Date de publication d’origine : 13 mai 2026
ID de la base de connaissances : 5085395
Cet article contient des conseils pour :
-
Azure Machines Virtuelles de lancement fiable (TVM) et les machines virtuelles confidentielles (CVM) exécutant Windows avec le démarrage sécurisé activé.
-
Pour obtenir la liste complète des systèmes d’exploitation Windows pris en charge, consultez l’article Lancement fiable pour Azure machines virtuelles
Dans cet article :
Introduction
Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI qui permet de garantir que seuls les logiciels approuvés et signés numériquement s’exécutent pendant la séquence de démarrage de l’appareil. Les certificats de démarrage sécurisé Microsoft émis en 2011 commencent à expirer en juin 2026.
Pour maintenir les protections de démarrage sécurisé et la maintenance continue du processus de démarrage précoce, Azure lancement fiable et les machines virtuelles confidentielles doivent être mises à jour avec les deux éléments suivants :
-
Certificats de démarrage sécurisé 2023 dans le microprogramme virtuel
-
Un Gestionnaire de démarrage Windows signé par les certificats mis à jour
Ces composants fonctionnent ensemble : les certificats établissent une approbation dans le microprogramme virtuel, et le gestionnaire de démarrage doit être mis à jour pour être signé par cette approbation.
Pour éviter les lacunes dans la protection, vérifiez que les deux composants sont mis à jour et lancez des mises à jour si nécessaire.
Si une machine virtuelle continue de s’appuyer sur les certificats 2011 après l’expiration, elle peut continuer à démarrer et à recevoir des mises à jour Windows standard. Toutefois, il ne recevra plus de nouvelles protections de sécurité pour le processus de démarrage précoce, notamment les mises à jour du Gestionnaire de démarrage Windows, les bases de données de démarrage sécurisé et les listes de révocation, ni des atténuations pour les vulnérabilités de niveau de démarrage nouvellement découvertes.
Pour plus d’informations, consultez Quand les certificats de démarrage sécurisé expirent sur les appareils Windows.
Identifier les scénarios qui nécessitent une action
Dans la plupart des cas, Windows applique automatiquement les certificats de démarrage sécurisé 2023 via des mises à jour mensuelles sur les appareils éligibles, y compris les machines virtuelles Azure lancement fiable et confidentielles prises en charge avec le démarrage sécurisé activé. Certaines machines virtuelles peuvent ne pas être éligibles au déploiement automatique si des signaux de compatibilité suffisants ne sont pas disponibles. Dans ce cas, une action administrative peut être nécessaire pour lancer des mises à jour à partir du système d’exploitation invité. Pour plus d’informations sur la façon d’obtenir les mises à jour des certificats de démarrage sécurisé, consultez : Mises à jour des certificats de démarrage sécurisé : Conseils pour les professionnels de l’informatique et les organisations.
Les mises à jour de démarrage sécurisé pour Azure lancement fiable et les machines virtuelles confidentielles impliquent deux composants :
-
Certificats de démarrage sécurisé stockés dans un microprogramme virtuel (géré par la plateforme)
-
Gestionnaire de démarrage Windows (géré par le système d’exploitation invité)
Les machines virtuelles créées après mars 2024 incluent généralement déjà les certificats De démarrage sécurisé 2023 dans le microprogramme virtuel. Ces machines virtuelles nécessitent généralement uniquement une mise à jour du Gestionnaire de démarrage Windows.
Les machines virtuelles de longue durée créées avant mars 2024 n’incluent pas les certificats de démarrage sécurisé 2023 dans le microprogramme virtuel et nécessitent des mises à jour des certificats de démarrage sécurisé et du Gestionnaire de démarrage Windows.
Les opérations de mise à jour sont lancées à partir du système d’exploitation invité via la maintenance Windows et s’appuient sur la prise en charge de la plateforme pour appliquer des mises à jour authentifiées aux variables de démarrage sécurisé dans le microprogramme virtuel.
Après avoir identifié les scénarios applicables, inventoriez votre environnement pour déterminer quelles machines virtuelles nécessitent des mises à jour.
Actions requises :
-
Vérifiez que les machines virtuelles invitées sont mises à jour avec la mise à jour Windows de mars 2026 ou ultérieure (avril 2026 ou version ultérieure si vous utilisez la mise à jour à chaud). En savoir plus : Hotpatch pour Windows Server.
-
Vérifiez que toutes les machines virtuelles de lancement approuvé et confidentielles Azure disposent des certificats Démarrage sécurisé 2023 et d’un Gestionnaire de démarrage Windows mis à jour.
-
Lancez des mises à jour à partir du système d’exploitation invité pour appliquer les mises à jour du certificat de démarrage sécurisé et du Gestionnaire de démarrage Windows si nécessaire.
-
Auditez les journaux des événements du système Windows : ID d’événement 1808 et ID d’événement 1801, ou surveillez la clé de Registre UEFICA2023Status pour vérifier si les certificats de démarrage sécurisé mis à jour ont été appliqués et si le Gestionnaire de démarrage Windows a été mis à jour.
Pour les appareils qui n’ont pas appliqué ces mises à jour, utilisez les méthodes de surveillance et de déploiement décrites dans le playbook de démarrage sécurisé, Windows Server playbook démarrage sécurisé pour les certificats arrivant à expiration en 2026, et à https://aka.ms/GetSecureBoot pour obtenir des conseils complets.
considérations relatives aux machines virtuelles invitées Azure
Passez en revue les scénarios suivants et les actions requises pour les hôtes de session :
|
Scénario de machine virtuelle |
Démarrage sécurisé actif ? |
Action requise |
|
TVM ou CVM avec démarrage sécurisé activé |
Oui |
Mettre à jour les certificats de démarrage sécurisé et le Gestionnaire de démarrage Windows |
|
TVM avec démarrage sécurisé désactivé |
Non |
Aucune action nécessaire |
|
Machine virtuelle de génération 1 |
Non pris en charge |
Aucune action nécessaire |
Remarque : Standard machines virtuelles de type sécurité n’ont pas le démarrage sécurisé activé.
Considérations relatives à l’image d’or
Passez en revue les scénarios suivants et les actions requises pour les images :
Remarque : les images Azure Place de marché fournissent des points de départ préconfigurés, des images vanille ou des images par défaut des éditeurs, tandis que les images Azure Compute Gallery sont utilisées pour stocker et distribuer des images personnalisées. Dans les deux cas, les images capturent le Gestionnaire de démarrage Windows, mais n’incluent pas de variables de microprogramme de démarrage sécurisé, qui sont appliquées au niveau de la machine virtuelle.
Azure Compute Gallery et les images managées capturent l’état du système d’exploitation et du chargeur de démarrage, y compris le Gestionnaire de démarrage Windows, mais n’incluent pas les variables du microprogramme de démarrage sécurisé. Les certificats de démarrage sécurisé, tels que les mises à jour de la base de données de démarrage sécurisé (DB) ou des clés d’échange de clés (KEK), sont stockés dans le microprogramme virtuel de la machine virtuelle déployée et ne sont pas capturés pendant la généralisation de l’image.
L’application des mises à jour de démarrage sécurisé dans une image dorée fait avancer le Gestionnaire de démarrage Windows, mais ne conserve pas les certificats de démarrage sécurisé sur les machines virtuelles approvisionnées à partir de cette image. Toutefois, l’exécution de cette mise à jour avance le Gestionnaire de démarrage Windows dans l’image.
Actions requises :
-
Appliquez la mise à jour Démarrage sécurisé 2023 à l’image dorée avant de la capturer. Remarque : Cela fait progresser le Gestionnaire de démarrage Windows, mais ne conserve pas les certificats de démarrage sécurisé sur les machines virtuelles déployées.
-
Redémarrez la machine virtuelle si nécessaire pour permettre l’application de la mise à jour du Gestionnaire de démarrage.
