Drošas sāknēšanas Atjauninājumi palaišana Azure darbvirsmai
Attiecas uz
Sākotnējās publicēšanas datums: 2026. gada 19. februāris
KB ID: 5080931
Šajā rakstā ir norādījumi:
-
Azure administratoru sesijas resursdatora atjauninājumu pārvaldība
-
Organizācijas, kas izmanto drošas sāknēšanas iespējotus virtuālās Azure izvietošanu
-
Organizācijas, kas izmanto pielāgotus attēlus (zeltainus attēlus) Azure virtuālās darbvirsmas izvietojumiem
Šajā rakstā:
Ievads
Secure Boot ir UEFI aparātprogrammatūras drošības līdzeklis, kas palīdz nodrošināt tikai uzticamu programmatūru ar ciparparakstu, darbojas ierīces palaišanas secībā. 2011. gadā izdotie Microsoft drošās sāknēšanas sertifikāti sākas 2026. gada jūnijā. Bez atjauninātajiem 2023. gada sertifikātiem ierīces vairs nesaņems jaunas drošās sāknēšanas un sāknēšanas pārvaldnieka aizsardzības iespējas vai riskus jaundzimušu sāknēšanas līmeņa ievainojamību gadījumā.
Visas drošās sāknēšanas iespējotās virtuālās mašīnas, kas reģistrētas Azure virtuālās darbvirsmas pakalpojumā, un pielāgotie attēli, kas tiek izmantoti to nodrošināšana, pirms derīguma termiņa beigām ir jāatjaunina uz 2023. gada sertifikātiem, lai tie būtu aizsargāti. Skatiet rakstu Kad Windows ierīcēs beidzas drošās sāknēšanas sertifikātu derīgums
Vai tas attiecas uz manu Azure virtuālās darbvirsmas vidi?
|
Scenārijs |
Vai droša palaišana ir aktīva? |
Nepieciešama rīcība |
|
Sesijas resursdatori |
||
|
Uzticama palaišanas VM ar iespējotu drošo sāknēšanas iespēju |
Jā |
Sertifikātu atjaunināšana sesijas resursdatorā |
|
Uzticama palaišanas VM ar atspējotu drošo sāknēšanas programmu |
Nē |
Nav jāveic nekādas darbības |
|
Standard tipa VM |
Nē |
Nav jāveic nekādas darbības |
|
1. paaudzes VM |
Netiek atbalstīts |
Nav jāveic nekādas darbības |
|
Golden Images |
||
|
Azure skaitļošanas galerijas attēls ar iespējotu drošo sāknēšanu |
Jā |
Atjaunināt sertifikātus avota attēlā |
|
Azure Compute Gallery image without Trusted Launch |
Nē |
Atjauninājumu izmantošana sesijas resursdatorā pēc izvietošanas |
|
Pārvaldītais attēls (neatbalsta uzticamu palaišanu) |
Nē |
Atjauninājumu izmantošana sesijas resursdatorā pēc izvietošanas |
Pilnu fona informāciju skatiet rakstā Drošas sāknēšanas sertifikāta atjauninājumi: norādījumi IT speciālistiem un organizācijām.
Krājumi un pārraudzība
Pirms veicamās darbības, krājumus jūsu vidē, lai identificētu ierīces, kam nepieciešami atjauninājumi. Pārraudzība ir būtiska, lai apstiprinātu sertifikātu izmantošanu pirms 2026. gada jūnija termiņa, pat ja izmantojat automātiskās izvietošanas metodes. Tālāk ir pieejamas opcijas, lai noteiktu, vai ir jāveic kāda darbība.
1. iespēja Microsoft Intune koriģēšana
Programmā Microsoft Intune reģistrētiem sesijas resursdatoriem varat izvietot noteikšanas skriptu, izmantojot Intune koriģēšanu (proaktīvu koriģēšanu), lai automātiski apkopotu drošas sāknēšanas sertifikāta statusu jūsu vietā. Skripts tiek nemanāmi izpildīts katrā ierīcē un ziņo par drošās sāknēšanas statusu, sertifikāta atjaunināšanas norisi un ierīces informāciju atpakaļ Intune — ierīcēs netiek veiktas nekādas izmaiņas. Rezultātus var skatīt un eksportēt CSV failā tieši no Intune administrēšanas centra, lai analizētu plašas analīzes iespējas.
