Attiecas uz
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 26. jūnijs

KB ID: 5062713

Šajā rakstā ir norādījumi par:

Organizācijas (uzņēmumi, mazie uzņēmumi un izglītības iestādes) ar IT pārvaldītām Windows ierīcēm un atjauninājumiem.

Piezīme. Ja esat fiziska persona, kurai ir personiska Windows ierīce, lūdzu, dodieties uz rakstu Windows ierīces mājas lietotājiem, uzņēmumiem un mācību iestādēm ar Microsoft pārvaldītiem atjauninājumiem.

Mainīt datumu

Izmaiņu apraksts

2026. gada 5. maijs

2026. gada 30. marts

  • Novērsta zināmā problēma "Drošās palaišanas sertifikātu atjauninājumi Hyper-V virtuālajās mašīnās var neizdoties ar notikuma ID 1795"

2026. gada 24. marts

  • Atjaunināta zināmā problēma "Drošās palaišanas sertifikātu atjauninājumi Hyper-V virtuālajās mašīnās var neizdoties ar notikuma ID 1795"

2026. gada 16. marts

  • Noņemta sadaļa "Ticamības datu paraugs" sadaļā "Drošas palaišanas inventarizācijas datu apkopošanas skripta paraugs", jo tā ir novecojusi.

2026. gada 3. marts

  • Pārformatēta parauga izvade sadaļā "Sagatavošana", lai tā paliktu lodziņā.

2026. gada 24. februāris

  • Sadaļā "Sagatavošana" atjaunināts saturs sadaļai "Drošas palaišanas inventarizācijas datu apkopošanas skripta paraugs". 

  • Sadaļā "Sagatavošana" pievienota jauna sadaļa "Parauga izvade".

2026. gada 23. februāris

  • Sadaļā "Sagatavošana" atjaunināts saturs sadaļai "Drošas palaišanas inventarizācijas datu apkopošanas skripta paraugs".

2026. gada 13. februāris

  • Sadaļai "Sagatavošana" pievienoti vienumi "Ticamības datu paraugs". 

  • Noņemts "gaidošo notikumu 1801 un 1808 apkopošanas skripts" no sadaļas "Sagatavošana", jo tas vairs nav nepieciešams. 

2026. gada 3. februāris

  • Pārvietotas un pārformatētas biežāk sastopamās problēmas sadaļā Problēmu novēršana.

  • Pievienota jauna bieži sastopama problēma: "Drošās palaišanas sertifikātu atjauninājumi var neizdoties ar notikuma ID 1795 Hyper-V virtuālajās mašīnās".

2026. gada 26. janvāris

  • Atjaunināts teksts sadaļā "Automātiskais izvietošanas palīgs" no "Abiem palīglīdzekļiem ir nepieciešami diagnostikas dati." uz "Tikai kontrolētā līdzekļa ieviešanas palīgam ir nepieciešami diagnostikas dati.

2025. gada 11. novembris

Izlabotas divas pārrakstīšanās kļūdas sadaļā "Drošās palaišanas sertifikātu izvietošanas atbalsts".

  • 0x0800 - Sertifikāta nosaukums tika mainīts no "Microsoft UEFI CA 2023" uz "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 — mainīts "Microsoft Option ROM CA 2023" uz "Microsoft UEFI CA 2023".

2025. gada 10. novembris

  • Izlabotas divas pārrakstīšanās kļūdas sadaļā "Jauns sertifikāts": no "Microsoft Corporation KEK CA 2023" uz "Microsoft Corporation KEK 2K CA 2023" un no "Microsoft Option ROM CA 2023" uz "Microsoft Option ROM UEFI CA 2023".

  • Jauni PowerShell skripti tika pievienoti zem virsrakstiem "Drošas palaišanas statusa pārbaude visā jūsu flotē: vai ir iespējota drošā palaišana?" un "Sagatavošana".

Šajā rakstā:

Kopsavilkums

Šis raksts ir paredzēts organizācijām ar specializētiem IT speciālistiem, kuri aktīvi pārvalda atjauninājumus visā savā ierīču parkā. Lielākā daļa šajā rakstā tiks veltīta darbībām, kas nepieciešamas, lai organizācijas IT nodaļa sekmīgi izvietotu jaunos drošās palaišanas sertifikātus. Šīs darbības ietver aparātprogrammatūras testēšanu, ierīču atjauninājumu pārraudzību, izvietošanas uzsākšanu un problēmu diagnosticēšanu, tiklīdz tās rodas. Tiek parādītas vairākas izvietošanas un uzraudzības metodes. Papildus šīm pamatdarbībām mēs piedāvājam vairākus izvietošanas palīglīdzekļus, tostarp iespēju pieteikties klienta ierīcēm dalībai kontrolētā līdzekļu izvēršanā (Controlled Feature Rollout — CFR) tieši sertifikātu izvietošanai.

Izvietošanas rokasgrāmata IT profesionāļiem 

Plānojiet un veiciet drošās palaišanas sertifikātu atjauninājumus visā savā ierīču parkā, veicot sagatavošanu, pārraudzību, izvietošanu un labošanu.

Drošas palaišanas statusa pārbaude visā jūsu autoparkā: vai ir iespējota drošā palaišana? 

Lielākajā daļā ierīču, kas ražotas kopš 2012. gada, tiek atbalstīta drošā palaišana, un tās tiek piegādātas ar iespējotu drošo sāknēšanu. Lai pārbaudītu, vai ierīcē ir iespējota drošā palaišana, veiciet kādu no tālāk norādītajām darbībām. 

  • GUI metode: Dodieties uz Sākums > Iestatījumi > Konfidencialitāte & drošība > Windows drošība> Ierīces drošība. Sadaļas Ierīces drošība sadaļā Drošā palaišana ir jānorāda, ka Drošā palaišana ir ieslēgta.

  • Komandrindas metode: Privileģētajā PowerShell komandu uzvednē ierakstiet Confirm-SecureBootUEFI un pēc tam nospiediet taustiņu Enter. Komandai ir jāatgriež True, norādot, ka drošā sāknēšana ir ieslēgta.

Liela mēroga izvietošanas gadījumos IT speciālistu izmantotajai pārvaldības programmatūrai būs jānodrošina drošas palaišanas iespējošanas pārbaude. 

Piemēram, metode, lai pārbaudītu drošās palaišanas stāvokli Microsoft Intune pārvaldītās ierīcēs, ir izveidot un izvietot Intune pielāgotu atbilstības skriptu. Intune atbilstības iestatījumi ir aprakstīti rakstā Pielāgotu atbilstības iestatījumu izmantošana Linux un Windows ierīcēm ar Microsoft Intune.  

Powershell skripta piemērs, lai pārbaudītu, vai ir iespējota drošā palaišana:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Ja drošā palaišana nav iespējota, varat izlaist tālāk norādītās atjaunināšanas darbības, jo tās nav piemērojamas.

Kā atjauninājumi tiek izvietoti

Ir vairāki veidi, kā atlasīt ierīces drošās palaišanas sertifikāta atjauninājumiem. Detalizēta informācija par izvietošanu, tostarp iestatījumi un notikumi, tiks aplūkota tālāk šajā dokumentā. Kad ierīcē meklējat atjauninājumus, ierīcē tiek veikts iestatījums, kas norāda, ka ierīcei ir jāsāk jauno sertifikātu lietošanas process. Ieplānots uzdevums ierīcē tiek izpildīts ik pēc 12 stundām un nosaka, ka ierīcei ir paredzēti atjauninājumi. Uzdevuma darbību izklāsts ir šāds:

  1. Windows UEFI CA 2023 tiek lietots datu bāzē.

  2. Ja ierīces datu bāzē ir Microsoft Corporation UEFI CA 2011, uzdevums datu bāzei lieto Microsoft Option ROM UEFI CA 2023 un Microsoft UEFI CA 2023.

  3. Pēc tam uzdevums pievieno Microsoft Corporation KEK 2K CA 2023.

  4. Visbeidzot, ieplānotais uzdevums atjaunina Windows sāknēšanas pārvaldnieku uz to, ko parakstīja Windows UEFI CA 2023. Operētājsistēma Windows noteiks, ka pirms sāknēšanas pārvaldnieka lietošanas ir nepieciešama restartēšana. Palaišanas pārvaldnieka atjaunināšana tiks aizkavēta līdz restartēšanai notiek dabiski (piemēram, kad tiek lietoti ikmēneša atjauninājumi), un pēc tam Windows atkal mēģinās lietot palaišanas pārvaldnieka atjauninājumu.

Visas iepriekš minētās darbības ir sekmīgi jāpabeidz, pirms ieplānotais uzdevums pāriet uz nākamo darbību. Šī procesa laikā būs pieejami notikumu žurnāli un citi statusi, lai palīdzētu pārraudzīt izvietošanu. Papildinformācija par pārraudzību un notikumu žurnāliem ir sniegta zemāk.  

Drošās palaišanas sertifikātu atjaunināšana nodrošina turpmāku 2023. gada palaišanas pārvaldnieka atjauninājumu, kas ir drošāks. Noteikti palaišanas pārvaldnieka atjauninājumi būs pieejami turpmākajos laidienos.

Izvietošanas darbības 

  • Sagatavošana: Inventarizācijas un testa ierīces.

  • Aparātprogrammatūras apsvērumi

  • Uzraudzība: pārbaudiet monitoringa darbus un bāzes līmeni savam autoparkam.

  • Izvietošana: atlasiet ierīces atjauninājumiem, sākot ar mazām apakškopām un izvēršot, pamatojoties uz sekmīgiem testiem.

  • Labošana: izmeklējiet un atrisiniet visas problēmas, izmantojot žurnālus un pārdevēja atbalstu.

Sagatavošana 

Inventāra aparatūra un aparātprogrammatūra. Izveidojiet reprezentatīvu ierīču paraugu, pamatojoties uz sistēmas ražotāju, sistēmas modeli, BIOS versiju/datumu, pamatplates produkta versiju utt., un testējiet šo ierīču atjauninājumus pirms plašas izvietošanas.  Šie parametri parasti ir pieejami sistēmas informācijā (MSINFO32). Izmantojiet iekļautos PowerShell komandu paraugus, lai pārbaudītu drošās palaišanas atjauninājuma statusu un uzglabātu ierīces visā organizācijā.

Piezīmes.: 

  • Šīs komandas tiek lietotas, ja ir iespējots drošās palaišanas statuss.

  • Daudzām no šīm komandām ir nepieciešamas administratora atļaujas, lai tās darbotos.

Drošās palaišanas inventarizācijas datu vākšanas skripta paraugs

Nokopējiet un ielīmējiet šo skripta paraugu un modificējiet pēc vajadzības savai videi: Drošas palaišanas inventarizācijas datu kolekcijas skripta paraugs.

Izvades paraugs:

{"UEFICA2023Status":"Atjaunināts","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Resursdatora nosaukums":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, palaišanas pārvaldnieks(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Gatavs","WinCSKeyApplied":true,"WinCSKeyStatus":"Lietots"}

Drošās palaišanas ticamības līmeņi

Ticamības līmenis

Nozīme

Nepieciešama darbība

Augsta ticamība

Microsoft ir apstiprinājis, ka šī ierīču klase ir droša atjauninājumiem

Droši izvietot sertifikātu atjauninājumus

Tiek novērots - nepieciešams vairāk datu

Microsoft joprojām vāc drošās palaišanas ieviešanas diagnostikas datus par šīm ierīcēm

Gaidiet Microsoft klasifikāciju

Dati nav novēroti — nepieciešama rīcība

Ierīces klase korporācijai Microsoft nav zināma

Uzņēmumam ir jāiztestē un jāplāno ieviešana

Īslaicīgi pauzēts

Zināmās saderības problēmas

Pārbaudiet OEM BIOS atjauninājumu; Uzgaidiet, līdz Microsoft atrisinās

Netiek atbalstīts — zināms ierobežojums

Platformas vai aparatūras ierobežojumi

Dokumentēt kā izņēmumu

Pirmā darbība, ja ir iespējota drošā palaišana, ir pārbaudīt, vai ir gaidoši notikumi, kas nesen ir atjaunināti, vai arī pašlaik notiek drošās palaišanas sertifikātu atjaunināšanas process. Īpaši interesanti ir jaunākie notikumi 1801. un 1808. gadā. Šie notikumi ir sīkāk aprakstīti drošās palaišanas datu bāzes un DBX mainīgo atjauninājumu notikumos. Lūdzu, skatiet arī sadaļu Pārraudzība un izvietošana, lai uzzinātu, kā notikumi var parādīt gaidošo atjauninājumu stāvokli.  

