Izvorni datum objave: Neka 13, 2026
ID baze znanja: 5085395
Ovaj članak sadrži smjernice za:
-
Azure Trusted Launch Virtual Machines (TVM) i povjerljiva VM-ovi (CVM) sa sustavom Windows uz omogućeno sigurno pokretanje.
-
Cjelovit popis podržanih operacijskih sustava Windows potražite u članku: Pouzdano pokretanje za virtualna računala Azure
Sadržaj članka:
Uvod
Sigurno pokretanje jest sigurnosna značajka UEFI opreme koja osigurava da se tijekom slijeda pokretanja uređaja pokrene samo pouzdan, digitalno potpisan softver. Certifikati za Microsoftovo sigurno pokretanje izdani u 2011. počinju isteći u lipnju 2026.
Da bi se održala zaštita sigurnog pokretanja i nastavilo servisiranje procesa ranog pokretanja, virtualna računala Azure Trusted Launch i Povjerljivi virtualna računala moraju se ažurirati pomoću oba dodatka:
-
Certifikati sigurnog pokretanja 2023. u virtualnoj programskoj opremi
-
Windows Boot Manager potpisan ažuriranim certifikatima
Te komponente funkcioniraju zajedno: certifikati uspostavljaju pouzdanost u virtualnoj opremi, a upravitelj pokretanja mora se ažurirati tako da ga ta pouzdanost potpiše.
Da biste izbjegli nedostatke u zaštiti, provjerite jesu li obje komponente ažurirane i pokrenite ažuriranja ako je potrebno.
Ako se virtualno računalo nakon isteka i dalje oslanja na certifikate 2011, može se nastaviti pokretati i primati standardna ažuriranja sustava Windows. Međutim, više neće primati nove sigurnosne zaštite za postupak ranog pokretanja, uključujući ažuriranja programa Windows Boot Manager, baze podataka sigurnog pokretanja i popise opozvanih sustava ili mjere ublažavanja novootkrivenih slabih točaka na razini pokretanja.
Dodatne informacije potražite u članku Kada isteknu certifikati za sigurno pokretanje sustava na uređajima sa sustavom Windows.
Prepoznavanje scenarija u kojima je potrebna akcija
U većini slučajeva Windows automatski primjenjuje certifikate sigurnog pokretanja sustava 2023 putem mjesečnih ažuriranja na kvalificiranim uređajima, uključujući podržane Azure Trusted Launch i povjerljive VM-ove s omogućenim sigurnim pokretanjem. Neki VM-ovi možda neće ispunjavati uvjete za automatsku implementaciju ako nisu dostupni dovoljni signali kompatibilnosti. U tim slučajevima može biti potrebna administrativna akcija za pokretanje ažuriranja iz operacijskog sustava gosta. Dodatne informacije o tome kako nabaviti ažuriranja certifikata za sigurno pokretanje sustava potražite u sljedećem članku: Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove.
Ažuriranja sigurnog pokretanja za pouzdano pokretanje i povjerljive VM-ove na platformi Azure obuhvaćaju dvije komponente:
-
Certifikati za sigurno pokretanje pohranjeni u virtualnoj opremi (kojima upravlja platforma)
-
Windows Boot Manager (upravlja OS-a gosta)
Virtualna računala stvorena nakon ožujka 2024. obično već imaju certifikate Secure Boot 2023 u virtualnoj opremi. Ti VM-ovi obično zahtijevaju samo ažuriranje za Windows Boot Manager.
Dugotrajna virtualna računala stvorena prije ožujka 2024. ne obuhvaćaju certifikate sigurnog pokretanja sustava 2023 u virtualnoj programskoj opremi i zahtijevaju ažuriranja certifikata za sigurno pokretanje sustava i upravitelja pokretanja sustava Windows.
Operacije ažuriranja pokreću se iz operacijskog sustava gosta putem servisiranja sustava Windows i oslanjanju se na podršku platforme radi primjene provjerenih ažuriranja na varijable sigurnog pokretanja u virtualnoj opremi.
Nakon identificiranja primjenjivih scenarija napravite inventuru okruženja da biste utvrdili koji VM-ovi zahtijevaju ažuriranja.
