Certyfikat bezpiecznego rozruchu Aktualizacje dla pulpitu wirtualnego Azure
Dotyczy
Oryginalna data publikacji: 19 lutego 2026 r.
Identyfikator BAZY WIEDZY: 5080931
Ten artykuł zawiera wskazówki dotyczące:
-
Azure administratorzy pulpitów wirtualnych zarządzający aktualizacjami hostów sesji
-
Organizacje korzystające z maszyn wirtualnych z obsługą bezpiecznego rozruchu do Azure wdrożeń pulpitu wirtualnego
-
Organizacje używające obrazów niestandardowych (złotych obrazów) do Azure wdrożeń pulpitu wirtualnego
W tym artykule:
Wprowadzenie
Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która zapewnia, że podczas sekwencji rozruchu urządzenia działa tylko zaufane, podpisane cyfrowo oprogramowanie. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r. Bez zaktualizowanych certyfikatów 2023 urządzenia nie będą już otrzymywać nowych zabezpieczeń menedżera bezpiecznego rozruchu i rozruchu ani środków łagodzących nowo odkryte luki w zabezpieczeniach na poziomie rozruchu.
Wszystkie maszyny wirtualne z obsługą bezpiecznego rozruchu zarejestrowane w usłudze pulpitu wirtualnego Azure i obrazy niestandardowe używane do ich inicjowania obsługi muszą zostać zaktualizowane do certyfikatów 2023 przed wygaśnięciem, aby zachować ochronę. Zobacz Kiedy certyfikaty bezpiecznego rozruchu wygasają na urządzeniach z systemem Windows
Czy dotyczy to środowiska pulpitu wirtualnego Azure?
|
Scenariusz |
Aktywny bezpieczny rozruch? |
Wymagane działanie |
|
Hosty sesji |
||
|
Zaufana maszyna wirtualna Uruchamianie z włączonym bezpiecznym rozruchem |
Tak |
Aktualizowanie certyfikatów na hostze sesji |
|
Zaufana maszyna wirtualna Uruchamianie z wyłączonym bezpiecznym rozruchem |
Nie |
Nie jest wymagana żadna akcja |
|
Standardowa maszyna wirtualna typu zabezpieczeń |
Nie |
Nie jest wymagana żadna akcja |
|
Maszyna wirtualna 1 generacji |
Nieobsługiwane |
Nie jest wymagana żadna akcja |
|
Złote obrazy |
||
|
Azure obraz galerii obliczeń z włączonym bezpiecznym rozruchem |
Tak |
Aktualizowanie certyfikatów w obrazie źródłowym |
|
Azure obraz galerii obliczeń bez zaufanego uruchamiania |
Nie |
Stosowanie aktualizacji na hostze sesji po wdrożeniu |
|
Obraz zarządzany (nie obsługuje zaufanego uruchamiania) |
Nie |
Stosowanie aktualizacji na hostze sesji po wdrożeniu |
Aby uzyskać pełne informacje podstawowe, zobacz Aktualizacje certyfikatu bezpiecznego rozruchu: Wskazówki dla informatyków i organizacji.
Inwentaryzacja i monitor
Przed podjęciem działań wprowadź spis środowiska, aby zidentyfikować urządzenia wymagające aktualizacji. Monitorowanie jest niezbędne do potwierdzenia, że certyfikaty są stosowane przed terminem czerwca 2026 r. — nawet jeśli korzystasz z metod automatycznego wdrażania. Poniżej przedstawiono opcje umożliwiające określenie, czy należy podjąć działanie.
Opcja 1: Microsoft Intune działania naprawcze
W przypadku hostów sesji zarejestrowanych w Microsoft Intune możesz wdrożyć skrypt wykrywania za pomocą Intune Rozwiązywanie problemów (aktywne działania naprawcze), aby automatycznie zbierać stan certyfikatu bezpiecznego rozruchu we wszystkich flotach. Skrypt działa dyskretnie na każdym urządzeniu i raportuje stan bezpiecznego rozruchu, postęp aktualizacji certyfikatu i szczegóły urządzenia z powrotem do portalu Intune — żadne zmiany nie są wprowadzane na urządzeniach. Wyniki można wyświetlać i eksportować do pliku CSV bezpośrednio z centrum administracyjnego Intune w celu analizy całej floty.
