Примітка.
- Дата початкової публікації: 19 лютого 2026 р.
- Ідентифікатор бази знань: 5080914
Примітка.
Ця стаття містить рекомендації для:
Windows 365адміністратори Windows 365, які керують хмарними можливостями для ПК.
Організації, що використовують Безпечне завантаження, підтримують хмарні ПК для розгортання Windows 365.
організації, які використовують користувацькі зображення для розгортання Windows 365.
У цій статті:
Вступ
Безпечне завантаження – це функція захисту мікропрограми інтерфейсу UEFI, яка допомагає забезпечити запуск лише надійного програмного забезпечення з цифровим підписом під час послідовності завантаження пристрою. Сертифікати Microsoft Secure Boot, видані у 2011 році, припиняють дію в червні 2026 р. Без оновлених сертифікатів 2023 року пристрої більше не отримуватимуть нові засоби захисту Secure Boot і Boot Manager або засоби захисту від нещодавно виявлених вразливостей на рівні завантаження.
Усі хмарні ПК з підтримкою безпечного завантаження, підготовлені в службі Windows 365, і користувацькі образи, які використовуються для їх підготовки, необхідно оновити до сертифікатів 2023 року до завершення терміну дії, щоб залишатися захищеними. Дізнайтеся, коли закінчується термін дії сертифікатів Secure Boot на пристроях Windows.
Чи стосується це середовища Windows 365?
| Сценарій | Безпечне завантаження активне? | Потрібна дія |
|---|---|---|
| Хмарні можливості для ПК | ||
| Хмарні можливості для ПК з увімкнутим безпечним завантаженням | Так | Оновлення сертифікатів на хмарних можливостях для ПК |
| Хмарний ПК з вимкнутим безпечним завантаженням | Ні | Не потрібно жодних дій |
| Зображення | ||
| AzureAzure Compute Gallery image with Secure Boot enabled | Так | Оновлення сертифікатів на вихідному зображенні перед узагальненням |
| AzureAzure Compute Gallery image without Trusted Launch | Ні | Застосування оновлень у хмарних можливостях для ПК після підготовки |
| Кероване зображення (не підтримує надійний запуск) | Ні | Застосування оновлень у хмарних можливостях для ПК після підготовки |
Докладні довідкові відомості див. в статті "Оновлення сертифікатів безпечного завантаження: рекомендації для ІТ-фахівців і організацій".
Інвентаризація та моніторинг
Перш ніж діяти, проведіть інвентаризацію середовища, щоб визначити пристрої, які потребують оновлення. Моніторинг важливий, щоб переконатися, що сертифікати було застосовано до крайнього терміну в червні 2026 р., навіть якщо ви покладаєтеся на автоматичне розгортання. Нижче наведено варіанти визначення, чи потрібно вжити заходів.
Варіант 1. Microsoft Intune Засоби виправлення
На хмарних ПК, зареєстрованих у Microsoft Intune, можна розгорнути сценарій виявлення за допомогою Intune Remediations (проактивних виправлень), щоб автоматично збирати відомості про стан сертифіката безпечного завантаження на всьому парку транспортних засобів. Сценарій непомітно запускається на кожному пристрої та повідомляє про стан безпечного завантаження, перебіг оновлення сертифіката та відомості про пристрій на порталі Intune – зміни не вносяться. Результати можна переглянути та експортувати в CSV безпосередньо з Центру адміністрування Intune для аналізу на рівні всього флоту.
Покрокові інструкції з розгортання сценарію виявлення див. в розділі "Моніторинг стану сертифіката безпечного завантаження з Microsoft Intune виправленнями.
Варіант 2. Звіт про стан безпечного завантаження Windows Autopatch
Для Хмарних можливостей для ПК, зареєстрованих за допомогою Windows Autopatch, перейдіть на сторінку IntuneIntune admin>center Звіти> WindowsAutopatch>Покращення> WindowsВкладка>"Звіти" Стан безпечного завантаження. Див. розділ "Звіт про стан безпечного завантаження" в системі Windows Autopatch.
Примітка. Щоб використовувати функцію автоматичного виправлення Windows із Windows 365, хмарні можливості для ПК необхідно зареєструвати в службі автоматичного виправлення Windows. Див. засіб автоматичного виправлення Windows для Windows 365 Enterprise завантажень.
Варіант 3: Розділи реєстру для моніторингу автопарку
Використовуйте наявні інструменти керування пристроями для надсилання запиту до цих значень реєстру у вашому автопарку.
| Registry Path | Клавіша | Мета |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Статус | Поточний стан розгортання |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Помилка | Указує на помилки (не повинно) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent | Указує на ідентифікатор події (не має існувати) |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Доступні оновлення | Біти відкладеного оновлення |
Докладні відомості про розділ реєстру див. в статті "Оновлення розділу реєстру для безпечного завантаження".
Варіант 4. Моніторинг журналу подій
Використовуйте наявні засоби керування пристроями для збору та моніторингу цих ідентифікаторів подій із системного журналу подій у вашому автопарку.
| Ідентифікатор події | Розташування | Значення |
|---|---|---|
| 1808 | Система | Сертифікати успішно застосовано |
| 1801 | Система | Стан оновлення або відомості про помилку |
Повний список відомостей про подію див. у розділі Події оновлення змінних бази даних безпечного завантаження та DBX.
Варіант 5. Сценарій інвентаризації PowerShell
Запустіть сценарій збору даних про інвентаризацію безпечного завантаження Microsoft, щоб перевірити стан оновлення сертифіката безпечного завантаження. Сценарій збирає кілька точок даних, зокрема стан безпечного завантаження, стан оновлення UEFI CA 2023, версію мікропрограми та активність журналу подій.
Розгортання
Важливо
Незалежно від того, який варіант розгортання ви виберете, ми рекомендуємо перевірити парк пристроїв, щоб переконатися, що сертифікати успішно застосовано до крайнього терміну в червні 2026 року. Відомості про спеціальні зображення див. в розділі "Зауваження щодо спеціальних зображень".
Варіант 1. Automatic UpdatesОновлення від Windows UpdateWindows Update (пристрої з високою впевненістю)
Корпорація Майкрософт автоматично оновлює пристрої за допомогою щомісячних оновлень Windows, якщо достатня кількість телеметрії підтверджує успішне розгортання на подібних конфігураціях устаткування.
- Стан: увімкнуто за замовчуванням для пристроїв із високою впевненістю
- Жодних дій, якщо ви не хочете відмовитися від реклами
| Реєстр | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Клавіша | HighConfidenceOptOut = 1 для відмови |
| Групова політика | Конфігурація> комп'ютераАдміністративні шаблони>Компоненти> WindowsБезпечне завантаження>Автоматичне розгортання сертифікатів через Оновлення>Стан "Вимкнуто", щоб відмовитися від служби. |
Примітка.
Рекомендація: Навіть якщо ввімкнуто автоматичні оновлення, стежте за своїми хмарними можливостями, щоб перевірити, чи застосовуються сертифікати. Не всі пристрої відповідають вимогам для автоматичного розгортання з високою достовірністю.
Докладні відомості див. в статті "Допомога в автоматичному розгортанні".
Варіант 2. IT-Initiated Розгортання
Ініціювати оновлення сертифікатів вручну для негайного або контрольованого розгортання.
| Спосіб приготування | Документація |
|---|---|
| Microsoft Intune | Microsoft IntuneMicrosoft Intune method |
| Групова політика | Метод GPO |
| Розділи реєстру | Спосіб за допомогою розділу реєстру |
| WinCS CLI | API WinCS |
Примітка.
- Не змішуйте методи розгортання, ініційовані ІТ-спеціалістами (наприклад, IntuneIntune і GPO) на одному пристрої. Вони керують тими самими розділами реєстру й можуть конфліктувати.
- Щоб сертифікати повністю застосувалися, зачекайте приблизно 48 годин і перезапустите пристрій.
Зауваження щодо користувацьких зображень
Користувацькими зображеннями повністю керує ваша організація. Ви несете відповідальність за застосування оновлень сертифіката безпечного завантаження до користувацького образу та повторне передавання його перед використанням для підготовки.
Застосування оновлень сертифікатів безпечного завантаження до вихідного образу підтримується лише для Azure образів Колекції обчислень (підготовча версія), які підтримують надійний запуск і безпечне завантаження. Керовані образи не підтримують безпечне завантаження, тому оновлення сертифікатів не можна застосувати на рівні образу. Для хмарних ПК, підготовлених на основі керованих образів, застосовуйте оновлення безпосередньо на хмарних ПК за допомогою одного з методів розгортання, описаних вище.
Перш ніж генерувати нове користувацьке зображення, переконайтеся, що сертифікати оновлено:
Примітка.
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Відомі проблеми
Обслуговування розділу реєстру не існує
| Ознака | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing шляху не існує |
|---|---|
| Причина | На пристрої не ініційовано оновлення сертифікатів |
| Спосіб усунення проблеми | Зачекайте на автоматичне розгортання за допомогою Windows Update або ініціюйте розгортання вручну за допомогою одного з методів розгортання, ініційованого ІТ-спеціалістами |
Стан "Виконується" протягом тривалого періоду
| Ознака | UEFICA2023Status залишається "InProgress" через кілька днів |
|---|---|
| Причина | Для завершення процесу оновлення може знадобитися перезавантаження пристрою |
| Спосіб усунення проблеми | Перезавантажте хмарні можливості для ПК та перевірте стан ще раз через 15 хвилин. Якщо проблема не зникне, перегляньте вказівки з виправлення неполадок у розділі "Оновлення бази даних безпечного завантаження" та змінних DBX |
UEFICA2023Існує розділ реєстру з помилкою
| Ознака | UEFICA2023Присутній розділ реєстру помилки |
|---|---|
| Причина | Під час розгортання сертифіката сталася помилка |
| Спосіб усунення проблеми | Докладні відомості див. в системному журналі подій. Керівництва з виправлення неполадок див. в статтях про події змінного оновлення бази даних безпечного завантаження та DBX |