Potrebne su radnje:
-
Provjerite jesu li gost VM-ovi ažurirani ažuriranjem sustava Windows za ožujak 2026. ili novijim (travanj 2026. ili novijim ako koristite hotpatching). Dodatne informacije: Brza zakrpa za Windows Server.
-
Provjerite imaju li svi pouzdani VM-ovi Azure Launch i Povjerljivi VM-ovi certifikate za sigurno pokretanje 2023 i ažurirani Windows Boot Manager.
-
Pokrenite ažuriranja iz gostujućeg operacijskog sustava da biste primijenili certifikat za sigurno pokretanje i ažuriranja upravitelja pokretanja sustava Windows ako je to potrebno.
-
Nadzirajte zapisnike događaja u sustavu Windows: ID događaja 1808 i ID događaja 1801 ili nadzirite ključ registra UEFICA2023Status da biste provjerili jesu li primijenjeni ažurirani certifikati za sigurno pokretanje sustava i je li ažuriran Windows Boot Manager.
Za uređaje na koje nisu primijenjena ta ažuriranja koristite metode praćenja i implementacije opisane u priručniku sigurnog pokretanja sustavaWindows Server Sigurnog pokretanja sustava za certifikate kojima istječe 2026. i na https://aka.ms/GetSecureBoot za potpune smjernice.
Razmatranja o virtualnom računalu gosta na platformi Azure
Pregledajte sljedeće scenarije i obavezne radnje za domaćine sesija:
|
Scenarij s virtualnim računalom |
Sigurno pokretanje je aktivno? |
Potrebna je radnja |
|
TVM ili CVM s omogućenim sigurnim pokretanjem sustava |
Da |
Ažuriranje certifikata za sigurno pokretanje i programa Windows Boot Manager |
|
TVM s onemogućenim sigurnim pokretanjem sustava |
Ne |
Nije potrebno ništa poduzeti |
|
VM 1. generacije |
Nije podržano |
Nije potrebno ništa poduzeti |
Napomena: Standard sigurnosna VM-ovi nemaju omogućeno sigurno pokretanje.
Pitanja povezana sa zlatnom slikom
Pregledajte sljedeće scenarije i radnje potrebne za slike:
Napomena: Slike trgovine Azure Marketplace nude unaprijed konfigurirane početne točke, vanilla ili zadane slike izdavača, dok se slike Azure Compute Gallery koriste za pohranu i distribuciju prilagođenih slika. U oba slučaja slike snimaju Windows Boot Manager, ali ne sadrže varijable opreme sigurnog pokretanja sustava koje se primjenjuju na razini virtualnog računala.
Azure Compute Gallery i upravljane slike bilježe stanje operacijskog sustava i učitavača pokretanja, uključujući Windows Boot Manager, no ne uključuju varijable opreme sigurnog pokretanja. Certifikati za sigurno pokretanje, kao što su ažuriranja baze podataka sigurnog pokretanja sustava (DB) ili ključevi za razmjenu ključeva (KEK), pohranjuju se u virtualnu opremu implementiranog virtualnog računala i ne bilježe se tijekom generalizacije slike.
Primjena ažuriranja sigurnog pokretanja unutar zlatne slike unapređuje Windows Boot Manager, ali ne zadržava certifikate za sigurno pokretanje na virtualna računala dodijeljena iz te slike. Međutim, izvođenjem ovog ažuriranja Windows Boot Manager unaprjeđuje se unutar slike.
Potrebne su radnje:
-
Primijenite ažuriranje Sigurnog pokretanja 2023 na zlatnu sliku prije nego što je snimite. Napomena: Time se poboljšava, Windows Boot Manager, ali se certifikati za sigurno pokretanje neće pohranjivati na implementirana virtualna računala.
-
Ponovno pokrenite VM ako je potrebno da bi se ažuriranje upravitelja pokretanja moglo primijeniti.
