Taikoma
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pradinė paskelbimo data: 2025 m. birželio 26 d.

KB ID: 5062713

Šiame straipsnyje pateikiamos rekomendacijos:

Organizacijos (įmonės, smulkusis verslas ir švietimo įstaigos) su IT valdomais "Windows" įrenginiais ir naujinimais.

Pastaba: jei esate asmuo, turintis asmeninį "Windows" įrenginį, eikite į straipsnį "Windows" įrenginiai namų vartotojams, įmonėms ir mokymo įstaigoms su "Microsoft" valdomais naujinimais.

Datos keitimas

Keitimų aprašas

2026 m. gegužės 5 d.

2026 m. kovo 30 d.

  • Išspręsta žinoma problema "Saugiojo paleidimo sertifikato naujinimai gali nepavykti, kai įvykio ID 1795 "Hyper-V" virtualiosiose mašinose"

2026 m. kovo 24 d.

  • Atnaujinta žinoma problema "Saugiojo paleidimo sertifikato naujinimai gali nepavykti, kai įvykio ID 1795 "Hyper-V" virtualiosiose mašinose"

2026 m. kovo 16 d.

  • Pašalinta dalis "Patikimumo duomenų pavyzdys", esanti dalyje "Saugiosios įkrovos atsargų duomenų rinkimo scenarijaus pavyzdys", nes ji yra pasenusi.

2026 m. kovo 3 d.

  • Performatuota pavyzdžio išvestis dalyje "Parengimas", kad ji liktų lauke.

2026 m. vasario 24 d.

  • Atnaujintas dalies "Parengimas" saugiosios įkrovos atsargų duomenų rinkimo scenarijaus pavyzdžio turinys. 

  • Dalyje "Parengimas" įtrauktas naujas skyrius "Išvesties pavyzdys".

2026 m. vasario 23 d.

  • Atnaujintas dalies "Parengimas" saugiosios įkrovos atsargų duomenų rinkimo scenarijaus pavyzdžio turinys.

2026 m. vasario 13 d.

  • Į skyrių "Parengimas" įtraukti elementai "Patikimumo duomenų pavyzdys". 

  • Pašalintas "laukiančių įvykių 1801 ir 1808 rinkimo scenarijus" iš skyriaus "Pasiruošimas", nes jis nebereikalingas. 

2026 m. vasario 3 d.

  • Perkeltos ir performatuotos dažniausiai pasitaikančios trikčių diagnostikos skyriaus problemos.

  • Įtraukta nauja bendra problema: "Saugiojo paleidimo sertifikato naujinimai gali nepavykti, kai įvykio ID 1795 "Hyper-V" virtualiosiose mašinose".

2026 m. sausio 26 d.

  • Atnaujintas "Automatinio diegimo pagalbinės priemonės" tekstas iš "Abiem pagalbinėms priemonėms reikalingi diagnostikos duomenys." į "Diagnostikos duomenys reikalingi tik valdomų funkcijų diegimo pagalbinei pagalbai.

2025 m. lapkričio 11 d.

Ištaisytos dvi rašybos klaidos dalyje "Saugiosios įkrovos sertifikato diegimo palaikymas".

  • 0x0800 - Sertifikato pavadinimas pakeistas iš "Microsoft UEFI CA 2023" į "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 – "Microsoft Option ROM CA 2023" pakeista į "Microsoft UEFI CA 2023".

2025 m. lapkričio 10 d.

  • Ištaisytos dvi rašybos klaidos dalyje "Naujas sertifikatas": iš "Microsoft Corporation KEK CA 2023" į "Microsoft Corporation KEK 2K CA 2023" ir iš "Microsoft Option ROM CA 2023" į "Microsoft Option ROM UEFI CA 2023".

  • Nauji "PowerShell" scenarijai buvo įtraukti po antraštėmis "Saugiosios įkrovos būsenos tikrinimas visame parke: ar saugi įkrova įgalinta?" ir "Parengimas".

