Обновления сертификата безопасной загрузки для виртуального рабочего стола Azure

Исходная дата публикации: 19 февраля 2026 г.

Идентификатор базы знаний: 5080931

В этой статье содержатся рекомендации по следующим вопросам:

Azure администраторы виртуальных рабочих столов, управляющие обновлениями узла сеансов

Организации, использующие виртуальные машины с поддержкой безопасной загрузки для развертываний виртуальных рабочих столов Azure

Организации, использующие пользовательские образы (золотые образы) для развертываний виртуальных рабочих столов Azure

В этой статье:

Введение

Инвентаризация и мониторинг

Развертывания

Рекомендации по золотому изображению

Известные проблемы

Ресурсы

Введение

Безопасная загрузка — это функция безопасности встроенного ПО UEFI, которая помогает гарантировать выполнение только доверенного программного обеспечения с цифровой подписью во время последовательности загрузки устройства. Срок действия сертификатов безопасной загрузки Майкрософт, выданных в 2011 году, начинается в июне 2026 г. Без обновленных сертификатов 2023 устройства больше не будут получать новые средства защиты от безопасной загрузки и диспетчера загрузки или меры по устранению новых уязвимостей на уровне загрузки.

Все виртуальные машины с поддержкой безопасной загрузки, зарегистрированные в службе виртуального рабочего стола Azure, и пользовательские образы, используемые для их подготовки, должны быть обновлены до истечения срока действия сертификатов 2023, чтобы они оставались защищенными. См. сведения об истечении срока действия сертификатов безопасной загрузки на устройствах Windows.

Относится ли это к среде виртуального рабочего стола Azure?

Сценарий	Безопасная загрузка активна?	Требуется действие
Узлы сеансов
Виртуальная машина доверенного запуска с включенной безопасной загрузкой	Да	Обновление сертификатов на узле сеанса
Доверенный запуск виртуальной машины с отключенной безопасной загрузкой	Нет	Никаких действий не требуется
виртуальная машина типа безопасности Standard	Нет	Никаких действий не требуется
Виртуальная машина поколения 1	Не поддерживается	Никаких действий не требуется
Золотые изображения
Azure образ коллекции вычислений с включенной безопасной загрузкой	Да	Обновление сертификатов в исходном образе
Azure образ коллекции вычислений без доверенного запуска	Нет	Применение обновлений в узле сеанса после развертывания
Управляемый образ (не поддерживает доверенный запуск)	Нет	Применение обновлений в узле сеанса после развертывания

Полные сведения см. в разделе Обновления сертификатов безопасной загрузки: руководство для ИТ-специалистов и организаций.

Инвентаризация и мониторинг

Перед выполнением действий выполните инвентаризацию среды, чтобы определить устройства, для которых требуются обновления. Мониторинг необходим для подтверждения применения сертификатов до крайнего срока в июне 2026 г., даже если вы используете методы автоматического развертывания. Ниже приведены параметры для определения необходимости выполнения действий.

Вариант 1. Исправления Microsoft Intune

Для узлов сеансов, зарегистрированных в Microsoft Intune, можно развернуть скрипт обнаружения с помощью Intune исправлений (упреждающих исправлений) для автоматического сбора состояния сертификата безопасной загрузки по всему парку. Скрипт выполняется автоматически на каждом устройстве и сообщает о состоянии безопасной загрузки, ходе обновления сертификата и сведениях об устройстве обратно на портал Intune — никакие изменения на устройствах не вносятся. Результаты можно просматривать и экспортировать в CSV-файл непосредственно из центра администрирования Intune для анализа на уровне парка.

Пошаговые инструкции по развертыванию сценария обнаружения см. в статье Мониторинг состояния сертификата безопасной загрузки с помощью исправлений Microsoft Intune.

Вариант 2. Отчет о состоянии безопасной загрузки автозагрузки Windows

Для личных постоянных узлов сеансов, зарегистрированных с помощью автоматического исправления Windows, перейдите на Intune центр администрирования > Отчеты > Windows Autopatch > > вкладке Отчеты Windows > состояние безопасной загрузки. См. статью Отчет о состоянии безопасной загрузки в автозагрузке Windows.

Примечание: Автопатка Windows поддерживает только личные постоянные виртуальные машины для Azure виртуального рабочего стола. Узлы с несколькими сеансами, виртуальные машины в пуле и удаленная потоковая передача приложений не поддерживаются. См. статью Автоматическое исправление Windows для рабочих нагрузок Azure виртуальных рабочих столов.

Вариант 3. Разделы реестра для мониторинга парка

Используйте существующие средства управления устройствами, чтобы запрашивать эти значения реестра по всему парку.

