Ursprüngliches Veröffentlichungsdatum: 13. Mai 2026
KB-ID: 5085395
Dieser Artikel enthält Anleitungen für:
-
Azure Vertrauenswürdige Start-Virtual Machines (TVM) und Vertrauliche VMs (CVM), auf denen Windows mit aktiviertem sicheren Start ausgeführt wird.
-
Eine vollständige Liste der unterstützten Windows-Betriebssysteme finden Sie im Artikel Vertrauenswürdiger Start für Azure virtuelle Computer.
In diesem Artikel:
Einführung
Sicherer Start ist ein UEFI-Firmwaresicherheitsfeature, mit dem sichergestellt wird, dass nur vertrauenswürdige, digital signierte Software während der Startsequenz des Geräts ausgeführt wird. Microsoft Secure Boot-Zertifikate, die 2011 ausgestellt wurden, laufen im Juni 2026 ab.
Um den Schutz für den sicheren Start und die weitere Wartung des frühen Startprozesses aufrechtzuerhalten, müssen Azure vertrauenswürdige startende und vertrauliche virtuelle Computer mit den beiden folgenden Komponenten aktualisiert werden:
-
Secure Boot 2023-Zertifikate in virtueller Firmware
-
Ein Windows-Start-Manager, der von den aktualisierten Zertifikaten signiert wird
Diese Komponenten funktionieren zusammen: Die Zertifikate stellen eine Vertrauensstellung in der virtuellen Firmware her, und der Start-Manager muss aktualisiert werden, damit er von dieser Vertrauensstellung signiert wird.
Um Schutzlücken zu vermeiden, überprüfen Sie, ob beide Komponenten aktualisiert werden, und initiieren Sie bei Bedarf Updates.
Wenn eine VM nach ablaufen weiterhin von den 2011-Zertifikaten abhängig ist, kann sie weiterhin gestartet werden und Windows-Standardupdates empfangen. Es erhält jedoch keine neuen Sicherheitsschutzmechanismen mehr für den frühen Startprozess, einschließlich Updates für Windows-Start-Manager, Datenbanken für den sicheren Start und Sperrlisten oder Entschärfungen für neu ermittelte Sicherheitsrisiken auf Startebene.
Weitere Informationen finden Sie unter Ablauf von Zertifikaten für den sicheren Start auf Windows-Geräten.
Identifizieren von Szenarien, die Eine Aktion erfordern
In den meisten Fällen wendet Windows die Zertifikate für den sicheren Start 2023 automatisch über monatliche Updates auf berechtigten Geräten an, einschließlich unterstützter Azure vertrauenswürdigen Start und vertraulichen VMs mit aktiviertem sicheren Start. Einige VMs sind möglicherweise nicht für die automatische Bereitstellung qualifiziert, wenn keine ausreichenden Kompatibilitätssignale verfügbar sind. In diesen Fällen sind möglicherweise administrative Maßnahmen erforderlich, um Updates aus dem Gastbetriebssystem zu initiieren. Weitere Informationen zum Abrufen von Zertifikatupdates für den sicheren Start finden Sie unter Updates des Zertifikats für den sicheren Start: Leitfaden für IT-Experten und Organisationen.
Updates für den sicheren Start für Azure vertrauenswürdige Start- und vertrauliche VMs umfassen zwei Komponenten:
-
In der virtuellen Firmware gespeicherte Zertifikate für den sicheren Start (plattformseitig verwaltet)
-
Windows-Start-Manager (vom Gastbetriebssystem verwaltet)
Virtuelle Computer, die nach März 2024 erstellt wurden, enthalten in der Regel bereits die Zertifikate für den sicheren Start 2023 in der virtuellen Firmware. Diese VMs erfordern in der Regel nur ein Windows-Start-Manager-Update.
Virtuelle Computer mit langer Ausführungsdauer, die vor März 2024 erstellt wurden, enthalten keine Zertifikate für den sicheren Start 2023 in der virtuellen Firmware und erfordern Updates sowohl für Zertifikate für den sicheren Start als auch für den Windows-Start-Manager.
Updatevorgänge werden innerhalb des Gastbetriebssystems über die Windows-Wartung initiiert und basieren auf Plattformunterstützung, um authentifizierte Updates auf Variablen für den sicheren Start in der virtuellen Firmware anzuwenden.
Nachdem Sie die entsprechenden Szenarien identifiziert haben, inventarisieren Sie Ihre Umgebung, um zu ermitteln, welche VMs Updates erfordern.
Erforderliche Aktionen:
-
Stellen Sie sicher, dass Gast-VMs mit dem Windows-Update vom März 2026 oder höher (April 2026 oder höher bei Verwendung von Hotpatching) aktualisiert werden. Weitere Informationen finden Sie unter Hotpatch für Windows Server.
-
Vergewissern Sie sich, dass alle Azure vertrauenswürdigen Start- und vertraulichen VMs über die Zertifikate "Sicherer Start 2023" und einen aktualisierten Windows-Start-Manager verfügen.
-
Initiieren Sie Updates aus dem Gastbetriebssystem, um bei Bedarf das Zertifikat für den sicheren Start und den Windows-Start-Manager anzuwenden.
-
Überwachen Sie die Windows-Systemereignisprotokolle: Ereignis-ID 1808 und Ereignis-ID 1801, oder überwachen Sie den Registrierungsschlüssel UEFICA2023Status, um zu überprüfen, ob aktualisierte Zertifikate für den sicheren Start angewendet wurden und ob der Windows-Start-Manager aktualisiert wurde.
Verwenden Sie für Geräte, die diese Updates nicht angewendet haben, die Überwachungs- und Bereitstellungsmethoden, die im Playbook sicherer Start, Windows Server Playbook für den sicheren Start für Zertifikate beschrieben werden, die im Jahr 2026 ablaufen, und auf https://aka.ms/GetSecureBoot, um eine vollständige Anleitung zu erhalten.
Überlegungen zu Azure Gast-VM
Überprüfen Sie die folgenden Szenarien und erforderlichen Aktionen für Sitzungshosts:
|
VM-Szenario |
Sicherer Start aktiv? |
Aktion erforderlich |
|
TVM oder CVM mit aktiviertem sicheren Start |
Ja |
Aktualisieren von Zertifikaten für den sicheren Start und des Windows-Start-Managers |
|
TVM mit deaktiviertem sicheren Start |
Nein |
Keine Aktion erforderlich |
|
VM der 1. Generation |
Nicht unterstützt |
Keine Aktion erforderlich |
Hinweis: Standard VMs vom Typ "Sicherheit" ist der sichere Start nicht aktiviert.
Überlegungen zu goldenen Bildern
Sehen Sie sich die folgenden Szenarien und erforderlichen Aktionen für Bilder an:
Hinweis: Azure Marketplace-Images bieten vorkonfigurierte Ausgangspunkte, Standardimages von Vanilla oder Herausgebern, während Azure Compute Gallery-Images zum Speichern und Verteilen benutzerdefinierter Images verwendet werden. In beiden Fällen erfassen Images den Windows-Start-Manager, enthalten jedoch keine Firmwarevariablen für den sicheren Start, die auf vm-Ebene angewendet werden.
Azure Compute Gallery und verwalteten Images erfassen den Zustand des Betriebssystems und des Startladeprogramms, einschließlich des Windows-Start-Managers, enthalten jedoch keine Firmwarevariablen für den sicheren Start. Sichere Startzertifikate, z. B. Updates für die Datenbank für den sicheren Start (Secure Boot Database, DB) oder Schlüsselaustauschschlüssel (KEK), werden in der virtuellen Firmware des bereitgestellten virtuellen Computers gespeichert und während der Imagegeneralisierung nicht erfasst.
Durch das Anwenden von Updates für den sicheren Start innerhalb eines goldenen Images wird der Windows-Start-Manager verbessert, aber es werden keine Zertifikate für den sicheren Start auf virtuellen Computern beibehalten, die von diesem Image bereitgestellt werden. Durch die Durchführung dieses Updates wird jedoch der Windows-Start-Manager innerhalb des Images verbessert.
Erforderliche Aktionen:
-
Wenden Sie das Secure Boot 2023-Update auf das goldene Image an, bevor Sie es erfassen. Hinweis: Dadurch wird der Windows-Start-Manager verbessert, aber es werden keine Zertifikate für den sicheren Start auf bereitgestellten virtuellen Computern beibehalten.
-
Starten Sie den virtuellen Computer nach Bedarf neu, damit das Boot Manager-Update angewendet werden kann.
-
Überprüfen Sie, ob das Update abgeschlossen wurde, bevor Sie das Image generalisieren, indem Sie den folgenden PowerShell-Befehl ausführen und bestätigen, dass der Wert auf Aktualisiert festgelegt ist:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Beim Aktualisieren des Windows-Start-Managers innerhalb eines goldenen Images wird dieses Update auf virtuelle Computer angewendet, die mit dem Image bereitgestellt oder erneut bereitgestellt wurden. Neu bereitgestellte Azure Vertrauenswürdiger Start und vertrauliche virtuelle Computer enthalten die Zertifikate für den sicheren Start 2023 in der virtuellen Firmware und können goldene Images mit dem aktualisierten Windows-Start-Manager sicher verwenden.
Bei imagebasierten erneuten Bereitstellungen auf vorhandenen virtuellen Computern, die vor März 2024 erstellt wurden, kann der aktualisierte Windows-Start-Manager jedoch auf VMs angewendet werden, deren Firmware den entsprechenden Secure Boot 2023-Zertifikaten noch nicht vertraut. In diesen Fällen sollten Zertifikatupdates für den sicheren Start innerhalb des Gastbetriebssystems angewendet werden, bevor Sie den Windows-Start-Manager erweitern.
Weitere Überlegungen zu Azure Ressourcen
|
Azure-Ressource |
Vor April 2024 erstellt? |
Aktion erforderlich |
|---|---|---|
|
Sicherung/Momentaufnahme von TVM oder CVM |
Ja |
Starten Sie den virtuellen Computer, wenden Sie Updates an, und erfassen Sie dann erneut. |
|
Sicherung/Momentaufnahme von TVM oder CVM |
Nein |
Keine Aktion erforderlich |
|
Azure Compute Gallery-Bilderfassungen mit (Imagesicherheitstyp = TL oder CVM)-Aufzeichnungen aus TVM oder CVM |
Ja |
Starten Sie den virtuellen Computer, wenden Sie Updates an, und erfassen Sie dann erneut. |
|
Azure Compute Gallery-Bilderfassungen mit (Imagesicherheitstyp = TL oder CVM)-Aufzeichnungen aus TVM oder CVM |
Nein |
Keine Aktion erforderlich |
Überwachen von Update-status
Überwachung und Bereitstellung von Zertifikatupdates für den sicheren Start auf Azure vertrauenswürdigen und vertraulichen virtuellen Computern folgt denselben Windows-Wartungsanweisungen, die für physische und virtualisierte Geräte verwendet werden.
Ausführliche Anleitungen zur Überwachung, z. B. zum Inventarisieren von Geräten, Überprüfen von Firmwarevariablenupdates und Nachverfolgen des Updatestatus, finden Sie im Secure Boot Playbook for Windows Server and https://aka.ms/GetSecureBoot( Secure Boot Playbook for Windows Server and https://aka.ms/GetSecureBoot).
Bereitstellen von Updates
Zertifikatupdates für den sicheren Start für Azure vertrauenswürdigen startfähigen und vertraulichen virtuellen Computern werden über das Gastbetriebssystem mithilfe der Windows-Wartung initiiert.
Befolgen Sie die Bereitstellungsanleitungen im Playbook für den sicheren Start für Windows Server für Folgendes:
-
automatische Bereitstellung über Windows Update
-
IT-initiierte Bereitstellungsmethoden
-
Wartungsregistrierungsschlüssel
-
Bereitstellungssequenzierung
Wenn Sie benutzerdefinierte oder wiederverwendete VM-Images verwenden, lesen Sie die Überlegungen zu goldenen Images in diesem Artikel, bevor Sie den Windows-Start-Manager erweitern.
Ressourcen
-
Lesezeichen : Abrufen des sicheren Starts: Weitere Informationen zu dieser Änderung, detaillierte Anleitungen zum Verwalten des Zertifikatupdates für den sicheren Start und Antworten auf häufig gestellte Fragen.
-
Zertifikatupdates für den sicheren Start: Leitfaden für IT-Experten und Organisationen
-
Weitere Informationen zu Ereignisprotokollereignissen finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen.
-
Weitere Informationen zu Registrierungsschlüsseln für den sicheren Start finden Sie unter Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit IT-verwalteten Updates.
Wenn Sie über einen Supportplan verfügen und technische Hilfe benötigen, senden Sie bitte eine Supportanfrage.
Änderungsprotokoll
|
Datum ändern |
Beschreibung ändern |
|
13. Mai 2026 |
In diesem Artikel wurden keine Änderungen vorgenommen. |
