Huomautus
- Alkuperäinen julkaisupäivä: 13. toukokuuta 2026
- KB-tunnus: 5085395
Huomautus
Tässä artikkelissa on seuraavat ohjeet:
- Azure Trusted Launch Näennäiskoneet (TVM) ja Confidential VMs (CVM), joissa on käytössä Windows ja suojattu käynnistys käytössä.
- Täydellinen luettelo tuetuista Windows-käyttöjärjestelmistä on artikkelissa: Azure-virtuaalikoneiden luotettu käynnistys
Artikkelin sisältö:
Johdanto
Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, jonka avulla voidaan varmistaa, että vain luotettuja, digitaalisesti allekirjoitettuja ohjelmistoja suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoftin suojatun käynnistyksen varmenteet alkavat vanhentua kesäkuussa 2026.
Jotta suojatun käynnistyksen suojaus ja varhaisen käynnistysprosessin ylläpito jatkuu, Azure:n luotettuun käynnistykseen ja luottamuksellisiin näennäiskoneisiin on päivitettävä molemmat seuraavat:
- Secure Boot 2023 -varmenteet virtuaalisessa laiteohjelmistossa
- Windowsin käynnistyksen hallintaohjelma, joka on allekirjoitettu päivitetyillä varmenteilla.
Nämä osat toimivat yhdessä: varmenteet luovat luottamuksen virtuaaliseen laiteohjelmistoon, ja käynnistyksen hallintaohjelma on päivitettävä, jotta se voidaan allekirjoittaa tällä luottamuksella.
Voit estää aukkoja suojauksessa varmistamalla, että molemmat osat on päivitetty, ja käynnistämällä päivitykset tarvittaessa.
Jos virtuaalikone käyttää vuoden 2011 varmenteita sen vanhenemisen jälkeen, se voi jatkaa käynnistymistä ja vastaanottaa Windowsin vakiopäivityksiä. Se ei kuitenkaan enää saa uusia suojaussuojauksia varhaiselle käynnistysprosessille, mukaan lukien päivitykset Windowsin käynnistyksen hallintaohjelmaan, suojatun käynnistyksen tietokantoihin ja kumoamisluetteloihin tai lievennykset äskettäin löydettyihin käynnistystason haavoittuvuuksiin.
Lisätietoja on artikkelissaSuojatun käynnistyksen varmenteiden vanheneminen Windows-laitteissa.
Tunnista skenaariot, jotka edellyttävät toimia
Useimmissa tapauksissa Windows ottaa Secure Boot 2023 -varmenteet käyttöön automaattisesti kuukausittaisilla päivityksillä oikeutetuissa laitteissa, mukaan lukien tuetut Azure:n luotetut käynnistykset ja luottamukselliset virtuaalikoneet, joissa suojattu käynnistys on käytössä. Jotkin virtuaalikoneet eivät ehkä täytä automaattisen käyttöönoton vaatimuksia, jos yhteensopivuussignaaleja ei ole riittävästi. Tällaisissa tapauksissa päivitysten aloittaminen vieraskäyttöjärjestelmästä saattaa edellyttää järjestelmänvalvojan toimia. Lisätietoja suojatun käynnistyksen varmennepäivitysten hankkimisesta on seuraavassa osoitteessa: Suojatun käynnistyksen varmennepäivitykset: Ohjeita IT-ammattilaisille ja organisaatioille.
Azuren luotetun käynnistyksen ja luottamuksellisten virtuaalikoneiden suojatun käynnistyksen päivitykset sisältävät kaksi osaa:
- Virtuaaliseen laiteohjelmistoon tallennetut suojatun käynnistyksen varmenteet (alustan hallitsemat)
- Windowsin käynnistyksen hallintaohjelma (vieraskäyttöjärjestelmän hallitsema)
Maaliskuun 2024 jälkeen luodut virtuaalikoneet sisältävät yleensä jo Secure Boot 2023 -varmenteet virtuaalisessa laiteohjelmistossa. Nämä virtuaalikoneet edellyttävät yleensä vain Windowsin käynnistyksen hallintaohjelman päivitystä.
Ennen maaliskuuta 2024 luodut pitkäkestoiset virtuaalikoneet eivät sisällä Secure Boot 2023 -varmenteita virtuaalisessa laiteohjelmistossa, ja ne edellyttävät sekä suojatun käynnistyksen varmenteiden että Windowsin käynnistyksen hallinnan päivityksiä.
Päivitystoiminnot aloitetaan vieraskäyttöjärjestelmästä Windows-palvelun kautta, ja ne perustuvat ympäristön tukeen, jotta todennettuja päivityksiä voidaan soveltaa virtuaalisen laiteohjelmiston suojatun käynnistyksen muuttujiin.
Kun olet tunnistanut soveltuvat skenaariot, inventoi ympäristösi ja määritä, mitkä virtuaalikoneet edellyttävät päivityksiä.
Tarvittavat toimet:
- Varmista, että vierasvirtuaalikoneet päivitetään maaliskuun 2026 Windows-päivityksellä tai uudemmalla (huhtikuussa 2026 tai uudemmalla, jos käytössä on korjaus muistiin). Lisätietoja: Korjaus muistiin Windows Server.
- Varmista, että kaikilla Azure:n luotetun käynnistyksen ja luottamuksellisten näennäiskoneiden kanssa on Secure Boot 2023 -varmenteet ja päivitetty Windowsin käynnistyksen hallintaohjelma.
- Aloita päivitykset vieraskäyttöjärjestelmästä ottaaksesi käyttöön suojatun käynnistyksen varmenteen ja Windowsin käynnistyksen hallinnan päivitykset tarvittaessa.
- Valvo Windows-järjestelmän tapahtumalokeja: tapahtumatunnus 1808 ja tapahtumatunnus 1801 tai valvo UEFICA2023Status-rekisteriavainta varmistaaksesi, onko päivitettyjä suojatun käynnistyksen varmenteita käytetty ja onko Windowsin käynnistyksen hallinta päivitetty.
Käytä laitteissa, jotka eivät ole ottaneet näitä päivityksiä käyttöön, valvonta- ja käyttöönottomenetelmiä, jotka on kuvattu suojatun käynnistyksen käsikirjassa, Windows Server suojatun käynnistyksen käsikirjassa vuonna 2026 vanhentuville varmenteille ja osoitteessa https://aka.ms/GetSecureBoot saadaksesi täydelliset ohjeet.
Azure-vierasvirtuaalikoneeseen liittyviä näkökohtia
Tutustu seuraaviin skenaarioihin ja istunnon isäntien pakollisiin toimintoihin:
| VM-skenaario | Suojattu käynnistys aktiivinen? | Toimia tarvitaan |
|---|---|---|
| TVM tai CVM, jossa on suojattu käynnistys käytössä | Kyllä | Päivitä suojatun käynnistyksen varmenteet ja Windowsin käynnistyksen hallintaohjelma |
| TVM, jossa suojattu käynnistys on poistettu käytöstä | Ei | Toimia ei tarvita |
| Sukupolven 1 virtuaalikone | Ei tuettu | Toimia ei tarvita |
Huomautus
Standard-suojaustyypin virtuaalikoneissa ei ole suojattua käynnistystä käytössä.
Kultaista kuvaa koskevat asiat
Tarkista seuraavat skenaariot ja kuvien pakolliset toiminnot:
Huomautus
Azure Marketplacen kuvat ovat valmiiksi määritettyjä aloituskohtia, tavallisia tai julkaisijoiden kuvia, kun taas Azure Compute Galleryn kuvia käytetään mukautettujen kuvien tallentamiseen ja jakamiseen. Kummassakin tapauksessa näköistiedostot sieppaavat Windowsin käynnistyksen hallintaohjelman, mutta eivät sisällä suojatun käynnistyksen laiteohjelmistomuuttujia, joita käytetään näennäiskoneen tasolla.
Azure Compute Gallery ja hallitut näköistiedostot sieppaavat käyttöjärjestelmän ja käynnistyslatausohjelman tilan, mukaan lukien Windowsin käynnistyksen hallintaohjelman, mutta eivät sisällä suojatun käynnistyksen laiteohjelmistomuuttujia. Suojatun käynnistyksen varmenteet, kuten suojatun käynnistyksen tietokannan (DB) päivitykset tai avainvaihtoavaimet (KEK), tallennetaan käyttöön otetun virtuaalikoneen näennäislaiteohjelmistoon, eikä niitä kerätä näköistiedoston yleistämisen aikana.
Suojatun käynnistyksen päivitysten käyttäminen kultaisessa näköistiedostossa edistää Windowsin käynnistyksen hallintaohjelmaa, mutta ei säilytä suojatun käynnistyksen varmenteita näköistiedostosta valmisteltuihin näennäiskoneisiin. Tämän päivityksen suorittaminen kuitenkin edistää Windowsin käynnistyksen hallintaa näköistiedostossa.
Tarvittavat toimet:
Käytä Secure Boot 2023 -päivitystä kultaiseen kuvaan ennen sen sieppaamista. Huomautus: Tämä edistää Windowsin käynnistyksen hallintaohjelmaa, mutta ei säilytä suojatun käynnistyksen varmenteita käyttöön otettuihin näennäiskoneisiin.
Käynnistä virtuaalikone uudelleen tarpeen mukaan, jotta käynnistyksen hallinnan päivitys otetaan käyttöön.
Varmista ennen kuvan yleistämistä, että päivitys on valmis suorittamalla seuraava PowerShell-komento ja vahvistamalla, että arvoksi on määritetty Päivitetty:
Huomautus
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Windowsin käynnistyksen hallinnan päivittäminen kultaisessa näköistiedostossa koskee kyseistä päivitystä näköistiedoston avulla käyttöön otettuihin tai uudelleen käyttöön otetuisiin näennäiskoneisiin. Äskettäin valmistellut Azure:n luotettu käynnistys ja luottamukselliset virtuaalikoneet sisältävät Secure Boot 2023 -varmenteet virtuaalisessa laiteohjelmistossa, ja ne voivat turvallisesti käyttää kultaisia näköistiedostoja päivitetyn Windowsin käynnistyksen hallinnan avulla.
Ennen maaliskuuta 2024 luodut näköistiedostopohjaiset uudelleenkäyttöönotot olemassa oleviin virtuaalikoneisiin saattavat kuitenkin käyttää päivitettyä Windowsin käynnistyksen hallintaa virtuaalikoneisiin, joiden laiteohjelmisto ei vielä luota vastaaviin Secure Boot 2023 -varmenteisiin. Näissä tapauksissa suojatun käynnistyksen varmenteen päivitykset tulee ottaa käyttöön vieraskäyttöjärjestelmässä ennen Windowsin käynnistyksen hallinnan etenemistä.
Muita huomioon otettavia seikkoja Azure-resursseista
| Azure-resurssi | Luotu ennen huhtikuuta 2024? | Toimia tarvitaan |
|---|---|---|
| TVM:n tai CVM:n varmuuskopiointi/tilannevedos | Kyllä | Käynnistä virtuaalikone, ota päivitykset käyttöön ja ota sitten uudelleen käyttöön |
| TVM:n tai CVM:n varmuuskopiointi/tilannevedos | Ei | Toimia ei tarvita |
| Azure Compute Galleryn kuvakaappaukset (kuvan suojaustyyppi = TL tai CVM) TVM- tai CVM-sieppauksilla | Kyllä | Käynnistä virtuaalikone, ota päivitykset käyttöön ja ota sitten uudelleen käyttöön |
| Azure Compute Galleryn kuvakaappaukset (kuvan suojaustyyppi = TL tai CVM) TVM- tai CVM-sieppauksilla | Ei | Toimia ei tarvita |
Seuraa päivityksen tilaa
Suojatun käynnistyksen varmennepäivitysten valvonta ja käyttöönotto Azuressa Luotettu käynnistys ja Luottamukselliset näennäiskoneet noudattavat samoja Windowsin ylläpito-ohjeita, joita käytetään fyysisissä ja virtualisoiduissa laitteissa.
Katso yksityiskohtaiset valvontaohjeet, kuten laitteiden inventointi, laiteohjelmiston muuttujapäivitysten tarkistaminen ja päivitysten edistymisen seuraaminen, Windows Server ja https://aka.ms/GetSecureBoot suojatun käynnistyksen käsikirjasta.
Ota päivitykset käyttöön
Secure Boot -varmenteen päivitykset Azure:n luotettua käynnistystä ja luottamuksellisia näennäiskoneita varten aloitetaan vieraskäyttöjärjestelmästä Windows-ylläpitoa käyttäen.
Noudata Windows Server:n suojatun käynnistyksen käsikirjan käyttöönotto-ohjeita seuraaville:
- automaattinen käyttöönotto Windows Update:n kautta
- IT-aloitetut käyttöönottomenetelmät
- Rekisteriavainten ylläpito
- käyttöönoton järjestys
Kun käytät mukautettuja tai uudelleenkäytettyjä näennäiskoneen näköistiedostoja, katso tämän artikkelin Golden Image -näkökohdat ennen Windowsin käynnistyksen hallinnan jatkamista.
Resurssit
- Lisää kirjanmerkki Get Secure Boot -sovellukseen , niin saat lisätietoja tästä muutoksesta, yksityiskohtaisia ohjeita suojatun käynnistyksen varmennepäivityksen hallintaan ja vastauksia usein kysyttyihin kysymyksiin.
- Suojatun käynnistyksen käsikirja Windows Server
- Secure Boot -varmenteen päivitykset: IT-ammattilaisille ja organisaatioille
- Lisätietoja tapahtumalokin tapahtumista on kohdassa Secure Boot DB- ja DBX-muuttujapäivitystapahtumat.
- Lisätietoja suojatun käynnistyksen rekisteriavaimista on ohjeaiheessa Rekisteriavaimen päivitykset Secure Bootia varten: Windows-laitteet, joissa on IT-hallittuja päivityksiä.
Jos sinulla on tukisopimus ja tarvitset teknistä tukea, lähetä tukipyyntö.
Muutosloki
| Muuta päivämäärää | Muutoksen kuvaus |
|---|---|
| 13. toukokuuta 2026 | Tässä artikkelissa ei ole muutoksia |