Drošas sāknēšanas Atjauninājumi palaišana Windows 365
Sākotnējās publicēšanas datums: 2026. gada 19. februāris
KB ID: 5080914
Šajā rakstā ir norādījumi:
-
Windows 365 administratori, kas pārvalda mākoņa datorus.
-
Organizācijas, kas izmanto drošas sāknēšanas datorus, lai Windows 365 izvietošanu.
-
Organizācijas, kas izmanto pielāgotus attēlus Windows 365 izvietojumiem.
Šajā rakstā:
Ievads
Secure Boot ir UEFI aparātprogrammatūras drošības līdzeklis, kas palīdz nodrošināt tikai uzticamu programmatūru ar ciparparakstu, darbojas ierīces palaišanas secībā. 2011. gadā izdotie Microsoft drošās sāknēšanas sertifikāti sākas 2026. gada jūnijā. Bez atjauninātajiem 2023. gada sertifikātiem ierīces vairs nesaņems jaunas drošās sāknēšanas un sāknēšanas pārvaldnieka aizsardzības iespējas vai riskus jaundzimušu sāknēšanas līmeņa ievainojamību gadījumā.
Visi drošās sāknēšanas datori, kas iespējoti Windows 365 pakalpojumā, un pielāgotie attēli, kas tiek izmantoti to nodrošināšana, ir jāatjaunina uz 2023. gada sertifikātiem, lai tie pirms derīguma termiņa beigām būtu aizsargāti. Skatiet rakstu Kad Windows ierīcēs beidzas drošās sāknēšanas sertifikātu derīgums.
Vai tas attiecas uz manu Windows 365 vidi?
|
Scenārijs |
Vai droša palaišana ir aktīva? |
Nepieciešama rīcība |
|
Mākoņa datori |
||
|
Mākoņa dators ar iespējotu drošo sāknēšanas iespēju |
Jā |
Sertifikātu atjaunināšana mākoņa datorā |
|
Mākoņa dators ar atspējotu drošo sāknēšanu |
Nē |
Nav jāveic nekādas darbības |
|
Attēli |
||
|
Azure skaitļošanas galerijas attēls ar iespējotu drošo sāknēšanu |
Jā |
Atjauniniet sertifikātus avota attēlā pirms vispārīguma |
|
Azure Compute Gallery image without Trusted Launch |
Nē |
Atjauninājumu instalēšana mākoņa datorā pēc nodrošināšanas |
|
Pārvaldītais attēls (neatbalsta uzticamu palaišanu) |
Nē |
Atjauninājumu instalēšana mākoņa datorā pēc nodrošināšanas |
Pilnu fona informāciju skatiet rakstā Drošas sāknēšanas sertifikāta atjauninājumi: norādījumi IT speciālistiem un organizācijām.
Krājumi un pārraudzība
Pirms veicamās darbības, krājumus jūsu vidē, lai identificētu ierīces, kam nepieciešami atjauninājumi. Pārraudzība ir būtiska, lai apstiprinātu sertifikātu izmantošanu pirms 2026. gada jūnija termiņa, pat ja izmantojat automātiskās izvietošanas metodes. Tālāk ir pieejamas opcijas, lai noteiktu, vai ir jāveic kāda darbība.
1. iespēja Microsoft Intune koriģēšana
Mākoņa datoriem, kas ir reģistrēti programmā Microsoft Intune, varat izvietot noteikšanas skriptu, izmantojot Intune koriģēšanu (proaktīvu koriģēšanu), lai automātiski apkopotu drošās sāknēšanas sertifikāta statusu jūsu vietā. Skripts tiek nemanāmi izpildīts katrā ierīcē un ziņo par drošās sāknēšanas statusu, sertifikāta atjaunināšanas norisi un ierīces informāciju atpakaļ Intune — ierīcēs netiek veiktas nekādas izmaiņas. Rezultātus var skatīt un eksportēt CSV failā tieši no Intune administrēšanas centra, lai analizētu plašas analīzes iespējas.
Lai iegūtu pakāpeniskas instrukcijas par noteikšanas skripta izvietošanu, skatiet sadaļu Drošas sāknēšanas sertifikāta statusa pārraudzība, Microsoft Intune darbības.
2. iespēja. Windows automātiskās saderības drošā sāknēšanas statusa atskaite
Mākoņa datoriem, kas reģistrēti ar Windows automātiskopatch, dodieties uz Intune administrēšanas centru > Atskaites > Windows automātiskās > Windows kvalitātes atjauninājumi > Cilnes Atskaites > drošās sāknēšanas statuss. Skatiet rakstu Drošās sāknēšanas statusa atskaite sistēmā Windows automātiskā pārbaude.
Piezīme. Lai izmantotu Windows automātisko Windows 365, mākoņa datoriem ir jābūt reģistrētiem Windows automātiskās saderības pakalpojumam. Skatiet rakstu Windows automātiskā Windows 365 Enterprise noslodzi.
3. iespēja. Reģistra atslēgas pārraudzībai
Izmantojiet esošos ierīču pārvaldības rīkus, lai uz vaicājumu vaicātu šīm reģistra vērtībām visā jūsu ierīcē.
|
Reģistra ceļš |
Atslēga |
Nolūks |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Pašreizējais izvietošanas statuss |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Norāda kļūdas (nevajadzētu pastāvēt) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Norāda notikuma ID (tam nevajadzētu pastāvēt) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Gaidošie atjaunināšanas biti |
Detalizētu informāciju par reģistra atslēgu skatiet rakstā Drošas sāknēšanas reģistra atslēgu atjauninājumi.
4. iespēja. Notikumu žurnāla pārraudzība
Izmantojiet esošos ierīču pārvaldības rīkus, lai apkopotu un pārraudzītu šos notikumu ID sistēmas notikumu žurnālā jūsu ierīcē.
|
Notikuma ID |
Atrašanās vieta |
Nozīme |
|
1808 |
Sistēma |
Sertifikāti sekmīgi lietoti |
|
1801 |
Sistēma |
Statusa vai kļūdas detalizētās informācijas atjaunināšana |
Pilnu notikuma informācijas sarakstu skatiet rakstā Secure Boot DB un DBX mainīgā atjaunināšanas notikumi.
5. iespēja. PowerShell krājumu skripts
Palaidiet Microsoft drošās sāknēšanas krājumu datu kolekcijas skriptu, lai pārbaudītu drošas sāknēšanas sertifikāta atjaunināšanas statusu. Skripts apkopo vairākus datu punktus, tostarp drošā sāknēšanas stāvokli, UEFI CA 2023 atjaunināšanas statusu, aparātprogrammatūras versiju un notikumu žurnāla aktivitāti.
Izvietošana
Svarīgi!: Neatkarīgi no tā, kuru izvietošanas opciju izvēlaties, mēs iesakām pārraudzīt savas ierīces aizsardzību, lai pārliecinātos, vai sertifikāti ir sekmīgi lietoti pirms 2026. gada jūnija termiņa. Pielāgotus attēlus skatiet rakstā Pielāgoti attēla apsvērumi.
1. iespēja. Automātiskā Atjauninājumi noņemšana no Windows Update (augstas ticamības ierīces)
Microsoft automātiski atjaunina ierīces, izmantojot Windows ikmēneša atjauninājumus, ja pietiekama telemetrija apstiprina veiksmīgu izvietošanu līdzīgās aparatūras konfigurācijās.
-
Statuss: iespējota pēc noklusējuma augstas ticamības ierīcēm
-
Nekādas darbības nav nepieciešamas, ja vien nevēlaties atteikties
|
Reģistrs |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Atslēga |
HighConfidenceOptOut = 1, lai atteiktos |
|
Grupas politika |
Datora konfigurācijas > administratīvās veidnes > Windows komponenti > drošās sāknēšanas > automātisko sertifikātu izvietošanu, izmantojot Atjauninājumi > Iestatīts kā atspējots, lai atteiktos |
Ieteikums Pat tad, ja ir iespējoti automātiskie atjauninājumi, pārraugiet mākoņrisinājumu datorus, lai pārbaudītu, vai tiek lietoti sertifikāti. Ne visas ierīces var kvalificēties augstas ticamības automātiskai izvietošanai.
