Taikoma
Virtual Machine running Linux

Pradinė publikavimo data: 2026 m. birželio 12 d.

KB ID: 5103014

Taikoma:

"Azure Trusted Launch" virtualiosios mašinos ir konfidencialios virtualiosios mašinos, kuriose veikia "Linux" su įgalinta saugia įkrova

Visą patikimo paleidimo palaikomų OS sąrašą rasite šioje nuorodoje: Patikimas paleidimas "Azure" VM – "Azure" virtualiosios mašinos | "Microsoft Learn"

Visą palaikomų OS, skirtų konfidencialioms virtualioms mašinoms, sąrašą rasite šiame saite: Apie "Azure" konfidencialias virtualiąsias mašinas | "Microsoft Learn"

Šiame straipsnyje

Įvadas

Saugioji įkrova yra UEFI programinės-aparatinės įrangos saugos funkcija, padedanti užtikrinti, kad VM įkrovos sekos metu veiktų tik patikima, skaitmeniniu parašu pasirašyta programinė įranga. 2011 m. išduoti "Microsoft" saugiosios įkrovos sertifikatai pradeda galioti 2026 m. birželio mėn. 

Norint išlaikyti saugiosios įkrovos apsaugą ir nuolatinę ankstyvosios įkrovos proceso priežiūrą, "Azure Trusted Launch", kurioje veikia "Linux", turi būti atnaujinta saugiosios įkrovos 2023 db ir KEK sertifikatais virtualioje UEFI programinėje-aparatinėje įrangoje. Konfidencialios virtualiosios mašinos, skirtos "Linux" "Azure" sistemoje su senais sertifikatais, turi būti sukurtos iš naujo. 

Jei VM ir toliau remsis 2011 metų sertifikatais pasibaigus galiojimo laikui, ji ir toliau veiks. Tačiau jis nebegaus naujų saugos apsaugos priemonių tarpinių atnaujinimų ir būsimų sertifikatų bei atšaukimų pavidalu. 

Scenarijų, kuriems reikia imtis veiksmų, nustatymas 

Peržiūrėkite toliau nurodytus scenarijus, kad nustatytumėte, ar reikia imtis veiksmų. 

  • "Linux" patikimos paleidimo virtualiosios mašinos (TVM) arba konfidencialios virtualiosios mašinos (CVM), sukurtos iki 2024 m. balandžio mėn.

  • "Azure" skaičiavimo galerija vaizdai, užfiksuoti iš senesnių (iki 2024 m. balandžio mėn.) "Linux" patikimos paleidimo arba konfidencialių virtualiųjų mašinų

  • "Linux Trusted Launch" arba konfidencialių virtualių mašinų, sukurtų iki 2024 m. balandžio mėn., momentinės nuotraukos arba atsarginės kopijos

  • Konfidencialios virtualiosios mašinos, sukurtos iki 2024 m. balandžio mėn. iš didelių dvejetainių objektų, importuotos kaip saugusis diskas.

Patikimo paleidimo ir konfidencialios virtualiosios mašinos, sukurtos po 2024 m. balandžio mėn., paprastai jau apima saugiosios įkrovos 2023 sertifikatus virtualioje UEFI programinėje-aparatinėje įrangoje.

Pastaba: Iki 2024 m. balandžio mėn. sukurtos "Linux" konfidencialios virtualiosios mašinos neturėtų būti atnaujinamos rankiniu būdu, nes konfidencialaus disko šifravimas priklauso nuo vTPM PCR7 vertės, kuri apskaičiuojama pagal saugios įkrovos kintamuosius. Atnaujinus saugiosios įkrovos sertifikatus neužtikrinus FDE rakto pakartotinio užplombavimo, konfidenciali VM pradės veikti atkūrimo režimu. Norint gauti naujus sertifikatus, rekomenduojama atkurti tokias senas konfidencialias virtualias mašinas.

"Azure" svečio VM aspektai 

Saugios įkrovos naujinimai, skirti "Linux" "Azure" VM, apima du komponentus: 

  • Saugios įkrovos sertifikatai virtualioje programinėje įrangoje (įdiegiami rankiniu būdu per OS pateiktus įrankius arba automatiškai per saugos naujinimus)

  • Linux Shim ir bootloader atnaujinimai (distribucija pardavėjas valdomas)

Naujinimo operacijos pradedamos svečio operacinėje sistemoje ir priklauso nuo platformos palaikymo, kad būtų galima pritaikyti autentifikuotus naujinimus saugiosios įkrovos kintamiesiems. 

Nustatę taikytinus scenarijus, inventorizuokite aplinką, kad nustatytumėte, kurias virtualiąsias mašinas reikia atnaujinti. 

Reikia imtis veiksmų 

Visoms "Azure" svečių virtualiosioms mašinoms:

  • Patikrinkite, ar virtualioje UEFI programinėje-aparatinėje įrangoje yra saugiosios įkrovos 2023 sertifikatų

Patikimos paleidimo virtualiosios mašinos:

  • Inicijuokite atnaujinimus iš "Linux" svečio VM operacinės sistemos, jei reikia, pagal savo distribucijos tiekėjo rekomenduojamas gaires ir įrankius.

  • "Linux" VM atnaujinimai turi būti taikomi teisinga tvarka.

    Svarbu: Visada atnaujinkite saugiosios įkrovos programinę-aparatinę įrangą (UEFI kintamuosius) prieš naujindami tarpiklį arba įkrovos programą. 

  • Atnaujinus tarpiklį prieš atnaujinant programinę-aparatinę įrangą, gali sugesti įkrova.

konfidencialioms virtualioms mašinoms:

Naujinimų diegimas 

Saugiojo paleidimo sertifikato atnaujinimai, skirti "Linux" "Azure" VM, inicijuojami svečio operacinėje sistemoje. Šie naujinimai skiriasi priklausomai nuo platinimo pardavėjų, todėl klientai pirmiausia turėtų pasitarti su savo platinimo pardavėju dėl rekomenduojamo metodo.  

"Linux OS" pardavėjų rekomendacijos: 

​​​​​​​​​​​​​​

"Azure" rekomendacijos konfidencialioms virtualiosioms mašinoms:

  • Iki 2024 m. balandžio mėn. sukurtų BTM skaičius yra labai mažas. Jei jūsų konfidenciali VM yra viena iš nedaugelio, neturinčių naujų sertifikatų, atlikite veiksmus, kad iš naujo sukurtumėte CVM.

Programinės-aparatinės įrangos naujinimo būdai 

Pastaba: Prieš bandydami UEFI kintamųjų naujinimus tiesiogiai gamybos virtualiosiose mašinose, klientai gali naudoti "Azure" greito pasirengimo darbui šabloną, kad imituotų "Linux Trusted Launch" VM su senesniais 2011 UEFI CA sertifikatais.

Naudojant fwupd 

Įsitikinkite, kad VM įdiegta fwupd 2.0.8 arba naujesnė versija. 

Norėdami atnaujinti KEK ir db, vykdykite šias komandas naudodami fwupdmgr:

sudo fwupdmgr atnaujinti

sudo fwupdmgr atnaujinimas

"efitools" naudojimas 

Atsisiųskite db ir KEK naujinimo paketus, skirtus "Azure".

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Naudokite efi-updatevar naujinimų paketams įdiegti

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

sudo perkrovimas

Naudojant sbsigntools 

Atsisiųskite db ir KEK naujinimo paketus, skirtus "Azure". 

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Naudokite sbsigntools sbkeysync įrankį, kad įdiegtumėte naujinimo paketus:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

sudo perkrovimas

Tikrinimo metodai 

Naudojant mokutil 

  • mokutil --DB | grep "UEFI CA 2023"

  • mokutil --kek | grep "KEK 2K CA 2023"

"efitools" naudojimas 

  • efi-readvar -v db | grep "UEFI CA 2023"

  • efi-readvar -v KEK | grep "KEK 2K CA 2023"

  • ​​​​​​​​​​​​​​

"Linux" įkrovos grandinės atnaujinimas 

Po sėkmingo programinės įrangos atnaujinimo saugu taikyti "Linux" platinimo pardavėjų tarpinius naujinimus. 

Kiti "Azure" išteklių aspektai

Azure išteklius

Sukurta iki 2024 m. balandžio mėn.

TVM reikalingi veiksmai

Veiksmai, kuriuos reikia atlikti CVM

Atsarginė kopija / momentinė kopija

Taip

Paleiskite VM, taikykite naujinimus, užfiksuokite iš naujo

CVM atkūrimas, fiksavimas iš naujo

Atsarginė kopija / momentinė kopija

Ne

Nereikia atlikti jokių veiksmų

Nereikia atlikti jokių veiksmų

Skaičiavimo galerijos vaizdas

Taip

Diegimas, naujinimas, paėmimas iš naujo

CVM atkūrimas, fiksavimas iš naujo

Skaičiavimo galerijos vaizdas

Ne

Nereikia atlikti jokių veiksmų

Nereikia atlikti jokių veiksmų

Naujinimo būsenos stebėjimas 

Patikrinkite naujinimus per svečio OS: 

  • Patikrinkite sėkmingą įkrovą po naujinimų

  • Įsitikinkite, kad programinėje-aparatinėje įrangoje yra saugiosios įkrovos sertifikatų

Stebėjimo ir patvirtinimo metodai gali skirtis priklausomai nuo Linux platinimo, todėl turėtumėte pasitarti su platinimo tiekėju. 

Rizikos mažinimo veiksmai įvykus įkrovos trikčiai 

Įvykus trikties scenarijui, pvz., nepavykus paleisti UEFI kintamojo naujinimo, UEFI parametrus galite nustatyti iš naujo vienu iš toliau nurodytų būdų: 

  1. Atkurkite padarytą atsarginę kopiją prieš pradėdami neautomatinio naujinimo procesą.

  2. Konvertuokite Trusted Launch VM į Standard VM ir iš naujo pritaikykite Trusted Launch saugos tipą VM. (Daugiau informacijos čia: Įgalinti "Trusted launch" esamose "Gen2" VM – "Azure" virtualiosiose mašinose | "Microsoft Learn")

  3. Eksportuokite OS vhd į saugyklos paskyrą, sukurkite galerijos vaizdąiš vhd ir įdiekite VM naudodami galerijosvaizdo versiją.

​​​​​​​​​​​​​​Trečiosios šalies informacijos atsakomybės atsisakymas

Šiame straipsnyje aptariamus trečiųjų šalių produktus gamina nuo bendrovės „Microsoft“ nepriklausomos įmonės. Šių produktų veikimui ar patikimumui mes netaikome jokių numanomų ar kitokių garantijų.

Teikiame trečiųjų šalių kontaktinę informaciją, kad padėtume jums gauti techninę pagalbą. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame šios trečiųjų šalių kontaktinės informacijos tikslumo.

Pakeitimų žurnalas

Datos keitimas

Keitimų aprašas

2026 m. birželio 18 d.

Nuorodos buvo pridėtos prie skyriaus "Linux OS pardavėjų rekomendacijos".

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras