Avaldamise algne kuupäev: 13. mai 2026
KB ID: 5085395
Selles artiklis on toodud juhised järgmiseks.
-
Azure usaldusväärse käivitamise virtuaalarvutid (TVM) ja konfidentsiaalsed virtuaalarvutid (CVM), kus töötab Windows, kus on lubatud turvaline käivitamine.
-
Toetatud Windowsi operatsioonisüsteemide täieliku loendi leiate artiklist Azure virtuaalarvutite usaldusväärne käivitamine
Selles artiklis kirjeldatakse järgmist.
Sissejuhatus
Secure Boot on UEFI püsivara turbefunktsioon, mis aitab tagada, et seadme algkäivitusjada ajal töötab ainult usaldusväärne digitaalallkirjastatud tarkvara. 2011. aastal välja antud Microsoft Secure Booti serdid aeguvad 2026. aasta juunis.
Secure Booti kaitse säilitamiseks ja varase algkäivituse protsessi jätkuvaks teenindamiseks tuleb Azure usaldusväärset käivitamist ja konfidentsiaalseid virtuaalarvutiid värskendada mõlemaga järgmistest.
-
Secure Boot 2023 serdid virtuaalses püsivaras
-
Värskendatud sertide allkirjastatud Windowsi käivitushaldur
Need komponendid töötavad koos: serdid loovad usalduse virtuaalse püsivara ja käivitushaldurit tuleb värskendada, et see usaldus allkirjastaks.
Kaitselünkade vältimiseks veenduge, et mõlemad komponendid oleksid värskendatud, ja käivitage vajaduse korral värskendused.
Kui virtuaalarvuti tugineb pärast aegumist endiselt 2011. aasta sertidele, võib see jätkata algkäivitust ja saada standardseid Windowsi värskendusi. Siiski ei saa see enam varajase algkäivituse protsessi jaoks uusi turbekaitseid, sealhulgas Windowsi käivitushalduri värskendusi, turvalise algkäivituse andmebaase ja tühistamisloendeid või vast avastatud algkäivitustaseme nõrkuste leevendamist.
Lisateavet leiate teemast Kui Secure Booti serdid aeguvad Windowsi seadmetes.
Toimingut nõudvate stsenaariumide tuvastamine
Enamikul juhtudel rakendab Windows turvalise käivitamise 2023 serdid automaatselt igakuiste värskendustega sobilikes seadmetes, sh toetatud Azure usaldusväärne käivitamine ja konfidentsiaalsed virtuaalarvutid, kus on lubatud turvaline käivitamine. Kui piisavaid ühilduvussignaale pole saadaval, ei pruugi mõned virtuaalarvutid automaatset juurutamist kasutada. Sellistel juhtudel võib olla vajalik haldustoiming värskenduste käivitamiseks külalisoperatsioonisüsteemi kaudu. Lisateavet turvalise algkäivituse sertide värskenduste hankimise kohta leiate järgmisest artiklist: Turvalise algkäivituse serdi värskendused: juhised IT-spetsialistidele ja organisatsioonidele.
Turvalise algkäivituse värskendused Azure usaldusväärse käivitamise ja konfidentsiaalsete virtuaalarvutite jaoks hõlmavad kahte komponenti.
-
Virtuaalsesse püsivarasse salvestatud turvalised algkäivituse serdid (platvormi hallatav)
-
Windowsi käivitushaldur (os-i külalisjuhatus)
Pärast märtsi 2024 loodud virtuaalarvutid sisaldavad tavaliselt virtuaalses püsivaras secure Boot 2023 serte. Need virtuaalarvutid nõuavad tavaliselt ainult Windowsi käivitushalduri värskendust.
Enne märtsi 2024 loodud kauakestvad virtuaalarvutid ei sisalda virtuaalses püsivaras turbekäivituse 2023 serte ja nõuavad turbekäivituse sertide ja Windowsi käivitushalduri värskendusi.
Värskendustoimingud algatatakse külalisoperatsioonisüsteemis Windowsi teeninduse kaudu ja virtuaalses püsivaras secure Booti muutujatele autenditud värskenduste rakendamiseks platvormil.
