Suojatun käynnistyksen päivitys 2011–2023 -varmenteista: Trusted Launch VMs (TVM) ja Confidential VMS (CVM)

Johdanto

Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, joka auttaa varmistamaan, että vain luotetut, digitaalisesti allekirjoitetut ohjelmistot suoritetaan laitteen käynnistysjakson aikana. Microsoft secure boot -varmenteet, jotka on myönnetty vuonna 2011, alkavat vanhentua kesäkuussa 2026.

Suojatun käynnistyksen suojauksen ja varhaisen käynnistyksen jatkuvan ylläpidon varmistamiseksi Azure Luotettu käynnistys- ja Luottamuksellinen virtuaalikone on päivitettävä seuraavilla:

Suojattu käynnistys 2023 -varmenteet virtuaalisessa laiteohjelmistossa
Päivitettyjen varmenteiden allekirjoittama Windowsin käynnistyksen hallinta

Nämä komponentit toimivat yhdessä: varmenteet luovat luottamuksen virtuaaliseen laiteohjelmistoon, ja käynnistyksen hallinta on päivitettävä, jotta kyseinen luottamus voi allekirjoittaa sen.

Voit estää suojauksen aukot varmistamalla, että molemmat osat päivitetään, ja aloittamalla päivitykset tarvittaessa.

Jos virtuaalikone käyttää edelleen 2011-varmenteita vanhentumisen jälkeen, se voi jatkaa Windowsin vakiopäivitysten käynnistämistä ja vastaanottamista. Se ei kuitenkaan enää saa uusia suojaussuojauksia varhaiselle käynnistysprosessille, mukaan lukien Windowsin käynnistyksen hallinnan päivitykset, suojatun käynnistyksen tietokannat ja kumousluettelot tai äskettäin löydettyjen käynnistystason haavoittuvuuksien lievennykset.

Lisätietoja on ohjeaiheessa Kun suojatun käynnistyksen varmenteet vanhenevat Windows-laitteissa.

palaa alkuun

Toimia edellyttävien skenaarioiden tunnistaminen

Useimmissa tapauksissa Windows käyttää suojatun käynnistyksen 2023 varmenteita automaattisesti kuukausittaisten päivitysten kautta vaatimukset täyttäville laitteille, mukaan lukien tuetut Azure luotettu käynnistys ja luottamukselliset virtuaalikoneet, joissa suojattu käynnistys on käytössä. Jotkin virtuaalikoneet eivät ehkä ole oikeutettuja automaattiseen käyttöönottoon, jos riittävät yhteensopivuussignaalit eivät ole käytettävissä. Näissä tapauksissa saatetaan tarvita hallinnollisia toimenpiteitä, jotta päivitykset voidaan käynnistää vieraskäyttöjärjestelmästä. Lisätietoja suojatun käynnistyksen varmenteiden päivitysten hankkimisesta on artikkelissa Suojatun käynnistyksen varmenteiden päivitykset: IT-ammattilaisten ja organisaatioiden ohjeet.

Suojatun käynnistyksen päivitykset Azure Luotettu käynnistys- ja Luottamukselliset virtuaalikoneet sisältävät kaksi osaa:

Virtuaaliseen laiteohjelmistoon tallennetut suojatun käynnistyksen varmenteet (alustan hallitsemat)
Windowsin käynnistyksen hallinta (vieraskäyttöjärjestelmän hallitsema)

Maaliskuun 2024 jälkeen luodut virtuaalikoneet sisältävät yleensä jo suojatun käynnistyksen 2023 varmenteet virtuaalisessa laiteohjelmistossa. Nämä virtuaalikoneet vaativat yleensä vain Windowsin käynnistyksen hallinnan päivityksen.

Ennen maaliskuuta 2024 luodut pitkään käytössä olevat virtuaalikoneet eivät sisällä suojatun käynnistyksen 2023 varmenteita virtuaalisessa laiteohjelmistossa ja vaativat päivityksiä sekä suojatun käynnistyksen varmenteisiin että Windowsin käynnistyksen hallintaan.

Päivitystoiminnot aloitetaan vieraskäyttöjärjestelmästä Windows-ylläpidon kautta, ja niiden avulla voidaan käyttää todennettuja päivityksiä virtuaalisen laiteohjelmiston suojatun käynnistyksen muuttujiin.

