Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Was ist sicherer Start?
Sicherer Start ist ein zentrales Windows-Sicherheitsfeature, das Geräte während des Startvorgangs vor Schadsoftware schützt. Wenn sicherer Start aktiviert ist, überprüft die Systemfirmware (UEFI), dass nur vertrauenswürdige, digital signierte Komponenten geladen werden dürfen, wenn das Gerät gestartet wird. Dies trägt dazu bei, Schadsoftware auf Startebene zu verhindern und sicherzustellen, dass Windows mit der Verwendung von bekanntem fehlerfreiem, sicher signiertem Code beginnt.
Der sichere Start basiert auf digitalen Zertifikaten, die in der Systemfirmware gespeichert sind. Diese Zertifikate müssen auf dem neuesten Stand bleiben, um den kontinuierlichen Schutz und die Kompatibilität mit Windows-Sicherheitsupdates sicherzustellen.
Warum sicherer Start status wichtig ist
Während sich die Windows-Sicherheit weiterentwickelt, werden einige Zertifikate für den sicheren Start aktualisiert oder ersetzt, um neue Bedrohungen zu beheben und den Plattformschutz zu stärken. Bei Geräten, bei denen sicherer Start aktiviert ist, aber erforderliche Zertifikatupdates fehlen, können im Laufe der Zeit Kompatibilitäts- oder Sicherheitsprobleme auftreten.
Der Bericht sicherer Start status in Windows Autopatch soll IT-Administratoren dabei helfen, den Status des sicheren Starts ihrer Flotte zu verstehen und Geräte zu identifizieren, die möglicherweise Aufmerksamkeit erfordern, bevor Probleme auftreten.
Übersicht über den status-Bericht für den sicheren Start
Der Bericht sicherer Start status bietet eine Ansicht des sicheren Starts auf Ihren verwalteten Windows Autopatch-Geräten auf Geräteebene. Es hilft bei der Beantwortung von drei wichtigen Fragen:
- Auf welchen Geräten ist der sichere Start aktiviert?
- Welche Geräte, die für den sicheren Start aktiviert sind, sind vollständig auf dem neuesten Stand?
- Welche Geräte mit Aktivierter sicherer Start benötigen Zertifikatupdates?
Der Bericht zeigt für jedes Gerät an, ob der sichere Start aktiviert ist. Für Geräte, für die der sichere Start nicht aktiviert ist, ist keine Aktion erforderlich.
So suchen Sie diesen Bericht:
- Wechseln Sie zum Intune Admin Center.
- Navigieren Sie zu Berichte>Windows Autopatch>Windows-Qualitätsupdates.
- Wählen Sie die Registerkarte Berichte aus.
- Wählen Sie status sicherer Start aus.
Geräte mit aktiviertem sicheren Start
Für Geräte, auf denen sicherer Start aktiviert ist, gibt der Bericht weiter an, ob die Zertifikate für den sicheren Start des Geräts auf dem neuesten Stand sind.
- Wenn ein Gerät sicherer Start aktiviert und aktuell ist, ist keine Aktion erforderlich.
- Wenn ein Gerät sicherer Start aktiviert ist, aber nicht auf dem neuesten Stand ist, ist eine Aktion erforderlich, um die Zertifikate für den sicheren Start des Geräts auf die Versionen 2023 zu aktualisieren. Erfahren Sie mehr über Anleitungen für IT-Experten und Organisationen für Zertifikatupdates für den sicheren Start.
Geräte ohne aktivierten sicheren Start
Wenn auf einem Gerät der sichere Start nicht aktiviert ist, ist aus Sicht der Zertifikatbereitschaft für den sicheren Start keine Aktion erforderlich. Diese Geräte sind aus Gründen der Sichtbarkeit im Bericht enthalten, aber Zertifikatupdates für den sicheren Start gelten nur für Geräte, auf denen der sichere Start aktiviert ist.
Wie dieser Bericht IT-Administratoren hilft
Der Bericht "Sicherer Start status" hilft IT-Administratoren:
- Grundlegendes zur Einführung des sicheren Starts in der gesamten Umgebung
- Identifizieren von Geräten mit aktivierter Sicherer Start, die Zertifikatupdates benötigen
- Planen von Firmware- und BIOS-Updatestrategien mit Vertrauen
- Reduzieren Sie risiken, indem Sie die Bereitschaft für den sicheren Start proaktiv adressieren
Durch die Zentralisierung dieser Informationen in Windows Autopatch können Administratoren die Bereitschaft zum sicheren Start einfacher überwachen und bei Bedarf informierte, gezielte Maßnahmen ergreifen – ohne unnötige Korrekturen oder Vermutungen.
Interpretieren von Zertifikaten für den sicheren Start status
Wenn Sie diesen Bericht verwenden, um die Bereitschaft für den sicheren Start in Ihrer Gesamten Umgebung zu bewerten, ist es wichtig zu verstehen, wie das Zertifikat für den sicheren Start status ausgewertet wird und wie die Ergebnisse interpretiert werden.
Einige Administratoren vergleichen die in diesem Bericht gezeigte Bereitschaft des Zertifikats für den sicheren Start mit Ergebnissen von benutzerdefinierten Skripts oder Firmwareüberprüfungstools und stellen Unterschiede fest. Diese Unterschiede werden häufig erwartet und weisen nicht auf ein Problem mit dem Bericht hin.
Die Bereitschaft des Zertifikats für den sicheren Start wird durch die Konfiguration der Firmwarevertrauensstellung eines Geräts und nicht durch den Gerätehersteller allein bestimmt. Windows Autopatch wertet die Anwendbarkeit von Zertifikaten basierend darauf aus, wie das Gerät so konfiguriert ist, dass Startkomponenten als vertrauenswürdig konfiguriert werden, anstatt einen einheitlichen Satz von Zertifikaten für den sicheren Start auf allen Geräten zu erfordern.
Beispielsweise kann ein Gerät, das so konfiguriert ist, dass nur von Microsoft signierte Startkomponenten als auf dem neuesten Stand sind, auch wenn nicht microsoft Secure Boot-Zertifikate vorhanden sind. In diesem Szenario gelten Nicht-Microsoft-Zertifikate nicht für die Startkonfiguration dieses Geräts.
Stellen Sie beim Überprüfen des zertifikats status sicher, dass alle Vergleiche die Konfiguration der Firmwarevertrauensstellung des Geräts berücksichtigen. Der Vergleich der Zertifikatspräsenz ohne Berücksichtigung der aktiven Startkonfiguration kann zu falschen Schlussfolgerungen zur Gerätebereitschaft führen.
Es ist keine Aktion erforderlich, wenn ein Gerät im Bericht Sicherer Start status als aktuell gemeldet wird.
Berichtsspalten für den sicheren Start status
Der Bericht sicherer Start status enthält eine Reihe von Standardspalten, die für alle Kunden angezeigt werden, sowie optionale Spalten, die der Ansicht hinzugefügt werden können, um tiefere Einblicke in Hardware und Firmware zu erhalten.
Standardspalten
Diese Spalten werden standardmäßig angezeigt und sollen IT-Administratoren dabei helfen, die Abdeckung für den sicheren Start und die Zertifikatbereitschaft auf ihren Geräten schnell zu verstehen.
| Name der Spalte | Beschreibung |
|---|---|
| Gerätename | Der Name des Geräts. |
| BS-Version | Die Windows-Betriebssystemversion, die auf dem Gerät ausgeführt wird. |
| Microsoft Entra Geräte-ID | Die dem Gerät zugeordnete Microsoft Entra Geräte-ID. |
| Secure Boot enabled | Gibt an, ob der sichere Start auf dem Gerät aktiviert ist. |
| Zertifikats status | Eine aggregierte status, die angibt, ob die Zertifikate für den sicheren Start auf dem Gerät aktuell, Nicht aktuell oder Nicht zutreffend sind. |
| Gerätemodell | Das kommerzielle Modell des Geräts. |
Optionale Spalten
Diese Spalten können dem Bericht hinzugefügt werden, um einen detaillierteren Hardware- und Firmwarekontext bereitzustellen. Sie sind hilfreich für die Problembehandlung, Hardwarekorrelation und erweiterte Analyse, sind aber nicht erforderlich, um den sicheren Start status zu verstehen.
| Name der Spalte | Beschreibung |
|---|---|
| Gerätehersteller | Der vom OEM gemeldete Gerätehersteller. |
| Hersteller von Systemplatinen | Der Hersteller der Systemplatine (Motherboard) des Geräts. |
| Modellfamilie | Die Produktfamilie oder Produktlinie des Geräts. |
| Systemboardmodell | Das spezifische Systemboardmodell, das im Gerät verwendet wird. |
| Systemboardversion | Die Version oder Revision des Systemboards. |
| Geräte-SKU | Die OEM-SKU, die eine bestimmte Hardwarekonfiguration identifiziert. |
| Firmwarehersteller | Der Hersteller der Gerätefirmware (BIOS/UEFI). |
| Firmwareversion | Die derzeit installierte Firmwareversion (BIOS/UEFI). |
| Veröffentlichungsdatum der Firmware | Das Veröffentlichungsdatum der installierten Firmwareversion. |
Datenfrischheit, Berichtslatenz und Diagnosedatenanforderungen
Der Bericht "Sicherer Start status" basiert auf Ereignissen im Zusammenhang mit sicherem Start, die von Geräten nach dem Start gemeldet werden. Daher werden Änderungen am Zustand des sicheren Starts oder des Zertifikats status möglicherweise nicht sofort im Bericht angezeigt.
Nachdem zertifikate für den sicheren Start aktualisiert und das Gerät neu gestartet wurde, kann es bis zu 12 Stunden dauern, bis die aktualisierten status verarbeitet und im Bericht "Sicherer Start status" angezeigt werden.
Wenn ein Gerät kurz nach der Wartung Nicht aktuell, Nicht zutreffend oder Unbekannt angezeigt wird, deutet dies nicht auf einen Fehler hin. Lassen Sie dem Gerät Zeit, die Berichterstellung abzuschließen, bevor Sie zusätzliche Maßnahmen ergreifen.
Der Bericht sicherer Start status hängt auch von der erfolgreichen Berichterstellung und Verarbeitung von Diagnosedaten für den sicheren Start ab. Wenn ein Gerät nicht für die Freigabe der erforderlichen (einfachen) Windows-Diagnosedaten konfiguriert ist, werden Ereignisse für den sicheren Start möglicherweise nicht gemeldet, und das Gerät wird im Bericht möglicherweise als Unbekannt oder Nicht zutreffend angezeigt. In diesem Fall weist der Bericht nicht auf einen Fehler oder eine Fehlkonfiguration hin. Es gibt an, dass keine Diagnosedaten für den sicheren Start für das Gerät empfangen wurden.
Um eine genaue und vollständige Berichterstellung sicherzustellen, konfigurieren Sie Geräte so, dass die erforderlichen Windows-Diagnosedaten freigegeben werden. Überprüfen Sie, ob der Datenprozessordienst für Windows (DPSW) für den Mandanten aktiviert ist.
Aktuelle Verbesserungen am Bericht
Der Bericht "Sicherer Start status" wurde aktualisiert, um die Vollständigkeit und Konsistenz der angezeigten Daten zu verbessern.
- Der Bericht schränkt die Anzahl der Geräte, die angezeigt werden können, nicht mehr ein.
- Exportierte Berichtsdaten enthalten jetzt alle anwendbaren Geräte.
- Exportierte Daten spiegeln jetzt die gleichen Werte wider, die im Bericht angezeigt werden.
Diese Verbesserungen stellen sicher, dass sowohl die Berichtsansicht als auch die exportierten Daten eine vollständige und konsistente Darstellung der status für den sicheren Start in Ihrer gesamten Geräteflotte bieten.