Pärast kohaldatavate stsenaariumide tuvastamist inventuurige oma keskkond, et teha kindlaks, millised virtuaalarvutid nõuavad värskendusi.
Nõutavad toimingud:
-
Veenduge, et külalis-virtuaalarvutid oleksid värskendatud 2026. aasta märtsi Windowsi värskendusega või uuema versiooniga (aprill 2026 või uuem, kui kasutatakse kiirpääsu). Vt lisaks: Hotpatch Windows Server jaoks.
-
Veenduge, et kõigil Azure usaldusväärsel käivitamisel ja konfidentsiaalsel virtuaalarvutil oleksid turvalise käivitamise 2023 serdid ja värskendatud Windowsi käivitushaldur.
-
Käivitage värskendused külalisoperatsioonisüsteemi kaudu, et vajaduse korral rakendada turbekäivituse serdi ja Windowsi käivitushalduri värskendusi.
-
Windowsi süsteemi sündmuselogide auditeerimine: sündmuse ID 1808 ja sündmuse ID 1801 või jälgige registrivõtit UEFICA2023Status, et kontrollida, kas värskendatud turvalise käivitamise serdid on rakendatud ja kas Windowsi käivitushaldurit on värskendatud.
Seadmetes, mis pole neid värskendusi rakendanud, kasutage turbekäivituse playbookis kirjeldatud jälgimis- ja juurutamismeetodeid Windows Server Secure Booti playbooki 2026. aastal aeguvate sertide jaoks ja https://aka.ms/GetSecureBoot täielikud juhised.
külalis-virtuaalarvutite Azure kaalutlused
Vaadake läbi järgmised stsenaariumid ja seansihostide jaoks vajalikud toimingud.
|
VM-i stsenaarium |
Kas turvaline algkäivitus on aktiivne? |
Nõutav toiming |
|
TVM või CVM, kus turvaline käivitamine on lubatud |
Jah |
Secure Booti sertide ja Windowsi käivitushalduri värskendamine |
|
TVM, kus turvaline käivitamine on keelatud |
Ei |
Midagi pole vaja teha |
|
1. põlvkonna virtuaalarvuti |
Ei toetata |
Midagi pole vaja teha |
Märkus.: Standard turbetüüpi virtuaalarvutitel pole secure Boot lubatud.
Kuldse pildi kaalutlused
Vaadake läbi järgmised piltide stsenaariumid ja nõutavad toimingud.
Märkus.: Azure turuplatsi pildid pakuvad eelkonfigureeritud alguspunkte, vanillat või väljaandjate vaikepilte, samas kui Azure arvutusgalerii pilte kasutatakse kohandatud piltide talletamiseks ja levitamiseks. Mõlemal juhul jäädvustavad pildid Windowsi käivitushaldurit, kuid ei sisalda turvalise algkäivituse püsivara muutujaid, mis rakendatakse virtuaalarvuti tasemel.
Azure arvutigalerii ja hallatavad pildid jäädvustavad operatsioonisüsteemi ja algkäivituse laadija oleku (sh Windowsi käivitushaldur), kuid ei sisalda turvalise algkäivituse püsivara muutujaid. Secure Booti serdid, näiteks Secure Booti andmebaasi (DB) värskendused või võtmevahetusvõtmed (KEK), salvestatakse juurutatud virtuaalarvuti virtuaalsesse püsivara ja neid ei jäädvustata pildi üldistamise ajal.
Turvalise algkäivituse värskenduste rakendamine kuldses pildis areneb Windowsi käivitushalduris, kuid ei säilita secure Booti serte virtuaalarvutitele, mis on sellest pildist ette valmistatud. Selle värskenduse sooritamisel aga liigub edasi Windowsi käivitushaldur pildil.
Nõutavad toimingud:
-
Rakendage Secure Boot 2023 värskendus kuldsele pildile enne selle jäädvustamist. Märkus. See annab edasi Windowsi käivitushalduri, kuid ei säilita juurutatud virtuaalarvutites secure Booti serte.
-
Taaskäivitage VM vastavalt vajadusele, et lubada algkäivitushalduri värskenduse rakendamine.
-
Enne pildi üldistamist veenduge, et värskendamine on lõpule viidud. Selleks käivitage järgmine PowerShelli käsk ja veenduge, et väärtuseks oleks seatud Värskendatud:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Windowsi käivitushalduri värskendamine kuldse pildiga kehtib selle pildi abil juurutatud või uuesti juurutatud virtuaalarvutite värskenduse kohta. Äsja ette valmistatud Azure usaldusväärne käivitamine ja konfidentsiaalsed virtuaalarvutid sisaldavad secure Boot 2023 serte virtuaalses püsivara ja saavad turvaliselt kasutada kuldne pilt värskendatud Windows Boot Manager.
Kuid pildipõhised uuesti juurutamised olemasolevatesse virtuaalarvutites, mis loodi enne 2024. aasta märtsi, võivad rakendada värskendatud Windowsi käivitushalduri virtuaalarvutitele, mille püsivara ei usalda veel vastavaid Secure Boot 2023 serte. Sellistel juhtudel tuleks turbekäivituse serdi värskendused rakendada külalisoperatsioonisüsteemis enne Windowsi käivitushalduri kasutusele minemist.
Muud Azure ressursid
|
Azure ressurss |
Kas see on loodud enne aprilli 2024? |
Nõutav toiming |
|---|---|---|
|
TVM-i või CVM-i varundamine/hetktõmmis |
Jah |
Käivitage virtuaalarvuti, rakendage värskendused ja seejärel taassäilitage |
|
TVM-i või CVM-i varundamine/hetktõmmis |
Ei |
Midagi pole vaja teha |
|
Azure Compute Gallery pildi jäädvustused (pilditurbe tüüp = TL või CVM) jäädvustused TVM-ist või CVM-ist |
Jah |
Käivitage virtuaalarvuti, rakendage värskendused ja seejärel taassäilitage |
|
Azure Compute Gallery pildi jäädvustused (pilditurbe tüüp = TL või CVM) jäädvustused TVM-ist või CVM-ist |
Ei |
Midagi pole vaja teha |
Värskenduste oleku jälgimine
Turbekäivituse serdi värskenduste jälgimine ja juurutamine Azure usaldusväärsete käivitus- ja konfidentsiaalsete virtuaalarvutite puhul järgivad samu Windowsi teenindusjuhiseid, mida kasutatakse füüsiliste ja virtualiseeritud seadmete jaoks.
Üksikasjalikud jälgimisjuhised(sh inventuuriseadmete kontrollimine, püsivaramuutujate värskenduste kontrollimine ja värskenduste edenemise jälgimine) leiate teemast Secure Boot Playbook Windows Server ja https://aka.ms/GetSecureBoot.
Värskenduste juurutamine
Turvalise algkäivituse serdi värskendused Azure usaldusväärsete käivitamise ja konfidentsiaalsete virtuaalarvutite jaoks algatatakse külalisoperatsioonisüsteemis Windowsi teenindust kasutades.
Järgige Windows Server Secure Boot Playbooki juurutamisjuhiseid.
-
automaatne juurutamine Windows Update kaudu
-
IT-algatatud juurutusmeetodid
-
teeninduse registrivõtmed
-
juurutamise järjestus
Kohandatud või taaskasutatud virtuaalarvuti piltide kasutamisel lugege enne Windowsi käivitushalduri kasutuselevõttu artiklit Kuldse pildi kaalutlused.
Ressursid
-
Järjehoidja – selle muudatuse kohta lisateabe saamiseks järjehoidja Hankige turvaline algkäivitus, üksikasjalikud juhised secure Booti serdi värskenduse haldamiseks ja vastused korduma kippuvatele küsimustele.
-
Turvalise algkäivituse serdi värskendused: juhised IT-spetsialistidele ja organisatsioonidele
-
Sündmuselogi sündmuste kohta leiate lisateavet teemast Secure Boot DB ja DBX muutuja värskendussündmused.
-
Secure Booti registrivõtmete kohta leiate lisateavet teemast Secure Booti registrivõtmete värskendused: Windowsi seadmed IT-hallatavate värskendustega.
Kui teil on tugiteenuseleping ja vajate tehnilist abi, esitage tugiteenusetaotlus.
Muudatuste logi
|
Muuda kuupäeva |
Muuda kirjeldust |
|
13. mai 2026 |
Selles artiklis pole muudatusi |
