Secure Boot Certificate Actualizări for Azure Virtual Desktop

Data de publicare inițială: 19 februarie 2026

ID KB: 5080931

Acest articol conține instrucțiuni pentru:

Azure Administratorii desktop virtuali care gestionează actualizările gazdei sesiunii

Organizații care utilizează mașini virtuale cu Boot securizat activat pentru implementările desktop virtuale Azure

Organizații care utilizează imagini particularizate (imagini aurii) pentru implementările Azure Desktop virtual

În acest articol:

Introducere

Inventar și monitorizare

Implementare

Considerente de imagine aurie

Probleme cunoscute

Resurse

Introducere

Bootarea sigură este o caracteristică de securitate de firmware UEFI care vă ajută să vă asigurați că doar software-ul semnat digital de încredere rulează în timpul unei secvențe de boot a dispozitivului. Certificatele Microsoft Secure Boot emise în 2011 încep să expire în iunie 2026. Fără certificatele 2023 actualizate, dispozitivele nu vor mai primi noi protecții secure Boot și Boot Manager sau atenuări pentru vulnerabilitățile de nivel de boot nou descoperite.

Toate mașinile virtuale cu Boot securizat activat înregistrate în serviciul desktop virtual Azure și imaginile particularizate utilizate pentru a le asigura accesul trebuie actualizate la certificatele 2023 înainte de expirare pentru a rămâne protejate. Consultați Când expiră certificatele secure Boot pe dispozitivele Windows

Acest lucru se aplică mediului meu desktop virtual Azure?

Scenariu	Bootare sigură activă?	Acțiune necesară
Gazde sesiune
Trusted Launch VM with Secure Boot enabled	Da	Actualizarea certificatelor pentru gazda sesiunii
Trusted Launch VM with Secure Boot disabled	Nu	Nu este necesară nicio acțiune
Standard tip VM de securitate	Nu	Nu este necesară nicio acțiune
Generația 1 VM	Neacceptat	Nu este necesară nicio acțiune
Imagini aurii
Azure Imagine Cu Galeria de calcul cu Bootare securizată activată	Da	Actualizarea certificatelor în imaginea sursă
Azure imagine Galerie de calcul fără Lansare de încredere	Nu	Aplicarea actualizărilor în gazda sesiunii după implementare
Imagine gestionată (nu acceptă Lansare de încredere)	Nu	Aplicarea actualizărilor în gazda sesiunii după implementare

Pentru informații generale complete, consultați Actualizările certificatului de bootare securizată: Instrucțiuni pentru profesioniști IT și organizații.

Inventar și monitorizare

Înainte de a lua măsuri, inventariați mediul pentru a identifica dispozitivele care necesită actualizări. Monitorizarea este esențială pentru a confirma că certificatele se aplică înainte de termenul limită din iunie 2026, chiar dacă vă bazați pe metode de implementare automată. Mai jos sunt opțiuni pentru a determina dacă trebuie efectuată acțiunea.

Opțiunea 1: Microsoft Intune remedierile

Pentru gazdele de sesiune înscrise în Microsoft Intune, puteți implementa un script de detectare utilizând remedierile Intune (remedieri proactive) pentru a colecta automat starea certificatului de boot securizat din flota dvs. Scriptul rulează silențios pe fiecare dispozitiv și raportează starea bootării securizate, progresul actualizării certificatelor și detaliile dispozitivului înapoi la portalul Intune- nu se efectuează modificări la dispozitive. Rezultatele pot fi vizualizate și exportate în CSV direct din centrul de administrare Intune pentru analize la nivel de flotă.

Pentru instrucțiuni pas cu pas despre implementarea scriptului de detectare, consultați Monitorizarea stării certificatului de bootare securizat cu Microsoft Intune remedieri.

Opțiunea 2: Raport de stare de bootare securizată Windows Autopatch

Pentru gazdele sesiunilor persistente personale înregistrate cu Windows Autopatch, accesați centrul de administrare Intune > Rapoarte > Windows Autopatch > actualizările de calitate Windows > fila Rapoarte > starea bootării securizate. Consultați Raportul de stare secure boot în Windows Autopatch.

Notă: Windows Autopatch acceptă doar mașini virtuale persistente personale pentru Azure Desktop virtual. Gazdele cu mai multe sesiuni, mașinile virtuale non-persistente cu fond comun și redarea în flux a aplicațiilor la distanță nu sunt acceptate. Consultați Windows Autopatch în Azure volumele de lucru desktop virtual.

Opțiunea 3: Chei de registry pentru monitorizarea flotei

Utilizați instrumentele existente de gestionare a dispozitivelor pentru a interoga aceste valori de registry în întreaga flotă.

Cale registry	Cheie	Scop
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Starea curentă a implementării
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Eroare	Indică erori (nu ar trebui să existe)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Indică ID-ul de eveniment (nu ar trebui să existe)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Biți de actualizare în așteptare

Pentru detalii despre cheia de registry completă, consultați Actualizări de chei de registry pentru Bootare sigură: dispozitive Windows cu actualizări gestionate de IT.