Aby uzyskać instrukcje krok po kroku dotyczące wdrażania skryptu wykrywania, zobacz Monitorowanie stanu certyfikatu bezpiecznego rozruchu za pomocą Microsoft Intune rozwiązywania problemów.
Opcja 2: Raport o stanie bezpiecznego rozruchu autopatch systemu Windows
W przypadku osobistych hostów sesji trwałych zarejestrowanych przy użyciu funkcji Autopatch systemu Windows przejdź do centrum administracyjnego Intune > Raporty > funkcji Autopatch systemu Windows > aktualizacje jakości systemu Windows > karcie Raporty > stanu bezpiecznego rozruchu. Zobacz Raport o stanie bezpiecznego rozruchu w programie Autopatch systemu Windows.
Uwaga: Funkcja Autopatch systemu Windows obsługuje tylko osobiste trwałe maszyny wirtualne dla Azure Virtual Desktop. Hosty wielu sesji, połączone w pulę nietrwałe maszyny wirtualne i zdalne przesyłanie strumieniowe aplikacji nie są obsługiwane. Zobacz Autopatch systemu Windows na Azure obciążeń pulpitu wirtualnego.
Opcja 3: Klucze rejestru do monitorowania floty
Użyj istniejących narzędzi do zarządzania urządzeniami, aby tworzyć zapytania dotyczące tych wartości rejestru we wszystkich flotach.
|
Ścieżka rejestru |
Klucz |
Celu |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Bieżący stan wdrożenia |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Wskazuje błędy (nie powinny istnieć) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Wskazuje identyfikator zdarzenia (nie powinien istnieć) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
DostępneUpdates |
Oczekujące aktualizacje bitów |
Aby uzyskać pełne szczegóły klucza rejestru, zobacz Aktualizacje klucza rejestru dla bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez DZIAŁ IT.
Opcja 4: Monitorowanie dziennika zdarzeń
Używaj istniejących narzędzi do zarządzania urządzeniami, aby zbierać i monitorować te identyfikatory z dziennika zdarzeń systemowych dla twojej floty.
|
Identyfikator zdarzenia |
Lokalizacja |
Znaczenie |
|
1808 |
System |
Pomyślnie zastosowane certyfikaty |
|
1801 |
System |
Aktualizacja stanu lub szczegółów błędu |
Aby uzyskać pełną listę szczegółów zdarzeń, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.
Opcja 5: Skrypt zapasów programu PowerShell
Uruchom skrypt zbierania danych próbki bezpiecznego rozruchu firmy Microsoft, aby sprawdzić stan aktualizacji certyfikatu bezpiecznego rozruchu. Skrypt zbiera kilka punktów danych, w tym stan bezpiecznego rozruchu, stan aktualizacji UEFI CA 2023, wersję oprogramowania układowego i aktywność dziennika zdarzeń.
Wdrażania
Ważne: Niezależnie od wybranej opcji wdrożenia zalecamy monitorowanie floty urządzeń w celu potwierdzenia, że certyfikaty zostały pomyślnie zastosowane przed terminem czerwca 2026 r. Aby uzyskać obrazy niestandardowe, zobacz Zagadnienia dotyczące złotego obrazu.
Opcja 1: Automatyczne Aktualizacje z Windows Update (urządzenia o dużej pewności siebie)
Firma Microsoft automatycznie aktualizuje urządzenia za pośrednictwem comiesięcznych aktualizacji systemu Windows, gdy wystarczająca telemetria potwierdzi pomyślne wdrożenie podobnych konfiguracji sprzętu.
