Potrdilo varnega zagona Posodobitve za Azure navidezno namizje
Velja za
Datum izvirne objave: 19. februar 2026
ID zbirke znanja: 5080931
V tem članku so navodila za:
-
Azure skrbniki navideznega namizja, ki upravljajo posodobitve gostitelja seje
-
Organizacije, ki za uvedbo navideznega namizja Azure varnega zagona
-
Organizacije, ki za uvedbo navideznega namizja Azure slike po meri (zlate slike)
V tem članku:
Uvod
Varni zagon je varnostna funkcija vmesnika UEFI, ki zagotavlja le zaupanja vredno in digitalno podpisano programsko opremo, ki se izvaja v zaporedju zagona naprave. Microsoftova potrdila za varni zagon, izdana leta 2011, bodo začela veljati junija 2026. Brez posodobljenih potrdil za leto 2023 naprave ne bodo več prejemale novih zaščite ali ublažitev ranljivosti na ravni varnega zagona in upravitelja zagona.
Vse navidezne računalnike z omogočenim varnim zagonom, registrirane v storitvi navideznega namizja Azure, in slike po meri, ki se uporabljajo za omogočanje njihove uporabe, je treba pred potekom posodobiti na potrdila različice 2023, da ostanejo zaščitene. Glejte Ko v napravah s sistemom Windows potečejo potrdila za varni zagon
Ali to velja za moje Azure navideznega namizja?
|
Primer |
Varni zagon je aktiven? |
Potrebno je ukrepanje |
|
Gostitelji seje |
||
|
Zaupanja vreden zagon VM z omogočenim varnim zagonom |
Da |
Posodobitev potrdil v gostitelju seje |
|
Trusted Launch VM with Secure Boot disabled |
Ne |
Ukrepanje ni potrebno |
|
Standard vrsto VM |
Ne |
Ukrepanje ni potrebno |
|
1. generacija navideznih računalnikih |
Ni podprto |
Ukrepanje ni potrebno |
|
Zlate slike |
||
|
Azure compute Gallery image with Secure Boot enabled |
Da |
Posodobitev potrdil v izvorni sliki |
|
Azure compute Gallery image without Trusted Launch |
Ne |
Uporaba posodobitev v gostitelju seje po uvajanju |
|
Upravljana slika (ne podpira zaupanja vrednega zagona) |
Ne |
Uporaba posodobitev v gostitelju seje po uvajanju |
Če želite vse osnovne informacije, glejte Posodobitve potrdil za varni zagon: navodila za strokovnjake za IT in organizacije.
Zaloga in nadzor
Preden ukrepate, inventarjte svoje okolje, da določite naprave, ki zahtevajo posodobitve. Nadzor je bistvenega pomena za potrditev uporabe potrdil pred rokom v juniju 2026, tudi če se zanašate na načine samodejnega uvajanja. Spodaj so na voljo možnosti za določanje, ali je treba ukrepati.
1. možnost: Microsoft Intune odpravljanje težav
Za gostitelje seje, ki so včlanjeni v sistem Microsoft Intune, lahko uvedete skript zaznavanja s storitvijo Intune Remediations (Proactive Remediations), da samodejno zberete stanje potrdila o varnem zagonu v celotnem floti. Skript se tiho izvaja v vsaki napravi in poroča o stanju varnega zagona, napredovanju posodobitve potrdila in podrobnosti o napravi v portalu za Intune – naprave se ne spremenijo. Rezultate si lahko ogledate in jih izvozite v datoteko CSV neposredno iz skrbniškega središča Intune za analizo v celotni floti.
Če želite navodila po korakih za uvajanje skripta za zaznavanje, glejte Nadzorovanje stanja potrdila varnega zagona s Microsoft Intune odpravljanje težav.
2. možnost: Samodejno zakasnitvijo poročila o stanju varnega zagona v sistemu Windows
Za gostitelje osebne trajne seje, ki so registrirani s samodejnimpapatch-jem sistema Windows, pojdite v skrbniško središče za Intune >Poročila > Za samodejno popravljanje sistema Windows > posodobitve kakovosti sistema Windows > zavihek Poročila > stanje varnega zagona. Glejte poročilo o stanju varnega zagona v samodejnem zakasnitvijo sistema Windows.
Opomba: Samodejno zapapanje sistema Windows podpira le osebne, trajne navidezne računalnike Azure navidezno namizje. Gostitelji z več sejami, skupni netrajni navidezni računalniki in pretočni prenos oddaljene aplikacije niso podprti. Glejte Samodejno zapapanje sistema Windows Azure navideznem namizju.
3. možnost: registrski ključi za spremljanje flote
Uporabite obstoječa orodja za upravljanje naprav za poizvedbo po teh registrskih vrednostih v vašem floti.
|
Pot registra |
Ključ |
Namen |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Stanje trenutnega uvajanja |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Napaka |
Označuje napake (ne sme obstajati) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Označuje ID dogodka (ne sme obstajati) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Na voljoPošiljanja |
Biti čakajočih posodobitev |
Če si želite ogledati vse podrobnosti registrskega ključa, glejte Posodobitve registrskega ključa za varni zagon: naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.
4. možnost: nadzorovanje dnevnika dogodkov
Z obstoječimi orodji za upravljanje naprav lahko zbirate in nadzorujete TE ID-je dogodkov iz dnevnika sistemskih dogodkov v vašem floti.
|
ID dogodka |
Lokacija |
Smislu |
|
1808 |
Sistem |
Potrdila so bila uspešno uporabljena |
|
1801 |
Sistem |
Posodobitev stanja ali podrobnosti o napaki |
Če si želite ogledati celoten seznam podrobnosti o dogodku, glejte Dogodki posodobitve spremenljivih dogodkov za varni zagon DB in DBX.
5. možnost: Skript inventarja ogrodja PowerShell
Če želite preveriti stanje posodobitve potrdila varnega zagona, zaženite Microsoftov skript za zbiranje podatkov za varni zagon. Skript zbira več podatkovnih točk, vključno s stanjem varnega zagona, stanjem posodobitve UEFI CA 2023, različico vdelane programske opreme in dejavnostjo dnevnika dogodkov.
Uvajanje
Pomembno: Ne glede na to, katero možnost uvajanja izberete, priporočamo spremljanje voznega parka naprav, da se potrdi, da so bila potrdila uspešno uporabljena pred rokom za junij 2026. Če si želite ogledati slike po meri, glejte Pomisleki glede zlate slike.
1. možnost: samodejno Posodobitve iz Windows Update (naprave z visoko stopnjo zanesljivosti)
Microsoft samodejno posodablja naprave prek mesečnih posodobitev sistema Windows, ko zadostna telemetrija potrdi uspešno uvajanje v podobnih konfiguracijah strojne opreme.
-
Stanje: Privzeto omogočene za naprave z visoko stopnjo zanesljivosti
-
Če se ne želite odjaviti, vam ni treba izvesti nobenega dejanja
|
Registracija |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Ključ |
HighConfidenceOptOut = 1 za odjavo |
|
Pravilnik skupine |
Konfiguracija računalnika > skrbniške predloge > komponente sistema Windows > varni zagon > samodejno uvedbo potrdila prek storitve Posodobitve > Nastavljeno na Onemogočeno, da zavrnete sodelovanje. |
Priporočilo: Tudi če so omogočene samodejne posodobitve, spremljajte gostitelje seje in preverite, ali so uporabljena potrdila. Vse naprave morda niso upravičene do samodejne uvedbe z visoko stopnjo zaupanja.
Če želite več informacij, glejte Pomoč pri avtomatiziranem uvajanju.
2. možnost: IT-Initiated uvedbo
Ročno sprožite posodobitve potrdil za takojšnjo ali nadzorovano namestitev.
|
Metoda |
Dokumentacija |
|
Microsoft Intune |
|
|
Pravilnik skupine |
|
|
Registrski ključi |
|
|
WinCS CLI |
Opombe:
-
Ne mešati metod uvajanja, ki se začne z IT (npr. Intune in predmet pravilnika skupine) v isti napravi – nadzirajo iste registrske ključe in lahko so v sporu.
-
Omogočite približno 48 ur in enega ali več ponovnih zagonov, da bodo potrdila v celoti veljavna.
Pomisleki glede zlate slike
Za Azure navideznega namizja z uporabo slik iz Azure Compute Gallery z omogočenim varnim zagonom, uporabite posodobitev potrdila varnega zagona 2023 za zlato sliko, preden jo zajemite. Uporabite enega od zgoraj opisanih načinov za uporabo posodobitve, nato pa preverite, ali so potrdila posodobljena, preden se posplošijo:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Slike brez omogočenega zaupanja vrednega zagona ne morejo prejemati posodobitev potrdila za varni zagon prek slike. To vključuje upravljane slike, ki ne podpirajo zaupanja vrednega zagona, in Azure, kjer ni omogočen zaupanja vreden zagon. Za naprave, ki so omogočene za uporabo na teh slikah, uporabite posodobitve v gostujočem sistemu na enega od zgornjih načinov.
Znane težave
Registrski ključ za servisiranje ne obstaja
|
Simptom |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path ne obstaja |
|
Vzrok |
Posodobitve potrdil v napravi niso bile inicialne |
|
Rešitev |
Počakajte na samodejno uvajanje Windows Update ali pa začnite ročno z uporabo enega od zgornjih načinov uvajanja, ki ga sproži IT |
Stanje prikazuje »InProgress« za daljše obdobje
|
Simptom |
UEFICA2023Status ostaja »Izhod« po več dneh |
|
Vzrok |
Naprava bo morda za dokončanje postopka posodobitve potrebuje vnovični zagon |
|
Rešitev |
Znova zaženite gostitelja seje in po 15 minutah znova preverite stanje seje. Če težave ne morete odpraviti, glejte dogodke posodobitve spremenljivk varnega zagona DB in DBX, kjer najdete navodila za odpravljanje težav. |
Registrski ključ UEFICA2023Error obstaja
|
Simptom |
Registrski ključ UEFICA2023Napaka je prisoten |
|
Vzrok |
Med uvajanjem potrdila je prišlo do napake |
|
Rešitev |
Podrobnosti poiščite v dnevniku sistemskih dogodkov. Navodila za odpravljanje težav najdete v člankih Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX |
Viri
Ali potrebujete dodatno pomoč?
Ali želite več možnosti?
Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.
Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.