Šiame straipsnyje:

Apžvalga

Šis straipsnis skirtas organizacijoms, turinčioms specializuotus IT specialistus, kurie aktyviai valdo naujinimus visame įrenginių parke. Didžioji šio straipsnio dalis bus sutelkta į veiklą, būtiną organizacijos IT skyriui sėkmingai diegiant naujus saugiosios įkrovos sertifikatus. Ši veikla apima programinės įrangos testavimą, įrenginių naujinimų stebėjimą, diegimo inicijavimą ir iškilusių problemų diagnostiką. Pateikiami keli diegimo ir stebėjimo būdai. Be šių pagrindinių veiklų, siūlome keletą diegimo pagalbinių priemonių, įskaitant galimybę pasirinkti kliento įrenginius dalyvauti kontroliuojamų funkcijų diegime (CFR) specialiai sertifikatui diegti.

IT specialistams skirtas diegimo vadovas 

Planuokite ir atlikite saugiojo paleidimo sertifikato naujinimus visame savo įrenginių parke, atlikdami parengimą, stebėjimą, diegimą ir taisymą.

Saugiosios įkrovos būsenos tikrinimas visame parke: Ar saugi įkrova įgalinta? 

Dauguma įrenginių, pagamintų nuo 2012 m., palaiko saugią įkrovą ir yra pristatomi su įjungta saugia įkrova. Norėdami patikrinti, ar įrenginyje įjungta saugioji įkrova, atlikite vieną iš toliau nurodytų veiksmų. 

  • GUI metodas: Eikite į Pradžia > Parametrai > Privatumas & sauga > „Windows“ sauga > Įrenginio sauga. Dalies Įrenginio sauga dalyje Saugioji įkrova turėtų būti nurodyta, kad saugioji įkrova įjungta.

  • Komandų eilutės metodas: Didesnių teisių "PowerShell" komandinėje eilutėje įveskite Confirm-SecureBootUEFI ir paspauskite Enter. Komanda turėtų grąžinti "True", nurodančią, kad įjungta saugi įkrova.

Jei diegiama dideliu mastu įrenginių parke, IT specialistų naudojama valdymo programinė įranga turės pateikti saugiosios įkrovos įgalinimo patikrą. 

Pavyzdžiui, saugios įkrovos būsenos patikrinimas "Microsoft Intune" valdomuose įrenginiuose yra sukurti ir įdiegti "Intune" pasirinktinį atitikties scenarijų. "Intune" atitikties parametrai aprašyti "Linux" ir "Windows" įrenginių pasirinktinių atitikties parametrų naudojimas su "„Microsoft Intune“".  

" Powershell" scenarijaus, skirto patikrinti, ar įjungta saugioji įkrova, pavyzdys:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Jei Saugioji įkrova neįjungta, galite praleisti toliau nurodytus naujinimo veiksmus, nes jie netaikomi.

Kaip diegiami naujinimai

Yra keli būdai, kaip nukreipti į įrenginius, kad būtų siunčiami saugiosios įkrovos sertifikato naujinimai. Diegimo išsami informacija, įskaitant parametrus ir įvykius, bus aptarta toliau šiame dokumente. Kai įrenginyje pageidaujate naujinimų, įrenginyje nustatomas parametras, nurodantis, kad įrenginys turėtų pradėti naujų sertifikatų taikymo procesą. Suplanuota užduotis įrenginyje vykdoma kas 12 valandų ir aptinka, kad įrenginys buvo skirtas naujinimams. Užduoties veikimo struktūra:

  1. DB taikoma "Windows UEFI CA 2023".

  2. Jei įrenginio DB yra "Microsoft Corporation" UEFI CA 2011, užduotis DB taiko "Microsoft Option ROM UEFI CA 2023" ir "Microsoft UEFI CA 2023".

  3. Tada užduotis prideda "Microsoft Corporation KEK 2K CA 2023".

  4. Galiausiai suplanuota užduotis atnaujina "Windows" įkrovos tvarkyklę į tą, kurią pasirašė "Windows UEFI CA 2023". "Windows" aptiks, kad reikia paleisti įrenginį iš naujo, kad būtų galima taikyti įkrovos tvarkytuvą. Įkrovos tvarkytuvo naujinimas bus atidėtas, kol paleidimas iš naujo įvyks natūraliai (pvz., kai taikomi mėnesiniai naujinimai), ir tada "Windows" dar kartą bandys taikyti įkrovos tvarkytuvo naujinimą.

Visi aukščiau nurodyti veiksmai turi būti sėkmingai atlikti, kad suplanuota užduotis pereitų prie kito veiksmo. Šio proceso metu įvykių žurnalai ir kita būsena bus pasiekiama, kad būtų lengviau stebėti diegimą. Daugiau informacijos apie stebėseną ir įvykių žurnalus pateikiama toliau.  

Saugiosios įkrovos sertifikatų atnaujinimas suteikia galimybę ateityje atnaujinti 2023 m. įkrovos tvarkytuvą, kuris yra saugesnis. Konkretūs įkrovos tvarkytuvo naujinimai bus būsimuose leidimuose.

Diegimo veiksmai 

  • Paruošimas: Inventorius ir bandymo prietaisai.

  • Programinės-aparatinės įrangos aspektai

  • Stebėjimas: patikrinkite stebėjimo darbus ir suplanuokite savo transporto priemonių parką.

  • Diegimas: Taikykite įrenginius, kuriuose reikia naujinimų, pradedant nuo mažų poaibių ir plečiant pagal sėkmingus testus.

  • Ištaisymas: ištirkite ir išspręskite visas problemas naudodami žurnalus ir tiekėjo palaikymą.

Paruošimas 

Inventoriaus aparatūra ir programinė įranga. Sukurkite reprezentatyvų įrenginių pavyzdį pagal sistemos gamintoją, sistemos modelį, BIOS versiją / datą, bazinės plokštės produkto versiją ir kt. ir išbandykite naujinimus tuose įrenginiuose prieš platų diegimą.  Šie parametrai paprastai pateikiami sistemos informacijoje (MSINFO32). Naudokite įtrauktus "PowerShell" komandų pavyzdžius, kad patikrintumėte saugiosios įkrovos naujinimo būseną ir inventorizuotumėte organizacijos įrenginius.

Pastabos: 

  • Šios komandos taikomos, jei įjungta saugiosios įkrovos būsena.

  • Daugumai šių komandų reikia administratoriaus teisių.

Saugiosios įkrovos atsargų duomenų rinkimo scenarijaus pavyzdys

Nukopijuokite ir įklijuokite šį scenarijaus pavyzdį ir, jei reikia, modifikuokite pagal savo aplinką: Saugiosios įkrovos atsargų duomenų rinkimo scenarijaus pavyzdys.

Išvesties pavyzdys:

{"UEFICA2023Status":"Atnaujinta","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Saugiosios įkrovos patikimumo lygiai

Patikimumo lygis

Reikšmė

Būtinas veiksmas

Didelis pasitikėjimas

"Microsoft" patvirtino, kad ši įrenginio klasė yra saugi naujinimams

Saugu diegti sertifikatų naujinimus

Stebima – reikia daugiau duomenų

"Microsoft" vis dar renka saugiosios įkrovos diegimo diagnostikos duomenis apie šiuos įrenginius

Palaukite "Microsoft" klasifikacijos

Duomenų nepastebėta – reikia imtis veiksmų

Įrenginio klasė "Microsoft" nežinoma

Įmonės turi išbandyti ir suplanuoti diegimą

Laikinai pristabdyta

Žinomos suderinamumo problemos

Patikrinkite, ar nėra OEM BIOS naujinimų; Palaukite, kol "Microsoft" išspręs problemą

Nepalaikoma – žinomas apribojimas

Platformos arba aparatūros apribojimai

Įrašyti kaip išimtį

Pirmas žingsnis, jei įjungta saugi įkrova, yra patikrinti, ar nėra laukiančių įvykių, kurie neseniai buvo atnaujinti, arba atnaujinami saugiosios įkrovos sertifikatai. Ypač įdomūs naujausi įvykiai 1801 ir 1808 m. Šie įvykiai išsamiai aprašyti saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiuose. Taip pat skyriuje Stebėjimas ir diegimas sužinokite, kaip įvykiai gali parodyti laukiančių naujinimų būseną.  

