Oprindelig publiceringsdato: 13. maj 2026
KB-id: 5085395
Denne artikel indeholder en vejledning til:
-
Azure, der er tillid til, Virtual Machines (TVM) og FORTROLIGE VM'er (CVM), der kører Windows med Sikker bootstart aktiveret.
-
Du kan se den komplette liste over understøttede Windows-operativsystemer i artiklen: Pålidelig start for Azure virtuelle maskiner
I denne artikel:
Introduktion
Sikker bootstart er en UEFI-firmwaresikkerhedsfunktion, der er med til at sikre, at kun pålidelig, digitalt signeret software kører under enhedens startsekvens. Microsoft Secure Boot-certifikater, der er udstedt i 2011, begynder at udløbe i juni 2026.
Hvis du vil bevare beskyttelse mod sikker bootstart og fortsat vedligeholdelse af den tidlige startproces, skal Azure pålidelige startcomputere og fortrolige virtuelle maskiner opdateres med begge følgende:
-
Secure Boot 2023-certifikater i virtuel firmware
-
En Windows Boot Manager, der er signeret af de opdaterede certifikater
Disse komponenter arbejder sammen: Certifikaterne etablerer tillid til virtuel firmware, og Boot Manager skal opdateres til at være signeret af det pågældende tillidsforhold.
For at forhindre huller i beskyttelsen skal du kontrollere, at begge komponenter opdateres, og starte opdateringer, hvor det er nødvendigt.
Hvis en VM fortsat er afhængig af 2011-certifikater efter udløbet, kan den fortsætte med at starte og modtage standardopdateringer til Windows. Den vil dog ikke længere modtage ny sikkerhedsbeskyttelse til den tidlige startproces, herunder opdateringer til Windows Boot Manager, Secure Boot-databaser og lister over tilbagekaldte filer eller afhjælpning af nyligt opdagede sårbarheder på startniveau.
Du kan få mere at vide under Når certifikater til sikker bootstart udløber på Windows-enheder.
Identificer scenarier, der kræver handling
I de fleste tilfælde anvender Windows certifikater til sikker bootstart 2023 automatisk via månedlige opdateringer på berettigede enheder, herunder understøttede Azure Start, der er tillid til, og Fortrolige virtuelle maskiner med Sikker bootstart aktiveret. Nogle virtuelle maskiner er muligvis ikke berettiget til automatisk installation, hvis der ikke er tilstrækkelige kompatibilitetssignaler tilgængelige. I disse tilfælde kan det være nødvendigt at foretage administrative handlinger for at starte opdateringer fra gæsteoperativsystemet. Du kan finde flere oplysninger om, hvordan du får opdateringer af certifikater til sikker bootstart, ved at besøge: Opdateringer af certifikat til sikker bootstart: Vejledning til it-fagfolk og organisationer.
Opdateringer til sikker bootstart til Azure, der er tillid til, og fortrolige virtuelle maskiner involverer to komponenter:
-
Certifikater til sikker bootstart, der er gemt i virtuel firmware (platform-administreret)
-
Windows Boot Manager (guest OS-managed)
Virtuelle maskiner, der er oprettet efter marts 2024, indeholder typisk allerede Secure Boot 2023-certifikater i virtuel firmware. Disse virtuelle maskiner kræver normalt kun en opdatering til Windows Boot Manager.
Virtuelle maskiner, der kører længe, og som er oprettet før marts 2024, omfatter ikke certifikater til sikker bootstart 2023 i virtuel firmware og kræver opdateringer til både certifikater til sikker bootstart og Windows Boot Manager.
Opdateringshandlinger startes fra gæsteoperativsystemet via Windows-vedligeholdelse og er afhængige af platformsunderstøttelse for at anvende godkendte opdateringer på variabler for sikker bootstart i virtuel firmware.
Når du har identificeret relevante scenarier, skal du opbevare dit miljø for at afgøre, hvilke virtuelle maskiner der kræver opdateringer.
Påkrævede handlinger:
-
Sørg for, at virtuelle gæstebeskeder opdateres med Windows-opdateringen for marts 2026 eller nyere (april 2026 eller nyere, hvis du bruger hotpatching). Se mere: Hotpatch til Windows Server.
-
Kontrollér, at alle Azure pålidelig start og fortrolige virtuelle maskiner har certifikater til sikker bootstart 2023 og en opdateret Windows Boot Manager.
-
Påbegynd opdateringer fra gæsteoperativsystemet for at anvende certifikat til sikker bootstart og Windows Boot Manager-opdateringer, hvor det er nødvendigt.
-
Overvåg hændelseslogfilerne for Windows-systemet: Hændelses-id 1808 og hændelses-id 1801, eller overvåg registreringsdatabasenøglen UEFICA2023Status for at bekræfte, om der er anvendt opdaterede certifikater til sikker bootstart, og om Windows Boot Manager er blevet opdateret.
For enheder, der ikke har anvendt disse opdateringer, skal du bruge overvågnings- og installationsmetoderne, der er beskrevet i Sikker bootstart-strategibog, Windows Server Secure Boot playbook for certifikater, der udløber i 2026, og på https://aka.ms/GetSecureBoot for at få en komplet vejledning.
Azure overvejelser i forbindelse med gæste-VM
Gennemse følgende scenarier og påkrævede handlinger for sessionsværter:
|
VM-scenarie |
Sikker bootstart aktiv? |
Handling påkrævet |
|
TVM eller CVM med Sikker bootstart aktiveret |
Ja |
Opdater certifikater til sikker bootstart og Windows Boot Manager |
|
Tvm med sikker bootstart deaktiveret |
Nej |
Der kræves ingen handling |
|
Generation 1 VM |
Understøttes ikke |
Der kræves ingen handling |
Bemærk!: Standard vm'er af sikkerhedstypen har ikke sikker bootstart aktiveret.
Overvejelser i forbindelse med gyldent billede
Gennemse følgende scenarier og påkrævede handlinger for afbildninger:
Bemærk!: Azure Marketplace-billeder giver forudkonfigurerede udgangspunkter, vanilje eller udgiveres standardbilleder, mens Azure Compute Gallery-billeder bruges til at gemme og distribuere brugerdefinerede billeder. I begge tilfælde henter afbildninger Windows Boot Manager, men omfatter ikke variabler for secure boot-firmware, som anvendes på niveauet for virtuel maskine.
Azure Compute Gallery og administrerede afbildninger henter operativsystem- og startindlæsningstilstand, herunder Windows Boot Manager, men omfatter ikke firmwarevariabler for sikker bootstart. Certifikater til sikker bootstart, f.eks. opdateringer til DB-databasen (Secure Boot) eller nøgleudvekslingsnøgler (KEK), gemmes i den virtuelle firmware på den installerede virtuelle maskine og registreres ikke under afbildnings generalisering.
Hvis du anvender opdateringer til sikker bootstart i en gylden afbildning, fremføres Windows Boot Manager, men der bevares ikke certifikater til sikker bootstart på virtuelle maskiner, der er klargjort fra afbildningen. Men når du udfører denne opdatering, opgraderes Windows Boot Manager i afbildningen.
Påkrævede handlinger:
-
Anvend Sikker bootstart 2023-opdateringen på det gyldne billede, før du henter den. Bemærk: Dette fremmer Windows Boot Manager, men vil ikke bevare certifikater til sikker bootstart på installerede virtuelle maskiner.
-
Genstart VM'en efter behov for at tillade, at opdateringen til Boot Manager anvendes.
-
Kontrollér, at opdateringen er fuldført, før du generaliserer afbildningen, ved at køre følgende PowerShell-kommando og bekræfte, at værdien er indstillet til Opdateret:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Opdatering af Windows Boot Manager i en gylden afbildning anvender denne opdatering på virtuelle maskiner, der er installeret eller geninstalleret ved hjælp af afbildningen. Nyligt klargjorte Azure pålidelig start og fortrolige virtuelle maskiner omfatter Secure Boot 2023-certifikater i virtuel firmware og kan sikkert bruge gyldne billeder med den opdaterede Windows Boot Manager.
Billedbaserede ominstallationer på eksisterende virtuelle maskiner, der er oprettet før marts 2024, kan dog anvende den opdaterede Windows Boot Manager på vm'er, hvis firmware endnu ikke har tillid til de tilsvarende sikker bootstart 2023-certifikater. I disse tilfælde bør opdateringer af certifikat til sikker bootstart anvendes i gæsteoperativsystemet, før windows boot manager går videre.
Andre overvejelser vedrørende Azure ressourcer
|
Azure ressource |
Oprettet før april 2024? |
Handling er påkrævet |
|---|---|---|
|
Sikkerhedskopiering/øjebliksbillede af TVM eller CVM |
Ja |
Start VM'en, anvend opdateringer, og tag den derefter igen |
|
Sikkerhedskopiering/øjebliksbillede af TVM eller CVM |
Nej |
Der kræves ingen handling |
|
Azure Compute Gallery-afbildninger med (image security type = TL eller CVM) captures from TVM or CVM |
Ja |
Start VM'en, anvend opdateringer, og tag den derefter igen |
|
Azure Compute Gallery-afbildninger med (image security type = TL eller CVM) captures from TVM or CVM |
Nej |
Der kræves ingen handling |
Overvåge opdateringsstatus
Overvågning og installation af sikker bootstartcertifikatopdateringer i Azure Pålidelig start og Fortrolige virtuelle maskiner følger den samme Windows-servicevejledning, der bruges til fysiske og virtualiserede enheder.
Du kan finde detaljerede overvågningsvejledninger, herunder hvordan du lagerenheder, kontrollerer opdateringer af firmwarevariable og sporer opdateringsfremdrift, i Sikker bootstart-playbook for at få Windows Server og https://aka.ms/GetSecureBoot.
Installér opdateringer
Sikker bootstartcertifikatopdateringer til Azure Pålidelige start og Fortrolige virtuelle maskiner startes fra gæsteoperativsystemet ved hjælp af Windows-vedligeholdelse.
Følg installationsvejledningen i Secure Boot Playbook for Windows Server til:
-
automatisk installation via Windows Update
-
It-initierede installationsmetoder
-
vedligeholdelse af registreringsdatabasenøgler
-
rækkefølge af installation
Når du bruger brugerdefinerede eller genbrugede virtuelle maskinafbildninger, skal du se Overvejelser i forbindelse med gyldne afbildninger i denne artikel, før du går videre til Windows Boot Manager.
Ressourcer
-
Bogmærke Hent sikker bootstart for at få flere oplysninger om denne ændring, detaljeret vejledning til administration af sikker bootstartcertifikatopdatering og svar på ofte stillede spørgsmål.
-
Opdateringer til Secure Boot Certificate: Vejledning til it-fagfolk og organisationer
-
Du kan finde flere oplysninger om hændelsesloghændelser i Sikker bootstart DB- og DBX-variable opdateringshændelser.
-
Du kan finde flere oplysninger om registreringsdatabasenøgler til sikker bootstart under Opdateringer af registreringsdatabasenøgler til Sikker bootstart: Windows-enheder med it-administrerede opdateringer.
Hvis du har en supportplan og har brug for teknisk hjælp, skal du indsende en supportanmodning.
Ændringslog
|
Rediger dato |
Skift beskrivelse |
|
13. maj 2026 |
Der er ingen ændringer i denne artikel |
