Posodobitve potrdil za varni zagon za Azure Virtual Desktop

Velja za
Azure Virtual Desktop

Opomba

  • Prvotni datum objave: 19 februarja, 2026
  • ID zbirke znanja: 5080931

Opomba

Ta članek vsebuje navodila za:

  • Skrbniki navideznega namizja Azure, ki upravljajo posodobitve gostitelja seje

  • Organizacije, ki uporabljajo virtualne računalnike z omogočenim varnim zagonom za uvedbe navideznega namizja Azure

  • Organizacije, ki uporabljajo slike po meri (zlate slike) za uvedbe navideznega namizja Azure

V tem članku:

Uvod

Varni zagon je varnostna funkcija vdelane programske opreme UEFI, ki pomaga zagotoviti, da se med zagonskim zaporedjem naprave izvaja samo zaupanja vredna, digitalno podpisana programska oprema. Potrdila za Microsoftov varni zagon, izdana leta 2011, potečejo junija 2026. Brez posodobljenih potrdil za leto 2023 naprave ne bodo več prejemale novih zaščite ali ublažitev za varni zagon in upravitelja zagona za novo odkrite ranljivosti na ravni zagona.

Vse virtualne računalnike, ki podpirajo varen zagon, registrirane v storitvi Azure Virtual Desktop, in slike po meri, ki se uporabljajo za njihovo omogočanje, je treba pred potekom posodobiti na potrdila 2023, da ostanejo zaščiteni. Glejte Ko potrdila varnega zagona potečejo v napravah s sistemom Windows

Ali to velja za moje okolje navideznega namizja Azure?

Primer Varen zagon aktiven? Potrebno je ukrepanje
Gostitelji sej
Zaupanja vreden zagon VM z omogočenim varnim zagonom Da Posodabljanje potrdil na gostitelju seje
Zaupanja vreden zagon VM z onemogočenim varnim zagonom Ne Ukrepanje ni potrebno
Standard varnostne vrste VM Ne Ukrepanje ni potrebno
VM generacije 1 Ni podprto Ukrepanje ni potrebno
Zlate podobe
Slika Azure Compute Gallery z omogočenim varnim zagonom Da Posodabljanje potrdil na izvorni sliki
Slika računalniške galerije Azure brez zaupanja vrednega zagona Ne Uporaba posodobitev v gostitelju seje po uvedbi
Upravljana slika (ne podpira zaupanja vrednega zagona) Ne Uporaba posodobitev v gostitelju seje po uvedbi

Če želite vse osnovne informacije, glejte Posodobitve potrdil za varen zagon: Navodila za strokovnjake in organizacije za IT.

Popis in spremljanje

Preden ukrepate, popisajte svoje okolje, da ugotovite naprave, ki potrebujejo posodobitve. Spremljanje je bistvenega pomena za potrditev, da so potrdila uporabljena pred rokom junija 2026 – tudi če se zanašate na metode samodejnega uvajanja.  Spodaj so navedene možnosti, s katerimi lahko ugotovite, ali je treba ukrepati.

1. možnost: Popravki storitve Microsoft Intune

Za gostitelje sej, ki so včlanjeni v Microsoft Intune, lahko uvedete skript za zaznavanje s pomočjo Intune Remediations (proaktivne popravke), da samodejno zberete stanje potrdila varnega zagona v celotni floti. Skript se tiho zažene v vsaki napravi in poroča o stanju varnega zagona, napredku posodobitve potrdila in podrobnostih o napravi nazaj na portal Intune – v napravah se ne izvedejo nobene spremembe. Rezultate si lahko ogledate in izvozite v datoteko CSV neposredno iz skrbniškega središča za storitev Intune za analizo celotnega voznega parka.

Če želite navodila po korakih za uvajanje skripta za zaznavanje, glejte Spremljanje stanja potrdila za varen zagon s popravki storitve Microsoft Intune.

2. možnost: Poročilo o stanju varnega zagona sistema Windows

Za gostitelje osebnih trajnih sej, ki so registrirani s samodejnim popravkom sistema Windows, obiščite Skrbniško središče> za IntunePoročila Poročila> Samodejnopopravke> sistema WindowsPosodobitve> kakovosti sistema WindowsZavihek>Poročila Stanje varnega zagona. Glejte Poročilo o stanju varnega zagona v samodejnem popravku sistema Windows.

Opomba

Samodejni popravek sistema Windows podpira samo osebne trajne navidezne računalnike za navidezno namizje Azure. Gostitelji z več sejami, združeni netrajni navidezni računalniki in pretakanje oddaljenih aplikacij niso podprti. Glejte Samodejni popravek sistema Windows v delovnih obremenitvah navideznega namizja Azure.

3. možnost: registrski ključi za spremljanje voznega parka

Uporabite obstoječa orodja za upravljanje naprav za poizvedovanje po teh registrskih vrednostih v celotnem voznem parku.

Registrska pot Tipka Namen
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servisiranje
UEFICA2023Status Trenutno stanje uvedbe
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servisiranje
UEFICA2023Napaka Označuje napake (ne sme obstajati)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servisiranje
UEFICA2023NapakaDogodek Označuje ID dogodka (ne bi smel obstajati)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Razpoložljive posodobitve Čakajoči posodobitveni biti

Če želite vse podrobnosti o registrskem ključu, glejte Posodobitve registrskega ključa za varen zagon: naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.

4. možnost: Spremljanje dnevnika dogodkov

Uporabite obstoječa orodja za upravljanje naprav za zbiranje in spremljanje teh ID-jev dogodkov iz dnevnika sistemskih dogodkov v skupini vozil.

ID dogodka Lokacija Pomen
1808 Sistem Uspešno uporabljena potrdila
1801 Sistem Stanje posodobitve ali podrobnosti o napaki

Za celoten seznam podrobnosti o dogodku glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX.

5. možnost: Skript inventarja PowerShell

Zaženite Microsoftov vzorčni skript zbirke podatkov inventarja varnega zagona , da preverite stanje posodobitve potrdila za varni zagon. Skript zbira več podatkovnih točk, vključno s stanjem varnega zagona, stanjem posodobitve vmesnika UEFI CA 2023, različico vdelane programske opreme in dejavnostjo dnevnika dogodkov.

Uvajanje

Pomembno

Ne glede na to, katero možnost uvajanja izberete, priporočamo, da pred rokom v juniju 2026 spremljate vozni park naprav, da preverite, ali so potrdila uspešno uporabljena. Za slike po meri glejte Razmislite o zlati sliki.

1. možnost: Samodejne Posodobitve iz storitve Windows Update (naprave z visoko stopnjo zanesljivosti)

Microsoft samodejno posodablja naprave z mesečnimi posodobitvami sistema Windows, ko zadostna telemetrija potrdi uspešno uvedbo v podobnih konfiguracijah strojne opreme.

  • Stanje: Privzeto omogočeno za naprave z visoko stopnjo zanesljivosti
  • Zahtevano ni nobeno dejanje, razen če želite zavrniti sodelovanje
Register HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Tipka HighConfidenceOptOut = 1 za zavrnitev sodelovanja
Pravilnik skupine Konfiguracija> računalnikaSkrbniške predloge>Komponente >sistema WindowsVarni zagon>Samodejna uvedba potrdila prek Posodobitve> Nastavite na Onemogočeno, da zavrnete sodelovanje.

Opomba

Priporočilo: Tudi če so omogočene samodejne posodobitve, nadzirajte gostitelje sej in preverite, ali so uporabljena potrdila. Vse naprave morda ne izpolnjujejo pogojev za samodejno uvajanje z visoko stopnjo zanesljivosti.

Če želite več informacij, glejte Pomoč pri avtomatizirani uvedbi.

2. možnost: IT-Initiated uvajanje

Ročno sprožite posodobitve potrdil za takojšnjo ali nadzorovano uvedbo.

Način Dokumentacija
Microsoft Intune Način Microsoft Intune
Pravilnik skupine Način predmetov pravilnik skupine
Registrski ključi Način registrskega ključa
Izklop uporabniškega vmesnika za WinCS API-ji WinCS

Opomba

  • Ne uporabljajte načinov uvajanja, ki jih zažene IT (npr. Intune in GPO) v isti napravi – nadzorujeta iste registrske ključe in lahko pride do spora.
  • Čakajte približno 48 ur in enega ali več ponovnih zagonov, da se potrdila v celoti uporabijo.

Pomembne besede o zlati sliki

Za okolja navideznega namizja Azure, ki uporabljajo slike Azure Compute Gallery z omogočenim varnim zagonom, uporabite posodobitev potrdila varnega zagona 2023 za zlato sliko, preden jo zajamete. Uporabite enega od zgoraj opisanih načinov, da uporabite posodobitev, nato pa preverite, ali so potrdila posodobljena, preden posplošite:

Opomba

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Slike brez omogočenega zaupanja vrednega zagona ne morejo prejemati posodobitev potrdil za varni zagon prek slike. To vključuje upravljane slike, ki ne podpirajo zaupanja vrednega zagona, in slike galerije izračunov Azure, pri katerih ni omogočen zaupanja vreden zagon. Za naprave, ki so omogočene s temi slikami, namestite posodobitve v gostujočem operacijskem sistemu na enega od zgornjih načinov.

Znane težave

Registrski ključ za servisiranje ne obstaja

Simptom HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing pot ne obstaja
Vzrok V napravi se posodobitve potrdil niso inicializirale
Rešitev Počakajte na samodejno uvajanje prek storitve Windows Update ali pa ročno zaženite z enim od zgornjih načinov uvajanja, ki jih je sprožila organizacija IT

Stanje dalj časa kaže »V teku«

Simptom UEFICA2023Stanje po več dneh ostaja »V teku«
Vzrok Naprava bo morda potrebovala ponovni zagon za dokončanje postopka posodobitve
Rešitev Znova zaženite gostitelja seje in znova preverite stanje po 15 minutah. Če težave ne morete odpraviti, glejte Dogodki posodobitve spremenljivke DB varnega zagona in DBX za navodila za odpravljanje težav

Registrski ključ UEFICA2023Error obstaja

Simptom UEFICA2023Error registrski ključ je prisoten
Vzrok Med uvajanjem potrdila je prišlo do napake
Rešitev Podrobnosti si oglejte v dnevnik sistemskih dogodkov. Navodila za odpravljanje težav najdete v razdelku Dogodki posodobitve spremenljivke DB Secure Boot DB in DBX

Viri