Kitas žingsnis – inventorizuoti įrenginius visoje organizacijoje. Naudodami "PowerShell" komandas surinkite šią informaciją, kad sukurtumėte tipinį pavyzdį: 

Pagrindiniai identifikatoriai (2 reikšmės)

      1. Pagrindinio kompiuterio vardas – $env: KOMPIUTERIOVARDAS 

      2. CollectionTime - Get-Date 

Registras: Saugiosios įkrovos pagrindinis raktas (3 reikšmės) 

     3. SecureBootEnabled – Confirm-SecureBootUEFI cmdlet arba HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registras: Priežiūros raktas (3 reikšmės) 

     6. UEFICA2023Būsena -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Klaida – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registras: įrenginio atributai (7 reikšmės) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. Programinės-aparatinės įrangos versija – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Įvykių žurnalai: sistemos žurnalas (5 reikšmės) 

     16. LatestEventId – naujausias saugiosios įkrovos įvykis 

     17. BucketID – išgauta iš įvykio 1801/1808 

     18. Pasitikėjimas - Ištraukta iš įvykio 1801/1808 

     19. Event1801Count – įvykių skaičius 

     20. Event1808Count – įvykių skaičius 

WMI/CIM užklausos (4 reikšmės) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. "LastBootTime" – Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Gamintojas  

     26. (Get-CIMInstance Win32_ComputerSystem). Modelis  

    27. (Get-CIMInstance Win32_BIOS). Aprašymas + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Produktas  

Programinės-aparatinės įrangos aspektai

Norint diegti naujus saugiosios įkrovos sertifikatus savo įrenginių parke, reikia, kad įrenginio programinė-aparatinė įranga vaidintų svarbų vaidmenį užbaigiant naujinimą. Nors "Microsoft" tikisi, kad dauguma įrenginių programinės-aparatinės įrangos veiks taip, kaip tikėtasi, prieš diegiant naujus sertifikatus reikia kruopščiai išbandyti.

Išnagrinėkite savo aparatūros aprašą ir sukurkite nedidelį reprezentatyvų įrenginių pavyzdį pagal šiuos unikalius kriterijus, pvz.: 

  • Gamintojas

  • Modelio numeris

  • Programinės-aparatinės įrangos versija

  • OEM grindjuostės versija ir kt.

Prieš plačiai diegiant savo transporto priemonių parko įrenginiuose, rekomenduojame išbandyti sertifikatų naujinimus tipiniuose pavyzdiniuose įrenginiuose (kaip apibrėžiami pagal tokius veiksnius kaip gamintojas, modelis, programinės-aparatinės įrangos versija), kad įsitikintumėte, jog naujinimai apdorojami sėkmingai. Rekomenduojamas kiekvienos unikalios kategorijos prietaisų pavyzdžių skaičius yra 4 ar daugiau.

Tai padės sukurti pasitikėjimą diegimo procesu ir išvengti nenumatyto poveikio platesniam jūsų transporto priemonių parkui. 

Kai kuriais atvejais norint sėkmingai atnaujinti saugiosios įkrovos sertifikatus, gali prireikti programinės-aparatinės įrangos naujinimo. Tokiais atvejais rekomenduojame susisiekti su įrenginio OĮG ir sužinoti, ar yra atnaujintos programinės-aparatinės įrangos.

"Windows" virtualizuotoje aplinkoje

Jei "Windows" veikia virtualioje aplinkoje, yra du būdai, kaip įtraukti naujus sertifikatus į saugiosios įkrovos programinės-aparatinės įrangos kintamuosius:  

  • Virtualios aplinkos kūrėjas (AWS, Azure, Hyper-V, VMware ir kt.) gali pateikti aplinkos atnaujinimą ir įtraukti naujus sertifikatus į virtualizuotą programinę-aparatinę įrangą. Tai veiktų naujiems virtualizuotiems įrenginiams.

  • Jei "Windows" veikia ilgą laiką VM, naujinimus galima taikyti per "Windows" kaip ir bet kuriuose kituose įrenginiuose, jei virtuali programinė-aparatinė įranga palaiko saugiosios įkrovos naujinimus.

Stebėjimas ir diegimas 

Rekomenduojame pradėti įrenginio stebėjimą prieš diegiant, kad įsitikintumėte, jog stebėjimas veikia tinkamai ir iš anksto žinote transporto priemonių parko būklę. Stebėjimo galimybės aptariamos toliau. 

"Microsoft" teikia kelis saugiojo paleidimo sertifikato naujinimų diegimo ir stebėjimo būdus.

Automatizuotos diegimo pagalbinės priemonės 

"Microsoft" teikia dvi diegimo pagalbines priemones. Šie pagalbininkai gali būti naudingi diegiant naujus sertifikatus jūsų laivyne. Diagnostikos duomenys reikalingi tik valdomų funkcijų diegimo pagalbinei priemonei.

  • Kaupiamųjų naujinimų su patikimumo talpyklomis parinktis: "Microsoft" gali automatiškai įtraukti didelio patikimumo įrenginių grupes į mėnesinius naujinimus, atsižvelgdama į diagnostikos duomenis, bendrintus iki šiol, kad būtų naudinga sistemoms ir organizacijoms, kurios negali bendrinti diagnostikos duomenų. Šiam veiksmui nereikia įgalinti diagnostikos duomenų.

    • Organizacijoms ir sistemoms, kurios gali bendrinti diagnostikos duomenis, ji suteikia "Microsoft" matomumą ir patikimumą, kad įrenginiai gali sėkmingai įdiegti sertifikatus. Daugiau informacijos apie diagnostikos duomenų įgalinimą rasite: "Windows" diagnostikos duomenų konfigūravimas organizacijoje. Mes kuriame "talpyklas" kiekvienam unikaliam įrenginiui (kaip apibrėžiama pagal atributus, kurie apima gamintoją, pagrindinės plokštės versiją, programinės-aparatinės įrangos gamintoją, programinės-aparatinės įrangos versiją ir papildomus duomenų elementus). Stebime kiekvienos talpyklos sėkmės įrodymus keliuose įrenginiuose. Kai pamatysime pakankamai sėkmingų naujinimų ir jokių nesėkmių, laikysime grupę "didelio patikimumo" ir įtrauksime šiuos duomenis į mėnesio kaupiamuosius naujinimus. Kai mėnesiniai naujinimai taikomi įrenginiui, esančiam didelio patikimumo talpykloje, "Windows" automatiškai pritaikys sertifikatus UEFI saugiosios įkrovos kintamiesiems programinėje-aparatinėje įrangoje.

    • Didelio patikimumo talpyklos apima įrenginius, kurie tinkamai apdoroja naujinimus. Žinoma, ne visi įrenginiai pateiks diagnostikos duomenis, o tai gali apriboti "Microsoft" pasitikėjimą įrenginio galimybe tinkamai apdoroti naujinimus.

    • Ši pagalbinė priemonė didelio patikimumo įrenginiuose yra įjungta pagal numatytuosius parametrus ir gali būti išjungta naudojant konkretaus įrenginio parametrą. Daugiau informacijos bus bendrinama būsimuose "Windows" leidimuose.

  • Controlled Feature Rollout (CFR):  Sutikite "Microsoft" valdomo diegimo įrenginius, jei diagnostikos duomenys įgalinti.

    • Controlled Feature Rollout (CFR) galima naudoti su kliento įrenginiais organizacijos parkuose. Tam reikia, kad įrenginiai siųstų privalomuosius diagnostikos duomenis "Microsoft" ir signalizuotų, kad įrenginys sutinka leisti CFR įrenginyje. Išsami informacija apie tai, kaip pasirinkti, aprašyta toliau.

    • "Microsoft" valdys šių naujų sertifikatų naujinimo procesą "Windows" įrenginiuose, kuriuose prieinami diagnostikos duomenys ir įrenginiai dalyvauja kontroliuojamų funkcijų diegimo (CFR) pakete. Nors CFR gali padėti diegti naujus sertifikatus, organizacijos negalės pasikliauti CFR savo laivynams atkurti – reikės atlikti veiksmus, aprašytus šiame dokumente skyriuje apie diegimo metodus, kurių neapima automatinės pagalbos.

    • Apribojimai: Yra kelios priežastys, dėl kurių CFR gali neveikti jūsų aplinkoje. Toliau pateikiami keli pavyzdžiai.

      • Diagnostikos duomenys nepasiekiami arba diagnostikos duomenų negalima naudoti kaip CFR diegimo dalies.

      • Įrenginiai nėra palaikomose "Windows 11" ir "Windows 10" kliento versijose su išplėstiniais saugos naujinimais (ESU).

Diegimo metodai, kuriems taikomos automatinės pagalbinės priemonės

Pasirinkite metodą, kuris tinka jūsų aplinkai. Venkite maišymo būdų tame pačiame įrenginyje: 

  • Registro raktai: valdykite diegimą ir stebėkite rezultatus.Yra keli registro raktai, skirti valdyti sertifikatų diegimo elgseną ir stebėti rezultatus. Be to, yra du pagrindiniai klavišai, kaip pasirinkti ir atsisakyti anksčiau aprašytų diegimo priemonių. Daugiau informacijos apie registro raktus rasite Registro raktų Naujinimai, skirti saugiai įkrovai – "Windows" įrenginiai su IT valdomais naujinimais.

  • Grupės strategija Objektai (GPO): valdykite parametrus; stebėkite naudodami registrą ir įvykių žurnalus.Būsimame naujinime "Microsoft" teiks saugiosios įkrovos naujinimų valdymo palaikymą naudojant Grupės strategiją. Atkreipkite dėmesį, kad kadangi Grupės strategija skirta parametrams, įrenginio būseną reikės stebėti alternatyviais metodais, įskaitant registro raktų ir įvykių žurnalo įrašų stebėjimą.

  • WinCS ("Windows" konfigūracijos sistema) CLI: prie domeno prijungtiems klientams naudokite komandų eilutės įrankius.Taip pat domeno administratoriai gali naudoti į "Windows" OS naujinimus įtrauktą "Windows" konfigūracijos sistemą ("WinCS") ir diegti saugiosios įkrovos naujinimus prie domeno prijungtuose "Windows" klientuose ir serveriuose. Jį sudaro komandų eilutės paslaugų serija (tiek tradicinis vykdomasis failas, tiek "PowerShell" modulis), kad būtų galima pateikti užklausas ir pritaikyti saugiosios įkrovos konfigūracijas vietoje įrenginyje. Daugiau informacijos žiūrėkite šiuose straipsniuose:

  • "Microsoft Intune" / konfigūracijos tvarkyklė: Diekite "PowerShell" scenarijus. Konfigūravimo paslaugų teikėjas (CSP) bus pateiktas būsimame naujinime, kad būtų galima diegti naudojant "Intune".

Įvykių žurnalų stebėjimas

Pateikiami du nauji įvykiai, padėsiantys diegti saugiosios įkrovos sertifikato naujinimus. Šie įvykiai išsamiai aprašyti saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiuose

  • Įvykio ID: 1801 Tai yra klaidos įvykis, nurodantis, kad atnaujinti sertifikatai nebuvo pritaikyti įrenginiui. Šis įvykis pateikia tam tikros išsamios informacijos apie įrenginį, įskaitant įrenginio atributus, kurie padės susieti, kuriuos įrenginius dar reikia atnaujinti.

