Saugiosios įkrovos sertifikato Naujinimai, skirtas Azure virtualiam darbalaukiui
Taikoma
Pradinė publikavimo data: 2026 m. vasario 19 d.
KB ID: 5080931
Šiame straipsnyje pateikiamos rekomendacijos, skirtos:
-
Azure virtualiojo darbalaukio administratoriai, valdantys seanso pagrindinio kompiuterio naujinimus
-
Organizacijos, naudojančios saugiosios įkrovos įgalintas VM Azure virtualiojo darbalaukio diegimams
-
Organizacijos, naudojančios pasirinktinius vaizdus (auksinius vaizdus), skirtus Azure virtualiojo darbalaukio diegimams
Šiame straipsnyje:
Įvadas
Saugusis paleidimas yra UEFI programinės-aparatinės įrangos saugos funkcija, padedanti užtikrinti, kad įrenginio paleidimo sekos metu veiktų tik patikima skaitmeniniu parašu pasirašyta programinė įranga. "Microsoft" saugiosios įkrovos sertifikatai, išduoti 2011 m., pradės galioti 2026 m. birželio mėn. Be atnaujintų 2023 sertifikatų įrenginiai nebegaus naujų saugiosios įkrovos ir įkrovos tvarkytuvo apsaugos arba rizikos mažinimo priemonių naujai atrastiems įkrovos lygio pažeidžiamumams.
Visos saugiosios įkrovos įgalintos VM, užregistruotos Azure virtualiojo darbalaukio tarnyboje, ir pasirinktiniai vaizdai, naudojami juos parengti, turi būti atnaujinti į 2023 m. sertifikatus prieš galiojimo pabaigą, kad išliktų apsaugoti. Žr. Kada saugiosios įkrovos sertifikatų galiojimo laikas baigiasi "Windows" įrenginiuose
Ar tai taikoma mano Azure virtualiojo darbalaukio aplinkai?
|
Scenarijus |
Aktyvi saugioji įkrova? |
Būtinas veiksmas |
|
Seansų pagrindiniai kompiuteriai |
||
|
Trusted Launch VM with Secure Boot enabled |
Taip |
Atnaujinti seanso pagrindinio kompiuterio sertifikatus |
|
Trusted Launch VM with Secure Boot disabled |
Ne |
Nereikia imtis jokių veiksmų |
|
Standard saugos tipas VM |
Ne |
Nereikia imtis jokių veiksmų |
|
1 kartos VM |
Nepalaikoma |
Nereikia imtis jokių veiksmų |
|
Auksiniai vaizdai |
||
|
Azure Skaičiavimo galerijos vaizdas su įgalinta saugia įkrova |
Taip |
Naujinti sertifikatus šaltinio vaizde |
|
Azure skaičiavimo galerijos vaizdas be patikimo paleidimo |
Ne |
Taikyti naujinimus seanso pagrindiniame kompiuteryje po diegimo |
|
Valdomas vaizdas (nepalaiko patikimo paleidimo) |
Ne |
Taikyti naujinimus seanso pagrindiniame kompiuteryje po diegimo |
Visą foninę informaciją žr. Saugiosios įkrovos sertifikatų naujinimai: rekomendacijos IT specialistams ir organizacijoms.
Atsargos ir stebėjimas
Prieš imdamiesi veiksmų, nustatykite aplinką, kad nustatytumėte įrenginius, kuriems reikia naujinimų. Stebėjimas yra būtinas norint patvirtinti, kad sertifikatai taikomi iki 2026 m. birželio mėn. termino, net jei naudojatės automatinio diegimo metodais. Toliau pateikiamos parinktys, skirtos nustatyti, ar reikia imtis veiksmų.
1 parinktis: „Microsoft Intune“ taisymus
„Microsoft Intune“ užsiregistravusiems seansų pagrindiniams kompiuteriams galite įdiegti aptikimo scenarijų naudodami Intune taisymus (aktyvius taisymus), kad automatiškai rinktumėte saugiosios įkrovos sertifikato būseną jūsų laivyne. Scenarijus veikia automatiškai kiekviename įrenginyje ir praneša apie saugiosios įkrovos būseną, sertifikato naujinimo eigą ir įrenginio informaciją atgal į Intune portalą – įrenginiai nekeičiami. Rezultatus galima peržiūrėti ir eksportuoti į CSV tiesiogiai iš Intune administravimo centro, kad būtų galima atlikti viso parko analizę.
Išsamias instrukcijas, kaip įdiegti aptikimo scenarijų, žr. Saugiosios įkrovos sertifikato būsenos stebėjimas naudojant „Microsoft Intune“ taisymus.
2 parinktis: "Windows" automatinio suderinamumo saugiosios įkrovos būsenos ataskaita
Asmeninių nuolatinių seansų pagrindinių kompiuterių, užregistruotų "Windows Autopatch", atveju eikite į Intune administravimo centrą > Ataskaitos > "Windows" automatinio suderinamumo > "Windows" kokybiniai naujinimai > skirtukas Ataskaitos > Saugiosios įkrovos būsena. Žr. "Windows" automatinio suderinamumo saugiosios įkrovos būsenos ataskaita.
Pastaba: "Windows Autopatch" palaiko tik asmenines nuolatines virtualiąsias mašinas, skirtas Azure virtualųjį darbalaukį. Kelių seansų pagrindiniai kompiuteriai, sutelktinės ne nuolatinės virtualiosios mašinos ir nuotolinis programų srautinis perdavimas nepalaikomi. Žr. "Windows" automatinis suderinamumas Azure virtualiojo darbalaukio darbo krūvius.
3 galimybė: laivyno stebėsenos registro raktai
Naudodami esamus įrenginių valdymo įrankius užklauskite šių registro reikšmių visame parke.
|
Registro kelias |
Raktas |
Tikslas |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Dabartinio diegimo būsena |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Nurodo klaidas (neturi būti) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Nurodo įvykio ID (neturi būti) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Galimi naujinimai |
Laukiantys naujinimo bitai |
Visą registro rakto informaciją žr. Registro rakto naujinimai, skirti saugiai įkrovai: "Windows" įrenginiai su IT valdomais naujinimais.
4 parinktis: įvykių žurnalo stebėjimas
Naudokite esamus įrenginių valdymo įrankius, kad surinktumėte ir stebėtumėte šiuos įvykių ID iš sistemos įvykių žurnalo jūsų parke.
|
Įvykio ID |
Vieta |
Prasme |
|
1808 |
Sistema |
Sertifikatai sėkmingai pritaikyti |
|
1801 |
Sistema |
Naujinimo būsena arba išsami klaidos informacija |
Visą įvykio informacijos sąrašą žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.
5 galimybė: "PowerShell" atsargų scenarijus
Paleiskite "Microsoft" saugiosios įkrovos atsargų duomenų rinkimo scenarijaus pavyzdį, kad patikrintumėte saugiosios įkrovos sertifikato naujinimo būseną. Scenarijus renka kelis duomenų taškus, įskaitant saugiosios įkrovos būseną, UEFI CA 2023 naujinimo būseną, programinės-aparatinės įrangos versiją ir įvykių žurnalo veiklą.
Diegimo
Svarbu: Neatsižvelgiant į tai, kurią diegimo parinktį pasirinksite, rekomenduojame stebėti įrenginių parką, kad įsitikintumėte, jog sertifikatai sėkmingai taikomi iki 2026 m. birželio mėn. termino. Pasirinktinių vaizdų ieškokite "Golden Image Considerations".
1 parinktis: automatinis Naujinimai iš „Windows Update“ (didelio patikimumo įrenginiai)
"Microsoft" automatiškai atnaujina įrenginius naudodama "Windows" mėnesio naujinimus, kai pakanka telemetrijos patvirtinti sėkmingą diegimą naudojant panašias aparatūros konfigūracijas.
