Оновлення сертифіката безпечного завантаження для віртуального робочого стола Azure
Застосовується до
Вихідна дата публікації: 19 лютого 2026 р.
Ідентифікатор KB: 5080931
У цій статті наведено рекомендації щодо:
-
Azure адміністратори віртуального робочого стола, які керують оновленнями хоста сеансу
-
Організації, які використовують віртуальні машини із підтримкою безпечного завантаження для розгортання віртуальних Azure віртуальних робочих столів
-
Організації, які використовують спеціальні зображення (золоті зображення) для розгортання віртуального робочого стола Azure
У цій статті:
Вступ
Безпечне завантаження – це функція безпеки мікропрограми UEFI, яка забезпечує запуск лише надійного програмного забезпечення з цифровим підписом під час послідовності завантаження пристрою. Термін дії сертифікатів microsoft Secure Boot, випущених у 2011 році, починається в червні 2026 року. Без оновлених сертифікатів 2023 пристрої більше не отримуватимуть нові засоби захисту диспетчера безпечного завантаження та завантаження або послаблення ризиків для нових виявлених вразливостей на рівні завантаження.
Для захисту всіх віртуальних машин із підтримкою безпечного завантаження, зареєстрованих у службі Azure Virtual Desktop, а також настроювані зображення, які використовуються для їх підготовки, потрібно оновити до сертифікатів 2023 року. Див. розділ Термін дії сертифікатів безпечного завантаження на пристроях Windows
Чи стосується це середовища віртуального робочого стола Azure?
|
Сценарій |
Безпечне завантаження активне? |
Потрібна дія |
|
Хости сеансів |
||
|
Trusted Launch VM with Secure Boot enabled |
Так |
Оновлення сертифікатів на хості сеансу |
|
Trusted Launch VM with Secure Boot disabled |
Ні |
Жодних дій не потрібно |
|
Standard тип безпеки ВМ |
Ні |
Жодних дій не потрібно |
|
ВМ покоління 1 |
Не підтримується |
Жодних дій не потрібно |
|
Золоті зображення |
||
|
зображення Azure Compute Gallery з увімкненим захищеним завантаженням |
Так |
Оновлення сертифікатів на вихідному зображенні |
|
Azure зображення колекції обчислень без надійного запуску |
Ні |
Застосування оновлень на хості сеансів після розгортання |
|
Кероване зображення (не підтримує надійний запуск) |
Ні |
Застосування оновлень на хості сеансів після розгортання |
Докладні відомості див. в статті Оновлення сертифіката безпечного завантаження: інструкції для ІТ-фахівців і організацій.
Інвентаризація та монітор
Перш ніж вжити заходів, проведіть облік середовища, щоб визначити пристрої, для яких потрібні оновлення. Моніторинг має важливе значення для підтвердження застосування сертифікатів до крайнього терміну червня 2026 року, навіть якщо ви покладаєтеся на методи автоматичного розгортання. Нижче наведено параметри, які визначають, чи потрібно виконати дію.
Варіант 1. виправлення Microsoft Intune
Для хостів сеансів, зареєстрованих у Microsoft Intune, можна розгорнути сценарій виявлення, використовуючи Intune виправлення (активні виправлення), щоб автоматично збирати стан сертифіката безпечного завантаження по всьому флоту. Сценарій запускається автоматично на кожному пристрої та повідомляє про стан безпечного завантаження, про перебіг оновлення сертифіката та відомості про пристрій назад на портал Intune – жодні зміни не вносяться до пристроїв. Результати можна переглянути та експортувати до CSV безпосередньо з Центру адміністрування Intune для аналізу на рівні флоту.
Покрокові вказівки з розгортання сценарію виявлення див. в статті Моніторинг стану сертифіката безпечного завантаження з виправленнями Microsoft Intune.
Варіант 2. Звіт про стан безпечного завантаження windows Autopatch
Для хостів особистих постійних сеансів, зареєстрованих у службі "Автопаття Windows", перейдіть до Intune Центру адміністрування > Звіти > автопатрулі Windows > покращення Windows > вкладка Звіти > стан безпечного завантаження. Див. звіт про стан безпечного завантаження в засобі автоматичного завантаження Windows.
Примітка.: Служба "Автопаття Windows" підтримує лише особисті постійні віртуальні машини для віртуального робочого стола Azure. Хости кількох сеансів, об'єднувані неповторні віртуальні машини та віддалене потокове передавання програм не підтримуються. Див. статтю Автопаття Windows у службі Azure навантажень віртуального робочого стола.
Варіант 3. Розділи реєстру для моніторингу флоту
Використовуйте наявні засоби керування пристроями, щоб запитувати ці значення реєстру на своєму автопарку.
|
Шлях до реєстру |
Ключ |
Мета |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Поточний стан розгортання |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Указує на помилки (не повинно існувати) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Указує ідентифікатор події (не має існувати) |
|
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet \Control\SecureBoot |
Доступні оновлення |
Очікування бітів оновлення |
Докладні відомості про повний розділ реєстру див. в статті Оновлення розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ.
Варіант 4. Моніторинг журналу подій
Використовуйте наявні інструменти керування пристроями, щоб збирати та відстежувати ці ідентифікатори подій із системного журналу подій у вашому флоті.
|
Ідентифікатор події |
Розташування |
Значення |
|
1808 |
Система |
Сертифікати успішно застосовано |
|
1801 |
Система |
Відомості про оновлення стану або помилки |
Повний список відомостей про подію див. в статті Події оновлення змінних DB для безпечного завантаження та DBX.
Варіант 5. Сценарій запасів PowerShell
Запустіть сценарій microsoft's Sample Secure Boot Inventory Data Collection, щоб перевірити стан оновлення сертифіката безпечного завантаження. Сценарій збирає кілька точок даних, зокрема стан безпечного завантаження, стан оновлення UEFI CA 2023, версію мікропрограми та дії журналу подій.
Розгортання
Увага!: Незалежно від вибраного варіанта розгортання радимо відстежувати автопарк пристрою, щоб підтвердити успішне застосування сертифікатів до крайнього терміну дії за червень 2026 р. Спеціальні зображення див. в статті Застереження щодо золотистого зображення.
Варіант 1. Автоматичні Оновлення з Windows Update (пристрої високої достовірності)
Корпорація Майкрософт автоматично оновлює пристрої за допомогою щомісячних оновлень Windows, коли достатня телеметрія підтверджує успішне розгортання в подібних конфігураціях обладнання.
-
Стан: Увімкнуто за замовчуванням для пристроїв із високою довірою
-
Не потрібно нічого робити, якщо ви не хочете відмовлятися
|
Реєстру |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Ключ |
HighConfidenceOptOut = 1, щоб відмовитися |
|
Групова політика |
Конфігурація комп'ютера > адміністративні шаблони > компонентах Windows > безпечне завантаження > автоматичного розгортання сертифіката за допомогою Оновлення > Для вимкнення встановіть значення Вимкнуто. |
Рекомендація: Навіть якщо ввімкнуто автоматичні оновлення, відстежуйте хости сеансів, щоб переконатися, що сертифікати застосовуються. Не всі пристрої можуть претендувати на автоматичне розгортання високої достовірності.
Докладні відомості див. в статті Помічники з автоматизованого розгортання.
Варіант 2. Розгортання IT-Initiated
Активуйте оновлення сертифікатів вручну для негайного або контрольованого розгортання.
|
Метод |
Документація |
|
Microsoft Intune |
|
|
Групова політика |
|
|
Реєстру |
|
|
WinCS CLI |
Примітки.:
-
Не змішуйте ініційовані ІТ-методами розгортання (наприклад, Intune і GPO) на одному пристрої– вони керують тими самими розділами реєстру та можуть конфліктувати.
-
Дозволити повне застосування сертифікатів приблизно через 48 годин і одне або кілька перезавантажень.
Застереження щодо золотого зображення
Для середовищ Azure віртуального робочого стола, які використовують зображення Azure Compute Gallery з увімкнутим захищеним завантаженням, застосуйте до золотого зображення оновлення сертифіката безпечного завантаження 2023, перш ніж записувати його. Застосуйте оновлення одним зі способів, описаних вище, а потім переконайтеся, що сертифікати оновлено перед узагальненням.
Get-ItemProperty "HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Зображення, на яких не ввімкнуто надійний запуск, не можуть отримувати оновлення сертифіката безпечного завантаження через зображення. Це стосується керованих зображень, які не підтримують надійний запуск, і зображень Azure Обчислювальної колекції, де не ввімкнуто надійний запуск. Для пристроїв, підготовлених із цих зображень, застосовуйте оновлення в гостьовій ОС одним із наведених вище способів.
Відомі проблеми
Розділ реєстру обслуговування не існує
|
Проблема |
HKEY_LOCAL_MACHINE:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing шлях не існує |
|
Причина |
Оновлення сертифіката не ініційовано на пристрої |
|
Вирішення |
Дочекайтеся автоматичного розгортання за допомогою Windows Update або вручну за допомогою одного з ініційованих ІТ-методів розгортання вище |
Status shows "InProgress" for extended period
|
Проблема |
Функція UEFICA2023Status залишається "InProgress" через кілька днів |
|
Причина |
Для завершення процесу оновлення пристрою може знадобитися перезавантаження |
|
Вирішення |
Перезапустіть хост сеансу та перевірте стан через 15 хвилин. Якщо проблема не зникне, див. статтю Події оновлення змінних DB та DBX для виправлення неполадок див. в статті Події оновлення змінних DBX для безпечного завантаження |
Ключ реєстру UEFICA2023Error існує
|
Проблема |
Ключ реєстру UEFICA2023Error присутній |
|
Причина |
Під час розгортання сертифіката сталася помилка |
|
Вирішення |
Докладні відомості див. в журналі системних подій. Вказівки з виправлення неполадок див. в статті Події оновлення змінних DB та DBX для безпечного завантаження |
Ресурси
Потрібна додаткова довідка?
Потрібні додаткові параметри?
Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.
Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.
