Atualizações de certificado de inicialização seguro para Azure Área de Trabalho Virtual

Introdução

O Arranque Seguro é uma funcionalidade de segurança de firmware UEFI que ajuda a garantir que apenas o software fidedigno e assinado digitalmente é executado durante uma sequência de arranque do dispositivo. Os certificados de Arranque Seguro da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos deixarão de receber novas proteções de Arranque Seguro e Gestor de Arranque ou mitigações para vulnerabilidades de nível de arranque recentemente detetadas.

Todas as VMs ativadas para Arranque Seguro registadas no serviço Azure Virtual Desktop e imagens personalizadas utilizadas para as aprovisionar têm de ser atualizadas para os certificados 2023 antes da expiração para permanecerem protegidas. Veja Quando os certificados de Arranque Seguro expiram em dispositivos Windows

Isto aplica-se ao meu ambiente AVD?

Cenário	Arranque Seguro Ativo?	Ação Necessária
Anfitriões de Sessões
Iniciar A VM fidedigna com o Arranque Seguro ativado	Sim	Atualizar certificados no anfitrião da sessão
Iniciar A VM Fidedigna com o Arranque Seguro desativado	Não	Não é necessária nenhuma ação
VM do tipo de segurança Standard	Não	Não é necessária nenhuma ação
VM de geração 1	Sem suporte	Não é necessária nenhuma ação
Imagens Douradas
Azure imagem da Galeria de Computação com o Arranque Seguro ativado	Sim	Atualizar certificados na imagem de origem
imagem da Galeria de Computação do Azure sem Iniciação Fidedigna	Não	Aplicar atualizações no anfitrião da sessão após a implementação
Imagem gerida (não suporta a Iniciação Fidedigna)	Não	Aplicar atualizações no anfitrião da sessão após a implementação

Para obter informações gerais completas, veja Atualizações de certificados de Arranque Seguro: Orientação para profissionais de TI e organizações.

Inventário e Monitorização

Antes de efetuar uma ação, faça o inventário do seu ambiente para identificar os dispositivos que necessitam de atualizações. A monitorização é essencial para confirmar que os certificados são aplicados antes do prazo de junho de 2026, mesmo que dependa de métodos de implementação automática. Seguem-se opções para determinar se é necessário tomar medidas.

Opção 1: Microsoft Intune Remediações

Para anfitriões de sessão inscritos no Microsoft Intune, pode implementar um script de deteção com Intune Remediações (Remediações Proativas) para recolher automaticamente status certificados de Arranque Seguro em toda a sua frota. O script é executado automaticamente em cada dispositivo e comunica status de Arranque Seguro, o progresso da atualização de certificados e os detalhes do dispositivo no portal Intune – não são efetuadas alterações aos dispositivos. Os resultados podem ser visualizados e exportados para CSV diretamente a partir do centro de administração do Intune para análise ao nível da frota.

Para obter instruções passo a passo sobre como implementar o script de deteção, veja Monitorizar o Estado do Certificado de Arranque Seguro com Microsoft Intune Remediações.

Opção 2: Relatório de Estado de Arranque Seguro de Bloqueio Automático do Windows

Para anfitriões de sessões persistentes pessoais registados com o Windows Autopatch, aceda ao Intune centro de administração > Relatórios > Atualizações de qualidade do Windows > atualizações de qualidade do Windows > separador Relatórios > status de Arranque Seguro. Veja Relatório de status de Arranque Seguro no Windows Autopatch.

Observação: O Windows Autopatch suporta apenas máquinas virtuais persistentes pessoais para AVD. Não são suportados anfitriões de várias sessões, máquinas virtuais não persistentes agrupadas e transmissão em fluxo de aplicações remotas. Veja Windows Autopatch on Azure Virtual Desktop workloads (Bloqueio automático do Windows em cargas de trabalho do Azure Virtual Desktop).

Opção 3: Chaves de Registo para Monitorização da Frota

Utilize as ferramentas de gestão de dispositivos existentes para consultar estes valores de registo em toda a sua frota.

Caminho do Registo	Chave	Finalidade
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Status de implementação atual
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Indica erros (não devem existir)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Indica o ID do Evento (não deve existir)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Bits de atualização pendentes

Para obter detalhes completos da chave do registo, veja Atualizações de chaves de registo para Arranque Seguro: dispositivos Windows com atualizações geridas por TI.

Opção 4: Monitorização do Registo de Eventos

Utilize as ferramentas de gestão de dispositivos existentes para recolher e monitorizar estes IDs de eventos do registo de eventos do Sistema na sua frota.

