Updates ใบรับรองการบูตแบบปลอดภัยสําหรับเดสก์ท็อปเสมือนของ Azure
นำไปใช้กับ
วันที่เผยแพร่ต้นฉบับ: วันที่ 19 กุมภาพันธ์ 2569
KB ID: 5080931
บทความนี้มีคําแนะนําสําหรับ:
-
ผู้ดูแลระบบเดสก์ท็อปเสมือน Azure จัดการการอัปเดตโฮสต์เซสชัน
-
องค์กรที่ใช้ VM ที่เปิดใช้งานการบูตแบบปลอดภัยสําหรับการปรับใช้เดสก์ท็อปเสมือน Azure
-
องค์กรที่ใช้รูปภาพแบบกําหนดเอง (รูปภาพสีทอง) สําหรับการปรับใช้เดสก์ท็อปเสมือน Azure
ในบทความนี้:
บทนำ
การบูตแบบปลอดภัยเป็นฟีเจอร์ความปลอดภัยของเฟิร์มแวร์ UEFI ที่ช่วยรับรองว่าซอฟต์แวร์ที่เซ็นชื่อแบบดิจิทัลจะทํางานในระหว่างลําดับการบูตอุปกรณ์เท่านั้น ใบรับรองการบูตแบบปลอดภัยของ Microsoft ที่ออกในปี 2011 จะเริ่มหมดอายุในเดือนมิถุนายน 2026 หากไม่มีใบรับรอง 2023 ที่อัปเดต อุปกรณ์จะไม่ได้รับการป้องกันหรือการลดระดับการบูตแบบปลอดภัยใหม่อีกต่อไป
การบูตแบบปลอดภัยทั้งหมดที่เปิดใช้งาน VM ที่ลงทะเบียนในบริการ Azure Virtual Desktop และอิมเมจแบบกําหนดเองที่ใช้เพื่อเตรียมใช้งาน จะต้องอัปเดตเป็นใบรับรอง 2023 ก่อนที่จะหมดอายุเพื่อให้ยังคงได้รับการป้องกัน ดูเมื่อใบรับรองการบูตแบบปลอดภัยหมดอายุบนอุปกรณ์ Windows
สิ่งนี้ใช้กับสภาพแวดล้อมเดสก์ท็อปเสมือน Azure ของฉันหรือไม่
|
สถานการณ์ |
การบูตแบบปลอดภัยทํางานอยู่หรือไม่ |
ต้องดําเนินการ |
|
โฮสต์เซสชัน |
||
|
เปิดใช้งาน VM ที่เชื่อถือได้ด้วยการเปิดใช้งานการบูตแบบปลอดภัย |
ใช่ |
อัปเดตใบรับรองบนโฮสต์เซสชัน |
|
Trusted Launch VM with Secure Boot disabled |
ไม่ใช่ |
ไม่จําเป็นต้องดําเนินการใดๆ |
|
VM ชนิดความปลอดภัย Standard |
ไม่ใช่ |
ไม่จําเป็นต้องดําเนินการใดๆ |
|
รุ่นที่ 1 VM |
ไม่รองรับ |
ไม่จําเป็นต้องดําเนินการใดๆ |
|
รูปภาพสีทอง |
||
|
อิมเมจ Azure Compute Gallery ที่เปิดใช้งานการบูตแบบปลอดภัย |
ใช่ |
อัปเดตใบรับรองในรูปต้นฉบับ |
|
รูปแกลเลอรีการคํานวณ Azure โดยไม่ต้องเปิดใช้ที่เชื่อถือได้ |
ไม่ใช่ |
นําการอัปเดตไปใช้ในโฮสต์เซสชันหลังจากการปรับใช้ |
|
รูปภาพที่มีการจัดการ (ไม่สนับสนุน Trusted Launch) |
ไม่ใช่ |
นําการอัปเดตไปใช้ในโฮสต์เซสชันหลังจากการปรับใช้ |
สําหรับข้อมูลพื้นหลังที่สมบูรณ์ โปรดดู การอัปเดตใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT และองค์กร
สินค้าคงคลังและการตรวจสอบ
ก่อนที่จะดําเนินการ ให้ทํารายการสภาพแวดล้อมของคุณเพื่อระบุอุปกรณ์ที่ต้องการการอัปเดต การตรวจสอบเป็นสิ่งจําเป็นเพื่อยืนยันว่ามีการนําใบรับรองไปใช้ก่อนวันครบกําหนดของเดือนมิถุนายน 2026 แม้ว่าคุณจะใช้วิธีการปรับใช้อัตโนมัติก็ตาม ด้านล่างนี้เป็นตัวเลือกในการระบุว่าจําเป็นต้องดําเนินการหรือไม่
ตัวเลือกที่ 1: การแก้ไข Microsoft Intune
สําหรับโฮสต์เซสชันที่ลงทะเบียนใน Microsoft Intune คุณสามารถปรับใช้สคริปต์การตรวจหาโดยใช้ Intune การแก้ไข (การแก้ไขเชิงรุก) เพื่อรวบรวมสถานะใบรับรองการบูตแบบปลอดภัยในกองข้อความของคุณโดยอัตโนมัติ สคริปต์จะทํางานโดยไม่แจ้งในแต่ละอุปกรณ์ และรายงานสถานะการบูตแบบปลอดภัย ความคืบหน้าของการอัปเดตใบรับรอง และรายละเอียดอุปกรณ์กลับไปยังพอร์ทัล Intune — จะไม่มีการเปลี่ยนแปลงใดๆ กับอุปกรณ์ คุณสามารถดูและส่งออกผลลัพธ์เป็น CSV ได้โดยตรงจากศูนย์การจัดการ Intune สําหรับการวิเคราะห์ทั่วทั้งกลุ่ม
สําหรับคําแนะนําทีละขั้นตอนเกี่ยวกับการปรับใช้สคริปต์การตรวจหา ให้ดู การตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัยด้วยการแก้ไข Microsoft Intune
ตัวเลือกที่ 2: รายงานสถานะการบูตแบบปลอดภัยของ Windows Autopatch
สําหรับโฮสต์เซสชันถาวรส่วนบุคคลที่ลงทะเบียนด้วย Windows Autopatch ให้ไปที่ ศูนย์การจัดการ Intune > รายงาน > การส่งอัตโนมัติของ Windows > การอัปเดตคุณภาพ Windows > แท็บ รายงาน > สถานะการบูตแบบปลอดภัย ดูรายงานสถานะการบูตแบบปลอดภัยใน Windows Autopatch
หมายเหตุ: Windows Autopatch รองรับเฉพาะเครื่องเสมือนแบบถาวรส่วนบุคคลสําหรับเดสก์ท็อปเสมือน Azure เท่านั้น ไม่รองรับโฮสต์แบบหลายเซสชัน เครื่องเสมือนแบบพูลแบบถาวร และการสตรีมแอประยะไกล ดูที่ การส่งอัตโนมัติของ Windows ในปริมาณงานเดสก์ท็อปเสมือน Azure
ตัวเลือกที่ 3: รีจิสทรีคีย์สําหรับการตรวจสอบกองเรือ
ใช้เครื่องมือการจัดการอุปกรณ์ที่มีอยู่ของคุณเพื่อสอบถามค่ารีจิสทรีเหล่านี้ระหว่างกลุ่มของคุณ
|
เส้นทางรีจิสทรี |
คีย์ |
วัตถุ ประสงค์ |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
สถานะการปรับใช้ปัจจุบัน |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
ระบุข้อผิดพลาด (ไม่ควรมีอยู่) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
ระบุ ID เหตุการณ์ (ไม่ควรมีอยู่) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
บิตการอัปเดตที่ค้างอยู่ |
สําหรับรายละเอียดรีจิสทรีคีย์ทั้งหมด โปรดดู การอัปเดตรีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย: อุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดย IT
ตัวเลือกที่ 4: การตรวจสอบบันทึกเหตุการณ์
ใช้เครื่องมือการจัดการอุปกรณ์ที่มีอยู่ของคุณเพื่อรวบรวมและตรวจสอบรหัสเหตุการณ์เหล่านี้จากบันทึกเหตุการณ์ของระบบข้ามกลุ่มของคุณ
|
ID เหตุการณ์ |
ตำแหน่งที่ตั้ง |
ความหมาย |
|
1808 |
ระบบ |
นําใบรับรองไปใช้เรียบร้อยแล้ว |
|
1801 |
ระบบ |
อัปเดตสถานะหรือรายละเอียดข้อผิดพลาด |
สําหรับรายการทั้งหมดของรายละเอียดกิจกรรม โปรดดู เหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot
ตัวเลือกที่ 5: สคริปต์สินค้าคงคลังของ PowerShell
เรียกใช้ตัวอย่างสคริปต์การเก็บรวบรวมข้อมูลสําหรับบูตแบบปลอดภัยของ Microsoft เพื่อตรวจสอบสถานะการอัปเดตใบรับรองการบูตแบบปลอดภัย สคริปต์จะรวบรวมจุดข้อมูลหลายจุดรวมถึงสถานะการบูตแบบปลอดภัย สถานะการอัปเดต UEFI CA 2023 เวอร์ชันเฟิร์มแวร์ และกิจกรรมบันทึกเหตุการณ์
การปรับใช้
สิ่งสำคัญ: ไม่ว่าคุณจะเลือกตัวเลือกการปรับใช้ใด เราขอแนะนําให้ตรวจสอบกองอุปกรณ์ของคุณเพื่อยืนยันว่านําใบรับรองไปใช้ได้สําเร็จก่อนวันครบกําหนดของเดือนมิถุนายน 2026 สําหรับรูปแบบกําหนดเอง ให้ดู ข้อควรพิจารณาเกี่ยวกับรูปภาพสีทอง
ตัวเลือกที่ 1: Updates อัตโนมัติจาก Windows Update (อุปกรณ์ที่มีความเชื่อมั่นสูง)
Microsoft จะอัปเดตอุปกรณ์โดยอัตโนมัติผ่านการอัปเดตรายเดือนของ Windows เมื่อการวัดและส่งข้อมูลทางไกลที่เพียงพอยืนยันว่าการปรับใช้การกําหนดค่าฮาร์ดแวร์ที่คล้ายกันเสร็จสมบูรณ์
-
สถานะ: เปิดใช้งานตามค่าเริ่มต้นสําหรับอุปกรณ์ที่มีความเชื่อมั่นสูง
-
ไม่ต้องดําเนินการใดๆ เว้นแต่ว่าคุณต้องการปฏิเสธเข้าร่วม
|
รี จิ สทรี |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
คีย์ |
HighConfidenceOptOut = 1 เพื่อปฏิเสธการเข้าร่วม |
|
นโยบายกลุ่ม |
การกําหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ > คอมโพเนนต์ของ Windows > การปรับใช้ใบรับรองอัตโนมัติ > ผ่าน Updates > ตั้งค่าเป็นปิดใช้งานเพื่อปฏิเสธการเข้าร่วม |
คำ แนะ นำ: แม้ว่าจะเปิดใช้งานการอัปเดตอัตโนมัติอยู่ ก็ตาม ให้ตรวจสอบโฮสต์เซสชันของคุณเพื่อตรวจสอบว่ามีการนําใบรับรองไปใช้แล้ว อุปกรณ์ไม่ได้ทั้งหมดอาจมีสิทธิ์ในการปรับใช้อัตโนมัติที่มีความเชื่อมั่นสูง
สําหรับข้อมูลเพิ่มเติม ให้ดู ตัวช่วยการปรับใช้อัตโนมัติ
ตัวเลือกที่ 2: การปรับใช้ IT-Initiated
ทริกเกอร์การอัปเดตใบรับรองด้วยตนเองสําหรับการเผยแพร่ทันทีหรือที่ควบคุม
|
วิธี |
คู่มือ |
|
Microsoft Intune |
|
|
นโยบายกลุ่ม |
|
|
รีจิสทรีคีย์ |
|
|
WinCS CLI |
หมายเหตุ:
-
ห้ามใช้วิธีการปรับใช้ที่เริ่มต้นโดย IT ร่วมกัน (เช่น Intune และ GPO) บนอุปกรณ์เครื่องเดียวกัน โดยจะควบคุมรีจิสทรีคีย์เดียวกันและอาจขัดแย้งกันได้
-
ใช้เวลาประมาณ 48 ชั่วโมงในการเริ่มระบบใหม่อย่างน้อยหนึ่งครั้งเพื่อให้ใบรับรองมีผลอย่างสมบูรณ์
ข้อควรพิจารณาเกี่ยวกับภาพสีทอง
สําหรับสภาพแวดล้อมเดสก์ท็อปเสมือน Azure โดยใช้อิมเมจ Azure Compute Gallery ที่เปิดใช้งาน Secure Boot ให้ใช้การอัปเดตใบรับรอง Secure Boot 2023 กับภาพสีทองก่อนที่จะจับภาพ ใช้วิธีการใดวิธีการหนึ่งที่อธิบายไว้ข้างต้นเพื่อใช้การอัปเดต จากนั้นตรวจสอบว่าใบรับรองได้รับการอัปเดตก่อนที่จะกําหนดให้เป็นแบบทั่วไป:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
รูปภาพที่ไม่มีการเปิดใช้งาน Trusted Launch ไม่สามารถรับการอัปเดตใบรับรองการบูตแบบปลอดภัยผ่านทางรูปได้ ซึ่งรวมถึงรูปภาพที่มีการจัดการ ซึ่งไม่สนับสนุน Trusted Launch และ Azure อิมเมจแกลเลอรีการคํานวณที่เปิดใช้งานที่เชื่อถือได้ สําหรับอุปกรณ์ที่เตรียมใช้งานจากรูปภาพเหล่านี้ ให้ใช้การอัปเดตในระบบปฏิบัติการ Guest โดยใช้หนึ่งในวิธีการข้างต้น
ปัญหาที่ทราบแล้ว
ไม่มีรีจิสทรีคีย์การให้บริการ
|
อาการ |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\ไม่มีเส้นทางการให้บริการอยู่ |
|
สาเหตุ |
ไม่ได้เริ่มต้นการอัปเดตใบรับรองบนอุปกรณ์ |
|
การแก้ไขปัญหา |
รอการปรับใช้อัตโนมัติผ่าน Windows Update หรือเริ่มด้วยตนเองโดยใช้หนึ่งในวิธีการปรับใช้ที่เริ่มต้นโดย IT ด้านบน |
สถานะแสดง "InProgress" สําหรับรอบระยะเวลาที่ขยาย
|
อาการ |
สถิติ UEFICA2023 ยังคงเป็น "InProgress" หลังจากหลายวัน |
|
สาเหตุ |
อุปกรณ์อาจจําเป็นต้องเริ่มระบบใหม่เพื่อให้กระบวนการอัปเดตเสร็จสมบูรณ์ |
|
การแก้ไขปัญหา |
รีสตาร์ตโฮสต์เซสชันและตรวจสอบสถานะอีกครั้งหลังจาก 15 นาที หากปัญหายังคงอยู่ ดูที่ เหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot สําหรับคําแนะนําในการแก้ไขปัญหา |
มีรีจิสทรีคีย์ UEFICA2023Error อยู่
|
อาการ |
มีรีจิสทรีคีย์ UEFICA2023Error |
|
สาเหตุ |
เกิดข้อผิดพลาดระหว่างการปรับใช้ใบรับรอง |
|
การแก้ไขปัญหา |
ตรวจสอบบันทึกเหตุการณ์ของระบบเพื่อดูรายละเอียด ดูเหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับการแก้ไขปัญหา |
แหล่งข้อมูล
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
