Biztonságos rendszerindítási frissítés a 2011-es tanúsítványokról a 2023-as tanúsítványokra: Megbízható indítású virtuális gépek (TVM) és bizalmas virtuális gépek (CVM)

Megjegyzés

  • Eredeti közzétételi dátum: Május 13, 2026
  • Tudásbáziscikk azonosítója: 5085395

Megjegyzés

Ez a cikk a következőkre nyújt útmutatást:

  • Azure Trusted Launch Virtual Machines (TVM) és bizalmas virtuális gépek (CVM), amelyek engedélyezett biztonságos rendszerindítással futtatják a Windowst.
  • A támogatott Windows operációs rendszerek teljes listáját a következő cikkben találja: Megbízható indítás Azure virtuális gépekhez

A cikk tartalma:

Bevezetés

A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági szolgáltatás, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni.

A biztonságos rendszerindítási védelem és a korai rendszerindítási folyamat folyamatos karbantartásának fenntartása érdekében az Azure megbízható indítását és a bizalmas virtuális gépeket frissíteni kell az alábbiakkal:

  • Secure Boot 2023 tanúsítványok a virtuális belső vezérlőprogramban
  • A frissített tanúsítványok által aláírt Windows rendszerindító-vezérlő

Ezek az összetevők együttműködnek: a tanúsítványok megbízhatóságot teremtenek a virtuális belső vezérlőprogramban, és a rendszertöltés-vezérlőt frissíteni kell ahhoz, hogy a megbízhatóság aláírhassa azt.

A védelmi hiányosságok elkerülése érdekében ellenőrizze, hogy mindkét összetevő frissül-e, és szükség esetén kezdeményezzen frissítéseket.

Ha egy virtuális gép a lejárat után továbbra is a 2011-es tanúsítványokra támaszkodik, továbbra is elindulhat, és megkaphatja a szokásos Windows-frissítéseket. A továbbiakban azonban nem kap új biztonsági védelmet a korai rendszerindítási folyamathoz, beleértve a Windows rendszerindítás-kezelő frissítéseit, a biztonságos rendszerindítási adatbázisokat és a visszavonási listákat, illetve az újonnan felfedezett rendszerindítási szintű biztonsági rések kockázatcsökkentését.

További információ:Amikor a biztonságos rendszerindítási tanúsítványok lejárnak Windows-eszközökön.

a lap tetejére

Azonosítsa az intézkedést igénylő eseteket

A legtöbb esetben a Windows automatikusan alkalmazza a Secure Boot 2023 tanúsítványokat a havi frissítéseken keresztül a jogosult eszközökön, beleértve a támogatott Azure megbízható indítást és a bizalmas virtuális gépeket, amelyeken engedélyezve van a biztonságos rendszerindítás. Előfordulhat, hogy egyes virtuális gépek nem felelnek meg az automatikus üzembe helyezésnek, ha nem állnak rendelkezésre elegendő kompatibilitási jel. Ezekben az esetekben rendszergazdai beavatkozásra lehet szükség a frissítések a vendég operációs rendszerből történő elindításához. A biztonságos rendszerindítási tanúsítványok frissítésével kapcsolatos további információkért lásd: Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakembereknek és szervezeteknek.

Az Azure biztonságos indítási frissítései és a bizalmas virtuális gépek két összetevőből állnak:

  • Virtuális belső vezérlőprogramban tárolt biztonságos rendszerindítási tanúsítványok (platform által felügyelt)
  • Windows rendszerindítókezelő (vendég operációs rendszer által felügyelt)

A 2024 márciusa után létrehozott virtuális gépek általában már tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban. Ezekhez a virtuális gépekhez általában csak a Windows rendszertöltéskezelő frissítése szükséges.

A 2024 márciusa előtt létrehozott, hosszú ideig futó virtuális gépek nem tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban, és a biztonságos rendszerindítási tanúsítványok és a Windows Rendszertöltés-kezelő frissítésére is szükség van.

A frissítési műveletek a vendég operációs rendszerből kezdeményezhetők a Windows karbantartáson keresztül, és a platform támogatására támaszkodva hitelesített frissítéseket alkalmaznak a biztonságos rendszerindítási változókra a virtuális belső vezérlőprogramban.

