Windows 365 saugiosios įkrovos sertifikato Naujinimai
Pradinė publikavimo data: 2026 m. vasario 19 d.
KB ID: 5080914
Šiame straipsnyje pateikiamos rekomendacijos, skirtos:
-
Windows 365 administratoriai, valdantys debesies kompiuterius.
-
Organizacijos, naudojančios saugiosios įkrovos įgalintus debesies kompiuterius Windows 365 diegimams.
-
Organizacijos, naudojančios pasirinktinius Windows 365 diegimų vaizdus.
Šiame straipsnyje:
Įvadas
Saugusis paleidimas yra UEFI programinės-aparatinės įrangos saugos funkcija, padedanti užtikrinti, kad įrenginio paleidimo sekos metu veiktų tik patikima skaitmeniniu parašu pasirašyta programinė įranga. "Microsoft" saugiosios įkrovos sertifikatai, išduoti 2011 m., pradės galioti 2026 m. birželio mėn. Be atnaujintų 2023 sertifikatų įrenginiai nebegaus naujų saugiosios įkrovos ir įkrovos tvarkytuvo apsaugos arba rizikos mažinimo priemonių naujai atrastiems įkrovos lygio pažeidžiamumams.
Visi Windows 365 tarnyboje parengti debesies kompiuteriai, kuriuose įgalinta saugi įkrova, ir pasirinktiniai vaizdai, naudojami juos parengti, turi būti atnaujinti į 2023 m. sertifikatus prieš galiojimo pabaigą, kad jie išliktų apsaugoti. Žr. Kada saugiosios įkrovos sertifikatų galiojimo laikas baigiasi "Windows" įrenginiuose.
Ar tai taikoma mano Windows 365 aplinkai?
|
Scenarijus |
Aktyvi saugioji įkrova? |
Būtinas veiksmas |
|
Debesies kompiuteriai |
||
|
Debesies kompiuteris su įgalinta saugia įkrova |
Taip |
Sertifikatų naujinimas debesies kompiuteryje |
|
Debesies kompiuteris su išjungta saugia įkrova |
Ne |
Nereikia imtis jokių veiksmų |
|
Vaizdai |
||
|
Azure Skaičiavimo galerijos vaizdas su įgalinta saugia įkrova |
Taip |
Atnaujinkite sertifikatus šaltinio vaizde prieš bendrindami |
|
Azure skaičiavimo galerijos vaizdas be patikimo paleidimo |
Ne |
Pritaikykite naujinimus debesies kompiuteryje po parengimo |
|
Valdomas vaizdas (nepalaiko patikimo paleidimo) |
Ne |
Pritaikykite naujinimus debesies kompiuteryje po parengimo |
Visą foninę informaciją žr. Saugiosios įkrovos sertifikatų naujinimai: rekomendacijos IT specialistams ir organizacijoms.
Atsargos ir stebėjimas
Prieš imdamiesi veiksmų, nustatykite aplinką, kad nustatytumėte įrenginius, kuriems reikia naujinimų. Stebėjimas yra būtinas norint patvirtinti, kad sertifikatai taikomi iki 2026 m. birželio mėn. termino, net jei naudojatės automatinio diegimo metodais. Toliau pateikiamos parinktys, skirtos nustatyti, ar reikia imtis veiksmų.
1 parinktis: „Microsoft Intune“ taisymus
"„Microsoft Intune“" užsiregistravusiems debesies kompiuteriams galite įdiegti aptikimo scenarijų naudodami Intune taisymus (aktyvius taisymus), kad automatiškai rinktumėte saugios įkrovos sertifikato būseną jūsų laivyne. Scenarijus veikia automatiškai kiekviename įrenginyje ir praneša apie saugiosios įkrovos būseną, sertifikato naujinimo eigą ir įrenginio informaciją atgal į Intune portalą – įrenginiai nekeičiami. Rezultatus galima peržiūrėti ir eksportuoti į CSV tiesiogiai iš Intune administravimo centro, kad būtų galima atlikti viso parko analizę.
Išsamias instrukcijas, kaip įdiegti aptikimo scenarijų, žr. Saugiosios įkrovos sertifikato būsenos stebėjimas naudojant „Microsoft Intune“ taisymus.
2 parinktis: "Windows" automatinio suderinamumo saugiosios įkrovos būsenos ataskaita
Jei naudojate debesies kompiuterius, užregistruotus "Windows Autopatch", eikite į Intune administravimo centrą > Ataskaitos > "Windows" automatinis suderinamumas > "Windows" kokybiniai naujinimai > skirtukas Ataskaitos > Saugiosios įkrovos būsena. Žr. "Windows" automatinio suderinamumo saugiosios įkrovos būsenos ataskaita.
Pastaba: norint naudoti "Windows" automatinį suderinamumą su Windows 365, debesies kompiuteriai turi būti užregistruoti "Windows" automatinio suderinamumo tarnyboje. Žr. "Windows" automatinis suderinamumas Windows 365 Enterprise darbo krūvius.
3 galimybė: laivyno stebėsenos registro raktai
Naudodami esamus įrenginių valdymo įrankius užklauskite šių registro reikšmių visame parke.
|
Registro kelias |
Raktas |
Tikslas |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Dabartinio diegimo būsena |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Nurodo klaidas (neturi būti) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Nurodo įvykio ID (neturi būti) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Galimi naujinimai |
Laukiantys naujinimo bitai |
Visą registro rakto informaciją žr. Registro rakto naujinimai, skirti saugiai įkrovai.
4 parinktis: įvykių žurnalo stebėjimas
Naudokite esamus įrenginių valdymo įrankius, kad surinktumėte ir stebėtumėte šiuos įvykių ID iš sistemos įvykių žurnalo jūsų parke.
|
Įvykio ID |
Vieta |
Prasme |
|
1808 |
Sistema |
Sertifikatai sėkmingai pritaikyti |
|
1801 |
Sistema |
Naujinimo būsena arba išsami klaidos informacija |
Visą įvykio informacijos sąrašą žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.
5 galimybė: "PowerShell" atsargų scenarijus
Paleiskite "Microsoft" saugiosios įkrovos atsargų duomenų rinkimo scenarijaus pavyzdį, kad patikrintumėte saugiosios įkrovos sertifikato naujinimo būseną. Scenarijus renka kelis duomenų taškus, įskaitant saugiosios įkrovos būseną, UEFI CA 2023 naujinimo būseną, programinės-aparatinės įrangos versiją ir įvykių žurnalo veiklą.
Diegimo
Svarbu: Neatsižvelgiant į tai, kurią diegimo parinktį pasirinksite, rekomenduojame stebėti įrenginių parką, kad įsitikintumėte, jog sertifikatai sėkmingai taikomi iki 2026 m. birželio mėn. termino. Pasirinktinių vaizdų ieškokite Dalyje Pasirinktiniai vaizdų aspektai.
1 parinktis: automatinis Naujinimai iš „Windows Update“ (didelio patikimumo įrenginiai)
"Microsoft" automatiškai atnaujina įrenginius naudodama "Windows" mėnesio naujinimus, kai pakanka telemetrijos patvirtinti sėkmingą diegimą naudojant panašias aparatūros konfigūracijas.
-
Būsena: įjungta pagal numatytuosius parametrus didelio patikimumo įrenginiuose
-
Nereikia imtis jokių veiksmų, nebent norite atsisakyti
|
Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Raktas |
HighConfidenceOptOut = 1, kad atsisakytumėte |
|
Grupės strategija |
Computer Configuration > Administrative Templates > Windows Components > Secure Boot > Automatic Certificate Deployment via Naujinimai > Set to Disabled to opt out |
Rekomendacija: Net jei įjungti automatiniai naujinimai, stebėkite savo debesies kompiuterius, kad patikrintumėte, ar taikomi sertifikatai. Ne visiems įrenginiams gali būti skirtas didelio patikimumo automatinis diegimas.
Daugiau informacijos žr. Automatizuoto diegimo pagalbinės programos.
2 parinktis: IT-Initiated diegimas
Neautomatiniu būdu paleiskite sertifikato naujinimus, skirtus tiesioginiam arba valdomam iššaukimui.
|
Metodas |
Dokumentacija |
|
„Microsoft Intune“ |
|
|
Grupės strategija |
|
|
Registro raktai |
|
|
WinCS CLI |
Pastabos:
-
Tame pačiame įrenginyje nemaišykite IT inicijuotų diegimo metodų (pvz., Intune ir GPO) – jie valdo tuos pačius registro raktus ir gali konfliktuoti.
-
Leiskite maždaug 48 valandas ir vieną ar kelis kartus iš naujo paleiskite, kad sertifikatai būtų visiškai pritaikyti.
Pasirinktiniai vaizdo aspektai
Pasirinktinius vaizdus visiškai valdo jūsų organizacija. Privalote taikyti saugiosios įkrovos sertifikato naujinimus pasirinktiniam vaizdui ir iš naujo jį nusiųsti prieš naudodami parengimui.
Saugiosios įkrovos sertifikato naujinimų taikymas šaltinio vaizdui palaikomas tik su Azure skaičiavimo galerijos vaizdais (peržiūra), kurie palaiko patikimą paleidimą ir saugiąją įkrovą. Valdomi vaizdai nepalaiko saugiosios įkrovos, todėl sertifikato naujinimų negalima taikyti vaizdo lygiu. Jei debesies kompiuteriai parengti iš valdomų vaizdų, pritaikykite naujinimus tiesiogiai debesies kompiuteryje vienu iš anksčiau nurodytų diegimo būdų.
Prieš bendrindami naują pasirinktinį vaizdą, patikrinkite, ar sertifikatai atnaujinti:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Žinomos problemos
Priežiūros registro rakto nėra
|
Požymis |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing kelio nėra |
|
Priežastis |
Įrenginyje nebuvo inicijuoti sertifikato naujinimai |
|
Sprendimas |
Palaukite automatinio diegimo per „Windows Update“ arba rankiniu būdu pradėkite naudoti vieną iš anksčiau nurodytų IT inicijuotų diegimo metodų |
Būsena rodo "InProgress" ilgesnį laikotarpį
|
Požymis |
UEFICA2023Status lieka "InProgress" po kelių dienų |
|
Priežastis |
Norint užbaigti naujinimo procesą, gali tekti iš naujo paleisti įrenginį |
|
Sprendimas |
Paleiskite kompiuterį iš naujo debesyje ir patikrinkite būseną po 15 minučių. Jei problema išlieka, žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai trikčių diagnostikos nurodymus |
UEFICA2023Klaidos registro raktas yra
|
Požymis |
Yra UEFICA2023Error registro raktas |
|
Priežastis |
Diegiant sertifikatą įvyko klaida |
|
Sprendimas |
Išsamios informacijos ieškokite sistemos įvykių žurnale. Trikčių šalinimo patarimų žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai |
Ištekliai
Reikia daugiau pagalbos?
Norite daugiau parinkčių?
Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.
Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.
