Posodobitve potrdil za varni zagon za Windows 365

Opomba

  • Izvirni datum objave: 19 februarja, 2026
  • ID zbirke znanja: 5080914

Opomba

V tem članku so navodila za:

  • Skrbniki sistema Windows 365, ki upravljajo računalnike v oblaku.

  • Organizacije, ki uporabljajo računalnike v oblaku z omogočenim varnim zagonom za uvedbe sistema Windows 365.

  • Organizacije, ki uporabljajo slike po meri za uvedbe sistema Windows 365.

V tem članku:

Uvod

Varni zagon je varnostna funkcija vdelane programske opreme vmesnika UEFI, ki zagotovi, da se med zagonskim zaporedjem naprave izvaja le zaupanja vredna, digitalno podpisana programska oprema. Potrdila za varni zagon Microsoft, izdana v letu 2011, začnejo potekati junija 2026. Brez posodobljenih potrdil 2023 naprave ne bodo več prejemale novih zaščite varnega zagona in upravitelja zagona ali ublažitev posledic za novo odkrite ranljivosti na ravni zagona.

Vsi računalniki v oblaku z omogočenim varnim zagonom in so omogočeni v storitvi Windows 365, ter slike po meri, ki se uporabljajo za njihovo omogočanje, morajo biti pred potekom posodobitve na potrdila 2023, da ostanejo zaščiteni. Oglejte si , kdaj v napravah s sistemom Windows potečejo potrdila za varni zagon.

Ali to velja za moje okolje sistema Windows 365?

Primer Ali je varni zagon aktiven? Potrebno je ukrepanje
Računalniki v oblaku
Računalnik v oblaku z omogočenim varnim zagonom Da Posodobite potrdila v računalniku v oblaku
Računalnik v oblaku z onemogočenim varnim zagonom Ne Zahtevano ni nobeno dejanje
Slike
Slika mape računske galerije Azure z omogočenim varnim zagonom Da Pred posploševanjem posodobite potrdila v izvorni sliki
Azure Compute Gallery image without Trusted Launch Ne Uporaba posodobitev v računalniku v oblaku po omogočanju uporabe
Upravljana slika (ne podpira zaupanja vrednega zagona) Ne Uporaba posodobitev v računalniku v oblaku po omogočanju uporabe

Za vse osnovne informacije glejte Posodobitve potrdil za varni zagon: navodila za strokovnjake za IT in organizacije.

Inventar in nadzor

Preden ukrepate, popisajte svoje okolje, da boste prepoznali naprave, ki zahtevajo posodobitve. Nadzor je nujnega pomena za potrditev, ali so potrdila uporabljena pred rokom v juniju 2026 – tudi če se zanašate na načine samodejne uvedbe. Spodaj so možnosti, s katerimi lahko ugotovite, ali je treba ukrepati.

1. možnost: Popravki za Microsoft Intune

Za računalnike v oblaku, ki so včlanjeni v Microsoft Intune, lahko uvedete skript zaznavanja s popravki storitve Intune (proaktivne popravke) za samodejno zbiranje stanja potrdil za varni zagon v celotni floti. Skript se tiho izvaja v vsaki napravi in posreduje stanje varnega zagona, napredek posodobitve potrdila in podrobnosti o napravi portalu za Intune – v napravah se ne spremenijo nobene spremembe. Rezultate si lahko ogledate in jih izvozite v datoteko CSV neposredno iz skrbniškega središča za Intune za analizo celotnega voznega parka.

Če želite navodila po korakih o uvajanju skripta za zaznavanje, glejte Spremljanje stanja potrdila za varni zagon s popravki za Microsoft Intune.

2. možnost: Poročilo o stanju varnega zagona s samodejnim popravljanjem sistema Windows

Za računalnike v oblaku, registrirane s funkcijo Samodejno popravljanje sistema Windows, pojdite v Skrbniško središče> za IntunePoročila>Samodejno popravljanje> sistema WindowsPosodobitve> kakovosti sistema WindowsZavihek »Poročila«>Stanje varnega zagona. Oglejte si poročilo o stanju varnega zagona v Samodejno popravljanje sistema Windows.

Opomba: Če želite uporabiti Samodejno popravljanje sistema Windows s sistemom Windows 365, morajo biti računalniki v oblaku registrirani v storitvi Samodejno popravljanje sistema Windows. Oglejte si Samodejno popravljanje sistema Windows v delovnih obremenitvah sistema Windows 365 Enterprise.

3. možnost: registrski ključi za nadzor voznega parka

Uporabite obstoječa orodja za upravljanje naprave, da poizvedujete po teh vrednostih registra v celotni skupini uporabnikov.

Registrska pot Tipka Namen
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Status Trenutno stanje uvajanja
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Error Označuje napake (ne sme obstajati)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Označuje ID dogodka (ne sme obstajati)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
AvailableUpdates Čakajoči biti posodobitve

Za vse podrobnosti registrskega ključa glejte Posodobitve registrskega ključa za varni zagon.

4. možnost: Nadzorovanje dnevnika dogodkov

Z obstoječimi orodji za upravljanje naprav lahko zberete in nadzorujete te ID-je dogodkov iz dnevnika sistemskih dogodkov v celotni skupini.

ID dogodka Lokacija Pomen
1808 Sistem Potrdila so bila uspešno uporabljena
1801 Sistem Stanje posodobitve ali podrobnosti o napaki

Za celoten seznam podrobnosti o dogodku glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX.

5. možnost: Skript inventarja PowerShell

Zaženite Microsoftov vzorčni skript zbirke podatkov inventarja varnega zagona , da preverite stanje posodobitve potrdila za varni zagon. Skript zbira več podatkovnih točk, vključno s stanjem varnega zagona, stanjem posodobitve vmesnika UEFI CA 2023, različico vdelane programske opreme in dejavnostjo dnevnika dogodkov.

Uvajanje

Pomembno

Ne glede na to, katero možnost uvajanja izberete, priporočamo, da pred rokom v juniju 2026 spremljate vozni park naprav, da preverite, ali so potrdila uspešno uporabljena. Za slike po meri glejte Upoštevanje slik po meri.

1. možnost: Samodejne Posodobitve iz storitve Windows Update (naprave z visoko stopnjo zaupanja)

Microsoft samodejno posodablja naprave z mesečnimi posodobitvami sistema Windows, ko zadostna telemetrija potrdi uspešno uvedbo v podobnih konfiguracijah strojne opreme.

  • Stanje: privzeto omogočeno za naprave z visoko stopnjo zaupanja
  • Dejanje ni potrebno, razen če se želite odjaviti
Register HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tipka HighConfidenceOptOut = 1 za zavrnitev
Pravilnik skupine Konfiguracija> računalnikaSkrbniške predloge>Komponente >sistema WindowsVarni zagon>Samodejna uvedba potrdila prek Posodobitve> Nastavite na Onemogočeno, da se odjavite

Opomba

Priporočilo: Tudi če so omogočene samodejne posodobitve, spremljajte računalnike v oblaku in preverite, ali so bila uporabljena potrdila. Vse naprave morda niso upravičene do samodejnega uvajanja z visoko stopnjo zaupanja.

Če želite več informacij, glejte Pomoč pri samodejnem uvajanju.

2. možnost: IT-Initiated uvedba

Ročno sprožite posodobitve potrdil za takojšnjo ali nadzorovano uvedbo.

Način Dokumentacija
Microsoft Intune Metoda Microsoft Intune
Pravilnik skupine Metoda GPO
Registrski ključi Metoda registrskega ključa
WinCS CLI API-ji WinCS

Opomba

  • Ne mešajte načinov uvajanja, ki jih je sprožila IT-tehnologija (npr. Intune in GPO) v isti napravi – nadzorujejo iste registrske ključe in so lahko v sporu.
  • Počakajte približno 48 ur in en ali več vnovičnih zagonov, da se potrdila v celoti uporabijo.

Upoštevanje slik po meri

Slike po meri v celoti upravlja vaša organizacija. Odgovorni ste za uporabo posodobitev potrdila varnega zagona za posnetek po meri in njegovo vnovično nalaganje, preden ga uporabite za omogočanje uporabe.

Uporaba posodobitev potrdil za varen zagon za izvorni posnetek je podprta le s slikami Azure Compute Gallery (predogled), ki podpirajo zaupanja vreden zagon in varen zagon. Upravljani posnetki ne podpirajo varnega zagona, zato posodobitev potrdil ni mogoče uporabiti na ravni posnetka. Za računalnike v oblaku, ki so omogočeni iz upravljanih posnetkov, uporabite posodobitve neposredno v računalniku v oblaku z enim od zgornjih načinov uvajanja.

Preden posplošite novo sliko po meri, preverite, ali so potrdila posodobljena:

Opomba

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Znane težave

Servisni registrski ključ ne obstaja

Simptom HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing pot ne obstaja
Vzrok Posodobitve potrdil v napravi niso bile začete
Rešitev Počakajte na samodejno uvajanje prek storitve Windows Update ali ročno zaženite z enim od zgornjih načinov uvajanja, ki jih je sprožil IT.

Stanje prikazuje »V teku« za daljše obdobje

Simptom UEFICA2023Status po več dneh ostane »V teku«
Vzrok Naprava bo morda potrebovala vnovični zagon, da dokonča postopek posodabljanja
Rešitev Znova zaženite računalnik v oblaku in po 15 minutah znova preverite stanje. Če težave ne morete odpraviti, glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX za navodila za odpravljanje težav

UEFICA2023Registrski ključ napake obstaja

Simptom UEFICA2023Registrski ključ napake je prisoten
Vzrok Med uvajanjem potrdila je prišlo do napake
Rešitev Za podrobnosti preverite dnevnik sistemskih dogodkov. Navodila za odpravljanje težav glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX

Viri