Kun olet tunnistanut soveltuvat skenaariot, määritä ympäristösi inventoimalla, mitkä virtuaalikoneet vaativat päivityksiä.

Pakolliset toiminnot:

Varmista, että vieraskäyttäjät päivitetään maaliskuun 2026 Windows-päivityksellä tai uudemmassa versiossa (huhtikuu 2026 tai uudempi versio, jos käytössä on hotpatching). Lisätietoja: hotpatch for Windows Server.
Varmista, että kaikissa Azure luotetuissa käynnistyksissä ja luottamuksellisissa virtuaalikoneissa on suojatun käynnistyksen 2023 varmenteet ja päivitetty Windowsin käynnistyksen hallinta.
Käynnistä päivitykset vieraskäyttöjärjestelmästä, jotta voit tarvittaessa ottaa käyttöön suojatun käynnistyksen varmenteen ja Windowsin käynnistyksen hallinnan päivitykset.
Tarkista Windows-järjestelmän tapahtumalokit: Tapahtumatunnus 1808 ja tapahtumatunnus 1801 tai valvo UEFICA2023Status-rekisteriavainta sen varmistamiseksi, onko päivitettyjä suojatun käynnistyksen varmenteita otettu käyttöön ja onko Windowsin käynnistyksen hallinta päivitetty.

Jos laite ei ole ottanut näitä päivityksiä käyttöön, käytä suojatun käynnistyksen toistokirjassa , Windows Server suojatun käynnistyksen toistokirjassa kuvattuja valvonta- ja käyttöönottotapoja vuonna 2026 vanheneville varmenteille ja https://aka.ms/GetSecureBoot täydellisiä ohjeita varten.

palaa alkuun

Azure vieraskäyttökoneisiin liittyviä huomioita

Tarkista seuraavat skenaariot ja istunnon isäntien pakolliset toiminnot:

Virtuaalikoneen skenaario	Suojattu käynnistys aktiivinen?	Toiminto pakollinen
TVM tai CVM, jossa suojattu käynnistys on käytössä	Kyllä	Suojatun käynnistyksen varmenteiden ja Windowsin käynnistyksen hallinnan päivittäminen
TVM, jossa suojattu käynnistys on poistettu käytöstä	Ei	Toimia ei tarvita
Sukupolven 1 virtuaalikone	Ei tuettu	Toimia ei tarvita

Huomautus: Standard suojaustyyppisissä virtuaalikoneissa ei ole suojattua käynnistystä käytössä.

palaa alkuun

Kultaisen kuvan huomioiminen

Tarkista seuraavat skenaariot ja kuvien pakolliset toiminnot:

Huomautus: Azure Marketplacen kuvat tarjoavat ennalta määritetyt aloituspisteet, vaniljan tai julkaisijoiden oletuskuvat, kun taas Azure laskentavalikoiman kuvia käytetään mukautettujen kuvien tallentamiseen ja jakamiseen. Molemmissa tapauksissa näköistiedostot sieppaavat Windowsin käynnistyksen hallinnan, mutta eivät sisällä suojatun käynnistyksen laiteohjelmistomuuttujia, joita käytetään virtuaalikonetasolla.

Vuokaavio sen määrittämiseksi, tarvitaanko toimia kuville

Azure Laskentavalikoima ja hallitut kuvat sieppaavat käyttöjärjestelmän ja käynnistyksen lataustilan, mukaan lukien Windowsin käynnistyksen hallinta, mutta eivät sisällä suojatun käynnistyksen laiteohjelmistomuuttujia. Suojatun käynnistyksen varmenteet, kuten DB:n (Secure Boot Database) tai avaintenvaihtoavainten (KEK) päivitykset, tallennetaan käyttöön otetun virtuaalikoneen virtuaaliseen laiteohjelmistoon, eikä niitä tallenneta kuvan yleistämisen aikana.

Suojatun käynnistyksen päivitysten lisääminen kultaiseen näköistiedostoon edistää Windowsin käynnistyksen hallintaa, mutta se ei jatka suojatun käynnistyksen varmenteita virtuaalikoneisiin, jotka on valmistelty tästä näköistiedostosta. Tämän päivityksen suorittaminen kuitenkin edistää Näköistiedoston Windowsin käynnistyksen hallintaa.

