Secure Boot Certificate Actualizări pentru Windows 365
Data de publicare inițială: 19 februarie 2026
ID KB: 5080914
Acest articol conține instrucțiuni pentru:
-
Windows 365 administratorii care gestionează PC-uri cloud.
-
Organizații care utilizează PC-uri cloud cu Boot securizat activat pentru implementări de Windows 365.
-
Organizații care utilizează imagini particularizate pentru implementările Windows 365 .
În acest articol:
Introducere
Bootarea sigură este o caracteristică de securitate de firmware UEFI care vă ajută să vă asigurați că doar software-ul semnat digital de încredere rulează în timpul unei secvențe de boot a dispozitivului. Certificatele Microsoft Secure Boot emise în 2011 încep să expire în iunie 2026. Fără certificatele 2023 actualizate, dispozitivele nu vor mai primi noi protecții secure Boot și Boot Manager sau atenuări pentru vulnerabilitățile de nivel de boot nou descoperite.
Toate PC-urile Cloud activate pentru boot securizat furnizate în serviciul Windows 365 și imaginile particularizate utilizate pentru a le furniza trebuie actualizate la certificatele 2023 înainte de expirare pentru a rămâne protejate. Consultați Când expiră certificatele secure Boot pe dispozitive Windows.
Acest lucru se aplică mediului meu de Windows 365?
|
Scenariu |
Bootare sigură activă? |
Acțiune necesară |
|
PC-uri cloud |
||
|
PC cloud cu Boot securizat activat |
Da |
Actualizarea certificatelor pe PC-ul cloud |
|
PC cloud cu bootare securizată dezactivată |
Nu |
Nu este necesară nicio acțiune |
|
Imagini |
||
|
Azure Imagine Cu Galeria de calcul cu Bootare securizată activată |
Da |
Actualizarea certificatelor din imaginea sursă înainte de generalizare |
|
Azure imagine Galerie de calcul fără Lansare de încredere |
Nu |
Aplicați actualizări în PC-ul cloud după asigurarea accesului |
|
Imagine gestionată (nu acceptă Lansare de încredere) |
Nu |
Aplicați actualizări în PC-ul cloud după asigurarea accesului |
Pentru informații generale complete, consultați Actualizările certificatului de bootare securizată: Instrucțiuni pentru profesioniști IT și organizații.
Inventar și monitorizare
Înainte de a lua măsuri, inventariați mediul pentru a identifica dispozitivele care necesită actualizări. Monitorizarea este esențială pentru a confirma că certificatele se aplică înainte de termenul limită din iunie 2026, chiar dacă vă bazați pe metode de implementare automată. Mai jos sunt opțiuni pentru a determina dacă trebuie efectuată acțiunea.
Opțiunea 1: Microsoft Intune remedierile
Pentru PC-urile cloud înscrise în Microsoft Intune, puteți implementa un script de detectare utilizând remedierile Intune (remedieri proactive) pentru a colecta automat starea certificatului de boot securizat în întreaga flotă. Scriptul rulează silențios pe fiecare dispozitiv și raportează starea bootării securizate, progresul actualizării certificatelor și detaliile dispozitivului înapoi la portalul Intune- nu se efectuează modificări la dispozitive. Rezultatele pot fi vizualizate și exportate în CSV direct din centrul de administrare Intune pentru analize la nivel de flotă.
Pentru instrucțiuni pas cu pas despre implementarea scriptului de detectare, consultați Monitorizarea stării certificatului de bootare securizat cu Microsoft Intune remedieri.
Opțiunea 2: Raport de stare de bootare securizată Windows Autopatch
Pentru PC-urile cloud înregistrate cu Windows Autopatch, accesați centrul de administrare Intune > Rapoarte > Windows Autopatch > actualizările de calitate Windows > fila Rapoarte > starea Bootare sigură. Consultați Raportul de stare secure boot în Windows Autopatch.
Notă: Pentru a utiliza Windows Autopatch cu Windows 365, PC-urile cloud trebuie să fie înregistrate cu serviciul Windows Autopatch. Consultați Windows Autopatch în Windows 365 Enterprise sarcini de lucru.
Opțiunea 3: Chei de registry pentru monitorizarea flotei
Utilizați instrumentele existente de gestionare a dispozitivelor pentru a interoga aceste valori de registry în întreaga flotă.
|
Cale registry |
Cheie |
Scop |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Starea curentă a implementării |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Eroare |
Indică erori (nu ar trebui să existe) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Indică ID-ul de eveniment (nu ar trebui să existe) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Biți de actualizare în așteptare |
Pentru detalii complete despre cheia de registry, consultați Actualizările cheilor de registry pentru Bootare sigură.
