Обновления сертификата безопасной загрузки для Windows 365
Исходная дата публикации: 19 февраля 2026 г.
Идентификатор базы знаний: 5080914
В этой статье содержатся рекомендации по следующим вопросам:
-
Windows 365 администраторов, управляющих облачными компьютерами.
-
Организации, использующие облачные компьютеры с поддержкой безопасной загрузки для Windows 365 развертываний.
-
Организации, использующие пользовательские образы для развертываний Windows 365 .
В этой статье:
Введение
Безопасная загрузка — это функция безопасности встроенного ПО UEFI, которая помогает гарантировать выполнение только доверенного программного обеспечения с цифровой подписью во время последовательности загрузки устройства. Срок действия сертификатов безопасной загрузки Майкрософт, выданных в 2011 году, начинается в июне 2026 г. Без обновленных сертификатов 2023 устройства больше не будут получать новые средства защиты от безопасной загрузки и диспетчера загрузки или меры по устранению новых уязвимостей на уровне загрузки.
Все облачные компьютеры с поддержкой безопасной загрузки, подготовленные в службе Windows 365, и пользовательские образы, используемые для их подготовки, должны быть обновлены до истечения срока действия сертификатов 2023, чтобы они оставались защищенными. См. раздел По истечении срока действия сертификатов безопасной загрузки на устройствах Windows.
Относится ли это к моей среде Windows 365?
|
Сценарий |
Безопасная загрузка активна? |
Требуется действие |
|
Облачные компьютеры |
||
|
Облачный компьютер с включенной безопасной загрузкой |
Да |
Обновление сертификатов на облачном компьютере |
|
Облачный компьютер с отключенной безопасной загрузкой |
Нет |
Никаких действий не требуется |
|
Изображения |
||
|
Azure образ коллекции вычислений с включенной безопасной загрузкой |
Да |
Обновление сертификатов в исходном образе перед обобщением |
|
Azure образ коллекции вычислений без доверенного запуска |
Нет |
Применение обновлений на облачном компьютере после подготовки |
|
Управляемый образ (не поддерживает доверенный запуск) |
Нет |
Применение обновлений на облачном компьютере после подготовки |
Полные сведения см. в разделе Обновления сертификатов безопасной загрузки: руководство для ИТ-специалистов и организаций.
Инвентаризация и мониторинг
Перед выполнением действий выполните инвентаризацию среды, чтобы определить устройства, для которых требуются обновления. Мониторинг необходим для подтверждения применения сертификатов до крайнего срока в июне 2026 г., даже если вы используете методы автоматического развертывания. Ниже приведены параметры для определения необходимости выполнения действий.
Вариант 1. Исправления Microsoft Intune
Для облачных компьютеров, зарегистрированных в Microsoft Intune, можно развернуть скрипт обнаружения с помощью Intune исправлений (упреждающих исправлений) для автоматического сбора состояния сертификата безопасной загрузки по всему парку. Скрипт выполняется автоматически на каждом устройстве и сообщает о состоянии безопасной загрузки, ходе обновления сертификата и сведениях об устройстве обратно на портал Intune — никакие изменения на устройствах не вносятся. Результаты можно просматривать и экспортировать в CSV-файл непосредственно из центра администрирования Intune для анализа на уровне парка.
Пошаговые инструкции по развертыванию сценария обнаружения см. в статье Мониторинг состояния сертификата безопасной загрузки с помощью исправлений Microsoft Intune.
Вариант 2. Отчет о состоянии безопасной загрузки автозагрузки Windows
Для облачных компьютеров, зарегистрированных с помощью автоматического исправления Windows, перейдите на вкладку Intune центр администрирования > Отчеты > Windows Autopatch > обновления качества Windows > вкладку Отчеты > состояние безопасной загрузки. См. статью Отчет о состоянии безопасной загрузки в автозагрузке Windows.
Примечание. Чтобы использовать автоматическое исправление Windows с Windows 365, облачные компьютеры должны быть зарегистрированы в службе автозаполнения Windows. См. статью Автоматическое исправление Windows для Windows 365 Корпоративная рабочих нагрузок.
Вариант 3. Разделы реестра для мониторинга парка
Используйте существующие средства управления устройствами, чтобы запрашивать эти значения реестра по всему парку.
|
Путь к реестру |
Ключ |
Цель |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Текущее состояние развертывания |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Указывает на ошибки (не должно существовать) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Указывает идентификатор события (не должен существовать) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Ожидающие биты обновления |
Полные сведения о разделе реестра см. в разделе Обновления разделов реестра для безопасной загрузки.
Вариант 4. Мониторинг журналов событий
Используйте существующие средства управления устройствами для сбора и мониторинга этих идентификаторов событий из журнала системных событий по всему парку.
|
Идентификатор события |
Местоположение |
Смысл |
|
1808 |
Система |
Сертификаты успешно применены |
|
1801 |
Система |
Обновление сведений о состоянии или ошибке |
Полный список сведений о событиях см. в статье События обновления переменной безопасной загрузки DB и DBX.
Вариант 5. Скрипт инвентаризации PowerShell
Запустите пример сценария сбора данных инвентаризации безопасной загрузки Майкрософт, чтобы проверка состояние обновления сертификата безопасной загрузки. Скрипт собирает несколько точек данных, включая состояние безопасной загрузки, состояние обновления UEFI CA 2023, версию встроенного ПО и действия журнала событий.
Развертывания
Важно: Независимо от выбранного варианта развертывания рекомендуется отслеживать парк устройств, чтобы подтвердить успешное применение сертификатов до крайнего срока в июне 2026 г. Сведения о пользовательских образах см. в разделе Рекомендации по пользовательским изображениям.
Вариант 1. Автоматическая Обновления из клиентский компонент Центра обновления Windows (устройства с высоким уровнем доверия)
Корпорация Майкрософт автоматически обновляет устройства с помощью ежемесячных обновлений Windows, если достаточный объем данных телеметрии подтверждает успешное развертывание на аналогичных конфигурациях оборудования.
-
Состояние: включено по умолчанию для устройств с высоким уровнем доверия
-
Никаких действий не требуется, если вы не хотите отказаться
|
Реестр |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Ключ |
HighConfidenceOptOut = 1 для отказа |
|
Групповая политика |
Конфигурация компьютера > административные шаблоны > компоненты Windows > безопасной загрузки > автоматическое развертывание сертификатов с помощью Обновления > для отключения |
Рекомендации: Даже если включено автоматическое обновление, отслеживайте облачные компьютеры, чтобы проверить применение сертификатов. Не все устройства могут иметь право на автоматическое развертывание с высоким уровнем достоверности.
Дополнительные сведения см. в статье Помощники по автоматическому развертыванию.
Вариант 2. Развертывание IT-Initiated
Вручную активируйте обновления сертификатов для немедленного или контролируемого развертывания.
|
Метод |
Документация |
|
Microsoft Intune |
|
|
Групповая политика |
|
|
Разделы реестра |
|
|
WinCS CLI |
Примечания:
-
Не смешивайте методы развертывания, инициированные ИТ-специалистом (например, Intune и объект групповой политики) на одном устройстве— они управляют теми же разделами реестра и могут конфликтовать.
-
Чтобы сертификаты полностью применялись, упустите около 48 часов и одну или несколько перезапусков.
Рекомендации по пользовательским изображениям
Пользовательские образы полностью управляются вашей организацией. Вы несете ответственность за применение обновлений сертификата безопасной загрузки к пользовательскому образу и его повторной отправке перед использованием для подготовки.
Применение обновлений сертификатов безопасной загрузки к исходному образу поддерживается только для Azure образов коллекции вычислений (предварительная версия), которые поддерживают доверенный запуск и безопасную загрузку. Управляемые образы не поддерживают безопасную загрузку, поэтому обновления сертификатов нельзя применять на уровне образа. Для облачных компьютеров, подготовленных из управляемых образов, примените обновления непосредственно на облачном компьютере с помощью одного из описанных выше методов развертывания.
Перед обобщением нового пользовательского образа убедитесь, что сертификаты обновлены:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Известные проблемы
Раздел реестра обслуживания не существует
|
Проблема |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing путь не существует |
|
Причина |
Обновления сертификатов не инициированы на устройстве |
|
"Разрешение" |
Дождитесь автоматического развертывания через клиентский компонент Центра обновления Windows или вручную, используя один из методов развертывания, инициированных ИТ-службой выше. |
Состояние "InProgress" для длительного периода
|
Проблема |
UEFICA2023Status остается InProgress после нескольких дней |
|
Причина |
Для завершения процесса обновления устройства может потребоваться перезагрузка |
|
"Разрешение" |
Перезапустите облачный компьютер и снова проверка состояние через 15 минут. Если проблема не исчезнет, ознакомьтесь с инструкциями по устранению неполадок в статье О событиях обновления переменной безопасной загрузки и DBX. |
UEFICA2023 Существует раздел реестраerror
|
Проблема |
Раздел реестра UEFICA2023 Присутствует раздел реестра |
|
Причина |
Ошибка во время развертывания сертификата |
|
"Разрешение" |
Дополнительные сведения см. в журнале системных событий. Рекомендации по устранению неполадок см. в статье О событиях обновления переменной базы данных безопасной загрузки и DBX. |
Ресурсы
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
