Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Che cos'è l'avvio protetto?
L'avvio protetto è una funzionalità di sicurezza di Base di Windows che consente di proteggere i dispositivi da software dannoso durante l'avvio. Quando l'avvio protetto è abilitato, il firmware di sistema (UEFI) verifica che solo i componenti con firma digitale attendibili siano autorizzati a caricare all'avvio del dispositivo. In questo modo si evita il malware a livello di avvio e si garantisce che Windows inizi a usare codice noto valido e firmato in modo sicuro.
L'avvio protetto si basa su certificati digitali archiviati nel firmware di sistema. Questi certificati devono rimanere aggiornati per garantire la protezione continua e la compatibilità con gli aggiornamenti della sicurezza di Windows.
Perché lo stato di avvio protetto è importante
Con l'evolversi della sicurezza di Windows, alcuni certificati di avvio protetto vengono aggiornati o sostituiti per affrontare le minacce emergenti e rafforzare le protezioni della piattaforma. I dispositivi in cui l'avvio protetto è abilitato ma mancano gli aggiornamenti dei certificati necessari potrebbero riscontrare problemi di compatibilità o sicurezza nel tempo.
Il report sullo stato dell'avvio protetto in Windows Autopatch è progettato per aiutare gli amministratori IT a comprendere il comportamento di avvio protetto della flotta e a identificare i dispositivi che potrebbero richiedere attenzione, prima che si verifichino problemi.
Panoramica del report sullo stato dell'avvio protetto
Il report sullo stato dell'avvio protetto offre una visualizzazione a livello di dispositivo dell'avvio protetto nei dispositivi gestiti da Windows Autopatch. Consente di rispondere a tre domande chiave:
- Quali dispositivi hanno l'avvio protetto abilitato?
- Quali dispositivi abilitati per l'avvio protetto sono completamente aggiornati?
- Quali dispositivi abilitati per l'avvio protetto necessitano di aggiornamenti dei certificati?
Per ogni dispositivo, il report indica se l'avvio protetto è abilitato o meno. I dispositivi che non hanno l'avvio protetto abilitato non richiedono alcuna azione.
Per individuare il report:
- Passare all'interfaccia di amministrazione Intune.
- Passare a Report> aggiornamentiqualitativi diWindows Autopatch> Windows.
- Selezionare la scheda Report .
- Selezionare Stato avvio protetto.
Dispositivi con avvio protetto abilitato
Per i dispositivi in cui è abilitato l'avvio protetto, il report indica ulteriormente se i certificati di avvio protetto del dispositivo sono aggiornati.
- Se un dispositivo è abilitato e aggiornato, non è necessaria alcuna azione.
- Se un dispositivo è abilitato ma non aggiornato, è necessaria un'azione per aggiornare i certificati di avvio protetto del dispositivo alle versioni 2023. Altre informazioni sulle linee guida per professionisti IT e organizzazioni per gli aggiornamenti dei certificati di avvio sicuro.
Dispositivi senza avvio protetto abilitato
Se per un dispositivo non è abilitato l'avvio protetto, non è necessaria alcuna azione dal punto di vista dell'idoneità del certificato di avvio protetto. Questi dispositivi sono inclusi nel report per la visibilità, ma gli aggiornamenti del certificato di avvio protetto si applicano solo ai dispositivi in cui è abilitato l'avvio protetto.
Come questo report aiuta gli amministratori IT
Il report sullo stato dell'avvio protetto consente agli amministratori IT di:
- Informazioni sull'adozione dell'avvio protetto nell'ambiente
- Identificare i dispositivi abilitati per l'avvio protetto che necessitano di aggiornamenti dei certificati
- Pianificare le strategie di aggiornamento del firmware e del BIOS con attendibilità
- Ridurre i rischi affrontando in modo proattivo la preparazione dell'avvio protetto
Centralizzando queste informazioni in Windows Autopatch, gli amministratori possono monitorare più facilmente l'idoneità dell'avvio protetto e intraprendere azioni informate e mirate, se necessario, senza correzioni o tentativi di indovinare non necessari.
Interpretazione dello stato del certificato di avvio protetto
Quando si usa questo report per valutare l'idoneità dell'avvio protetto in tutto l'ambiente, è importante comprendere come viene valutato lo stato del certificato di avvio protetto e come interpretare i risultati.
Alcuni amministratori confrontano l'idoneità dei certificati di avvio protetto mostrata in questo report con i risultati di script personalizzati o strumenti di ispezione del firmware e notano differenze. Queste differenze sono spesso previste e non indicano un problema con il report.
L'idoneità del certificato di avvio sicuro è determinata dalla configurazione dell'attendibilità del firmware di un dispositivo, anziché dal solo produttore del dispositivo. Windows Autopatch valuta l'applicabilità dei certificati in base al modo in cui il dispositivo è configurato per considerare attendibili i componenti di avvio, anziché richiedere un set uniforme di certificati di avvio protetto in tutti i dispositivi.
Ad esempio, un dispositivo configurato per considerare attendibili solo i componenti di avvio firmati da Microsoft può essere segnalato come aggiornato, anche se non sono presenti certificati di avvio protetto non Microsoft. In questo scenario, i certificati non Microsoft non sono applicabili alla configurazione di avvio del dispositivo.
Quando si convalida lo stato del certificato di avvio protetto, assicurarsi che tutti gli account di confronto per la configurazione dell'attendibilità del firmware del dispositivo. Il confronto tra la presenza di certificati senza considerare la configurazione di avvio attivo può portare a conclusioni errate sulla conformità del dispositivo.
Se un dispositivo viene segnalato come aggiornato nel report sullo stato dell'avvio protetto, non è necessaria alcuna azione.
Colonne del report sullo stato dell'avvio protetto
Il report stato avvio protetto include un set di colonne predefinite visualizzate per tutti i clienti, nonché colonne facoltative che possono essere aggiunte alla visualizzazione per informazioni più approfondite su hardware e firmware.
Colonne predefinite
Queste colonne vengono visualizzate per impostazione predefinita e sono progettate per consentire agli amministratori IT di comprendere rapidamente la copertura dell'avvio protetto e la conformità ai certificati nei dispositivi.
| Nome colonna | Descrizione |
|---|---|
| Nome dispositivo | Nome del dispositivo. |
| Versione del sistema operativo | Versione del sistema operativo Windows in esecuzione nel dispositivo. |
| Microsoft Entra ID dispositivo | Il Microsoft Entra ID dispositivo associato al dispositivo. |
| Secure Boot enabled | Indica se l'avvio protetto è abilitato nel dispositivo. |
| Stato del certificato | Stato di aggregazione che indica se i certificati di avvio protetto nel dispositivo sono aggiornati, non aggiornati o non applicabili. |
| Modello dispositivo | Modello commerciale del dispositivo. |
Colonne facoltative
Queste colonne possono essere aggiunte al report per fornire un contesto hardware e firmware più dettagliato. Sono utili per la risoluzione dei problemi, la correlazione hardware e l'analisi avanzata, ma non sono necessari per comprendere lo stato di avvio protetto.
| Nome colonna | Descrizione |
|---|---|
| Device manufacturer | Produttore del dispositivo segnalato dall'OEM. |
| Produttore della scheda di sistema | Produttore della scheda di sistema del dispositivo (scheda madre). |
| Famiglia di modelli | La famiglia di prodotti del dispositivo o la linea di prodotti. |
| Modello di scheda di sistema | Modello di scheda di sistema specifico usato nel dispositivo. |
| Versione scheda di sistema | Versione o revisione della scheda di sistema. |
| SKU del dispositivo | SKU OEM che identifica una configurazione hardware specifica. |
| Produttore del firmware | Produttore del firmware del dispositivo (BIOS/UEFI). |
| Firmware version | Versione del firmware (BIOS/UEFI) attualmente installata. |
| Data di rilascio del firmware | Data di rilascio della versione del firmware installata. |
Aggiornamento dei dati, latenza dei report e requisiti dei dati di diagnostica
Il report sullo stato dell'avvio protetto si basa sugli eventi correlati all'avvio protetto segnalati dai dispositivi dopo l'avvio. Di conseguenza, le modifiche apportate allo stato di avvio protetto o allo stato del certificato potrebbero non essere visualizzate immediatamente nel report.
Dopo l'aggiornamento dei certificati di avvio protetto e il riavvio del dispositivo, possono essere richieste fino a 12 ore prima che lo stato aggiornato venga elaborato e riportato nel report stato avvio protetto.
Se un dispositivo viene visualizzato Non aggiornato, Non applicabile o Sconosciuto poco dopo la correzione, questo non indica un errore. Consentire al dispositivo di completare la creazione di report prima di intraprendere un'azione aggiuntiva.
Il report sullo stato dell'avvio protetto dipende anche dalla corretta creazione di report e dall'elaborazione dei dati di diagnostica dell'avvio protetto. Se un dispositivo non è configurato per condividere i dati di diagnostica di Windows necessari (di base), gli eventi di avvio protetto potrebbero non essere segnalati e il dispositivo potrebbe essere visualizzato come Sconosciuto o Non applicabile nel report. In questo caso, il report non indica un errore o una configurazione errata; indica che non sono stati ricevuti dati di diagnostica di avvio protetto per il dispositivo.
Per garantire report accurati e completi, configurare i dispositivi per condividere i dati di diagnostica di Windows necessari. Verificare che il servizio processore di dati per Windows (DPSW) sia abilitato per il tenant.
Miglioramenti recenti del report
Il report sullo stato dell'avvio protetto è stato aggiornato per migliorare la completezza e la coerenza dei dati presentati.
- Il report non limita più il numero di dispositivi che possono essere visualizzati.
- I dati del report esportati ora includono tutti i dispositivi applicabili.
- I dati esportati ora riflettono gli stessi valori visualizzati nel report.
Questi miglioramenti garantiscono che sia la visualizzazione report che i dati esportati forniscano una rappresentazione completa e coerente dello stato di avvio protetto nell'intera flotta di dispositivi.