Vzťahuje sa na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pôvodný dátum publikovania: 26. júna 2025

IDENTIFIKÁCIA DATABÁZY KB: 5062713

Tento článok obsahuje návod na:

Organizácie (podniky, malé podniky a vzdelávacie inštitúcie) so zariadeniami a aktualizáciami Windowsu spravovanými IT.

Poznámka: Ak ste jednotlivec, ktorý vlastní osobné zariadenie s Windowsom, prejdite na článok Zariadenia s Windowsom určené pre domácich používateľov, podniky a školy s aktualizáciami spravovanými spoločnosťou Microsoft.

Zmeniť dátum

Zmeniť popis

5. mája 2026

30. marca 2026

  • Vyriešil sa známy problém: Aktualizácie certifikátu zabezpečeného spustenia môžu zlyhať s identifikáciou udalosti 1795 vo virtuálnych počítačoch Hyper-V

24. marca 2026

  • Aktualizácia známeho problému: Aktualizácie certifikátu zabezpečeného spustenia môžu zlyhať s IDENTIFIKÁCIOU udalosti 1795 vo virtuálnych počítačoch Hyper-V

16. marca 2026

  • Odstránila sa časť Vzorové údaje spoľahlivosti v časti Vzorový skript zhromažďovania údajov inventára zabezpečeného spustenia, pretože je zastaraný.

3. marca 2026

  • Preformátovali vzorový výstup v časti Príprava tak, aby zostal v škatuli.

24. februára 2026

  • Aktualizoval sa obsah pre skript "Sample Secure Boot Inventory Data Collection script" (Vzorový skript zhromažďovania údajov zabezpečeného spustenia) v časti Príprava

  • Pridala sa nová sekcia Ukážka výstupu v časti Príprava.

23. februára 2026

  • Aktualizoval sa obsah pre skript "Sample Secure Boot Inventory Data Collection script" (Vzorový skript zhromažďovania údajov zabezpečeného spustenia) v časti Príprava.

13. februára 2026

  • Do časti Príprava sa pridali položky Vzorové údaje spoľahlivosti

  • Odstránil sa skript kolekcie pre čakajúce udalosti 1801 a 1808 z časti Príprava, pretože už nie je potrebný. 

3. februára 2026

  • Premiestnené a preformátované bežné problémy v časti Riešenie problémov.

  • Pridal sa nový bežný problém: Aktualizácie certifikátu zabezpečeného spustenia môžu zlyhať s IDENTIFIKÁCIOU udalosti 1795 vo virtuálnych počítačoch Hyper-V.

26. januára 2026

  • Aktualizoval sa text v časti Pomoc s automatickým nasadením z ponuky "Obe asistencie vyžadujú diagnostické údaje". Na "Diagnostické údaje vyžaduje len asistent pre riadené nasadenie funkcií.

11. novembra 2025

Opravili sa dve preklepy v časti Podpora nasadenia certifikátu zabezpečeného spustenia.

  • 0x0800 - Názov certifikátu sa zmenil z Microsoft UEFI CA 2023 na Microsoft Option ROM UEFI CA 2023.​​​​​​​

  • 0x1000 - zmenil "Microsoft Option ROM CA 2023" na "Microsoft UEFI CA 2023".

10. novembra 2025

  • Opravili sa dva preklepy v časti Nový certifikát: od "Microsoft Corporation KEK CA 2023" po "Microsoft Corporation KEK 2K CA 2023" a od "Microsoft Option ROM CA 2023" do "Microsoft Option ROM UEFI CA 2023".

  • Nové skripty prostredia PowerShell boli pridané pod hlavičky "Overenie stavu zabezpečeného spustenia v rámci vášho vozového parku: Je povolené bezpečné spustenie? " a "Príprava".

V tomto článku:

Prehľad

Tento článok je určený pre organizácie s vyhradenými IT odborníkmi, ktorí aktívne spravujú aktualizácie v rámci svojho vozového parku zariadení. Väčšina tohto článku sa zameria na aktivity potrebné na to, aby IT oddelenie organizácie bolo úspešné pri nasadzovaní nových certifikátov zabezpečeného spustenia. Medzi tieto aktivity patrí testovanie firmvéru, monitorovanie aktualizácií zariadenia, spustenie nasadenia a diagnostika problémov pri ich vzniku. Prezentujú sa viaceré metódy nasadenia a monitorovania. Okrem týchto základných aktivít ponúkame niekoľko pomôcok na nasadenie vrátane možnosti prihlásiť sa do klientskych zariadení na účasť na riadenom zavádzaní funkcií (CFR) špeciálne na nasadenie certifikátov.