-
Prije generalizacije slike provjerite je li ažuriranje dovršeno tako da pokrenete sljedeću naredbu komponente PowerShell i provjerite je li vrijednost postavljena na Ažurirano:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Ažuriranje programa Windows Boot Manager unutar zlatne slike primjenjuje to ažuriranje na virtualna računala koja su implementirana ili ponovno raspoređena pomoću slike. Nedavno dodijeljena virtualna računala na platformi Azure Trusted Launch i Povjerljivi uređaji obuhvaćaju certifikate Sigurnog pokretanja 2023 u virtualnoj firmveru i mogu sigurno koristiti zlatne slike s ažuriranim upraviteljem pokretanja sustava Windows.
No ponovne implementacije na temelju slika na postojeća virtualna računala stvorena prije ožujka 2024. mogle bi primijeniti ažurirani upravitelj pokretanja sustava Windows na VM-ove čija oprema još ne smatra pouzdanim odgovarajuće certifikate sigurnog pokretanja sustava 2023. U tim slučajevima, ažuriranja certifikata za sigurno pokretanje trebaju se primijeniti unutar gostujućeg operacijskog sustava prije napredovanja aplikacije Windows Boot Manager.
Druge napomene vezane uz resurse platforme Azure
|
Azure resource |
Stvoreno prije travnja 2024.? |
Potrebna je radnja |
|---|---|---|
|
Sigurnosno kopiranje/snimka TVM-a ili CVM-a |
Da |
Pokrenite virtualno računalo, primijenite ažuriranja, a zatim ponovno snimite |
|
Sigurnosno kopiranje/snimka TVM-a ili CVM-a |
Ne |
Nije potrebno ništa poduzeti |
|
Azure Compute Gallery snimke slika pomoću (vrsta sigurnosti slike = TL ili CVM) snimljenih iz TVM-a ili CVM-a |
Da |
Pokrenite virtualno računalo, primijenite ažuriranja, a zatim ponovno snimite |
|
Azure Compute Gallery snimke slika pomoću (vrsta sigurnosti slike = TL ili CVM) snimljenih iz TVM-a ili CVM-a |
Ne |
Nije potrebno ništa poduzeti |
Pratite status ažuriranja
Nadzor i implementacija ažuriranja certifikata sigurnog pokretanja sustava na virtualnim računalima Azure Trusted Launch i Confidential prati iste smjernice za servisiranje sustava Windows koje se koriste za fizičke i virtualizirane uređaje.
Detaljne smjernice za praćenje, uključujući inventuru uređaja, provjeru ažuriranja varijabli opreme i praćenje napretka ažuriranja, potražite u priručniku sigurnog pokretanja sustava za Windows Server i https://aka.ms/GetSecureBoot.
Implementacija ažuriranja
Ažuriranja certifikata sigurnog pokretanja sustava za virtualna računala Azure Trusted Launch i Confidential pokreću se iz operacijskog sustava gosta pomoću servisiranja sustava Windows.
Slijedite vodiče za implementaciju u priručniku za sigurno pokretanje sustava za Windows Server za:
-
automatska implementacija putem servisa Windows Update
-
Načini implementacije koje je pokrenuo IT
-
Servisiranje registarskih ključeva
-
sekvenciranje implementacije
Prilikom korištenja prilagođenih ili ponovno korištenih slika virtualnih računala, prije nego što prijeđete na napredovanje programa Windows Boot Manager, pogledajte napomene o zlatnoj slici u ovom članku.
Resursi
-
Knjižna oznaka Nabavite sigurno pokretanje sustava za dodatne informacije o toj promjeni, detaljne upute za upravljanje ažuriranjem certifikata za sigurno pokretanje sustava i odgovore na najčešća pitanja.
-
Proceduralni priručnik sigurnog pokretanja sustava za Windows Server
-
Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove
-
Dodatne pojedinosti o događajima zapisnika događaja potražite u članku Sigurno pokretanje sustava DB i DBX događaji ažuriranja varijable.
-
Dodatne pojedinosti o ključevima registra sigurnog pokretanja potražite u odjeljku Ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT.
Ako imate plan podrške i potrebna vam je tehnička pomoć, pošaljite zahtjev za podršku.
Zapisnik promjena
|
Promjena datuma |
Opis izmjene |
|
Neka 13, 2026 |
U ovom članku nema promjena |
