Opmerking
- Oorspronkelijke publicatiedatum: 19 februari 2026
- KB-id: 5080931
Opmerking
Dit artikel bevat richtlijnen voor:
Beheerders van Azure Virtual Desktop die updates van sessiehosts beheren
Organisaties die VM's met Secure Boot gebruiken voor Azure Virtual Desktop-implementaties
Organisaties die aangepaste afbeeldingen (gouden afbeeldingen) gebruiken voor implementaties van Azure Virtual Desktop
In dit artikel:
Inleiding
Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van een apparaat. De Microsoft Secure Boot-certificaten die zijn uitgegeven in 2011, verlopen in juni 2026. Zonder de bijgewerkte 2023-certificaten ontvangen apparaten geen nieuwe beveiligingen of oplossingen voor Secure Boot en Boot Manager meer voor nieuw ontdekte kwetsbaarheden op opstartniveau.
Alle VM's met Secure Boot die zijn geregistreerd in de Azure Virtual Desktop-service en aangepaste installatiekopieën die worden gebruikt om ze in te richten, moeten vóór de vervaldatum worden bijgewerkt naar de 2023-certificaten om beschermd te blijven. Zie wanneer certificaten voor beveiligd opstarten verlopen op Windows-apparaten
Geldt dit voor mijn Azure Virtual Desktop-omgeving?
| Scenario | Actief beveiligd opstarten? | Actie vereist |
|---|---|---|
| Sessiehosts | ||
| Trusted Launch VM met Secure Boot ingeschakeld | Ja | Certificaten bijwerken op de sessiehost |
| Trusted Launch VM met Secure Boot uitgeschakeld | Nee | Geen actie nodig |
| Standaardbeveiligingstype VM | Nee | Geen actie nodig |
| VM van generatie 1 | Niet ondersteund | Geen actie nodig |
| Gouden Beelden | ||
| Afbeelding van Azure-rekengalerie met Beveiligd opstarten ingeschakeld | Ja | Certificaten in de broninstallatiekopie bijwerken |
| Afbeelding van Azure-rekengalerie zonder Trusted Launch | Nee | Updates toepassen in sessiehost na implementatie |
| Beheerde installatiekopie (biedt geen ondersteuning voor Trusted Launch) | Nee | Updates toepassen in sessiehost na implementatie |
Zie voor volledige achtergrondinformatie Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties.
Inventarisatie en bewaking
Voordat u actie onderneemt, inventariseert u de inventarisatie van uw omgeving om apparaten te identificeren die updates vereisen. Bewaking is essentieel om te bevestigen dat certificaten worden toegepast vóór de deadline van juni 2026, zelfs als je vertrouwt op automatische implementatiemethoden. Hieronder vindt u opties om te bepalen of actie moet worden ondernomen.
Optie 1: Herstel Microsoft Intune
Voor sessiehosts die zijn ingeschreven bij Microsoft Intune, kunt u een detectiescript implementeren met behulp van Intune-herstelbewerkingen (proactieve herstelacties) om automatisch de status van Secure Boot-certificaten in uw vloot te verzamelen. Het script wordt op de achtergrond uitgevoerd op elk apparaat en rapporteert de status van beveiligd opstarten, de voortgang van certificaatupdates en apparaatdetails terug naar de Intune-portal, zonder dat er wijzigingen worden aangebracht op de apparaten. De resultaten kunnen rechtstreeks vanuit het Intune-beheercentrum worden bekeken en geëxporteerd naar een CSV-bestand voor een analyse voor het gehele machinepark.
Zie Status van certificaat voor beveiligd opstarten bewaken met Microsoft Intune-herstel voor stapsgewijze instructies voor het implementeren van het detectiescript.
Optie 2: Statusrapport beveiligd opstarten van Windows Autopatch
Voor persoonlijke, permanente sessiehosts die zijn geregistreerd bij Windows Autopatch, gaat u naar het Intune-beheercentrum>Rapporten>Windows Autopatch-kwaliteitsupdates>>Tabblad Rapporten>Status beveiligd opstarten. Zie het statusrapport voor beveiligd opstarten in Windows Autopatch.
Opmerking
Windows Autopatch ondersteunt alleen persoonlijke permanente virtuele machines voor Azure Virtual Desktop. Hosts voor meerdere sessies, gegroepeerde niet-permanente virtuele machines en externe app-streaming worden niet ondersteund. Zie Windows Autopatch op Azure Virtual Desktop-workloads.
Optie 3: Registersleutels voor vlootbewaking
Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om query's uit te voeren op deze registerwaarden in uw machinepark.
| Registerpad | Toets | Doel |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status | Huidige implementatiestatus |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Fout | Geeft fouten aan (zou niet moeten bestaan) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Geeft gebeurtenis-id aan (mag niet bestaan) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Beschikbare updates | Updatebits die nog in behandeling zijn |
Zie Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutel.
Optie 4: Bewaking van gebeurtenislogboeken
Gebruik uw bestaande hulpprogramma's voor apparaatbeheer om deze gebeurtenis-id's te verzamelen en te bewaken vanuit het gebeurtenislogboek van uw machinepark.
| Gebeurtenis-id | Locatie | Betekenis |
|---|---|---|
| 1808 | Systeem | Certificaten zijn toegepast |
| 1801 | Systeem | Status- of foutgegevens bijwerken |
Zie Secure Boot DB en DBX variabele updategebeurtenissen voor een volledige lijst met gebeurtenisdetails.
Optie 5: PowerShell-inventarisatiescript
Voer het Microsoft-script Sample Secure Boot Inventory Data Collection uit om de updatestatus van het Secure Boot-certificaat te controleren. Het script verzamelt verschillende gegevenspunten, waaronder de status van beveiligd opstarten, de UEFI CA 2023-updatestatus, de firmwareversie en gebeurtenislogboekactiviteit.
Implementatie
Belangrijk
Ongeacht welke implementatieoptie u kiest, we raden u aan uw apparatenpark te bewaken om te controleren of certificaten zijn toegepast vóór de deadline van juni 2026. Zie Golden Image Considerations voor aangepaste afbeeldingen.
Optie 1: Automatische Updates van Windows Update (apparaten met hoge betrouwbaarheid)
Microsoft werkt apparaten automatisch bij via maandelijkse updates van Windows wanneer voldoende telemetrie een succesvolle implementatie op vergelijkbare hardwareconfiguraties bevestigt.
- Toestand: Standaard ingeschakeld voor apparaten met hoge betrouwbaarheid
- U hoeft niets te doen, tenzij u zich wilt afmelden
| Register | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Toets | HighConfidenceOptOut = 1 om u af te melden |
| Groepsbeleid | Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Beveiligd opstarten>Automatische certificaatimplementatie via Updates> Stel in op Uitgeschakeld om u af te melden. |
Opmerking
Aanbeveling: Zelfs als automatische updates is ingeschakeld, moet u uw sessiehosts controleren om te controleren of certificaten zijn toegepast. Niet alle apparaten komen mogelijk in aanmerking voor een betrouwbare automatische implementatie.
Zie Hulp bij geautomatiseerde implementatie voor meer informatie.
Optie 2: IT-Initiated implementatie
Activeer handmatig certificaatupdates voor directe of gecontroleerde implementatie.
| Werkwijze | Documentatie |
|---|---|
| Microsoft Intune | Microsoft Intune-methode |
| Groepsbeleid | Methode met groepsbeleid voor objecten |
| Registersleutels | Registersleutelmethode |
| WinCS CLI | WinCS-API's |
Opmerking
- Gebruik geen combinatie van door IT geïnitieerde implementatiemethoden (bijvoorbeeld Intune en GPO) op hetzelfde apparaat. Ze beheren dezelfde registersleutels en kunnen conflicteren.
- Wacht ongeveer 48 uur en een of meer herstarts voordat certificaten volledig zijn toegepast.
Overwegingen voor gouden afbeeldingen
Voor Azure Virtual Desktop-omgevingen met afbeeldingen van Azure Compute Gallery met Secure Boot ingeschakeld moet je de certificaatupdate Secure Boot 2023 toepassen op de gouden afbeelding voordat je deze vastlegt. Gebruik een van de hierboven beschreven methoden om de update toe te passen en controleer vervolgens of de certificaten zijn bijgewerkt voordat je generaliseert:
Opmerking
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Installatiekopieën waarvoor Trusted Launch niet is ingeschakeld, kunnen geen Secure Boot-certificaatupdates ontvangen via de installatiekopie. Dit omvat beheerde installatiekopieën, die geen ondersteuning bieden voor Trusted Launch, en installatiekopieën van Azure Compute Gallery waarvoor Trusted Launch niet is ingeschakeld. Voor apparaten die zijn ingericht met behulp van deze installatiekopieën, past u updates toe in het gastbesturingssysteem met behulp van een van de bovenstaande methoden.
Bekende problemen
Er is geen onderhoudsregistersleutel
| Symptoom | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist |
|---|---|
| Oorzaak | Certificaatupdates zijn niet gestart op het apparaat |
| Oplossing | Wacht op automatische implementatie via Windows Update of start handmatig op met een van de hierboven beschreven IT-geïnitieerde implementatiemethoden |
Status toont 'In voortgang' voor een langere periode
| Symptoom | UEFICA2023Status blijft na meerdere dagen "In uitvoering" |
|---|---|
| Oorzaak | Mogelijk moet het apparaat opnieuw worden opgestart om het updateproces te voltooien |
| Oplossing | Start de sessiehost opnieuw en controleer de status na 15 minuten opnieuw. Als het probleem zich blijft voordoen, raadpleegt u Secure Boot DB en DBX variabele updategebeurtenissen voor hulp bij het oplossen van problemen |
UEFICA2023Fout: registersleutel bestaat
| Symptoom | UEFICA2023Fout registersleutel is aanwezig |
|---|---|
| Oorzaak | Er is een fout opgetreden tijdens de implementatie van het certificaat |
| Oplossing | Controleer het systeemgebeurtenislogboek voor meer informatie. Zie Secure Boot DB en DBX variabele updategebeurtenissen voor hulp bij het oplossen van problemen |