Първоначална дата на публикуване: 13 май 2026 г.
ИД на КБ: 5085395
Тази статия има указания за:
-
Azure надеждни виртуални машини за стартиране (TVM) и конфиденциални виртуални машини (CVM), работещи с Windows с разрешено защитено стартиране.
-
За пълния списък на поддържаните операционни системи Windows вж. статията: Надеждно стартиране за Azure виртуални машини
В тази статия:
Въведение
Защитеното стартиране е функция за защита на фърмуера на UEFI, която помага да се гарантира, че само надежден, цифрово подписан софтуер се изпълнява по време на последователността на зареждане на устройството. Сертификатите за защитено стартиране на Microsoft, издадени през 2011 г., започват да изтичат през юни 2026 г.
За да се запазят защитите на защитеното стартиране и непрекъснатото обслужване на процеса на ранно стартиране, Azure надеждните стартирания и виртуалните машини с поверителна информация трябва да се актуализират с двете от следните опции:
-
Сертификати за защитено стартиране 2023 във виртуален фърмуер
-
Диспечер за зареждане на Windows, подписан от актуализираните сертификати
Тези компоненти работят заедно: сертификатите установяват доверие във виртуалния фърмуер и диспечерът за зареждане трябва да бъде актуализиран, за да бъде подписан от това доверие.
За да предотвратите пропуски в защитата, уверете се, че и двата компонента се актуализират и инициират актуализации, където е необходимо.
Ако виртуална машина продължава да разчита на сертификатите от 2011 г. след изтичане на срока, може да продължи да стартира и получава стандартни актуализации на Windows. Въпреки това той вече няма да получава нови защити на защитата за процеса на ранно стартиране, включително актуализации на диспечера за зареждане на Windows, базите данни за защитено стартиране и списъците за анулиране или смекчавания на наскоро открити уязвимости на ниво стартиране.
За да научите повече, вижте Кога изтичат сертификатите за защитено стартиране на устройства с Windows.
Идентифициране на сценарии, които изискват действие
В повечето случаи Windows прилага сертификатите на Защитено стартиране 2023 автоматично чрез месечни актуализации на отговарящи на условията устройства, включително поддържани Azure надеждно стартиране и поверителни виртуални машини с разрешено защитено стартиране. Някои виртуални машини може да не отговарят на условията за автоматично разполагане, ако няма достатъчно сигнали за съвместимост. В тези случаи може да се наложи административно действие за иницииране на актуализации от операционната система на госта. За повече информация как да получавате актуализации на сертификати за защитено стартиране посетете: Актуализации на сертификата за защитено стартиране: Указания за ИТ специалисти и организации.
Актуализациите на защитеното стартиране за Azure надеждно стартиране и конфиденциални виртуални машини включват два компонента:
-
Сертификати за защитено стартиране, съхранени във виртуалния фърмуер (управляван от платформа)
-
Диспечер за зареждане на Windows (управляван от вторична ОС)
Виртуалните машини, създадени след март 2024 г., обикновено включват сертификати за защитено стартиране 2023 във виртуалния фърмуер. Тези виртуални машини обикновено изискват само актуализация на диспечера за зареждане на Windows.
Дългосрочните виртуални машини, създадени преди март 2024 г., не включват сертификатите за защитено стартиране 2023 във виртуалния фърмуер и изискват актуализации както за сертификатите за защитено стартиране, така и за диспечера за зареждане на Windows.
Операциите за актуализиране се инициират от операционната система на госта чрез обслужване на Windows и разчитат на поддръжка на платформата за прилагане на удостоверени актуализации към променливи на защитеното стартиране във виртуалния фърмуер.
След като идентифицирате приложимите сценарии, описва вашата среда, за да определите кои виртуални машини изискват актуализации.
Необходими действия:
-
Уверете се, че виртуалните машини гости се актуализират с актуализацията на Windows от март 2026 г. или по-нова версия (април 2026 г. или по-нова версия, ако използвате горещи актуализации). Вижте още: Hotpatch за Windows Server.
-
Уверете се, че всички Azure надеждни стартирания и конфиденциални виртуални машини имат сертификати за защитено стартиране 2023 и актуализиран диспечер за зареждане на Windows.
-
Инициирайте актуализации от операционната система на госта, за да приложите сертификат за защитено стартиране и актуализации на Диспечера за зареждане на Windows, където е необходимо.
-
Проверете регистрите на събитията на системата на Windows: ИД на събитие 1808 и ИД на събитие 1801 или наблюдавайте ключа от системния регистър UEFICA2023Status, за да проверите дали са приложени актуализирани сертификати за защитено стартиране и дали диспечерът за зареждане на Windows е актуализиран.
За устройства, които не са приложили тези актуализации, използвайте методите за наблюдение и разполагане, описани в тактическия указател на защитеното стартиране, Windows Server playbook за защитено стартиране за сертификати, изтичащи през 2026 г., и на https://aka.ms/GetSecureBoot за пълни указания.
Azure съображения за виртуална машина като гост
Прегледайте следните сценарии и необходимите действия за хостовете на сесии:
|
Сценарий с виртуална машина |
Защитено стартиране активно? |
Изисква се действие |
|
TVM или CVM с разрешено защитено стартиране |
Да |
Актуализиране на сертификатите за защитено стартиране и диспечера за зареждане на Windows |
|
TVM със защитено стартиране е забранено |
Не |
Не е необходимо действие |
|
Generation 1 VM |
Не се поддържа |
Не е необходимо действие |
Забележка: Standard виртуални машини тип защита нямат разрешено защитено стартиране.
Съображения за златисти изображения
Прегледайте следните сценарии и необходимите действия за изображенията:
Забележка: Azure изображения от пазара предоставят предварително конфигурирани начални точки, изображения по подразбиране на ванилия или издатели, докато изображенията на галерията с изчисления Azure се използват за съхранение и разпространение на персонализирани изображения. И в двата случая изображенията заснемат диспечера за зареждане на Windows, но не включват променливи на фърмуера за защитено стартиране, които се прилагат на ниво виртуална машина.
Azure Compute Gallery and managed images capture operating system and boot loader state, including Windows Boot Manager, но не включват променливи на фърмуера на защитеното стартиране. Сертификатите за защитено стартиране, като например актуализации на базата данни за защитено стартиране (DB) или ключовете за обмен на ключове (KEK), се съхраняват във виртуалния фърмуер на разположената виртуална машина и не се улавят по време на обобщаването на изображенията.
Прилагането на актуализации на защитеното стартиране в златисто изображение обновява диспечера за зареждане на Windows, но не запазва сертификатите за защитено стартиране на виртуалните машини, предоставени от това изображение. Въпреки това изпълнението на тази актуализация напредва диспечера за зареждане на Windows в изображението.
Необходими действия:
-
Приложете актуализацията на Secure Boot 2023 към златното изображение, преди да го заснемете. Бележка: Това прераства диспечера за зареждане на Windows, но няма да запази сертификатите за защитено стартиране за разположени виртуални машини.
-
Рестартирайте виртуалната машина, както е необходимо, за да разрешите прилагането на актуализацията на диспечера за зареждане.
-
Уверете се, че актуализацията е завършила, преди да обобщите изображението, като изпълните следната команда на PowerShell и се уверите, че стойността е зададена на Актуализирана:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Актуализирането на диспечера за зареждане на Windows в златно изображение се отнася за актуализация за виртуални машини, разположени или повторно разполагани с помощта на изображението. Току-що предоставените Azure надеждните виртуални машини за стартиране и поверителните виртуални машини включват сертификатите за защитено стартиране 2023 във виртуалния фърмуер и могат безопасно да използват златни изображения с актуализирания диспечер за зареждане на Windows.
Въпреки това реразподелянията, базирани на изображения, на съществуващи виртуални машини, създадени преди март 2024 г., може да приложат актуализирания диспечер за зареждане на Windows към виртуални машини, чийто фърмуер все още не се доверява на съответните сертификати на Secure Boot 2023. В тези случаи актуализациите на сертификата за защитено стартиране трябва да се прилагат в рамките на операционната система на госта, преди да се напредне диспечерът за зареждане на Windows.
Други съображения, свързани с Azure ресурси
|
ресурс на Azure |
Създадена преди април 2024 г.? |
Изисква се действие |
|---|---|---|
|
Архивиране/снимка на TVM или CVM |
Да |
Зареждане на виртуалната машина, прилагане на актуализации и след това обновяване |
|
Архивиране/снимка на TVM или CVM |
Не |
Не е необходимо действие |
|
Azure Compute Gallery image captures with (image security type = TL or CVM) captures from TVM or CVM |
Да |
Зареждане на виртуалната машина, прилагане на актуализации и след това обновяване |
|
Azure Compute Gallery image captures with (image security type = TL or CVM) captures from TVM or CVM |
Не |
Не е необходимо действие |
Следене на състоянието на актуализацията
Наблюдението и разполагането на актуализации на сертификати за защитено стартиране в Azure надеждно стартиране и поверителните виртуални машини следват същите указания за обслужване на Windows, използвани за физически и виртуализирани устройства.
За подробни указания за мониторинг, включително как да описвате устройствата, да проверявате актуализациите на променливите на фърмуера и да проследявате напредъка на актуализацията, вижте Playbook за защитено стартиране за Windows Server и https://aka.ms/GetSecureBoot.
Разполагане на актуализации
Актуализациите на сертификата за защитено стартиране за Azure надеждните стартирания и виртуалните машини с поверителна информация се инициират от операционната система гости с помощта на обслужването на Windows.
Следвайте указанията за разполагане в Playbook на защитеното стартиране за Windows Server за:
-
автоматично разполагане чрез актуализиране на Windows
-
Методи за разполагане, инициирано от ИТ
-
ключове от системния регистър за обслужване
-
поредност на разполагането
Когато използвате персонализирани или повторно използвани образи на виртуална машина, вижте Съображения за златни изображения в тази статия, преди да напредвате в диспечера за зареждане на Windows.
Ресурси
-
Показалец: Получаване на защитено стартиране за повече информация относно тази промяна, подробни указания за управлението на актуализацията на сертификата за защитено стартиране и отговори на често задавани въпроси.
-
Актуализации на сертификата за защитено стартиране: Указания за ИТ специалисти и организации
-
За повече информация относно събитията в регистъра на събитията вижте Събития за актуализация на защитено стартиране и DBX променливи.
-
За повече информация относно ключовете от системния регистър за защитено стартиране вижте Актуализации на ключове от системния регистър за защитено стартиране: Устройства с Windows с актуализации, управлявани от ИТ.
Ако имате план за поддръжка и имате нужда от техническа помощ, подайте заявка за поддръжка.
Регистрационен файл на промените
|
Промяна на датата |
Промяна на описанието |
|
13 май 2026 г. |
Няма промени в тази статия |