Az alkalmazható forgatókönyvek azonosítása után leltárba kell helyeznie a környezetet annak meghatározásához, hogy mely virtuális gépek igényelnek frissítést.

Szükséges műveletek:

  • Győződjön meg arról, hogy a vendég virtuális gépek a 2026. márciusi vagy újabb Windows-frissítéssel frissülnek (gyorsjavítás használata esetén 2026. áprilisban vagy később). További információ: Gyorsjavítás a Windows Server-hez.
  • Ellenőrizze, hogy az összes Azure megbízható indítási és bizalmas virtuális gép rendelkezik-e a Secure Boot 2023 tanúsítványokkal és a frissített Windows rendszerindítás-kezelővel.
  • Szükség esetén indítsa el a frissítéseket a vendég operációs rendszerből, és alkalmazza a biztonságos rendszerindítási tanúsítványt és a Windows rendszerindítás-kezelő frissítéseit.
  • Auditálja a Windows rendszer eseménynaplóit: 1808-as és 1801-es eseményazonosító, vagy figyelje az UEFICA2023Status beállításkulcsot, és győződjön meg arról, hogy a frissített biztonságos rendszerindítási tanúsítványok alkalmazása megtörtént-e, és hogy a Windows rendszerindítókezelő frissült-e.

Az olyan eszközök esetében, amelyek nem alkalmazták ezeket a frissítéseket, használja a biztonságos rendszerindítási forgatókönyvben leírt monitorozási és üzembe helyezési módszereket, Windows Server a 2026-ban lejáró tanúsítványok biztonságos rendszerindítási forgatókönyvében, valamint a https://aka.ms/GetSecureBoot címen leírt monitorozási és üzembe helyezési módszereket a teljes útmutatásért.

a lap tetejére

Az Azure-beli vendég virtuális gépekkel kapcsolatos szempontok

Tekintse át az alábbi forgatókönyveket és a munkamenetgazdák számára szükséges műveleteket:

Virtuálisgép-forgatókönyv Aktív a biztonságos rendszerindítás? Beavatkozás szükséges
TVM vagy CVM engedélyezett biztonságos rendszerindítással Igen A biztonságos rendszerindítási tanúsítványok és a Windows rendszerindítás-kezelő frissítése
TVM letiltott biztonságos rendszerindítással Nem Nincs teendője
1. generációs VM Nem támogatott Nincs teendője

Megjegyzés

A standard biztonsági típusú virtuális gépeken nincs engedélyezve a biztonságos rendszerindítás.

a lap tetejére

Az Arany képpel kapcsolatos szempontok

Tekintse át az alábbi forgatókönyveket és a képekhez szükséges műveleteket:

Megjegyzés

Az Azure Piactér rendszerképei előre konfigurált kiindulópontokat, hagyományos vagy közzétevők alapértelmezett rendszerképeit biztosítják, míg az Azure Compute Gallery lemezképei testreszabott rendszerképek tárolására és terjesztésére szolgálnak. A lemezképek mindkét esetben rögzítik a Windows rendszertöltés-kezelőjét, de nem tartalmaznak biztonságos rendszerindítási firmware-változókat, amelyek a virtuális gép szintjén vannak alkalmazva.

Folyamatábra annak meghatározásához, hogy művelet szükséges-e a képeken

Az Azure Compute Gallery és a felügyelt lemezképek rögzítik az operációs rendszer és a rendszertöltő állapotát, beleértve a Windows rendszerindítás-kezelőt, de nem tartalmazzák a biztonságos rendszerindítási firmware-változókat. A biztonságos rendszerindítási tanúsítványokat, például a biztonságos rendszerindítási adatbázis (DB) frissítéseit vagy a kulcscserekulcsokat (KEK) a telepített virtuális gép virtuális belső vezérlőprogramja tárolja, és azokat nem rögzíti a lemezkép általánosítása során.

A biztonságos rendszerindítási frissítések aranylemezképen belüli alkalmazása elősegíti a Windows rendszerindítás-kezelő működését, de nem őrzi meg a biztonságos rendszerindítási tanúsítványokat a lemezképből kiépített virtuális gépek számára. A frissítés végrehajtása azonban továbbfejleszti a Windows rendszertöltés-vezérlőt a lemezképen belül.

Szükséges műveletek:

  • Rögzítés előtt alkalmazza a Secure Boot 2023 frissítést az arany képre. Megjegyzés: Ez továbbfejleszti a Windows rendszertöltés-kezelőt, de nem őrzi meg a biztonságos rendszerindítási tanúsítványokat a telepített virtuális gépek számára.

  • Szükség szerint indítsa újra a virtuális gépet a rendszertöltés-kezelő frissítésének alkalmazásához.

  • A következő PowerShell-parancs futtatásával, és a Frissítve értékre állítással ellenőrizze, hogy a frissítés befejeződött-e a lemezkép általánosítása előtt:

    Megjegyzés

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Ha a Windows Rendszertöltés-vezérlőt arany lemezképen frissíti, akkor a frissítést a lemezkép használatával telepített vagy újratelepített virtuális gépekre is alkalmazhatja. Az újonnan kiépített Azure megbízható indítási és bizalmas virtuális gépek tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban, és biztonságosan használhatják az aranylemezképeket a frissített Windows rendszerindítás-kezelővel.

A 2024 márciusa előtt létrehozott meglévő virtuális gépekre történő rendszerkép-alapú áthelyezések azonban alkalmazhatják a frissített Windows rendszerindítás-kezelőt azokra a virtuális gépekre, amelyek belső vezérlőprogramja még nem bízik meg a megfelelő Secure Boot 2023 tanúsítványokban. Ezekben az esetekben a Windows rendszertöltés-kezelő továbbfejlesztése előtt telepíteni kell a biztonságos rendszerindítási tanúsítvány frissítéseit a vendég operációs rendszerben.

a lap tetejére

Egyéb szempontok az Azure-erőforrásokkal kapcsolatban

Azure-erőforrás 2024 áprilisa előtt készült? Beavatkozás szükséges
TVM vagy CVM biztonsági mentése/pillanatképe Igen A virtuális gép indítása, frissítések alkalmazása, majd újbóli rögzítés
TVM vagy CVM biztonsági mentése/pillanatképe Nem Nincs teendője
Az Azure Compute Gallery rendszerkép-rögzítése (képbiztonsági típus = TL vagy CVM) TVM-ből vagy CVM-ből Igen A virtuális gép indítása, frissítések alkalmazása, majd újbóli rögzítés
Az Azure Compute Gallery rendszerkép-rögzítése (képbiztonsági típus = TL vagy CVM) TVM-ből vagy CVM-ből Nem Nincs teendője

a lap tetejére

Frissítési állapot figyelése

A biztonságos rendszerindítási tanúsítványfrissítések monitorozása és üzembe helyezése az Azure megbízható indítási és bizalmas virtuális gépekben ugyanazt a Windows karbantartási útmutatót követi, mint a fizikai és virtualizált eszközök esetében.

Részletes monitorozási útmutatásért, beleértve az eszközök leltározását, a firmware változó frissítéseinek ellenőrzését és a frissítési folyamat nyomon követését, tekintse meg a biztonságos rendszerindítási forgatókönyvet Windows Server és https://aka.ms/GetSecureBoot.

Frissítések telepítése

A biztonságos rendszerindítási tanúsítvány frissítései az Azure megbízható indításához és a bizalmas virtuális gépekhez a vendég operációs rendszerből történik a Windows karbantartása használatával.

Kövesse a Windows Server biztonságos rendszerindítási forgatókönyvében található üzembe helyezési útmutatót a következőkhöz:

  • automatikus üzembe helyezés a Windows Update szolgáltatáson keresztül
  • Az informatikai részleg által kezdeményezett telepítési módszerek
  • Rendszerleíró kulcsok karbantartása
  • Üzembe helyezési sorrend

Egyéni vagy újból felhasznált virtuálisgép-lemezképek használata esetén tekintse át a cikkben az aranylemezképpel kapcsolatos megfontolásokat a Windows rendszertöltés-vezérlő használata előtt.

a lap tetejére

Források

Ha támogatási csomaggal rendelkezik, és műszaki segítségre van szüksége, küldjön támogatási kérést.

a lap tetejére

Módosítási napló

Dátum módosítása Módosítás leírása
Május 13, 2026 Ez a cikk nem tartalmaz módosítást

a lap tetejére