تاريخ النشر الأصلي: 13 مايو 2026
معرف KB: 5085395
تحتوي هذه المقالة على إرشادات حول:
-
Azure أجهزة التشغيل الظاهرية الموثوق بها (TVM) والأجهزة الظاهرية السرية (CVM) التي تعمل بنظام التشغيل Windows مع تمكين التمهيد الآمن.
-
للحصول على القائمة الكاملة لأنظمة تشغيل Windows المدعومة، راجع المقالة: التشغيل الموثوق به للأجهزة الظاهرية Azure
في هذه المقالة:
المقدمة
التمهيد الآمن هو ميزة أمان البرامج الثابتة UEFI التي تساعد على ضمان تشغيل البرامج الموثوق بها والموقعة رقميا فقط أثناء تسلسل تمهيد الجهاز. تبدأ صلاحية شهادات Microsoft Secure Boot الصادرة في عام 2011 في يونيو 2026.
للحفاظ على حماية التمهيد الآمن والخدمة المستمرة لعملية التمهيد المبكر، يجب تحديث Azure Trusted Launch والأجهزة الظاهرية السرية بكل مما يلي:
-
شهادات التمهيد الآمن 2023 في البرامج الثابتة الظاهرية
-
Windows Boot Manager موقع من قبل الشهادات المحدثة
تعمل هذه المكونات معا: تنشئ الشهادات الثقة في البرامج الثابتة الظاهرية، ويجب تحديث إدارة التمهيد ليتم توقيعها من قبل تلك الثقة.
للمساعدة في منع الثغرات في الحماية، تحقق من تحديث كلا المكونين وبدء التحديثات عند الحاجة.
إذا استمر الجهاز الظاهري في الاعتماد على شهادات 2011 بعد انتهاء الصلاحية، فيمكنه الاستمرار في التمهيد وتلقي تحديثات Windows القياسية. ومع ذلك، لن يتلقى بعد الآن حماية أمان جديدة لعملية التمهيد المبكر، بما في ذلك التحديثات إلى Windows Boot Manager أو قواعد بيانات التمهيد الآمن وقوائم الإبطال أو عوامل التخفيف للثغرات الأمنية المكتشفة حديثا على مستوى التمهيد.
لمعرفة المزيد، راجع متى تنتهي صلاحية شهادات التمهيد الآمن على أجهزة Windows.
تحديد السيناريوهات التي تتطلب إجراء
في معظم الحالات، يطبق Windows شهادات التمهيد الآمن 2023 تلقائيا من خلال التحديثات الشهرية على الأجهزة المؤهلة، بما في ذلك Azure التشغيل الموثوق به والأجهزة الظاهرية السرية المدعومة مع تمكين التمهيد الآمن. قد لا تكون بعض الأجهزة الظاهرية مؤهلة للتوزيع التلقائي إذا لم تتوفر إشارات توافق كافية. في هذه الحالات، قد يلزم اتخاذ إجراء إداري لبدء التحديثات من داخل نظام التشغيل الضيف. لمزيد من المعلومات حول كيفية الحصول على تحديثات شهادات التمهيد الآمن، تفضل بزيارة: تحديثات شهادة التمهيد الآمن: إرشادات لمتخصصي تكنولوجيا المعلومات والمؤسسات.
تتضمن تحديثات التمهيد الآمن ل Azure Trusted Launch والأجهزة الظاهرية السرية مكونين:
-
شهادات التمهيد الآمن المخزنة في البرامج الثابتة الظاهرية (المدارة بواسطة النظام الأساسي)
-
Windows Boot Manager (يديره نظام التشغيل الضيف)
عادة ما تتضمن الأجهزة الظاهرية التي تم إنشاؤها بعد مارس 2024 شهادات التمهيد الآمن 2023 في البرامج الثابتة الظاهرية. تتطلب هذه الأجهزة الظاهرية بشكل عام تحديث Windows Boot Manager فقط.
لا تتضمن الأجهزة الظاهرية طويلة الأمد التي تم إنشاؤها قبل مارس 2024 شهادات Secure Boot 2023 في البرامج الثابتة الظاهرية وتتطلب تحديثات لكل من شهادات التمهيد الآمن وWindows Boot Manager.
تبدأ عمليات التحديث من داخل نظام تشغيل الضيف من خلال خدمة Windows وتعتمد على دعم النظام الأساسي لتطبيق التحديثات المصادق عليها على متغيرات التمهيد الآمن في البرامج الثابتة الظاهرية.
بعد تحديد السيناريوهات القابلة للتطبيق، قم بجرد بيئتك لتحديد الأجهزة الظاهرية التي تتطلب تحديثات.
الإجراءات المطلوبة:
-
تأكد من تحديث الأجهزة الظاهرية الضيفة بتحديث Windows لشهر مارس 2026 أو إصدار أحدث (أبريل 2026 أو أحدث إذا كنت تستخدم hotpatching). راجع المزيد: Hotpatch for Windows Server.
-
تحقق من أن جميع Azure Trusted Launch والأجهزة الظاهرية السرية تحتوي على شهادات Secure Boot 2023 وWindows Boot Manager محدثة.
-
ابدأ التحديثات من داخل نظام التشغيل الضيف لتطبيق شهادة التمهيد الآمن وتحديثات Windows Boot Manager عند الحاجة.
-
تدقيق سجلات أحداث نظام Windows: معرف الحدث 1808ومعرف الحدث 1801 أو مراقبة مفتاح تسجيل UEFICA2023Status لتأكيد ما إذا تم تطبيق شهادات التمهيد الآمن المحدثة وما إذا كان قد تم تحديث Windows Boot Manager.
بالنسبة للأجهزة التي لم تطبق هذه التحديثات، استخدم أساليب المراقبة والتوزيع الموضحة في دليل مبادئ التمهيد الآمن، Windows Server دليل مبادئ التمهيد الآمن للشهادات التي تنتهي صلاحيتها في عام 2026، وفي https://aka.ms/GetSecureBoot للحصول على إرشادات كاملة.
اعتبارات الجهاز الظاهري الضيف Azure
راجع السيناريوهات والإجراءات المطلوبة لمضيفي الجلسة:
|
سيناريو الجهاز الظاهري |
التمهيد الآمن نشط؟ |
الإجراء المطلوب |
|
TVM أو CVM مع تمكين التمهيد الآمن |
نعم |
تحديث شهادات التمهيد الآمن وWindows Boot Manager |
|
TVM مع تعطيل التمهيد الآمن |
لا |
لا يلزم اتخاذ أي إجراء |
|
الجهاز الظاهري من الجيل 1 |
غير مدعوم |
لا يلزم اتخاذ أي إجراء |
ملاحظة: Standard الأجهزة الظاهرية من نوع الأمان لم يتم تمكين التمهيد الآمن.
اعتبارات الصورة الذهبية
راجع السيناريوهات التالية والإجراءات المطلوبة للصور:
ملاحظة: توفر صور Azure Marketplace نقاط بداية تم تكوينها مسبقا أو صور الفانيليا أو الناشرين الافتراضية، بينما يتم استخدام صور معرض الحوسبة Azure لتخزين الصور المخصصة وتوزيعها. في كلتا الحالتين، تلتقط الصور Windows Boot Manager ولكنها لا تتضمن متغيرات البرامج الثابتة للتمهيد الآمن، والتي يتم تطبيقها على مستوى الجهاز الظاهري.
Azure Compute Gallery والصور المدارة تلتقط نظام التشغيل وحالة محمل التمهيد، بما في ذلك Windows Boot Manager، ولكن لا تتضمن متغيرات البرامج الثابتة للتمهيد الآمن. يتم تخزين شهادات التمهيد الآمن، مثل تحديثات قاعدة بيانات التمهيد الآمن (DB) أو مفاتيح تبادل المفاتيح (KEK)، في البرنامج الثابت الظاهري للجهاز الظاهري المنشور ولا يتم التقاطها أثناء تعميم الصورة.
يؤدي تطبيق تحديثات التمهيد الآمن داخل صورة ذهبية إلى تقدم Windows Boot Manager ولكنه لا يستمر في شهادات Secure Boot على الأجهزة الظاهرية المقدمة من تلك الصورة. ومع ذلك، يؤدي إجراء هذا التحديث إلى تقدم Windows Boot Manager داخل الصورة.
الإجراءات المطلوبة:
-
تطبيق تحديث Secure Boot 2023 على الصورة الذهبية قبل التقاطها. ملاحظة: يؤدي هذا إلى تقدم Windows Boot Manager ولكنه لن يستمر في شهادات التمهيد الآمن للأجهزة الظاهرية المنشورة.
-
أعد تشغيل الجهاز الظاهري كما هو مطلوب للسماح بتطبيق تحديث Boot Manager.
-
تحقق من اكتمال التحديث قبل تعميم الصورة عن طريق تشغيل أمر PowerShell التالي وتأكيد تعيين القيمة إلى محدث:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
ينطبق تحديث Windows Boot Manager داخل صورة ذهبية على هذا التحديث على الأجهزة الظاهرية التي تم نشرها أو إعادة توزيعها باستخدام الصورة. تتضمن Azure Trusted Launch والأجهزة الظاهرية السرية التي تم توفيرها حديثا شهادات Secure Boot 2023 في البرامج الثابتة الظاهرية ويمكنها استخدام الصور الذهبية بأمان مع Windows Boot Manager المحدث.
ومع ذلك، قد تقوم عمليات إعادة التوزيع المستندة إلى الصور على الأجهزة الظاهرية الموجودة التي تم إنشاؤها قبل مارس 2024 بتطبيق Windows Boot Manager المحدث على الأجهزة الظاهرية التي لا يثق برنامجها الثابت بعد في شهادات Secure Boot 2023 المقابلة. في هذه الحالات، يجب تطبيق تحديثات شهادة التمهيد الآمن داخل نظام التشغيل الضيف قبل تطوير Windows Boot Manager.
اعتبارات موارد Azure الأخرى
|
مورد Azure |
هل تم إنشاؤه قبل أبريل 2024؟ |
الإجراء المطلوب |
|---|---|---|
|
النسخ الاحتياطي/لقطة من TVM أو CVM |
نعم |
قم بتمهيد الجهاز الظاهري، وتطبيق التحديثات، ثم إعادة الالتقاط |
|
النسخ الاحتياطي/لقطة من TVM أو CVM |
لا |
لا يلزم اتخاذ أي إجراء |
|
Azure التقاط صور معرض الحوسبة مع (نوع أمان الصورة = TL أو CVM) من TVM أو CVM |
نعم |
قم بتمهيد الجهاز الظاهري، وتطبيق التحديثات، ثم إعادة الالتقاط |
|
Azure التقاط صور معرض الحوسبة مع (نوع أمان الصورة = TL أو CVM) من TVM أو CVM |
لا |
لا يلزم اتخاذ أي إجراء |
مراقبة حالة التحديث
تتبع مراقبة تحديثات شهادة التمهيد الآمن ونشرها في Azure الأجهزة الظاهرية الموثوق بها والسرية نفس إرشادات خدمة Windows المستخدمة للأجهزة الفعلية والظاهرية.
للحصول على إرشادات مراقبة مفصلة، بما في ذلك كيفية مخزون الأجهزة، والتحقق من تحديثات متغيرات البرامج الثابتة، وتتبع تقدم التحديث، راجع دليل تشغيل التمهيد الآمن Windows Serverhttps://aka.ms/GetSecureBoot.
نشر التحديثات
يتم بدء تحديثات شهادة التمهيد الآمن للأجهزة الظاهرية الموثوق بها Azure والاطلاق الموثوق به والسرية من داخل نظام التشغيل الضيف باستخدام خدمة Windows.
اتبع إرشادات التوزيع في دليل مبادئ التمهيد الآمن Windows Server من أجل:
-
التوزيع التلقائي عبر Windows Update
-
أساليب النشر التي بدأتها تكنولوجيا المعلومات
-
خدمة مفاتيح التسجيل
-
تسلسل التوزيع
عند استخدام صور الجهاز الظاهري المخصصة أو المعاد استخدامها، راجع اعتبارات الصورة الذهبية في هذه المقالة قبل تطوير Windows Boot Manager.
الموارد
-
إشارة مرجعية احصل على التمهيد الآمن للحصول على مزيد من المعلومات حول هذا التغيير، وإرشادات مفصلة لإدارة تحديث شهادة التمهيد الآمن، وإجابات على الأسئلة المتداولة.
-
تحديثات شهادة التمهيد الآمن: إرشادات لمتخصصي تكنولوجيا المعلومات والمؤسسات
-
لمزيد من التفاصيل حول أحداث سجل الأحداث، راجع أحداث تحديث متغير التمهيد الآمن DB وDBX.
-
لمزيد من التفاصيل حول مفاتيح تسجيل التمهيد الآمن، راجع تحديثات مفتاح التسجيل للتمهيد الآمن: أجهزة Windows مع التحديثات المدارة بواسطة تكنولوجيا المعلومات.
إذا كانت لديك خطة دعم وتحتاج إلى مساعدة فنية، فالرجاء إرسال طلب دعم.
تغيير السجل
|
تغيير التاريخ |
تغيير الوصف |
|
13 مايو 2026 |
لا توجد تغييرات في هذه المقالة |