Scenár nasadenia pre IT profesionálov 

Naplánujte a vykonávajte aktualizácie certifikátov zabezpečeného spustenia v rámci flotily zariadenia prostredníctvom prípravy, monitorovania, nasadenia a opravy.

Overenie stavu zabezpečeného spustenia v rámci vašej flotily: Je zapnuté zabezpečené spustenie? 

Väčšina zariadení vyrobených od roku 2012 má podporu pre zabezpečené spustenie a dodáva sa s povoleným zabezpečeným spustením. Ak chcete overiť, či má zariadenie povolené zabezpečené spustenie, vykonajte niektorý z týchto krokov: 

  • Metóda GUI: Prejdite na obrazovku Štart > Nastavenia > Ochrana osobných údajov & zabezpečenie > Windows Zabezpečenie > Zabezpečenie zariadenia. V časti Zabezpečenie zariadenia by sekcia zabezpečeného spustenia mala uvádzať, že je zapnuté zabezpečené spustenie.

  • Metóda príkazového riadka: V príkazovom riadku bez oprávnení v prostredí PowerShell zadajte výraz Confirm-SecureBootUEFI a potom stlačte kláves Enter. Príkaz by mal vrátiť hodnotu True, čo znamená, že je zapnuté zabezpečené spustenie.

Vo veľkých nasadeniach pre flotilu zariadení bude softvér na správu používaný profesionálmi v oblasti IT musieť zabezpečiť kontrolu zapnutia zabezpečeného spustenia. 

Spôsobom kontroly stavu zabezpečeného spustenia v zariadeniach spravovaných spoločnosťou Microsoft Intune je napríklad vytvorenie a nasadenie Intune skriptu na zabezpečenie súladu. Intune nastavenia súladu sú popísané v téme Používanie vlastných nastavení súladu pre Linux a zariadenia s Windowsom s Microsoft Intune.  

Príklad skriptu prostredia PowerShell na kontrolu, či je zapnuté zabezpečené spustenie:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Ak zabezpečené spustenie nie je povolené, môžete vynechať kroky aktualizácie uvedené nižšie, pretože nie sú použiteľné.

Ako sa nasadzujú aktualizácie

Existuje viacero spôsobov, ako zacieliť zariadenia na aktualizácie certifikátu zabezpečeného spustenia. Podrobnosti o nasadení vrátane nastavení a udalostí sa prediskutujú neskôr v tomto dokumente. Keď zacielite zariadenie na aktualizácie, v zariadení sa vykoná nastavenie, ktoré označuje, že zariadenie by malo začať proces použitia nových certifikátov. Naplánovaná úloha sa v zariadení spustí každých 12 hodín a zistí, že zariadenie bolo zamerané na aktualizácie. Prehľad úloh je nasledovný:

  1. Na databázu sa použije windows UEFI CA 2023.

  2. Ak má zariadenie v databáze ca 2011 Microsoft Corporation UEFI CA 2011, potom sa na databázu použije Microsoft Option ROM UEFI CA 2023 a Microsoft UEFI CA 2023.

  3. Úloha potom pridá Microsoft Corporation KEK 2K CA 2023.

  4. Napokon naplánovaná úloha aktualizuje správcu spustenia systému Windows na ten, ktorý je podpísaný rozhraním Windows UEFI CA 2023. Systém Windows zistí, že pred spustením správcu je potrebné reštartovať. Aktualizácia správcu spustenia sa oneskorí, kým sa reštart nevykoná prirodzene (napríklad pri použití mesačných aktualizácií), a potom sa Systém Windows znova pokúsi použiť aktualizáciu správcu spúšťania.

Pred presunutie na ďalší krok je potrebné úspešne dokončiť každý z vyššie uvedených krokov. Počas tohto procesu budú k dispozícii denníky udalostí a iný stav na pomoc pri monitorovaní nasadenia. Ďalšie podrobnosti o monitorovaní a denníkoch udalostí nájdete nižšie.  

Aktualizácia certifikátov zabezpečeného spustenia umožňuje budúcu aktualizáciu správcu spúšťania 2023, ktorý je bezpečnejší. Konkrétne aktualizácie správcu spustenia budú v budúcich vydaniach.

Kroky nasadenia 

  • Príprava: Inventár a testovacie zariadenia.

  • Dôležité informácie o firmvéri

  • Monitorovanie: Overte sledovanie prác a základnú úroveň vozového parku.