-
Būsena: Įjungta pagal numatytuosius parametrus didelio patikimumo įrenginiuose
-
Nereikia imtis jokių veiksmų, nebent norite atsisakyti
|
Registro |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Raktas |
HighConfidenceOptOut = 1, kad atsisakytumėte |
|
Grupės strategija |
Kompiuterio konfigūracija > Administravimo šablonai > "Windows" komponentai > Saugioji įkrova > Automatinis sertifikato diegimas naudojant Naujinimai > Nustatyti kaip Išjungta, kad atsisakytumėte. |
Rekomendacija: Net jei įjungti automatiniai naujinimai, stebėkite seanso pagrindinio kompiuterio kompiuterius, kad patikrintumėte, ar taikomi sertifikatai. Ne visiems įrenginiams gali būti skirtas didelio patikimumo automatinis diegimas.
Daugiau informacijos žr. Automatizuoto diegimo pagalbinės programos.
2 parinktis: IT-Initiated diegimas
Neautomatiniu būdu paleiskite sertifikato naujinimus, skirtus tiesioginiam arba valdomam iššaukimui.
|
Metodas |
Dokumentacija |
|
„Microsoft Intune“ |
|
|
Grupės strategija |
|
|
Registro raktai |
|
|
WinCS CLI |
Pastabos:
-
Tame pačiame įrenginyje nemaišykite IT inicijuotų diegimo metodų (pvz., Intune ir GPO) – jie valdo tuos pačius registro raktus ir gali konfliktuoti.
-
Leiskite maždaug 48 valandas ir vieną ar kelis kartus iš naujo paleiskite, kad sertifikatai būtų visiškai pritaikyti.
Aukso spalvos vaizdo aspektai
Jei norite Azure virtualiojo darbalaukio aplinkoms, kuriose naudojami Azure Skaičiavimo galerijos vaizdai su įgalinta saugia įkrova, prieš užfiksuodami aukso spalvos atvaizdą taikykite saugiosios įkrovos 2023 sertifikato naujinimą. Naudokite vieną iš anksčiau aprašytų naujinimų taikymo būdų, tada prieš bendrindami patikrinkite, ar sertifikatai atnaujinti:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Vaizdai, kuriems neįgalintas patikimas paleidimas, negali gauti saugiosios įkrovos sertifikato naujinimų per vaizdą. Tai apima valdomus vaizdus, kurie nepalaiko patikimo paleidimo, ir Azure skaičiavimo galerijos vaizdus, kuriuose neįgalintas patikimas paleidimas. Iš šių vaizdų parengtiems įrenginiams pritaikykite naujinimus svečio OS vienu iš anksčiau nurodytų būdų.
Žinomos problemos
Priežiūros registro rakto nėra
|
Požymis |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing kelio nėra |
|
Priežastis |
Įrenginyje nebuvo inicijuoti sertifikato naujinimai |
|
Sprendimas |
Palaukite automatinio diegimo per „Windows Update“ arba rankiniu būdu pradėkite naudoti vieną iš anksčiau nurodytų IT inicijuotų diegimo metodų |
Būsena rodo "InProgress" ilgesnį laikotarpį
|
Požymis |
UEFICA2023Status lieka "InProgress" po kelių dienų |
|
Priežastis |
Norint užbaigti naujinimo procesą, gali tekti iš naujo paleisti įrenginį |
|
Sprendimas |
Iš naujo paleiskite seanso pagrindinį kompiuterį ir patikrinkite būseną dar kartą po 15 minučių. Jei problema išlieka, žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai trikčių diagnostikos nurodymus |
UEFICA2023Klaidos registro raktas yra
|
Požymis |
Yra UEFICA2023Error registro raktas |
|
Priežastis |
Diegiant sertifikatą įvyko klaida |
|
Sprendimas |
Išsamios informacijos ieškokite sistemos įvykių žurnale. Trikčių šalinimo patarimų žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai |
Ištekliai
Reikia daugiau pagalbos?
Norite daugiau parinkčių?
Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.
Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.
