Azure Sanal Masaüstü için Güvenli Önyükleme Sertifikası Güncelleştirmeler
Uygulandığı Öğe
Özgün yayımlama tarihi: 19 Şubat 2026, İstanbul
KB kimliği: 5080931
Bu makalede aşağıdakiler için yönergeler verilmiştir:
-
Oturum konağı güncelleştirmelerini yöneten Sanal Masaüstü yöneticileri Azure
-
Azure Sanal Masaüstü dağıtımları için Güvenli Önyükleme özellikli VM'leri kullanan kuruluşlar
-
Azure Sanal Masaüstü dağıtımları için özel görüntüler (altın görüntüler) kullanan kuruluşlar
Bu makalede:
Giriş
Güvenli Önyükleme, bir cihaz önyükleme sırası sırasında yalnızca güvenilir, dijital olarak imzalanan yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011'de verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026'da dolmaya başlar. Güncelleştirilmiş 2023 sertifikaları olmadan, cihazlar artık yeni bulunan önyükleme düzeyi güvenlik açıkları için yeni Güvenli Önyükleme ve Önyükleme Yöneticisi korumaları veya risk azaltmaları almaz.
Azure Sanal Masaüstü hizmetinde kayıtlı tüm Güvenli Önyükleme özellikli VM'ler ve bunları sağlamak için kullanılan özel görüntülerin, korunmaya devam etmek için süre sonu öncesinde 2023 sertifikalarına güncelleştirilmesi gerekir. Bkz. Windows cihazlarında Güvenli Önyükleme sertifikalarının süresi dolduğunda
Bu, Azure Sanal Masaüstü ortamım için geçerli mi?
|
Senaryo |
Güvenli Önyükleme Etkin mi? |
Eylem Gerekli |
|
Oturum Konakları |
||
|
Güvenli Önyükleme etkinleştirilmiş Güvenilir Başlatma VM'si |
Evet |
Oturum konağındaki sertifikaları güncelleştirme |
|
Güvenli Önyükleme devre dışı bırakılmış Güvenilir Başlatma VM'si |
Hayır |
Eylem gerekmez |
|
Standart güvenlik türü VM |
Hayır |
Eylem gerekmez |
|
1. Nesil VM |
Desteklenmiyor |
Eylem gerekmez |
|
Altın Renkli Görüntüler |
||
|
Güvenli Önyükleme etkin Azure İşlem Galerisi görüntüsü |
Evet |
Kaynak görüntüdeki sertifikaları güncelleştirme |
|
Güvenilir Başlatma olmadan İşlem Galerisi görüntüsünü Azure |
Hayır |
Dağıtımdan sonra oturum konağına güncelleştirmeleri uygulama |
|
Yönetilen görüntü (Güvenilen Başlatmayı desteklemez) |
Hayır |
Dağıtımdan sonra oturum konağına güncelleştirmeleri uygulama |
Tam arka plan bilgileri için bkz. Güvenli Önyükleme sertifika güncelleştirmeleri: BT uzmanları ve kuruluşları için yönergeler.
Envanter ve İzleme
Eylem gerçekleştirmeden önce, güncelleştirme gerektiren cihazları belirlemek için ortamınızın envanterini oluşturun. Otomatik dağıtım yöntemlerini kullanıyor olsanız bile sertifikaların Haziran 2026 son tarihinden önce uygulandığını onaylamak için izleme önemlidir. Aşağıda eylem yapılması gerekip gerekmediğini belirleme seçenekleri yer almaktadır.
Seçenek 1: düzeltmeleri Microsoft Intune
Microsoft Intune kayıtlı oturum konakları için, filonuzda Güvenli Önyükleme sertifika durumunu otomatik olarak toplamak için Intune Düzeltmeleri (Proaktif Düzeltmeler) kullanarak bir algılama betiği dağıtabilirsiniz. Betik her cihazda sessizce çalışır ve Güvenli Önyükleme durumunu, sertifika güncelleştirme ilerleme durumunu ve cihaz ayrıntılarını Intune portala geri bildirir; cihazlarda hiçbir değişiklik yapılmaz. Sonuçlar, filo genelinde analiz için doğrudan Intune yönetim merkezinden görüntülenebilir ve CSV'ye aktarılabilir.
Algılama betiğini dağıtmayla ilgili adım adım yönergeler için bkz. Microsoft Intune Düzeltmeleri ile Güvenli Önyükleme Sertifikası Durumunu İzleme.
Seçenek 2: Windows Otomatik Düzeltme Eki Güvenli Önyükleme Durumu Raporu
Windows Otomatik Düzeltme Eki'ne kayıtlı kişisel kalıcı oturum konakları için, Intune yönetim merkezi > Raporlar > Windowskalite güncelleştirmeleri > Windows kalite güncelleştirmeleri > Raporlar sekmesine gidin > Güvenli Önyükleme durumu. Bkz. Windows Otomatik Düzeltme Eki'nde Güvenli Önyükleme durumu raporu.
Not: Windows Autopatch, Azure Sanal Masaüstü için yalnızca kişisel kalıcı sanal makineleri destekler. Çok oturumlu konaklar, havuza alınan kalıcı olmayan sanal makineler ve uzak uygulama akışı desteklenmez. Bkz. Azure Sanal Masaüstü iş yüklerinde Windows Otomatik Düzeltme Eki.
Seçenek 3: Filo İzleme için Kayıt Defteri Anahtarları
Filonuzda bu kayıt defteri değerlerini sorgulamak için mevcut cihaz yönetim araçlarınızı kullanın.
|
Kayıt Defteri Yolu |
Anahtar |
Amaç |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Geçerli dağıtım durumu |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Hata |
Hataları gösterir (mevcut olmamalıdır) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Olay Kimliğini gösterir (mevcut olmamalıdır) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bekleyen güncelleştirme bitleri |
Tam kayıt defteri anahtarı ayrıntıları için bkz. Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri: BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları.
Seçenek 4: Olay Günlüğü İzleme
Filonuzda sistem olay günlüğünden bu olay kimliklerini toplamak ve izlemek için mevcut cihaz yönetim araçlarınızı kullanın.
|
Olay Kimliği |
Konum |
Anlamı |
|
1808 |
Sistem |
Sertifikalar başarıyla uygulandı |
|
1801 |
Sistem |
Güncelleştirme durumu veya hata ayrıntıları |
Olay ayrıntılarının tam listesi için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.
Seçenek 5: PowerShell Envanter Betiği
Güvenli Önyükleme sertifikası güncelleştirme durumunu denetlemek için Microsoft'un Örnek Güvenli Önyükleme Envanteri Veri Toplama betiğini çalıştırın. Betik Güvenli Önyükleme durumu, UEFI CA 2023 güncelleştirme durumu, üretici yazılımı sürümü ve olay günlüğü etkinliği gibi çeşitli veri noktalarını toplar.
Dağıtım
Önemli: Hangi dağıtım seçeneğini belirlediğinizden bağımsız olarak, sertifikaların Haziran 2026 son tarihinden önce başarıyla uygulandığını onaylamak için cihaz filonuzu izlemenizi öneririz. Özel görüntüler için bkz. Altın Görüntü ile İlgili Dikkat Edilmesi Gerekenler.
Seçenek 1: Windows Update'dan otomatik Güncelleştirmeler (Yüksek Güvenilirlikli Cihazlar)
Microsoft, yeterli telemetri benzer donanım yapılandırmalarında başarılı dağıtımı onayladığında cihazları Windows aylık güncelleştirmeleri aracılığıyla otomatik olarak güncelleştirir.