ID de Evento	Local	Significado
1808	Sistema	Certificados aplicados com êxito
1801	Sistema	Atualizar status ou detalhes do erro

Para obter uma lista completa dos detalhes do evento, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot).

Opção 5: Script de Inventário do PowerShell

Execute o script de Recolha de Dados de Inventário de Arranque Seguro de Exemplo da Microsoft para marcar atualização do certificado de Arranque Seguro status. O script recolhe vários pontos de dados, incluindo o estado de Arranque Seguro, a atualização ueFI CA 2023 status, a versão de firmware e a atividade do registo de eventos.

Implantação

Importante: Independentemente da opção de implementação que escolher, recomendamos que monitorize a frota de dispositivos para confirmar que os certificados foram aplicados com êxito antes do prazo de junho de 2026. Para obter imagens personalizadas, consulte Considerações sobre Imagens Douradas.

Opção 1: Atualizações automática do Windows Update (Dispositivos de Alta Confiança)

A Microsoft atualiza automaticamente os dispositivos através de atualizações mensais do Windows quando a telemetria suficiente confirma a implementação com êxito em configurações de hardware semelhantes.

Estado: Ativado por predefinição para dispositivos de alta confiança

Nenhuma ação necessária, a menos que pretenda optar ativamente por não participar

Registro	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Chave	HighConfidenceOptOut = 1 para optar ativamente por não participar
Política de Grupo	Configuração do Computador > Modelos Administrativos > Componentes do Windows > Arranque Seguro > Implementação Automática de Certificados através de Atualizações > Definir como Desativado para optar ativamente por não participar.

Recomendação: Mesmo com as atualizações automáticas ativadas, monitorize os anfitriões de sessão para verificar se os certificados são aplicados. Nem todos os dispositivos podem ser elegíveis para implementação automática de alta confiança.

Para obter mais informações, veja Assistências de implementação automatizadas.

Opção 2: Implementação do IT-Initiated

Acione manualmente atualizações de certificados para implementação imediata ou controlada.

Método	Documentação
Microsoft Intune	Microsoft Intune método
Política de Grupo	Política de Grupo Método de Objetos (GPO)
Chaves de Registo	Método de chave de registo
WinCS CLI	APIs WinCS

Observações:

Não misture métodos de implementação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo. Controlam as mesmas chaves de registo e podem entrar em conflito.
Permita aproximadamente 48 horas e um ou mais reinícios para que os certificados se apliquem na totalidade.

Considerações sobre Imagens Douradas

Para ambientes AVD que utilizem imagens da Galeria de Computação Azure com o Arranque Seguro ativado, aplique a atualização do certificado de Arranque Seguro 2023 à imagem dourada antes de a capturar. Utilize um dos métodos descritos acima para aplicar a atualização e, em seguida, verifique se os certificados são atualizados antes de generalizar:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

As imagens sem a Iniciação Fidedigna ativada não podem receber atualizações do certificado de Arranque Seguro através da imagem. Isto inclui imagens geridas, que não suportam a Iniciação Fidedigna, e Azure imagens da Galeria de Computação onde a Iniciação Fidedigna não está ativada. Para dispositivos aprovisionados a partir destas imagens, aplique atualizações no SO convidado através de um dos métodos acima.

Problemas conhecidos

A chave do registo de manutenção não existe

Sintoma	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path não existe
Motivo	As atualizações de certificado não foram iniciadas no dispositivo
Resolução	Aguarde pela implementação automática através de Windows Update ou inicie manualmente com um dos métodos de implementação iniciados por TI acima

O estado mostra "Entrada" durante um período prolongado

Sintoma	UEFICA2023Status permanece "InProgress" após vários dias
Motivo	O dispositivo pode precisar de um reinício para concluir o processo de atualização
Resolução	Reinicie o anfitrião da sessão e marcar status novamente após 15 minutos. Se o problema persistir, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot) para obter orientações de resolução de problemas

A chave de registo UEFICA2023Error existe

Sintoma	A chave de registo UEFICA2023Error está presente
Motivo	Ocorreu um erro durante a implementação do certificado
Resolução	Verifique o Registo de eventos do sistema para obter detalhes. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX) para obter orientações de resolução de problemas

Recursos

Manual de Procedimentos de Atualização de Certificados de Arranque Seguro

Atualizações de Certificado de Arranque Seguro: Documentação de Orientação para Profissionais de TI