Not
- Orijinal yayınlama tarihi: Şubat 19, 2026
- KB Kimliği: 5080931
Not
Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:
AzureAzure Sanal Masaüstü yöneticileri oturum ana bilgisayarı güncelleştirmelerini yönetme
TAzureAzure Sanal Masaüstü dağıtımları için Güvenli Önyükleme özellikli VM'ler kullanan kuruluşlar
Tiçin özel görüntüler (altın görüntüler) kullanan kuruluşlar AzureAzure Sanal Masaüstü dağıtımları
Bu makalede:
Giriş
Güvenli Önyükleme, bir aygıt önyükleme sırasında yalnızca güvenilir, dijital olarak imzalanmış yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011 yılında verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026 tarihinde dolmaya başlayacaktır. Güncelleştirilmiş 2023 sertifikaları olmadan, cihazlar artık yeni keşfedilen önyükleme düzeyindeki güvenlik açıkları için yeni Güvenli Önyükleme ve Önyükleme Yöneticisi korumaları veya azaltmaları almayacaktır.
Azure Sanal Masaüstü hizmetinde kayıtlı Güvenli Önyükleme özellikli tüm VM'ler ve bunları sağlamak için kullanılan özel görüntüler, koruma altında kalmak için süresi dolmadan önce 2023 sertifikalarına güncelleştirilmelidir. Windows cihazlarında Güvenli Önyükleme sertifikalarının süresinin ne zaman dolacağını görün
Bu benim AzureAzure Sanal Masaüstü ortamım için geçerli mi?
| Senaryo | Güvenli Önyükleme Etkin mi? | Eylem Gerekli |
|---|---|---|
| Oturum Sahipleri | ||
| Güvenli Önyükleme etkinleştirilmiş Güvenilir Başlatma VM'si | Evet | Oturum ana bilgisayarındaki sertifikaları güncelleştirme |
| Güvenli Önyükleme devre dışı bırakılmış Güvenilir Başlatma VM'si | Hayır | Eylem gerekmez |
| Standart güvenlik türü VM | Hayır | Eylem gerekmez |
| 1. Nesil VM | Desteklenmez | Eylem gerekmez |
| Altın İmgeler | ||
| AzureAzure Compute Gallery image with Secure Boot enabled | Evet | Kaynak görüntüdeki sertifikaları güncelleştirme |
| AzureAzure Compute Gallery image without Trusted Launch | Hayır | Dağıtımdan sonra güncelleştirmeleri oturum ana bilgisayarına uygula |
| Yönetilen görüntü (Güvenilir Başlatma'yı desteklemez) | Hayır | Dağıtımdan sonra güncelleştirmeleri oturum ana bilgisayarına uygula |
Tam arka plan bilgileri için Güvenli Önyükleme sertifika güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuza bakın.
Envanter ve İzleme
İşlem yapmadan önce, güncelleştirme gerektiren cihazları belirlemek için ortamınızın envanterini çıkarın. Otomatik dağıtım yöntemlerine güveniyor olsanız bile, sertifikaların Haziran 2026 son tarihinden önce uygulandığını onaylamak için izleme çok önemlidir. Aşağıda, işlem yapılması gerekip gerekmediğini belirlemek için seçenekler verilmiştir.
Option 1: Microsoft IntuneMicrosoft Intune Remediations
Microsoft Intune'e kayıtlı oturum konakları için, filonuzda Güvenli Önyükleme sertifika durumunu otomatik olarak toplamak için Intune Düzeltmeleri (Proaktif Düzeltmeler) kullanarak bir algılama komut dosyası dağıtabilirsiniz. Betik her cihazda sessizce çalışır ve Güvenli Önyükleme durumunu, sertifika güncelleştirme ilerlemesini ve cihaz ayrıntılarını Intune portalına geri bildirir; cihazlarda hiçbir değişiklik yapılmaz. Sonuçlar, filo genelinde analiz için doğrudan Intune yönetim merkezinden görüntülenebilir ve CSV'ye aktarılabilir.
