Fecha de publicación original: 13 de mayo de 2026

KB ID: 5085395

Este artículo tiene instrucciones para: 

  • Azure Virtual Machines de inicio de confianza (TVM) y máquinas virtuales confidenciales (CVM) que ejecutan Windows con arranque seguro habilitado.

  • Para obtener una lista completa de los sistemas operativos Windows compatibles, consulta el artículo: Inicio de confianza para máquinas virtuales Azure

En este artículo:

Introducción

Arranque seguro es una función de seguridad de firmware UEFI que ayuda a garantizar que solo se ejecute el software de confianza firmado digitalmente durante la secuencia de arranque del dispositivo. Los certificados de arranque seguro de Microsoft emitidos en 2011 empiezan a expirar en junio de 2026. 

Para mantener las protecciones de arranque seguro y el mantenimiento continuado del proceso de arranque anticipado, Azure máquinas virtuales de inicio de confianza y confidencial deben actualizarse con los dos procedimientos siguientes: 

  • Certificados de Arranque seguro 2023 en firmware virtual

  • Administrador de arranque de Windows firmado por los certificados actualizados

Estos componentes funcionan conjuntamente: los certificados establecen la confianza en el firmware virtual y el Administrador de arranque debe actualizarse para que esté firmado por esa confianza. 

Para ayudar a evitar espacios en la protección, compruebe que ambos componentes se actualicen e inicien las actualizaciones cuando sea necesario. 

Si una máquina virtual sigue confiando en los certificados de 2011 tras la expiración, puede seguir arrancando y recibiendo actualizaciones estándar de Windows. Sin embargo, ya no recibirá nuevas protecciones de seguridad para el proceso de arranque anticipado, incluidas las actualizaciones de Windows Boot Manager, bases de datos de arranque seguro y listas de revocación, ni mitigaciones de vulnerabilidades de nivel de arranque recién descubiertas. 

Para obtener más información, consulta Cuándo expiran los certificados de arranque seguro en dispositivos Windows.

volver al principio 

Identificar escenarios que requieren acción

En la mayoría de los casos, Windows aplica automáticamente los certificados de arranque seguro 2023 a través de actualizaciones mensuales en los dispositivos aptos, incluidos los Azure de inicio de confianza y las máquinas virtuales confidenciales con arranque seguro habilitado. Es posible que algunas máquinas virtuales no sean aptas para la implementación automática si no hay suficientes señales de compatibilidad disponibles. En estos casos, es posible que se requiera una acción administrativa para iniciar las actualizaciones desde el sistema operativo invitado. Para obtener más información sobre cómo obtener actualizaciones de certificados de arranque seguro, visita: Actualizaciones de certificados de arranque seguro: instrucciones para profesionales de TI y organizaciones.

Las actualizaciones de arranque seguro para Azure las máquinas virtuales de inicio de confianza y confidenciales implican dos componentes: 

  • Certificados de arranque seguro almacenados en firmware virtual (administrado por plataforma)

  • Administrador de arranque de Windows (administrado por el SO invitado)

Las máquinas virtuales creadas después de marzo de 2024 normalmente ya incluyen los certificados de Arranque seguro 2023 en el firmware virtual. Por lo general, estas máquinas virtuales requieren solo una actualización del Administrador de arranque de Windows. 

Las máquinas virtuales de larga duración creadas antes de marzo de 2024 no incluyen los certificados de Arranque seguro 2023 en el firmware virtual y requieren actualizaciones tanto de certificados de arranque seguro como de Windows Boot Manager. 

Las operaciones de actualización se inician desde el sistema operativo invitado a través del servicio de Windows y dependen del soporte de la plataforma para aplicar actualizaciones autenticadas a variables de arranque seguro en el firmware virtual. 

Después de identificar los escenarios aplicables, realice un inventario de su entorno para determinar qué máquinas virtuales requieren actualizaciones. 

Acciones necesarias: 

  • Asegúrese de que las máquinas virtuales invitadas se actualicen con la actualización de Windows de marzo de 2026 o posterior (abril de 2026 o posterior si se usa hotpatching). Ver más: Hotpatch para Windows Server.

  • Comprueba que todas las máquinas virtuales Azure de inicio de confianza y confidencial tengan los certificados de Arranque seguro 2023 y un Administrador de arranque de Windows actualizado.

  • Inicia actualizaciones desde el sistema operativo invitado para aplicar el certificado de arranque seguro y las actualizaciones del Administrador de arranque de Windows cuando sea necesario.

  • Audita los registros de eventos del sistema de Windows: Id. de evento 1808 e Id. de evento 1801 o supervisa la clave del Registro UEFICA2023Status para confirmar si se han aplicado certificados de arranque seguro actualizados y si se ha actualizado el Administrador de arranque de Windows.

Para los dispositivos que no han aplicado estas actualizaciones, usa los métodos de supervisión e implementación descritos en la guía de reproducción de arranque seguro, Windows Server guía de arranque seguro para certificados que expiran en 2026 y en https://aka.ms/GetSecureBoot para obtener instrucciones completas. 

volver al principio

Azure consideraciones sobre la máquina virtual invitado

Revise los siguientes escenarios y las acciones necesarias para los hosts de sesión:

Escenario de máquina virtual

¿Arranque seguro activo?

Acción necesaria

TVM o CVM con arranque seguro habilitado

Actualizar certificados de arranque seguro y Administrador de arranque de Windows

TVM con arranque seguro deshabilitado

No

No es necesario realizar ninguna acción

VM de generación 1

No se admite

No es necesario realizar ninguna acción

Nota: Standard máquinas virtuales de tipo de seguridad no tienen el arranque seguro habilitado. 

volver al principio

Consideraciones de imágenes doradas

Revise los siguientes escenarios y las acciones necesarias para las imágenes:

Nota: Azure Las imágenes de Marketplace proporcionan puntos de inicio preconfigurados, vainilla o imágenes predeterminadas de los editores, mientras que las imágenes de Azure Galería de procesos se usan para almacenar y distribuir imágenes personalizadas. En ambos casos, las imágenes capturan El Administrador de arranque de Windows, pero no incluyen variables de firmware de arranque seguro, que se aplican en el nivel de máquina virtual.

Diagrama de flujo para determinar si se necesita una acción para las imágenes

Azure galería de procesos e imágenes administradas capturan el estado del sistema operativo y del cargador de arranque, incluido El Administrador de arranque de Windows, pero no incluyen variables de firmware de arranque seguro. Los certificados de arranque seguro, como las actualizaciones de la base de datos de arranque seguro (DB) o las claves de intercambio de claves (KEK), se almacenan en el firmware virtual de la máquina virtual implementada y no se capturan durante la generalización de imágenes. 

La aplicación de actualizaciones de arranque seguro en una imagen dorada hace avanzar el Administrador de arranque de Windows, pero no conserva los certificados de arranque seguro a las máquinas virtuales aprovisionadas a partir de esa imagen. Sin embargo, realizar esta actualización avanza el Administrador de arranque de Windows dentro de la imagen.

Acciones necesarias:

  • Aplica la actualización de Arranque seguro 2023 a la imagen dorada antes de capturarla. Nota: Esto avanza en el Administrador de arranque de Windows, pero no se conservarán los certificados de arranque seguro en las máquinas virtuales implementadas.

  • Reinicia la vm según sea necesario para permitir que se aplique la actualización del Administrador de arranque.

  • Compruebe que la actualización se ha completado antes de generalizar la imagen ejecutando el siguiente comando de PowerShell y confirmando que el valor está establecido en Actualizado:

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status 

La actualización del Administrador de arranque de Windows dentro de una imagen dorada se aplica a las máquinas virtuales implementadas o reimplementadas con la imagen. Las máquinas virtuales de inicio de confianza y confidencial recientemente Azure aprovisionadas incluyen los certificados de Arranque seguro 2023 en el firmware virtual y pueden usar imágenes doradas con el Administrador de arranque de Windows actualizado. 

Sin embargo, las reimplementación basadas en imágenes en máquinas virtuales existentes creadas antes de marzo de 2024 podrían aplicar el Administrador de arranque de Windows actualizado a máquinas virtuales cuyo firmware aún no confía en los correspondientes certificados de Arranque seguro 2023. En estos casos, las actualizaciones de certificados de arranque seguro deben aplicarse en el sistema operativo invitado antes de avanzar por el Administrador de arranque de Windows.

volver al principio 

Otras consideraciones sobre recursos Azure

recurso de Azure

¿Creado antes de abril de 2024?

Acción requerida

Copia de seguridad/instantánea de TVM o CVM

Arranca la VM, aplica actualizaciones y, a continuación, recaptura

Copia de seguridad/instantánea de TVM o CVM

No

No es necesario realizar ninguna acción

Azure imágenes de la Galería de procesos con capturas (tipo de seguridad de imagen = TL o CVM) de TVM o CVM

Arranca la VM, aplica actualizaciones y, a continuación, recaptura

Azure imágenes de la Galería de procesos con capturas (tipo de seguridad de imagen = TL o CVM) de TVM o CVM

No

No es necesario realizar ninguna acción

volver al principio 

Supervisar el estado de actualización

La supervisión y la implementación de las actualizaciones de certificados de arranque seguro en Azure máquinas virtuales de inicio de confianza y confidencial siguen las mismas instrucciones de mantenimiento de Windows que se usan para dispositivos físicos y virtualizados. 

Para obtener instrucciones de supervisión detalladas, incluido cómo inventario de dispositivos, comprobar las actualizaciones de variables de firmware y realizar un seguimiento del progreso de las actualizaciones, consulta la Guía de reproducción de arranque seguro para Windows Server y https://aka.ms/GetSecureBoot.

Implementar actualizaciones

Las actualizaciones de certificados de arranque seguro para Azure máquinas virtuales de inicio de confianza y confidencial se inician desde el sistema operativo invitado mediante el servicio de Windows.  

Sigue las instrucciones de implementación del Libro de reproducción de arranque seguro para Windows Server para:

  • implementación automática a través de Windows Update

  • Métodos de implementación iniciados por TI

  • claves del Registro de mantenimiento

  • secuenciación de implementación

Al usar imágenes de máquina virtual personalizadas o reutilizadas, consulta Consideraciones de imágenes doradas en este artículo antes de avanzar al Administrador de arranque de Windows. 

volver al principio

Recursos

Si tienes un plan de soporte técnico y necesitas ayuda técnica, envía una solicitud de soporte técnico. 

volver al principio

Registro de cambios

Cambiar fecha

Cambiar descripción

13 de mayo de 2026

No hay cambios en este artículo

volver al principio

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad