Biztonságos rendszerindítási tanúsítvány Frissítések Windows 365
Eredeti közzététel dátuma: 2026. február 19., csütörtök
TUDÁSBÁZIS AZONOSÍTÓJA: 5080914
Ez a cikk a következőhöz nyújt útmutatást:
-
Windows 365 felhőbeli számítógépeket kezelő rendszergazdák.
-
A biztonságos rendszerindítást engedélyező felhőalapú számítógépeket használó szervezetek Windows 365 üzemelő példányokhoz.
-
Egyéni rendszerképeket használó szervezetek Windows 365 üzemelő példányokhoz.
Ebben a cikkben:
Ismertető
A Biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági funkció, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási sorozata során. A 2011-ben kiadott Microsoft Secure Boot-tanúsítványok 2026 júniusában lejárnak. A 2023-ra frissített tanúsítványok nélkül az eszközök nem kapnak új Biztonságos rendszerindítási és rendszerindítás-kezelői védelmet vagy kockázatcsökkentést az újonnan felfedezett rendszerindítási szintű biztonsági rések esetén.
Az Windows 365 szolgáltatásban kiépített összes Biztonságos rendszerindításra képes felhőbeli számítógépet, valamint a kiépítésükhöz használt egyéni rendszerképeket a lejárat előtt frissíteni kell a 2023-ban kiadott tanúsítványokra, hogy védve maradjanak. Lásd: A biztonságos rendszerindítási tanúsítványok lejárata Windows-eszközökön.
Ez vonatkozik a Windows 365-környezetemre?
|
Forgatókönyv |
Biztonságos rendszerindítás aktív? |
Beavatkozás szükséges |
|
Felhőbeli számítógépek |
||
|
Felhőalapú PC, amelyen engedélyezve van a biztonságos rendszerindítás |
Igen |
Tanúsítványok frissítése a felhőbeli PC-n |
|
Felhőalapú számítógép, amelyen le van tiltva a biztonságos rendszerindítás |
Nem |
Nincs szükség műveletre |
|
Képek |
||
|
A Számítási katalógus rendszerképének Azure, amelyen engedélyezve van a biztonságos rendszerindítás |
Igen |
Tanúsítványok frissítése a forrásrendszerképben az általánosítás előtt |
|
A Compute Gallery rendszerképének Azure megbízható indítás nélkül |
Nem |
Frissítések alkalmazása a felhőbeli PC-ben a kiépítés után |
|
Felügyelt rendszerkép (nem támogatja a megbízható indítást) |
Nem |
Frissítések alkalmazása a felhőbeli PC-ben a kiépítés után |
A teljes háttérinformációkért lásd: Biztonságos rendszerindítási tanúsítványfrissítések: Útmutató informatikai szakembereknek és szervezeteknek.
Leltár és monitorozás
Mielőtt végrehajtja a műveletet, leltárba kell vennie a környezetet a frissítéseket igénylő eszközök azonosításához. A monitorozás elengedhetetlen a tanúsítványok 2026. júniusi határidő előtti alkalmazásának megerősítéséhez – még akkor is, ha automatikus üzembehelyezési módszerekre támaszkodik. Az alábbiakban megtudhatja, hogy szükség van-e beavatkozásra.
1. lehetőség: Microsoft Intune szervizelések
A Microsoft Intune regisztrált felhőbeli számítógépek esetében üzembe helyezhet egy észlelési szkriptet Intune Szervizelések (proaktív szervizelések) használatával, hogy automatikusan összegyűjtse a biztonságos rendszerindítási tanúsítvány állapotát a teljes flottában. A szkript csendesen fut minden eszközön, és a biztonságos rendszerindítási állapotot, a tanúsítványfrissítési folyamatot és az eszköz adatait jelenti vissza a Intune portálra – az eszközök nem módosulnak. Az eredmények közvetlenül a Intune felügyeleti központból tekinthetők meg és exportálhatók CSV-be a teljes körű elemzéshez.
Az észlelési szkript üzembe helyezésével kapcsolatos részletes útmutatásért lásd: A biztonságos rendszerindítási tanúsítvány állapotának monitorozása Microsoft Intune szervizelésekkel.
2. lehetőség: A Windows automatikus biztonsági rendszerindítási állapotjelentése
A Windows autopatch szolgáltatásban regisztrált felhőbeli számítógépek esetén lépjen Intune Felügyeleti központba, > Jelentések > a Windows automatikus >Windows minőségi frissítéseit, > Jelentések lapon > Biztonságos rendszerindítási állapotot. Lásd: Biztonságos rendszerindítási állapotjelentés a Windows automatikus javításban.
Megjegyzés: Ha windowsos automatikus javítást szeretne használni Windows 365, a felhőbeli számítógépeket regisztrálni kell a Windows automatikus javítási szolgáltatásban. Lásd: Windows automatikus javítás Windows 365 Enterprise számítási feladatokon.
3. lehetőség: A flottafigyelés beállításkulcsai
A meglévő eszközfelügyeleti eszközökkel lekérdezheti ezeket a beállításjegyzék-értékeket a flottában.
|
Beállításjegyzék elérési útja |
Kulcs |
Célja |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuális üzembehelyezési állapot |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Hiba |
Hibákat jelez (nem létezhet) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Eseményazonosítót jelez (nem létezhet) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Függőben lévő frissítési bitek |
A beállításkulcsok teljes részleteiért lásd: A biztonságos rendszerindítás beállításkulcs-frissítései.
4. lehetőség: Eseménynapló monitorozása
A meglévő eszközfelügyeleti eszközökkel összegyűjtheti és figyelheti ezeket az eseményazonosítókat a rendszer eseménynaplójából a teljes flottában.
|
Eseményazonosító |
Tartózkodási hely |
Jelentése |
|
1808 |
Rendszer |
A tanúsítványok alkalmazása sikerült |
|
1801 |
Rendszer |
Állapot vagy hiba részleteinek frissítése |
Az esemény részleteinek teljes listáját lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események.
5. lehetőség: PowerShell leltárszkript
A Biztonságos rendszerindítási tanúsítvány frissítési állapotának ellenőrzéséhez futtassa a Microsoft biztonságos rendszerindítási leltáradat-gyűjtési mintaszkriptjét. A szkript több adatpontot gyűjt, többek között a biztonságos rendszerindítási állapotot, az UEFI CA 2023 frissítési állapotát, a belső vezérlőprogram verzióját és az eseménynapló-tevékenységeket.
Telepítési
Fontos: Függetlenül attól, hogy melyik üzembehelyezési lehetőséget választja, javasoljuk, hogy a 2026. júniusi határidő előtt ellenőrizze, hogy az eszközflotta sikeresen alkalmazva van-e. Egyéni rendszerképekkel kapcsolatban lásd: Egyéni rendszerképekkel kapcsolatos szempontok.
1. lehetőség: Automatikus Frissítések Windows Update (nagy megbízhatóságú eszközök)
A Microsoft automatikusan frissíti az eszközöket a Windows havi frissítéseivel, ha a megfelelő telemetriai adatok megerősítik a hasonló hardverkonfigurációkon való sikeres üzembe helyezést.
-
Állapot: Alapértelmezés szerint engedélyezve van a megbízható eszközökhöz
-
Nincs szükség műveletre, hacsak nem szeretné lemondani
|
Rendszerleíró |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Kulcs |
HighConfidenceOptOut = 1 a lemondáshoz |
|
Csoportházirend |
Számítógép konfigurációja > Felügyeleti sablonok > Windows-összetevők > biztonságos rendszerindítási > automatikus tanúsítványtelepítés Frissítések > Letiltva értékre állítással |
Ajánlás: Még ha az automatikus frissítések is engedélyezve vannak, monitorozza a felhőbeli számítógépeket a tanúsítványok alkalmazásának ellenőrzéséhez. Nem minden eszköz jogosult a megbízható automatikus üzembe helyezésre.
További információ: Automatizált üzembe helyezési segítség.
2. lehetőség: IT-Initiated üzembe helyezés
A tanúsítványfrissítések manuális aktiválása az azonnali vagy szabályozott bevezetéshez.
|
Módszer |
Dokumentáció |
|
Microsoft Intune |
|
|
Csoportházirend |
|
|
Beállításkulcsok |
|
|
WinCS CLI |
Megjegyzések:
-
Ne keverje az informatikai eszközök által kezdeményezett üzembehelyezési módszereket (például Intune és csoportházirend-objektumot) ugyanazon az eszközön – ezek ugyanazokat a beállításkulcsokat szabályozzák, és ütközést okozhatnak.
-
Körülbelül 48 óra és egy vagy több újraindítás engedélyezése a tanúsítványok teljes alkalmazásához.
Egyéni rendszerképekkel kapcsolatos szempontok
Az egyéni rendszerképeket teljes mértékben a szervezet kezeli. Az Ön feladata, hogy alkalmazza a biztonságos rendszerindítási tanúsítvány frissítéseit az egyéni rendszerképre, és újra feltöltse, mielőtt üzembe helyezéshez használva használva használták volna.
A biztonságos rendszerindítási tanúsítvány frissítéseinek a forrásrendszerképre való alkalmazása csak Azure Compute Gallery-rendszerképek (előzetes verzió) esetében támogatott, amelyek támogatják a megbízható indítást és a biztonságos rendszerindítást. A felügyelt rendszerképek nem támogatják a biztonságos rendszerindítást, ezért a tanúsítványfrissítések nem alkalmazhatók a rendszerkép szintjén. Felügyelt rendszerképekből kiépített felhőalapú számítógépek esetén a fenti üzembehelyezési módszerek egyikével alkalmazza a frissítéseket közvetlenül a felhőbeli PC-n.
Az új egyéni rendszerképek általánosítása előtt ellenőrizze, hogy a tanúsítványok frissülnek-e:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Ismert problémák
A karbantartási beállításkulcs nem létezik
|
Tünet |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing elérési út nem létezik |
|
A jelenség oka |
A tanúsítványfrissítések nem lettek elindítva az eszközön |
|
Megoldás |
Várjon az automatikus üzembe helyezésre a Windows Update keresztül, vagy manuálisan kezdeményezheti a fenti it által kezdeményezett üzembehelyezési módszerek egyikét |
Az állapot "Folyamatban" állapotot mutat hosszabb ideig
|
Tünet |
Az UEFICA2023Status több nap után is "InProgress" marad |
|
A jelenség oka |
Előfordulhat, hogy az eszköz újraindítást igényel a frissítési folyamat befejezéséhez |
|
Megoldás |
Indítsa újra a felhőalapú számítógépet, és ellenőrizze újra az állapotot 15 perc elteltével. Ha a probléma továbbra is fennáll, hibaelhárítási útmutatásért lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események |
UEFICA2023Hiba beállításkulcs létezik
|
Tünet |
Az UEFICA2023Error beállításkulcs megtalálható |
|
A jelenség oka |
Hiba történt a tanúsítvány üzembe helyezése során |
|
Megoldás |
A részletekért tekintse meg a rendszer eseménynaplójában. Hibaelhárítási útmutatásért lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események |