Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Che cos'è l'avvio protetto?
L'avvio protetto è una funzionalità di sicurezza di Base di Windows che consente di proteggere i dispositivi da software dannoso durante l'avvio. Quando l'avvio protetto è abilitato, il firmware di sistema (UEFI) verifica che solo i componenti con firma digitale attendibili siano autorizzati a caricare all'avvio del dispositivo. In questo modo si evita il malware a livello di avvio e si garantisce che Windows inizi a usare codice noto valido e firmato in modo sicuro.
L'avvio protetto si basa su certificati digitali archiviati nel firmware di sistema. Questi certificati devono rimanere aggiornati per garantire la protezione continua e la compatibilità con gli aggiornamenti della sicurezza di Windows.
Perché lo stato di avvio protetto è importante
Con l'evolversi della sicurezza di Windows, alcuni certificati di avvio protetto vengono aggiornati o sostituiti per affrontare le minacce emergenti e rafforzare le protezioni della piattaforma. I dispositivi in cui l'avvio protetto è abilitato ma mancano gli aggiornamenti dei certificati necessari potrebbero riscontrare problemi di compatibilità o sicurezza nel tempo.
Il report sullo stato dell'avvio protetto in Windows Autopatch è progettato per aiutare gli amministratori IT a comprendere il comportamento di avvio protetto della flotta e a identificare i dispositivi che potrebbero richiedere attenzione, prima che si verifichino problemi.
Panoramica del report sullo stato dell'avvio protetto
Il report sullo stato dell'avvio protetto offre una visualizzazione a livello di dispositivo dell'avvio protetto nei dispositivi gestiti da Windows Autopatch. Consente di rispondere a tre domande chiave:
- Quali dispositivi hanno l'avvio protetto abilitato?
- Quali dispositivi abilitati per l'avvio protetto sono completamente aggiornati?
- Quali dispositivi abilitati per l'avvio protetto necessitano di aggiornamenti dei certificati?
Per ogni dispositivo, il report indica se l'avvio protetto è abilitato o meno. I dispositivi che non hanno l'avvio protetto abilitato non richiedono alcuna azione.
Per individuare il report:
- Passare all'interfaccia di amministrazione Intune.
- Passare a Report> aggiornamentiqualitativi diWindows Autopatch> Windows.
- Selezionare la scheda Report .
- Selezionare Stato avvio protetto.
Dispositivi con avvio protetto abilitato
Per i dispositivi in cui è abilitato l'avvio protetto, il report indica ulteriormente se i certificati di avvio protetto del dispositivo sono aggiornati.
- Se l'avvio protetto è abilitato nel dispositivo e i certificati sono aggiornati, non è necessaria alcuna azione.
- Se l'avvio protetto è abilitato nel dispositivo, ma i certificati non sono aggiornati, è necessaria un'azione. Aggiornare i certificati di avvio protetto del dispositivo alle versioni 2023. Altre informazioni sulle linee guida per professionisti IT e organizzazioni per gli aggiornamenti dei certificati di avvio sicuro.
Dispositivi senza avvio protetto abilitato
Se l'avvio protetto non è abilitato in un dispositivo, non è necessaria alcuna azione dal punto di vista dell'idoneità del certificato di avvio protetto. Questi dispositivi sono inclusi nel report per la visibilità, ma gli aggiornamenti del certificato di avvio protetto si applicano solo ai dispositivi in cui è abilitato l'avvio protetto.
Come questo report aiuta gli amministratori IT
Il report sullo stato dell'avvio protetto consente agli amministratori IT di eseguire le operazioni seguenti:
- Informazioni sull'adozione dell'avvio protetto nell'ambiente.
- Identificare i dispositivi abilitati per l'avvio protetto che necessitano di aggiornamenti dei certificati.
- Pianificare le strategie di aggiornamento del firmware e del BIOS con attendibilità.
- Ridurre i rischi affrontando in modo proattivo la preparazione dell'avvio protetto.
Centralizzando queste informazioni in Windows Autopatch, è possibile monitorare più facilmente l'idoneità dell'avvio protetto. Intraprendere azioni informate e mirate laddove necessario, senza correzioni o congetture non necessarie.
Interpretazione dello stato del certificato di avvio protetto
Quando si usa questo report per valutare l'idoneità dell'avvio protetto in tutto l'ambiente, è importante comprendere come viene valutato lo stato del certificato di avvio protetto e come interpretare i risultati.
Se si confronta l'idoneità dei certificati di avvio protetto mostrata in questo report con i risultati di script personalizzati o strumenti di ispezione del firmware, è possibile notare differenze. Queste differenze sono spesso previste e non indicano un problema con il report.
L'idoneità del certificato di avvio sicuro è determinata dalla configurazione dell'attendibilità del firmware di un dispositivo, non solo dal produttore del dispositivo. Windows Autopatch valuta l'applicabilità dei certificati in base al modo in cui il dispositivo è configurato per considerare attendibili i componenti di avvio, anziché richiedere un set uniforme di certificati di avvio protetto in tutti i dispositivi.
Ad esempio, un dispositivo configurato per considerare attendibili solo i componenti di avvio firmati da Microsoft potrebbe essere segnalato come aggiornato, anche se i certificati Microsoft per i componenti del firmware non Microsoft sono assenti. In questo scenario, i componenti del firmware non Microsoft non si applicano alla configurazione di avvio del dispositivo.
Quando si convalida lo stato del certificato di avvio protetto, assicurarsi di tenere conto della configurazione dell'attendibilità del firmware del dispositivo. Se si confronta la presenza del certificato senza considerare la configurazione di avvio attiva, è possibile che si raggiungano conclusioni errate sull'idoneità del dispositivo.
Se un dispositivo viene segnalato come aggiornato nel report sullo stato dell'avvio protetto, non è necessaria alcuna azione.
Impatto della configurazione dell'attendibilità dell'avvio protetto sullo stato del certificato
La configurazione dell'attendibilità dell'avvio protetto del dispositivo è essenziale per interpretare correttamente lo stato del certificato.
Il report include ora una colonna di configurazione dell'attendibilità di avvio protetto per rendere esplicita questa relazione.
In particolare:
- I dispositivi configurati per considerare attendibili solo i componenti firmati da Microsoft potrebbero non richiedere componenti del firmware non Microsoft.
- I dispositivi configurati per considerare attendibili i componenti del firmware Microsoft e non Microsoft richiedono un set più ampio di certificati.
Durante la valutazione dello stato del certificato:
- Controllare la configurazione dell'attendibilità del dispositivo.
- Usare i dettagli dello stato del certificato selezionando il valore per comprendere quali certificati sono applicabili e quali sono mancanti.
Interpretazione del livello di attendibilità
La colonna Livello di attendibilità fornisce indicazioni basate sull'analisi Microsoft di dispositivi e configurazioni del firmware simili. Ha lo scopo di semplificare le decisioni di implementazione più sicure per gli aggiornamenti dei certificati di avvio protetto. Si consideri questo aspetto soprattutto quando si pianifica la distribuzione a fasi in hardware diversificato.
Valore del livello di attendibilità
- Classificazione di attendibilità basata sui risultati osservati in dispositivi e configurazioni del firmware simili.
- Un'azione consigliata: è possibile distribuire automaticamente o distribuire manualmente alcuni aggiornamenti del certificato di avvio protetto per un dispositivo.
Valore del livello di attendibilità non rappresentato
- Lo stato del certificato non viene sostituito. Un dispositivo può essere aggiornato indipendentemente dalla classificazione della confidenza.
- Non significa necessariamente che sia necessaria un'azione. In alcuni casi, il livello di confidenza è informativo (ad esempio, l'attendibilità elevata con la distribuzione automatica consentita).
Importante
Un dispositivo può essere segnalato come aggiornato mentre non viene visualizzato alcun dato osservato. Ciò riflette una copertura limitata dei dati per dispositivi simili, non un problema con il dispositivo o lo stato del certificato corrente.
Distribuzione automatica e manuale
La distribuzione automatica del certificato di avvio sicuro richiede che entrambe le condizioni siano vere:
- Il dispositivo è classificato come confidenza elevata.
- I criteri di distribuzione con attendibilità elevata sono consentiti (non bloccano la distribuzione automatica).
Se la distribuzione automatica è bloccata dai criteri, i dispositivi richiedono la distribuzione manuale, anche se sono con attendibilità elevata.
Altre informazioni su Microsoft Intune metodo di avvio protetto per dispositivi Windows con aggiornamenti gestiti dall'IT.
Azione di amministratore consigliata per livello di attendibilità
| Livello di attendibilità | Descrizione | Azione di amministratore consigliata |
|---|---|---|
Confidenza elevata (e ConfigureHighConfidenceOptOut == 0) |
I dati osservati per questo gruppo di dispositivi suggeriscono che possono aggiornare correttamente il firmware usando i nuovi certificati di avvio protetto. | Non è richiesta alcuna azione. I dispositivi riceveranno automaticamente gli aggiornamenti del certificato di avvio protetto tramite Windows Update. |
Confidenza elevata (e ConfigureHighConfidenceOptOut == 1) |
I dati osservati per questo gruppo di dispositivi suggeriscono che possono aggiornare correttamente il firmware usando i nuovi certificati di avvio protetto. Tuttavia, la distribuzione automatica è disabilitata dai criteri. | Distribuire manualmente gli aggiornamenti dei certificati quando sono pronti. |
| Sotto osservazione - Più dati necessari | I dispositivi in questo gruppo non sono bloccati, ma non sono ancora disponibili dati sufficienti per classificarli come confidenza elevata. Gli aggiornamenti del certificato di avvio protetto potrebbero essere posticipati fino a quando non sono disponibili dati sufficienti. | È possibile scegliere di testare e distribuire gli aggiornamenti dei certificati in modo controllato per convalidare la compatibilità. |
| Nessun dato osservato - Azione necessaria | Microsoft non ha osservato questo tipo di dispositivo nei dati di aggiornamento dell'avvio protetto. Questa classificazione viene visualizzata solo quando il dispositivo non viene trovato nel database con attendibilità elevata. Di conseguenza, gli aggiornamenti automatici dei certificati non possono essere valutati per questo dispositivo e l'azione dell'amministratore è probabilmente necessaria. | Testare attentamente gli aggiornamenti dei certificati e pianificare un'implementazione prima di distribuire ampiamente gli aggiornamenti. |
| Temporaneamente sospeso | I dispositivi in questo gruppo sono interessati da un problema noto. Per ridurre i rischi, gli aggiornamenti dei certificati di avvio protetto vengono temporaneamente sospesi mentre Microsoft e i partner lavorano per una risoluzione supportata. Questo potrebbe richiedere un aggiornamento del firmware. | Non distribuire gli aggiornamenti dei certificati. Verificare la disponibilità di aggiornamenti del firmware OEM e monitorare le indicazioni di Microsoft. Per altri dettagli , vedere ID evento 1802 . |
| Non supportato - Limitazione nota | I dispositivi in questo gruppo non supportano il percorso di aggiornamento automatico del certificato di avvio protetto a causa di limitazioni hardware o firmware. Per questa configurazione non è attualmente disponibile alcuna risoluzione automatica supportata. | Escludere questi dispositivi dalla distribuzione automatizzata e documentarli come eccezione. |
Nota
Il livello di attendibilità riflette la copertura dei dati Microsoft per dispositivi simili. Se i dispositivi non sono confidenza elevata, non indica che il dispositivo non è aggiornato.
Colonne del report sullo stato dell'avvio protetto
Il report stato avvio protetto include un set di colonne predefinite visualizzate per tutti gli utenti. È anche possibile aggiungere colonne facoltative alla visualizzazione per informazioni più approfondite su hardware e firmware.
Colonne predefinite
Queste colonne vengono visualizzate per impostazione predefinita e sono progettate per consentire agli amministratori IT di comprendere rapidamente la copertura dell'avvio protetto e la conformità ai certificati nei dispositivi.
| Nome colonna | Descrizione |
|---|---|
| Nome dispositivo | Nome del dispositivo |
| Versione del sistema operativo | Versione del sistema operativo Windows in esecuzione nel dispositivo |
| Microsoft Entra ID dispositivo | ID dispositivo Microsoft Entra associato al dispositivo |
| Secure Boot enabled | Indica se l'avvio protetto è abilitato nel dispositivo. |
| Modello dispositivo | Il modello commerciale del dispositivo |
| Stato del certificato | Stato di aggregazione che indica se i certificati di avvio protetto nel dispositivo sono aggiornati, non aggiornati o non applicabili. È possibile selezionare questo valore per visualizzare lo stato dettagliato per certificato per il dispositivo. |
| Configurazione dell'attendibilità di avvio protetto | Indica la modalità di configurazione dell'attendibilità di avvio protetto nel dispositivo: solo Microsoft o Microsoft e non Microsoft. Questa configurazione determina quali certificati sono applicabili. |
| Livello di attendibilità | Indica il livello di attendibilità di Microsoft che gli aggiornamenti del certificato di avvio protetto possono essere applicati in modo sicuro. Questo valore si basa sui dati osservati da dispositivi simili. Consente di guidare le decisioni di distribuzione e potrebbe indicare se è necessaria la distribuzione automatica o manuale. |
| Data ultima segnalazione | Data e ora dell'ultima ricezione dei dati di avvio protetto dal dispositivo. Consente di identificare la latenza dei report o i dati non aggiornati. |
| Avvisi | Visualizza gli avvisi associati al dispositivo, ad esempio i dati di diagnostica mancanti o i dispositivi che richiedono un'azione. |
Colonne facoltative
È possibile aggiungere colonne facoltative al report per visualizzare un contesto hardware e firmware più dettagliato. Sono utili per la risoluzione dei problemi, la correlazione hardware e l'analisi avanzata, ma non sono necessari per comprendere lo stato di avvio protetto.
| Nome colonna | Descrizione |
|---|---|
| Device manufacturer | Il produttore del dispositivo segnalato dall'OEM |
| Produttore della scheda di sistema | Produttore della scheda di sistema del dispositivo (scheda madre) |
| Famiglia di modelli | La famiglia di prodotti o la linea di prodotti del dispositivo |
| Modello di scheda di sistema | Modello di scheda di sistema specifico usato nel dispositivo |
| Versione scheda di sistema | Versione o revisione della scheda di sistema |
| SKU del dispositivo | SKU OEM che identifica una configurazione hardware specifica |
| Produttore del firmware | Il produttore del firmware del dispositivo (BIOS/UEFI) |
| Firmware version | Versione del firmware (BIOS/UEFI) attualmente installata |
Aggiornamento dei dati, latenza dei report e requisiti dei dati di diagnostica
Il report sullo stato dell'avvio protetto si basa sugli eventi correlati all'avvio protetto. I dispositivi segnalano questi eventi dopo l'avvio. Di conseguenza, le modifiche apportate allo stato di avvio protetto o allo stato del certificato potrebbero non essere visualizzate immediatamente nel report.
Dopo l'aggiornamento dei certificati di avvio protetto e il riavvio del dispositivo, possono essere richieste fino a 12 ore per elaborare e riflettere lo stato aggiornato nel report sullo stato dell'avvio protetto.
Se un dispositivo viene visualizzato Non aggiornato, Non applicabile o Sconosciuto poco dopo la correzione, questo non indica un errore. Consentire al dispositivo di completare la creazione di report prima di intraprendere un'azione aggiuntiva.
Il report sullo stato dell'avvio protetto dipende anche dalla corretta creazione di report e dall'elaborazione dei dati di diagnostica dell'avvio protetto. Se un dispositivo non è configurato per condividere i dati di diagnostica di Windows necessari (di base), gli eventi di avvio protetto potrebbero non essere segnalati. Di conseguenza, il dispositivo potrebbe essere visualizzato come Sconosciuto o Non applicabile nel report. In questo caso, il report non indica un errore o una configurazione errata; indica che non sono presenti dati di diagnostica di avvio protetto per il dispositivo.
Inoltre, anche i dispositivi che non hanno segnalato dati di diagnostica per un periodo prolungato potrebbero essere visualizzati come Sconosciuti. In particolare, se un dispositivo è rimasto inattivo per più di 28 giorni, potrebbe non avere più dati di diagnostica recenti di avvio protetto disponibili. Di conseguenza, il dispositivo può essere visualizzato come Sconosciuto nel report anche se non esistono problemi di configurazione.
Per garantire una creazione di report accurata, verificare che i dispositivi siano attivi e che segnalino regolarmente i dati di diagnostica dell'avvio protetto. Verificare che il tenant abbia abilitato il servizio di trattamento dei dati per Windows (DPSW).
Avvisi nel report avvio protetto
La colonna Avvisi offre visibilità sui problemi che interessano i singoli dispositivi.
- I dispositivi con dati di diagnostica mancanti potrebbero visualizzare un avviso DeviceDiagnosticDataNotReceived .
- I dispositivi non aggiornati potrebbero mostrare avvisi che indicano l'azione necessaria.
Usare gli avvisi per:
- Identificare rapidamente i dispositivi interessati.
- Assegnare priorità all'analisi e alla correzione.
Requisiti aggiuntivi per la creazione di report
Attività pianificata Secure-Boot-Update
L'attività pianificata Secure-Boot-Update è necessaria per consentire a Windows di applicare gli aggiornamenti del certificato di avvio protetto.
Se questa attività è disabilitata o eliminata:
- Gli aggiornamenti del certificato di avvio protetto non verranno aggiornati.
- I dispositivi potrebbero continuare a segnalare lo stato obsoleto o incompleto.
Altre informazioni su come risolvere i problemi relativi all'attività pianificata di avvio sicuro.
Criteri DisableOneSettingsDownloads
Non abilitare il CSP DisableOneSettingsDownloads .
Windows si connette periodicamente al servizio OneSettings per recuperare i dati di configurazione necessari per la creazione di report. Se questo criterio è abilitato, i dati di report necessari potrebbero non essere scaricati. Pertanto, lo stato del dispositivo può apparire incompleto o non aggiornato.
Per altre informazioni su questo criterio, vedere la documentazione del sistema CSP per i criteri.
Novità del report sullo stato dell'avvio protetto
Il report sullo stato dell'avvio protetto è stato migliorato dall'avvio. I miglioramenti offrono visibilità aggiuntiva sulla configurazione del dispositivo, sull'idoneità degli aggiornamenti e sull'accuratezza dei report.
Sono ora disponibili i miglioramenti seguenti:
- I valori dello stato del certificato sono ora interattivi, consentendo informazioni dettagliate dettagliate per certificato.
- Una nuova colonna di configurazione dell'attendibilità dell'avvio protetto mostra i certificati applicabili per ogni dispositivo.
- Una nuova colonna Livello di attendibilità fornisce indicazioni basate sui dati Microsoft sull'esito positivo degli aggiornamenti per dispositivi simili.
- Una nuova colonna Data ultima segnalazione mostra quando l'ultimo dispositivo ha segnalato i dati di diagnostica.
- Una nuova colonna Avvisi evidenzia i problemi che interessano ogni dispositivo direttamente nel report.
- Le colonne del report hanno ora migliorato l'ordinamento e il filtro.
Per ogni dispositivo, il report indica se l'avvio protetto è abilitato o meno. I dispositivi che non hanno l'avvio protetto abilitato non richiedono alcuna azione.