Megjegyzés
- Eredeti közzétételi dátum: Május 13, 2026
- Tudásbáziscikk azonosítója: 5085395
Megjegyzés
Ez a cikk a következőkre nyújt útmutatást:
- Azure Trusted Launch Virtual Machines (TVM) és bizalmas virtuális gépek (CVM), amelyek engedélyezett biztonságos rendszerindítással futtatják a Windowst.
- A támogatott Windows operációs rendszerek teljes listáját a következő cikkben találja: Megbízható indítás Azure virtuális gépekhez
A cikk tartalma:
Bevezetés
A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági szolgáltatás, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni.
A biztonságos rendszerindítási védelem és a korai rendszerindítási folyamat folyamatos karbantartásának fenntartása érdekében az Azure megbízható indítását és a bizalmas virtuális gépeket frissíteni kell az alábbiakkal:
- Secure Boot 2023 tanúsítványok a virtuális belső vezérlőprogramban
- A frissített tanúsítványok által aláírt Windows rendszerindító-vezérlő
Ezek az összetevők együttműködnek: a tanúsítványok megbízhatóságot teremtenek a virtuális belső vezérlőprogramban, és a rendszertöltés-vezérlőt frissíteni kell ahhoz, hogy a megbízhatóság aláírhassa azt.
A védelmi hiányosságok elkerülése érdekében ellenőrizze, hogy mindkét összetevő frissül-e, és szükség esetén kezdeményezzen frissítéseket.
Ha egy virtuális gép a lejárat után továbbra is a 2011-es tanúsítványokra támaszkodik, továbbra is elindulhat, és megkaphatja a szokásos Windows-frissítéseket. A továbbiakban azonban nem kap új biztonsági védelmet a korai rendszerindítási folyamathoz, beleértve a Windows rendszerindítás-kezelő frissítéseit, a biztonságos rendszerindítási adatbázisokat és a visszavonási listákat, illetve az újonnan felfedezett rendszerindítási szintű biztonsági rések kockázatcsökkentését.
További információ:Amikor a biztonságos rendszerindítási tanúsítványok lejárnak Windows-eszközökön.
Azonosítsa az intézkedést igénylő eseteket
A legtöbb esetben a Windows automatikusan alkalmazza a Secure Boot 2023 tanúsítványokat a havi frissítéseken keresztül a jogosult eszközökön, beleértve a támogatott Azure megbízható indítást és a bizalmas virtuális gépeket, amelyeken engedélyezve van a biztonságos rendszerindítás. Előfordulhat, hogy egyes virtuális gépek nem felelnek meg az automatikus üzembe helyezésnek, ha nem állnak rendelkezésre elegendő kompatibilitási jel. Ezekben az esetekben rendszergazdai beavatkozásra lehet szükség a frissítések a vendég operációs rendszerből történő elindításához. A biztonságos rendszerindítási tanúsítványok frissítésével kapcsolatos további információkért lásd: Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakembereknek és szervezeteknek.
Az Azure biztonságos indítási frissítései és a bizalmas virtuális gépek két összetevőből állnak:
- Virtuális belső vezérlőprogramban tárolt biztonságos rendszerindítási tanúsítványok (platform által felügyelt)
- Windows rendszerindítókezelő (vendég operációs rendszer által felügyelt)
A 2024 márciusa után létrehozott virtuális gépek általában már tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban. Ezekhez a virtuális gépekhez általában csak a Windows rendszertöltéskezelő frissítése szükséges.
A 2024 márciusa előtt létrehozott, hosszú ideig futó virtuális gépek nem tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban, és a biztonságos rendszerindítási tanúsítványok és a Windows Rendszertöltés-kezelő frissítésére is szükség van.
A frissítési műveletek a vendég operációs rendszerből kezdeményezhetők a Windows karbantartáson keresztül, és a platform támogatására támaszkodva hitelesített frissítéseket alkalmaznak a biztonságos rendszerindítási változókra a virtuális belső vezérlőprogramban.
Az alkalmazható forgatókönyvek azonosítása után leltárba kell helyeznie a környezetet annak meghatározásához, hogy mely virtuális gépek igényelnek frissítést.
Szükséges műveletek:
- Győződjön meg arról, hogy a vendég virtuális gépek a 2026. márciusi vagy újabb Windows-frissítéssel frissülnek (gyorsjavítás használata esetén 2026. áprilisban vagy később). További információ: Gyorsjavítás a Windows Server-hez.
- Ellenőrizze, hogy az összes Azure megbízható indítási és bizalmas virtuális gép rendelkezik-e a Secure Boot 2023 tanúsítványokkal és a frissített Windows rendszerindítás-kezelővel.
- Szükség esetén indítsa el a frissítéseket a vendég operációs rendszerből, és alkalmazza a biztonságos rendszerindítási tanúsítványt és a Windows rendszerindítás-kezelő frissítéseit.
- Auditálja a Windows rendszer eseménynaplóit: 1808-as és 1801-es eseményazonosító, vagy figyelje az UEFICA2023Status beállításkulcsot, és győződjön meg arról, hogy a frissített biztonságos rendszerindítási tanúsítványok alkalmazása megtörtént-e, és hogy a Windows rendszerindítókezelő frissült-e.
Az olyan eszközök esetében, amelyek nem alkalmazták ezeket a frissítéseket, használja a biztonságos rendszerindítási forgatókönyvben leírt monitorozási és üzembe helyezési módszereket, Windows Server a 2026-ban lejáró tanúsítványok biztonságos rendszerindítási forgatókönyvében, valamint a https://aka.ms/GetSecureBoot címen leírt monitorozási és üzembe helyezési módszereket a teljes útmutatásért.
Az Azure-beli vendég virtuális gépekkel kapcsolatos szempontok
Tekintse át az alábbi forgatókönyveket és a munkamenetgazdák számára szükséges műveleteket:
| Virtuálisgép-forgatókönyv | Aktív a biztonságos rendszerindítás? | Beavatkozás szükséges |
|---|---|---|
| TVM vagy CVM engedélyezett biztonságos rendszerindítással | Igen | A biztonságos rendszerindítási tanúsítványok és a Windows rendszerindítás-kezelő frissítése |
| TVM letiltott biztonságos rendszerindítással | Nem | Nincs teendője |
| 1. generációs VM | Nem támogatott | Nincs teendője |
Megjegyzés
A standard biztonsági típusú virtuális gépeken nincs engedélyezve a biztonságos rendszerindítás.
Az Arany képpel kapcsolatos szempontok
Tekintse át az alábbi forgatókönyveket és a képekhez szükséges műveleteket:
Megjegyzés
Az Azure Piactér rendszerképei előre konfigurált kiindulópontokat, hagyományos vagy közzétevők alapértelmezett rendszerképeit biztosítják, míg az Azure Compute Gallery lemezképei testreszabott rendszerképek tárolására és terjesztésére szolgálnak. A lemezképek mindkét esetben rögzítik a Windows rendszertöltés-kezelőjét, de nem tartalmaznak biztonságos rendszerindítási firmware-változókat, amelyek a virtuális gép szintjén vannak alkalmazva.
Az Azure Compute Gallery és a felügyelt lemezképek rögzítik az operációs rendszer és a rendszertöltő állapotát, beleértve a Windows rendszerindítás-kezelőt, de nem tartalmazzák a biztonságos rendszerindítási firmware-változókat. A biztonságos rendszerindítási tanúsítványokat, például a biztonságos rendszerindítási adatbázis (DB) frissítéseit vagy a kulcscserekulcsokat (KEK) a telepített virtuális gép virtuális belső vezérlőprogramja tárolja, és azokat nem rögzíti a lemezkép általánosítása során.
A biztonságos rendszerindítási frissítések aranylemezképen belüli alkalmazása elősegíti a Windows rendszerindítás-kezelő működését, de nem őrzi meg a biztonságos rendszerindítási tanúsítványokat a lemezképből kiépített virtuális gépek számára. A frissítés végrehajtása azonban továbbfejleszti a Windows rendszertöltés-vezérlőt a lemezképen belül.
Szükséges műveletek:
Rögzítés előtt alkalmazza a Secure Boot 2023 frissítést az arany képre. Megjegyzés: Ez továbbfejleszti a Windows rendszertöltés-kezelőt, de nem őrzi meg a biztonságos rendszerindítási tanúsítványokat a telepített virtuális gépek számára.
Szükség szerint indítsa újra a virtuális gépet a rendszertöltés-kezelő frissítésének alkalmazásához.
A következő PowerShell-parancs futtatásával, és a Frissítve értékre állítással ellenőrizze, hogy a frissítés befejeződött-e a lemezkép általánosítása előtt:
Megjegyzés
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Ha a Windows Rendszertöltés-vezérlőt arany lemezképen frissíti, akkor a frissítést a lemezkép használatával telepített vagy újratelepített virtuális gépekre is alkalmazhatja. Az újonnan kiépített Azure megbízható indítási és bizalmas virtuális gépek tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban, és biztonságosan használhatják az aranylemezképeket a frissített Windows rendszerindítás-kezelővel.
A 2024 márciusa előtt létrehozott meglévő virtuális gépekre történő rendszerkép-alapú áthelyezések azonban alkalmazhatják a frissített Windows rendszerindítás-kezelőt azokra a virtuális gépekre, amelyek belső vezérlőprogramja még nem bízik meg a megfelelő Secure Boot 2023 tanúsítványokban. Ezekben az esetekben a Windows rendszertöltés-kezelő továbbfejlesztése előtt telepíteni kell a biztonságos rendszerindítási tanúsítvány frissítéseit a vendég operációs rendszerben.
Egyéb szempontok az Azure-erőforrásokkal kapcsolatban
| Azure-erőforrás | 2024 áprilisa előtt készült? | Beavatkozás szükséges |
|---|---|---|
| TVM vagy CVM biztonsági mentése/pillanatképe | Igen | A virtuális gép indítása, frissítések alkalmazása, majd újbóli rögzítés |
| TVM vagy CVM biztonsági mentése/pillanatképe | Nem | Nincs teendője |
| Az Azure Compute Gallery rendszerkép-rögzítése (képbiztonsági típus = TL vagy CVM) TVM-ből vagy CVM-ből | Igen | A virtuális gép indítása, frissítések alkalmazása, majd újbóli rögzítés |
| Az Azure Compute Gallery rendszerkép-rögzítése (képbiztonsági típus = TL vagy CVM) TVM-ből vagy CVM-ből | Nem | Nincs teendője |
Frissítési állapot figyelése
A biztonságos rendszerindítási tanúsítványfrissítések monitorozása és üzembe helyezése az Azure megbízható indítási és bizalmas virtuális gépekben ugyanazt a Windows karbantartási útmutatót követi, mint a fizikai és virtualizált eszközök esetében.
Részletes monitorozási útmutatásért, beleértve az eszközök leltározását, a firmware változó frissítéseinek ellenőrzését és a frissítési folyamat nyomon követését, tekintse meg a biztonságos rendszerindítási forgatókönyvet Windows Server és https://aka.ms/GetSecureBoot.
Frissítések telepítése
A biztonságos rendszerindítási tanúsítvány frissítései az Azure megbízható indításához és a bizalmas virtuális gépekhez a vendég operációs rendszerből történik a Windows karbantartása használatával.
Kövesse a Windows Server biztonságos rendszerindítási forgatókönyvében található üzembe helyezési útmutatót a következőkhöz:
- automatikus üzembe helyezés a Windows Update szolgáltatáson keresztül
- Az informatikai részleg által kezdeményezett telepítési módszerek
- Rendszerleíró kulcsok karbantartása
- Üzembe helyezési sorrend
Egyéni vagy újból felhasznált virtuálisgép-lemezképek használata esetén tekintse át a cikkben az aranylemezképpel kapcsolatos megfontolásokat a Windows rendszertöltés-vezérlő használata előtt.
Források
- A biztonságos rendszerindítás lekérése könyvjelzővel további információért, a biztonságos rendszerindítási tanúsítvány frissítésének kezelésével kapcsolatos részletes útmutatásért és a gyakori kérdésekre adott válaszokért lásd.
- Biztonságos rendszerindítási forgatókönyv a Windows Server-hez
- Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakembereknek és szervezeteknek
- Az eseménynapló eseményeivel kapcsolatos további információkért lásd: Secure Boot DB és DBX változófrissítési események.
- A biztonságos rendszerindítás beállításkulcsaival kapcsolatos további információkért lásd: Beállításkulcs-frissítések a biztonságos rendszerindításhoz: IT által felügyelt frissítésekkel rendelkező Windows-eszközök.
Ha támogatási csomaggal rendelkezik, és műszaki segítségre van szüksége, küldjön támogatási kérést.
Módosítási napló
| Dátum módosítása | Módosítás leírása |
|---|---|
| Május 13, 2026 | Ez a cikk nem tartalmaz módosítást |