Windows 365 için Güvenli Önyükleme Sertifikası Güncelleştirmeleri

Not

  • Orijinal yayınlama tarihi: Şubat 19, 2026
  • KB Kimliği: 5080914

Not

Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:

  • Bulut PC'leri yöneten Windows 365 yöneticileri.

  • Güvenli Önyükleme kullanan kuruluşlar, Windows 365 dağıtımları için Bulut PC'leri etkinleştirdi.

  • TWindows 365Windows 365 dağıtımları için özel görüntüler kullanan kuruluşlar.

Bu makalede:

Giriş

Güvenli Önyükleme, bir cihaz önyükleme sırasında yalnızca güvenilir, dijital olarak imzalanmış yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011 yılında verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026 tarihinde dolmaya başlayacaktır. Güncelleştirilmiş 2023 sertifikaları olmadan, cihazlar artık yeni keşfedilen önyükleme düzeyindeki güvenlik açıkları için yeni Güvenli Önyükleme ve Önyükleme Yöneticisi korumaları veya azaltmaları almayacaktır.

Windows 365 hizmetinde sağlanan tüm Güvenli Önyükleme özellikli Bulut bilgisayarlar ve bunları sağlamak için kullanılan özel görüntüler, korunmaya devam etmek için süresi dolmadan önce 2023 sertifikalarına güncelleştirilmelidir. Windows cihazlarında Güvenli Önyükleme sertifikalarının süresinin ne zaman dolacağını öğrenin.

Bu, Windows 365 ortamım için geçerli mi?

Senaryo Güvenli Önyükleme Etkin mi? Eylem Gerekli
Bulut PC'ler
Güvenli Önyükleme etkinleştirilmiş bulut bilgisayar Evet Bulut PC'de sertifikaları güncelleştirme
Güvenli Önyükleme devre dışı bırakılmış bulut PC Hayır Eylem gerekmez
Resimler
AzureAzure Compute Gallery image with Secure Boot enabled Evet Genelleştirmeden önce kaynak görüntüdeki sertifikaları güncelleştirme
AzureAzure Compute Gallery image without Trusted Launch Hayır Sağlamadan sonra Cloud PC'de güncelleştirmeleri uygulayın
Yönetilen görüntü (Güvenilir Başlatma'yı desteklemez) Hayır Sağlamadan sonra Cloud PC'de güncelleştirmeleri uygulayın

Tam arka plan bilgileri için Güvenli Önyükleme sertifika güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuza bakın.

Envanter ve İzleme

İşlem yapmadan önce, güncelleştirme gerektiren cihazları belirlemek için ortamınızın envanterini çıkarın. Otomatik dağıtım yöntemlerine güveniyor olsanız bile, sertifikaların Haziran 2026 son tarihinden önce uygulandığını onaylamak için izleme çok önemlidir. Aşağıda, işlem yapılması gerekip gerekmediğini belirlemek için seçenekler verilmiştir.

Option 1: Microsoft IntuneMicrosoft Intune Remediations

Microsoft Intune'e kayıtlı Bulut PC'ler için, filonuz genelinde Güvenli Önyükleme sertifika durumunu otomatik olarak toplamak için Intune Düzeltmeleri (Proaktif Düzeltmeler) kullanarak bir algılama komut dosyası dağıtabilirsiniz. Betik her cihazda sessizce çalışır ve Güvenli Önyükleme durumunu, sertifika güncelleştirme ilerlemesini ve cihaz ayrıntılarını Intune portalına geri bildirir; cihazlarda hiçbir değişiklik yapılmaz. Sonuçlar, filo genelinde analiz için doğrudan Intune yönetim merkezinden görüntülenebilir ve CSV'ye aktarılabilir.

Algılama betiğini dağıtmaya ilişkin adım adım yönergeler için bkz. Microsoft Intune Düzeltmeleriyle Güvenli Önyükleme Sertifikası Durumunu İzleme.

2. Seçenek: Windows Otomatik Düzeltme Eki Güvenli Önyükleme Durum Raporu

Windows Otomatik Düzeltme Eki ile kayıtlı Bulut bilgisayarlar için Intune yönetim merkezine> gidin WindowsOtomatik Düzeltme Eki>Raporlar>Windows kalite güncelleştirmeleri>Raporlar sekmesi>Güvenli Önyükleme durumu. Windows Otomatik Düzeltme Eki'nde Güvenli Önyükleme durum raporuna bakın.

Not: Windows Otomatik Düzeltme Ekini Windows 365 ile kullanmak için Bulut bilgisayarların Windows Otomatik Düzeltme hizmetine kayıtlı olması gerekir. Windows 365 Enterprise iş yüklerinde Windows Otomatik Düzeltme Eki'ne bakın.

Seçenek 3: Filo İzleme için Kayıt Defteri Anahtarları

Filonuzdaki bu kayıt defteri değerlerini sorgulamak için mevcut cihaz yönetimi araçlarınızı kullanın.

Kayıt Defteri Yolu Tuş Amaç
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Durumu Geçerli dağıtım durumu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Hatası Hataları gösterir (olmamalıdır)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Olay kimliğini gösterir (mevcut olmamalıdır)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Mevcut Güncellemeler Bekleyen güncelleştirme bitleri

Tüm kayıt defteri anahtarı ayrıntıları için bkz. Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri.

4. Seçenek: Olay Günlüğü İzleme

Filonuzdaki Sistem olay günlüğünden bu olay kimliklerini toplamak ve izlemek için mevcut cihaz yönetim araçlarınızı kullanın.

Olay Kimliği Konum Anlamı
1808 Sistem Sertifikalar başarıyla uygulandı
1801 Sistem Güncelleştirme durumu veya hata ayrıntıları

Olay ayrıntılarının tam listesi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın.

5. Seçenek: PowerShell Stok Betiği

Güvenli Önyükleme sertifikası güncelleştirme durumunu denetlemek için Microsoft'un Örnek Güvenli Önyükleme Envanteri Veri Toplama betiğini çalıştırın. Betik, Güvenli Önyükleme durumu, UEFI CA 2023 güncelleştirme durumu, üretici yazılımı sürümü ve olay günlüğü etkinliği dahil olmak üzere çeşitli veri noktalarını toplar.

Dağıtım

Önemli

Hangi dağıtım seçeneğini tercih ettiğinizden bağımsız olarak, son tarih olan Haziran 2026'dan önce sertifikaların başarıyla uygulandığını onaylamak için cihaz filonuzu izlemenizi öneririz. Özel resimler için bkz: Özel Resim Dikkat Edilmesi Gerekenler.

1. Seçenek: Otomatik UpdatesGüncelleştirmeler from Windows UpdateWindows Update (Yüksek Güvenirliğe Sahip Cihazlar)

Yeterli telemetri benzer donanım yapılandırmalarında dağıtımın başarılı olduğunu onayladığında, Microsoft cihazları Windows aylık güncelleştirmeleri aracılığıyla otomatik olarak güncelleştirir.

  • Durum: Yüksek güvenilirliğe sahip cihazlar için varsayılan olarak etkindir
  • Vazgeçmek istemediğiniz sürece herhangi bir işlem yapmanız gerekmez
Kayıt Defteri Girişi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tuş Geri çevirmek için HighConfidenceOptOut = 1
Grup İlkesi Bilgisayar Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Güvenli Önyükleme>Automatic Certificate Deployment via UpdatesGüncelleştirmeler> Geri çevirmek için Devre Dışı olarak ayarlayın

Not

Öneri: Otomatik güncelleştirmeler etkinleştirilmiş olsa bile sertifikaların uygulandığını doğrulamak için Bulut PC'lerinizi izleyin. Tüm cihazlar yüksek güvenilirlikli otomatik dağıtım için uygun olmayabilir.

Daha fazla bilgi için bkz: Otomatik dağıtım yardımları.

2. Seçenek: IT-Initiated Dağıtımı

Hemen veya denetimli dağıtım için sertifika güncelleştirmelerini el ile tetikleyin.

Yöntem Belgeler
Microsoft Intune Microsoft IntuneMicrosoft Intune method
Grup İlkesi GPO yöntemi
Kayıt Defteri Anahtarları Kayıt defteri anahtarı yöntemi
WinCS CLI WinCS API'leri

Not

  • BT tarafından başlatılan dağıtım yöntemlerini (örneğin, Intune ve GPO) aynı cihazda karıştırmayın; bunlar aynı kayıt defteri anahtarlarını denetler ve çakışabilir.
  • Sertifikaların tam olarak uygulanması için yaklaşık 48 saat ve bir veya daha fazla yeniden başlatma süresi tanıyın.

Özel Resim Konusunda Dikkat Edilmesi Gerekenler

Özel resimler tam olarak kuruluşunuz tarafından yönetilir. Özel görüntüye Güvenli Önyükleme sertifika güncelleştirmelerini uygulamak ve sağlama için kullanmadan önce yeniden yüklemek sizin sorumluluğunuzdadır.

Kaynak görüntüye Güvenli Önyükleme sertifika güncelleştirmelerinin uygulanması yalnızca Güvenilir Başlatma ve Güvenli Önyükleme'yi destekleyen Azure İşlem Galerisi görüntüleri (önizleme) ile desteklenir. Yönetilen görüntüler Güvenli Önyükleme'yi desteklemez, bu nedenle sertifika güncelleştirmeleri görüntü düzeyinde uygulanamaz. Yönetilen görüntülerden sağlanan Bulut PC'ler için, yukarıdaki dağıtım yöntemlerinden birini kullanarak güncellemeleri doğrudan Bulut PC'ye uygulayın.

Yeni bir özel resmi genelleştirmeden önce, sertifikaların güncelleştirildiğini doğrulayın:

Not

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Bilinen Sorunlar

Hizmet kayıt defteri anahtarı yok

Belirti HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing yolu yok
Neden Cihazda sertifika güncelleştirmeleri başlatılmadı
Çözüm Windows Update aracılığıyla otomatik dağıtımı bekleyin veya yukarıda BT tarafından başlatılan dağıtım yöntemlerinden birini kullanarak el ile başlatın

Durum, uzatılmış süre için "Devam Ediyor" olarak görünüyor

Belirti UEFICA2023Durumu, birkaç gün sonra "Devam Ediyor" olarak kalır
Neden Güncelleştirme işleminin tamamlanması için cihazın yeniden başlatılması gerekebilir
Çözüm Bulut PC'yi yeniden başlatın ve 15 dakika sonra durumu yeniden denetleyin. Sorun devam ederse, sorun giderme kılavuzu için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarına bakın

UEFICA2023Hata kayıt defteri anahtarı var

Belirti UEFICA2023Hata kayıt defteri anahtarı var
Neden Sertifika dağıtımı sırasında bir hata oluştu
Çözüm Ayrıntılar için Sistem olay günlüğünü kontrol edin. Sorun giderme kılavuzu için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarına bakın

Kaynaklar