Opțiunea 4: Monitorizarea jurnalului de evenimente

Utilizați instrumentele existente de gestionare a dispozitivelor pentru a colecta și monitoriza aceste ID-uri de eveniment din jurnalul de evenimente de sistem din flota dvs.

ID eveniment	Locație	Sensul
1808	Sistem	Certificate aplicate cu succes
1801	Sistem	Actualizați starea sau detaliile erorii

Pentru o listă completă a detaliilor evenimentului, consultați Evenimente de actualizare a variabilelor Secure Boot DB și DBX.

Opțiunea 5: Script de inventar PowerShell

Rulați scriptul de colectare a datelor de inventar de boot secure de la Microsoft pentru a verifica starea de actualizare a certificatului de bootare securizată. Scriptul colectează mai multe puncte de date, inclusiv starea Bootării securizate, starea actualizării UEFI CA 2023, versiunea firmware și activitatea din jurnalul de evenimente.

Implementare

Important: Indiferent de opțiunea de implementare aleasă, vă recomandăm să monitorizați flota de dispozitive pentru a confirma că certificatele sunt aplicate cu succes înainte de termenul limită din iunie 2026. Pentru imagini personalizate, consultați Golden Image Considerations.

Opțiunea 1: Actualizări automată de la Windows Update (dispozitive de mare încredere)

Microsoft actualizează automat dispozitivele prin intermediul actualizărilor lunare Windows atunci când o telemetrie suficientă confirmă implementarea reușită pe configurații hardware similare.

Stare: Activat în mod implicit pentru dispozitivele cu nivel înalt de încredere

Nu este necesară nicio acțiune decât dacă doriți să renunțați

Registry	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Cheie	HighConfidenceOptOut = 1 pentru a renunța
Politică de grup	Configurația computerului > Șabloane administrative > componentele Windows > bootarea sigură > implementarea automată a certificatelor prin Actualizări > setat la Dezactivat pentru a renunța.

Recomandare: Chiar și cu actualizările automate activate, monitorizați gazdele sesiunii pentru a verifica dacă sunt aplicate certificate. Nu toate dispozitivele se pot califica pentru implementarea automată de mare încredere.

Pentru mai multe informații, consultați Asistență pentru implementarea automată.

Opțiunea 2: implementarea IT-Initiated

Lansați manual actualizările certificatelor pentru lansare imediată sau controlată.

Metoda	Documentație
Microsoft Intune	metoda Microsoft Intune
Politică de grup	metoda Politică de grup Objects (GPO)
Chei de registry	Metoda cheii de registry
WinCS CLI	API-uri WinCS

Note:

Nu amestecați metode de implementare inițiate de IT (de exemplu, Intune și GPO) pe același dispozitiv- ele controlează aceleași chei de registry și pot intra în conflict.
Permiteți aproximativ 48 de ore și una sau mai multe reporniri pentru ca certificatele să se aplice complet.

Considerente de imagine aurie

Pentru mediile desktop virtuale Azure care utilizează imagini Azure Compute Gallery cu Secure Boot activat, aplicați actualizarea de certificat Secure Boot 2023 la imaginea de aur înainte de a o captura. Utilizați una dintre metodele descrise mai sus pentru a aplica actualizarea, apoi verificați dacă certificatele sunt actualizate înainte de a generaliza:

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Imaginile fără Lansare de încredere activată nu pot primi actualizări ale certificatului de bootare securizată prin imagine. Printre acestea se numără imaginile gestionate, care nu acceptă Lansarea de încredere și Azure imagini din Galeria de calcul unde nu este activată Lansarea de încredere. Pentru dispozitivele cărora le este asigurat accesul din aceste imagini, aplicați actualizări în sistemul de operare invitat utilizând una dintre metodele de mai sus.

Probleme cunoscute

Cheia de registry de servicii nu există

Simptom	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path nu există
Cauza	Actualizările certificatelor nu au fost inițiate pe dispozitiv
Rezolvarea	Așteptați implementarea automată prin Windows Update sau inițiați manual utilizând una dintre metodele de implementare inițiate de IT de mai sus

Starea afișează "InProgress" pentru o perioadă extinsă

Simptom	UEFICA2023Status rămâne "InProgress" după mai multe zile
Cauza	Dispozitivul poate necesita o repornire pentru a finaliza procesul de actualizare
Rezolvarea	Reporniți gazda sesiunii și verificați starea din nou după 15 minute. Dacă problema persistă, consultați Evenimente de actualizare a variabilelor SECURE Boot DB și DBX pentru instrucțiuni de depanare

CHEIA de registry UEFICA2023Error există

Simptom	UEFICA2023 Cheia de registry de eroare este prezentă
Cauza	Eroare în timpul implementării certificatului
Rezolvarea	Consultați Jurnalul de evenimente de sistem pentru detalii. Consultați Evenimentele de actualizare a variabilelor Secure Boot DB și DBX pentru instrucțiuni de depanare

Resurse

Secure Boot Certificate Update Playbook

Secure Boot Certificate Actualizări: instrucțiuni pentru profesioniști IT