Papildinformāciju skatiet sadaļā Automatizētās izvietošanas palīdzība.
2. iespēja. IT-Initiated izvietošana
Manuāli aktivizēiet sertifikātu atjauninājumus tūlītējai vai kontrolētai izvēršai.
|
Metode |
Dokumentācija |
|
Microsoft Intune |
|
|
Grupas politika |
|
|
Reģistra atslēgas |
|
|
WinCS CLI |
Piezīmes.:
-
Nejauciet IT iniciētajās izvietošanas metodēs (piemēram, Intune un GPO) vienā ierīcē — tās kontrolē tās pašas reģistra atslēgas, un var radīt konfliktu.
-
Atļaut aptuveni 48 stundas un vienu vai vairākas restartēšanas reizes, lai sertifikāti pilnībā ļautu tos izmantot.
Custom Image Considerations
Pielāgotus attēlus pilnībā pārvalda jūsu organizācija. Jūs esat atbildīgs par drošas sāknēšanas sertifikāta atjauninājumu instalēšanu pielāgotajam attēlam un atkārtotu augšupielādi, pirms to izmantojat nodrošināšana.
Drošas sāknēšanas sertifikātu atjauninājumu izmantošana avota attēlam tiek atbalstīta tikai ar Azure Compute Gallery attēliem (priekšskatījums), kas atbalsta uzticamo palaišanu un drošo sāknēšanas programmu. Pārvaldītie attēli neatbalsta drošo sāknēšanas programmu, tāpēc sertifikātu atjauninājumus nevar lietot attēla līmenī. Mākoņa datoriem, kas nodrošināti no pārvaldītiem attēliem, lietojiet atjauninājumus tieši mākoņa datorā, izmantojot kādu no iepriekš minētajām izvietošanas metodēm.
Pirms vispārīgi vispārīgi izmantojat jaunu pielāgotu attēlu, pārbaudiet, vai sertifikāti ir atjaunināti:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Zināmās problēmas
Nav apkalpošanas reģistra atslēgas
|
Problēmas pazīme |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ceļš nepastāv |
|
Iemesls |
Ierīcē nav sākti sertifikātu atjauninājumi |
|
Risinājums |
Uzgaidiet, līdz tiek Windows Update izvietošana, izmantojot automātisko izvietošanu, vai manuāli iniciējat, izmantojot kādu no iepriekš aprakstītajām IT iniciētajām izvietošanas metodēm. |
Statuss rāda "InProgress" ilgākam periodam
|
Problēmas pazīme |
Pēc vairākām dienām UEFICA2023Status paliek "InProgress" |
|
Iemesls |
Lai pabeigtu atjaunināšanas procesu, ierīcei, iespējams, ir nepieciešama restartēšana |
|
Risinājums |
Restartējiet mākoņa datoru un pārbaudiet statusu vēlreiz pēc 15 minūtēm. Ja problēma joprojām pastāv, problēmu novēršanas norādījumus skatiet rakstā Secure Boot DB un DBX mainīgās atjaunināšanas notikumi |
UEFICA2023Error reģistra atslēga pastāv
|
Problēmas pazīme |
UEFICA2023Kļūdas reģistra atslēga ir pieejama |
|
Iemesls |
Sertifikāta izvietošanas laikā radās kļūda |
|
Risinājums |
Detalizētu informāciju skatiet sistēmas notikumu žurnālā. Norādījumus par problēmu novēršanu skatiet rakstā Secure Boot DB un DBX mainīgo atjaunināšanas notikumi |
Resursi
Nepieciešama papildu palīdzība?
Vēlaties vairāk opciju?
Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.
Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.