  • Nasadenie: Cieľové zariadenia pre aktualizácie, počnúc malými podmnožinami a rozbalením na základe úspešných testov.

  • Náprava: Preskúmajte a vyriešte všetky problémy pomocou denníkov a podpory dodávateľov.

Príprava 

Hardvér a firmvér inventára. Vytvorte reprezentatívnu vzorku zariadení na základe výrobcu systému, systémového modelu, verzie/dátumu systému BIOS, verzie produktu BaseBoard atď. a otestujte aktualizácie na týchto zariadeniach pred širokým nasadením.  Tieto parametre sú bežne dostupné v systémových informáciách (MSINFO32). Použite zahrnuté vzorové príkazy prostredia PowerShell na kontrolu stavu aktualizácie zabezpečeného spustenia a inventára zariadení v rámci vašej organizácie.

Poznámky: 

  • Tieto príkazy sa použijú, ak je zapnutý stav zabezpečeného spustenia.

  • Mnohé z týchto príkazov potrebujú oprávnenia správcu, aby mohli fungovať.

Vzorový skript zhromažďovania údajov inventára zabezpečeného spustenia

Skopírujte a prilepte tento vzorový skript a upravte ho podľa potreby pre svoje prostredie: skript kolekcie údajov ukážky zabezpečeného spustenia inventára.

Ukážkový výstup:

{"UEFICA2023Status":"Aktualizované","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Úrovne spoľahlivosti zabezpečeného spustenia

Úroveň spoľahlivosti

Zmysle

Vyžaduje sa akcia

Vysoká spoľahlivosť

Spoločnosť Microsoft overila, či je táto trieda zariadenia bezpečná pre aktualizácie

Bezpečné nasadenie aktualizácií certifikátov

Pod dohľadom – ďalšie potrebné údaje

Spoločnosť Microsoft stále zhromažďuje diagnostické údaje o týchto zariadeniach s zavádzaním zabezpečeného spustenia

Čakať na klasifikáciu spoločnosti Microsoft

Nezistili sa žiadne údaje – vyžaduje sa akcia

Trieda zariadenia nie je spoločnosti Microsoft známa

Podnik musí testovať a plánovať zavádzanie

Dočasne pozastavené

Známe problémy s kompatibilitou

Skontrolujte aktualizáciu systému BIOS OEM; Čakať na vyriešenie problému spoločnosťou Microsoft

Nepodporované – známe obmedzenie

Obmedzenia platformy alebo hardvéru

Dokument ako výnimka

Prvým krokom, ak je zapnuté zabezpečené spustenie, je skontrolovať, či existujú čakajúce udalosti, ktoré boli nedávno aktualizované alebo v procese aktualizácie certifikátov zabezpečeného spustenia. Špecifickým záujmom sú posledné udalosti v rokoch 1801 a 1808. Tieto udalosti sú podrobne popísané v udalostiach aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX. Skontrolujte tiež časť Monitorovanie a nasadenie a zistite, ako môžu udalosti zobraziť stav čakajúcich aktualizácií.  

Ďalším krokom je inventár zariadení v rámci vašej organizácie. Zhromaždite nasledujúce podrobnosti pomocou príkazov prostredia PowerShell a vytvorte reprezentatívnu vzorku: 

Základné identifikátory (2 hodnoty)

      1. HostName - $env: COMPUTERNAME 

      2. CollectionTime – Get-Date 

Registry: Hlavný kľúč zabezpečeného spustenia (3 hodnoty) 

     3. SecureBootEnabled – rutina typu cmdlet Confirm-SecureBootUEFI alebo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registry: Servisný kľúč (3 hodnoty) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Chyba - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Databáza Registry: Atribúty zariadenia (7 hodnôt) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Denníky udalostí: Denník systému (5 hodnôt) 

     16. LatestEventId – najnovšia udalosť zabezpečeného spustenia 

     17. BucketID – extrahované z udalosti 1801/1808 

     18. Spoľahlivosť – extrahované z udalosti 1801/1808 

     19. Event1801Count – počet udalostí 

     20. Event1808Count – počet udalostí 

Dotazy WMI/CIM (4 hodnoty) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime - Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Výrobca  

     26. (Get-CIMInstance Win32_ComputerSystem). Model  

    27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/rrrr")  

    28. (Get-CIMInstance Win32_BaseBoard). Produkt  

Dôležité informácie o firmvéri

Nasadenie nových certifikátov zabezpečeného spustenia do flotily zariadení vyžaduje, aby firmvér zariadenia zohrával úlohu pri dokončení aktualizácie. Hoci spoločnosť Microsoft očakáva, že väčšina firmvéru zariadenia bude fungovať podľa očakávaní, pred nasadením nových certifikátov je potrebné dôkladné testovanie.