Nākamais solis ir inventarizēt ierīces visā jūsu organizācijā. Apkopojiet tālāk norādīto informāciju, izmantojot PowerShell komandas, lai izveidotu reprezentatīvu paraugu. 

Pamata identifikatori (2 vērtības)

      1. Resursdatora nosaukums - $env: COMPUTERNAME 

      2. CollectionTime — Get-Date 

Reģistrs: drošās palaišanas galvenā atslēga (3 vērtības) 

     3. SecureBootEnabled — Confirm-SecureBootUEFI cmdlet vai HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. Pieejamie atjauninājumi - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Reģistrs: apkalpošanas atslēga (3 vērtības) 

     6. UEFICA2023Statuss -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Kļūda — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Reģistrs: ierīces atribūti (7 vērtības) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Notikumu žurnāli: sistēmas žurnāls (5 vērtības) 

     16. LatestEventId — jaunākais drošās palaišanas notikums 

     17. BucketID — izvilkts no notikuma 1801/1808 

     18. Uzticība - iegūts no notikuma 1801/1808 

     19. Event1801Count - notikumu skaits 

     20. Event1808Count — notikumu skaits 

WMI/CIM vaicājumi (4 vērtības) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime — Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Ražotājs  

     26. (Get-CIMInstance Win32_ComputerSystem). Modelis  

    27. (Get-CIMInstance Win32_BIOS). Apraksts + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/gggg")  

    28. (Get-CIMInstance Win32_BaseBoard). Produkts  

Aparātprogrammatūras apsvērumi

Lai izvietotu jaunos drošās palaišanas sertifikātus jūsu ierīču parkā, ierīces aparātprogrammatūrai ir jāpiedalās atjaunināšanas pabeigšanā. Lai gan Microsoft sagaida, ka lielākā daļa ierīces aparātprogrammatūras darbosies, kā paredzēts, pirms jauno sertifikātu izvietošanas ir jāveic rūpīga testēšana.

Pārbaudiet aparatūras krājumus un izveidojiet nelielu, reprezentatīvu ierīču paraugu, pamatojoties uz šādiem unikāliem kritērijiem šādi: 

  • Ražotājs

  • Modeļa numurs

  • Aparātprogrammatūras versija

  • OEM grīdlīstes versija utt.

Pirms plašas izvietošanas jūsu autoparka ierīcēs, iesakām pārbaudīt sertifikātu atjauninājumus reprezentatīvo parauga ierīcēs (kā to nosaka tādi faktori kā ražotājs, modelis, aparātprogrammatūras versija), lai pārliecinātos, ka atjauninājumi tiek veiksmīgi apstrādāti. Ieteicamie norādījumi par parauga ierīču skaitu, kas jāpārbauda katrai unikālajai kategorijai, ir 4 vai vairāk.

Tas palīdzēs veidot pārliecību par jūsu izvietošanas procesu un palīdzēs izvairīties no neparedzētas ietekmes uz plašāku autoparku. 

Dažos gadījumos drošās palaišanas sertifikātu sekmīgai atjaunināšanai var būt nepieciešams aparātprogrammatūras atjauninājums. Šādos gadījumos iesakām sazināties ar savas ierīces OEM, lai noskaidrotu, vai ir pieejama atjaunināta aparātprogrammatūra.

Operētājsistēma Windows virtualizētās vidēs

Operētājsistēmai Windows, kas darbojas virtuālajā vidē, ir divas metodes, kā pievienot jaunos sertifikātus drošās palaišanas aparātprogrammatūras mainīgajiem:  

  • Virtuālās vides veidotājs (AWS, Azure, Hyper-V, VMware utt.) var nodrošināt vides atjauninājumu un iekļaut jaunos sertifikātus virtualizētajā programmaparatūrā. Tas darbosies jaunām virtualizētām ierīcēm.

  • Operētājsistēmai Windows, kas ilgtermiņā darbojas virtuālajā mašīnā, atjauninājumus var lietot, izmantojot Windows tāpat kā jebkuru citu ierīci, ja virtualizētā aparātprogrammatūra atbalsta drošās palaišanas atjauninājumus.

Pārraudzība un izvietošana 

Mēs iesakām sākt ierīces uzraudzību pirms izvietošanas, lai pārliecinātos, ka monitorings darbojas pareizi un jums ir laba izpratne par autoparka stāvokli iepriekš. Uzraudzības iespējas ir aplūkotas turpmāk. 

Microsoft nodrošina vairākas metodes drošās palaišanas sertifikātu atjauninājumu izvietošanai un pārraudzībai.

Automatizēti izvietošanas palīglīdzekļi 

Microsoft nodrošina divus izvietošanas palīglīdzekļus. Šie palīglīdzekļi var būt noderīgi, lai palīdzētu ieviest jaunos sertifikātus jūsu flotē. Diagnostikas dati ir nepieciešami tikai kontrolētā līdzekļu ieviešanas palīgam.

  • Kumulatīvo atjauninājumu ar ticamības kopumiem opcija Microsoft var automātiski iekļaut augstas ticamības ierīču grupas ikmēneša atjauninājumos, pamatojoties uz diagnostikas datiem, kas kopīgoti līdz šim, lai gūtu labumu sistēmām un organizācijām, kuras nevar kopīgot diagnostikas datus. Šai darbībai nav nepieciešama diagnostikas datu iespējošana.

    • Organizācijām un sistēmām, kas var kopīgot diagnostikas datus, tas nodrošina Microsoft redzamību un pārliecību, ka ierīces var sekmīgi izvietot sertifikātus. Papildinformācija par diagnostikas datu iespējošanu ir pieejama rakstā: Windows diagnostikas datu konfigurēšana jūsu organizācijā. Mēs veidojam "intervālus" katrai unikālajai ierīcei (kā to definē atribūti, kas ietver ražotāju, mātesplates versiju, aparātprogrammatūras ražotāju, aparātprogrammatūras versiju un papildu datu punktus). Katram intervālam mēs pārraugām panākumu pierādījumus vairākās ierīcēs. Kad būsim redzējuši pietiekami daudz veiksmīgu atjauninājumu un nekādu kļūmju, intervālu uzskatīsim par "augstas ticamības" līmeni un iekļausim šos datus ikmēneša kumulatīvajos atjauninājumos. Kad ikmēneša atjauninājumi tiek lietoti ierīcei augstas ticamības intervālā, Windows automātiski lieto sertifikātus UEFI drošās palaišanas mainīgajiem aparātprogrammatūrā.

    • Augstas ticamības intervāli ietver ierīces, kas pareizi apstrādā atjauninājumus. Protams, ne visas ierīces nodrošinās diagnostikas datus, un tas var ierobežot Microsoft pārliecību par ierīces spēju pareizi apstrādāt atjauninājumus.

    • Šis palīgs pēc noklusējuma ir iespējots augstas ticamības ierīcēm, un to var atspējot ar konkrētai ierīcei raksturīgu iestatījumu. Papildinformācija tiks kopīgota nākamajos Windows laidienos.

  • Controlled Feature Rollout (CFR):  Piesakieties ierīcēm Microsoft pārvaldītai izvietošanai, ja ir iespējoti diagnostikas dati.

    • Controlled Feature Rollout (CFR) var izmantot ar klientu ierīcēm organizāciju parkos. Tam ir nepieciešams, lai ierīces sūtītu obligātos diagnostikas datus korporācijai Microsoft un tām būtu signalizējis, ka ierīce izvēlas atļaut CFR ierīcē. Detalizēta informācija par to, kā pieteikties, ir aprakstīta tālāk.

