Atualizações de Certificado de Arranque Seguro para Azure Virtual Desktop
Aplica-se a
Data de publicação original: 19 de fevereiro de 2026
ID do KB: 5080931
Este artigo tem diretrizes para:
-
Azure administradores da Área de Trabalho Virtual gerenciando atualizações de host de sessão
-
Organizações que usam VMs habilitadas para Inicialização Segura para implantações da Área de Trabalho Virtual Azure
-
Organizações que usam imagens personalizadas (imagens douradas) para implantações da Área de Trabalho Virtual Azure
Neste artigo:
Introdução
A Inicialização Segura é um recurso de segurança de firmware UEFI que ajuda a garantir apenas execuções de software confiáveis e assinadas digitalmente durante uma sequência de inicialização de dispositivo. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026. Sem os certificados atualizados de 2023, os dispositivos não receberão mais novas proteções ou mitigações do Gerenciador de Inicialização e Inicialização seguras para vulnerabilidades recém-descobertas no nível de inicialização.
Todas as VMs habilitadas para Inicialização Segura registradas no serviço Azure Área de Trabalho Virtual e imagens personalizadas usadas para provisioná-las devem ser atualizadas para os certificados de 2023 antes da expiração para permanecerem protegidas. Consulte Quando os certificados de Inicialização Segura expirarem em dispositivos Windows
Isso se aplica ao meu ambiente de Área de Trabalho Virtual Azure?
|
Cenário |
Inicialização segura ativa? |
Ação Necessária |
|
Hosts de Sessão |
||
|
VM de inicialização confiável com inicialização segura habilitada |
Sim |
Atualizar certificados no host de sessão |
|
VM de inicialização confiável com Inicialização Segura desabilitada |
Não |
Nenhuma ação necessária |
|
Standard VM do tipo de segurança |
Não |
Nenhuma ação necessária |
|
VM de geração 1 |
Sem suporte |
Nenhuma ação necessária |
|
Imagens douradas |
||
|
Azure imagem da Galeria de Computação com Inicialização Segura habilitada |
Sim |
Atualizar certificados na imagem de origem |
|
Azure imagem da Galeria de Computação sem Lançamento Confiável |
Não |
Aplicar atualizações no host de sessão após a implantação |
|
Imagem gerenciada (não dá suporte ao Lançamento Confiável) |
Não |
Aplicar atualizações no host de sessão após a implantação |
Para obter informações completas em segundo plano, confira Atualizações de certificado de Inicialização Segura: Diretrizes para profissionais e organizações de TI.
Inventário e Monitor
Antes de tomar medidas, inventário seu ambiente para identificar dispositivos que exigem atualizações. O monitoramento é essencial para confirmar se os certificados são aplicados antes do prazo final de junho de 2026, mesmo que você dependa de métodos de implantação automática. Abaixo estão as opções para determinar se a ação precisa ser tomada.
Opção 1: Microsoft Intune Correções
Para hosts de sessão registrados em Microsoft Intune, você pode implantar um script de detecção usando Intune Correções (Correções Proativas) para coletar automaticamente status de certificado de Inicialização Segura em toda a frota. O script é executado silenciosamente em cada dispositivo e relata status de Inicialização Segura, progresso da atualização de certificado e detalhes do dispositivo de volta ao portal Intune — nenhuma alteração é feita nos dispositivos. Os resultados podem ser exibidos e exportados para CSV diretamente do centro de administração Intune para análise em toda a frota.
Para obter instruções passo a passo sobre como implantar o script de detecção, consulte Monitoramento do status do certificado de inicialização segura com Microsoft Intune Correções.
Opção 2: Relatório de status de inicialização segura do Windows Autopatch
Para hosts de sessão persistentes pessoais registrados com o Windows Autopatch, acesse Intune centro de administração > Relatórios > Autopatch do Windows > atualizações de qualidade do Windows > Guia Relatórios > Status de Inicialização Segura. Consulte Relatório de status de Inicialização Segura no Windows Autopatch.
Observação: O Windows Autopatch dá suporte apenas a máquinas virtuais persistentes pessoais para Azure Área de Trabalho Virtual. Não há suporte para hosts de várias sessões, máquinas virtuais não persistentes em pool e streaming de aplicativos remotos. Consulte Autopatch do Windows em Azure cargas de trabalho da Área de Trabalho Virtual.
Opção 3: Chaves do Registro para Monitoramento de Frota
Use suas ferramentas de gerenciamento de dispositivo existentes para consultar esses valores de registro em toda a frota.
|
Caminho do Registro |
Chave |
Finalidade |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Implantação atual status |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Indica erros (não devem existir) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Indica A ID do Evento (não deve existir) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bits de atualização pendentes |
Para obter detalhes completos da chave do registro, confira Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas por TI.
Opção 4: Monitoramento de Log de Eventos
Use as ferramentas de gerenciamento de dispositivos existentes para coletar e monitorar essas IDs de eventos do log de eventos do Sistema em toda a frota.
|
ID de Evento |
Local |
Significado |
|
1808 |
Sistema |
Certificados aplicados com êxito |
|
1801 |
Sistema |
Atualizar status ou detalhes de erro |
Para obter uma lista completa de detalhes do evento, consulte Eventos de atualização de variável DB e DBX de Inicialização Segura.
Opção 5: Script de Inventário do PowerShell
Execute o script de Coleta de Dados de Inventário de Inicialização Segura de Exemplo da Microsoft para marcar status de atualização de certificado de Inicialização Segura. O script coleta vários pontos de dados, incluindo estado de Inicialização Segura, status de atualização da UEFI CA 2023, versão do firmware e atividade de log de eventos.
Implantação
Importante: Independentemente da opção de implantação escolhida, recomendamos monitorar a frota de dispositivos para confirmar que os certificados são aplicados com êxito antes do prazo final de junho de 2026. Para obter imagens personalizadas, consulte Considerações sobre Imagens Douradas.
Opção 1: Atualizações automática do Windows Update (Dispositivos de Alta Confiança)
A Microsoft atualiza automaticamente os dispositivos através de atualizações mensais do Windows quando a telemetria suficiente confirma a implementação com êxito em configurações de hardware semelhantes.
-
Estado: Ativado por predefinição para dispositivos de alta confiança
-
Nenhuma ação necessária, a menos que pretenda optar ativamente por não participar
|
Registro |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Chave |
HighConfidenceOptOut = 1 para optar ativamente por não participar |
|
Política de Grupo |
Configuração do Computador > Modelos Administrativos > Componentes do Windows > Arranque Seguro > Implementação Automática de Certificados através de Atualizações > Definir como Desativado para optar ativamente por não participar. |
Recomendação: Mesmo com as atualizações automáticas ativadas, monitorize os anfitriões de sessão para verificar se os certificados são aplicados. Nem todos os dispositivos podem ser elegíveis para implementação automática de alta confiança.
Para obter mais informações, veja Assistências de implementação automatizadas.
Opção 2: Implementação do IT-Initiated
Acione manualmente atualizações de certificados para implementação imediata ou controlada.
|
Método |
Documentação |
|
Microsoft Intune |
|
|
Política de Grupo |
|
|
Chaves de Registo |
|
|
WinCS CLI |
Observações:
-
Não misture métodos de implementação iniciados por TI (por exemplo, Intune e GPO) no mesmo dispositivo. Controlam as mesmas chaves de registo e podem entrar em conflito.
-
Permita aproximadamente 48 horas e um ou mais reinícios para que os certificados se apliquem na totalidade.
Considerações sobre Imagens Douradas
Para Azure ambientes do Virtual Desktop que utilizam imagens da Galeria de Computação Azure com o Arranque Seguro ativado, aplique a atualização do certificado de Arranque Seguro 2023 à imagem dourada antes de a capturar. Utilize um dos métodos descritos acima para aplicar a atualização e, em seguida, verifique se os certificados são atualizados antes de generalizar:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
As imagens sem a Iniciação Fidedigna ativada não podem receber atualizações do certificado de Arranque Seguro através da imagem. Isto inclui imagens geridas, que não suportam a Iniciação Fidedigna, e Azure imagens da Galeria de Computação onde a Iniciação Fidedigna não está ativada. Para dispositivos aprovisionados a partir destas imagens, aplique atualizações no SO convidado através de um dos métodos acima.
Problemas conhecidos
A chave do registo de manutenção não existe
|
Sintoma |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path não existe |
|
Motivo |
As atualizações de certificado não foram iniciadas no dispositivo |
|
Resolução |
Aguarde pela implementação automática através de Windows Update ou inicie manualmente com um dos métodos de implementação iniciados por TI acima |
O estado mostra "Entrada" durante um período prolongado
|
Sintoma |
UEFICA2023Status permanece "InProgress" após vários dias |
|
Motivo |
O dispositivo pode precisar de um reinício para concluir o processo de atualização |
|
Resolução |
Reinicie o anfitrião da sessão e marcar status novamente após 15 minutos. Se o problema persistir, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot) para obter orientações de resolução de problemas |
A chave de registo UEFICA2023Error existe
|
Sintoma |
A chave de registo UEFICA2023Error está presente |
|
Motivo |
Ocorreu um erro durante a implementação do certificado |
|
Resolução |
Verifique o Registo de eventos do sistema para obter detalhes. Veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX) para obter orientações de resolução de problemas |
Recursos
Precisa de mais ajuda?
Quer mais opções
Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.
As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.
