúsítványok nélkül az eszközök nem kapnak új Biztonságos rendszerindítási és rendszerindítás-kezelői védelmet vagy kockázatcsökkentést az újonnan felfedezett rendszerindítási szintű biztonsági rések esetén.

Az Azure Virtual Desktop szolgáltatásban regisztrált, biztonságos rendszerindításra képes virtuális gépeket és a kiépítésükhöz használt egyéni rendszerképeket a lejárat előtt frissíteni kell a 2023-ban kiadott tanúsítványokra, hogy védve maradjanak. Lásd: A biztonságos rendszerindítási tanúsítványok lejárata Windows-eszközökön

Ez vonatkozik a Azure Virtual Desktop-környezetemre?

Forgatókönyv	Biztonságos rendszerindítás aktív?	Beavatkozás szükséges
Munkamenetgazdák
Megbízható indítású virtuális gép, amelyen engedélyezve van a biztonságos rendszerindítás	Igen	Tanúsítványok frissítése a munkamenetgazdán
Megbízható virtuális gép indítása letiltott biztonságos rendszerindítással	Nem	Nincs szükség műveletre
Standard biztonsági típusú virtuális gép	Nem	Nincs szükség műveletre
1. generációs virtuális gép	Nem támogatott	Nincs szükség műveletre
Arany képek
A Számítási katalógus rendszerképének Azure, amelyen engedélyezve van a biztonságos rendszerindítás	Igen	Tanúsítványok frissítése a forrásrendszerképben
A Compute Gallery rendszerképének Azure megbízható indítás nélkül	Nem	Frissítések alkalmazása a munkamenetgazdában az üzembe helyezés után
Felügyelt rendszerkép (nem támogatja a megbízható indítást)	Nem	Frissítések alkalmazása a munkamenetgazdában az üzembe helyezés után

A teljes háttérinformációkért lásd: Biztonságos rendszerindítási tanúsítványfrissítések: Útmutató informatikai szakembereknek és szervezeteknek.

Leltár és monitorozás

Mielőtt végrehajtja a műveletet, leltárba kell vennie a környezetet a frissítéseket igénylő eszközök azonosításához. A monitorozás elengedhetetlen a tanúsítványok 2026. júniusi határidő előtti alkalmazásának megerősítéséhez – még akkor is, ha automatikus üzembehelyezési módszerekre támaszkodik. Az alábbiakban megtudhatja, hogy szükség van-e beavatkozásra.

1. lehetőség: Microsoft Intune szervizelések

A Microsoft Intune regisztrált munkamenetgazdák esetében üzembe helyezhet egy észlelési szkriptet Intune Szervizelések (proaktív szervizelések) használatával a biztonságos rendszerindítási tanúsítvány állapotának automatikus gyűjtéséhez a teljes flottában. A szkript csendesen fut minden eszközön, és a biztonságos rendszerindítási állapotot, a tanúsítványfrissítési folyamatot és az eszköz adatait jelenti vissza a Intune portálra – az eszközök nem módosulnak. Az eredmények közvetlenül a Intune felügyeleti központból tekinthetők meg és exportálhatók CSV-be a teljes körű elemzéshez.

Az észlelési szkript üzembe helyezésével kapcsolatos részletes útmutatásért lásd: A biztonságos rendszerindítási tanúsítvány állapotának monitorozása Microsoft Intune szervizelésekkel.

2. lehetőség: A Windows automatikus biztonsági rendszerindítási állapotjelentése

A Windows autopatch szolgáltatásban regisztrált személyes, állandó munkamenetgazdák esetén lépjen Intune Felügyeleti központ > Jelentések > Windows automatikus javítási > Windows minőségi frissítésekhez > Jelentések lapon > Biztonságos rendszerindítás állapota. Lásd: Biztonságos rendszerindítási állapotjelentés a Windows automatikus javításban.

Megjegyzés: A Windows automatikus javítás csak a személyes, állandó virtuális gépeket támogatja Azure Virtual Desktophoz. A több munkamenetes gazdagépek, a készletezett nem állandó virtuális gépek és a távoli alkalmazásstreamelés nem támogatott. Lásd: Windows automatikus javítás Azure Virtual Desktop számítási feladatokon.

3. lehetőség: A flottafigyelés beállításkulcsai

A meglévő eszközfelügyeleti eszközökkel lekérdezheti ezeket a beállításjegyzék-értékeket a flottában.

Beállításjegyzék elérési útja	Kulcs	Célja
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Aktuális üzembehelyezési állapot
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Hiba	Hibákat jelez (nem létezhet)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Eseményazonosítót jelez (nem létezhet)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Függőben lévő frissítési bitek

A beállításkulcsok teljes részleteiért lásd: Beállításkulcs-frissítések a biztonságos rendszerindításhoz: Windows-eszközök it által felügyelt frissítésekkel.

4. lehetőség: Eseménynapló monitorozása

A meglévő eszközfelügyeleti eszközökkel összegyűjtheti és figyelheti ezeket az eseményazonosítókat a rendszer eseménynaplójából a teljes flottában.

Eseményazonosító	Tartózkodási hely	Jelentése
1808	Rendszer	A tanúsítványok alkalmazása sikerült
1801	Rendszer	Állapot vagy hiba részleteinek frissítése

Az esemény részleteinek teljes listáját lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események.

5. lehetőség: PowerShell leltárszkript

A Biztonságos rendszerindítási tanúsítvány frissítési állapotának ellenőrzéséhez futtassa a Microsoft biztonságos rendszerindítási leltáradat-gyűjtési mintaszkriptjét. A szkript több adatpontot gyűjt, többek között a biztonságos rendszerindítási állapotot, az UEFI CA 2023 frissítési állapotát, a belső vezérlőprogram verzióját és az eseménynapló-tevékenységeket.

Telepítési

Fontos: Függetlenül attól, hogy melyik üzembehelyezési lehetőséget választja, javasoljuk, hogy a 2026. júniusi határidő előtt ellenőrizze, hogy az eszközflotta sikeresen alkalmazva van-e. Az egyéni rendszerképekért lásd: Golden Image Considerations (Arany rendszerképekkel kapcsolatos szempontok).

1. lehetőség: Automatikus Frissítések Windows Update (nagy megbízhatóságú eszközök)

A Microsoft automatikusan frissíti az eszközöket a Windows havi frissítéseivel, ha a megfelelő telemetriai adatok megerősítik a hasonló hardverkonfigurációkon való sikeres üzembe helyezést.

Állapot: Alapértelmezés szerint engedélyezve van a megbízható eszközökhöz

Nincs szükség műveletre, hacsak nem szeretné lemondani

Rendszerleíró	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Kulcs	HighConfidenceOptOut = 1 a lemondáshoz
Csoportházirend	Számítógép konfigurációja > Felügyeleti sablonok > Windows-összetevők > biztonságos rendszerindítási > automatikus tanúsítványtelepítés Frissítések > Letiltva értékre állítással.

Ajánlás: Még ha az automatikus frissítések is engedélyezve vannak, monitorozza a munkamenetgazdákat a tanúsítványok alkalmazásának ellenőrzéséhez. Nem minden eszköz jogosult a megbízható automatikus üzembe helyezésre.

További információ: Automatizált üzembe helyezési segítség.

2. lehetőség: IT-Initiated üzembe helyezés

A tanúsítványfrissítések manuális aktiválása az azonnali vagy szabályozott bevezetéshez.

Módszer	Dokumentáció
Microsoft Intune	Microsoft Intune metódus
Csoportházirend	Csoportházirend Objects (GPO) metódus
Beállításkulcsok	Beállításkulcs metódusa
WinCS CLI	WinCS API-k

Megjegyzések:

Ne keverje az informatikai eszközök által kezdeményezett üzembehelyezési módszereket (például Intune és csoportházirend-objektumot) ugyanazon az eszközön – ezek ugyanazokat a beállításkulcsokat szabályozzák, és ütközést okozhatnak.
Körülbelül 48 óra és egy vagy több újraindítás engedélyezése a tanúsítványok teljes alkalmazásához.

Golden Image Considerations

Az Azure Compute Gallery rendszerképeit használó Azure Compute Gallery-rendszerképeket használó, biztonságos rendszerindítást engedélyező Virtual Desktop-környezetek esetében a rögzítés előtt alkalmazza a Secure Boot 2023 tanúsítványfrissítést az aranylemezképre. Használja a fent leírt módszerek egyikét a frissítés alkalmazásához, majd ellenőrizze, hogy a tanúsítványok frissülnek-e az általánosítás előtt:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

A Megbízható indítás funkcióval nem rendelkező képek nem kaphatnak biztonságos rendszerindítási tanúsítványfrissítéseket a lemezképen keresztül. Ide tartoznak a felügyelt rendszerképek, amelyek nem támogatják a megbízható indítást, valamint Azure számítási katalógus olyan lemezképét, ahol a Megbízható indítás nincs engedélyezve. Az ezekből a rendszerképekből kiépített eszközök esetében alkalmazza a frissítéseket a vendég operációs rendszerben a fenti módszerek egyikével.

Ismert problémák

A karbantartási beállításkulcs nem létezik

Tünet	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path nem létezik
A jelenség oka	A tanúsítványfrissítések nem lettek elindítva az eszközön
Megoldás	Várjon az automatikus üzembe helyezésre a Windows Update keresztül, vagy manuálisan kezdeményezheti a fenti it által kezdeményezett üzembehelyezési módszerek egyikét

Az állapot "Folyamatban" állapotot mutat hosszabb ideig

Tünet	Az UEFICA2023Status több nap után is "InProgress" marad
A jelenség oka	Előfordulhat, hogy az eszköz újraindítást igényel a frissítési folyamat befejezéséhez
Megoldás	Indítsa újra a munkamenetgazdát, és ellenőrizze újra az állapotot 15 perc elteltével. Ha a probléma továbbra is fennáll, hibaelhárítási útmutatásért lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események

UEFICA2023Hiba beállításkulcs létezik

Tünet	Az UEFICA2023Error beállításkulcs megtalálható
A jelenség oka	Hiba történt a tanúsítvány üzembe helyezése során
Megoldás	A részletekért tekintse meg a rendszer eseménynaplójában. Hibaelhárítási útmutatásért lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események

Erőforrások

Biztonságos rendszerindítási tanúsítvány frissítési forgatókönyve

Biztonságos rendszerindítási tanúsítvány Frissítések: Útmutató informatikai szakembereknek