Saugiojo paleidimo sertifikato būsenos stebėjimas naudojant "„Microsoft Intune“" taisymus
Taikoma
Pradinė publikavimo data: 2026 m. vasario 18 d.
KB ID: 5080921
Šiame straipsnyje pateikiamos rekomendacijos:
-
IT administratoriams, norintiems matyti saugiojo paleidimo sertifikato naujinimo būseną iš "Intune" užregistruotų "Windows" įrenginių
-
Organizacijos, besiruošiančios 2026 m. birželio saugiosios įkrovos sertifikato galiojimo pabaigos terminui
-
Komandos, norinčios stebėti sertifikatų diegimo eigą visuose "Intune" užregistruotuose "Windows" įrenginiuose
Šiame straipsnyje:
Įvadas
"Microsoft" saugiosios įkrovos sertifikatų (2011 CA) galiojimo laikas baigiasi nuo 2026 m. birželio mėn. Visi "Windows" įrenginiai, kuriuose įgalinta saugioji įkrova, turi būti atnaujinti į 2023 m. sertifikatus iki galiojimo pabaigos, kad būtų užtikrintas nuolatinis saugos naujinimo palaikymas.
Šiame vadove pateikiamas tik stebėjimo metodas naudojant "„Microsoft Intune“" taisymus (aktyvius taisymus). Aptikimo scenarijus renka saugiosios įkrovos ir sertifikato būseną iš kiekvieno įrenginio ir praneša apie tai "Intune" portalui – įrenginiuose neatliekami jokie taisymo veiksmai. Tai suteikia administratoriams centralizuotą, eksportuojamą sertifikatų naujinimo eigos rodinį visuose "Intune" užregistruotuose "Windows" įrenginiuose.
Kodėl verta naudoti šį metodą?
|
Nauda |
Aprašas |
|---|---|
|
Matomumas visame įrenginyje |
Peržiūrėkite kiekvieno "Intune" užregistruoto "Windows" įrenginio sertifikato būseną vienoje vietoje |
|
Eksportuojama |
Rezultatų eksportavimas į CSV tiesiogiai iš "Intune" portalo |
|
Neapdorotos registro reikšmės |
Matykite faktinius registro duomenis, ne tik išlaikykite / nepavykdavo |
|
Įrenginio kontekstas |
Apima gamintoją, modelį, BIOS versiją ir programinės-aparatinės įrangos tipą |
|
Įvykių žurnalo telemetrija |
Užfiksuoja saugiosios įkrovos įvykio ID (1801/1808), talpyklos ID ir patikimumo lygius |
|
Nulis prisilietimo |
Veikia tyliai kaip SISTEMA – nereikia vartotojo įsikišimo |
Išsamios informacijos apie sertifikato naujinimus ieškokite Saugiojo paleidimo sertifikato naujinimai: rekomendacijos IT specialistams ir organizacijoms.
Būtinosios sąlygos
Prieš diegdami aptikimo scenarijų, įsitikinkite, kad jūsų aplinka atitinka būtinus reikalavimus.
Šis sprendimas naudoja "„Microsoft Intune“" taisymus. Visą būtinųjų sąlygų sąrašą rasite Taisymų naudojimas palaikymo problemoms aptikti ir išspręsti – "„Microsoft Intune“".
Aptikimo scenarijai
Aptikimo scenarijus yra "PowerShell" scenarijus, kuris renka išsamius saugiosios įkrovos atsargų duomenis iš kiekvieno įrenginio ir pateikia juos kaip JSON eilutę. Scenarijus skaitomas iš šių šaltinių:
Registras – saugiojo paleidimo sertifikato naujinimo būsena, priežiūros raktai, įrenginio atributai ir sutikimo / atsisakymo parametrai iš HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ir jo daliniai raktai
WMI/CIM – OS versija, paskutinės įkrovos laikas ir bazinės plokštės aparatūros informacija
Įvykių žurnalai – sistemos įvykių žurnalo įrašai, skirti įvykio ID 1801 ir 1808 (saugiosios įkrovos naujinimo įvykiai)
JSON išvestis rodoma Intune portalo dalyje Taisymai > Monitorius > Įrenginio būsena > "Išankstinio taisymo aptikimo išvestis" ir gali būti eksportuojama į CSV analizei.
Svarbu: Tai tik aptikimo scenarijus. Įrenginys nekeičiamas. Nereikia jokio taisymo scenarijaus.
Scenarijaus failo kūrimas
SVARBU Šis straipsnis su scenarijaus pavyzdžiu buvo panaikintas. Jei įdiegėte "Windows" naujinimą, išleistą 2026 m. gegužės 12 d. arba vėliau, scenarijaus pavyzdį galite rasti įrenginio aplanke %systemroot%\SecureBoot\ExampleRolloutScripts.
-
Pereikite prie saugiosios įkrovos atsargų duomenų rinkimo scenarijaus (KB5072718)
-
Viso scenarijaus turinio kopijavimas iš puslapio
-
Atidarykite teksto rengyklę (pvz., Užrašinę, VS Code) ir įklijuokite scenarijų
-
Įrašyti failą kaip Detect-SecureBootCertUpdateStatus.ps1
Taisymo kūrimas "Intune"
Atlikite šiuos veiksmus, kad aptikimo scenarijų įdiegtumėte kaip taisymo (scenarijaus paketą) "„Microsoft Intune“".
1 veiksmas: scenarijaus paketo kūrimas
-
Prisijunkite prie "„Microsoft Intune“" administravimo centro
-
Eikite į Įrenginiai > Taisymai
-
Click + Create script package
2 veiksmas: pagrindai
-
Konfigūruokite šiuos parametrus skirtuke Pagrindai:
|
Parametras |
Reikšmė |
|---|---|
|
Pavadinimas |
Saugiojo paleidimo sertifikato būsenos monitorius |
|
Aprašas |
Stebi saugiojo paleidimo sertifikato atnaujinimo būseną visame parke. Tik aptikimas – jokių taisymo veiksmų nesiimama. |
|
Publisher |
(jūsų organizacijos pavadinimas) |
-
Spustelėkite Pirmyn
3 veiksmas. Parametrai
-
Konfigūruokite šiuos parametrus skirtuke Parametrai:
|
Parametras |
Reikšmė |
Pastabos |
|---|---|---|
|
Aptikimo scenarijaus failas |
Nusiųsti Detect-SecureBootCertificateStatus.ps1 |
Ankstesnio skyriaus scenarijus |
|
Taisymo scenarijaus failas |
(palikti tuščią) |
Nereikia ištaisyti – tai tik stebėjimas |
|
Vykdykite šį scenarijų naudodami prisijungimo kredencialus |
Ne |
Veikia kaip SISTEMA, kad užtikrintų prieigą prie Confirm-SecureBootUEFI ir registro |
|
Įgalinti scenarijaus parašo tikrinimą |
Ne |
Nustatykite reikšmę Taip, jei jūsų organizacija reikalauja pasirašytų scenarijų |
|
Scenarijaus vykdymas 64 bitų "PowerShell" |
Taip |
Būtina Confirm-SecureBootUEFI cmdlet ir tiksliam registro skaitymui |
-
Spustelėkite Pirmyn
4 veiksmas: aprėpties žymės
-
Įtraukite bet kokias aprėpties žymes, reikalingas jūsų organizacijai, arba palikite kaip numatytąją
-
Spustelėkite Pirmyn
5 veiksmas: užduotys
|
Parametras |
Reikšmė |
Pastabos |
|---|---|---|
|
Priskyrimai. |
Pasirinkite stebimas įrenginių grupes |
Naudokite visus įrenginius viso parko stebėjimui arba konkrečias grupes tiksliam stebėjimui |
|
Suplanuoti |
Konfigūruokite pagal savo stebėjimo poreikius |
Rekomenduojama: kartą per dieną, jei norite aktyviai stebėti, arba kartą per savaitę, jei norite nuolat stebėti |
Pastaba: taisymai vykdomi pagal sukonfigūruotą įrenginio tvarkaraštį. Pirmasis paleidimas gali užtrukti iki 24 valandų po priskyrimo, atsižvelgiant į įrenginio registracijos ciklą.
Spustelėkite Pirmyn
6 veiksmas. Peržiūra + kūrimas
-
Peržiūrėti visus parametrus
-
Spustelėkite Kurti
Rezultatų peržiūra ir eksportavimas
Rezultatų portale peržiūra
-
Eikite į Įrenginiai > Taisymai
-
Spustelėkite Saugiojo paleidimo sertifikato būsenos monitorius (arba pasirinktą pavadinimą)
-
Pasirinkite skirtuką Monitorius
-
Spustelėkite Įrenginio būsena
-
Spustelėkite Stulpeliai ir įtraukite išankstinio taisymo aptikimo išvestį
Pamatysite lentelę su šiais stulpeliais:
|
Stulpelis |
Aprašas |
|---|---|
|
Įrenginio pavadinimas |
Įrenginio pavadinimas |
|
Vartotojo vardas |
Pagrindinis įrenginio vartotojas |
|
Aptikimo būsena |
Be išdavimo (sertifikatai atnaujinti) arba su problema (sertifikatai neatnaujinti) |
|
Išankstinio atkūrimo aptikimo išvestis |
Visa JSON išvestis iš scenarijaus |
|
Paskutinį kartą modifikuota |
Kada scenarijus paskutinį kartą buvo paleistas įrenginyje |
Eksportavimas į CSV
-
Įrenginio būsenos puslapyje spustelėkite lentelės viršuje esantį mygtuką Eksportuoti
-
CSV failas atsisiųs visus stulpelius, įskaitant visą kiekvieno įrenginio JSON aptikimo išvestį
-
Atidarykite programoje "Excel", kad filtruotumėte, rūšiuotumėte ir analizuotumėte pagal bet kurį lauką
Patarimas: "Excel" galite naudoti funkcijas TEXTJOIN arba JSON, kad aptikimo išvesties JSON išanalizuotumėte į atskirus stulpelius, kad būtų lengviau analizuoti.
Apžvalgos skirtukas
Taisymo skirtuke Apžvalga pateikiama suvestinė ataskaitų sritis:
|
Metrinė reikšmė |
Reikšmė |
|---|---|
|
Įrenginiai, kuriuose kilo problemų |
Įrenginiai, kurių sertifikatai dar neatnaujinti |
|
Įrenginiai be problemų |
Įrenginiai, kuriuose sertifikatai yra atnaujinti |
|
Įrenginiai, kurių aptikimas nepavyko |
Įrenginiai, kuriuose scenarijuje įvyko klaida |
Dažnai užduodami klausimai
Ar tai ką nors keičia mano įrenginiuose?
Ne. Tai tik aptikimo scenarijus. Nemodifikuojamos registro reikšmės, nesuaktyvinami jokie naujinimai ir nesiimama jokių taisymo veiksmų. Scenarijus tik nuskaito reikšmes ir apie jas praneša.
Ką reiškia "Su problema"?
"Su problema" reiškia, kad įrenginyje dar nėra pritaikytų 2023 m. saugiosios įkrovos sertifikatų ir įdiegto 2023 m. pasirašyto įkrovos tvarkytuvo. Taip gali būti dėl šių priežasčių: - Sertifikato naujinimas neinicijuotas - Naujinimas vykdomas ir gali reikėti paleisti iš naujo - Įrenginyje neįjungta saugioji įkrova - Įrenginys nėra pagrįstas UEFI arba laukia paleidimo iš naujo, kad būtų pritaikytas įkrovos tvarkytuvas.
Ką reiškia "Be problemų"?
"Be problemų" reiškia, kad įrenginyje įjungta saugi įkrova ir atnaujinta UEFICA2023Status registro reikšmė, nurodanti, kad 2023 m. sertifikatai buvo sėkmingai pritaikyti.
Kaip dažnai vykdomas scenarijus?
Scenarijus vykdomas pagal tvarkaraštį, kurį sukonfigūravote užduotyje. Aktyviam stebėjimui diegimo metu rekomenduojama naudoti kasdien. Nuolatiniam stebėjimui pakanka kas savaitę.
Ką daryti, jei priežiūros registro rakto nėra?
Jei įrenginyje nėra rakto HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing, lauke UEFICA2023Status bus rodoma NoValue. Tai paprastai reiškia, kad įrenginyje nebuvo inicijuotas sertifikato naujinimas.
Kokios licencijos reikalingos?
Taisymui reikalingos "Windows 10/11 Enterprise E3/E5", "Education" A3/A5 arba F3 licencijos. Jei jūsų įrenginiai turi tik "Business Premium" arba "Pro" licencijas, taisymo priemonės nebus pasiekiamos. Žr. Taisymo būtinosios sąlygos.
Ištekliai
Saugiojo paleidimo sertifikato naujinimo veiksmų vadovas
Saugiojo paleidimo sertifikato Naujinimai: rekomendacijos IT specialistams
Registro rakto Naujinimai, skirti saugiai įkrovai
Reikia daugiau pagalbos?
Norite daugiau parinkčių?
Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.
Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.
