Оновлення сертифікатів безпечного завантаження для Windows 365

Примітка.

  • Дата початкової публікації: 19 лютого 2026 р.
  • Ідентифікатор бази знань: 5080914

Примітка.

Ця стаття містить рекомендації для:

  • Windows 365адміністратори Windows 365, які керують хмарними можливостями для ПК.

  • Організації, що використовують Безпечне завантаження, підтримують хмарні ПК для розгортання Windows 365.

  • організації, які використовують користувацькі зображення для розгортання Windows 365.

У цій статті:

Вступ

Безпечне завантаження – це функція захисту мікропрограми інтерфейсу UEFI, яка допомагає забезпечити запуск лише надійного програмного забезпечення з цифровим підписом під час послідовності завантаження пристрою. Сертифікати Microsoft Secure Boot, видані у 2011 році, припиняють дію в червні 2026 р. Без оновлених сертифікатів 2023 року пристрої більше не отримуватимуть нові засоби захисту Secure Boot і Boot Manager або засоби захисту від нещодавно виявлених вразливостей на рівні завантаження.

Усі хмарні ПК з підтримкою безпечного завантаження, підготовлені в службі Windows 365, і користувацькі образи, які використовуються для їх підготовки, необхідно оновити до сертифікатів 2023 року до завершення терміну дії, щоб залишатися захищеними. Дізнайтеся, коли закінчується термін дії сертифікатів Secure Boot на пристроях Windows.

Чи стосується це середовища Windows 365?

Сценарій Безпечне завантаження активне? Потрібна дія
Хмарні можливості для ПК
Хмарні можливості для ПК з увімкнутим безпечним завантаженням Так Оновлення сертифікатів на хмарних можливостях для ПК
Хмарний ПК з вимкнутим безпечним завантаженням Ні Не потрібно жодних дій
Зображення
AzureAzure Compute Gallery image with Secure Boot enabled Так Оновлення сертифікатів на вихідному зображенні перед узагальненням
AzureAzure Compute Gallery image without Trusted Launch Ні Застосування оновлень у хмарних можливостях для ПК після підготовки
Кероване зображення (не підтримує надійний запуск) Ні Застосування оновлень у хмарних можливостях для ПК після підготовки

Докладні довідкові відомості див. в статті "Оновлення сертифікатів безпечного завантаження: рекомендації для ІТ-фахівців і організацій".

Інвентаризація та моніторинг

Перш ніж діяти, проведіть інвентаризацію середовища, щоб визначити пристрої, які потребують оновлення. Моніторинг важливий, щоб переконатися, що сертифікати було застосовано до крайнього терміну в червні 2026 р., навіть якщо ви покладаєтеся на автоматичне розгортання. Нижче наведено варіанти визначення, чи потрібно вжити заходів.

Варіант 1. Microsoft Intune Засоби виправлення

На хмарних ПК, зареєстрованих у Microsoft Intune, можна розгорнути сценарій виявлення за допомогою Intune Remediations (проактивних виправлень), щоб автоматично збирати відомості про стан сертифіката безпечного завантаження на всьому парку транспортних засобів. Сценарій непомітно запускається на кожному пристрої та повідомляє про стан безпечного завантаження, перебіг оновлення сертифіката та відомості про пристрій на порталі Intune – зміни не вносяться. Результати можна переглянути та експортувати в CSV безпосередньо з Центру адміністрування Intune для аналізу на рівні всього флоту.

Покрокові інструкції з розгортання сценарію виявлення див. в розділі "Моніторинг стану сертифіката безпечного завантаження з Microsoft Intune виправленнями.

Варіант 2. Звіт про стан безпечного завантаження Windows Autopatch

Для Хмарних можливостей для ПК, зареєстрованих за допомогою Windows Autopatch, перейдіть на сторінку IntuneIntune admin>center Звіти> WindowsAutopatch>Покращення> WindowsВкладка>"Звіти" Стан безпечного завантаження. Див. розділ "Звіт про стан безпечного завантаження" в системі Windows Autopatch.

Примітка. Щоб використовувати функцію автоматичного виправлення Windows із Windows 365, хмарні можливості для ПК необхідно зареєструвати в службі автоматичного виправлення Windows. Див. засіб автоматичного виправлення Windows для Windows 365 Enterprise завантажень.

Варіант 3: Розділи реєстру для моніторингу автопарку

Використовуйте наявні інструменти керування пристроями для надсилання запиту до цих значень реєстру у вашому автопарку.

Registry Path Клавіша Мета
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Статус Поточний стан розгортання
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023Помилка Указує на помилки (не повинно)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot\Servicing
UEFICA2023ErrorEvent Указує на ідентифікатор події (не має існувати)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecureBoot
Доступні оновлення Біти відкладеного оновлення

Докладні відомості про розділ реєстру див. в статті "Оновлення розділу реєстру для безпечного завантаження".

Варіант 4. Моніторинг журналу подій

Використовуйте наявні засоби керування пристроями для збору та моніторингу цих ідентифікаторів подій із системного журналу подій у вашому автопарку.

Ідентифікатор події Розташування Значення
1808 Система Сертифікати успішно застосовано
1801 Система Стан оновлення або відомості про помилку

Повний список відомостей про подію див. у розділі Події оновлення змінних бази даних безпечного завантаження та DBX.

Варіант 5. Сценарій інвентаризації PowerShell

Запустіть сценарій збору даних про інвентаризацію безпечного завантаження Microsoft, щоб перевірити стан оновлення сертифіката безпечного завантаження. Сценарій збирає кілька точок даних, зокрема стан безпечного завантаження, стан оновлення UEFI CA 2023, версію мікропрограми та активність журналу подій.

Розгортання

Важливо

Незалежно від того, який варіант розгортання ви виберете, ми рекомендуємо перевірити парк пристроїв, щоб переконатися, що сертифікати успішно застосовано до крайнього терміну в червні 2026 року. Відомості про спеціальні зображення див. в розділі "Зауваження щодо спеціальних зображень".

Варіант 1. Automatic UpdatesОновлення від Windows UpdateWindows Update (пристрої з високою впевненістю)

Корпорація Майкрософт автоматично оновлює пристрої за допомогою щомісячних оновлень Windows, якщо достатня кількість телеметрії підтверджує успішне розгортання на подібних конфігураціях устаткування.

  • Стан: увімкнуто за замовчуванням для пристроїв із високою впевненістю
  • Жодних дій, якщо ви не хочете відмовитися від реклами
Реєстр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Клавіша HighConfidenceOptOut = 1 для відмови
Групова політика Конфігурація> комп'ютераАдміністративні шаблони>Компоненти> WindowsБезпечне завантаження>Автоматичне розгортання сертифікатів через Оновлення>Стан "Вимкнуто", щоб відмовитися від служби.

Примітка.

Рекомендація: Навіть якщо ввімкнуто автоматичні оновлення, стежте за своїми хмарними можливостями, щоб перевірити, чи застосовуються сертифікати. Не всі пристрої відповідають вимогам для автоматичного розгортання з високою достовірністю.

Докладні відомості див. в статті "Допомога в автоматичному розгортанні".

Варіант 2. IT-Initiated Розгортання

Ініціювати оновлення сертифікатів вручну для негайного або контрольованого розгортання.

Спосіб приготування Документація
Microsoft Intune Microsoft IntuneMicrosoft Intune method
Групова політика Метод GPO
Розділи реєстру Спосіб за допомогою розділу реєстру
WinCS CLI API WinCS

Примітка.

  • Не змішуйте методи розгортання, ініційовані ІТ-спеціалістами (наприклад, IntuneIntune і GPO) на одному пристрої. Вони керують тими самими розділами реєстру й можуть конфліктувати.
  • Щоб сертифікати повністю застосувалися, зачекайте приблизно 48 годин і перезапустите пристрій.

Зауваження щодо користувацьких зображень

Користувацькими зображеннями повністю керує ваша організація. Ви несете відповідальність за застосування оновлень сертифіката безпечного завантаження до користувацького образу та повторне передавання його перед використанням для підготовки.

Застосування оновлень сертифікатів безпечного завантаження до вихідного образу підтримується лише для Azure образів Колекції обчислень (підготовча версія), які підтримують надійний запуск і безпечне завантаження. Керовані образи не підтримують безпечне завантаження, тому оновлення сертифікатів не можна застосувати на рівні образу. Для хмарних ПК, підготовлених на основі керованих образів, застосовуйте оновлення безпосередньо на хмарних ПК за допомогою одного з методів розгортання, описаних вище.

Перш ніж генерувати нове користувацьке зображення, переконайтеся, що сертифікати оновлено:

Примітка.

Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Відомі проблеми

Обслуговування розділу реєстру не існує

Ознака HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing шляху не існує
Причина На пристрої не ініційовано оновлення сертифікатів
Спосіб усунення проблеми Зачекайте на автоматичне розгортання за допомогою Windows Update або ініціюйте розгортання вручну за допомогою одного з методів розгортання, ініційованого ІТ-спеціалістами

Стан "Виконується" протягом тривалого періоду

Ознака UEFICA2023Status залишається "InProgress" через кілька днів
Причина Для завершення процесу оновлення може знадобитися перезавантаження пристрою
Спосіб усунення проблеми Перезавантажте хмарні можливості для ПК та перевірте стан ще раз через 15 хвилин. Якщо проблема не зникне, перегляньте вказівки з виправлення неполадок у розділі "Оновлення бази даних безпечного завантаження" та змінних DBX

UEFICA2023Існує розділ реєстру з помилкою

Ознака UEFICA2023Присутній розділ реєстру помилки
Причина Під час розгортання сертифіката сталася помилка
Спосіб усунення проблеми Докладні відомості див. в системному журналі подій. Керівництва з виправлення неполадок див. в статтях про події змінного оновлення бази даних безпечного завантаження та DBX

Ресурси