Aggiornamenti del certificato di avvio protetto per desktop virtuale Azure
Si applica a
Data di pubblicazione originale: 19 febbraio 2026
ID KB: 5080931
Questo articolo contiene indicazioni per:
-
Azure amministratori di Desktop virtuale che gestiscono gli aggiornamenti degli host di sessione
-
Organizzazioni che usano macchine virtuali abilitate per Avvio protetto per le distribuzioni di desktop virtuali Azure
-
Organizzazioni che usano immagini personalizzate (immagini dorate) per le distribuzioni di desktop virtuali Azure
In questo articolo:
Introduzione
Avvio protetto è una funzionalità di sicurezza del firmware UEFI che garantisce l'esecuzione solo di software attendibile con firma digitale durante una sequenza di avvio del dispositivo. I certificati di Avvio protetto Microsoft rilasciati nel 2011 iniziano a scadere a giugno 2026. Senza i certificati 2023 aggiornati, i dispositivi non riceveranno più le nuove protezioni o misure di prevenzione di Avvio protetto e Boot Manager per le vulnerabilità a livello di avvio individuate di recente.
Tutte le macchine virtuali abilitate per Avvio protetto registrate nel servizio Desktop virtuale Azure e le immagini personalizzate utilizzate per eseguirne il provisioning devono essere aggiornate ai certificati 2023 prima della scadenza per rimanere protette. Vedi Quando scadono i certificati di avvio protetto nei dispositivi Windows
Questo vale per l'ambiente desktop virtuale Azure?
|
Scenario |
Avvio protetto attivo? |
Azione richiesta |
|
Session Hosts |
||
|
Macchina virtuale di avvio attendibile con avvio protetto abilitato |
Sì |
Aggiornare i certificati nell'host della sessione |
|
Macchina virtuale di avvio attendibile con avvio protetto disabilitato |
No |
Nessuna azione necessaria |
|
VM di tipo di sicurezza Standard |
No |
Nessuna azione necessaria |
|
Macchina virtuale di generazione 1 |
Non supportato |
Nessuna azione necessaria |
|
Immagini dorate |
||
|
immagine Azure Compute Gallery con Avvio protetto abilitato |
Sì |
Aggiornare i certificati nell'immagine di origine |
|
Azure Compute Gallery image without Trusted Launch |
No |
Applicare gli aggiornamenti nell'host di sessione dopo la distribuzione |
|
Immagine gestita (non supporta Avvio attendibile) |
No |
Applicare gli aggiornamenti nell'host di sessione dopo la distribuzione |
Per informazioni complete in background, vedi Aggiornamenti del certificato di avvio protetto: linee guida per professionisti IT e organizzazioni.
Inventario e monitoraggio
Prima di intervenire, creare un inventario dell'ambiente per identificare i dispositivi che richiedono aggiornamenti. Il monitoraggio è essenziale per verificare che i certificati vengano applicati prima della scadenza di giugno 2026, anche se si usano metodi di distribuzione automatica. Di seguito sono riportate le opzioni per determinare se è necessario eseguire un'azione.
Opzione 1: Microsoft Intune Correzioni
Per gli host di sessione registrati in Microsoft Intune, è possibile distribuire uno script di rilevamento usando Intune Correzioni proattive (Proactive Remediations) per raccogliere automaticamente lo stato del certificato di avvio protetto nell'intera flotta. Lo script viene eseguito automaticamente su ogni dispositivo e riporta lo stato di avvio protetto, l'avanzamento dell'aggiornamento del certificato e i dettagli del dispositivo al portale di Intune. Non vengono apportate modifiche ai dispositivi. I risultati possono essere visualizzati ed esportati in formato CSV direttamente dall'interfaccia di amministrazione di Intune per l'analisi a livello di flotta.
Per istruzioni dettagliate sulla distribuzione dello script di rilevamento, vedere Monitoraggio dello stato del certificato di avvio protetto con Microsoft Intune Correzioni.
Opzione 2: Report sullo stato dell'avvio protetto di Windows Autopatch
Per gli host delle sessioni persistenti personali registrati con Windows Autopatch, passare alla scheda Report di Intune > Report > Windows Autopatch > aggiornamenti qualitativi di Windows > scheda Report > stato di avvio protetto. Vedi Rapporto di stato di avvio protetto in Windows Autopatch.
Nota: Il supporto automatico di Windows supporta solo le macchine virtuali persistenti personali per Azure Desktop virtuale. Host con più sessioni, macchine virtuali non persistenti in pool e streaming di app remote non sono supportati. Vedi Autopatch di Windows nei carichi di lavoro di desktop virtuale Azure.
Opzione 3: Chiavi del Registro di sistema per il monitoraggio della flotta
Usa gli strumenti di gestione dei dispositivi esistenti per eseguire query su questi valori del Registro di sistema in tutta la tua flotta.
|
Percorso del Registro di sistema |
Codice |
Scopo |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Stato di distribuzione corrente |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Errore |
Indica errori (non dovrebbero esistere) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Indica l'ID evento (non dovrebbe esistere) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bit di aggiornamento in sospeso |
Per informazioni dettagliate complete sulla chiave del Registro di sistema, vedi Aggiornamenti delle chiavi del Registro di sistema per Avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT.
Opzione 4: Monitoraggio del registro eventi
Usa gli strumenti di gestione dei dispositivi esistenti per raccogliere e monitorare questi ID evento dal registro eventi di sistema nell'intera flotta.
|
ID evento |
Posizione |
Significato |
|
1808 |
Sistema |
Certificati applicati correttamente |
|
1801 |
Sistema |
Aggiornare lo stato o i dettagli dell'errore |
Per un elenco completo dei dettagli degli eventi, vedere Secure Boot DB e DBX variable update events.
Opzione 5: Script inventario di PowerShell
Esegui lo script di raccolta dati di esempio di Microsoft Secure Boot Inventory per controllare lo stato di aggiornamento del certificato di avvio protetto. Lo script raccoglie diversi punti dati, tra cui stato di avvio protetto, stato dell'aggiornamento UEFI CA 2023, versione del firmware e attività del registro eventi.
Distribuzione
Importante: Indipendentemente dall'opzione di distribuzione scelta, è consigliabile monitorare il parco dispositivi per verificare che i certificati vengano applicati correttamente prima della scadenza di giugno 2026. Per le immagini personalizzate, vedere Considerazioni sull'immagine dorata.
Opzione 1: Aggiornamenti automatico da Windows Update (dispositivi ad alta probabilità)
Microsoft aggiorna automaticamente i dispositivi tramite gli aggiornamenti mensili di Windows quando una telemetria sufficiente conferma il successo della distribuzione in configurazioni hardware simili.
-
Stato: Abilitata per impostazione predefinita per i dispositivi con affidabilità elevata
-
Non è necessaria alcuna azione a meno che non si voglia rifiutare esplicitamente
|
Registro |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Codice |
HighConfidenceOptOut = 1 per rifiutare esplicitamente |
|
Criteri di gruppo |
Configurazione computer > modelli amministrativi > componenti di Windows > l'avvio protetto > la distribuzione automatica dei certificati tramite Aggiornamenti > impostato su Disabilitato per rifiutare esplicitamente. |
Raccomandazione: Anche con gli aggiornamenti automatici abilitati, monitorare gli host di sessione per verificare l'applicazione dei certificati. Non tutti i dispositivi possono essere idonei per la distribuzione automatica ad alta probabilità.
Per altre informazioni, vedere Assistenza alla distribuzione automatizzata.
Opzione 2: distribuzione IT-Initiated
Attivare manualmente gli aggiornamenti dei certificati per l'implementazione immediata o controllata.
|
Metodo |
Documentazione |
|
Microsoft Intune |
|
|
Criteri di gruppo |
|
|
Chiavi del Registro di sistema |
|
|
WinCS CLI |
Note:
-
Non combinare metodi di distribuzione avviati dall'IT (ad esempio, Intune e gpo) nello stesso dispositivo, perché controllano le stesse chiavi del Registro di sistema e potrebbero essere in conflitto.
-
Attendere circa 48 ore e uno o più riavvii per l'applicazione completa dei certificati.
Considerazioni sull'immagine Golden
Per Azure ambienti Desktop virtuale che usano immagini di Azure Compute Gallery con Avvio protetto abilitato, applica l'aggiornamento del certificato di avvio protetto 2023 all'immagine dorata prima di acquisirla. Usa uno dei metodi descritti sopra per applicare l'aggiornamento, quindi verifica che i certificati vengano aggiornati prima di generalizzare:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Le immagini senza avvio attendibile abilitato non possono ricevere gli aggiornamenti del certificato di avvio protetto tramite l'immagine. Sono incluse le immagini gestite, che non supportano Avvio attendibile, e Azure immagini della Raccolta di calcoli in cui Avvio attendibile non è abilitato. Per i dispositivi di cui è stato eseguito il provisioning da queste immagini, applicare gli aggiornamenti nel sistema operativo guest usando uno dei metodi precedenti.
Problemi noti
La chiave del Registro di sistema di manutenzione non esiste
|
Sintomo |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist |
|
Causa |
Gli aggiornamenti dei certificati non sono stati avviati nel dispositivo |
|
Risoluzione |
Attendere la distribuzione automatica tramite Windows Update o avviare manualmente uno dei metodi di distribuzione avviati dall'IT sopra |
Lo stato mostra "In Progress" per il periodo prolungato
|
Sintomo |
UEFICA2023Status rimane "InStatus" dopo più giorni |
|
Causa |
Potrebbe essere necessario un riavvio del dispositivo per completare il processo di aggiornamento |
|
Risoluzione |
Riavvia l'host della sessione e controlla di nuovo lo stato dopo 15 minuti. Se il problema persiste, vedi Eventi di aggiornamento delle variabili DB e DBX di avvio protetto per indicazioni sulla risoluzione dei problemi |
UEFICA2023Chiave del Registro di sistema esistente
|
Sintomo |
UEFICA2023Chiave del Registro di sistema presente |
|
Causa |
Si è verificato un errore durante la distribuzione dei certificati |
|
Risoluzione |
Per informazioni dettagliate, controllare il registro eventi di sistema. Per informazioni sulla risoluzione dei problemi, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto |
Risorse
Serve aiuto?
Vuoi altre opzioni?
Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.
Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.
