תאריך פרסום מקורי: ה-13 במאי 2026
מזהה KB: 5085395
מאמר זה כולל הדרכה עבור:
-
Azure וירטואליים (TVM) ומחשבים וירטואליים סודיים (CVM) שבהם פועל Windows עם אתחול מאובטח זמין.
-
לקבלת הרשימה המלאה של מערכות ההפעלה הנתמכות של Windows, עיין במאמר: הפעלה מהימנה עבור Azure וירטואליים
במאמר זה:
מבוא
אתחול מאובטח הוא תכונת אבטחת קושחה של UEFI שמסייעת להבטיח שרק תוכנה מהימנה וחתימה בחתימה דיגיטלית תפעל במהלך רצף האתחול של המכשיר. תוקפם של אישורי אתחול מאובטח של Microsoft שהונפקו ב- 2011 מתחיל לפוג ביוני 2026.
כדי לשמור על הגנות אתחול מאובטח ושירות מתמשכת של תהליך האתחול המוקדם, Azure מחשבים וירטואליים מהימנים ומחשבים וירטואליים סודיים חייבים להתעדכן בשני הפריטים הבאים:
-
אישורי אתחול מאובטח 2023 בקושחה וירטואלית
-
מנהל האתחול של Windows חתום על-ידי האישורים המעודכנים
רכיבים אלה פועלים יחד: האישורים יוצרים אמון בקושחה וירטואלית, ויש לעדכן את מנהל האתחול כך שהוא ייחתם על-ידי אמון זה.
כדי לסייע במניעת פערים בהגנה, ודא ששני הרכיבים מעודכנים והפעל עדכונים כאשר יש צורך בכך.
אם מחשב וירטואלי ממשיך להשתמש באישורים של 2011 לאחר פקיעת התוקף, הוא יכול להמשיך לאתחל ולקבל עדכונים סטנדרטיים של Windows. עם זאת, הוא לא יקבל עוד הגנות אבטחה חדשות עבור תהליך האתחול המוקדם, כולל עדכונים ל- Windows Boot Manager, מסדי נתונים של אתחול מאובטח ורשימות ביטול תוקף, או צמצום סיכונים עבור פגיעויות חדשות ברמת האתחול שהתגלו.
לקבלת מידע נוסף, ראה כאשר פג תוקפם של אישורי אתחול מאובטח במכשירי Windows.
זהה תרחישים הדורשים פעולה
ברוב המקרים, Windows מחיל את אישורי Secure Boot 2023 באופן אוטומטי באמצעות עדכונים חודשיים במכשירים זכאים, כולל תמיכה ב- Azure Trusted Launch ומחשבים וירטואליים סודיים עם אתחול מאובטח זמין. ייתכן שמחשבים וירטואליים מסוימים לא יהיו זכאים לפריסה אוטומטית אם לא יהיו מספיק אותות תאימות זמינים. במקרים אלה, ייתכן שתידרש פעולה ניהולית כדי ליזום עדכונים מתוך מערכת ההפעלה האורחת. לקבלת מידע נוסף אודות אופן קבלת עדכוני אישורי אתחול מאובטח, בקר במאמר: עדכוני אישור אתחול מאובטח: הדרכה עבור מומחי IT וארגונים.
עדכוני אתחול מאובטח עבור Azure מהימנים ומחשבים וירטואליים סודיים כוללים שני רכיבים:
-
אישורי אתחול מאובטח המאוחסנים בקושחה וירטואלית (מנוהל על-ידי פלטפורמה)
-
מנהל האתחול של Windows (מנוהל על-ידי מערכת הפעלה אורחת)
מחשבים וירטואליים שנוצרו לאחר מרץ 2024 כוללים בדרך כלל אישורי אתחול מאובטח 2023 בקושחה וירטואלית. מחשבים וירטואליים אלה בדרך כלל דורשים עדכון של מנהל האתחול של Windows בלבד.
מחשבים וירטואליים הפועלים מזמן שנוצרו לפני מרץ 2024 אינם כוללים אישורי אתחול מאובטח 2023 בקושחה וירטואלית ודורשים עדכונים הן לאישורי אתחול מאובטח והן למנהל האתחול של Windows.
פעולות עדכון מופעלות מתוך מערכת ההפעלה האורחת באמצעות שירות Windows, ומשתמשות לתמיכה בפלטפורמה כדי להחיל עדכונים מאומתים על משתני אתחול מאובטח בקושחה וירטואלית.
