Data di pubblicazione originale: 13 maggio 2026
ID KB: 5085395
Questo articolo contiene indicazioni per:
-
Azure'avvio attendibile Macchine virtuali (TVM) e le macchine virtuali riservate (CVM) che eseguono Windows con Avvio protetto abilitato.
-
Per l'elenco completo dei sistemi operativi Windows supportati, vedere l'articolo: Avvio attendibile per macchine virtuali Azure
In questo articolo:
Introduzione
Avvio protetto è una funzionalità di sicurezza del firmware UEFI che garantisce l'esecuzione solo di software attendibile con firma digitale durante la sequenza di avvio del dispositivo. I certificati di Microsoft Secure Boot emessi nel 2011 iniziano a scadere a giugno 2026.
Per mantenere le protezioni di avvio protetto e la manutenzione continua del processo di avvio anticipato, Azure avvio attendibile e le macchine virtuali riservate devono essere aggiornate con entrambe le opzioni seguenti:
-
Certificati di avvio protetto 2023 nel firmware virtuale
-
Un Boot Manager di Windows firmato dai certificati aggiornati
Questi componenti interagiscono: i certificati stabiliscono l'attendibilità nel firmware virtuale e boot manager deve essere aggiornato per essere firmato da tale trust.
Per evitare lacune nella protezione, verificare che entrambi i componenti vengano aggiornati e avviare gli aggiornamenti, se necessario.
Se una macchina virtuale continua a fare affidamento sui certificati 2011 dopo la scadenza, può continuare ad avviare e ricevere gli aggiornamenti standard di Windows. Tuttavia, non riceverà più nuove protezioni di sicurezza per il processo di avvio anticipato, inclusi gli aggiornamenti a Windows Boot Manager, i database di avvio protetto e gli elenchi di revoche o le misure di prevenzione per le vulnerabilità a livello di avvio individuate di recente.
Per ulteriori informazioni, vedi Quando scadono i certificati di avvio protetto nei dispositivi Windows.
Identificare gli scenari che richiedono un intervento
Nella maggior parte dei casi, Windows applica automaticamente i certificati di avvio protetto 2023 tramite aggiornamenti mensili sui dispositivi idonei, tra cui avvio attendibile supportato Azure e macchine virtuali riservate con avvio protetto abilitato. Alcune macchine virtuali potrebbero non essere idonee per la distribuzione automatica se non sono disponibili sufficienti segnali di compatibilità. In questi casi, potrebbe essere necessaria un'azione amministrativa per avviare gli aggiornamenti dall'interno del sistema operativo guest. Per altre informazioni su come ottenere gli aggiornamenti dei certificati di avvio protetto, visita: Aggiornamenti del certificato di avvio protetto: linee guida per professionisti IT e organizzazioni.
Gli aggiornamenti di avvio protetto per Azure avvio attendibile e le macchine virtuali riservate includono due componenti:
-
Certificati di avvio protetto archiviati nel firmware virtuale (gestiti dalla piattaforma)
-
Windows Boot Manager (sistema operativo guest gestito)
Le macchine virtuali create dopo marzo 2024 in genere includono già i certificati di avvio protetto 2023 nel firmware virtuale. Queste macchine virtuali richiedono in genere solo un aggiornamento di Windows Boot Manager.
Le macchine virtuali a esecuzione prolungata create prima di marzo 2024 non includono i certificati di avvio protetto 2023 nel firmware virtuale e richiedono gli aggiornamenti sia dei certificati di avvio protetto che di Windows Boot Manager.
Le operazioni di aggiornamento vengono avviate dall'interno del sistema operativo guest tramite la manutenzione di Windows e si basano sul supporto della piattaforma per applicare gli aggiornamenti autenticati alle variabili di avvio protetto nel firmware virtuale.
Dopo aver identificato gli scenari applicabili, creare un inventario dell'ambiente per determinare quali macchine virtuali richiedono aggiornamenti.
Azioni richieste:
-
Assicurarsi che le macchine virtuali guest vengano aggiornate con l'aggiornamento di Windows di marzo 2026 o versione successiva (aprile 2026 o versione successiva se si usa l'hotpatch). Vedi altro: Hotpatch per Windows Server.
-
Verifica che tutti i Azure avvio attendibile e le macchine virtuali riservate dispongano dei certificati di avvio protetto 2023 e di un Boot Manager di Windows aggiornato.
-
Avvia aggiornamenti dall'interno del sistema operativo guest per applicare il certificato di avvio protetto e gli aggiornamenti di Windows Boot Manager, se necessario.
-
Controllare i registri eventi di sistema di Windows: ID evento 1808 e ID evento 1801 o monitorare la chiave del Registro di sistema UEFICA2023Status per verificare se sono stati applicati certificati di avvio protetto aggiornati e se Gestione avvio di Windows è stato aggiornato.
Per i dispositivi che non hanno applicato questi aggiornamenti, utilizza i metodi di monitoraggio e distribuzione descritti nel playbook di avvio protetto, Windows Server playbook di avvio protetto per i certificati che scadono nel 2026 e all'https://aka.ms/GetSecureBoot per istruzioni complete.
considerazioni sulla macchina virtuale guest Azure
Esaminare gli scenari seguenti e le azioni necessarie per gli host di sessione:
|
Scenario macchina virtuale |
Avvio protetto attivo? |
Azione richiesta |
|
TVM o CVM con Avvio protetto abilitato |
Sì |
Aggiornare i certificati di avvio protetto e Windows Boot Manager |
|
TVM con avvio protetto disabilitato |
No |
Nessuna azione necessaria |
|
Macchina virtuale di generazione 1 |
Non supportato |
Nessuna azione necessaria |
Nota: Standard per le macchine virtuali di tipo sicurezza non è abilitato l'avvio protetto.
Considerazioni sull'immagine aurea
Esaminare gli scenari seguenti e le azioni necessarie per le immagini:
Nota: Azure le immagini di Marketplace forniscono punti di partenza preconfigurati, immagini predefinite di vanilla o degli editori, mentre le immagini Azure Compute Gallery vengono usate per archiviare e distribuire immagini personalizzate. In entrambi i casi, le immagini acquisiscono Windows Boot Manager, ma non includono le variabili firmware di avvio protetto, che vengono applicate a livello di macchina virtuale.
Azure compute gallery and managed images capture operating system and boot loader state, including Windows Boot Manager, but not include secure boot firmware variables. I certificati di avvio protetto, ad esempio gli aggiornamenti del database di avvio protetto (DB) o le chiavi di scambio di chiavi (KEK), vengono archiviati nel firmware virtuale della macchina virtuale distribuita e non vengono acquisiti durante la generalizzazione delle immagini.
L'applicazione di aggiornamenti di avvio protetto all'interno di un'immagine dorata consente di far avanzare Windows Boot Manager, ma non mantiene i certificati di avvio protetto alle macchine virtuali di cui è stato eseguito il provisioning da tale immagine. Tuttavia, l'esecuzione di questo aggiornamento comporta l'avanzamento di Windows Boot Manager all'interno dell'immagine.
Azioni richieste:
-
Applica l'aggiornamento secure boot 2023 all'immagine dorata prima di acquisirlo. Nota: In questo modo, Windows Boot Manager verrà aggiornato, ma i certificati di avvio protetto non verranno mantenuti nelle macchine virtuali distribuite.
-
Riavvia la macchina virtuale in base alle esigenze per consentire l'applicazione dell'aggiornamento di Boot Manager.
-
Verifica che l'aggiornamento sia stato completato prima di generalizzare l'immagine eseguendo il comando di PowerShell seguente e confermando che il valore è impostato su Aggiornato:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
L'aggiornamento di Windows Boot Manager all'interno di un'immagine dorata si applica l'aggiornamento alle macchine virtuali distribuite o ridistribuite con l'immagine. Il nuovo provisioning di Azure avvio attendibile e delle macchine virtuali riservate include i certificati di avvio protetto 2023 nel firmware virtuale e può usare in modo sicuro immagini dorate con l'aggiornamento di Windows Boot Manager.
Tuttavia, le ridistribuzioni basate su immagini in macchine virtuali esistenti create prima di marzo 2024 potrebbero applicare l'aggiornamento di Windows Boot Manager alle macchine virtuali il cui firmware non considera ancora attendibili i certificati di avvio protetto 2023 corrispondenti. In questi casi, gli aggiornamenti del certificato di avvio protetto devono essere applicati all'interno del sistema operativo guest prima di passare a Windows Boot Manager.
Considerazioni su altre risorse Azure
|
Azure risorsa |
Creato prima di aprile 2024? |
Azione necessaria |
|---|---|---|
|
Backup/snapshot di TVM o CVM |
Sì |
Avvia la macchina virtuale, applica gli aggiornamenti e quindi riconquista |
|
Backup/snapshot di TVM o CVM |
No |
Nessuna azione necessaria |
|
Azure'immagine della Raccolta calcoli acquisisce con (tipo di sicurezza immagine = TL o CVM) le acquisizioni da TVM o CVM |
Sì |
Avvia la macchina virtuale, applica gli aggiornamenti e quindi riconquista |
|
Azure'immagine della Raccolta calcoli acquisisce con (tipo di sicurezza immagine = TL o CVM) le acquisizioni da TVM o CVM |
No |
Nessuna azione necessaria |
Monitorare lo stato dell'aggiornamento
Il monitoraggio e la distribuzione degli aggiornamenti dei certificati di avvio protetto in Azure avvio attendibile e le macchine virtuali riservate seguono le stesse linee guida per la manutenzione di Windows usate per i dispositivi fisici e virtualizzati.
Per istruzioni dettagliate sul monitoraggio, tra cui come inventariare i dispositivi, verificare gli aggiornamenti delle variabili del firmware e tenere traccia dello stato degli aggiornamenti, vedi Secure Boot Playbook per Windows Server e https://aka.ms/GetSecureBoot.
Distribuire gli aggiornamenti
Gli aggiornamenti dei certificati di avvio protetto per Azure avvio attendibile e le macchine virtuali riservate vengono avviati dall'interno del sistema operativo guest usando la manutenzione di Windows.
Segui le istruzioni per la distribuzione in Secure Boot Playbook per Windows Server per:
-
distribuzione automatica tramite Windows Update
-
Metodi di distribuzione avviati dall'IT
-
chiavi del Registro di sistema di manutenzione
-
sequenziazione della distribuzione
Quando usi immagini di macchine virtuali personalizzate o riutilizzate, vedi Considerazioni sulle immagini golden in questo articolo prima di passare a Windows Boot Manager.
Risorse
-
Segnalibro Ottieni avvio protetto per altre informazioni su questa modifica, indicazioni dettagliate per la gestione dell'aggiornamento del certificato di avvio protetto e risposte alle domande frequenti.
-
Aggiornamenti del certificato di avvio protetto: linee guida per professionisti IT e organizzazioni
-
Per altri dettagli sugli eventi del registro eventi, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto.
-
Per altri dettagli sulle chiavi del Registro di sistema di avvio protetto, vedi Aggiornamenti delle chiavi del Registro di sistema per avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT.
Se hai un piano di supporto e hai bisogno di assistenza tecnica, invia una richiesta di supporto.
Registro delle modifiche
|
Modifica data |
Modificare la descrizione |
|
13 maggio 2026 |
Non ci sono modifiche in questo articolo |