  • Įvykio ID: 1808 Tai yra informacinis įvykis, nurodantis, kad įrenginys turi įrenginio programinei-aparatinei įrangai reikalingus naujus saugiosios įkrovos sertifikatus.

Diegimo strategijos 

Norėdami sumažinti riziką, saugiosios įkrovos naujinimus diekite etapais, o ne visus iš karto. Pradėkite nuo nedidelio įrenginių rinkinio, patikrinkite rezultatus, tada išplėskite į papildomas grupes. Siūlome pradėti nuo įrenginių poaibių ir, kai įgysite pasitikėjimo šiomis įdiegtimis, įtraukti papildomų įrenginių poaibių. Norint nustatyti, kas patenka į pogrupį, gali būti naudojami keli veiksniai, įskaitant pavyzdinių įrenginių bandymų rezultatus, organizacijos struktūrą ir kt. 

Sprendimą, kuriuos įrenginius diegti, priimsite patys. Čia išvardytos kai kurios galimos strategijos. 

  • Didelių įrenginių parkas: pirmiausia pasikliaukite anksčiau aprašytomis pagalbinėmis priemonėmis dažniausiai valdomuose įrenginiuose. Tuo pat metu sutelkite dėmesį į rečiau naudojamus organizacijos valdomus įrenginius. Išbandykite įrenginius su mažais pavyzdžiais ir, jei testavimas sėkmingas, įdiekite su likusiais to paties tipo įrenginiais. Jei tikrinant kyla problemų, išanalizuokite problemos priežastį ir nustatykite šalinimo veiksmus. Taip pat galite apsvarstyti klases, kurios turi didesnę vertę jūsų transporto priemonių parke, ir pradėti testuoti bei diegti, kad iš anksto užtikrintumėte tų įrenginių atnaujintą apsaugą.

  • Mažas laivynas, didelė įvairovė: Jei jūsų valdomame parke yra daug įvairių mašinų, kuriose atskirų įrenginių testavimas būtų pernelyg sudėtingas, apsvarstykite galimybę labai pasikliauti dviem aukščiau aprašytomis pagalbinėmis priemonėmis, ypač įrenginiams, kurie greičiausiai bus įprasti įrenginiai rinkoje. Iš pradžių sutelkite dėmesį į įrenginius, kurie yra kritiškai svarbūs kasdieniam darbui, išbandykite ir tada įdiegkite. Toliau judėkite žemyn aukšto prioriteto įrenginių sąrašu, testuodami ir diegdami, stebėdami parką, kad įsitikintumėte, jog pagalbinės priemonės padeda likusiems įrenginiams.

Pastabos 

  • Atkreipkite dėmesį į senesnius įrenginius, ypač įrenginius, kurių gamintojas nebepalaiko. Nors programinė-aparatinė įranga turėtų tinkamai atlikti naujinimo operacijas, kai kurios gali ne. Tais atvejais, kai programinė įranga neveikia tinkamai ir įrenginys nebepalaikomas, apsvarstykite galimybę pakeisti įrenginį, kad užtikrintumėte saugios įkrovos apsaugą visame parke.

  • Nauji įrenginiai, pagaminti per pastaruosius 1–2 metus, jau gali turėti atnaujintus sertifikatus, tačiau sistemoje gali nebūti pritaikyta "Windows UEFI CA 2023" pasirašyta įkrovos tvarkyklė. Šio įkrovos tvarkytuvo taikymas yra svarbus paskutinis kiekvieno įrenginio diegimo žingsnis.

  • Pasirinkus naujinti įrenginį, gali užtrukti, kol naujinimai bus baigti. Numatoma, kad sertifikatai bus pritaikyti per 48 valandas ir vieną ar daugiau paleidimų iš naujo.

Dažnai užduodami klausimai (DUK)

Dažnai užduodamus klausimus rasite straipsnyje apie saugią įkrovą .

Trikčių diagnostika

Daugiau informacijos ieškokite trikčių šalinimo dokumente.

Papildomi ištekliai

Patarimas: Pažymėkite šiuos papildomus išteklius.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras