Αρχική ημερομηνία δημοσίευσης: 13 Μαΐου 2026
KB ID: 5085395
Αυτό το άρθρο παρέχει οδηγίες για τα εξής:
-
Azure αξιόπιστων Εικονικές μηχανές εκκίνησης (TVM) και εμπιστευτικών εικονικών μηχανών (CVM) που εκτελούν Windows με ενεργοποιημένη την Ασφαλή εκκίνηση.
-
Για την πλήρη λίστα των υποστηριζόμενων λειτουργικών συστημάτων Windows, ανατρέξτε στο άρθρο: Αξιόπιστη εκκίνηση για Azure εικονικές μηχανές
Σε αυτό το άρθρο:
Εισαγωγή
Η Ασφαλής εκκίνηση είναι μια δυνατότητα ασφαλείας υλικολογισμικού UEFI που σας βοηθά να εξασφαλίσετε ότι μόνο το αξιόπιστο, ψηφιακά υπογεγραμμένο λογισμικό εκτελείται κατά τη διάρκεια της ακολουθίας εκκίνησης της συσκευής. Τα πιστοποιητικά ασφαλούς εκκίνησης της Microsoft που έχουν εκδοθεί το 2011 αρχίζουν να λήγουν τον Ιούνιο του 2026.
Για να διατηρούνται τα μέτρα προστασίας ασφαλούς εκκίνησης και να συνεχίζεται η συντήρηση της διαδικασίας πρώιμης εκκίνησης, Azure αξιόπιστες εικονικές μηχανές εκκίνησης και εμπιστευτικές πρέπει να ενημερωθούν και με τα δύο παρακάτω:
-
Πιστοποιητικά Ασφαλούς εκκίνησης 2023 σε εικονικό υλικολογισμικό
-
Μια Διαχείριση εκκίνησης των Windows υπογεγραμμένη από τα ενημερωμένα πιστοποιητικά
Αυτά τα στοιχεία συνεργάζονται: τα πιστοποιητικά εδραιώνουν την αξιοπιστία του εικονικού υλικολογισμικού και η Διαχείριση εκκίνησης πρέπει να ενημερωθεί ώστε να είναι υπογεγραμμένη από αυτήν την αξιοπιστία.
Για να αποτρέψετε κενά στην προστασία, βεβαιωθείτε ότι και τα δύο στοιχεία είναι ενημερωμένα και ξεκινήστε ενημερώσεις όπου απαιτείται.
Αν μια εικονική μηχανή εξακολουθεί να βασίζεται στα πιστοποιητικά του 2011 μετά τη λήξη της, μπορεί να συνεχίσει να εκκινείται και να λαμβάνει τυπικές ενημερώσεις των Windows. Ωστόσο, δεν θα λαμβάνει πλέον νέα μέτρα προστασίας ασφαλείας για τη διαδικασία πρώιμης εκκίνησης, συμπεριλαμβανομένων ενημερώσεων για τη Διαχείριση εκκίνησης των Windows, βάσεις δεδομένων Ασφαλούς εκκίνησης και λίστες ανάκλησης ή μετριασμούς για ευπάθειες επιπέδου εκκίνησης που ανακαλύφθηκαν πρόσφατα.
Για να μάθετε περισσότερα, ανατρέξτε στο θέμα Όταν λήγουν τα πιστοποιητικά ασφαλούς εκκίνησης σε συσκευές Windows.
Προσδιορισμός σεναρίων που απαιτούν ενέργεια
Στις περισσότερες περιπτώσεις, τα Windows εφαρμόζουν αυτόματα τα πιστοποιητικά Ασφαλούς εκκίνησης 2023 μέσω μηνιαίων ενημερώσεων σε κατάλληλες συσκευές, συμπεριλαμβανομένων υποστηριζόμενων Azure αξιόπιστης εκκίνησης και εμπιστευτικών εικονικών μηχανών με ενεργοποιημένη την Ασφαλή εκκίνηση. Ορισμένες εικονικές μηχανές ενδέχεται να μην πληρούν τις προϋποθέσεις για αυτόματη ανάπτυξη, αν δεν υπάρχουν επαρκή σήματα συμβατότητας. Σε αυτές τις περιπτώσεις, ενδέχεται να απαιτούνται διαχειριστικές ενέργειες για την έναρξη ενημερώσεων μέσα από το λειτουργικό σύστημα επισκεπτών. Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης ενημερώσεων για τα πιστοποιητικά Ασφαλούς εκκίνησης, επισκεφθείτε τη διεύθυνση: Ενημερώσεις πιστοποιητικού ασφαλούς εκκίνησης: Οδηγίες για επαγγελματίες IT και οργανισμούς.
Οι ενημερώσεις ασφαλούς εκκίνησης για Azure αξιόπιστη εκκίνηση και τις εμπιστευτικές εικονικές κάρτες περιλαμβάνουν δύο στοιχεία:
-
Πιστοποιητικά ασφαλούς εκκίνησης αποθηκευμένα σε εικονικό υλικολογισμικό (με διαχείριση πλατφόρμας)
-
Διαχείριση εκκίνησης των Windows (διαχείριση φιλοξενούμενου λειτουργικού συστήματος)
Οι εικονικές μηχανές που δημιουργήθηκαν μετά τον Μάρτιο του 2024 συνήθως περιλαμβάνουν ήδη τα πιστοποιητικά Ασφαλούς εκκίνησης 2023 σε εικονικό υλικολογισμικό. Αυτές οι εικονικές εταιρείες απαιτούν γενικά μόνο μια ενημέρωση της Διαχείρισης εκκίνησης των Windows.
Οι εικονικές μηχανές μακράς διάρκειας που δημιουργήθηκαν πριν από τον Μάρτιο του 2024 δεν περιλαμβάνουν τα πιστοποιητικά Ασφαλούς εκκίνησης 2023 σε εικονικό υλικολογισμικό και απαιτούν ενημερώσεις τόσο για τα πιστοποιητικά Ασφαλούς εκκίνησης όσο και για τη Διαχείριση εκκίνησης των Windows.
Οι λειτουργίες ενημέρωσης ξεκινούν από το λειτουργικό σύστημα επισκεπτών μέσω της συντήρησης των Windows και βασίζονται στην υποστήριξη της πλατφόρμας για την εφαρμογή ενημερώσεων με έλεγχο ταυτότητας σε μεταβλητές Ασφαλούς εκκίνησης σε εικονικό υλικολογισμικό.
Μετά τον προσδιορισμό των σχετικών σεναρίων, κάντε απογραφή του περιβάλλοντός σας για να προσδιορίσετε ποιες εικονικές εταιρείες απαιτούν ενημερώσεις.
Απαιτούνται ενέργειες:
-
Βεβαιωθείτε ότι οι φιλοξενούμενες εικονικές συσκευές ενημερώνονται με την ενημέρωση των Windows του Μαρτίου 2026 ή νεότερη έκδοση (Απρίλιος 2026 ή νεότερη έκδοση, αν χρησιμοποιείτε hotpatching). Δείτε περισσότερα: Hotpatch για Windows Server.
-
Βεβαιωθείτε ότι όλες Azure αξιόπιστη εκκίνηση και εμπιστευτικές εικονικές εταιρείες έχουν τα πιστοποιητικά Ασφαλούς εκκίνησης 2023 και μια ενημερωμένη Διαχείριση εκκίνησης των Windows.
-
Ξεκινήστε ενημερώσεις από το λειτουργικό σύστημα επισκεπτών για την εφαρμογή του πιστοποιητικού Ασφαλούς εκκίνησης και των ενημερώσεων της Διαχείρισης εκκίνησης των Windows, όπου απαιτείται.
-
Ελέγξτε τα αρχεία καταγραφής συμβάντων του Windows System: Αναγνωριστικό συμβάντος 1808 και αναγνωριστικό συμβάντος 1801 ή παρακολουθήστε το κλειδί μητρώου UEFICA2023Status, για να επιβεβαιώσετε εάν έχουν εφαρμοστεί ενημερωμένα πιστοποιητικά Ασφαλούς εκκίνησης και εάν έχει ενημερωθεί η Διαχείριση εκκίνησης των Windows.
Για συσκευές που δεν έχουν εφαρμόσει αυτές τις ενημερώσεις, χρησιμοποιήστε τις μεθόδους παρακολούθησης και ανάπτυξης που περιγράφονται στο βιβλίο αναπαραγωγής Ασφαλούς εκκίνησης, Windows Server το εγχειρίδιο ασφαλούς εκκίνησης για πιστοποιητικά που λήγουν το 2026 και στο https://aka.ms/GetSecureBoot για πλήρεις οδηγίες.
ζητήματα Azure φιλοξενούμενων εικονικής μηχανής
Εξετάστε τα ακόλουθα σενάρια και τις απαιτούμενες ενέργειες για τους κεντρικούς υπολογιστές περιόδου λειτουργίας:
|
Σενάριο εικονικής μηχανής |
Ασφαλής εκκίνηση ενεργή; |
Απαιτείται ενέργεια |
|
TVM ή CVM με ενεργοποιημένη την Ασφαλή εκκίνηση |
Ναι |
Ενημέρωση πιστοποιητικών ασφαλούς εκκίνησης και Διαχείρισης εκκίνησης των Windows |
|
TVM με απενεργοποιημένη την Ασφαλή εκκίνηση |
Όχι |
Δεν απαιτείται καμία ενέργεια |
|
Γενιά 1 VM |
Δεν υποστηρίζεται |
Δεν απαιτείται καμία ενέργεια |
Σημείωση: Standard εικονικές κάρτες τύπου ασφάλειας δεν έχουν ενεργοποιημένη την Ασφαλή εκκίνηση.
Θέματα χρυσής εικόνας
Εξετάστε τα ακόλουθα σενάρια και τις απαιτούμενες ενέργειες για τις εικόνες:
Σημείωση: Οι εικόνες του Azure Marketplace παρέχουν προκαθορισμένα σημεία εκκίνησης, προεπιλεγμένες εικόνες βανίλιας ή εκδοτών, ενώ Azure εικόνες της Συλλογής compute χρησιμοποιούνται για την αποθήκευση και διανομή προσαρμοσμένων εικόνων. Και στις δύο περιπτώσεις, οι εικόνες καταγράφουν τη Διαχείριση εκκίνησης των Windows, αλλά δεν περιλαμβάνουν μεταβλητές υλικολογισμικού Ασφαλούς εκκίνησης, οι οποίες εφαρμόζονται σε επίπεδο εικονικής μηχανής.
Azure Compute Gallery και τα διαχειριζόμενα είδωλα καταγράφουν την κατάσταση του λειτουργικού συστήματος και του προγράμματος φόρτωσης εκκίνησης, συμπεριλαμβανομένης της Διαχείρισης εκκίνησης των Windows, αλλά δεν περιλαμβάνουν μεταβλητές υλικολογισμικού Ασφαλούς εκκίνησης. Τα πιστοποιητικά ασφαλούς εκκίνησης, όπως οι ενημερώσεις της βάσης δεδομένων Ασφαλούς εκκίνησης (DB) ή τα κλειδιά ανταλλαγής κλειδιών (KEK), αποθηκεύονται στο εικονικό υλικολογισμικό της ανεπτυγμένης εικονικής μηχανής και δεν καταγράφονται κατά τη γενίκευση της εικόνας.
Η εφαρμογή ενημερώσεων ασφαλούς εκκίνησης μέσα σε ένα χρυσό είδωλο προωθεί τη Διαχείριση εκκίνησης των Windows, αλλά δεν διατηρεί τα πιστοποιητικά Ασφαλούς εκκίνησης σε εικονικές μηχανές που παρέχονται από αυτό το είδωλο. Ωστόσο, η εκτέλεση αυτής της ενημέρωσης θα προωθήσει τη Διαχείριση εκκίνησης των Windows μέσα στο είδωλο.
Απαιτούνται ενέργειες:
-
Εφαρμόστε την ενημέρωση Secure Boot 2023 στη χρυσή εικόνα πριν την καταγράψετε. Σημείωση: Με αυτόν τον τρόπο γίνεται προώθηση της Διαχείρισης εκκίνησης των Windows, αλλά δεν θα διατηρούνται τα πιστοποιητικά Ασφαλούς εκκίνησης σε ανεπτυγμένες εικονικές μηχανές.
-
Επανεκκινήστε την εικονική μηχανή όπως απαιτείται, για να επιτρέψετε την εφαρμογή της ενημέρωσης της Διαχείρισης εκκίνησης.
-
Βεβαιωθείτε ότι η ενημέρωση έχει ολοκληρωθεί πριν από τη γενίκευση της εικόνας, εκτελώντας την ακόλουθη εντολή του PowerShell και επιβεβαιώνοντας ότι η τιμή έχει οριστεί σε Ενημέρωση:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Η ενημέρωση της Διαχείρισης εκκίνησης των Windows μέσα σε μια χρυσή εικόνα εφαρμόζει αυτήν την ενημέρωση σε εικονικές μηχανές που έχουν αναπτυχθεί ή επαναληφθεί χρησιμοποιώντας την εικόνα. Οι πρόσφατα εκχωρημένες Azure αξιόπιστες εικονικές μηχανές εκκίνησης και εμπιστευτικές περιλαμβάνουν τα πιστοποιητικά Ασφαλούς εκκίνησης 2023 σε εικονικό υλικολογισμικό και μπορούν να χρησιμοποιήσουν με ασφάλεια χρυσές εικόνες με την ενημερωμένη Διαχείριση εκκίνησης των Windows.
Ωστόσο, οι αναδιατάξεις που βασίζονται σε εικόνες σε υπάρχουσες εικονικές μηχανές που δημιουργήθηκαν πριν από τον Μάρτιο του 2024 ενδέχεται να εφαρμόσουν την ενημερωμένη Διαχείριση εκκίνησης των Windows σε εικονικές μηχανές των οποίων το υλικολογισμικό δεν εμπιστεύεται ακόμη τα αντίστοιχα πιστοποιητικά Ασφαλούς εκκίνησης 2023. Σε αυτές τις περιπτώσεις, οι ενημερώσεις πιστοποιητικού Ασφαλούς εκκίνησης θα πρέπει να εφαρμόζονται στο λειτουργικό σύστημα επισκεπτών πριν από τη μετάβαση στη Διαχείριση εκκίνησης των Windows.
Άλλα ζητήματα σχετικά με τους πόρους Azure
|
πόρος Azure |
Δημιουργήθηκε πριν από τον Απρίλιο του 2024; |
Απαιτείται ενέργεια |
|---|---|---|
|
Δημιουργία αντιγράφων ασφαλείας/στιγμιότυπο TVM ή CVM |
Ναι |
Εκκινήστε την εικονική μηχανή, εφαρμόστε ενημερώσεις και, στη συνέχεια, ανακτήστε τη |
|
Δημιουργία αντιγράφων ασφαλείας/στιγμιότυπο TVM ή CVM |
Όχι |
Δεν απαιτείται καμία ενέργεια |
|
Azure η εικόνα της Συλλογής υπολογιστών καταγράφεται με καταγραφές (τύπος ασφάλειας εικόνας = TL ή CVM) από TVM ή CVM |
Ναι |
Εκκινήστε την εικονική μηχανή, εφαρμόστε ενημερώσεις και, στη συνέχεια, ανακτήστε τη |
|
Azure η εικόνα της Συλλογής υπολογιστών καταγράφεται με καταγραφές (τύπος ασφάλειας εικόνας = TL ή CVM) από TVM ή CVM |
Όχι |
Δεν απαιτείται καμία ενέργεια |
Παρακολούθηση κατάστασης ενημέρωσης
Η παρακολούθηση και η ανάπτυξη για ενημερώσεις πιστοποιητικών Ασφαλούς εκκίνησης στις Azure αξιόπιστες εικονικές μηχανές εκκίνησης και εμπιστευτικών μηχανών ακολουθούν τις ίδιες οδηγίες συντήρησης των Windows που χρησιμοποιούνται για φυσικές συσκευές και εικονικές συσκευές.
Για λεπτομερείς οδηγίες παρακολούθησης, όπως τον τρόπο απογραφής των συσκευών, την επαλήθευση των μεταβλητών ενημερώσεων υλικολογισμικού και την παρακολούθηση της προόδου των ενημερώσεων, ανατρέξτε στο Εγχειρίδιο ασφαλούς εκκίνησης για Windows Server και https://aka.ms/GetSecureBoot.
Ανάπτυξη ενημερώσεων
Οι ενημερώσεις πιστοποιητικών ασφαλούς εκκίνησης για Azure αξιόπιστη εκκίνηση και εμπιστευτικές εικονικές μηχανές ξεκινούν από το λειτουργικό σύστημα επισκεπτών με χρήση της συντήρησης των Windows.
Ακολουθήστε τις οδηγίες ανάπτυξης στο Playbook ασφαλούς εκκίνησης για Windows Server για:
-
αυτόματη ανάπτυξη μέσω Windows Update
-
Μέθοδοι ανάπτυξης που ξεκινούν από το IT
-
κλειδιά μητρώου συντήρησης
-
αλληλουχία ανάπτυξης
Όταν χρησιμοποιείτε προσαρμοσμένες ή επαναχρησιμοποιημένες εικόνες εικονικών μηχανών, ανατρέξτε στην ενότητα Θέματα χρυσών εικόνων σε αυτό το άρθρο πριν να προχωρήσετε στη Διαχείριση εκκίνησης των Windows.
Πόροι
-
Σελιδοδείκτης Λήψη ασφαλούς εκκίνησης για περισσότερες πληροφορίες σχετικά με αυτήν την αλλαγή, λεπτομερείς οδηγίες για τη διαχείριση της ενημέρωσης πιστοποιητικού Ασφαλούς εκκίνησης και απαντήσεις σε συνήθεις ερωτήσεις.
-
Ενημερώσεις πιστοποιητικού ασφαλούς εκκίνησης: Οδηγίες για επαγγελματίες IT και οργανισμούς
-
Για περισσότερες λεπτομέρειες σχετικά με τα συμβάντα αρχείου καταγραφής συμβάντων, ανατρέξτε στο θέμα Συμβάντα μεταβλητής ενημέρωσης Ασφαλούς εκκίνησης DB και DBX.
-
Για περισσότερες λεπτομέρειες σχετικά με τα κλειδιά μητρώου Ασφαλούς εκκίνησης, ανατρέξτε στο θέμα Ενημερώσεις κλειδιών μητρώου για την Ασφαλή εκκίνηση: Συσκευές Windows με ενημερώσεις διαχειριζόμενες από IT.
Αν έχετε ένα πρόγραμμα υποστήριξης και χρειάζεστε τεχνική βοήθεια, υποβάλετε ένα αίτημα υποστήριξης.
Αλλαγή αρχείου καταγραφής
|
Αλλαγή ημερομηνίας |
Αλλαγή περιγραφής |
|
13 Μαΐου 2026 |
Δεν υπάρχουν αλλαγές σε αυτό το άρθρο |
