Původní datum publikování: 13. května 2026
ID znalostní báze: 5085395
Tento článek obsahuje pokyny pro:
-
Azure důvěryhodných Virtual Machines spuštění (TVM) a důvěrných virtuálních počítačů (CVM) s Windows s povoleným zabezpečeným spouštěním.
-
Úplný seznam podporovaných operačních systémů Windows najdete v článku Důvěryhodné spuštění pro Azure virtuální počítače.
V tomto článku:
Úvod
Zabezpečené spouštění je funkce zabezpečení firmwaru UEFI, která pomáhá zajistit, aby během spouštěcí sekvence zařízení běžel jenom důvěryhodný digitálně podepsaný software. Platnost certifikátů Zabezpečeného spouštění Microsoftu vydaných v roce 2011 začne platit v červnu 2026.
Pokud chcete zachovat ochranu zabezpečeného spouštění a pokračovat v údržbě procesu počátečního spuštění, musí se virtuální počítače Azure Trusted Launch a Confidential aktualizovat o obě tyto možnosti:
-
Certifikáty zabezpečeného spouštění 2023 ve virtuálním firmwaru
-
Správce spouštění systému Windows podepsaný aktualizovanými certifikáty
Tyto komponenty spolupracují: certifikáty navazují vztah důvěryhodnosti ve virtuálním firmwaru a správce spouštění musí být aktualizován, aby byl podepsán tímto vztahem důvěryhodnosti.
Pokud chcete zabránit mezerám v ochraně, ověřte, že jsou obě komponenty aktualizovány, a v případě potřeby zahajte aktualizace.
Pokud se virtuální počítač i po vypršení platnosti dál spoléhá na certifikáty 2011, může se dál spouštět a přijímat standardní aktualizace Windows. Už ale nebude dostávat novou bezpečnostní ochranu pro proces počátečního spouštění, včetně aktualizací Správce spouštění systému Windows, databází zabezpečeného spouštění a seznamů odvolání nebo zmírnění nově zjištěných ohrožení zabezpečení na úrovni spouštění.
Další informace najdete v tématu Vypršení platnosti certifikátů zabezpečeného spouštění na zařízeních s Windows.
Identifikace scénářů, které vyžadují akci
Ve většině případů používá systém Windows certifikáty zabezpečeného spouštění 2023 automaticky prostřednictvím měsíčních aktualizací na oprávněných zařízeních, včetně podporovaných Azure Důvěryhodné spuštění a důvěrných virtuálních počítačů s povoleným zabezpečeným spouštěním. Některé virtuální počítače nemusí mít nárok na automatické nasazení, pokud není k dispozici dostatečný signál kompatibility. V těchto případech může být k zahájení aktualizací z hostovaného operačního systému vyžadována akce správy. Další informace o tom, jak získat aktualizace certifikátů zabezpečeného spouštění, najdete tady: Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace.
Aktualizace zabezpečeného spouštění pro Azure důvěryhodných a důvěrných virtuálních počítačů zahrnují dvě součásti:
-
Certifikáty zabezpečeného spouštění uložené ve virtuálním firmwaru (spravované platformou)
-
Správce spouštění systému Windows (spravovaný hostovaný operační systém)
Virtuální počítače vytvořené po březnu 2024 už obvykle obsahují certifikáty zabezpečeného spouštění 2023 ve virtuálním firmwaru. Tyto virtuální počítače obvykle vyžadují pouze aktualizaci Správce spouštění systému Windows.
Dlouhotrvající virtuální počítače vytvořené před březnem 2024 neobsahují certifikáty zabezpečeného spouštění 2023 ve virtuálním firmwaru a vyžadují aktualizace certifikátů zabezpečeného spouštění a Správce spouštění systému Windows.
Operace aktualizací se iniciují z hostovaného operačního systému prostřednictvím údržby Windows a spoléhají na podporu platformy při použití ověřených aktualizací proměnných zabezpečeného spouštění ve virtuálním firmwaru.
Po identifikaci použitelných scénářů proveďte inventarizaci prostředí, abyste zjistili, které virtuální počítače vyžadují aktualizace.
Požadované akce:
-
Ujistěte se, že jsou virtuální počítače hosta aktualizovány aktualizací Windows z března 2026 nebo novější (v dubnu 2026 nebo novějším, pokud používáte aktualizaci za chodu). Další informace najdete v článku Hotpatch for Windows Server.
-
Ověřte, že všechny Azure důvěryhodných a důvěrných virtuálních počítačů mají certifikáty zabezpečeného spouštění 2023 a aktualizovaného Správce spouštění systému Windows.
-
Iniciujte aktualizace z hostovaného operačního systému, aby se v případě potřeby použil certifikát zabezpečeného spouštění a aktualizace Správce spouštění systému Windows.
-
Auditujte protokoly událostí systému Windows: ID události 1808 a ID události 1801 nebo monitorujte klíč registru UEFICA2023Status a ověřte, jestli byly použity aktualizované certifikáty zabezpečeného spouštění a jestli se aktualizoval Správce spouštění systému Windows.
Pro zařízení, která tyto aktualizace nepoužila, použijte metody monitorování a nasazení popsané v playbooku zabezpečeného spouštění, Windows Server playbook zabezpečeného spouštění pro certifikáty, jejichž platnost vyprší v roce 2026, a úplné pokyny najdete v https://aka.ms/GetSecureBoot.
aspekty Azure virtuálních počítačů hosta
Projděte si následující scénáře a požadované akce pro hostitele relací:
|
Scénář virtuálního počítače |
Zabezpečené spouštění je aktivní? |
Vyžaduje se akce. |
|
TVM nebo CVM s povoleným zabezpečeným spouštěním |
Ano |
Aktualizace certifikátů zabezpečeného spouštění a Správce spouštění systému Windows |
|
TVM se zakázaným zabezpečeným spouštěním |
Ne |
Nevyžaduje se žádná akce. |
|
Virtuální počítač 1. generace |
Nepodporováno |
Nevyžaduje se žádná akce. |
Poznámka: Virtuální počítače standardního typu zabezpečení nemají povolené zabezpečené spouštění.
Aspekty zlatého obrázku
Projděte si následující scénáře a požadované akce pro image:
Poznámka: Azure image z Marketplace poskytují předkonfigurované výchozí body, výchozí image vanilky nebo vydavatelů, zatímco image Azure Compute Gallery se používají k ukládání a distribuci přizpůsobených imagí. V obou případech image zachycují Správce spouštění systému Windows, ale neobsahují proměnné firmwaru zabezpečeného spouštění, které se používají na úrovni virtuálního počítače.
Azure Výpočetní galerie a spravované image zachycují stav operačního systému a zavaděče spouštění, včetně Správce spouštění systému Windows, ale nezahrnují proměnné firmwaru zabezpečeného spouštění. Certifikáty zabezpečeného spouštění, jako jsou aktualizace databáze zabezpečeného spouštění (DB) nebo klíčů pro výměnu klíčů (KEK), jsou uložené ve virtuálním firmwaru nasazeného virtuálního počítače a během generalizace image se nezachytávají.
Použití aktualizací zabezpečeného spouštění v rámci zlaté bitové kopie posune Správce spouštění systému Windows, ale neuchovává certifikáty zabezpečeného spouštění na virtuálních počítačích zřízených z této image. Provedením této aktualizace se však správce spouštění systému Windows v imagi posune.
Požadované akce:
-
Před zachycením zlaté image nainstalujte aktualizaci zabezpečeného spouštění 2023. Poznámka: Tím se posune Správce spouštění systému Windows, ale nezachová se certifikáty zabezpečeného spouštění na nasazených virtuálních počítačích.
-
Restartujte virtuální počítač podle potřeby, aby se aktualizace Správce spouštění mohla použít.