-
Stan: Domyślnie włączone dla urządzeń o dużej pewności siebie
-
Nie jest wymagane żadne działanie, chyba że chcesz zrezygnować
|
Rejestrze |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Klucz |
HighConfidenceOptOut = 1, aby zrezygnować |
|
Zasady grupy |
Konfiguracja komputera > szablony administracyjne > składników systemu Windows > bezpiecznego rozruchu > automatycznego wdrażania certyfikatów za pośrednictwem Aktualizacje > Ustaw jako wyłączone, aby zrezygnować. |
Zalecenie: Nawet po włączeniu aktualizacji automatycznych monitoruj hosty sesji, aby sprawdzić, czy certyfikaty zostały zastosowane. Nie wszystkie urządzenia mogą kwalifikować się do automatycznego wdrożenia z dużą pewnością siebie.
Aby uzyskać więcej informacji, zobacz Automatyczne asysty wdrażania.
Opcja 2: wdrożenie IT-Initiated
Ręczne wyzwalanie aktualizacji certyfikatów w celu natychmiastowego lub kontrolowanego wdrożenia.
|
Metoda |
Dokumentacja |
|
Microsoft Intune |
|
|
Zasady grupy |
|
|
Klucze rejestru |
|
|
WinCS CLI |
Uwagi:
-
Nie mieszaj metod wdrażania inicjowanych przez informatyków (np. Intune i OBIEKTÓW ZASAD GRUPY) na tym samym urządzeniu — kontrolują one te same klucze rejestru i mogą powodować konflikty.
-
Odczekaj około 48 godzin i co najmniej jedno ponowne uruchomienie certyfikatów, aby w pełni zastosować certyfikaty.
Zagadnienia dotyczące złotego obrazu
W przypadku Azure środowisk pulpitu wirtualnego używających obrazów z galerii Azure Compute Gallery z włączonym bezpiecznym rozruchem zastosuj aktualizację certyfikatu Bezpiecznego rozruchu 2023 do złotego obrazu przed zarejestrowaniem go. Użyj jednej z opisanych powyżej metod, aby zastosować aktualizację, a następnie sprawdź, czy certyfikaty są aktualizowane przed uogólnieniem:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Obrazy bez włączonego zaufanego uruchamiania nie mogą otrzymywać aktualizacji certyfikatu bezpiecznego rozruchu za pośrednictwem obrazu. Dotyczy to również obrazów zarządzanych, które nie obsługują zaufanego uruchamiania, oraz Azure obrazów z galerii obliczeń, w których nie włączono funkcji Zaufane uruchamianie. W przypadku urządzeń zainicjowanych z tych obrazów zastosuj aktualizacje w systemie operacyjnym gościa przy użyciu jednej z powyższych metod.
Znane problemy
Nie istnieje klucz rejestru obsługi
|
Objawy |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing ścieżka nie istnieje |
|
Przyczyna |
Aktualizacje certyfikatów nie zostały zainicjowane na urządzeniu |
|
Rozwiązanie |
Poczekaj na automatyczne wdrożenie za pośrednictwem Windows Update lub ręcznie zainicjuj wdrożenie przy użyciu jednej z metod wdrażania inicjowanych przez informatyków powyżej |
Stan pokazuje wartość "InProgress" przez dłuższy czas
|
Objawy |
UeFICA2023Status pozostaje "InProgress" po wielu dniach |
|
Przyczyna |
Urządzenie może wymagać ponownego uruchomienia w celu ukończenia procesu aktualizacji |
|
Rozwiązanie |
Uruchom ponownie hosta sesji i sprawdź stan ponownie po 15 minutach. Jeśli problem nadal występuje, zobacz Zdarzenia zmiennej aktualizacji bazy danych bezpiecznego rozruchu i bazy danych DBX, aby uzyskać wskazówki dotyczące rozwiązywania problemów |
UeFICA2023Error klucz rejestru istnieje
|
Objawy |
Klucz rejestru UEFICA2023Error jest obecny |
|
Przyczyna |
Wystąpił błąd podczas wdrażania certyfikatów |
|
Rozwiązanie |
Aby uzyskać szczegółowe informacje, zobacz Dziennik zdarzeń systemowych. Aby uzyskać wskazówki dotyczące rozwiązywania problemów, zobacz Zdarzenia aktualizacji zmiennych DB i DBX dotyczące bezpiecznego rozruchu |
Zasoby
Potrzebujesz dalszej pomocy?
Chcesz uzyskać więcej opcji?
Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.
Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.