    • Microsoft pārvaldīs šo jauno sertifikātu atjaunināšanas procesu Windows ierīcēs, kurās ir pieejami diagnostikas dati un ierīces piedalās kontrolētu līdzekļu izvēršanā (Controlled Feature Rollout — CFR). Lai gan CFR var palīdzēt izvietot jaunos sertifikātus, organizācijas nevarēs paļauties uz CFR, lai koriģētu savas flotes - būs jāveic šajā dokumentā norādītās darbības sadaļā par izvietošanas metodēm, uz kurām neattiecas automatizētie palīglīdzekļi.

    • Ierobežojumi: Ir vairāki iemesli, kāpēc CFR var nedarboties jūsu vidē. Piemēram:

      • Diagnostikas dati nav pieejami vai diagnostikas dati nav izmantojami kā daļa no CFR izvietošanas.

      • Ierīces nedarbojas atbalstītajās Windows 11 un Windows 10 klienta versijās ar paplašinātajiem drošības atjauninājumiem (ESU).

Izvietošanas metodes, uz kurām neattiecas automatizētā palīdzība

Izvēlieties metodi, kas atbilst jūsu videi. Izvairieties no tādu metožu sajaukšanas vienā ierīcē: 

  • Reģistra atslēgas: Kontrolējiet izvietošanu un pārraugiet rezultātus.Ir pieejamas vairākas reģistra atslēgas, lai kontrolētu sertifikātu izvietošanas darbību un pārraudzītu rezultātus. Turklāt ir divi taustiņi, lai pieteiktos un atteiktos no iepriekš aprakstītajiem izvietošanas palīglīdzekļiem. Papildinformāciju par reģistra atslēgām skatiet rakstā Reģistra atslēgu Atjauninājumi drošai palaišanai — Windows ierīces ar IT pārvaldītiem atjauninājumiem.

  • grupas politikas objekti (GPO): pārvaldīt iestatījumus; pārraudzīt, izmantojot reģistru un notikumu žurnālus.Microsoft sniegs atbalstu drošās palaišanas atjauninājumu pārvaldībai, izmantojot grupas politika, nākamajā atjauninājumā. Ņemiet vērā, ka, tā kā grupas politika ir paredzēta iestatījumiem, ierīces statusa uzraudzība būs jāveic, izmantojot alternatīvas metodes, tostarp reģistra atslēgu un notikumu žurnāla ierakstu uzraudzību.

  • WinCS (Windows konfigurācijas sistēmas) CLI: izmantojiet komandrindas rīkus domēnam pievienotiem klientiem.Domēna administratori var arī izmantot Windows konfigurācijas sistēmu (WinCS), kas iekļauta Windows OS atjauninājumos, lai izvietotu drošās palaišanas atjauninājumus domēnam pievienotos Windows klientos un serveros. Tas sastāv no vairākām komandrindas utilītām (gan tradicionālais izpildāmais fails, gan PowerShell modulis), lai veiktu vaicājumus un lietotu drošās palaišanas konfigurācijas lokāli datorā. Papildinformāciju skatiet šādos rakstos:

  • Microsoft Intune/Configuration Manager: Izvietojiet PowerShell skriptus. Konfigurācijas pakalpojumu sniedzējs (CSP) tiks nodrošināts nākotnes atjauninājumā, lai nodrošinātu izvietošanu, izmantojot Intune.

Notikumu žurnālu pārraudzība

Tiek nodrošināti divi jauni notikumi, lai palīdzētu izvietot drošās palaišanas sertifikāta atjauninājumus. Šie notikumi ir sīkāk aprakstīti drošās palaišanas datu bāzes un DBX mainīgo atjauninājumu notikumos

  • Notikuma ID: 1801 Šis notikums ir kļūdas notikums, kas norāda, ka ierīcē nav lietoti atjauninātie sertifikāti. Šis notikums sniedz ierīcei specifisku informāciju, tostarp ierīces atribūtus, kas palīdzēs korelēt, kuras ierīces vēl ir jāatjaunina.