Lai iegūtu pakāpeniskas instrukcijas par noteikšanas skripta izvietošanu, skatiet sadaļu Drošas sāknēšanas sertifikāta statusa pārraudzība, Microsoft Intune darbības.
2. iespēja. Windows automātiskās saderības drošā sāknēšanas statusa atskaite
Personiskajiem pastāvīgajiem sesijas resursdatoriem, kas reģistrēti ar Windows automātiskopatch, dodieties uz Intune administrēšanas centru > Atskaites > Windows automātiskās > Windows kvalitātes atjauninājumi > cilnes Atskaites > drošās sāknēšanas statuss. Skatiet rakstu Drošās sāknēšanas statusa atskaite sistēmā Windows automātiskā pārbaude.
Piezīme.: Windows automātiskā saderība atbalsta tikai personiskās pastāvīgās virtuālās mašīnas Azure virtuālajai darbvirsmai. Vairāku sesiju resursdatori, pastāvīgās virtuālās mašīnas ar pūlu un attālās lietojumprogrammu straumēšana netiek atbalstīta. Skatiet rakstu Windows automātiskā Azure virtuālās darbvirsmas darba slodzēm.
3. iespēja. Reģistra atslēgas pārraudzībai
Izmantojiet esošos ierīču pārvaldības rīkus, lai uz vaicājumu vaicātu šīm reģistra vērtībām visā jūsu ierīcē.
|
Reģistra ceļš |
Atslēga |
Nolūks |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Pašreizējais izvietošanas statuss |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Norāda kļūdas (nevajadzētu pastāvēt) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Norāda notikuma ID (tam nevajadzētu pastāvēt) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Gaidošie atjaunināšanas biti |
Detalizētu informāciju par reģistra atslēgu skatiet rakstā Drošās sāknēšanas reģistra atslēgu atjauninājumi: Windows ierīces ar IT pārvaldītiem atjauninājumiem.
4. iespēja. Notikumu žurnāla pārraudzība
Izmantojiet esošos ierīču pārvaldības rīkus, lai apkopotu un pārraudzītu šos notikumu ID sistēmas notikumu žurnālā jūsu ierīcē.
|
Notikuma ID |
Atrašanās vieta |
Nozīme |
|
1808 |
Sistēma |
Sertifikāti sekmīgi lietoti |
|
1801 |
Sistēma |
Statusa vai kļūdas detalizētās informācijas atjaunināšana |
Pilnu notikuma informācijas sarakstu skatiet rakstā Secure Boot DB un DBX mainīgā atjaunināšanas notikumi.
5. iespēja. PowerShell krājumu skripts
Palaidiet Microsoft drošās sāknēšanas krājumu datu kolekcijas skriptu, lai pārbaudītu drošas sāknēšanas sertifikāta atjaunināšanas statusu. Skripts apkopo vairākus datu punktus, tostarp drošā sāknēšanas stāvokli, UEFI CA 2023 atjaunināšanas statusu, aparātprogrammatūras versiju un notikumu žurnāla aktivitāti.
Izvietošana
Svarīgi!: Neatkarīgi no tā, kuru izvietošanas opciju izvēlaties, mēs iesakām pārraudzīt savas ierīces aizsardzību, lai pārliecinātos, vai sertifikāti ir sekmīgi lietoti pirms 2026. gada jūnija termiņa. Pielāgotus attēlus skatiet rakstā Zelta attēla apsvērumi.
1. iespēja. Automātiskā Atjauninājumi noņemšana no Windows Update (augstas ticamības ierīces)
Microsoft automātiski atjaunina ierīces, izmantojot Windows ikmēneša atjauninājumus, ja pietiekama telemetrija apstiprina veiksmīgu izvietošanu līdzīgās aparatūras konfigurācijās.
-
Statuss: Pēc noklusējuma iespējots augstas ticamības ierīcēm
-
Nekādas darbības nav nepieciešamas, ja vien nevēlaties atteikties
|
Reģistrs |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Atslēga |
HighConfidenceOptOut = 1, lai atteiktos |
|
Grupas politika |
Datora konfigurācija > administratīvās veidnes > Windows komponenti > drošās sāknēšanas > automātisko sertifikātu izvietošanu, izmantojot Atjauninājumi > Lai atteiktos, iestatiet to kā atspējotu. |
Ieteikums Pat tad, ja ir iespējoti automātiskie atjauninājumi, pārraugiet savas sesijas viesošanas pakalpojumu kopiju, lai pārbaudītu, vai tiek lietoti sertifikāti. Ne visas ierīces var kvalificēties augstas ticamības automātiskai izvietošanai.
Papildinformāciju skatiet sadaļā Automatizētās izvietošanas palīdzība.
2. iespēja. IT-Initiated izvietošana
Manuāli aktivizēiet sertifikātu atjauninājumus tūlītējai vai kontrolētai izvēršai.
|
Metode |
Dokumentācija |
|
Microsoft Intune |
|
|
Grupas politika |
|
|
Reģistra atslēgas |
|
|
WinCS CLI |
Piezīmes.:
-
Nejauciet IT iniciētajās izvietošanas metodēs (piemēram, Intune un GPO) vienā ierīcē — tās kontrolē tās pašas reģistra atslēgas, un var radīt konfliktu.
-
Atļaut aptuveni 48 stundas un vienu vai vairākas restartēšanas reizes, lai sertifikāti pilnībā ļautu tos izmantot.
Golden Image Considerations
Virtuālās darbvirsmas Azure, kas izmanto Azure Skaitļošanas galerijas attēlus ar iespējotu drošo sāknēšanu, pirms skaitļošanas lietojiet drošas sāknēšanas 2023 sertifikāta atjauninājumu zeltainajam attēlam. Izmantojiet kādu no iepriekš aprakstītajām metodēm, lai lietotu atjauninājumu, un pēc tam pirms vispārīguma pārbaudiet, vai sertifikāti ir atjaunināti.
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Attēli bez iespējotas uzticamas palaišanas nevar saņemt drošas sāknēšanas sertifikāta atjauninājumus attēlā. Tas attiecas arī uz pārvaldītiem attēliem, kas neatbalsta uzticamu palaišanu, Azure Skaitļošanas galerijas attēli, kuros nav iespējota uzticama palaišana. Ierīcēs, kas nodrošinātas no šiem attēliem, lietojiet atjauninājumus viesa OS, izmantojot kādu no iepriekš minētajām metodēm.
Zināmās problēmas
Nav apkalpošanas reģistra atslēgas
|
Problēmas pazīme |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ceļš nepastāv |
|
Iemesls |
Ierīcē nav sākti sertifikātu atjauninājumi |
|
Risinājums |
Uzgaidiet, līdz tiek Windows Update izvietošana, izmantojot automātisko izvietošanu, vai manuāli iniciējat, izmantojot kādu no iepriekš aprakstītajām IT iniciētajām izvietošanas metodēm. |
Statuss rāda "InProgress" ilgākam periodam
|
Problēmas pazīme |
Pēc vairākām dienām UEFICA2023Status paliek "InProgress" |
|
Iemesls |
Lai pabeigtu atjaunināšanas procesu, ierīcei, iespējams, ir nepieciešama restartēšana |
|
Risinājums |
Restartējiet sesijas resursdatoru un pārbaudiet statusu vēlreiz pēc 15 minūtēm. Ja problēma joprojām pastāv, problēmu novēršanas norādījumus skatiet rakstā Secure Boot DB un DBX mainīgās atjaunināšanas notikumi |
UEFICA2023Error reģistra atslēga pastāv
|
Problēmas pazīme |
UEFICA2023Kļūdas reģistra atslēga ir pieejama |
|
Iemesls |
Sertifikāta izvietošanas laikā radās kļūda |
|
Risinājums |
Detalizētu informāciju skatiet sistēmas notikumu žurnālā. Norādījumus par problēmu novēršanu skatiet rakstā Secure Boot DB un DBX mainīgo atjaunināšanas notikumi |
Resursi
Nepieciešama papildu palīdzība?
Vēlaties vairāk opciju?
Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.
Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.