לאחר זיהוי תרחישים ישימים, מלאי את הסביבה שלך כדי לקבוע אילו מחשבים וירטואליים דורשים עדכונים.
פעולות נדרשות:
-
ודא שמחשבים וירטואליים של אורח מעודכנים בעדכון Windows שפורסם במרץ 2026 ואילך (אפריל 2026 ואילך בעת שימוש ב- hotpatching). למידע נוסף: Hotpatch for Windows Server.
-
ודא כי לכל Azure המהימנים והמחשבים הווירטואליים הסודיים יש אישורי אתחול מאובטח 2023 ו- Windows Boot Manager מעודכן.
-
הפעל עדכונים מתוך מערכת ההפעלה האורחת כדי להחיל את אישור האתחול המאובטח ואת העדכונים של מנהל האתחול של Windows כאשר יש צורך.
-
בצע ביקורת על יומני האירועים של מערכת Windows: מזהה אירוע 1808 ומזהה אירוע 1801 או נטר את מפתח הרישום UEFICA2023Status כדי לבדוק אם הוחלו אישורי אתחול מאובטח מעודכנים ואם מנהל האתחול של Windows עודכן.
עבור מכשירים שלא הוחלו עדכונים אלה, השתמש בשיטות הניטור והפריסה המתוארות בספר ההפעלה של האתחול המאובטח, ב- Windows Server Secure Boot playbook עבור אישורים שתוקפן פג ב- 2026 וב- https://aka.ms/GetSecureBoot לקבלת הדרכה מלאה.
Azure של מחשב וירטואלי של אורח
סקור את התרחישים הבאים ואת הפעולות הנדרשות עבור מארחי הפעלה:
|
תרחיש VM |
האם לבצע אתחול מאובטח פעיל? |
נדרשת פעולה |
|
TVM או CVM עם אתחול מאובטח זמין |
כן |
עדכון אישורי אתחול מאובטח ו- Windows Boot Manager |
|
TVM עם אתחול מאובטח לא זמין |
לא |
לא נדרשת פעולה |
|
מדור 1 של מחשב וירטואלי |
לא נתמך |
לא נדרשת פעולה |
הערה: Standard וירטואליים מסוג אבטחה אינם כוללים אתחול מאובטח זמין.
שיקולי תמונה זהוב
סקור את התרחישים הבאים ואת הפעולות הנדרשות עבור תמונות:
הערה: Azure Marketplace מספקות נקודות התחלה מוגדרות מראש, תמונות ברירת מחדל של וניל או מוציאים לאור, ואילו תמונות של גלריית חישוב Azure משמשות לאחסון ופיזור של תמונות מותאמות אישית. בשני המקרים, תמונות לוכדות את מנהל האתחול של Windows אך אינן כוללות משתני קושחה של אתחול מאובטח, המוחלים ברמת המחשב הווירטואלי.
Azure של 'גלריה לחישוב' ותמונות מנוהלות לוכדות את מצב טעינת מערכת ההפעלה והאתחול, כולל Windows Boot Manager, אך אינן כוללות משתני קושחה של אתחול מאובטח. אישורי אתחול מאובטח, כגון עדכונים למסד הנתונים של האתחול המאובטח (DB) או מפתחות חילופי מפתחות (KEK), מאוחסנים בקושחה הווירטואלית של המחשב הווירטואלי שנפרס ולא נלכדים במהלך הכללת תמונה.
החלת עדכוני אתחול מאובטח בתוך תמונת זהב מקדמת את מנהל האתחול של Windows אך אינה ממשיכה לקבל אישורי אתחול מאובטח על מחשבים וירטואליים שהוקצו מתמונה זו. עם זאת, ביצוע עדכון זה מקדם את מנהל האתחול של Windows בתוך התמונה.
פעולות נדרשות:
-
החל את העדכון של Secure Boot 2023 על תמונת הזהב לפני לכידתה. הערה: פעולה זו מקדמת את מנהל האתחול של Windows אך לא תתמיד באישורים של אתחול מאובטח במחשבים וירטואליים שנפרסו.
-
הפעל מחדש את מחשב ה- VM כ הנדרש כדי לאפשר החלת העדכון של Boot Manager.
-
ודא שהעדכון הושלם לפני ביצוע כללי של התמונה על-ידי הפעלת הפקודה הבאה של PowerShell ואישור שהערך מוגדר ל'מעודכן':
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
עדכון Windows Boot Manager בתוך תמונה מוזהבת חל על עדכון זה על מחשבים וירטואליים שנפרסו או פרוסים מחדש באמצעות התמונה. משאבים חדשים Azure קבצים וירטואליים מהימנים וסודיים כוללים את אישורי האתחול המאובטח 2023 בקושחה וירטואלית, ולהשתמש בבטחה בתמונות מוזהבות עם מנהל האתחול המעודכן של Windows.
עם זאת, לפרוס מחדש מבוססות תמונה על מחשבים וירטואליים קיימים שנוצרו לפני מרץ 2024 עשויים להחיל את מנהל האתחול המעודכן של Windows על מחשבים וירטואליים שה- Firmware שלהם עדיין לא סומכת על אישורי האתחול המאובטח המקביל 2023. במקרים אלה, יש להחיל עדכוני אישור אתחול מאובטח בתוך מערכת ההפעלה האורחת לפני שתמשיך במנהל האתחול של Windows.
שיקולים Azure משאבים אחרים
|
Azure משאב |
נוצר לפני אפריל 2024? |
פעולה דרושה |
|---|---|---|
|
גיבוי/תמונה של TVM או CVM |
כן |
אתחל את המחשב הווירטואלי, החל עדכונים ולאחר מכן התקן מחדש |
|
גיבוי/תמונה של TVM או CVM |
לא |
לא נדרשת פעולה |
|
Azure תמונות של גלריית החישוב באמצעות לכידות (סוג אבטחת תמונה = TL או CVM) מ- TVM או CVM |
כן |
אתחל את המחשב הווירטואלי, החל עדכונים ולאחר מכן התקן מחדש |
|
Azure תמונות של גלריית החישוב באמצעות לכידות (סוג אבטחת תמונה = TL או CVM) מ- TVM או CVM |
לא |
לא נדרשת פעולה |
ניטור מצב עדכון
ניטור ופריסה עבור עדכוני אישור אתחול מאובטח ב- Azure וירטואליים מהימנים וסודיים פועלים בהתאם לאותה הדרכה לגבי מתן שירות של Windows המשמשת עבור מכשירים פיזיים ומחשבים וירטואליים.
לקבלת הנחיות מפורטות לניטור, כולל כיצד למלאי מכשירים, לאמת עדכוני משתני קושחה ולעקוב אחר התקדמות העדכון, עיין בספר ההפעלה של האתחול המאובטח לקבלת Windows Server ו- https://aka.ms/GetSecureBoot.
פריסת עדכונים
עדכוני אישור אתחול מאובטח עבור Azure מחשבים וירטואליים מהימנים וסודיים מופעלים מתוך מערכת ההפעלה האורחת באמצעות שירות Windows.
בצע את הדרכת הפריסה ב- Playbook לאתחול מאובטח עבור Windows Server עבור:
-
פריסה אוטומטית באמצעות Windows Update
-
שיטות פריסה ביוזמת IT
-
מתן שירות למפתחות רישום
-
רציפת פריסה
בעת שימוש בתמונות מחשב וירטואלי מותאמות אישית או בשימוש חוזר, ראה שיקולים לגבי תמונות מוזהבות במאמר זה לפני שת לקדם את מנהל האתחול של Windows.
משאבים
-
סימניה קבל אתחול מאובטח לקבלת מידע נוסף אודות שינוי זה, הדרכה מפורטת לניהול עדכון אישור האתחול המאובטח ותשובות לשאלות נפוצות.
-
לקבלת פרטים נוספים אודות אירועי יומן אירועים, ראה אירועי עדכון משתני DB ו- DBX של אתחול מאובטח.
-
לקבלת פרטים נוספים אודות מפתחות רישום של אתחול מאובטח, ראה עדכוני מפתח רישום עבור אתחול מאובטח: מכשירי Windows עם עדכונים המנוהלי על-ידי IT.
אם יש לך תוכנית תמיכה ואתה זקוק לעזרה טכנית, שלח בקשת תמיכה.
יומן רישום שינויים
|
שנה תאריך |
שינוי תיאור |
|
ה-13 במאי 2026 |
אין שינויים במאמר זה |