Путь к реестру	Ключ	Цель
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Status	Текущее состояние развертывания
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023Error	Указывает на ошибки (не должно существовать)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing	UEFICA2023ErrorEvent	Указывает идентификатор события (не должен существовать)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot	AvailableUpdates	Ожидающие биты обновления

Полные сведения о разделе реестра см. в разделе Обновления раздела реестра для безопасной загрузки: устройства Windows с обновлениями, управляемыми ИТ-службой.

Вариант 4. Мониторинг журналов событий

Используйте существующие средства управления устройствами для сбора и мониторинга этих идентификаторов событий из журнала системных событий по всему парку.

Идентификатор события	Местоположение	Смысл
1808	Система	Сертификаты успешно применены
1801	Система	Обновление сведений о состоянии или ошибке

Полный список сведений о событиях см. в статье События обновления переменной безопасной загрузки DB и DBX.

Вариант 5. Скрипт инвентаризации PowerShell

Запустите пример сценария сбора данных инвентаризации безопасной загрузки Майкрософт, чтобы проверка состояние обновления сертификата безопасной загрузки. Скрипт собирает несколько точек данных, включая состояние безопасной загрузки, состояние обновления UEFI CA 2023, версию встроенного ПО и действия журнала событий.

Развертывания

Важно: Независимо от выбранного варианта развертывания рекомендуется отслеживать парк устройств, чтобы подтвердить успешное применение сертификатов до крайнего срока в июне 2026 г. Сведения о пользовательских изображениях см. в разделе Рекомендации по использованию изображений Golden.

Вариант 1. Автоматическая Обновления из клиентский компонент Центра обновления Windows (устройства с высоким уровнем доверия)

Корпорация Майкрософт автоматически обновляет устройства с помощью ежемесячных обновлений Windows, если достаточный объем данных телеметрии подтверждает успешное развертывание на аналогичных конфигурациях оборудования.

Состояние: Включено по умолчанию для устройств с высоким уровнем доверия

Никаких действий не требуется, если вы не хотите отказаться

Реестр	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Ключ	HighConfidenceOptOut = 1 для отказа
Групповая политика	Конфигурация компьютера > административные шаблоны > Компоненты Windows > безопасной загрузки > автоматическое развертывание сертификатов с помощью Обновления > для параметра Отключено.

Рекомендации: Даже если включено автоматическое обновление, отслеживайте узлы сеансов, чтобы убедиться, что сертификаты применяются. Не все устройства могут иметь право на автоматическое развертывание с высоким уровнем достоверности.

Дополнительные сведения см. в статье Помощники по автоматическому развертыванию.

Вариант 2. Развертывание IT-Initiated

Вручную активируйте обновления сертификатов для немедленного или контролируемого развертывания.

Метод	Документация
Microsoft Intune	метод Microsoft Intune
Групповая политика	Метод объектов групповая политика (GPO)
Разделы реестра	Метод раздела реестра
WinCS CLI	Api WinCS

Примечания:

Не смешивайте методы развертывания, инициированные ИТ-специалистом (например, Intune и объект групповой политики) на одном устройстве— они управляют теми же разделами реестра и могут конфликтовать.
Чтобы сертификаты полностью применялись, упустите около 48 часов и одну или несколько перезапусков.

Известные проблемы

Раздел реестра обслуживания не существует

Проблема	HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing путь не существует
Причина	Обновления сертификатов не инициированы на устройстве
"Разрешение"	Дождитесь автоматического развертывания через клиентский компонент Центра обновления Windows или вручную, используя один из методов развертывания, инициированных ИТ-службой выше.

Состояние "InProgress" для длительного периода

Проблема	UEFICA2023Status остается InProgress после нескольких дней
Причина	Для завершения процесса обновления устройства может потребоваться перезагрузка
"Разрешение"	Перезапустите узел сеанса и снова проверка состояние через 15 минут. Если проблема не исчезнет, ознакомьтесь с инструкциями по устранению неполадок в статье О событиях обновления переменной безопасной загрузки и DBX.

UEFICA2023 Существует раздел реестраerror

Проблема	Раздел реестра UEFICA2023 Присутствует раздел реестра
Причина	Ошибка во время развертывания сертификата
"Разрешение"	Дополнительные сведения см. в журнале системных событий. Рекомендации по устранению неполадок см. в статье О событиях обновления переменной базы данных безопасной загрузки и DBX.

Ресурсы

Сборник схем обновления сертификатов безопасной загрузки

Сертификат безопасной загрузки Обновления: руководство для ИТ-специалистов