Eredeti közzététel dátuma: 2026. május 13.
TUDÁSBÁZIS AZONOSÍTÓJA: 5085395
Ez a cikk a következőhöz nyújt útmutatást:
-
Azure Windows rendszert futtató megbízható indítási Virtual Machines (TVM) és bizalmas virtuális gépeken (CVM), amelyeken engedélyezve van a biztonságos rendszerindítás.
-
A támogatott Windows operációs rendszerek teljes listájáért lásd: Megbízható indítás Azure virtuális gépekhez
Ebben a cikkben:
Ismertető
A Biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági funkció, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak az eszköz rendszerindítási folyamata során. A 2011-ben kiadott Microsoft Secure Boot-tanúsítványok 2026 júniusában lejárnak.
A biztonságos rendszerindítási védelem fenntartásához és a korai rendszerindítási folyamat folyamatos karbantartásához Azure megbízható indítású és bizalmas virtuális gépeket frissíteni kell az alábbiakkal:
-
Biztonságos rendszerindítási 2023-tanúsítványok a virtuális belső vezérlőprogramban
-
A frissített tanúsítványok által aláírt Windows Rendszertöltés-kezelő
Ezek az összetevők együttműködnek: a tanúsítványok megbízhatóságot hoznak létre a virtuális belső vezérlőprogramban, és a rendszerindítás-kezelőt frissíteni kell, hogy a megbízhatósági kapcsolat alá legyen írva.
A védelmi rések elkerülése érdekében ellenőrizze, hogy mindkét összetevő frissült-e, és szükség esetén kezdeményezze a frissítéseket.
Ha egy virtuális gép a lejárat után is a 2011-ben kiadott tanúsítványokra támaszkodik, továbbra is elindíthatja a rendszert, és szabványos Windows-frissítéseket fogadhat. A rendszerindítási folyamat során azonban már nem kap új biztonsági védelmet, beleértve a Windows Rendszertöltés-kezelő frissítéseit, a biztonságos rendszerindítási adatbázisokat és a visszavonási listákat, illetve az újonnan felfedezett rendszerindítási szintű biztonsági rések elhárítását.
További információ: A biztonságos rendszerindítási tanúsítványok lejárata Windows-eszközökön.
A beavatkozást igénylő forgatókönyvek azonosítása
A Legtöbb esetben a Windows automatikusan alkalmazza a Biztonságos rendszerindítás 2023 tanúsítványokat a jogosult eszközök havi frissítéseivel, beleértve a támogatott Azure a megbízható indítást és a biztonságos rendszerindítást engedélyező bizalmas virtuális gépeket. Előfordulhat, hogy egyes virtuális gépek nem alkalmasak az automatikus üzembe helyezésre, ha nem áll rendelkezésre elegendő kompatibilitási jel. Ezekben az esetekben felügyeleti műveletre lehet szükség a frissítéseknek a vendég operációs rendszerből történő elindításához. A biztonságos rendszerindítási tanúsítványok frissítéseivel kapcsolatos további információkért lásd: Biztonságos rendszerindítási tanúsítványok frissítései: Útmutató informatikai szakembereknek és szervezeteknek.
A Azure megbízható indítású és bizalmas virtuális gépek biztonságos rendszerindítási frissítései két összetevőből állnak:
-
Virtuális belső vezérlőprogramban tárolt biztonságos rendszerindítási tanúsítványok (platform által felügyelt)
-
Windows Rendszertöltés-kezelő (vendég operációs rendszer által felügyelt)
A 2024 márciusa után létrehozott virtuális gépek általában már tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban. Ezek a virtuális gépek általában csak a Windows Rendszertöltés-kezelő frissítését igénylik.
A 2024 márciusa előtt létrehozott, hosszú ideig futó virtuális gépek nem tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban, és frissítést igényelnek mind a biztonságos rendszerindítási tanúsítványokhoz, mind a Windows Rendszertöltés-kezelőhöz.
A frissítési műveletek a vendég operációs rendszerből indulnak ki a Windows-karbantartáson keresztül, és a platformtámogatásra támaszkodva hitelesítik a frissítéseket a virtuális belső vezérlőprogram biztonságos rendszerindítási változóira.
A megfelelő forgatókönyvek azonosítása után leltározhatja a környezetet annak meghatározásához, hogy mely virtuális gépek igényelnek frissítéseket.
Szükséges műveletek:
-
Győződjön meg arról, hogy a vendég virtuális gépek a Windows 2026. márciusi vagy újabb frissítésével frissülnek (gyorsjavítás használata esetén 2026. április vagy újabb). További információ: Gyorsjavítás Windows Server.
-
Győződjön meg arról, hogy minden Azure megbízható indítási és bizalmas virtuális gép rendelkezik a Secure Boot 2023 tanúsítványokkal és egy frissített Windows Boot Managerrel.
-
Ha szükséges, kezdeményezhet frissítéseket a vendég operációs rendszerből a biztonságos rendszerindítási tanúsítvány és a Windows Rendszertöltés-kezelő frissítéseinek alkalmazásához.
-
Naplózza a Windows rendszer eseménynaplóit: 1808-as eseményazonosító és 1801-es eseményazonosító, vagy figyelje az UEFICA2023Status beállításkulcsot annak ellenőrzéséhez, hogy alkalmazták-e a frissített biztonságos rendszerindítási tanúsítványokat, és hogy a Windows rendszerindítás-kezelő frissült-e.
Azon eszközök esetében, amelyek nem alkalmazták ezeket a frissítéseket, használja a biztonságos rendszerindítási forgatókönyvben leírt figyelési és üzembehelyezési módszereket, Windows Server a 2026-ban lejáró tanúsítványok biztonságos rendszerindítási forgatókönyvét, valamint https://aka.ms/GetSecureBoot a teljes körű útmutatásért.
A vendég virtuális gépek Azure szempontjai
Tekintse át a következő forgatókönyveket és a munkamenetgazdákhoz szükséges műveleteket:
|
Virtuálisgép-forgatókönyv |
Biztonságos rendszerindítás aktív? |
Beavatkozás szükséges |
|
TVM vagy CVM engedélyezett biztonságos rendszerindítással |
Igen |
A biztonságos rendszerindítási tanúsítványok és a Windows Rendszertöltés-kezelő frissítése |
|
TvM letiltott biztonságos rendszerindítással |
Nem |
Nincs szükség műveletre |
|
1. generációs virtuális gép |
Nem támogatott |
Nincs szükség műveletre |
Megjegyzés: A standard biztonsági típusú virtuális gépeken nincs engedélyezve a biztonságos rendszerindítás.
Arany képekkel kapcsolatos szempontok
Tekintse át a következő forgatókönyveket és a képekhez szükséges műveleteket:
Megjegyzés: Azure Marketplace-rendszerképek előre konfigurált kezdőpontokat, vanília- vagy közzétevők alapértelmezett rendszerképeit biztosítják, míg Azure Compute Gallery-rendszerképek a testreszabott rendszerképek tárolására és terjesztésére szolgálnak. Mindkét esetben a rendszerképek rögzítik a Windows Rendszertöltés-kezelőt, de nem tartalmaznak biztonságos rendszerindítási belső vezérlőprogram változókat, amelyek a virtuális gép szintjén vannak alkalmazva.
Azure Számítási katalógus és a felügyelt lemezképek rögzítik az operációs rendszer és a rendszertöltő állapotát, beleértve a Windows Rendszertöltés-kezelőt is, de nem tartalmazzák a biztonságos rendszerindítási belső vezérlőprogram változóit. A biztonságos rendszerindítási tanúsítványok, például a Biztonságos rendszerindítási adatbázis (DB) vagy a kulcscserekulcsok (KEK) frissítései az üzembe helyezett virtuális gép virtuális belső vezérlőprogramjában vannak tárolva, és nem lesznek rögzítve a rendszerképek általánosítása során.
A biztonságos rendszerindítási frissítések aranylemezképen való alkalmazása tovább lép a Windows Rendszertöltés-kezelőn, de nem őriz meg biztonságos rendszerindítási tanúsítványokat a rendszerképből kiépített virtuális gépeken. A frissítés végrehajtása azonban tovább lép a Windows Rendszertöltés-kezelőn a lemezképen belül.
Szükséges műveletek:
-
A Rögzítés előtt alkalmazza a Secure Boot 2023 frissítést az aranylemezképre. Megjegyzés: Ez tovább fejleszti a Windows Rendszertöltés-kezelőt, de nem őriz meg biztonságos rendszerindítási tanúsítványokat az üzembe helyezett virtuális gépeken.
-
Szükség szerint indítsa újra a virtuális gépet a Boot Manager frissítésének alkalmazásához.
-
Ellenőrizze, hogy a frissítés befejeződött-e a rendszerkép általánosítása előtt. Ehhez futtassa a következő PowerShell-parancsot, és győződjön meg arról, hogy az érték Frissítve értékre van állítva:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
A Windows Rendszertöltés-kezelő aranylemezképen belüli frissítése a rendszerkép használatával üzembe helyezett vagy újratelepített virtuális gépekre alkalmazza a frissítést. Az újonnan kiépített Azure Megbízható indítás és Bizalmas virtuális gépek tartalmazzák a Secure Boot 2023 tanúsítványokat a virtuális belső vezérlőprogramban, és biztonságosan használhatják az arany lemezképeket a frissített Windows Boot Managerrel.
A rendszerképalapú újratelepítések azonban a 2024 márciusa előtt létrehozott meglévő virtuális gépekre alkalmazhatják a frissített Windows Rendszertöltés-kezelőt azokra a virtuális gépekre, amelyek belső vezérlőprogramja még nem bízik meg a megfelelő Secure Boot 2023-tanúsítványokban. Ezekben az esetekben a windowsos rendszerindítás-kezelő elindítása előtt a biztonságos rendszerindítási tanúsítvány frissítéseit a vendég operációs rendszeren belül kell alkalmazni.
Egyéb Azure-erőforrásokkal kapcsolatos szempontok
|
Azure erőforrás |
2024 áprilisa előtt készült? |
Beavatkozás szükséges |
|---|---|---|
|
A TVM vagy a CVM biztonsági mentése/pillanatképe |
Igen |
Indítsa el a virtuális gépet, alkalmazza a frissítéseket, majd foglalja össze újra |
|
A TVM vagy a CVM biztonsági mentése/pillanatképe |
Nem |
Nincs szükség műveletre |
|
Azure Compute Gallery-rendszerképek rögzítése a TVM-ből vagy a CVM-ből származó (képbiztonsági típus = TL vagy CVM) rögzítésekkel |
Igen |
Indítsa el a virtuális gépet, alkalmazza a frissítéseket, majd foglalja össze újra |
|
Azure Compute Gallery-rendszerképek rögzítése a TVM-ből vagy a CVM-ből származó (képbiztonsági típus = TL vagy CVM) rögzítésekkel |
Nem |
Nincs szükség műveletre |
Frissítés állapotának figyelése
A biztonságos rendszerindítási tanúsítvány frissítéseinek figyelése és telepítése Azure megbízható indítású és bizalmas virtuális gépeken ugyanazt a Windows karbantartási útmutatót követi, amelyet a fizikai és virtualizált eszközökhöz használ.
Részletes monitorozási útmutatóért, beleértve az eszközök leltározását, a belső vezérlőprogram változóinak frissítéseinek ellenőrzését és a frissítési folyamat nyomon követését, tekintse meg a biztonságos rendszerindítási forgatókönyvet Windows Server és https://aka.ms/GetSecureBoot.
Frissítések telepítése
A Biztonságos rendszerindítási tanúsítvány frissítése Azure megbízható indítású és bizalmas virtuális gépekhez a vendég operációs rendszeren belül történik a Windows-karbantartás használatával.
Kövesse az üzembe helyezési útmutatót a biztonságos rendszerindítási forgatókönyvben Windows Server a következőhöz:
-
automatikus üzembe helyezés Windows Update
-
It által kezdeményezett üzembehelyezési módszerek
-
karbantartási beállításkulcsok
-
üzembehelyezési sorrend
Ha egyéni vagy újrafelhasznált virtuálisgép-rendszerképeket használ, tekintse meg a jelen cikk Arany rendszerképekkel kapcsolatos szempontjait a Windows rendszerindítás-kezelő elindítása előtt.
Erőforrások
-
A módosítással kapcsolatos további információkért, a biztonságos rendszerindítási tanúsítvány frissítésének kezelésével kapcsolatos részletes útmutatásért és a gyakori kérdésekre adott válaszokért könyvjelzőt kap a Biztonságos rendszerindítás lekérése könyvjelzőhöz.
-
Az eseménynapló-eseményekkel kapcsolatos további információkért lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események.
-
A biztonságos rendszerindítási beállításkulcsokkal kapcsolatos további információkért lásd: Beállításkulcs-frissítések a biztonságos rendszerindításhoz: Windows-eszközök it által felügyelt frissítésekkel.
Ha támogatási csomaggal rendelkezik, és technikai segítségre van szüksége, küldjön egy támogatási kérést.
Napló módosítása
|
Dátum módosítása |
Leírás módosítása |
|
2026. május 13. |
Ebben a cikkben nincsenek változások |