-
Durum: Yüksek güvenilirlikli cihazlar için varsayılan olarak etkindir
-
Geri çevirmek istemediğiniz sürece eylem gerekmez
|
Kayıt defteri |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Anahtar |
HighConfidenceOptOut = 1'i devre dışı bırakma |
|
Grup İlkesi |
Geri çevirmek için Güncelleştirmeler > Devre Dışı Olarak Ayarla aracılığıyla Güvenli Önyükleme > Otomatik Sertifika Dağıtımı >Windows Bileşenleri > Bilgisayar Yapılandırması > Yönetim Şablonları. |
Öneri: Otomatik güncelleştirmeler etkinleştirildiğinde bile, sertifikaların uygulandığını doğrulamak için oturum konaklarınızı izleyin. Tüm cihazlar yüksek güvenilirlikli otomatik dağıtım için uygun olmayabilir.
Daha fazla bilgi için bkz. Otomatik dağıtım yardımları.
2. Seçenek: dağıtım IT-Initiated
Anında veya denetimli dağıtım için sertifika güncelleştirmelerini el ile tetikleme.
|
Yöntem |
Belgeler |
|
Microsoft Intune |
|
|
Grup İlkesi |
|
|
Kayıt Defteri Anahtarları |
|
|
WinCS CLI |
Notlar:
-
BT tarafından başlatılan dağıtım yöntemlerini (örneğin, Intune ve GPO) aynı cihazda karıştırmayın; bunlar aynı kayıt defteri anahtarlarını denetler ve çakışabilir.
-
Sertifikaların tam olarak uygulanması için yaklaşık 48 saat ve bir veya daha fazla yeniden başlatmaya izin verin.
Altın Görüntü ile İlgili Dikkat Edilmesi Gerekenler
Güvenli Önyükleme etkin Azure İşlem Galerisi görüntülerini kullanan Azure Sanal Masaüstü ortamları için, yakalamadan önce Secure Boot 2023 sertifika güncelleştirmesini altın görüntüye uygulayın. Güncelleştirmeyi uygulamak için yukarıda açıklanan yöntemlerden birini kullanın, ardından genelleştirmeden önce sertifikaların güncelleştirildiğinden emin olun:
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Güvenilir Başlatma etkinleştirilmemiş görüntüler, görüntü aracılığıyla Güvenli Önyükleme sertifikası güncelleştirmelerini alamaz. Bu, Güvenilen Başlatma'yı desteklemeyen yönetilen görüntüleri ve Güvenilir Başlatma'nın etkinleştirilmediği İşlem Galerisi görüntülerini Azure içerir. Bu görüntülerden sağlanan cihazlar için, yukarıdaki yöntemlerden birini kullanarak konuk işletim sistemine güncelleştirmeleri uygulayın.
Bilinen sorunlar
Hizmet kayıt defteri anahtarı yok
|
Belirti |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing yolu yok |
|
Nedeni |
Sertifika güncelleştirmeleri cihazda başlatılmadı |
|
Çözüm |
Windows Update aracılığıyla otomatik dağıtımı bekleyin veya yukarıdaki BT tarafından başlatılan dağıtım yöntemlerinden birini kullanarak el ile başlatma |
Durum, uzun süre için "InProgress" değerini gösterir
|
Belirti |
UEFICA2023Status, birden çok gün sonra "InProgress" olarak kalır |
|
Nedeni |
Güncelleştirme işlemini tamamlamak için cihazın yeniden başlatılması gerekebilir |
|
Çözüm |
Oturum ana bilgisayarını yeniden başlatın ve 15 dakika sonra durumu yeniden denetleyin. Sorun devam ederse sorun giderme kılavuzu için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları |
UEFICA2023Error kayıt defteri anahtarı var
|
Belirti |
UEFICA2023Error kayıt defteri anahtarı var |
|
Nedeni |
Sertifika dağıtımı sırasında bir hata oluştu |
|
Çözüm |
Ayrıntılar için Sistem olay günlüğünü denetleyin. Sorun giderme kılavuzu için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları |
Kaynaklar
Daha fazla yardıma mı ihtiyacınız var?
Daha fazla seçenek mi istiyorsunuz?
Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.
Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.
