Windows 365 için Güvenli Önyükleme Sertifikası Güncelleştirmeler
Özgün yayımlama tarihi: 19 Şubat 2026, İstanbul
KB Kimliği: 5080914
Bu makalede aşağıdakiler için yönergeler verilmiştir:
-
Bulut bilgisayarlarını yöneten yöneticileri Windows 365.
-
Windows 365 dağıtımları için Güvenli Önyükleme özellikli Bulut bilgisayarları kullanan kuruluşlar.
-
Windows 365 dağıtımları için özel görüntüler kullanan kuruluşlar.
Bu makalede:
Giriş
Güvenli Önyükleme, bir cihaz önyükleme sırası sırasında yalnızca güvenilir, dijital olarak imzalanan yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011'de verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026'da dolmaya başlar. Güncelleştirilmiş 2023 sertifikaları olmadan, cihazlar artık yeni bulunan önyükleme düzeyi güvenlik açıkları için yeni Güvenli Önyükleme ve Önyükleme Yöneticisi korumaları veya risk azaltmaları almaz.
Windows 365 hizmetinde sağlanan tüm Güvenli Önyükleme özellikli Bulut bilgisayarları ve bunları sağlamak için kullanılan özel görüntülerin korunmaya devam etmek için süre sonu öncesinde 2023 sertifikalarına güncelleştirilmesi gerekir. Bkz. Windows cihazlarında Güvenli Önyükleme sertifikalarının süresi dolduğunda.
Bu, Windows 365 ortamım için geçerli mi?
|
Senaryo |
Güvenli Önyükleme Etkin mi? |
Eylem Gerekli |
|
Bulut bilgisayarlar |
||
|
Güvenli Önyükleme etkinleştirilmiş bulut bilgisayar |
Evet |
Cloud PC'de sertifikaları güncelleştirme |
|
Güvenli Önyükleme devre dışı bırakılmış bulut bilgisayar |
Hayır |
Eylem gerekmez |
|
Görüntüler |
||
|
Güvenli Önyükleme etkin Azure İşlem Galerisi görüntüsü |
Evet |
Genelleştirmeden önce kaynak görüntüdeki sertifikaları güncelleştirme |
|
Güvenilir Başlatma olmadan İşlem Galerisi görüntüsünü Azure |
Hayır |
Sağlamadan sonra Cloud PC'de güncelleştirmeleri uygulama |
|
Yönetilen görüntü (Güvenilen Başlatmayı desteklemez) |
Hayır |
Sağlamadan sonra Cloud PC'de güncelleştirmeleri uygulama |
Tam arka plan bilgileri için bkz. Güvenli Önyükleme sertifika güncelleştirmeleri: BT uzmanları ve kuruluşları için yönergeler.
Envanter ve İzleme
Eylem gerçekleştirmeden önce, güncelleştirme gerektiren cihazları belirlemek için ortamınızın envanterini oluşturun. Otomatik dağıtım yöntemlerini kullanıyor olsanız bile sertifikaların Haziran 2026 son tarihinden önce uygulandığını onaylamak için izleme önemlidir. Aşağıda eylem yapılması gerekip gerekmediğini belirleme seçenekleri yer almaktadır.
Seçenek 1: düzeltmeleri Microsoft Intune
Microsoft Intune kayıtlı Bulut bilgisayarları için, filonuzda Güvenli Önyükleme sertifika durumunu otomatik olarak toplamak için Intune Düzeltmeleri (Proaktif Düzeltmeler) kullanarak bir algılama betiği dağıtabilirsiniz. Betik her cihazda sessizce çalışır ve Güvenli Önyükleme durumunu, sertifika güncelleştirme ilerleme durumunu ve cihaz ayrıntılarını Intune portala geri bildirir; cihazlarda hiçbir değişiklik yapılmaz. Sonuçlar, filo genelinde analiz için doğrudan Intune yönetim merkezinden görüntülenebilir ve CSV'ye aktarılabilir.
Algılama betiğini dağıtmayla ilgili adım adım yönergeler için bkz. Microsoft Intune Düzeltmeleri ile Güvenli Önyükleme Sertifikası Durumunu İzleme.
Seçenek 2: Windows Otomatik Düzeltme Eki Güvenli Önyükleme Durumu Raporu
Windows Otomatik Düzeltme Eki'ne kayıtlı Bulut bilgisayarları için, Intune yönetim merkezi > Raporlar > Windows kalitegüncelleştirmeleri > Windows kalite güncelleştirmeleri > Raporlar sekmesine gidin > Güvenli Önyükleme durumu. Bkz. Windows Otomatik Düzeltme Eki'nde Güvenli Önyükleme durumu raporu.
Not: Windows 365 ile Windows Otomatik Düzeltme özelliğini kullanmak için Bulut bilgisayarların Windows Otomatik Düzeltme Eki hizmetine kayıtlı olması gerekir. Bkz. Windows 365 Enterprise iş yüklerinde Windows Otomatik Düzeltme Eki.
Seçenek 3: Filo İzleme için Kayıt Defteri Anahtarları
Filonuzda bu kayıt defteri değerlerini sorgulamak için mevcut cihaz yönetim araçlarınızı kullanın.
|
Kayıt Defteri Yolu |
Anahtar |
Amaç |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Geçerli dağıtım durumu |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Hata |
Hataları gösterir (mevcut olmamalıdır) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Olay Kimliğini gösterir (mevcut olmamalıdır) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
AvailableUpdates |
Bekleyen güncelleştirme bitleri |
Tam kayıt defteri anahtarı ayrıntıları için bkz. Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri.
Seçenek 4: Olay Günlüğü İzleme
Filonuzda sistem olay günlüğünden bu olay kimliklerini toplamak ve izlemek için mevcut cihaz yönetim araçlarınızı kullanın.
|
Olay Kimliği |
Konum |
Anlamı |
|
1808 |
Sistem |
Sertifikalar başarıyla uygulandı |
|
1801 |
Sistem |
Güncelleştirme durumu veya hata ayrıntıları |
Olay ayrıntılarının tam listesi için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.
Seçenek 5: PowerShell Envanter Betiği
Güvenli Önyükleme sertifikası güncelleştirme durumunu denetlemek için Microsoft'un Örnek Güvenli Önyükleme Envanteri Veri Toplama betiğini çalıştırın. Betik Güvenli Önyükleme durumu, UEFI CA 2023 güncelleştirme durumu, üretici yazılımı sürümü ve olay günlüğü etkinliği gibi çeşitli veri noktalarını toplar.
Dağıtım
Önemli: Hangi dağıtım seçeneğini belirlediğinizden bağımsız olarak, sertifikaların Haziran 2026 son tarihinden önce başarıyla uygulandığını onaylamak için cihaz filonuzu izlemenizi öneririz. Özel görüntüler için bkz. Özel Görüntü Konuları.
Seçenek 1: Windows Update'dan otomatik Güncelleştirmeler (Yüksek Güvenilirlikli Cihazlar)
Microsoft, yeterli telemetri benzer donanım yapılandırmalarında başarılı dağıtımı onayladığında cihazları Windows aylık güncelleştirmeleri aracılığıyla otomatik olarak güncelleştirir.
-
Durum: Yüksek güvenilirlikli cihazlar için varsayılan olarak etkindir
-
Geri çevirmek istemediğiniz sürece eylem gerekmez
|
Kayıt defteri |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Anahtar |
HighConfidenceOptOut = 1'i devre dışı bırakma |
|
Grup İlkesi |
Windows Bileşenleri > Güvenli Önyükleme > Otomatik Sertifika Dağıtımı Güncelleştirmeler üzerinden Bilgisayar Yapılandırması > Yönetim Şablonları > > Devre Dışı Olarak Ayarlandı |
Öneri: Otomatik güncelleştirmeler etkinleştirildiğinde bile, sertifikaların uygulandığını doğrulamak için Bulut bilgisayarlarınızı izleyin. Tüm cihazlar yüksek güvenilirlikli otomatik dağıtım için uygun olmayabilir.
Daha fazla bilgi için bkz. Otomatik dağıtım yardımları.
2. Seçenek: dağıtım IT-Initiated
Anında veya denetimli dağıtım için sertifika güncelleştirmelerini el ile tetikleme.
|
Yöntem |
Belgeler |
|
Microsoft Intune |
|
|
Grup İlkesi |
|
|
Kayıt Defteri Anahtarları |
|
|
WinCS CLI |
Notlar:
-
BT tarafından başlatılan dağıtım yöntemlerini (örneğin, Intune ve GPO) aynı cihazda karıştırmayın; bunlar aynı kayıt defteri anahtarlarını denetler ve çakışabilir.
-
Sertifikaların tam olarak uygulanması için yaklaşık 48 saat ve bir veya daha fazla yeniden başlatmaya izin verin.
Özel GörüntüYle İlgili Dikkat Edilmesi Gerekenler
Özel görüntüler kuruluşunuz tarafından tamamen yönetilir. Güvenli Önyükleme sertifika güncelleştirmelerini özel görüntüye uygulamak ve sağlama için kullanmadan önce yeniden karşıya yüklemek sizin sorumluluğundadır.
Kaynak görüntüye Güvenli Önyükleme sertifika güncelleştirmelerinin uygulanması yalnızca Güvenilen Başlatma ve Güvenli Önyükleme'yi destekleyen Azure İşlem Galerisi görüntüleriyle (önizleme) desteklenir. Yönetilen görüntüler Güvenli Önyükleme'yi desteklemez, bu nedenle sertifika güncelleştirmeleri görüntü düzeyinde uygulanamaz. Yönetilen görüntülerden sağlanan Bulut bilgisayarlar için, yukarıdaki dağıtım yöntemlerinden birini kullanarak güncelleştirmeleri doğrudan Cloud PC'ye uygulayın.
Yeni bir özel görüntüyü genelleştirmeden önce sertifikaların güncelleştirildiğinden emin olun:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Bilinen Sorunlar
Hizmet kayıt defteri anahtarı yok
|
Belirti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing yolu yok |
|
Nedeni |
Sertifika güncelleştirmeleri cihazda başlatılmadı |
|
Çözüm |
Windows Update aracılığıyla otomatik dağıtımı bekleyin veya yukarıdaki BT tarafından başlatılan dağıtım yöntemlerinden birini kullanarak el ile başlatma |
Durum, uzun süre için "InProgress" değerini gösterir
|
Belirti |
UEFICA2023Status, birden çok gün sonra "InProgress" olarak kalır |
|
Nedeni |
Güncelleştirme işlemini tamamlamak için cihazın yeniden başlatılması gerekebilir |
|
Çözüm |
Cloud PC'yi yeniden başlatın ve 15 dakika sonra durumu yeniden denetleyin. Sorun devam ederse sorun giderme kılavuzu için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları |
UEFICA2023Error kayıt defteri anahtarı var
|
Belirti |
UEFICA2023Error kayıt defteri anahtarı var |
|
Nedeni |
Sertifika dağıtımı sırasında bir hata oluştu |
|
Çözüm |
Ayrıntılar için Sistem olay günlüğünü denetleyin. Sorun giderme kılavuzu için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları |
Kaynaklar
Daha fazla yardıma mı ihtiyacınız var?
Daha fazla seçenek mi istiyorsunuz?
Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.
Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.
