Opomba
- Prvotni datum objave: 19 februarja, 2026
- ID zbirke znanja: 5080931
Opomba
Ta članek vsebuje navodila za:
Skrbniki navideznega namizja Azure, ki upravljajo posodobitve gostitelja seje
Organizacije, ki uporabljajo virtualne računalnike z omogočenim varnim zagonom za uvedbe navideznega namizja Azure
Organizacije, ki uporabljajo slike po meri (zlate slike) za uvedbe navideznega namizja Azure
V tem članku:
Uvod
Varni zagon je varnostna funkcija vdelane programske opreme UEFI, ki pomaga zagotoviti, da se med zagonskim zaporedjem naprave izvaja samo zaupanja vredna, digitalno podpisana programska oprema. Potrdila za Microsoftov varni zagon, izdana leta 2011, potečejo junija 2026. Brez posodobljenih potrdil za leto 2023 naprave ne bodo več prejemale novih zaščite ali ublažitev za varni zagon in upravitelja zagona za novo odkrite ranljivosti na ravni zagona.
Vse virtualne računalnike, ki podpirajo varen zagon, registrirane v storitvi Azure Virtual Desktop, in slike po meri, ki se uporabljajo za njihovo omogočanje, je treba pred potekom posodobiti na potrdila 2023, da ostanejo zaščiteni. Glejte Ko potrdila varnega zagona potečejo v napravah s sistemom Windows
Ali to velja za moje okolje navideznega namizja Azure?
| Primer | Varen zagon aktiven? | Potrebno je ukrepanje |
|---|---|---|
| Gostitelji sej | ||
| Zaupanja vreden zagon VM z omogočenim varnim zagonom | Da | Posodabljanje potrdil na gostitelju seje |
| Zaupanja vreden zagon VM z onemogočenim varnim zagonom | Ne | Ukrepanje ni potrebno |
| Standard varnostne vrste VM | Ne | Ukrepanje ni potrebno |
| VM generacije 1 | Ni podprto | Ukrepanje ni potrebno |
| Zlate podobe | ||
| Slika Azure Compute Gallery z omogočenim varnim zagonom | Da | Posodabljanje potrdil na izvorni sliki |
| Slika računalniške galerije Azure brez zaupanja vrednega zagona | Ne | Uporaba posodobitev v gostitelju seje po uvedbi |
| Upravljana slika (ne podpira zaupanja vrednega zagona) | Ne | Uporaba posodobitev v gostitelju seje po uvedbi |
Če želite vse osnovne informacije, glejte Posodobitve potrdil za varen zagon: Navodila za strokovnjake in organizacije za IT.
Popis in spremljanje
Preden ukrepate, popisajte svoje okolje, da ugotovite naprave, ki potrebujejo posodobitve. Spremljanje je bistvenega pomena za potrditev, da so potrdila uporabljena pred rokom junija 2026 – tudi če se zanašate na metode samodejnega uvajanja. Spodaj so navedene možnosti, s katerimi lahko ugotovite, ali je treba ukrepati.
1. možnost: Popravki storitve Microsoft Intune
Za gostitelje sej, ki so včlanjeni v Microsoft Intune, lahko uvedete skript za zaznavanje s pomočjo Intune Remediations (proaktivne popravke), da samodejno zberete stanje potrdila varnega zagona v celotni floti. Skript se tiho zažene v vsaki napravi in poroča o stanju varnega zagona, napredku posodobitve potrdila in podrobnostih o napravi nazaj na portal Intune – v napravah se ne izvedejo nobene spremembe. Rezultate si lahko ogledate in izvozite v datoteko CSV neposredno iz skrbniškega središča za storitev Intune za analizo celotnega voznega parka.
Če želite navodila po korakih za uvajanje skripta za zaznavanje, glejte Spremljanje stanja potrdila za varen zagon s popravki storitve Microsoft Intune.
2. možnost: Poročilo o stanju varnega zagona sistema Windows
Za gostitelje osebnih trajnih sej, ki so registrirani s samodejnim popravkom sistema Windows, obiščite Skrbniško središče> za IntunePoročila Poročila> Samodejnopopravke> sistema WindowsPosodobitve> kakovosti sistema WindowsZavihek>Poročila Stanje varnega zagona. Glejte Poročilo o stanju varnega zagona v samodejnem popravku sistema Windows.
Opomba
Samodejni popravek sistema Windows podpira samo osebne trajne navidezne računalnike za navidezno namizje Azure. Gostitelji z več sejami, združeni netrajni navidezni računalniki in pretakanje oddaljenih aplikacij niso podprti. Glejte Samodejni popravek sistema Windows v delovnih obremenitvah navideznega namizja Azure.
3. možnost: registrski ključi za spremljanje voznega parka
Uporabite obstoječa orodja za upravljanje naprav za poizvedovanje po teh registrskih vrednostih v celotnem voznem parku.
| Registrska pot | Tipka | Namen |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servisiranje |
UEFICA2023Status | Trenutno stanje uvedbe |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servisiranje |
UEFICA2023Napaka | Označuje napake (ne sme obstajati) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servisiranje |
UEFICA2023NapakaDogodek | Označuje ID dogodka (ne bi smel obstajati) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Razpoložljive posodobitve | Čakajoči posodobitveni biti |
Če želite vse podrobnosti o registrskem ključu, glejte Posodobitve registrskega ključa za varen zagon: naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.
4. možnost: Spremljanje dnevnika dogodkov
Uporabite obstoječa orodja za upravljanje naprav za zbiranje in spremljanje teh ID-jev dogodkov iz dnevnika sistemskih dogodkov v skupini vozil.
| ID dogodka | Lokacija | Pomen |
|---|---|---|
| 1808 | Sistem | Uspešno uporabljena potrdila |
| 1801 | Sistem | Stanje posodobitve ali podrobnosti o napaki |
Za celoten seznam podrobnosti o dogodku glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX.
5. možnost: Skript inventarja PowerShell
Zaženite Microsoftov vzorčni skript zbirke podatkov inventarja varnega zagona , da preverite stanje posodobitve potrdila za varni zagon. Skript zbira več podatkovnih točk, vključno s stanjem varnega zagona, stanjem posodobitve vmesnika UEFI CA 2023, različico vdelane programske opreme in dejavnostjo dnevnika dogodkov.
Uvajanje
Pomembno
Ne glede na to, katero možnost uvajanja izberete, priporočamo, da pred rokom v juniju 2026 spremljate vozni park naprav, da preverite, ali so potrdila uspešno uporabljena. Za slike po meri glejte Razmislite o zlati sliki.
1. možnost: Samodejne Posodobitve iz storitve Windows Update (naprave z visoko stopnjo zanesljivosti)
Microsoft samodejno posodablja naprave z mesečnimi posodobitvami sistema Windows, ko zadostna telemetrija potrdi uspešno uvedbo v podobnih konfiguracijah strojne opreme.
- Stanje: Privzeto omogočeno za naprave z visoko stopnjo zanesljivosti
- Zahtevano ni nobeno dejanje, razen če želite zavrniti sodelovanje
| Register | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tipka | HighConfidenceOptOut = 1 za zavrnitev sodelovanja |
| Pravilnik skupine | Konfiguracija> računalnikaSkrbniške predloge>Komponente >sistema WindowsVarni zagon>Samodejna uvedba potrdila prek Posodobitve> Nastavite na Onemogočeno, da zavrnete sodelovanje. |
Opomba
Priporočilo: Tudi če so omogočene samodejne posodobitve, nadzirajte gostitelje sej in preverite, ali so uporabljena potrdila. Vse naprave morda ne izpolnjujejo pogojev za samodejno uvajanje z visoko stopnjo zanesljivosti.
Če želite več informacij, glejte Pomoč pri avtomatizirani uvedbi.
2. možnost: IT-Initiated uvajanje
Ročno sprožite posodobitve potrdil za takojšnjo ali nadzorovano uvedbo.
| Način | Dokumentacija |
|---|---|
| Microsoft Intune | Način Microsoft Intune |
| Pravilnik skupine | Način predmetov pravilnik skupine |
| Registrski ključi | Način registrskega ključa |
| Izklop uporabniškega vmesnika za WinCS | API-ji WinCS |
Opomba
- Ne uporabljajte načinov uvajanja, ki jih zažene IT (npr. Intune in GPO) v isti napravi – nadzorujeta iste registrske ključe in lahko pride do spora.
- Čakajte približno 48 ur in enega ali več ponovnih zagonov, da se potrdila v celoti uporabijo.
Pomembne besede o zlati sliki
Za okolja navideznega namizja Azure, ki uporabljajo slike Azure Compute Gallery z omogočenim varnim zagonom, uporabite posodobitev potrdila varnega zagona 2023 za zlato sliko, preden jo zajamete. Uporabite enega od zgoraj opisanih načinov, da uporabite posodobitev, nato pa preverite, ali so potrdila posodobljena, preden posplošite:
Opomba
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Slike brez omogočenega zaupanja vrednega zagona ne morejo prejemati posodobitev potrdil za varni zagon prek slike. To vključuje upravljane slike, ki ne podpirajo zaupanja vrednega zagona, in slike galerije izračunov Azure, pri katerih ni omogočen zaupanja vreden zagon. Za naprave, ki so omogočene s temi slikami, namestite posodobitve v gostujočem operacijskem sistemu na enega od zgornjih načinov.
Znane težave
Registrski ključ za servisiranje ne obstaja
| Simptom | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing pot ne obstaja |
|---|---|
| Vzrok | V napravi se posodobitve potrdil niso inicializirale |
| Rešitev | Počakajte na samodejno uvajanje prek storitve Windows Update ali pa ročno zaženite z enim od zgornjih načinov uvajanja, ki jih je sprožila organizacija IT |
Stanje dalj časa kaže »V teku«
| Simptom | UEFICA2023Stanje po več dneh ostaja »V teku« |
|---|---|
| Vzrok | Naprava bo morda potrebovala ponovni zagon za dokončanje postopka posodobitve |
| Rešitev | Znova zaženite gostitelja seje in znova preverite stanje po 15 minutah. Če težave ne morete odpraviti, glejte Dogodki posodobitve spremenljivke DB varnega zagona in DBX za navodila za odpravljanje težav |
Registrski ključ UEFICA2023Error obstaja
| Simptom | UEFICA2023Error registrski ključ je prisoten |
|---|---|
| Vzrok | Med uvajanjem potrdila je prišlo do napake |
| Rešitev | Podrobnosti si oglejte v dnevnik sistemskih dogodkov. Navodila za odpravljanje težav najdete v razdelku Dogodki posodobitve spremenljivke DB Secure Boot DB in DBX |