Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için rehberlik

Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Not

  • İlk yayımlanma tarihi: 26 Haziran 2025
  • KB Kimliği: 5062713

Not

Değişiklik Günlüğü
Tarihi Değiştir Açıklamayı Değiştir
Mayıs 5, 2026
30 Nisan 2026
  • "Güvenli Önyükleme sertifika güncelleştirmeleri Hyper-V sanal makinelerinde Olay Kimliği 1795 ile başarısız olabilir" bilinen sorunu çözüldü
24 Nisan 2026
  • "Güvenli Önyükleme sertifika güncelleştirmeleri Hyper-V sanal makinelerinde Olay Kimliği 1795 ile başarısız olabilir" bilinen sorunu güncelleştirildi
16 Nisan 2026
  • "Örnek Güvenli Önyükleme Envanteri Veri Toplama betiği" altındaki "Örnek güvenilirlik verileri" bölümü güncel olmadığı için kaldırıldı.
3 Mart 2026
  • "Hazırlık" bölümünün altındaki örnek çıktı, kutunun içinde kalacak şekilde yeniden biçimlendirildi.
Şubat 24, 2026
  • "Hazırlık" bölümü altındaki "Örnek Güvenli Önyükleme Envanter Veri Toplama betiği" içeriği güncellendi.
  • "Hazırlık" bölümünün altına yeni bir "Örnek çıktı" bölümü eklendi.
Şubat 23, 2026
  • "Hazırlık" bölümü altındaki "Örnek Güvenli Önyükleme Envanter Veri Toplama betiği" içeriği güncellendi.
Şubat 13, 2026
  • "Hazırlık" bölümüne "Örnek güvenilirlik verileri" öğeleri eklendi.
  • "Bekleyen olaylar 1801 ve 1808 için koleksiyon betiği" artık gerekli olmadığı için "Hazırlık" bölümünden kaldırıldı.
Şubat 3, 2026
  • Sorun giderme bölümündeki sık karşılaşılan sorunlar taşındı ve yeniden biçimlendirildi.
  • Yeni bir genel sorun eklendi: "Güvenli Önyükleme sertifika güncelleştirmeleri Hyper-V sanal makinelerinde Olay Kimliği 1795 ile başarısız olabilir".
Ocak 26, 2026
  • "Otomatik Dağıtım yardımı" altındaki metin " Her iki yardım da tanılama verileri gerektirir." olarak " Yalnızca Denetimli Özellik Piyasaya Sürme yardımı tanılama verileri gerektirir" olarak güncellendi.
11 Kasım 2025 "Güvenli Önyükleme sertifikası dağıtım desteği" altındaki iki yazım hatası düzeltildi.
  • 0x0800 - "Microsoft UEFI CA 2023" olan sertifika adı "Microsoft Option ROM UEFI CA 2023" olarak değiştirildi.
  • 0x1000 - "Microsoft Option ROM CA 2023", "Microsoft UEFI CA 2023" olarak değiştirildi.
10 Kasım 2025
  • "Yeni Sertifika" altındaki iki yazım hatası düzeltildi: " Microsoft Corporation KEK CA 2023"ten " Microsoft Corporation KEK 2K CA 2023"e ve " Microsoft Option ROM CA 2023"ten " Microsoft Option ROM UEFI CA 2023"e.
  • "Filonuzda Güvenli Önyükleme durumunu doğrulama: Güvenli Önyükleme etkin mi?" ve "Hazırlık" başlıkları altına yeni PowerShell komut dosyaları eklendi.

Bu makalede:

Genel bakış

Bu makale, cihaz filolarındaki güncelleştirmeleri etkin bir şekilde yöneten özel BT uzmanlarına sahip kuruluşlara yöneliktir. Bu makalenin büyük bir kısmı, bir kuruluşun BT departmanının yeni Güvenli Önyükleme sertifikalarını başarıyla dağıtabilmesi için gereken etkinliklere odaklanacaktır. Bu etkinlikler, üretici yazılımını test etmeyi, cihaz güncellemelerini izlemeyi, dağıtımı başlatmayı ve ortaya çıkan sorunları tanılamayı içerir. Çeşitli dağıtım ve izleme yöntemleri sunulmaktadır. Bu temel etkinliklere ek olarak, özellikle sertifika dağıtımına yönelik Kontrollü Özellik Sunumuna (CFR) katılım için istemci cihazları kabul etme seçeneği de dahil olmak üzere çeşitli dağıtım yardımları sunuyoruz.