-
Vérifiez que la mise à jour est terminée avant de généraliser l’image en exécutant la commande PowerShell suivante et en confirmant que la valeur est définie sur Mise à jour :
Get-ItemProperty « HKLM :\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing » | Select-Object UEFICA2023Status
La mise à jour du Gestionnaire de démarrage Windows dans une image en or s’applique à cette mise à jour aux machines virtuelles déployées ou redéployées à l’aide de l’image. Les nouvelles machines virtuelles Azure lancement fiable et confidentiel incluent les certificats de démarrage sécurisé 2023 dans le microprogramme virtuel et peuvent utiliser en toute sécurité des images dorées avec le Gestionnaire de démarrage Windows mis à jour.
Toutefois, les redéploiements basés sur des images sur des machines virtuelles existantes créées avant mars 2024 peuvent appliquer le Gestionnaire de démarrage Windows mis à jour aux machines virtuelles dont le microprogramme n’approuve pas encore les certificats de démarrage sécurisé 2023 correspondants. Dans ce cas, les mises à jour de certificat de démarrage sécurisé doivent être appliquées dans le système d’exploitation invité avant de faire avancer le Gestionnaire de démarrage Windows.
Autres considérations relatives aux ressources Azure
|
ressource Azure |
Créé avant avril 2024 ? |
Action requise |
|---|---|---|
|
Sauvegarde/instantané de TVM ou CVM |
Oui |
Démarrer la machine virtuelle, appliquer des mises à jour, puis recapturer |
|
Sauvegarde/instantané de TVM ou CVM |
Non |
Aucune action nécessaire |
|
Azure captures d’images Compute Gallery avec (type de sécurité d’image = TL ou CVM) à partir de TVM ou CVM |
Oui |
Démarrer la machine virtuelle, appliquer des mises à jour, puis recapturer |
|
Azure captures d’images Compute Gallery avec (type de sécurité d’image = TL ou CVM) à partir de TVM ou CVM |
Non |
Aucune action nécessaire |
Surveiller les status de mise à jour
La surveillance et le déploiement des mises à jour de certificat de démarrage sécurisé dans Azure lancement fiable et les machines virtuelles confidentielles suivent les mêmes instructions de maintenance Windows que celles utilisées pour les appareils physiques et virtualisés.
Pour obtenir des conseils de surveillance détaillés, notamment sur l’inventaire des appareils, la vérification des mises à jour des variables de microprogramme et le suivi de la progression des mises à jour, consultez le playbook de démarrage sécurisé pour Windows Server et https://aka.ms/GetSecureBoot.
Déployer des mises à jour
Les mises à jour de certificat de démarrage sécurisé pour Azure lancement approuvé et les machines virtuelles confidentielles sont lancées à partir du système d’exploitation invité à l’aide de la maintenance Windows.
Suivez les instructions de déploiement dans le playbook de démarrage sécurisé pour Windows Server pour :
-
déploiement automatique via Windows Update
-
Méthodes de déploiement lancées par le service informatique
-
maintenance des clés de Registre
-
séquencement de déploiement
Lorsque vous utilisez des images de machine virtuelle personnalisées ou réutilisées, consultez considérations relatives aux images d’or dans cet article avant de faire progresser le Gestionnaire de démarrage Windows.
Ressources
-
Signet Obtenir le démarrage sécurisé pour plus d’informations sur cette modification, des instructions détaillées sur la gestion de la mise à jour du certificat de démarrage sécurisé et des réponses aux questions fréquemment posées.
-
Pour plus d’informations sur les événements du journal des événements, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX.
-
Pour plus d’informations sur les clés de Registre de démarrage sécurisé, consultez Mises à jour des clés de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique.
Si vous avez un plan de support et que vous avez besoin d’aide technique, envoyez une demande de support.
Journal des modifications
|
Modifier la date |
Modifier la description |
|
13 mai 2026 |
Aucun changement n’est apporté à cet article |