Algılama betiğini dağıtmaya ilişkin adım adım yönergeler için bkz. Microsoft Intune Düzeltmeleriyle Güvenli Önyükleme Sertifikası Durumunu İzleme.
2. Seçenek: Windows Otomatik Düzeltme Eki Güvenli Önyükleme Durum Raporu
Windows Otomatik Düzeltme Eki ile kayıtlı kişisel kalıcı oturum konakları için, IntuneIntune yönetim merkezi>Raporlar>Windows Otomatik Düzeltme Eki>Windows kalite güncelleştirmeleri>Raporlar sekmesi>Güvenli Önyükleme durumu. Windows Otomatik Düzeltme Eki'nde Güvenli Önyükleme durum raporuna bakın.
Not
Windows Otomatik Düzeltme Eki, AzureAzure Sanal Masaüstü için yalnızca kişisel kalıcı sanal makineleri destekler. Çok oturumlu ana bilgisayarlar, havuza alınan kalıcı olmayan sanal makineler ve uzak uygulama akışı desteklenmez. Azure Sanal Masaüstü iş yüklerinde Windows Otomatik Düzeltme Eki'ne bakın.
Seçenek 3: Filo İzleme için Kayıt Defteri Anahtarları
Filonuzdaki bu kayıt defteri değerlerini sorgulamak için mevcut cihaz yönetimi araçlarınızı kullanın.
| Kayıt Defteri Yolu | Tuş | Amaç |
|---|---|---|
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Durumu | Geçerli dağıtım durumu |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Hatası | Hataları gösterir (olmamalıdır) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Olay kimliğini gösterir (mevcut olmamalıdır) |
| HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Mevcut Güncellemeler | Bekleyen güncelleştirme bitleri |
Tüm kayıt defteri anahtarı ayrıntıları için bkz. Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri: BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları.
4. Seçenek: Olay Günlüğü İzleme
Filonuzdaki Sistem olay günlüğünden bu olay kimliklerini toplamak ve izlemek için mevcut cihaz yönetim araçlarınızı kullanın.
| Olay Kimliği | Konum | Anlamı |
|---|---|---|
| 1808 | Sistem | Sertifikalar başarıyla uygulandı |
| 1801 | Sistem | Güncelleştirme durumu veya hata ayrıntıları |
Olay ayrıntılarının tam listesi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın.
5. Seçenek: PowerShell Stok Betiği
Güvenli Önyükleme sertifikası güncelleştirme durumunu denetlemek için Microsoft'un Örnek Güvenli Önyükleme Envanteri Veri Toplama betiğini çalıştırın. Betik, Güvenli Önyükleme durumu, UEFI CA 2023 güncelleştirme durumu, üretici yazılımı sürümü ve olay günlüğü etkinliği dahil olmak üzere çeşitli veri noktalarını toplar.
Dağıtım
Önemli
Hangi dağıtım seçeneğini tercih ettiğinizden bağımsız olarak, son tarih olan Haziran 2026'dan önce sertifikaların başarıyla uygulandığını onaylamak için cihaz filonuzu izlemenizi öneririz. Özel görüntüler için bkz. Altın Renkli Görüntü Hususları.
1. Seçenek: Otomatik UpdatesGüncelleştirmeler from Windows UpdateWindows Update (Yüksek Güvenirliğe Sahip Cihazlar)
Yeterli telemetri benzer donanım yapılandırmalarında dağıtımın başarılı olduğunu onayladığında, Microsoft cihazları Windows aylık güncelleştirmeleri aracılığıyla otomatik olarak güncelleştirir.
- Durum: Yüksek güvenirliğe sahip cihazlar için varsayılan olarak etkindir
- Vazgeçmek istemediğiniz sürece herhangi bir işlem yapmanız gerekmez
| Kayıt Defteri Girişi | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tuş | Geri çevirmek için HighConfidenceOptOut = 1 |
| Grup İlkesi | Bilgisayar Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Güvenli Önyükleme>Automatic Certificate Deployment via UpdatesGüncelleştirmeler> Geri çevirmek için Devre dışı olarak ayarlayın. |
Not
Öneri: Otomatik güncelleştirmeler etkinleştirilmiş olsa bile, sertifikaların uygulandığını doğrulamak için oturum ana bilgisayarlarınızı izleyin. Tüm cihazlar yüksek güvenilirlikli otomatik dağıtım için uygun olmayabilir.
Daha fazla bilgi için bkz: Otomatik dağıtım yardımları.
2. Seçenek: IT-Initiated Dağıtımı
Hemen veya denetimli dağıtım için sertifika güncelleştirmelerini el ile tetikleyin.
| Yöntem | Belgeler |
|---|---|
| Microsoft Intune | Microsoft IntuneMicrosoft Intune method |
| Grup İlkesi | Grup İlkesigrup ilkesi Objects (GPO) method |
| Kayıt Defteri Anahtarları | Kayıt defteri anahtarı yöntemi |
| WinCS CLI | WinCS API'leri |
Not
- BT tarafından başlatılan dağıtım yöntemlerini (örneğin, Intune ve GPO) aynı cihazda karıştırmayın; bunlar aynı kayıt defteri anahtarlarını denetler ve çakışabilir.
- Sertifikaların tam olarak uygulanması için yaklaşık 48 saat ve bir veya daha fazla yeniden başlatma süresi tanıyın.
Altın İmaj Konusunda Dikkat Edilmesi Gerekenler
Güvenli Önyükleme etkinleştirilmiş Azure İşlem Galerisi görüntülerini kullanan Azure Sanal Masaüstü ortamları için, yakalamadan önce altın renkli görüntüye Güvenli Önyükleme 2023 sertifika güncelleştirmesini uygulayın. Güncelleştirmeyi uygulamak için yukarıda açıklanan yöntemlerden birini kullanın, ardından genelleştirmeden önce sertifikaların güncelleştirildiğini doğrulayın:
Not
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Güvenilir Başlatma etkinleştirilmemiş görüntüler, görüntü üzerinden Güvenli Önyükleme sertifika güncelleştirmelerini alamaz. Bu, Güvenilir Başlatma'yı desteklemeyen yönetilen görüntüleri ve Güvenilir Başlatma'nın etkinleştirilmediği Azure İşlem Galerisi görüntülerini içerir. Bu görüntülerden sağlanan cihazlar için, yukarıdaki yöntemlerden birini kullanarak konuk işletim sisteminde güncelleştirmeleri uygulayın.
Bilinen sorunlar
Hizmet kayıt defteri anahtarı yok
| Belirti | HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing path does not exist |
|---|---|
| Neden | Cihazda sertifika güncelleştirmeleri başlatılmadı |
| Çözüm | Windows Update aracılığıyla otomatik dağıtımı bekleyin veya yukarıda BT tarafından başlatılan dağıtım yöntemlerinden birini kullanarak el ile başlatın |
Durum, uzatılmış süre için "Devam Ediyor" olarak görünüyor
| Belirti | UEFICA2023Durumu, birkaç gün sonra "Devam Ediyor" olarak kalır |
|---|---|
| Neden | Güncelleştirme işleminin tamamlanması için cihazın yeniden başlatılması gerekebilir |
| Çözüm | Oturum ana bilgisayarını yeniden başlatın ve 15 dakika sonra durumu yeniden denetleyin. Sorun devam ederse, sorun giderme kılavuzu için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarına bakın |
UEFICA2023Hata kayıt defteri anahtarı var
| Belirti | UEFICA2023Hata kayıt defteri anahtarı var |
|---|---|
| Neden | Sertifika dağıtımı sırasında bir hata oluştu |
| Çözüm | Ayrıntılar için Sistem olay günlüğünü kontrol edin. Sorun giderme kılavuzu için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarına bakın |