Opțiunea 4: Monitorizarea jurnalului de evenimente
Utilizați instrumentele existente de gestionare a dispozitivelor pentru a colecta și monitoriza aceste ID-uri de eveniment din jurnalul de evenimente de sistem din flota dvs.
|
ID eveniment |
Locație |
Sensul |
|
1808 |
Sistem |
Certificate aplicate cu succes |
|
1801 |
Sistem |
Actualizați starea sau detaliile erorii |
Pentru o listă completă a detaliilor evenimentului, consultați Evenimente de actualizare a variabilelor Secure Boot DB și DBX.
Opțiunea 5: Script de inventar PowerShell
Rulați scriptul de colectare a datelor de inventar de boot secure de la Microsoft pentru a verifica starea de actualizare a certificatului de bootare securizată. Scriptul colectează mai multe puncte de date, inclusiv starea Bootării securizate, starea actualizării UEFI CA 2023, versiunea firmware și activitatea din jurnalul de evenimente.
Implementare
Important: Indiferent de opțiunea de implementare aleasă, vă recomandăm să monitorizați flota de dispozitive pentru a confirma că certificatele sunt aplicate cu succes înainte de termenul limită din iunie 2026. Pentru imagini particularizate, consultați Considerații despre imagini particularizate.
Opțiunea 1: Actualizări automată de la Windows Update (dispozitive de mare încredere)
Microsoft actualizează automat dispozitivele prin intermediul actualizărilor lunare Windows atunci când o telemetrie suficientă confirmă implementarea reușită pe configurații hardware similare.
-
Stare: Activat în mod implicit pentru dispozitivele cu nivel înalt de încredere
-
Nu este necesară nicio acțiune decât dacă doriți să renunțați
|
Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Cheie |
HighConfidenceOptOut = 1 pentru a renunța |
|
Politică de grup |
Configurația computerului > șabloane administrative > componentele Windows > Bootarea sigură > implementarea automată a certificatelor prin Actualizări > setat la Dezactivat pentru a renunța |
Recomandare: Chiar și cu actualizările automate activate, monitorizați PC-urile din cloud pentru a verifica dacă sunt aplicate certificate. Nu toate dispozitivele se pot califica pentru implementarea automată de mare încredere.
Pentru mai multe informații, consultați Asistență pentru implementarea automată.
Opțiunea 2: implementarea IT-Initiated
Lansați manual actualizările certificatelor pentru lansare imediată sau controlată.
|
Metoda |
Documentație |
|
Microsoft Intune |
|
|
Politică de grup |
|
|
Chei de registry |
|
|
WinCS CLI |
Note:
-
Nu amestecați metode de implementare inițiate de IT (de exemplu, Intune și GPO) pe același dispozitiv- ele controlează aceleași chei de registry și pot intra în conflict.
-
Permiteți aproximativ 48 de ore și una sau mai multe reporniri pentru ca certificatele să se aplice complet.
Considerații pentru imagini particularizate
Imaginile particularizate sunt gestionate complet de organizația dvs. Sunteți responsabil pentru aplicarea actualizărilor certificatului de bootare securizată la imaginea particularizată și reîncărcarea acesteia înainte de a o utiliza pentru asigurarea accesului.
Aplicarea actualizărilor certificatului secure boot la imaginea sursă este acceptată doar cu imagini Azure Compute Gallery (previzualizare), care acceptă Lansare de încredere și Bootare sigură. Imaginile gestionate nu acceptă bootarea sigură, astfel încât actualizările de certificate nu pot fi aplicate la nivel de imagine. Pentru PC-urile cloud furnizate din imagini gestionate, aplicați actualizări direct pe PC-ul cloud utilizând una dintre metodele de implementare de mai sus.
Înainte de a generaliza o nouă imagine particularizată, verificați dacă certificatele sunt actualizate:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Probleme cunoscute
Cheia de registry de servicii nu există
|
Simptom |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing cale nu există |
|
Cauza |
Actualizările certificatelor nu au fost inițiate pe dispozitiv |
|
Rezolvarea |
Așteptați implementarea automată prin Windows Update sau inițiați manual utilizând una dintre metodele de implementare inițiate de IT de mai sus |
Starea afișează "InProgress" pentru o perioadă extinsă
|
Simptom |
UEFICA2023Status rămâne "InProgress" după mai multe zile |
|
Cauza |
Dispozitivul poate necesita o repornire pentru a finaliza procesul de actualizare |
|
Rezolvarea |
Reporniți PC-ul cloud și verificați starea din nou după 15 minute. Dacă problema persistă, consultați Evenimente de actualizare a variabilelor SECURE Boot DB și DBX pentru instrucțiuni de depanare |
CHEIA de registry UEFICA2023Error există
|
Simptom |
UEFICA2023 Cheia de registry de eroare este prezentă |
|
Cauza |
Eroare în timpul implementării certificatului |
|
Rezolvarea |
Consultați Jurnalul de evenimente de sistem pentru detalii. Consultați Evenimentele de actualizare a variabilelor Secure Boot DB și DBX pentru instrucțiuni de depanare |
Resurse
Aveți nevoie de ajutor suplimentar?
Doriți mai multe opțiuni?
Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.
Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.