BT uzmanları için dağıtım çalışma kitabı

Hazırlık, izleme, dağıtım ve düzeltme aracılığıyla cihaz filonuzda Güvenli Önyükleme sertifika güncelleştirmelerini planlayın ve gerçekleştirin.

Filonuzda Güvenli Önyükleme durumunu doğrulama: Güvenli Önyükleme etkin mi?

2012'den beri üretilen çoğu cihaz Güvenli Önyükleme desteğine sahiptir ve Güvenli Önyükleme etkinleştirilmiş olarak gönderilir. Bir cihazda Güvenli Önyükleme'nin etkin olduğunu doğrulamak için aşağıdakilerden birini yapın:

  • GUI Yöntemi:Başlangıç>ayarları>Gizlilik & Güvenlik> Windows Güvenliği CihazGüvenliği'ne> gidin. Cihaz güvenliği altında, Güvenli önyükleme bölümü, Güvenli Önyükleme'nin açık olduğunu göstermelidir.
  • Komut Satırı yöntemi: PowerShell'deki yükseltilmiş komut isteminde Confirm-SecureBootUEFI yazın ve ardından Enter tuşuna basın. Komut, Güvenli Önyükleme'nin açık olduğunu belirterek True değerini döndürmelidir.

Bir cihaz filosu için büyük ölçekli dağıtımlarda, BT uzmanları tarafından kullanılan yönetim yazılımının Güvenli Önyükleme etkinleştirme için bir kontrol sağlaması gerekecektir.

Örneğin, Microsoft IntuneMicrosoft Intune tarafından yönetilen cihazlarda Güvenli Önyükleme durumunu denetleme yöntemi, bir IntuneIntune özel uyumluluk betiği oluşturmak ve dağıtmaktır. IntuneIntune uyumluluk ayarları, Microsoft IntuneMicrosoft Intune ile LinuxLinux ve Windows cihazları için özel uyumluluk ayarlarını kullanma bölümünde ele alınmaktadır.

Not

  • Güvenli Önyüklemenin etkin olup olmadığını kontrol etmek için örnek Powershell betiği:
  • # Initialize result object in preparation for checking Secure Boot state 
  • $result = [PSCustomObject]@{ 
  •    SecureBootEnabled = $null 
  • try { 
  •    $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 
  •    Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 
  • } catch { 
  •    $result.SecureBootEnabled = $null 
  •    Write-Warning "Unable to determine Secure Boot status: $_" 

Güvenli Önyükleme etkin değilse aşağıdaki güncelleştirme adımları için geçerli olmadıkları için atlayabilirsiniz.

Güncelleştirmeler nasıl dağıtılır?

Güvenli Önyükleme sertifika güncelleştirmeleri için cihazları hedeflemenin birden çok yolu vardır. Ayarlar ve olaylar dahil olmak üzere dağıtım ayrıntıları bu belgenin ilerleyen bölümlerinde ele alınacaktır. Güncelleştirmeler için bir cihazı hedeflediğinizde, cihazın yeni sertifikaları uygulama işlemine başlaması gerektiğini belirtmek için cihazda bir ayar yapılır. Zamanlanmış bir görev cihazda her 12 saatte bir çalışır ve cihazın güncelleştirmeler için hedeflendiğini algılar. Görevin yaptığı işlerin ana hattı şöyledir:

  1. Windows UEFI CA 2023, DB'ye uygulanır.
  2. Cihazda DB'de Microsoft Corporation UEFI CA 2011 varsa, görev DB'ye Microsoft Option ROM UEFI CA 2023 ve Microsoft UEFI CA 2023'ü uygular.
  3. Görev daha sonra Microsoft Corporation KEK 2K CA 2023'ü ekler.
  4. Son olarak, zamanlanmış görev, Windows önyükleme yöneticisini Windows UEFI CA 2023 tarafından imzalanana güncelleştirir. Windows, önyükleme yöneticisinin uygulanabilmesi için yeniden başlatmanın gerekli olduğunu algılar. Önyükleme yöneticisi güncelleştirmesi, yeniden başlatma doğal bir şekilde gerçekleşene kadar (örneğin, aylık güncelleştirmeler uygulandığında) ertelenir ve ardından Windows yeniden önyükleme yöneticisi güncelleştirmesini uygulamayı dener.