-
Před generalizací image ověřte, že se aktualizace dokončila, spuštěním následujícího příkazu PowerShellu a potvrzením, že je hodnota nastavená na Hodnotu Aktualizováno:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Aktualizace Správce spouštění systému Windows v rámci zlaté image se vztahuje na tuto aktualizaci na virtuální počítače nasazené nebo znovu nasazené pomocí této image. Nově zřízené Azure důvěryhodných a důvěrných virtuálních počítačů zahrnují certifikáty zabezpečeného spouštění 2023 ve virtuálním firmwaru a můžou bezpečně používat zlaté image s aktualizovaným Správcem spouštění systému Windows.
Opětovné nasazení image na existující virtuální počítače vytvořené před březnem 2024 však může aktualizovaného Správce spouštění systému Windows použít na virtuální počítače, jejichž firmware ještě nedůvěřuje odpovídajícím certifikátům zabezpečeného spouštění 2023. V těchto případech by se aktualizace certifikátů zabezpečeného spouštění měly použít v rámci hostovaného operačního systému před tím, než pokročíte ve Správci spouštění systému Windows.
Další aspekty Azure prostředků
|
Azure prostředek |
Vytvořeno před dubnem 2024? |
Je požadována akce |
|---|---|---|
|
Zálohování nebo snímek TVM nebo CVM |
Ano |
Spusťte virtuální počítač, nainstalujte aktualizace a pak ho znovu odchytěte. |
|
Zálohování nebo snímek TVM nebo CVM |
Ne |
Nevyžaduje se žádná akce. |
|
Azure image Galerie výpočetních prostředků se zachycením (typ zabezpečení image = TL nebo CVM) z TVM nebo CVM |
Ano |
Spusťte virtuální počítač, nainstalujte aktualizace a pak ho znovu odchytěte. |
|
Azure image Galerie výpočetních prostředků se zachycením (typ zabezpečení image = TL nebo CVM) z TVM nebo CVM |
Ne |
Nevyžaduje se žádná akce. |
Monitorování stavu aktualizace
Monitorování a nasazování aktualizací certifikátů zabezpečeného spouštění na virtuálních počítačích Azure Důvěryhodné spouštění a Důvěrné virtuální počítače se řídí stejnými pokyny pro údržbu Windows, které se používají pro fyzická a virtualizovaná zařízení.
Podrobné pokyny k monitorování, včetně postupu inventarizace zařízení, ověření aktualizací proměnných firmwaru a sledování průběhu aktualizací, najdete v playbooku zabezpečeného spouštění pro Windows Server a https://aka.ms/GetSecureBoot.
Nasazení aktualizací
Aktualizace certifikátů zabezpečeného spouštění pro Azure důvěryhodné spuštění a důvěrné virtuální počítače se iniciují z hostovaného operačního systému pomocí údržby Windows.
Postupujte podle pokynů k nasazení v playbooku zabezpečeného spouštění pro Windows Server pro:
-
automatické nasazení prostřednictvím služba Windows Update
-
Metody nasazení iniciované itimátorem
-
údržba klíčů registru
-
sekvencování nasazení
Pokud používáte vlastní nebo opakovaně používané image virtuálních počítačů, přečtěte si informace o zlaté imagi v tomto článku, než budete postupovat ve Správci spouštění systému Windows.
Zdroje informací
-
Další informace o této změně najdete v záložce Získat zabezpečené spouštění, podrobné pokyny ke správě aktualizace certifikátu zabezpečeného spouštění a odpovědi na nejčastější dotazy.
-
Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace
-
Další podrobnosti o událostech protokolu událostí najdete v tématu Události aktualizace databáze zabezpečeného spouštění a událostí proměnné DBX.
-
Další podrobnosti o klíčích registru zabezpečeného spouštění najdete v tématu Aktualizace klíčů registru pro zabezpečené spouštění: Zařízení s Windows s aktualizacemi spravovanými IT.
Pokud máte plán podpory a potřebujete technickou pomoc, odešlete prosím žádost o podporu.
Protokol změn
|
Změnit datum |
Změnit popis |
|
13. května 2026 |
V tomto článku nejsou žádné změny. |
