Certifikat za bezbedno pokretanje Novosti za Azure virtuelnu radnu površinu
Primenjuje se na
Originalni datum objavljivanja: 19. februar 2026.
KB ID: 5080931
Ovaj članak sadrži uputstva za:
-
Azure administratorima virtuelne radne površine koji upravljaju ispravkama hosta sesije
-
Organizacije koje koriste virtuelne radne površine omogućene za bezbedno pokretanje za Azure virtuelne radne površine
-
Organizacije koje koriste prilagođene slike (zlatne slike) za primene Azure virtuelne radne površine
U ovom članku:
Uvod
Secure Boot je bezbednosna funkcija UEFI firmvera koja osigurava da se samo pouzdani, digitalno potpisani softver pokreće tokom sekvence pokretanja uređaja. Certifikati microsoft bezbednog pokretanja izdati 2011. godine ističu u junu 2026. Bez ažuriranih certifikata iz 2023. godine, uređaji više neće primati nove zaštite od bezbednog pokretanja i upravljača pokretanja za nove otkrivene ranjivosti na nivou pokretanja.
Sve virtuelne mašine omogućene za bezbedno pokretanje registrovane u Azure virtuelnoj radnoj površini, a prilagođene slike koje se koriste za obezbeđivanje, moraju da se ažuriraju na 2023 certifikate pre isteka da bi ostale zaštićene. Pogledajte kada certifikati za bezbedno pokretanje ističu na Windows uređajima
Da li se ovo odnosi na moje Azure virtuelnu radnu površinu?
|
Scenario |
Bezbedno pokretanje aplikacije je aktivno? |
Potrebna je radnja |
|
Hostovi sesija |
||
|
Pouzdana virtuelna mašina za pokretanje sa omogućenim bezbednim pokretanjem |
Da |
Ažuriranje certifikata na hostu sesije |
|
Pouzdana virtuelna mašina za pokretanje sa onemogućenim bezbednim pokretanjem |
Ne |
Nije potrebna nikakva radnja |
|
Standard virtuelna mašina za bezbednost |
Ne |
Nije potrebna nikakva radnja |
|
Generacija 1 virtuelna mašina |
Nije podržano |
Nije potrebna nikakva radnja |
|
Zlatne slike |
||
|
Azure galerije računara sa omogućenim bezbednim pokretanjem |
Da |
Ažuriranje certifikata na izvornoj slici |
|
Azure galerije izračunavanja bez pouzdanog pokretanja |
Ne |
Primena ispravki u hostu sesije nakon primene |
|
Kontrolisana slika (ne podržava pouzdano pokretanje) |
Ne |
Primena ispravki u hostu sesije nakon primene |
Kompletne informacije o pozadini potražite u članku Ispravke certifikata za bezbedno pokretanje: Vodič za IT stručnjake i organizacije.
Zalihe i nadgledanje
Pre nego što izvršite radnju, zalihe okruženja da biste identifikovali uređaje koji zahtevaju ispravke. Nadgledanje je od suštinske važnosti da biste potvrdili da su certifikati primenjeni pre isteka juna 2026. – čak i ako se oslanjate na metode automatske primene. Ispod su opcije za određivanje da li treba preduzeti radnju.
1. opcija: Microsoft Intune ispravke
Za hostove sesija upisane za Microsoft Intune, možete da primenite skriptu za otkrivanje koristeći Intune ispravke (proaktivni remedijacije) za automatsko prikupljanje statusa certifikata za bezbedno pokretanje širom svog voznog sistema. Skripta se pokreće tiho na svakom uređaju i izveštava o statusu bezbednog pokretanja, toku ažuriranja certifikata i detaljima o uređaju na Intune portalu – na uređajima se ne unose nikakve promene. Rezultati se mogu prikazati i izvesti u CSV direktno iz Intune centra administracije za analizu na nivou flote.
Postupna uputstva o primeni skripte za otkrivanje potražite u članku Nadgledanje statusa certifikata za bezbedno pokretanje sistema pomoću Microsoft Intune ispravki.
2. opcija: Izveštaj o statusu bezbednog pokretanja operativnog sistema Windows Autopatch
Za lične hostove neprekidne sesije registrovane u Windows automatskom štampanju, idite u Intune centar administracije > Izveštaji > Windows automatsko obaveštavanje > Ispravke za kvalitet operativnog sistema Windows > Izveštaji >Status bezbednog pokretanja. Pogledajte izveštaj o statusu bezbednog pokretanja u Windows automatskom odabiju.
Napomena: Windows Autopatch podržava samo lične neprekidne virtuelne mašine za Azure virtuelnu radnu površinu. Hostovi sa više sesija, grupisane neprekidne virtuelne mašine i protok udaljenih aplikacija nisu podržani. Pogledajte članak Windows automatsko otpremanje na Azure virtuelnoj radnoj površini.
Opcija 3: Ključevi registratora za nadgledanje flote
Koristite postojeće alatke za upravljanje uređajima da biste izvršili upit nad ovim vrednostima registratora širom svog flote.
|
Putanja registratora |
Ključ |
Svrhu |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Trenutni status primene |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Greška |
Ukazuje na greške (ne bi trebalo da postoji) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Ukazuje na ID događaja (ne bi trebalo da postoji) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Dostupne ispravke |
Bitovi ažuriranja na čekanju |
Kompletne detalje o ključu registratora potražite u članku Ispravke ključa registratora za bezbedno pokretanje: Windows uređaji sa ispravkama kojima upravlja IT.
Opcija 4: Nadgledanje evidencije događaja
Koristite postojeće alatke za upravljanje uređajima da biste prikupili i nadgledali ove ID-ove događaja iz evidencije događaja sistema u vašem floti.
|
ID događaja |
Lokaciju |
Znaиenje |
|
1808 |
Sistem |
Certifikati su uspešno primenjeni |
|
1801 |
Sistem |
Ažuriranje statusa ili detalja greške |
Kompletnu listu detalja o događaju potražite u člancima Događaji bezbednog pokretanja baze podataka i Događaji promenljivih DBX promenljivih.
Opcija 5: Skripta PowerShell zaliha
Pokrenite skriptu prikupljanja podataka o zalihama bezbednog pokretanja korporacije Microsoft da biste proverili status ažuriranja certifikata bezbednog pokretanja. Skripta prikuplja nekoliko tačaka podataka, uključujući stanje bezbednog pokretanja, status ažuriranja UEFI CA 2023, verziju firmvera i aktivnost evidencije događaja.
Raspoređivanja
Važno: Bez obzira na to koju opciju primene odaberete, preporučujemo da nadgledate flotu uređaja da biste potvrdili da su certifikati uspešno primenjeni pre isteka roka iz juna 2026. Prilagođene slike potražite u članku Stavke koje treba uzeti u obzir u vezi sa zlatnom slikom.
1. opcija: automatske Novosti iz Windows Update (uređaji sa visokim stepenom pouzdanosti)
Microsoft automatski ažurira uređaje putem mesečnih ispravki operativnog sistema Windows kada dovoljna telemetrija potvrdi uspešnu primenu na sličnim konfiguracijama hardvera.
-
Status: Podrazumevano omogućeno za uređaje sa visokim stepenom pouzdanosti
-
Nije potrebno izvršiti nikakvu radnju osim ako ne želite da odbijete saglasnje
|
Registratora |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Ključ |
HighConfidenceOptOut = 1 za odbijanje saglasnosti |
|
Smernice grupe |
Administratorski predlošci > za konfiguraciju računara > Windows komponente > bezbedno pokretanje sistema > Primena automatskog certifikata putem Novosti > je onemogućeno da bi se odjavili. |
Preporuka: Čak i kada su omogućene automatske ispravke, nadgledajte hostove sesija da biste potvrdili da su certifikati primenjeni. Ne mogu svi uređaji da se kvalifikuju za automatsku primenu visokog stepena pouzdanosti.
Više informacija potražite u članku Pomoć za automatizovanu primenu.
Opcija 2: IT-Initiated primena
Ručno aktivirajte ažuriranja certifikata za neposrednu ili kontrolisanu primenu.
|
Metod |
Dokumentaciju |
|
Microsoft Intune |
|
|
Smernice grupe |
|
|
Ključevi registratora |
|
|
WinCS CLI |
Napomene:
-
Nemojte da mešate IT metode primene (npr. Intune i GPO) na istom uređaju – oni kontrolišu iste ključeve registratora i mogu biti neusaglašeni.
-
Dozvolite približno 48 časova i jedno ili više ponovnog pokretanja da bi se certifikati u potpunosti primenili.
Stavke koje treba uzeti u obzir u vezi sa zlatnom slikom
Za Azure okruženja virtuelne radne površine koja koriste Azure galerije računara sa omogućenim bezbednim pokretanjem, primenite ispravku certifikata Bezbedno pokretanje 2023 na zlatnu sliku pre nego što je ukačite. Koristite jedan od gorenavedenih metoda da biste primenili ispravku, a zatim proverite da li su certifikati ažurirani pre opšte postavke:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Slike bez omogućenog pouzdanog pokretanja ne mogu da primaju ispravke certifikata za bezbedno pokretanje putem slike. To obuhvata kontrolisane slike koje ne podržavaju pouzdano pokretanje, kao i Azure "Galerija računara" gde pouzdano pokretanje nije omogućeno. Za uređaje koji su obezbeđeni na ovim slikama, primenite ispravke u OS gostu pomoću jednog od gorenavedenih metoda.
Poznati problemi
Ključ registratora za servisiranje ne postoji
|
Simptom |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing putanja ne postoji |
|
Izazvati |
Ažuriranja certifikata nisu pokrenuta na uređaju |
|
Rezoluciju |
Sačekajte automatsku primenu putem Windows Update ili ručno pokrenite korišćenje jednog od gorenavedenih metoda primene koje je inicirao IT |
Status prikazuje "InProgress" za produženi period
|
Simptom |
UEFICA2023Status ostaje "InProgress" nakon više dana |
|
Izazvati |
Uređaju je možda potrebno ponovno pokretanje da bi se dovršio proces ažuriranja |
|
Rezoluciju |
Ponovo pokrenite host sesije i proverite status posle 15 minuta. Ako se problem i dalje bude javljao, pročitajte članak Događaji ažuriranja promenljivih za bezbedno pokretanje sistema i DBX promenljivih za uputstva za rešavanje problema |
Postoji ključ registratora UEFICA2023Error
|
Simptom |
Prisutan je ključ registratora UEFICA2023Error |
|
Izazvati |
Došlo je do greške tokom primene certifikata |
|
Rezoluciju |
Detalje potražite u evidenciji sistemskih događaja. Pogledajte događaje promenljivih promenljivih za bezbedno pokretanje baze podataka i DBX za uputstva za rešavanje problema |
Resurse
Da li vam je potrebna dodatna pomoć?
Želite još opcija?
Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.
Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.
