Tanggal penerbitan asli: 13 Mei 2026

ID KB: 5085395

Artikel ini memiliki panduan untuk: 

  • Azure Azure Virtual Machines Peluncuran Tepercaya (TVM) dan VM Rahasia (CVM) yang menjalankan Windows dengan Boot Aman diaktifkan.

  • Untuk daftar lengkap sistem operasi Windows yang didukung, lihat artikel: Peluncuran Tepercaya untuk mesin virtual Azure

Dalam artikel ini:

Pendahuluan

Secure Boot adalah fitur keamanan firmware UEFI yang membantu memastikan bahwa hanya perangkat lunak tepercaya yang ditandatangani secara digital yang berjalan selama urutan boot perangkat. Sertifikat Boot Aman Microsoft yang diterbitkan pada tahun 2011 mulai kedaluwarsa pada Juni 2026. 

Untuk menjaga perlindungan Boot Aman dan pelayanan yang berkelanjutan dari proses boot awal, Azure Peluncuran Tepercaya dan mesin virtual Rahasia harus diperbarui dengan kedua hal berikut ini: 

  • Sertifikat Secure Boot 2023 di firmware virtual

  • Windows Boot Manager yang ditandatangani oleh sertifikat yang diperbarui

Komponen ini bekerja sama: sertifikat membangun kepercayaan pada firmware virtual, dan Boot Manager harus diperbarui untuk ditandatangani oleh kepercayaan tersebut. 

Untuk membantu mencegah celah dalam perlindungan, verifikasi bahwa kedua komponen diperbarui dan memulai pembaruan jika diperlukan. 

Jika VM terus mengandalkan sertifikat 2011 setelah kedaluwarsa, VM dapat terus boot dan menerima pembaruan Windows standar. Namun, tidak akan lagi menerima perlindungan keamanan baru untuk proses boot awal, termasuk pembaruan untuk Windows Boot Manager, database Boot Aman dan daftar pembatalan, atau mitigasi untuk kerentanan tingkat boot yang baru ditemukan. 

Untuk mempelajari selengkapnya, lihat Saat sertifikat Boot Aman kedaluwarsa di perangkat Windows.

kembali ke atas 

Mengidentifikasi skenario yang memerlukan tindakan

Biasanya, Windows menerapkan sertifikat Boot Aman 2023 secara otomatis melalui pembaruan bulanan pada perangkat yang memenuhi syarat, termasuk Azure Peluncuran Tepercaya yang didukung dan VM Rahasia dengan Boot Aman diaktifkan. Beberapa VM mungkin tidak memenuhi syarat untuk penyebaran otomatis jika sinyal kompatibilitas yang memadai tidak tersedia. Dalam kasus ini, tindakan administratif mungkin diperlukan untuk memulai pembaruan dari dalam sistem operasi tamu. Untuk informasi selengkapnya tentang cara mendapatkan pembaruan sertifikat Boot Aman, kunjungi: Pembaruan Sertifikat Boot Aman: Panduan untuk profesional TI dan organisasi.

Pembaruan Boot Aman untuk Azure Peluncuran Tepercaya dan VM Rahasia melibatkan dua komponen: 

  • Sertifikat Boot Aman yang disimpan di firmware virtual (dikelola platform)

  • Windows Boot Manager (dikelola OS tamu)

Mesin virtual yang dibuat setelah Maret 2024 biasanya sudah menyertakan sertifikat Secure Boot 2023 dalam firmware virtual. VM ini umumnya hanya memerlukan pembaruan Windows Boot Manager. 

Mesin virtual yang berjalan lama yang dibuat sebelum Maret 2024 tidak menyertakan sertifikat Secure Boot 2023 dalam firmware virtual dan memerlukan pembaruan untuk sertifikat Boot Aman dan Windows Boot Manager. 

Operasi pembaruan dimulai dari dalam sistem operasi tamu melalui layanan Windows dan mengandalkan dukungan platform untuk menerapkan pembaruan terautentikasi pada variabel Boot Aman dalam firmware virtual. 

Setelah mengidentifikasi skenario yang berlaku, inventaris lingkungan Anda untuk menentukan VM mana yang memerlukan pembaruan. 

Tindakan diperlukan: 

  • Pastikan VM tamu diperbarui dengan pembaruan Windows Maret 2026 atau yang lebih baru (April 2026 atau yang lebih baru jika menggunakan hotpatching). Lihat selengkapnya: Hotpatch untuk Windows Server.

  • Verifikasi bahwa semua Azure Peluncuran Tepercaya dan VM Rahasia memiliki sertifikat Boot Aman 2023 dan Windows Boot Manager yang diperbarui.

  • Memulai pembaruan dari dalam sistem operasi tamu untuk menerapkan sertifikat Boot Aman dan pembaruan Windows Boot Manager jika diperlukan.

  • Mengaudit log kejadian Sistem Windows: ID Kejadian 1808 dan ID Kejadian 1801 atau pantau kunci registri UEFICA2023Status untuk mengonfirmasi apakah sertifikat Boot Aman yang diperbarui telah diterapkan dan apakah Windows Boot Manager telah diperbarui.

Untuk perangkat yang belum menerapkan pembaruan ini, gunakan metode pemantauan dan penyebaran yang dijelaskan dalam playbook Boot Aman, Windows Server playbook Boot Aman untuk sertifikat yang kedaluwarsa pada tahun 2026, dan pada https://aka.ms/GetSecureBoot untuk panduan lengkap. 

kembali ke atas

Azure pertimbangan VM tamu

Tinjau skenario berikut dan tindakan yang diperlukan untuk host sesi:

Skenario VM

Secure Boot Aktif?

Tindakan Diperlukan

TVM atau CVM dengan Boot Aman diaktifkan

Ya

Memperbarui sertifikat Boot Aman dan Windows Boot Manager

TVM dengan Boot Aman dinonaktifkan

Tidak

Tidak ada tindakan yang diperlukan

Generasi 1 VM

Tidak didukung

Tidak ada tindakan yang diperlukan

Catatan: VM tipe keamanan standar tidak mengaktifkan Boot Aman. 

kembali ke atas

Pertimbangan gambar emas

Tinjau skenario berikut dan tindakan yang diperlukan untuk gambar:

Catatan: Azure gambar Marketplace menyediakan titik awal yang telah dikonfigurasi sebelumnya, gambar default vanili atau penerbit, sementara gambar Galeri Komputasi Azure digunakan untuk menyimpan dan mendistribusikan gambar yang dikustomisasi. Dalam kedua kasus, gambar mengambil gambar Windows Boot Manager tetapi tidak menyertakan variabel firmware Boot Aman, yang diterapkan pada tingkat mesin virtual.

Bagan alur untuk menentukan apakah tindakan diperlukan untuk gambar

Azure Galeri Komputasi dan gambar terkelola menangkap sistem operasi dan status boot loader, termasuk Windows Boot Manager, tetapi tidak menyertakan variabel firmware Boot Aman. Sertifikat Boot Aman, seperti pembaruan untuk database Boot Aman (DB) atau kunci pertukaran kunci (KEK), disimpan di firmware virtual mesin virtual yang digunakan dan tidak ditangkap selama generalisasi gambar. 

Menerapkan pembaruan Boot Aman dalam gambar emas akan memajukan Windows Boot Manager tetapi tidak tetap menggunakan sertifikat Boot Aman ke mesin virtual yang disediakan dari gambar tersebut. Namun, melakukan pembaruan ini akan memajukan Windows Boot Manager dalam gambar.

Tindakan diperlukan:

  • Terapkan pembaruan Secure Boot 2023 ke gambar emas sebelum merekamnya. Catatan: Ini memajukan Windows Boot Manager tetapi tidak akan tetap menggunakan sertifikat Boot Aman ke mesin virtual yang disebarkan.

  • Mulai ulang VM sebagaimana diperlukan untuk memungkinkan pembaruan Boot Manager diterapkan.

  • Verifikasi bahwa pembaruan telah selesai sebelum melakukan generalisasi gambar dengan menjalankan perintah PowerShell berikut ini dan mengonfirmasi nilai diatur ke Diperbarui:

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status 

Memperbarui Windows Boot Manager dalam gambar emas menerapkan pembaruan ke mesin virtual yang disebarkan atau dieploy ulang menggunakan gambar. Mesin virtual Rahasia dan Peluncuran Tepercaya Azure yang baru disediakan mencakup sertifikat Secure Boot 2023 dalam firmware virtual dan dapat menggunakan gambar emas dengan aman dengan Windows Boot Manager yang diperbarui. 

Namun, redeployments berbasis gambar ke mesin virtual yang sudah ada yang dibuat sebelum Maret 2024 mungkin menerapkan Windows Boot Manager yang diperbarui ke VM yang firmwarenya belum mempercayai sertifikat Secure Boot 2023 terkait. Dalam kasus ini, pembaruan sertifikat Boot Aman harus diterapkan dalam sistem operasi tamu sebelum memajukan Windows Boot Manager.

kembali ke atas 

Pertimbangan sumber daya Azure lainnya

sumber daya Azure

Dibuat sebelum April 2024?

Tindakan diperlukan

Cadangan/snapshot TVM atau CVM

Ya

Boot VM, terapkan pembaruan, lalu rekap ulang

Cadangan/snapshot TVM atau CVM

Tidak

Tidak ada tindakan yang diperlukan

Azure gambar Galeri Komputasi yang diambil dengan (tipe keamanan gambar = TL atau CVM) diambil dari TVM atau CVM

Ya

Boot VM, terapkan pembaruan, lalu rekap ulang

Azure gambar Galeri Komputasi yang diambil dengan (tipe keamanan gambar = TL atau CVM) diambil dari TVM atau CVM

Tidak

Tidak ada tindakan yang diperlukan

kembali ke atas 

Memantau status pembaruan

Pemantauan dan penyebaran untuk pembaruan sertifikat Boot Aman di Azure Peluncuran Tepercaya dan mesin virtual Rahasia mengikuti panduan pelayanan Windows yang sama yang digunakan untuk perangkat fisik dan virtual. 

Untuk panduan pemantauan mendetail, termasuk cara menginventarasikan perangkat, memverifikasi pembaruan variabel firmware, dan melacak kemajuan pembaruan, lihat Secure Boot Playbook untuk Windows Server dan https://aka.ms/GetSecureBoot.

Menyebarkan pembaruan

Pembaruan sertifikat Boot Aman untuk Azure Peluncuran Tepercaya dan Mesin virtual Rahasia dimulai dari dalam sistem operasi tamu menggunakan layanan Windows.  

Ikuti panduan penggunaan dalam Secure Boot Playbook untuk Windows Server untuk:

  • penyebaran otomatis melalui Windows Update

  • Metode penyebaran yang dimulai TI

  • kunci registri pelayanan

  • penyebaran pengurutan

Saat menggunakan gambar mesin virtual kustom atau yang digunakan kembali, lihat Pertimbangan gambar emas dalam artikel ini sebelum memajukan Windows Boot Manager. 

kembali ke atas

Sumber daya

Jika Anda memiliki paket dukungan dan memerlukan bantuan teknis, silakan kirim permintaan dukungan. 

kembali ke atas

Mengubah log

Ubah tanggal

Ubah deskripsi

13 Mei 2026

Tidak ada perubahan dalam artikel ini

kembali ke atas

Facebook LinkedIn Email

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas