Secure Boot -päivitys vuoden 2011 sertifikaateista vuoden 2023 sertifikaatteihin: Trusted Launch -virtuaalikoneet (TVM) ja luottamukselliset virtuaalikoneet (CVM)

Huomautus

  • Alkuperäinen julkaisupäivä: 13. toukokuuta 2026
  • KB-tunnus: 5085395

Huomautus

Tässä artikkelissa on seuraavat ohjeet:

  • Azure Trusted Launch Näennäiskoneet (TVM) ja Confidential VMs (CVM), joissa on käytössä Windows ja suojattu käynnistys käytössä.
  • Täydellinen luettelo tuetuista Windows-käyttöjärjestelmistä on artikkelissa: Azure-virtuaalikoneiden luotettu käynnistys

Artikkelin sisältö:

Johdanto

Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, jonka avulla voidaan varmistaa, että vain luotettuja, digitaalisesti allekirjoitettuja ohjelmistoja suoritetaan laitteen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoftin suojatun käynnistyksen varmenteet alkavat vanhentua kesäkuussa 2026.

Jotta suojatun käynnistyksen suojaus ja varhaisen käynnistysprosessin ylläpito jatkuu, Azure:n luotettuun käynnistykseen ja luottamuksellisiin näennäiskoneisiin on päivitettävä molemmat seuraavat:

  • Secure Boot 2023 -varmenteet virtuaalisessa laiteohjelmistossa
  • Windowsin käynnistyksen hallintaohjelma, joka on allekirjoitettu päivitetyillä varmenteilla.

Nämä osat toimivat yhdessä: varmenteet luovat luottamuksen virtuaaliseen laiteohjelmistoon, ja käynnistyksen hallintaohjelma on päivitettävä, jotta se voidaan allekirjoittaa tällä luottamuksella.

Voit estää aukkoja suojauksessa varmistamalla, että molemmat osat on päivitetty, ja käynnistämällä päivitykset tarvittaessa.

Jos virtuaalikone käyttää vuoden 2011 varmenteita sen vanhenemisen jälkeen, se voi jatkaa käynnistymistä ja vastaanottaa Windowsin vakiopäivityksiä. Se ei kuitenkaan enää saa uusia suojaussuojauksia varhaiselle käynnistysprosessille, mukaan lukien päivitykset Windowsin käynnistyksen hallintaohjelmaan, suojatun käynnistyksen tietokantoihin ja kumoamisluetteloihin tai lievennykset äskettäin löydettyihin käynnistystason haavoittuvuuksiin.

Lisätietoja on artikkelissaSuojatun käynnistyksen varmenteiden vanheneminen Windows-laitteissa.

alkuun

Tunnista skenaariot, jotka edellyttävät toimia

Useimmissa tapauksissa Windows ottaa Secure Boot 2023 -varmenteet käyttöön automaattisesti kuukausittaisilla päivityksillä oikeutetuissa laitteissa, mukaan lukien tuetut Azure:n luotetut käynnistykset ja luottamukselliset virtuaalikoneet, joissa suojattu käynnistys on käytössä. Jotkin virtuaalikoneet eivät ehkä täytä automaattisen käyttöönoton vaatimuksia, jos yhteensopivuussignaaleja ei ole riittävästi. Tällaisissa tapauksissa päivitysten aloittaminen vieraskäyttöjärjestelmästä saattaa edellyttää järjestelmänvalvojan toimia. Lisätietoja suojatun käynnistyksen varmennepäivitysten hankkimisesta on seuraavassa osoitteessa: Suojatun käynnistyksen varmennepäivitykset: Ohjeita IT-ammattilaisille ja organisaatioille.

Azuren luotetun käynnistyksen ja luottamuksellisten virtuaalikoneiden suojatun käynnistyksen päivitykset sisältävät kaksi osaa:

  • Virtuaaliseen laiteohjelmistoon tallennetut suojatun käynnistyksen varmenteet (alustan hallitsemat)
  • Windowsin käynnistyksen hallintaohjelma (vieraskäyttöjärjestelmän hallitsema)

Maaliskuun 2024 jälkeen luodut virtuaalikoneet sisältävät yleensä jo Secure Boot 2023 -varmenteet virtuaalisessa laiteohjelmistossa. Nämä virtuaalikoneet edellyttävät yleensä vain Windowsin käynnistyksen hallintaohjelman päivitystä.

Ennen maaliskuuta 2024 luodut pitkäkestoiset virtuaalikoneet eivät sisällä Secure Boot 2023 -varmenteita virtuaalisessa laiteohjelmistossa, ja ne edellyttävät sekä suojatun käynnistyksen varmenteiden että Windowsin käynnistyksen hallinnan päivityksiä.

Päivitystoiminnot aloitetaan vieraskäyttöjärjestelmästä Windows-palvelun kautta, ja ne perustuvat ympäristön tukeen, jotta todennettuja päivityksiä voidaan soveltaa virtuaalisen laiteohjelmiston suojatun käynnistyksen muuttujiin.

Kun olet tunnistanut soveltuvat skenaariot, inventoi ympäristösi ja määritä, mitkä virtuaalikoneet edellyttävät päivityksiä.

Tarvittavat toimet:

  • Varmista, että vierasvirtuaalikoneet päivitetään maaliskuun 2026 Windows-päivityksellä tai uudemmalla (huhtikuussa 2026 tai uudemmalla, jos käytössä on korjaus muistiin). Lisätietoja: Korjaus muistiin Windows Server.
  • Varmista, että kaikilla Azure:n luotetun käynnistyksen ja luottamuksellisten näennäiskoneiden kanssa on Secure Boot 2023 -varmenteet ja päivitetty Windowsin käynnistyksen hallintaohjelma.
  • Aloita päivitykset vieraskäyttöjärjestelmästä ottaaksesi käyttöön suojatun käynnistyksen varmenteen ja Windowsin käynnistyksen hallinnan päivitykset tarvittaessa.
  • Valvo Windows-järjestelmän tapahtumalokeja: tapahtumatunnus 1808 ja tapahtumatunnus 1801 tai valvo UEFICA2023Status-rekisteriavainta varmistaaksesi, onko päivitettyjä suojatun käynnistyksen varmenteita käytetty ja onko Windowsin käynnistyksen hallinta päivitetty.

Käytä laitteissa, jotka eivät ole ottaneet näitä päivityksiä käyttöön, valvonta- ja käyttöönottomenetelmiä, jotka on kuvattu suojatun käynnistyksen käsikirjassa, Windows Server suojatun käynnistyksen käsikirjassa vuonna 2026 vanhentuville varmenteille ja osoitteessa https://aka.ms/GetSecureBoot saadaksesi täydelliset ohjeet.

alkuun

Azure-vierasvirtuaalikoneeseen liittyviä näkökohtia

Tutustu seuraaviin skenaarioihin ja istunnon isäntien pakollisiin toimintoihin:

VM-skenaario Suojattu käynnistys aktiivinen? Toimia tarvitaan
TVM tai CVM, jossa on suojattu käynnistys käytössä Kyllä Päivitä suojatun käynnistyksen varmenteet ja Windowsin käynnistyksen hallintaohjelma
TVM, jossa suojattu käynnistys on poistettu käytöstä Ei Toimia ei tarvita
Sukupolven 1 virtuaalikone Ei tuettu Toimia ei tarvita

Huomautus

Standard-suojaustyypin virtuaalikoneissa ei ole suojattua käynnistystä käytössä.

alkuun

Kultaista kuvaa koskevat asiat

Tarkista seuraavat skenaariot ja kuvien pakolliset toiminnot:

Huomautus

Azure Marketplacen kuvat ovat valmiiksi määritettyjä aloituskohtia, tavallisia tai julkaisijoiden kuvia, kun taas Azure Compute Galleryn kuvia käytetään mukautettujen kuvien tallentamiseen ja jakamiseen. Kummassakin tapauksessa näköistiedostot sieppaavat Windowsin käynnistyksen hallintaohjelman, mutta eivät sisällä suojatun käynnistyksen laiteohjelmistomuuttujia, joita käytetään näennäiskoneen tasolla.

Vuokaavio, jonka avulla määritetään, tarvitaanko kuville toimenpiteitä

Azure Compute Gallery ja hallitut näköistiedostot sieppaavat käyttöjärjestelmän ja käynnistyslatausohjelman tilan, mukaan lukien Windowsin käynnistyksen hallintaohjelman, mutta eivät sisällä suojatun käynnistyksen laiteohjelmistomuuttujia. Suojatun käynnistyksen varmenteet, kuten suojatun käynnistyksen tietokannan (DB) päivitykset tai avainvaihtoavaimet (KEK), tallennetaan käyttöön otetun virtuaalikoneen näennäislaiteohjelmistoon, eikä niitä kerätä näköistiedoston yleistämisen aikana.

Suojatun käynnistyksen päivitysten käyttäminen kultaisessa näköistiedostossa edistää Windowsin käynnistyksen hallintaohjelmaa, mutta ei säilytä suojatun käynnistyksen varmenteita näköistiedostosta valmisteltuihin näennäiskoneisiin. Tämän päivityksen suorittaminen kuitenkin edistää Windowsin käynnistyksen hallintaa näköistiedostossa.

Tarvittavat toimet:

  • Käytä Secure Boot 2023 -päivitystä kultaiseen kuvaan ennen sen sieppaamista. Huomautus: Tämä edistää Windowsin käynnistyksen hallintaohjelmaa, mutta ei säilytä suojatun käynnistyksen varmenteita käyttöön otettuihin näennäiskoneisiin.

  • Käynnistä virtuaalikone uudelleen tarpeen mukaan, jotta käynnistyksen hallinnan päivitys otetaan käyttöön.

  • Varmista ennen kuvan yleistämistä, että päivitys on valmis suorittamalla seuraava PowerShell-komento ja vahvistamalla, että arvoksi on määritetty Päivitetty:

    Huomautus

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Windowsin käynnistyksen hallinnan päivittäminen kultaisessa näköistiedostossa koskee kyseistä päivitystä näköistiedoston avulla käyttöön otettuihin tai uudelleen käyttöön otetuisiin näennäiskoneisiin. Äskettäin valmistellut Azure:n luotettu käynnistys ja luottamukselliset virtuaalikoneet sisältävät Secure Boot 2023 -varmenteet virtuaalisessa laiteohjelmistossa, ja ne voivat turvallisesti käyttää kultaisia näköistiedostoja päivitetyn Windowsin käynnistyksen hallinnan avulla.

Ennen maaliskuuta 2024 luodut näköistiedostopohjaiset uudelleenkäyttöönotot olemassa oleviin virtuaalikoneisiin saattavat kuitenkin käyttää päivitettyä Windowsin käynnistyksen hallintaa virtuaalikoneisiin, joiden laiteohjelmisto ei vielä luota vastaaviin Secure Boot 2023 -varmenteisiin. Näissä tapauksissa suojatun käynnistyksen varmenteen päivitykset tulee ottaa käyttöön vieraskäyttöjärjestelmässä ennen Windowsin käynnistyksen hallinnan etenemistä.

alkuun

Muita huomioon otettavia seikkoja Azure-resursseista

Azure-resurssi Luotu ennen huhtikuuta 2024? Toimia tarvitaan
TVM:n tai CVM:n varmuuskopiointi/tilannevedos Kyllä Käynnistä virtuaalikone, ota päivitykset käyttöön ja ota sitten uudelleen käyttöön
TVM:n tai CVM:n varmuuskopiointi/tilannevedos Ei Toimia ei tarvita
Azure Compute Galleryn kuvakaappaukset (kuvan suojaustyyppi = TL tai CVM) TVM- tai CVM-sieppauksilla Kyllä Käynnistä virtuaalikone, ota päivitykset käyttöön ja ota sitten uudelleen käyttöön
Azure Compute Galleryn kuvakaappaukset (kuvan suojaustyyppi = TL tai CVM) TVM- tai CVM-sieppauksilla Ei Toimia ei tarvita

alkuun

Seuraa päivityksen tilaa

Suojatun käynnistyksen varmennepäivitysten valvonta ja käyttöönotto Azuressa Luotettu käynnistys ja Luottamukselliset näennäiskoneet noudattavat samoja Windowsin ylläpito-ohjeita, joita käytetään fyysisissä ja virtualisoiduissa laitteissa.

Katso yksityiskohtaiset valvontaohjeet, kuten laitteiden inventointi, laiteohjelmiston muuttujapäivitysten tarkistaminen ja päivitysten edistymisen seuraaminen, Windows Server ja https://aka.ms/GetSecureBoot suojatun käynnistyksen käsikirjasta.

Ota päivitykset käyttöön

Secure Boot -varmenteen päivitykset Azure:n luotettua käynnistystä ja luottamuksellisia näennäiskoneita varten aloitetaan vieraskäyttöjärjestelmästä Windows-ylläpitoa käyttäen.

Noudata Windows Server:n suojatun käynnistyksen käsikirjan käyttöönotto-ohjeita seuraaville:

  • automaattinen käyttöönotto Windows Update:n kautta
  • IT-aloitetut käyttöönottomenetelmät
  • Rekisteriavainten ylläpito
  • käyttöönoton järjestys

Kun käytät mukautettuja tai uudelleenkäytettyjä näennäiskoneen näköistiedostoja, katso tämän artikkelin Golden Image -näkökohdat ennen Windowsin käynnistyksen hallinnan jatkamista.

alkuun

Resurssit

Jos sinulla on tukisopimus ja tarvitset teknistä tukea, lähetä tukipyyntö.

alkuun

Muutosloki

Muuta päivämäärää Muutoksen kuvaus
13. toukokuuta 2026 Tässä artikkelissa ei ole muutoksia

alkuun