Zamanlanmış görev bir sonraki adıma geçmeden önce yukarıdaki adımların her biri başarıyla tamamlanmalıdır. Bu işlem sırasında, olay günlükleri ve diğer durumlar dağıtımın izlenmesine yardımcı olmak için kullanılabilir olacaktır. İzleme ve olay günlükleri hakkında daha fazla ayrıntı aşağıda verilmiştir.

Güvenli Önyükleme Sertifikalarını güncelleştirmek, daha Güvenli olan 2023 Önyükleme Yöneticisi'ne gelecekteki bir güncelleştirmeyi sağlar. Önyükleme Yöneticisi'ne ilişkin belirli güncelleştirmeler gelecek sürümlerde sunulacaktır.

Dağıtım adımları

  • Hazırlık: Envanter ve test cihazları.
  • Bellenimde dikkat edilmesi gerekenler
  • İzleme: İzlemenin çalıştığını doğrulayın ve filonuzu temel alın.
  • Dağıtım: Küçük alt kümelerden başlayarak ve başarılı testlere göre genişleterek güncelleştirmeler için cihazları hedefleyin.
  • Düzeltme: Günlükleri ve satıcı desteğini kullanarak sorunları araştırın ve çözün.

Hazırlık

Donanım ve üretici yazılımı envanteri. Sistem Üreticisi, Sistem Modeli, BIOS Sürümü/Tarihi, Temel Anakart Ürün sürümü vb. temel alınarak temsili bir cihaz örneği oluşturun ve kapsamlı dağıtımdan önce bu cihazlarda güncelleştirmeleri test edin.  Bu parametreler genellikle sistem bilgilerinde (MSINFO32) bulunur. Güvenli Önyükleme güncelleştirme durumunu denetlemek ve kuruluşunuz genelinde cihazların envanterini almak için dahil edilen örnek PowerShell komutlarını kullanın.

Not

  • Bu komutlar, Güvenli Önyükleme durumu etkinleştirildiğinde geçerlidir.
  • Bu komutların çoğunun çalışması için yönetici ayrıcalıkları gerekir.

Örnek Güvenli Önyükleme Envanteri Veri Toplama betiği

Bu örnek betiği kopyalayıp yapıştırın ve ortamınız için gereken değişiklikleri yapın: Örnek Güvenli Önyükleme Envanteri Veri Toplama betiği.

Not

  • Örnek Çıkış:
  • {"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
    "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
    "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
    "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
    "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber":
    "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
    "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
    1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
    "Güven":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
    3P UEFI CA 2023 (DB), KEK 2023, Önyükleme Yöneticisi(2023)","SkipReasonKnownIssue":null,
    "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
    "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
    "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
    "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
    "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
    "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Güvenli Önyükleme Güven Düzeyleri

Güven düzeyi Anlamı Eylem Gerekli
Yüksek Güven Microsoft, bu cihaz sınıfının güncelleştirmeler için güvenli olduğunu doğruladı Sertifika güncelleştirmelerini dağıtmak güvenli
Gözlem Altında - Daha Fazla Veri Gerekli Microsoft hala bu cihazlarla ilgili Güvenli Önyükleme Dağıtımını Kullanıma Sunuyor Microsoft sınıflandırmasını bekleyin
Veri Gözlenmedi - Eylem Gerekli Cihaz sınıfı Microsoft tarafından bilinmiyor Kuruluş dağıtımı test etmeli ve planlamalıdır
Geçici olarak duraklatıldı Bilinen uyumluluk sorunları OEM BIOS Güncellemesini kontrol edin; Microsoft'un çözmesini bekleyin
Desteklenmiyor - Bilinen Sınırlama Platform veya donanım sınırlamaları İstisna olarak belge

Güvenli Önyükleme etkinse ilk adım, yakın zamanda güncelleştirilmiş veya Güvenli Önyükleme sertifikalarını güncelleştirme sürecinde olan bekleyen olaylar olup olmadığını denetlemektir. 1801 ve 1808'deki en son olaylar özellikle ilgi çekicidir. Bu olaylar, Güvenli Önyükleme DB ve DBX değişken güncelleme olaylarında ayrıntılı olarak açıklanmıştır. Olayların bekleyen güncelleştirmelerin durumunu nasıl gösterebileceğini görmek için lütfen İzleme ve dağıtım bölümünü de kontrol edin.

Sonraki adım, kuruluşunuzdaki cihazların envanterini çıkarmaktır. Temsili bir örnek oluşturmak için PowerShell komutlarıyla aşağıdaki ayrıntıları toplayın:

Not

  • Temel Tanımlayıcılar (2 değer)
  • 1. Ana Bilgisayar Adı - $env: BİLGİSAYAR ADI
  • 2. CollectionTime - Get-Date
  • Kayıt Defteri: Güvenli Önyükleme Ana Anahtarı (3 değer)
  • 3. SecureBootEnabled - Confirm-SecureBootUEFI cmdlet veya HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 5. Kullanılabilir Güncelleştirmeler - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • Kayıt Defteri: Hizmet Anahtarı (3 değer)
  • 6. UEFICA2023Durumu -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Kayıt Defteri: Cihaz Öznitelikleri (7 değer)
  • 9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 14. İşletim Sistemi - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Olay Günlükleri: Sistem Günlüğü (5 değer)
  • 16. LatestEventId - En son Güvenli Önyükleme olayı
  • 17. BucketID - 1801/1808 Olayından ayıklandı
  • 18. Güvenilirlik - 1801/1808 Olayından Alınmıştır
  • 19. Event1801Count - Etkinlik sayısı
  • 20. Event1808Count - Etkinlik sayısı
  • WMI/CIM Sorguları (4 değer)
  • 21. İşletim Sistemi - Get-CimInstance Win32_OperatingSystem
  • 22. LastBootTime - Get-CimInstance Win32_OperatingSystem
  • 23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard
  • 24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard
  •      25. (Get-CIMInstance Win32_ComputerSystem). Üretici firma
  •      26. (Get-CIMInstance Win32_ComputerSystem). Modelleme
  •     27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("AA/gg/yyyy")
  •     28. (Get-CIMInstance Win32_BaseBoard). Ürün

Bellenimde dikkat edilmesi gerekenler

Yeni Güvenli Önyükleme sertifikalarını cihaz filonuza dağıtmak, cihaz üretici yazılımının güncellemenin tamamlanmasında rol oynamasını gerektirir. Microsoft, çoğu cihaz üretici yazılımının beklendiği gibi çalışmasını beklese de, yeni sertifikaları dağıtmadan önce dikkatli testler yapılması gerekir.

Donanım envanterinizi inceleyin ve aşağıdaki benzersiz ölçütlere göre küçük, temsili bir cihaz örneği oluşturun:

  • Üretici
  • Model Numarası
  • Firmware Sürümü
  • OEM Süpürgelik versiyonu, vb.

Filonuzdaki cihazlara geniş çaplı dağıtım yapmadan önce, güncelleştirmelerin başarıyla işlendiğinden emin olmak için temsili örnek cihazlarda (üretici, model, üretici yazılımı sürümü gibi faktörlerle tanımlandığı şekilde) sertifika güncelleştirmelerini test etmenizi öneririz. Her benzersiz kategori için test edilecek örnek cihaz sayısıyla ilgili önerilen kılavuz 4 veya daha fazladır.

Bu, konuşlandırma sürecinizde güven oluşturmanıza yardımcı olacak ve daha geniş filonuz üzerinde beklenmedik etkilerden kaçınmanıza yardımcı olacaktır.

Bazı durumlarda, Güvenli Önyükleme sertifikalarını başarıyla güncellemek için bir üretici yazılımı güncellemesi gerekebilir. Bu gibi durumlarda, güncelleştirilmiş üretici yazılımının kullanılabilir olup olmadığını görmek için cihazınızın OEM'ini kontrol etmenizi öneririz.

