Оновлення сертифіката безпечного завантаження для Windows 365
Вихідна дата публікації: 19 лютого 2026 р.
Ідентифікатор KB: 5080914
У цій статті наведено рекомендації щодо:
-
Windows 365 адміністратори, які керують хмарними ПК.
-
Організації, які використовують хмарні комп'ютери з підтримкою безпечного завантаження для розгортання Windows 365.
-
Організації, які використовують настроювані зображення для розгортання Windows 365.
У цій статті:
Вступ
Безпечне завантаження – це функція безпеки мікропрограми UEFI, яка забезпечує запуск лише надійного програмного забезпечення з цифровим підписом під час послідовності завантаження пристрою. Термін дії сертифікатів microsoft Secure Boot, випущених у 2011 році, починається в червні 2026 року. Без оновлених сертифікатів 2023 пристрої більше не отримуватимуть нові засоби захисту диспетчера безпечного завантаження та завантаження або послаблення ризиків для нових виявлених вразливостей на рівні завантаження.
Усі хмарні комп'ютери з підтримкою безпечного завантаження, підготовлені в службі Windows 365, а також настроювані зображення, що використовуються для їх підготовки, мають бути оновлені до сертифікатів 2023 року, перш ніж термін дії завершується, щоб залишатися захищеними. Див. розділ Термін дії сертифікатів безпечного завантаження на пристроях Windows.
Чи стосується це середовища Windows 365?
|
Сценарій |
Безпечне завантаження активне? |
Потрібна дія |
|
Хмарні ПК |
||
|
Хмарний ПК з увімкненим захищеним завантаженням |
Так |
Оновлення сертифікатів на хмарному ПК |
|
Cloud PC with Secure Boot disabled |
Ні |
Жодних дій не потрібно |
|
Зображення |
||
|
зображення Azure Compute Gallery з увімкненим захищеним завантаженням |
Так |
Оновлення сертифікатів на вихідному зображенні перед узагальненням |
|
Azure зображення колекції обчислень без надійного запуску |
Ні |
Застосування оновлень на хмарному ПК після підготовки |
|
Кероване зображення (не підтримує надійний запуск) |
Ні |
Застосування оновлень на хмарному ПК після підготовки |
Докладні відомості див. в статті Оновлення сертифіката безпечного завантаження: інструкції для ІТ-фахівців і організацій.
Інвентаризація та монітор
Перш ніж вжити заходів, проведіть облік середовища, щоб визначити пристрої, для яких потрібні оновлення. Моніторинг має важливе значення для підтвердження застосування сертифікатів до крайнього терміну червня 2026 року, навіть якщо ви покладаєтеся на методи автоматичного розгортання. Нижче наведено параметри, які визначають, чи потрібно виконати дію.
Варіант 1. виправлення Microsoft Intune
Для хмарних КОМП'ютерів, зареєстрованих у Microsoft Intune, ви можете розгорнути сценарій виявлення за допомогою Intune виправлення (проактивні виправлення), щоб автоматично збирати стан сертифіката безпечного завантаження по всьому флоту. Сценарій запускається автоматично на кожному пристрої та повідомляє про стан безпечного завантаження, про перебіг оновлення сертифіката та відомості про пристрій назад на портал Intune – жодні зміни не вносяться до пристроїв. Результати можна переглянути та експортувати до CSV безпосередньо з Центру адміністрування Intune для аналізу на рівні флоту.
Покрокові вказівки з розгортання сценарію виявлення див. в статті Моніторинг стану сертифіката безпечного завантаження з виправленнями Microsoft Intune.
Варіант 2. Звіт про стан безпечного завантаження windows Autopatch
Хмарні КОМП'ютери, зареєстровані в службі "Автопаття Windows", див. в Intune Центрі адміністрування > Звіти > Засіб автоматичного оновлення Windows > покращення Windows > вкладка Звіти > стан безпечного завантаження. Див. звіт про стан безпечного завантаження в засобі автоматичного завантаження Windows.
Примітка. Для використання функції "Автопаття Windows" з Windows 365 хмарні КОМП'ютери мають бути зареєстровані в службі автопатch Windows. Див. статтю Автопаття Windows під час Windows 365 Enterprise навантажень.
Варіант 3. Розділи реєстру для моніторингу флоту
Використовуйте наявні засоби керування пристроями, щоб запитувати ці значення реєстру на своєму автопарку.
|
Шлях до реєстру |
Ключ |
Мета |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Status |
Поточний стан розгортання |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023Error |
Указує на помилки (не повинно існувати) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot\Servicing |
UEFICA2023ErrorEvent |
Указує ідентифікатор події (не має існувати) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SecureBoot |
Доступні оновлення |
Очікування бітів оновлення |
Докладні відомості про повний розділ реєстру див. в статті Оновлення розділу реєстру для безпечного завантаження.
Варіант 4. Моніторинг журналу подій
Використовуйте наявні інструменти керування пристроями, щоб збирати та відстежувати ці ідентифікатори подій із системного журналу подій у вашому флоті.
|
Ідентифікатор події |
Розташування |
Значення |
|
1808 |
Система |
Сертифікати успішно застосовано |
|
1801 |
Система |
Відомості про оновлення стану або помилки |
Повний список відомостей про подію див. в статті Події оновлення змінних DB для безпечного завантаження та DBX.
Варіант 5. Сценарій запасів PowerShell
Запустіть сценарій microsoft's Sample Secure Boot Inventory Data Collection, щоб перевірити стан оновлення сертифіката безпечного завантаження. Сценарій збирає кілька точок даних, зокрема стан безпечного завантаження, стан оновлення UEFI CA 2023, версію мікропрограми та дії журналу подій.
Розгортання
Увага!: Незалежно від вибраного варіанта розгортання радимо відстежувати автопарк пристрою, щоб підтвердити успішне застосування сертифікатів до крайнього терміну дії за червень 2026 р. Настроювані зображення див. в статті Користувацькі зауваження щодо зображень.
Варіант 1. Автоматичні Оновлення з Windows Update (пристрої високої достовірності)
Корпорація Майкрософт автоматично оновлює пристрої за допомогою щомісячних оновлень Windows, коли достатня телеметрія підтверджує успішне розгортання в подібних конфігураціях обладнання.
-
Стан: увімкнуто за замовчуванням для пристроїв із високою довірою
-
Не потрібно нічого робити, якщо ви не хочете відмовлятися
|
Реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Ключ |
HighConfidenceOptOut = 1, щоб відмовитися |
|
Групова політика |
Настроювання комп'ютера > адміністративних шаблонів > компонентах Windows > безпечного завантаження > автоматичного розгортання сертифіката за допомогою Оновлення > вимкнуто, щоб відмовитися |
Рекомендація: Навіть якщо ввімкнуто автоматичне оновлення, відстежуйте свої хмарні ПК, щоб переконатися, що сертифікати застосовуються. Не всі пристрої можуть претендувати на автоматичне розгортання високої достовірності.
Докладні відомості див. в статті Помічники з автоматизованого розгортання.
Варіант 2. Розгортання IT-Initiated
Активуйте оновлення сертифікатів вручну для негайного або контрольованого розгортання.
|
Метод |
Документація |
|
Microsoft Intune |
|
|
Групова політика |
|
|
Реєстру |
|
|
WinCS CLI |
Примітки.:
-
Не змішуйте ініційовані ІТ-методами розгортання (наприклад, Intune і GPO) на одному пристрої– вони керують тими самими розділами реєстру та можуть конфліктувати.
-
Дозволити повне застосування сертифікатів приблизно через 48 годин і одне або кілька перезавантажень.
Зауваження щодо настроюваного зображення
Настроюваними зображеннями повністю керує ваша організація. Ви несете відповідальність за застосування оновлень сертифіката безпечного завантаження до користувацького зображення та повторне його передавання, перш ніж використовувати його для підготовки.
Застосування оновлень сертифіката безпечного завантаження до вихідного зображення підтримується лише для зображень Azure Compute Gallery (preview), які підтримують надійний запуск і безпечне завантаження. Керовані зображення не підтримують безпечне завантаження, тому оновлення сертифіката не можна застосувати на рівні зображення. Для хмарних ПК, підготовлених із керованих зображень, застосовуйте оновлення безпосередньо на хмарному ПК за допомогою одного з наведених вище способів розгортання.
Перш ніж узагальнити нове настроюване зображення, переконайтеся, що сертифікати оновлено:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Відомі проблеми
Розділ реєстру обслуговування не існує
|
Проблема |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing шлях не існує |
|
Причина |
Оновлення сертифіката не ініційовано на пристрої |
|
Вирішення |
Дочекайтеся автоматичного розгортання за допомогою Windows Update або вручну за допомогою одного з ініційованих ІТ-методів розгортання вище |
Status shows "InProgress" for extended period
|
Проблема |
Функція UEFICA2023Status залишається "InProgress" через кілька днів |
|
Причина |
Для завершення процесу оновлення пристрою може знадобитися перезавантаження |
|
Вирішення |
Перезавантажте хмарний ПК та перевірте стан через 15 хвилин. Якщо проблема не зникне, див. статтю Події оновлення змінних DB та DBX для виправлення неполадок див. в статті Події оновлення змінних DBX для безпечного завантаження |
Ключ реєстру UEFICA2023Error існує
|
Проблема |
Ключ реєстру UEFICA2023Error присутній |
|
Причина |
Під час розгортання сертифіката сталася помилка |
|
Вирішення |
Докладні відомості див. в журналі системних подій. Вказівки з виправлення неполадок див. в статті Події оновлення змінних DB та DBX для безпечного завантаження |
Ресурси
Потрібна додаткова довідка?
Потрібні додаткові параметри?
Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.
Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.
