Aktualizácie certifikátu zabezpečeného spustenia pre Windows 365
Pôvodný dátum publikovania: 19. februára 2026
KB ID: 5080914
Tento článok obsahuje návod na:
-
Windows 365 správcov, ktorí spravujú cloudové počítače.
-
Organizácie používajúci cloudové počítače s povoleným zabezpečeným spustením na nasadenie Windows 365.
-
Organizácie, ktoré používajú vlastné obrázky na nasadenie Windows 365.
V tomto článku:
Úvod
Zabezpečené spustenie je funkcia zabezpečenia firmvéru UEFI, ktorá pomáha zabezpečiť, aby sa počas spustenia zariadenia spustil iba dôveryhodný softvér s digitálnym podpisom. Platnosť certifikátov zabezpečeného spustenia od spoločnosti Microsoft vydaných v roku 2011 sa začína v júni 2026. Bez aktualizovaných certifikátov z roku 2023 už zariadenia nebudú dostávať nové ochrany zabezpečenia zabezpečeného spustenia a správcu spustenia ani obmedzenia rizík pre novoobjavené chyby na úrovni spustenia.
Všetky cloudové počítače s povoleným zabezpečením spustenia poskytnuté v službe Windows 365 a vlastné obrázky používané na ich poskytovanie musia byť pred uplynutím platnosti aktualizované na certifikáty verzie 2023, aby zostali chránené. Pozrite si tému Uplynutie platnosti certifikátov zabezpečeného spustenia v zariadeniach s Windowsom.
Vzťahuje sa to na moje Windows 365 prostredie?
|
Scenár |
Je zabezpečené spustenie aktívne? |
Vyžaduje sa akcia |
|
Cloudové počítače |
||
|
Cloud pc with Secure Boot enabled |
Áno |
Aktualizácia certifikátov v cloudovom počítači |
|
Cloud pc with Secure Boot disabled |
Nie |
Nie je potrebná žiadna akcia |
|
Obrázky |
||
|
Obrázok galérie výpočtov Azure so zapnutým zabezpečeným spustením |
Áno |
Aktualizácia certifikátov v zdrojovom obrázku pred zovšeobecnením |
|
Azure obrázok galérie výpočtov bez dôveryhodného spustenia |
Nie |
Použitie aktualizácií v cloudovom počítači po zriadení |
|
Spravovaný obrázok (nepodporuje dôveryhodné spustenie) |
Nie |
Použitie aktualizácií v cloudovom počítači po zriadení |
Úplné základné informácie nájdete v téme Aktualizácie certifikátov zabezpečeného spustenia: Sprievodný materiál pre IT profesionálov a organizácie.
Inventár a monitorovanie
Pred vykonaním akcie vytvorte inventár prostredia na identifikáciu zariadení, ktoré vyžadujú aktualizácie. Monitorovanie je nevyhnutné na potvrdenie uplatnenia certifikátov pred termínom v júni 2026, a to aj v prípade, že sa spoliehate na metódy automatického nasadenia. Nižšie sú uvedené možnosti na určenie, či je potrebné vykonať akciu.
Možnosť č. 1: Microsoft Intune opravy
V prípade cloudových počítačov zaregistrovaných v Microsoft Intune môžete nasadiť skript zisťovania pomocou Intune opráv (proaktívne opravy) na automatické zhromažďovanie stavu certifikátu zabezpečeného spustenia v rámci vášho vozového parku. Skript sa spúšťa bez zobrazenia ticha v každom zariadení a na portáli Intune nahlasuje stav zabezpečeného spustenia, priebeh aktualizácie certifikátu a podrobnosti o zariadení – v zariadeniach sa nevymenia žiadne zmeny. Výsledky možno zobraziť a exportovať do CSV priamo z Centra spravovania Intune na analýzu celej flotily.
Podrobné pokyny na nasadenie skriptu detekcie nájdete v téme Monitorovanie stavu certifikátu zabezpečeného spustenia pomocou Microsoft Intune opráv.
2. možnosť: Windows Autopatch Secure Boot Status Report
Ak ide o cloudové počítače zaregistrované v aplikácii Windows Autopatch, prejdite do Centra spravovania Intune > Zostavy > automatické odoslanie systému Windows > aktualizácie kvality systému Windows > karty Zostavy > stav zabezpečeného spustenia. Pozrite si správu o stave zabezpečeného spustenia v programe Windows Autopatch.
Poznámka: Ak chcete používať automatické dopovanie systému Windows s Windows 365, cloudové počítače musia byť zaregistrované v službe Windows Autopatch. Pozrite si tému Automatické dopovanie systému Windows v Windows 365 Enterprise vyťaženiach.
Možnosť 3: Kľúče databázy Registry na monitorovanie flotily
Použite existujúce nástroje na správu zariadení na dotazovanie týchto hodnôt databázy Registry v rámci vášho vozového parku.
|
Cesta k databáze Registry |
Kľúč |
Účel |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Aktuálny stav nasadenia |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Chyba |
Označuje chyby (nemali by existovať) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Označuje IDENTIFIKÁCIU udalosti (nemala by existovať) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Dostupné súhrny |
Čakajúce aktualizovať bity |
Úplné podrobnosti kľúča databázy Registry nájdete v téme Aktualizácie kľúčov databázy Registry pre zabezpečené spustenie.