Sanallaştırılan ortamlarda Windows

Sanal ortamda çalışan Windows için, yeni sertifikaları Güvenli Önyükleme üretici yazılımı değişkenlerine eklemenin iki yöntemi vardır:

  • Sanal ortamın oluşturucusu (AWS, AzureAzure, Hyper-V, VMware vb.) ortam için bir güncelleştirme sağlayabilir ve yeni sertifikaları sanallaştırılmış bellenime ekleyebilir. Bu, yeni sanallaştırılmış cihazlar için işe yarar.
  • Bir VM'de uzun süre çalışan Windows için, sanallaştırılmış üretici yazılımı Güvenli Önyükleme güncelleştirmelerini destekliyorsa, güncelleştirmeler diğer tüm cihazlar gibi Windows aracılığıyla uygulanabilir.

İzleme ve dağıtım

İzlemenin doğru çalıştığından ve filonun durumu hakkında önceden bilgi sahibi olduğunuzdan emin olmak için dağıtımdan önce cihaz izlemeye başlamanızı öneririz. İzleme seçenekleri aşağıda tartışılmaktadır.

Microsoft, Güvenli Önyükleme sertifika güncelleştirmelerini dağıtmak ve izlemek için birden çok yöntem sağlar.

Otomatik dağıtım yardımları

Microsoft iki dağıtım yardımı sağlar. Bu yardımlar, yeni sertifikaların filonuza konuşlandırılmasına yardımcı olmak için yararlı olabilir. Yalnızca Kontrollü Özellik Kullanıma Sunma yardımı, tanılama verilerini gerektirir.

  • Güven demetleriyle toplu güncelleştirme seçeneği: Microsoft, tanılama verilerini paylaşamayan sistemlere ve kuruluşlara fayda sağlamak için bugüne kadar paylaşılan tanılama verilerine dayalı olarak aylık güncelleştirmelere güvenilirliği yüksek cihaz gruplarını otomatik olarak ekleyebilir. Bu adım, tanılama verilerinin etkinleştirilmesini gerektirmez.

    • Tanılama verilerini paylaşabilen kuruluşlar ve sistemler için, cihazların sertifikaları başarıyla dağıtabileceği konusunda Microsoft'a görünürlük ve güven sağlar. Tanılama verilerini etkinleştirme hakkında daha fazla bilgiyi şurada bulabilirsiniz: Kuruluşunuzdaki Windows tanılama verilerini yapılandırın. Her benzersiz cihaz için (üretici, anakart sürümü, üretici yazılımı üreticisi, üretici yazılımı sürümü ve ek veri noktalarını içeren öznitelikler tarafından tanımlandığı şekilde) "kutular" oluşturuyoruz. Her klasör için başarı kanıtlarını birden fazla cihaz üzerinden izliyoruz. Yeterince başarılı güncelleştirme gördüğümüzde ve hiç hata olmadığında, "yüksek güvenilirlik" paketini dikkate alacağız ve bu verileri aylık toplu güncelleştirmelere dahil edeceğiz. Aylık güncelleştirmeler yüksek güvenilirlik demetindeki bir cihaza uygulandığında, Windows sertifikaları otomatik olarak üretici yazılımındaki UEFI Güvenli Önyükleme değişkenlerine uygular.
    • Yüksek güvenilirlik demetleri, güncelleştirmeleri doğru şekilde işleyen cihazları içerir. Doğal olarak, tüm cihazlar tanılama verileri sağlamaz ve bu, Microsoft'un bir cihazın güncelleştirmeleri doğru şekilde işleme becerisine olan güvenini sınırlayabilir.
    • Bu yardım, yüksek güvenilirliğe sahip cihazlar için varsayılan olarak etkindir ve cihaza özgü bir ayarla devre dışı bırakılabilir. Daha fazla bilgi gelecek Windows sürümlerinde paylaşılacaktır.
  • Kontrollü Özellik Sunumu (CFR): Tanılama verileri etkinleştirilmişse Microsoft tarafından yönetilen dağıtım için cihazları kabul edin.

    • Controlled Feature Rollout (CFR), kuruluş filolarındaki istemci cihazlarla kullanılabilir. Bu, cihazların gerekli tanılama verilerini Microsoft'a göndermesini ve cihazın cihazda CFR'ye izin vermeyi kabul ettiğini bildirmesini gerektirir. Kabul etmeyle ilgili ayrıntılar aşağıda açıklanmıştır.

    • Microsoft, tanılama verilerinin mevcut olduğu ve cihazların Denetimli Özellik Dağıtımı'na (CFR) katıldığı Windows cihazlarında bu yeni sertifikalara yönelik güncelleştirme sürecini yönetecektir. CFR, yeni sertifikaların dağıtımına yardımcı olsa da, kuruluşlar filolarını düzeltmek için CFR'ye güvenemeyeceklerdir - bu, bu belgede otomatik yardımlar tarafından kapsanmayan Dağıtım yöntemleri bölümünde belirtilen adımların izlenmesini gerektirecektir.

    • Sınırlamalar: CFR'nin ortamınızda çalışmamasının birkaç nedeni olabilir. Örneğin:

      • Tanılama verisi yok veya tanılama verileri CFR dağıtımının bir parçası olarak kullanılamıyor.
      • Cihazlar, Windows 11 ve Windows 10'in genişletilmiş güvenlik güncelleştirmeleri (ESU) ile desteklenen istemci sürümlerinde değildir.

Otomatik yardımların kapsamadığı dağıtım yöntemleri

Ortamınıza uygun yöntemi seçin. Aynı cihazda karıştırma yöntemlerinden kaçının:

  • Kayıt defteri anahtarları: Dağıtımı denetleme ve sonuçları izleme.
    Sertifikaların dağıtım davranışını denetlemek ve sonuçları izlemek için kullanılabilecek birden çok kayıt defteri anahtarı vardır. Buna ek olarak, yukarıda açıklanan dağıtım yardımlarını kabul etmek ve devre dışı bırakmak için iki anahtar vardır. Kayıt defteri anahtarları hakkında daha fazla bilgi için bkz. Güvenli Önyükleme için Kayıt Defteri Anahtarı Güncelleştirmeler - BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları.

  • Grup İlkesigrup ilkesi Objects (GPO): Ayarları yönetin; kayıt defteri ve olay günlükleri aracılığıyla izleyin.
    Microsoft, gelecekteki bir güncelleştirmede Grup İlkesi grup ilkesi kullanarak Güvenli Önyükleme güncelleştirmelerini yönetme konusunda destek sağlayacaktır. grup ilkesi ayarlar için olduğundan, cihaz durumunu izlemenin kayıt defteri anahtarları ve olay günlüğü girişlerini izleme gibi alternatif yöntemler kullanılarak yapılması gerektiğini unutmayın.

  • WinCS (Windows Yapılandırma Sistemi) CLI: Etki alanına katılmış istemciler için komut satırı araçlarını kullanın.
    Etki alanı yöneticileri, etki alanına katılmış Windows istemcileri ve sunucuları arasında Güvenli Önyükleme güncelleştirmelerini dağıtmak için alternatif olarak Windows İşletim Sistemi güncelleştirmelerine dahil edilen Windows Yapılandırma Sistemi'ni (WinCS) kullanabilir. Güvenli Önyükleme yapılandırmalarını bir makineye yerel olarak sorgulamak ve uygulamak için bir dizi komut satırı yardımcı programından (hem geleneksel bir yürütülebilir dosya hem de bir PowerShell modülü) oluşur. Daha fazla bilgi için aşağıdaki makalelere bakın:

  • Microsoft IntuneMicrosoft Intune/Yapılandırma YöneticisiYapılandırma Yöneticisi: Deploy PowerShell betikleri. Gelecekteki bir güncelleştirmede, IntuneIntune kullanılarak dağıtıma izin vermek için bir Yapılandırma Hizmeti Sağlayıcısı (CSP) sağlanacaktır.

Olay günlüklerini izleme

Güvenli Önyükleme sertifika güncelleştirmelerinin dağıtımına yardımcı olmak için iki yeni olay sağlanmaktadır. Bu olaylar, Güvenli Önyükleme DB ve DBX değişken güncelleme olaylarında ayrıntılı olarak açıklanmıştır:

  • Olay Kimliği: 1801
    Bu olay, güncelleştirilen sertifikaların cihaza uygulanmadığını gösteren bir hata olayıdır. Bu etkinlik, hangi cihazların hala güncelleştirilmesi gerektiğini ilişkilendirmeye yardımcı olacak, cihaz öznitelikleri de dahil olmak üzere cihaza özgü bazı ayrıntılar verir.
  • Olay Kimliği: 1808
    Bu olay, aygıtın üretici yazılımına uygulanmış gerekli yeni Güvenli Önyükleme sertifikalarına sahip olduğunu gösteren bilgilendirici bir olaydır.

Dağıtım stratejileri

Riski en aza indirmek için Güvenli Önyükleme güncelleştirmelerini bir kerede değil aşamalı olarak dağıtın. Küçük bir cihaz alt kümesiyle başlayın, sonuçları doğrulayın ve ardından ek gruplara genişletin. Cihazların alt kümeleriyle başlamanızı ve bu dağıtımlarda güven kazandıkça başka cihaz alt kümeleri eklemenizi öneririz. Örnek cihazlardaki test sonuçları ve organizasyon yapısı vb. dahil olmak üzere bir alt kümeye nelerin girdiğini belirlemek için birden çok faktör kullanılabilir.

Hangi cihazları dağıtacağınız konusundaki karar size bağlıdır. Bazı olası stratejiler burada listelenmiştir.

  • Büyük cihaz filosu: Yönettiğiniz en yaygın cihazlar için yukarıda açıklanan yardımlara güvenerek başlayın. Buna paralel olarak, kuruluşunuz tarafından yönetilen daha az yaygın cihazlara odaklanın. Küçük örnek cihazları test edin ve sınama başarılı olursa aynı türdeki diğer cihazlara dağıtın. Test işlemi sorunlara neden oluyorsa, sorunun nedenini araştırın ve düzeltme adımlarını belirleyin. Ayrıca, filonuzda daha yüksek değere sahip cihaz sınıflarını göz önünde bulundurmak ve bu cihazların erkenden güncellenmiş korumaya sahip olduğundan emin olmak için test etmeye ve dağıtmaya başlamak isteyebilirsiniz.
  • Küçük filo, büyük çeşitlilik: Yönettiğiniz filo, tek tek cihazları test etmenin engelleyici olacağı çok çeşitli makineler içeriyorsa, özellikle piyasada yaygın cihazlar olması muhtemel cihazlar için yukarıda açıklanan iki desteğe büyük ölçüde güvenmeyi düşünün. Başlangıçta günlük işlemler için kritik olan cihazlara odaklanın, test edin ve ardından dağıtın. Yardımların cihazların geri kalanına yardımcı olduğunu doğrulamak için filoyu izlerken yüksek öncelikli cihazlar listesinde aşağı doğru ilerlemeye, test etmeye ve dağıtmaya devam edin.

Notlar

  • Eski cihazlara, özellikle de üretici tarafından artık desteklenmeyen cihazlara dikkat edin. Üretici yazılımının güncelleme işlemlerini doğru şekilde gerçekleştirmesi gerekirken, bazıları gerçekleştiremeyebilir. Üretici yazılımının düzgün çalışmadığı ve cihazın artık desteklenmediği durumlarda, filonuz genelinde Güvenli Önyükleme koruması sağlamak için cihazı değiştirmeyi düşünün.
  • Son 1-2 yıl içinde üretilen yeni cihazlarda güncellenmiş sertifikalar zaten yerinde olabilir ancak sisteme Windows UEFI CA 2023 imzalı önyükleme yöneticisi uygulanmamış olabilir. Bu önyükleme yöneticisini uygulamak, her cihaz için dağıtımda kritik bir son adımdır.
  • Güncelleştirmeler için bir cihaz seçildikten sonra, güncelleştirmelerin tamamlanması biraz zaman alabilir. Sertifikaların uygulanması için tahmini 48 saat ve bir veya daha fazla yeniden başlatma.

Sık Sorulan Sorular (SSS)

Sık sorulan sorular için Güvenli Önyükleme SSS makalesine bakın.

Sorun Giderme

Daha fazla ayrıntı için Sorun Giderme belgesine bakın.

Ek kaynaklar

İpucu

Bu ek kaynaklara yer işareti ekleyin.