Observação
- Data de publicação original: 19 de fevereiro de 2026
- ID da base de dados: 5080931
Observação
Este artigo tem diretrizes para:
Administradores da Área de Trabalho Virtual do Azure gerenciando atualizações do host de sessão
Organizações que usam VMs habilitadas para Inicialização Segura para implantações da Área de Trabalho Virtual do Azure
Organizações que usam imagens personalizadas (golden images) para implantações da Área de Trabalho Virtual do Azure
Neste artigo:
Introdução
Secure Boot é um recurso de segurança de firmware UEFI que ajuda a garantir que apenas software confiável e assinado digitalmente seja executado durante uma sequência de inicialização do dispositivo. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos não receberão mais novas proteções ou mitigações da Inicialização Segura e do Gerenciador de Inicialização para vulnerabilidades no nível da inicialização recém-descobertas.
Todas as VMs habilitadas para Inicialização de Segura registradas no serviço da Área de Trabalho Virtual do Azure e as imagens personalizadas usadas para provisioná-las devem ser atualizadas para os certificados de 2023 antes da expiração para permanecerem protegidas. Veja Quando os certificados de Inicialização Segura expiram em dispositivos Windows
Isso se aplica ao meu ambiente da Área de Trabalho Virtual do Azure?
| Cenário | Inicialização Segura Ativa? | Ação necessária |
|---|---|---|
| Hosts de sessão | ||
| VM de Inicialização Confiável com Inicialização Segura habilitada | Sim | Atualizar certificados no host da sessão |
| VM de Inicialização Confiável com Inicialização Segura desabilitada | Não | Nenhuma ação necessária. |
| VM do tipo de segurança Standard | Não | Nenhuma ação necessária. |
| VM de geração 1 | Sem suporte | Nenhuma ação necessária. |
| Imagens Douradas | ||
| Imagem da Galeria de Computação do Azure com Inicialização Segura habilitada | Sim | Atualizar certificados na imagem de origem |
| Imagem da Galeria de Computação do Azure sem Inicialização Confiável | Não | Aplicar atualizações no host de sessão após a implantação |
| Imagem gerenciada (não dá suporte a Lançamento Confiável) | Não | Aplicar atualizações no host de sessão após a implantação |
Para obter informações básicas completas, consulte Atualizações de certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.
Inventário e Monitor
Antes de agir, faça um inventário do seu ambiente para identificar os dispositivos que requerem atualizações. O monitoramento é essencial para confirmar se os certificados são aplicados antes do prazo final de junho de 2026, mesmo que você dependa de métodos de implantação automática. Abaixo estão as opções para determinar se uma ação precisa ser tomada.
Opção 1: Correções do Microsoft Intune
Para hosts de sessão registrados no Microsoft Intune, você pode implantar um script de detecção usando correções do Intune (correções proativas) para coletar automaticamente o status do certificado de Inicialização Segura em toda a frota. O script é executado silenciosamente em cada dispositivo e relata o status da inicialização segura, o progresso da atualização do certificado e os detalhes do dispositivo de volta ao portal do Intune — nenhuma alteração é feita nos dispositivos. Os resultados podem ser exibidos e exportados para CSV diretamente do centro de administração do Intune para análise de toda a frota.
Para obter instruções passo a passo sobre como implantar o script de detecção, consulte Monitorando o Status do Certificado de Inicialização Segura com correções do Microsoft Intune.
Opção 2: Relatório de Status de Inicialização Segura do Windows Autopatch
Para hosts de sessão persistente pessoais registrados no Windows Autopatch, acesse o centro> de administração do IntuneRelatórios>Windows Autopatch>Atualizações> de qualidade do WindowsGuia Relatórios>status de inicialização segura. Consulte o relatório de status de inicialização segura no Windows Autopatch.
Observação
O Windows Autopatch dá suporte apenas a máquinas virtuais persistentes pessoais para a Área de Trabalho Virtual do Azure. Não há suporte para hosts de várias sessões, máquinas virtuais não persistentes em pool e streaming de aplicativo remoto. Confira o Windows Autopatch em cargas de trabalho da Área de Trabalho Virtual do Azure.
Opção 3: Chaves de registro para monitoramento de frota
Use suas ferramentas de gerenciamento de dispositivos existentes para consultar esses valores de registro em sua frota.
| Caminho do Registro | Tecla | Finalidade |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status do Voo | Status de implantação atual |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Erro | Indica erros (não deveria existir) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Indica a ID do Evento (não deveria existir) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Atualizações Disponíveis | Bits de atualização pendentes |
Para obter detalhes completos da chave do Registro, consulte Atualizações da chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI.
Opção 4: Monitoramento do log de eventos
Use suas ferramentas de gerenciamento de dispositivos existentes para coletar e monitorar esses IDs de eventos do log de eventos do sistema em toda a sua frota.
| ID de Evento | Local | Significado |
|---|---|---|
| 1808 | Sistema | Certificados aplicados com êxito |
| 1801 | Sistema | Atualizar o status ou detalhes do erro |
Para obter uma lista completa de detalhes do evento, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura.
Opção 5: Script de Inventário do PowerShell
Execute o script de Coleta de Dados do Inventário de Inicialização Segura de Exemplo da Microsoft para marcar o status de atualização do certificado de Inicialização Segura. O script coleta vários pontos de dados, incluindo o estado de Inicialização Segura, o status de atualização do UEFI CA 2023, a versão do firmware e a atividade do log de eventos.
Implantação
Importante
Independentemente da opção de implantação escolhida, recomendamos monitorar sua frota de dispositivos para confirmar se os certificados foram aplicados com êxito antes do prazo final de junho de 2026. Para imagens personalizadas, consulte Considerações sobre Golden Image.
Opção 1: Atualizações Automáticas do Windows Update (Dispositivos de Alta Confiança)
A Microsoft atualiza automaticamente os dispositivos por meio de atualizações mensais do Windows quando telemetria suficiente confirma a implantação bem-sucedida em configurações de hardware semelhantes.
- Status: Habilitado por padrão para dispositivos de alta confiança
- Nenhuma ação é necessária, a menos que você queira recusar
| Registro | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tecla | HighConfidenceOptOut = 1 para recusar |
| Política de Grupo | Configuração do> ComputadorModelos Administrativos>Componentes> do WindowsInicialização segura>Implantação Automática de Certificado via Atualizações> Defina como Desabilitado para recusar. |
Observação
Recomendação: Mesmo com as atualizações automáticas habilitadas, monitore os hosts da sessão para verificar se os certificados foram aplicados. Nem todos os dispositivos podem se qualificar para implantação automática de alta confiança.
Para obter mais informações, consulte Ajudas de implantação automatizadas.
Opção 2: Implantação IT-Initiated
Dispare manualmente atualizações de certificado para distribuição imediata ou controlada.
| Preparação | Documentação |
|---|---|
| Microsoft Intune | Método do Microsoft Intune |
| Política de Grupo | Método de Objetos de Política de Grupo (GPO) |
| Chaves do registro | Método da chave do Registro |
| WinCS CLI | WinCS APIs |
Observação
- Não misture métodos de implantação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo, eles controlam as mesmas chaves do Registro e podem entrar em conflito.
- Aguarde aproximadamente 48 horas e uma ou mais reinicializações para que os certificados sejam totalmente aplicáveis.
Considerações sobre a Golden Image
Para ambientes da Área de Trabalho Virtual do Azure que usam imagens da Galeria de Computação do Azure com Inicialização Segura habilitada, aplique a atualização do certificado Secure Boot 2023 à imagem dourada antes de capturá-la. Use um dos métodos descritos acima para aplicar a atualização e, em seguida, verifique se os certificados são atualizados antes de generalizar:
Observação
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Imagens sem Inicialização Confiável habilitada não podem receber atualizações de certificado de Inicialização Segura por meio da imagem. Isso inclui imagens gerenciadas, que não dão suporte ao Lançamento Confiável, e imagens da Galeria de Computação do Azure em que o Lançamento Confiável não está habilitado. Para dispositivos provisionados a partir dessas imagens, aplique atualizações no sistema operacional convidado usando um dos métodos acima.
Problemas conhecidos
A chave do Registro de manutenção não existe
| Sintoma | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist |
|---|---|
| Causa | As atualizações de certificado não foram iniciadas no dispositivo |
| Resolução | Aguarde a implantação automática por meio do Windows Update ou inicie manualmente usando um dos métodos de implantação iniciados pela TI acima |
O status mostra "InProgress" por um período estendido
| Sintoma | UEFICA2023Status permanece "InProgress" após vários dias |
|---|---|
| Causa | O dispositivo pode precisar de uma reinicialização para concluir o processo de atualização |
| Resolução | Reinicie o host da sessão e marcar status novamente após 15 minutos. Se o problema persistir, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura para obter diretrizes de solução de problemas |
UEFICA2023Existe uma chave de registro de erro
| Sintoma | UEFICA2023Chave de registro de erro está presente |
|---|---|
| Causa | Ocorreu um erro durante a implantação do certificado |
| Resolução | Verifique o log de eventos do sistema para obter detalhes. Consulte Eventos de atualização de variável Secure Boot DB e DBX para obter diretrizes de solução de problemas |