원래 게시 날짜: 2026년 5월 13일

KB ID: 5085395

이 문서에는 다음 지침이 있습니다. 

  • 보안 부팅이 사용하도록 설정된 Windows를 실행하는 TVM(신뢰할 수 있는 시작 Virtual Machines) 및 CVM(기밀 VM)을 Azure.

  • 지원되는 Windows 운영 체제의 전체 목록은 Azure 가상 머신에 대한 신뢰할 수 있는 시작 문서를 참조하세요.

이 문서에서는 다음을 수행합니다.

소개

보안 부팅은 디바이스 부팅 시퀀스 중에 신뢰할 수 있는 디지털 서명된 소프트웨어만 실행되도록 하는 UEFI 펌웨어 보안 기능입니다. 2011년에 발급된 Microsoft 보안 부팅 인증서는 2026년 6월에 만료되기 시작합니다. 

보안 부팅 보호 및 초기 부팅 프로세스의 지속적인 서비스를 유지하려면 Azure 신뢰할 수 있는 시작 및 기밀 가상 머신을 다음 둘 다로 업데이트해야 합니다. 

  • 가상 펌웨어의 보안 부팅 2023 인증서

  • 업데이트된 인증서로 서명된 Windows 부팅 관리자

이러한 구성 요소는 함께 작동합니다. 인증서는 가상 펌웨어에 대한 신뢰를 설정하고 부팅 관리자는 해당 신뢰에 의해 서명되도록 업데이트해야 합니다. 

보호의 격차를 방지하려면 두 구성 요소가 모두 업데이트되었는지 확인하고 필요한 경우 업데이트를 시작합니다. 

VM이 만료 후에도 2011 인증서를 계속 사용하는 경우 계속 부팅하고 표준 Windows 업데이트를 받을 수 있습니다. 그러나 Windows 부팅 관리자 업데이트, 보안 부팅 데이터베이스 및 해지 목록 또는 새로 검색된 부팅 수준 취약성에 대한 완화를 포함하여 초기 부팅 프로세스에 대한 새로운 보안 보호를 더 이상 받지 못합니다. 

자세한 내용은 Windows 디바이스에서 보안 부팅 인증서가 만료되는 경우를 참조하세요.

맨 위로 

작업이 필요한 시나리오 식별

대부분의 경우 Windows는 지원되는 Azure 신뢰할 수 있는 시작 및 보안 부팅을 사용하도록 설정된 기밀 VM을 포함하여 적격 디바이스의 월별 업데이트를 통해 보안 부팅 2023 인증서를 자동으로 적용합니다. 충분한 호환성 신호를 사용할 수 없는 경우 일부 VM은 자동 배포에 적합하지 않을 수 있습니다. 이러한 경우 게스트 운영 체제 내에서 업데이트를 시작하려면 관리 작업이 필요할 수 있습니다. 보안 부팅 인증서 업데이트를 가져오는 방법에 대한 자세한 내용은 보안 부팅 인증서 업데이트: IT 전문가 및 조직을 위한 지침을 참조하세요.

Azure 신뢰할 수 있는 시작 및 기밀 VM에 대한 보안 부팅 업데이트에는 다음 두 가지 구성 요소가 포함됩니다. 

  • 가상 펌웨어에 저장된 보안 부팅 인증서(플랫폼 관리)

  • Windows 부팅 관리자(게스트 OS 관리)

2024년 3월 이후에 생성된 가상 머신에는 일반적으로 가상 펌웨어에 보안 부팅 2023 인증서가 이미 포함되어 있습니다. 이러한 VM에는 일반적으로 Windows 부팅 관리자 업데이트만 필요합니다. 

2024년 3월 이전에 만든 장기 실행 가상 머신은 가상 펌웨어에 보안 부팅 2023 인증서를 포함하지 않으며 보안 부팅 인증서와 Windows 부팅 관리자 모두에 대한 업데이트가 필요합니다. 

업데이트 작업은 Windows 서비스를 통해 게스트 운영 체제 내에서 시작되며 플랫폼 지원을 사용하여 가상 펌웨어의 보안 부팅 변수에 인증된 업데이트를 적용합니다. 

해당 시나리오를 식별한 후 환경을 인벤토리에 추가하여 업데이트가 필요한 VM을 결정합니다. 

필요한 작업: 

  • 게스트 VM이 2026년 3월 Windows 업데이트 이상으로 업데이트되었는지 확인합니다(핫패치를 사용하는 경우 2026년 4월 이상). 자세한 내용은 Windows Server 핫패치를 참조하세요.

  • 모든 Azure 신뢰할 수 있는 시작 및 기밀 VM에 보안 부팅 2023 인증서와 업데이트된 Windows 부팅 관리자가 있는지 확인합니다.

  • 필요한 경우 게스트 운영 체제 내에서 업데이트를 시작하여 보안 부팅 인증서 및 Windows 부팅 관리자 업데이트를 적용합니다.

  • Windows 시스템 이벤트 로그: 이벤트 ID 1808이벤트 ID 1801을 감사하거나 UEFICA2023Status 레지스트리 키를 모니터링하여 업데이트된 보안 부팅 인증서가 적용되었는지 여부와 Windows 부팅 관리자가 업데이트되었는지 확인합니다.

이러한 업데이트를 적용하지 않은 디바이스의 경우 보안 부팅 플레이북에 설명된 모니터링 및 배포 방법, 2026년에 만료되는 인증서에 대한 보안 부팅 플레이북 Windows Server, https://aka.ms/GetSecureBoot 전체 지침을 사용합니다. 

맨 위로

게스트 VM 고려 사항 Azure

세션 호스트에 대해 다음 시나리오 및 필요한 작업을 검토합니다.

VM 시나리오

보안 부팅 활성?

작업 필요

보안 부팅을 사용하도록 설정된 TVM 또는 CVM

보안 부팅 인증서 및 Windows 부팅 관리자 업데이트

보안 부팅을 사용하지 않도록 설정된 TVM

아니요

작업이 필요하지 않음

1세대 VM

지원되지 않음

작업이 필요하지 않음

참고: Standard 보안 유형 VM에는 보안 부팅이 사용하도록 설정되어 있지 않습니다. 

맨 위로

골든 이미지 고려 사항

이미지에 대해 다음 시나리오 및 필요한 작업을 검토합니다.

참고: Azure Marketplace 이미지는 미리 구성된 시작 지점, 바닐라 또는 게시자의 기본 이미지를 제공하며, Azure Compute Gallery 이미지는 사용자 지정된 이미지를 저장하고 배포하는 데 사용됩니다. 두 경우 모두 이미지는 Windows 부팅 관리자를 캡처하지만 가상 머신 수준에서 적용되는 보안 부팅 펌웨어 변수는 포함하지 않습니다.

이미지에 작업이 필요한지 여부를 확인하기 위한 순서도

Azure 컴퓨팅 갤러리 및 관리되는 이미지는 Windows 부팅 관리자를 포함하여 운영 체제 및 부팅 로더 상태를 캡처하지만 보안 부팅 펌웨어 변수는 포함하지 않습니다. 보안 부팅 인증서(예: 보안 부팅 데이터베이스(DB) 또는 KEK(키 교환 키)에 대한 업데이트는 배포된 가상 머신의 가상 펌웨어에 저장되며 이미지 일반화 중에 캡처되지 않습니다. 

골든 이미지 내에서 보안 부팅 업데이트를 적용하면 Windows 부팅 관리자가 발전하지만 해당 이미지에서 프로비전된 가상 머신에 보안 부팅 인증서를 유지하지는 않습니다. 그러나 이 업데이트를 수행하면 이미지 내에서 Windows 부팅 관리자가 진행됩니다.

필요한 작업:

  • 캡처하기 전에 보안 부팅 2023 업데이트를 골든 이미지에 적용합니다. 참고: 이렇게 하면 Windows 부팅 관리자가 발전하지만 보안 부팅 인증서를 배포된 가상 머신에 유지하지 않습니다.

  • 부팅 관리자 업데이트를 적용할 수 있도록 필요에 따라 VM을 다시 시작합니다.

  • 다음 PowerShell 명령을 실행하고 값이 업데이트됨으로 설정되어 있는지 확인하여 이미지를 일반화하기 전에 업데이트가 완료되었는지 확인 합니다.

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status 

골든 이미지 내에서 Windows 부팅 관리자를 업데이트하면 해당 업데이트가 이미지를 사용하여 배포되거나 다시 배포된 가상 머신에 적용됩니다. 새로 프로비전된 Azure 신뢰할 수 있는 시작 및 기밀 가상 머신에는 가상 펌웨어의 보안 부팅 2023 인증서가 포함되며 업데이트된 Windows 부팅 관리자에서 골든 이미지를 안전하게 사용할 수 있습니다. 

그러나 2024년 3월 이전에 만든 기존 가상 머신에 이미지 기반 재배포는 펌웨어가 해당 보안 부팅 2023 인증서를 아직 신뢰하지 않는 VM에 업데이트된 Windows 부팅 관리자를 적용할 수 있습니다. 이러한 경우 Windows 부팅 관리자를 진행하기 전에 게스트 운영 체제 내에서 보안 부팅 인증서 업데이트를 적용해야 합니다.

맨 위로 

기타 Azure 리소스 고려 사항

리소스 Azure

2024년 4월 이전에 만들었나요?

작업 필요

TVM 또는 CVM의 백업/스냅샷

VM을 부팅하고 업데이트를 적용한 다음 다시 캡처

TVM 또는 CVM의 백업/스냅샷

아니요

작업이 필요하지 않음

Azure TVM 또는 CVM에서 (이미지 보안 유형 = TL 또는 CVM) 캡처를 사용하여 컴퓨팅 갤러리 이미지 캡처

VM을 부팅하고 업데이트를 적용한 다음 다시 캡처

Azure TVM 또는 CVM에서 (이미지 보안 유형 = TL 또는 CVM) 캡처를 사용하여 컴퓨팅 갤러리 이미지 캡처

아니요

작업이 필요하지 않음

맨 위로 

업데이트 상태 모니터링

Azure 신뢰할 수 있는 시작 및 기밀 가상 머신에서 보안 부팅 인증서 업데이트에 대한 모니터링 및 배포는 물리적 및 가상화된 디바이스에 사용되는 것과 동일한 Windows 서비스 지침을 따릅니다. 

디바이스를 인벤토리하고, 펌웨어 변수 업데이트를 확인하고, 업데이트 진행률을 추적하는 방법을 비롯한 자세한 모니터링 지침은 Windows Server 및 https://aka.ms/GetSecureBoot 보안 부팅 플레이북을 참조하세요.

업데이트 배포

Azure 신뢰할 수 있는 시작 및 기밀 가상 머신에 대한 보안 부팅 인증서 업데이트는 Windows 서비스를 사용하여 게스트 운영 체제 내에서 시작됩니다.  

Windows Server 보안 부팅 플레이북의 배포 지침을 따릅니다.

  • Windows 업데이트 통한 자동 배포

  • IT 시작 배포 방법

  • 레지스트리 키 서비스

  • 배포 시퀀싱

사용자 지정 또는 재사용된 가상 머신 이미지를 사용하는 경우 Windows 부팅 관리자를 진행하기 전에 이 문서의 골든 이미지 고려 사항을 참조하세요. 

맨 위로

리소스

지원 계획이 있고 기술 지원이 필요한 경우 지원 요청을 제출하세요. 

맨 위로

로그 변경

날짜 변경

설명 변경

2026년 5월 13일

이 문서에는 변경 내용이 없습니다.

맨 위로

Facebook LinkedIn 전자 메일

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터