Pakolliset toiminnot:

Ota suojatun käynnistyksen 2023 päivitys käyttöön kultaisessa kuvassa ennen sen sieppaamista. Huomautus: Tämä siirtää Windowsin käynnistyksen hallintaa, mutta ei jatka suojatun käynnistyksen varmenteita käyttöönotetuille virtuaalikoneille.
Käynnistä virtuaalikone uudelleen tarpeen mukaan, jotta Käynnistyksen hallinta -päivitystä voidaan käyttää.
Varmista ennen näköistiedoston yleistämistä, että päivitys on valmis, suorittamalla seuraava PowerShell-komento ja vahvistamalla, että arvoksi on määritetty Päivitetty:

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Windowsin käynnistyksen hallinnan päivittäminen kultaisen näköistiedoston sisällä koskee tätä päivitystä virtuaalikoneisiin, jotka on otettu käyttöön tai sijoitettu uudelleen näköistiedoston avulla. Äskettäin valmistetut Azure Luotettu käynnistys ja Luottamuksellinen virtuaalikoneet sisältävät suojatun käynnistyksen 2023 varmenteet virtuaalisessa laiteohjelmistossa ja voivat turvallisesti käyttää kultaisia kuvia päivitetyn Windowsin käynnistyksen hallinnan kanssa.

Näköistiedostoihin perustuvat uudelleenjärjestelyt aiemmin luotuihin virtuaalikoneisiin, jotka on luotu ennen maaliskuuta 2024, saattavat kuitenkin käyttää päivitettyä Windowsin käynnistyksen hallintaa virtuaalikoneisiin, joiden laiteohjelmisto ei vielä luota vastaaviin suojatun käynnistyksen 2023 varmenteisiin. Näissä tapauksissa suojatun käynnistyksen varmennepäivityksiä tulee käyttää vieraskäyttöjärjestelmässä ennen Windowsin käynnistyksen hallintaa.

palaa alkuun

Muita Azure resursseja koskevia seikkoja

Azure resurssi	Luotu ennen huhtikuuta 2024?	Toimia vaaditaan
TVM:n tai CVM:n varmuuskopiointi/tilannevedos	Kyllä	Käynnistä virtuaalikone, ota päivitykset käyttöön ja ota sitten uudelleen käyttöön
TVM:n tai CVM:n varmuuskopiointi/tilannevedos	Ei	Toimia ei tarvita
Azure-kirjoitusvalikoiman kuvakaappauksia (kuvan suojaustyyppi = TL tai CVM) TVM- tai CVM-tallennuksella	Kyllä	Käynnistä virtuaalikone, ota päivitykset käyttöön ja ota sitten uudelleen käyttöön
Azure-kirjoitusvalikoiman kuvakaappauksia (kuvan suojaustyyppi = TL tai CVM) TVM- tai CVM-tallennuksella	Ei	Toimia ei tarvita

palaa alkuun

Päivityksen tilan valvominen

Suojatun käynnistyksen varmennepäivitysten valvonta ja käyttöönotto Azure luotetussa käynnistyksessä ja luottamuksellisissa virtuaalikoneissa noudattaa samoja Windowsin ylläpito-ohjeita, joita käytetään fyysisissä ja virtualisoituissa laitteissa.

Yksityiskohtaiset valvontaohjeet, kuten laitteiden inventointi, laiteohjelmistomuuttujien päivitysten tarkistaminen ja päivityksen edistymisen seuraaminen, on Windows Server ja https://aka.ms/GetSecureBoot suojatun käynnistyksen pelikirjassa .

Ota päivitykset käyttöön

Suojatun käynnistyksen varmennepäivitykset Azure Luotettu käynnistys- ja Luottamuksellinen virtuaalikoneet käynnistetään vieraskäyttöjärjestelmässä Windowsin ylläpidon avulla.

Noudata Windows Server suojatun käynnistyksen toistokirjan käyttöönotto-ohjeita seuraaville:

automaattinen käyttöönotto Windows Update kautta
IT:n käynnistämät käyttöönottomenetelmät
Rekisteriavainten ylläpito
käyttöönoton sekvensointi

Kun käytät mukautettuja tai uudelleenkäytettyjä virtuaalikoneen näköistiedostoja, tutustu tämän artikkelin kultaiseen näköistiedostoon, ennen kuin siirryt Windowsin käynnistyksen hallintaan.

palaa alkuun