Updates Sertifikat Boot Aman untuk Windows 365

Pendahuluan

Secure Boot adalah fitur keamanan firmware UEFI yang membantu memastikan hanya perangkat lunak tepercaya yang ditandatangani secara digital yang berjalan selama urutan boot perangkat. Sertifikat Boot Aman Microsoft yang diterbitkan pada tahun 2011 mulai kedaluwarsa pada Juni 2026. Tanpa sertifikat 2023 yang diperbarui, perangkat tidak akan lagi menerima perlindungan Atau mitigasi Secure Boot Manager baru untuk kerentanan tingkat boot yang baru ditemukan.

Semua PC Cloud berkemampuan Boot Aman yang disediakan dalam layanan Windows 365, dan gambar kustom yang digunakan untuk menyediakannya, harus diperbarui ke sertifikat 2023 sebelum kedaluwarsa agar tetap terlindungi. Lihat Saat sertifikat Boot Aman kedaluwarsa di perangkat Windows.

Apakah ini berlaku untuk lingkungan Windows 365 saya?

Skenario	Secure Boot Aktif?	Tindakan Diperlukan
PC Cloud
PC Cloud dengan Boot Aman diaktifkan	Ya	Memperbarui sertifikat di PC Cloud
PC Cloud dengan Boot Aman dinonaktifkan	Tidak	Tidak ada tindakan yang diperlukan
Gambar
gambar Galeri Komputasi Azure dengan Boot Aman diaktifkan	Ya	Memperbarui sertifikat dalam gambar sumber sebelum melakukan generalisasi
gambar Galeri Komputasi Azure tanpa Peluncuran Tepercaya	Tidak	Menerapkan pembaruan di PC Cloud setelah penyediaan
Gambar terkelola (tidak mendukung Peluncuran Tepercaya)	Tidak	Menerapkan pembaruan di PC Cloud setelah penyediaan

Untuk informasi latar belakang lengkap, lihat Pembaruan sertifikat Boot Aman: Panduan untuk profesional dan organisasi TI.

Inventori dan Monitor

Sebelum mengambil tindakan, inventarsi lingkungan Anda untuk mengidentifikasi perangkat yang memerlukan pembaruan. Pemantauan sangat penting untuk mengonfirmasi sertifikat diterapkan sebelum tenggat waktu Juni 2026—bahkan jika Anda mengandalkan metode penyebaran otomatis. Di bawah ini adalah opsi untuk menentukan apakah tindakan perlu dilakukan.

Opsi 1: Microsoft Intune Perbaikan

Untuk PC Cloud yang terdaftar di Microsoft Intune, Anda dapat menggunakan skrip deteksi menggunakan Intune Remediations (Proactive Remediations) untuk mengumpulkan status sertifikat Secure Boot secara otomatis di seluruh armada Anda. Skrip berjalan diam-diam di setiap perangkat dan melaporkan status Boot Aman, kemajuan pembaruan sertifikat, dan detail perangkat kembali ke portal Intune — tidak ada perubahan yang dilakukan pada perangkat. Hasil dapat dilihat dan diekspor ke CSV langsung dari pusat admin Intune untuk analisis tingkat armada.

Untuk instruksi langkah demi langkah tentang penggunaan skrip deteksi, lihat Memantau Status Sertifikat Boot Aman dengan Microsoft Intune Perbaikan.

Opsi 2: Laporan Status Boot Aman Pengiriman Otomatis Windows

Untuk PC Awan yang terdaftar dengan Windows Autopatch, buka pusat admin Intune > Laporan > Windows Autopatch > pembaruan kualitas Windows > tab Laporan > status Boot Aman. Lihat laporan status Boot Aman di Windows Autopatch.

Catatan: Untuk menggunakan Windows Autopatch dengan Windows 365, PC Cloud harus didaftarkan dengan layanan Windows Autopatch. Lihat Pengiriman Otomatis Windows di beban kerja Windows 365 Enterprise.

Opsi 3: Kunci Registri untuk Pemantauan Armada

Gunakan alat manajemen perangkat yang sudah ada untuk membuat kueri nilai registri ini di seluruh armada Anda.

Jalur Registri	Kunci	Tujuan
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Status penyebaran saat ini
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Menunjukkan kesalahan (seharusnya tidak ada)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Menunjukkan ID Kejadian (seharusnya tidak ada)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Bit pembaruan tertunda

Untuk detail kunci registri lengkap, lihat Pembaruan kunci registri untuk Secure Boot.

Opsi 4: Pemantauan Log Kejadian

Gunakan alat manajemen perangkat anda yang sudah ada untuk mengumpulkan dan memantau ID kejadian ini dari log kejadian sistem di seluruh armada Anda.

ID Kejadian	Lokasi	Makna
1808	Sistem	Sertifikat berhasil diterapkan
1801	Sistem	Memperbarui status atau detail kesalahan

Untuk daftar lengkap detail acara, lihat Kejadian pembaruan variabel DB dan DBX Boot Aman.

Opsi 5: Skrip Inventori PowerShell

Jalankan sampel skrip Pengumpulan Data Inventaris Boot Aman Microsoft untuk memeriksa status pembaruan sertifikat Boot Aman. Skrip ini mengumpulkan beberapa poin data termasuk status Boot Aman, status pembaruan UEFI CA 2023, versi firmware, dan aktivitas log kejadian.

Penyebaran

Penting: Terlepas dari opsi penyebaran mana yang Anda pilih, sebaiknya pantau armada perangkat Anda untuk mengonfirmasi sertifikat berhasil diterapkan sebelum tenggat waktu Juni 2026. Untuk gambar kustom, lihat Pertimbangan Gambar Kustom.

Opsi 1: Updates otomatis dari Windows Update (Perangkat Kepercayaan Tinggi)

Microsoft secara otomatis memperbarui perangkat melalui pembaruan bulanan Windows ketika telemetri yang memadai mengonfirmasi keberhasilan penyebaran pada konfigurasi perangkat keras yang serupa.

Status: Diaktifkan secara default untuk perangkat dengan kepercayaan tinggi
Tidak ada tindakan yang diperlukan kecuali Anda ingin menolak

Registri	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Kunci	HighConfidenceOptOut = 1 untuk menolak
Kebijakan Grup	Templat Administratif > Konfigurasi Komputer > Komponen Windows > Penyebaran Sertifikat Otomatis > Boot Aman melalui Updates > Diatur ke Dinonaktifkan untuk menolak

Rekomendasi: Bahkan dengan pembaruan otomatis yang diaktifkan, pantau PC Cloud Anda untuk memverifikasi sertifikat diterapkan. Tidak semua perangkat mungkin memenuhi syarat untuk penyebaran otomatis kepercayaan tinggi.

Untuk informasi selengkapnya, lihat Bantuan penyebaran otomatis.

Opsi 2: Penyebaran IT-Initiated

Memicu pembaruan sertifikat secara manual untuk peluncuran langsung atau terkontrol.

Metode	Dokumentasi
Microsoft Intune	metode Microsoft Intune
Kebijakan Grup	Metode GPO
Kunci Registri	Metode kunci registri
WinCS CLI	API WinCS

Catatan:

Jangan mencampur metode penyebaran yang dimulai TI (misalnya Intune dan GPO) pada perangkat yang sama—mereka mengontrol kunci registri yang sama dan mungkin berkonflik.
Izinkan sekitar 48 jam dan satu atau beberapa mulai ulang agar sertifikat dapat diterapkan sepenuhnya.

Pertimbangan Gambar Kustom

Gambar kustom dikelola sepenuhnya oleh organisasi Anda. Anda bertanggung jawab untuk menerapkan pembaruan sertifikat Boot Aman ke gambar kustom dan mengunggah ulang sebelum menggunakannya untuk penyediaan.

Menerapkan pembaruan sertifikat Boot Aman ke gambar sumber hanya didukung dengan gambar Galeri Komputasi Azure (pratinjau), yang mendukung Peluncuran Tepercaya dan Boot Aman. Gambar terkelola tidak mendukung Boot Aman, sehingga pembaruan sertifikat tidak dapat diterapkan pada tingkat gambar. Untuk PC Cloud yang disediakan dari gambar terkelola, terapkan pembaruan secara langsung di PC Cloud menggunakan salah satu metode penyebaran di atas.

Sebelum melakukan generalisasi gambar kustom baru, verifikasi sertifikat diperbarui:

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Masalah yang Diketahui

Kunci registri pelayanan tidak ada

Gangguan	jalur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing tidak ada
Penyebab	Pembaruan sertifikat belum dimulai pada perangkat
Resolusi	Tunggu penyebaran otomatis melalui Windows Update, atau mulai secara manual menggunakan salah satu metode penyebaran yang dimulai TI di atas

Status memperlihatkan "InProgress" untuk periode yang diperpanjang

Gangguan	UEFICA2023Status tetap "InProgress" setelah beberapa hari
Penyebab	Perangkat mungkin memerlukan mulai ulang untuk menyelesaikan proses pembaruan
Resolusi	Hidupkan ulang PC Cloud dan periksa status lagi setelah 15 menit. Jika masalah berlanjut, lihat Kejadian pembaruan variabel DB boot aman dan DBX untuk panduan pemecahan masalah

Kunci registri UEFICA2023Error ada

Gangguan	Kunci registri UEFICA2023Error hadir
Penyebab	Terjadi kesalahan selama penyebaran sertifikat
Resolusi	Periksa Log kejadian sistem untuk detailnya. Lihat Kejadian pembaruan variabel DB Boot Aman dan DBX untuk panduan pemecahan masalah