  • Notikuma ID: 1808 Šis notikums ir informatīvs notikums, kas norāda, ka ierīcei ir nepieciešamie jaunie drošās palaišanas sertifikāti, kas lietoti ierīces aparātprogrammatūrā.

Izvietošanas stratēģijas 

Lai samazinātu risku, izvietojiet drošās palaišanas atjauninājumus pakāpeniski, nevis visus uzreiz. Sāciet ar nelielu ierīču apakškopu, validējiet rezultātus un pēc tam izvērsiet to papildu grupās. Iesakām sākt ar ierīču apakškopām un, iegūstot pārliecību par šiem izvietojumiem, pievienot papildu ierīču apakškopas. Lai noteiktu, kas ietilpst apakškopā, var izmantot vairākus faktorus, tostarp parauga ierīču un organizācijas struktūras testu rezultātus utt. 

Lēmums par to, kuras ierīces izvietot, ir jūsu ziņā. Šeit ir uzskaitītas dažas iespējamās stratēģijas. 

  • Liels ierīču parks: sāciet, paļaujoties uz iepriekš aprakstītajiem palīglīdzekļiem visbiežāk pārvaldītajām ierīcēm. Vienlaikus koncentrējieties uz retāk lietotām ierīcēm, ko pārvalda jūsu organizācija. Testējiet nelielas parauga ierīces un, ja testēšana ir sekmīga, izvietojiet pārējās tā paša tipa ierīcēs. Ja pārbaudes rezultātā rodas problēmas, izpētiet problēmas cēloni un nosakiet novēršanas darbības. Varat arī apsvērt ierīču klases, kurām ir lielāka vērtība jūsu autoparkā, un sākt testēšanu un izvietošanu, lai nodrošinātu, ka šīm ierīcēm ir atjaunināta aizsardzība.

  • Maza flote, liela daudzveidība: Ja jūsu pārvaldītajā autoparkā ir daudz mašīnu, kur atsevišķu ierīču testēšana būtu pārmērīga, apsveriet iespēju lielā mērā paļauties uz diviem iepriekš aprakstītajiem palīglīdzekļiem, īpaši ierīcēm, kas, visticamāk, būs izplatītas ierīces tirgū. Sākumā koncentrējieties uz ierīcēm, kas ir kritiski svarīgas ikdienas darbībai, testējiet un pēc tam izvietojiet. Turpiniet virzīties uz leju augstas prioritātes ierīču sarakstā, testējot un izvietojot, vienlaikus uzraugot autoparku, lai pārliecinātos, ka palīglīdzekļi palīdz ar pārējām ierīcēm.

Piezīmes 

  • Pievērsiet uzmanību vecākām ierīcēm, īpaši ierīcēm, kuras ražotājs vairs neatbalsta. Lai gan aparātprogrammatūrai būtu jāveic pareizas atjaunināšanas darbības, dažām, iespējams, ne. Gadījumos, kad programmaparatūra nedarbojas pareizi un ierīce vairs netiek atbalstīta, apsveriet iespēju nomainīt ierīci, lai nodrošinātu drošu sāknēšanas aizsardzību visā autoparkā.

  • Pēdējo 1–2 gadu laikā ražotajās ierīcēs, iespējams, jau ir ieviesti atjauninātie sertifikāti, bet, iespējams, sistēmai nav lietots Windows UEFI CA 2023 parakstītais palaišanas pārvaldnieks. Šī palaišanas pārvaldnieka lietošana ir kritiski svarīga izvietošanas pēdējā darbība katrai ierīcei.

  • Pēc tam, kad ierīce ir atlasīta atjauninājumiem, var paiet zināms laiks, pirms atjauninājumi ir pabeigti. Aprēķiniet, ka sertifikāti tiks piemēroti 48 stundas un viena vai vairākas restartēšanas reizes.

Bieži uzdotie jautājumi (BUJ)

Bieži uzdotos jautājumus skatiet rakstā Bieži uzdotie jautājumi par drošo sāknēšanu .

Problēmu novēršana

Lai iegūtu papildinformāciju, skatiet problēmu novēršanas dokumentu.

Papildu resursi

Padoms.: Pievienojiet grāmatzīmēm šos papildu resursus.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs