Azure Sanal Masaüstü için Güvenli Önyükleme Sertifikası Güncelleştirmeleri

Uygulandığı Öğe
Azure Virtual Desktop

Not

  • Orijinal yayınlama tarihi: Şubat 19, 2026
  • KB Kimliği: 5080931

Not

Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:

  • AzureAzure Sanal Masaüstü yöneticileri oturum ana bilgisayarı güncelleştirmelerini yönetme

  • TAzureAzure Sanal Masaüstü dağıtımları için Güvenli Önyükleme özellikli VM'ler kullanan kuruluşlar

  • Tiçin özel görüntüler (altın görüntüler) kullanan kuruluşlar AzureAzure Sanal Masaüstü dağıtımları

Bu makalede:

Giriş

Güvenli Önyükleme, bir aygıt önyükleme sırasında yalnızca güvenilir, dijital olarak imzalanmış yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011 yılında verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026 tarihinde dolmaya başlayacaktır. Güncelleştirilmiş 2023 sertifikaları olmadan, cihazlar artık yeni keşfedilen önyükleme düzeyindeki güvenlik açıkları için yeni Güvenli Önyükleme ve Önyükleme Yöneticisi korumaları veya azaltmaları almayacaktır.

Azure Sanal Masaüstü hizmetinde kayıtlı Güvenli Önyükleme özellikli tüm VM'ler ve bunları sağlamak için kullanılan özel görüntüler, koruma altında kalmak için süresi dolmadan önce 2023 sertifikalarına güncelleştirilmelidir.  Windows cihazlarında Güvenli Önyükleme sertifikalarının süresinin ne zaman dolacağını görün

Bu benim AzureAzure Sanal Masaüstü ortamım için geçerli mi?

Senaryo Güvenli Önyükleme Etkin mi? Eylem Gerekli
Oturum Sahipleri
Güvenli Önyükleme etkinleştirilmiş Güvenilir Başlatma VM'si Evet Oturum ana bilgisayarındaki sertifikaları güncelleştirme
Güvenli Önyükleme devre dışı bırakılmış Güvenilir Başlatma VM'si Hayır Eylem gerekmez
Standart güvenlik türü VM Hayır Eylem gerekmez
1. Nesil VM Desteklenmez Eylem gerekmez
Altın İmgeler
AzureAzure Compute Gallery image with Secure Boot enabled Evet Kaynak görüntüdeki sertifikaları güncelleştirme
AzureAzure Compute Gallery image without Trusted Launch Hayır Dağıtımdan sonra güncelleştirmeleri oturum ana bilgisayarına uygula
Yönetilen görüntü (Güvenilir Başlatma'yı desteklemez) Hayır Dağıtımdan sonra güncelleştirmeleri oturum ana bilgisayarına uygula

Tam arka plan bilgileri için Güvenli Önyükleme sertifika güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuza bakın.

Envanter ve İzleme

İşlem yapmadan önce, güncelleştirme gerektiren cihazları belirlemek için ortamınızın envanterini çıkarın. Otomatik dağıtım yöntemlerine güveniyor olsanız bile, sertifikaların Haziran 2026 son tarihinden önce uygulandığını onaylamak için izleme çok önemlidir.  Aşağıda, işlem yapılması gerekip gerekmediğini belirlemek için seçenekler verilmiştir.

Option 1: Microsoft IntuneMicrosoft Intune Remediations

Microsoft Intune'e kayıtlı oturum konakları için, filonuzda Güvenli Önyükleme sertifika durumunu otomatik olarak toplamak için Intune Düzeltmeleri (Proaktif Düzeltmeler) kullanarak bir algılama komut dosyası dağıtabilirsiniz. Betik her cihazda sessizce çalışır ve Güvenli Önyükleme durumunu, sertifika güncelleştirme ilerlemesini ve cihaz ayrıntılarını Intune portalına geri bildirir; cihazlarda hiçbir değişiklik yapılmaz. Sonuçlar, filo genelinde analiz için doğrudan Intune yönetim merkezinden görüntülenebilir ve CSV'ye aktarılabilir.

Algılama betiğini dağıtmaya ilişkin adım adım yönergeler için bkz. Microsoft Intune Düzeltmeleriyle Güvenli Önyükleme Sertifikası Durumunu İzleme.

2. Seçenek: Windows Otomatik Düzeltme Eki Güvenli Önyükleme Durum Raporu

Windows Otomatik Düzeltme Eki ile kayıtlı kişisel kalıcı oturum konakları için, IntuneIntune yönetim merkezi>Raporlar>Windows Otomatik Düzeltme Eki>Windows kalite güncelleştirmeleri>Raporlar sekmesi>Güvenli Önyükleme durumu. Windows Otomatik Düzeltme Eki'nde Güvenli Önyükleme durum raporuna bakın.

Not

Windows Otomatik Düzeltme Eki, AzureAzure Sanal Masaüstü için yalnızca kişisel kalıcı sanal makineleri destekler. Çok oturumlu ana bilgisayarlar, havuza alınan kalıcı olmayan sanal makineler ve uzak uygulama akışı desteklenmez. Azure Sanal Masaüstü iş yüklerinde Windows Otomatik Düzeltme Eki'ne bakın.

Seçenek 3: Filo İzleme için Kayıt Defteri Anahtarları

Filonuzdaki bu kayıt defteri değerlerini sorgulamak için mevcut cihaz yönetimi araçlarınızı kullanın.

Kayıt Defteri Yolu Tuş Amaç
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Durumu Geçerli dağıtım durumu
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Hatası Hataları gösterir (olmamalıdır)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Olay kimliğini gösterir (mevcut olmamalıdır)
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet
\Control\SecureBoot
Mevcut Güncellemeler Bekleyen güncelleştirme bitleri

Tüm kayıt defteri anahtarı ayrıntıları için bkz. Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri: BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları.

4. Seçenek: Olay Günlüğü İzleme

Filonuzdaki Sistem olay günlüğünden bu olay kimliklerini toplamak ve izlemek için mevcut cihaz yönetim araçlarınızı kullanın.

Olay Kimliği Konum Anlamı
1808 Sistem Sertifikalar başarıyla uygulandı
1801 Sistem Güncelleştirme durumu veya hata ayrıntıları

Olay ayrıntılarının tam listesi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın.

5. Seçenek: PowerShell Stok Betiği

Güvenli Önyükleme sertifikası güncelleştirme durumunu denetlemek için Microsoft'un Örnek Güvenli Önyükleme Envanteri Veri Toplama betiğini çalıştırın. Betik, Güvenli Önyükleme durumu, UEFI CA 2023 güncelleştirme durumu, üretici yazılımı sürümü ve olay günlüğü etkinliği dahil olmak üzere çeşitli veri noktalarını toplar.

Dağıtım

Önemli

Hangi dağıtım seçeneğini tercih ettiğinizden bağımsız olarak, son tarih olan Haziran 2026'dan önce sertifikaların başarıyla uygulandığını onaylamak için cihaz filonuzu izlemenizi öneririz. Özel görüntüler için bkz. Altın Renkli Görüntü Hususları.

1. Seçenek: Otomatik UpdatesGüncelleştirmeler from Windows UpdateWindows Update (Yüksek Güvenirliğe Sahip Cihazlar)

Yeterli telemetri benzer donanım yapılandırmalarında dağıtımın başarılı olduğunu onayladığında, Microsoft cihazları Windows aylık güncelleştirmeleri aracılığıyla otomatik olarak güncelleştirir.

  • Durum: Yüksek güvenirliğe sahip cihazlar için varsayılan olarak etkindir
  • Vazgeçmek istemediğiniz sürece herhangi bir işlem yapmanız gerekmez
Kayıt Defteri Girişi HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot
Tuş Geri çevirmek için HighConfidenceOptOut = 1
Grup İlkesi Bilgisayar Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Güvenli Önyükleme>Automatic Certificate Deployment via UpdatesGüncelleştirmeler> Geri çevirmek için Devre dışı olarak ayarlayın.

Not

Öneri: Otomatik güncelleştirmeler etkinleştirilmiş olsa bile, sertifikaların uygulandığını doğrulamak için oturum ana bilgisayarlarınızı izleyin. Tüm cihazlar yüksek güvenilirlikli otomatik dağıtım için uygun olmayabilir.

Daha fazla bilgi için bkz: Otomatik dağıtım yardımları.

2. Seçenek: IT-Initiated Dağıtımı

Hemen veya denetimli dağıtım için sertifika güncelleştirmelerini el ile tetikleyin.

Yöntem Belgeler
Microsoft Intune Microsoft IntuneMicrosoft Intune method
Grup İlkesi Grup İlkesigrup ilkesi Objects (GPO) method
Kayıt Defteri Anahtarları Kayıt defteri anahtarı yöntemi
WinCS CLI WinCS API'leri

Not

  • BT tarafından başlatılan dağıtım yöntemlerini (örneğin, Intune ve GPO) aynı cihazda karıştırmayın; bunlar aynı kayıt defteri anahtarlarını denetler ve çakışabilir.
  • Sertifikaların tam olarak uygulanması için yaklaşık 48 saat ve bir veya daha fazla yeniden başlatma süresi tanıyın.

Altın İmaj Konusunda Dikkat Edilmesi Gerekenler

Güvenli Önyükleme etkinleştirilmiş Azure İşlem Galerisi görüntülerini kullanan Azure Sanal Masaüstü ortamları için, yakalamadan önce altın renkli görüntüye Güvenli Önyükleme 2023 sertifika güncelleştirmesini uygulayın. Güncelleştirmeyi uygulamak için yukarıda açıklanan yöntemlerden birini kullanın, ardından genelleştirmeden önce sertifikaların güncelleştirildiğini doğrulayın:

Not

Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Güvenilir Başlatma etkinleştirilmemiş görüntüler, görüntü üzerinden Güvenli Önyükleme sertifika güncelleştirmelerini alamaz. Bu, Güvenilir Başlatma'yı desteklemeyen yönetilen görüntüleri ve Güvenilir Başlatma'nın etkinleştirilmediği Azure İşlem Galerisi görüntülerini içerir. Bu görüntülerden sağlanan cihazlar için, yukarıdaki yöntemlerden birini kullanarak konuk işletim sisteminde güncelleştirmeleri uygulayın.

Bilinen sorunlar

Hizmet kayıt defteri anahtarı yok

Belirti HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist
Neden Cihazda sertifika güncelleştirmeleri başlatılmadı
Çözüm Windows Update aracılığıyla otomatik dağıtımı bekleyin veya yukarıda BT tarafından başlatılan dağıtım yöntemlerinden birini kullanarak el ile başlatın

Durum, uzatılmış süre için "Devam Ediyor" olarak görünüyor

Belirti UEFICA2023Durumu, birkaç gün sonra "Devam Ediyor" olarak kalır
Neden Güncelleştirme işleminin tamamlanması için cihazın yeniden başlatılması gerekebilir
Çözüm Oturum ana bilgisayarını yeniden başlatın ve 15 dakika sonra durumu yeniden denetleyin. Sorun devam ederse, sorun giderme kılavuzu için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarına bakın

UEFICA2023Hata kayıt defteri anahtarı var

Belirti UEFICA2023Hata kayıt defteri anahtarı var
Neden Sertifika dağıtımı sırasında bir hata oluştu
Çözüm Ayrıntılar için Sistem olay günlüğünü kontrol edin. Sorun giderme kılavuzu için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarına bakın

Kaynaklar