Možnosť 4: Monitorovanie denníka udalostí
Pomocou existujúcich nástrojov na správu zariadení môžete zhromažďovať a monitorovať identifikácie týchto udalostí z denníka udalostí systému vo vašom vozovom parku.
|
Identifikačné číslo udalosti |
Poloha |
Zmysle |
|
1808 |
Systém |
Úspešne použité certifikáty |
|
1801 |
Systém |
Aktualizovať podrobnosti o stave alebo chybe |
Úplný zoznam podrobností o udalostiach nájdete v témach Secure Boot DB a DBX variable update events.
Možnosť 5: Skript inventára prostredia PowerShell
Spustite vzorový skript kolekcie údajov inventára zabezpečeného spustenia od spoločnosti Microsoft a skontrolujte stav aktualizácie certifikátu zabezpečeného spustenia. Skript zhromažďuje niekoľko údajových bodov vrátane stavu zabezpečeného spustenia, stavu aktualizácie UEFI CA 2023, verzie firmvéru a aktivity denníka udalostí.
Nasadenie
Dôležité: Bez ohľadu na to, ktorú možnosť nasadenia vyberiete, odporúčame monitorovanie flotily zariadení s cieľom potvrdiť úspešné uplatnenie certifikátov pred termínom v júni 2026. Vlastné obrázky nájdete v téme Dôležité informácie o vlastnom obrázku.
Možnosť č. 1: Automatické Aktualizácie z Windows Update (zariadenia s vysokou spoľahlivosťou)
Spoločnosť Microsoft automaticky aktualizuje zariadenia prostredníctvom mesačných aktualizácií Windowsu, keď dostatočná telemetria potvrdí úspešné nasadenie podobných hardvérových konfigurácií.
-
Stav: Predvolene povolené pre zariadenia s vysokou spoľahlivosťou
-
Ak sa nechcete odhlásiť, nevyžaduje sa žiadna akcia
|
Databázy registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Kľúč |
HighConfidenceOptOut = 1 na odhlásenie |
|
Skupinová politika |
Konfigurácia počítača > šablóny na správu > súčasti systému Windows > zabezpečeného spustenia > automatické nasadenie certifikátov prostredníctvom Aktualizácie > Nastavené na možnosť Vypnuté na odhlásenie |
Odporúčanie: Aj keď sú zapnuté automatické aktualizácie, monitorujte svoje cloudové počítače a overte, či sa certifikáty používajú. Nie všetky zariadenia sa môžu kvalifikovať na automatické nasadenie s vysokou spoľahlivosťou.
Ďalšie informácie nájdete v téme Asistenti automatizovaného nasadenia.
Možnosť č. 2: nasadenie IT-Initiated
Manuálne spustite aktualizácie certifikátov pre okamžité alebo kontrolované zavedenie.
|
Metóda |
Dokumentácia |
|
Microsoft Intune |
|
|
Skupinová politika |
|
|
Kľúče databázy Registry |
|
|
WinCS CLI |
Poznámky:
-
Nekombinujte metódy nasadenia iniciované IT (napr. Intune a objekt GPO) v tom istom zariadení – riadia rovnaké kľúče databázy Registry a môžu si kolidovať.
-
Povoľte úplné použitie certifikátov približne o 48 hodín a jeden alebo viacero reštartov.
Dôležité informácie o vlastnom obrázku
Vlastné obrázky plne spravuje vaša organizácia. Ste zodpovední za použitie aktualizácií certifikátu zabezpečeného spustenia na vlastný obrázok a jeho opätovné nahratie pred jeho použitím na poskytovanie.
Použitie aktualizácií certifikátu zabezpečeného spustenia na zdrojový obrázok je podporované len s obrázkami galérie výpočtových Azure (Preview), ktoré podporujú dôveryhodné spustenie a zabezpečené spustenie. Spravované obrázky nepodporujú zabezpečené spustenie, takže aktualizácie certifikátov nie je možné použiť na úrovni obrázka. V prípade cloudových počítačov z spravovaných obrázkov použite aktualizácie priamo v cloudovom počítači pomocou niektorej z vyššie uvedených metód nasadenia.
Pred zovšeobecnením nového vlastného obrázka overte aktualizáciu certifikátov:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Známe problémy
Kľúč databázy Registry údržby neexistuje
|
Príznak |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing cesta neexistuje |
|
Príčina |
V zariadení neboli inicializovali aktualizácie certifikátov |
|
Riešenie |
Počkajte na automatické nasadenie prostredníctvom Windows Update alebo manuálne spustite pomocou niektorej z vyššie uvedených metód nasadenia iniciovaných IT |
Stav zobrazuje "InProgress" na dlhšiu dobu
|
Príznak |
UEFICA2023Status zostáva "InProgress" po viacerých dňoch |
|
Príčina |
Na dokončenie procesu aktualizácie môže byť potrebné reštartovať zariadenie |
|
Riešenie |
Reštartujte cloudový počítač a po 15 minútach znova skontrolujte stav. Ak problém pretrváva, pokyny na riešenie problémov nájdete v témach Secure Boot DB a DBX variable update events |
Kľúč databázy Registry UEFICA2023Error existuje
|
Príznak |
Prítomný je kľúč databázy Registry UEFICA2023Error |
|
Príčina |
Počas nasadenia certifikátu sa vyskytla chyba |
|
Riešenie |
Podrobnosti nájdete v denníku systémových udalostí. Pokyny na riešenie problémov nájdete v témach Secure Boot DB a DBX variable update events |
Zdroje informácií
Potrebujete ďalšiu pomoc?
Chcete ďalšie možnosti?
Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.
Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.