Preskúmajte hardvérový inventár a vytvorte malú reprezentatívnu vzorku zariadení na základe nasledujúcich jedinečných kritérií, ako napríklad: 

  • Výrobca

  • Číslo modelu

  • Verzia firmvéru

  • Verzia základnej dosky OEM atď.

Pred všeobecným nasadením do zariadení vo vašom vozovom parku odporúčame testovať aktualizácie certifikátov na reprezentatívnych vzorových zariadeniach (podľa faktorov, ako sú výrobca, model, verzia firmvéru), aby ste sa uistili, že aktualizácie sa úspešne spracujú. Odporúčaný sprievodný materiál k počtu vzorových zariadení, ktoré sa majú testovať pre každú jedinečnú kategóriu, je 4 alebo viac.

Pomôže to pri budovaní dôvery v proces nasadenia a pomôže to vyhnúť sa neočakávaným vplyvom na širšiu flotilu. 

V niektorých prípadoch môže byť na úspešnú aktualizáciu certifikátov zabezpečeného spustenia potrebná aktualizácia firmvéru. V takýchto prípadoch odporúčame, aby ste si so zariadením OEM skontrolovali, či je aktualizovaný firmvér k dispozícii.

Windows vo virtualizovaných prostrediach

Vo Windowse spustenom vo virtuálnom prostredí existujú dva spôsoby pridania nových certifikátov do premenných firmvéru zabezpečeného spustenia:  

  • Tvorca virtuálneho prostredia (AWS, Azure, Hyper-V, VMware atď.) môže poskytnúť aktualizáciu prostredia a zahrnúť nové certifikáty do virtualizovaného firmvéru. To by fungovalo pre nové virtualizované zariadenia.

  • Ak virtualizovaný firmvér podporuje aktualizácie zabezpečeného spustenia, pre Windows, ktorý je dlhodobo spustený vo virtuálnom počítači, je možné aktualizácie použiť prostredníctvom Windowsu ako všetky ostatné zariadenia.

Monitorovanie a nasadenie 

Odporúčame, aby ste začali monitorovať zariadenie pred nasadením, aby ste sa uistili, že monitorovanie funguje správne a aby ste mali vopred dobrý zmysel pre stav flotily. Možnosti monitorovania sú popísané nižšie. 

Spoločnosť Microsoft poskytuje viacero metód nasadenia a monitorovania aktualizácií certifikátov zabezpečeného spustenia.

Asistenti automatizovaného nasadenia 

Spoločnosť Microsoft poskytuje dve asistencie pri nasadení. Tieto pomocné funkcie sa môžu ukázať ako užitočné pri zavádzaní nových certifikátov do vášho vozového parku. Diagnostické údaje vyžadujú iba asistent pre riadené uvedenie funkcií.

  • Možnosť kumulatívnych aktualizácií so sektormi spoľahlivosti: Spoločnosť Microsoft môže automaticky zahrnúť skupiny zariadení s vysokou spoľahlivosťou do mesačných aktualizácií na základe diagnostických údajov zdieľaných k dnešnému dňu v prospech systémov a organizácií, ktoré nemôžu zdieľať diagnostické údaje. Tento krok nevyžaduje povolenie diagnostických údajov.

    • Organizácie a systémy, ktoré môžu zdieľať diagnostické údaje, poskytujú spoločnosti Microsoft viditeľnosť a istotu, že zariadenia môžu úspešne nasadiť certifikáty. Ďalšie informácie o povolení diagnostických údajov sú k dispozícii v téme: Konfigurácia diagnostických údajov Windowsu vo vašej organizácii. Vytvárame "sektory" pre každé jedinečné zariadenie (definované atribútmi, ktoré zahŕňajú výrobcu, verziu základnej dosky, výrobcu firmvéru, verziu firmvéru a ďalšie údajové body). Pre každý sektor sledujeme dôkazy o úspechu vo viacerých zariadeniach. Keď budeme mať dostatok úspešných aktualizácií a žiadne zlyhania, zvážime sektor s vysokou spoľahlivosťou a tieto údaje zahrnieme do mesačných kumulatívnych aktualizácií. Keď sa mesačné aktualizácie použijú na zariadenie v sektore s vysokou spoľahlivosťou, Windows automaticky použije certifikáty na premenné zabezpečeného spustenia UEFI vo firmvére.

    • Sektory s vysokou spoľahlivosťou zahŕňajú zariadenia, ktoré spracovávajú aktualizácie správne. Samozrejme, že nie všetky zariadenia budú poskytovať diagnostické údaje, čo môže obmedziť dôveru spoločnosti Microsoft v schopnosť zariadenia spracovať aktualizácie správne.

    • Táto pomoc je predvolene povolená pre zariadenia s vysokou spoľahlivosťou a môže byť vypnutá pomocou nastavenia špecifického pre zariadenie. Ďalšie informácie sa budú zdieľať v budúcich vydaniach Windowsu.

  • Riadené uvedenie funkcií (CFR):  Explicitný súhlas so zariadeniami na nasadenie spravované spoločnosťou Microsoft, ak sú povolené diagnostické údaje.

    • Riadené uvedenie funkcií (CFR) možno použiť s klientskymi zariadeniami vo flotilách organizácií. To si vyžaduje, aby zariadenia odosielali požadované diagnostické údaje spoločnosti Microsoft a signalizovali, že zariadenie sa rozhodlo povoliť CFR v zariadení. Podrobnosti o tom, ako sa prihlásiť, sú popísané nižšie.

    • Spoločnosť Microsoft bude spravovať proces aktualizácie týchto nových certifikátov v zariadeniach s Windowsom, v ktorých sú k dispozícii diagnostické údaje a zariadenia sa zúčastňujú na uvedení kontrolovaných funkcií (CFR). Zatiaľ čo CFR môže pomôcť pri zavádzaní nových certifikátov, organizácie sa nebudú môcť spoliehať na CFR na nápravu svojich flotíl – bude potrebné postupovať podľa krokov uvedených v tomto dokumente v časti o metódach nasadenia, na ktoré sa nevzťahujú automatizované pomoci.

    • Obmedzenia: Existuje niekoľko dôvodov, že CFR nemusí fungovať vo vašom prostredí. Príklad:

      • Nie sú k dispozícii žiadne diagnostické údaje alebo diagnostické údaje nie sú použiteľné v rámci nasadenia CFR.

      • Zariadenia nie sú v podporovaných klientskych verziách Windows 11 a Windows 10 s rozšírenými aktualizáciami zabezpečenia (ESU).

Metódy nasadenia, na ktoré sa nevzťahujú automatizované asistenti

Vyberte metódu, ktorá vyhovuje vášmu prostrediu. Vyhnite sa miešaniu metód v tom istom zariadení: 

  • Kľúče databázy Registry: Riadenie nasadenia a monitorovanie výsledkov.Existuje viacero kľúčov databázy Registry, ktoré slúžia na kontrolu správania nasadenia certifikátov a na monitorovanie výsledkov. Okrem toho existujú dva kľúče na prihlásenie a odhlásenie z pomocných postupov nasadenia popísaných vyššie. Ďalšie informácie o kľúčoch databázy Registry nájdete v téme Kľúč databázy Registry Aktualizácie zabezpečeného spustenia – zariadenia s Windowsom s aktualizáciami spravovanými IT.

  • skupinová politika objects (GPO): Správa nastavení, monitorovanie prostredníctvom databázy Registry a denníkov udalostí.Spoločnosť Microsoft bude poskytovať podporu na spravovanie aktualizácií zabezpečeného spustenia pomocou skupinová politika v budúcej aktualizácii. Všimnite si, že keďže skupinová politika je určený pre nastavenia, monitorovanie stavu zariadenia bude potrebné vykonať pomocou alternatívnych metód vrátane monitorovania kľúčov databázy Registry a položiek denníka udalostí.

  • WinCS (Windows Configuration System) CLI: Používanie nástrojov príkazového riadka pre klientov pripojených k doméne.Správcovia domén môžu alternatívne použiť windowsový konfiguračný systém (WinCS) zahrnutý v aktualizáciách operačného systému Windows na nasadenie aktualizácií zabezpečeného spustenia v klientoch a serveroch Windowsu pripojených k doméne. Skladá sa z radu pomôcok príkazového riadka (tradičný spustiteľný súbor aj modul PowerShell) na dotazovanie a lokálne použitie konfigurácií zabezpečeného spustenia v počítači. Ďalšie informácie nájdete v nasledujúcich článkoch:

  • Microsoft Intune/Configuration Manager: Nasadenie skriptov prostredia PowerShell. Poskytovateľ konfiguračných služieb (CSP) bude k dispozícii v budúcej aktualizácii, ktorá umožní nasadenie pomocou Intune.

Monitorovanie denníkov udalostí

Poskytujú sa dve nové udalosti, ktoré pomáhajú pri nasadzovaní aktualizácií certifikátu zabezpečeného spustenia. Tieto udalosti sú podrobne popísané v udalostiach aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX

  • Identifikácia udalosti: 1801 Táto udalosť je chybová udalosť, ktorá naznačuje, že aktualizované certifikáty neboli použité v zariadení. Táto udalosť poskytuje niektoré podrobnosti špecifické pre zariadenie vrátane atribútov zariadenia, ktoré pomôžu pri korelácii zariadení, ktoré ešte treba aktualizovať.

  • Identifikácia udalosti: 1808 Táto udalosť je informačná udalosť, ktorá označuje, že zariadenie má na firmvér zariadenia použité požadované nové certifikáty zabezpečeného spustenia.

Stratégie nasadenia 

Ak chcete minimalizovať riziko, nasaďte aktualizácie zabezpečeného spustenia vo fázach namiesto všetkých naraz. Začnite s malou podmnožinou zariadení, overte výsledky a potom rozbaľte ďalšie skupiny. Odporúčame vám začať s podmnožinou zariadení a pri získavaní dôvery v tieto nasadenia pridať ďalšie podmnožiny zariadení. Na určenie toho, čo ide do podmnožiny, možno použiť viacero faktorov vrátane výsledkov testov vo vzorových zariadeniach a organizačnej štruktúre atď. 

Rozhodnutie o tom, ktoré zariadenia nasadíte, je na vás. Tu sú uvedené niektoré možné stratégie. 

  • Veľký vozový park zariadení: začnite tým, že sa budete spoliehať na pomoc, ktorá je popísaná vyššie pre najbežnejšie zariadenia, ktoré spravujete. Súčasne sa zamerajte na menej bežné zariadenia spravované vašou organizáciou. Otestujte malé vzorové zariadenia a ak je testovanie úspešné, nasaďte ich do ostatných zariadení rovnakého typu. Ak testovanie spôsobí problémy, preskúmajte príčinu problému a určte kroky nápravy. Môžete tiež zvážiť triedy zariadení s vyššou hodnotou vo vašom vozovom parku a začať testovať a nasadzovať, aby ste zabezpečili, že tieto zariadenia aktualizovali ochranu včas.

  • Malá flotila, veľká rozmanitosť: Ak flotila, ktorú spravujete, obsahuje širokú škálu strojov, v ktorých by testovanie jednotlivých zariadení bolo prohibitívne, zvážte veľké spoliehanie sa na dve pomocné osoby popísané vyššie, najmä pre zariadenia, ktoré by mohli byť bežnými zariadeniami na trhu. Spočiatku sa zamerajte na zariadenia, ktoré sú dôležité pre každodennú operáciu, otestujte a potom nasaďte. Pokračujte v posúvaní zoznamu zariadení s vysokou prioritou, testovaní a nasadzovaní a zároveň monitorujte flotilu, aby ste potvrdili, že pomoc pomáha so zvyškom zariadení.

Poznámky 

  • Venujte pozornosť starším zariadeniam, najmä zariadeniam, ktoré už výrobca nepodporuje. Zatiaľ čo firmvér by mal vykonávať operácie aktualizácie správne, niektoré nemusia. V prípadoch, keď firmvér nefunguje správne a zariadenie už nie je podporované, zvážte nahradenie zariadenia, aby sa zaistila ochrana zabezpečeného spustenia vo vašom vozovom parku.

  • Nové zariadenia vyrobené za posledných 1 až 2 roky už môžu mať aktualizované certifikáty, ale nemusia mať v systéme podpísaný správca spúšťania systému Windows UEFI CA 2023. Použitie tohto správcu spúšťania je kritickým posledným krokom nasadenia pre každé zariadenie.

  • Po výbere zariadenia na aktualizácie môže trvať určitý čas, kým sa aktualizácie dokončia. Odhadnite 48 hodín a jeden alebo viacero reštartov certifikátov, ktoré sa majú použiť.

Najčastejšie otázky

Najčastejšie otázky nájdete v článku s najčastejšími otázkami o zabezpečenom spúšťaní .

Riešenie problémov

Ďalšie podrobnosti nájdete v dokumente o riešení problémov .

Ďalšie zdroje

Tip: Označte tieto ďalšie zdroje záložkou.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania