Saugiosios įkrovos naujinimas nuo 2011 m. iki 2023 m. sertifikatai: patikimo paleidimo virtualiosios mašinos (TVM) ir konfidencialios virtualiosios mašinos (CVM)

Įvadas

Saugioji įkrova yra UEFI programinės-aparatinės įrangos saugos funkcija, padedanti užtikrinti, kad įrenginio paleidimo sekos metu veiktų tik patikima, skaitmeniniu parašu pasirašyta programinė įranga. 2011 m. išduoti "Microsoft" saugiosios įkrovos sertifikatai pradeda galioti 2026 m. birželio mėn.

Norint išlaikyti saugiosios įkrovos apsaugą ir nuolatinę ankstyvosios įkrovos proceso priežiūrą, "Azure Trusted Launch" ir konfidencialios virtualiosios mašinos turi būti atnaujintos abiem šiomis priemonėmis:

"Secure Boot 2023" sertifikatai virtualioje programinėje įrangoje
"Windows" įkrovos tvarkytuvas, pasirašytas atnaujintais sertifikatais

Šie komponentai veikia kartu: sertifikatai sukuria pasitikėjimą virtualia programine-aparatine įranga ir įkrovos tvarkytuvas turi būti atnaujintas, kad būtų pasirašytas šio patikimumo agento.

Norėdami išvengti apsaugos spragų, patikrinkite, ar abu komponentai yra atnaujinti ir, jei reikia, pradėkite naujinimus.

Jei VM ir toliau remiasi 2011 m. sertifikatais pasibaigus galiojimui, ji gali toliau paleisti ir gauti standartinius "Windows" naujinimus. Tačiau jis nebegaus naujų apsaugos priemonių ankstyvosios įkrovos metu, įskaitant "Windows" įkrovos tvarkytuvo, saugiosios įkrovos duomenų bazių ir atšaukimo sąrašų naujinimus arba naujai atrastų įkrovos lygio pažeidžiamumų mažinimo priemones.

Norėdami sužinoti daugiau, žr. Kada saugiosios įkrovos sertifikatų galiojimo laikas baigiasi "Windows" įrenginiuose.

Atgal į viršų

Scenarijų, kuriems reikia imtis veiksmų, nustatymas

Daugeliu atvejų "Windows" taiko saugios įkrovos 2023 sertifikatus automatiškai, naudodama mėnesinius naujinimus reikalavimus atitinkančiuose įrenginiuose, įskaitant palaikomas "Azure Trusted Launch" ir konfidencialias VM su įjungta saugia įkrova. Kai kurios virtualiosios mašinos gali neatitikti automatinio diegimo reikalavimų, jei nėra pakankamai suderinamumo signalų. Tokiais atvejais gali prireikti administracinių veiksmų, kad būtų pradėti naujinimai svečio operacinėje sistemoje. Norėdami gauti daugiau informacijos, kaip gauti saugiosios įkrovos sertifikatų naujinimus, apsilankykite: Saugiosios įkrovos sertifikato naujinimai: rekomendacijos IT specialistams ir organizacijoms.

"Azure Trusted Launch" ir konfidencialių VM saugiosios įkrovos naujinimai apima du komponentus:

Saugiosios įkrovos sertifikatai, saugomi virtualiojoje programinėje-aparatinėje įrangoje (valdoma platformos)
"Windows" įkrovos tvarkytuvas (svečio OS valdomas)

Virtualiose mašinose, sukurtose po 2024 m. kovo mėn., virtualioje programinėje įrangoje paprastai jau yra "Secure Boot 2023" sertifikatai. Šioms virtualioms mašinoms paprastai reikia tik "Windows" įkrovos tvarkytuvo naujinimo.

Ilgai veikiančios virtualiosios mašinos, sukurtos iki 2024 m. kovo mėn., virtualiojoje programinėje įrangoje neapima saugiosios įkrovos 2023 sertifikatų ir reikalauja saugiosios įkrovos sertifikatų bei "Windows" įkrovos tvarkytuvo naujinimų.

Naujinimo operacijos pradedamos svečio operacinėje sistemoje naudojant "Windows" priežiūrą ir priklauso nuo platformos palaikymo, kad būtų galima pritaikyti autentifikuotus naujinimus virtualiosios programinės-aparatinės įrangos saugiosios įkrovos kintamiesiems.

Nustatę taikytinus scenarijus, inventorizuokite aplinką, kad nustatytumėte, kurias virtualiąsias mašinas reikia atnaujinti.

Reikalingi veiksmai:

Įsitikinkite, kad svečio virtualiosios mašinos yra atnaujintos naudojant 2026 m. kovo mėn. "Windows" naujinimą arba naujesnę versiją (2026 m. balandžio mėn. arba vėliau, jei naudojate naujausios pataisos). Žr. daugiau: "Windows Server" pataisa.
Patikrinkite, ar visos "Azure Trusted Launch" ir konfidencialios virtualiosios mašinos turi saugiosios įkrovos 2023 sertifikatus ir atnaujintą "Windows" įkrovos tvarkytuvą.
Inicijuoti naujinimus svečio operacinėje sistemoje, kad prireikus būtų taikomas saugiosios įkrovos sertifikatas ir "Windows" įkrovos tvarkytuvo naujinimai.
Audituokite "Windows" sistemos įvykių žurnalus: įvykio ID 1808 ir įvykio ID 1801 arba stebėkite UEFICA2023Status registro raktą, kad įsitikintumėte, ar buvo pritaikyti atnaujinti saugiosios įkrovos sertifikatai ir ar atnaujintas "Windows" įkrovos tvarkytuvas.

Įrenginiuose, kuriuose šie naujinimai nepritaikyti, naudokite stebėjimo ir diegimo metodus, aprašytus saugiosios įkrovos vadove Windows Server saugiosios įkrovos žaidimų knygoje, jei sertifikatai baigia galioti 2026 m., ir https://aka.ms/GetSecureBoot, kad gautumėte išsamias rekomendacijas.

Atgal į viršų

"Azure" svečio VM aspektai

Peržiūrėkite toliau nurodytus scenarijus ir būtinus veiksmus seanso rengėjams:

VM scenarijus	Aktyvi saugioji įkrova?	Būtinas veiksmas
TVM arba CVM su įjungta saugia įkrova	Taip	Saugiosios įkrovos sertifikatų ir "Windows" įkrovos tvarkytuvo naujinimas
TVM su išjungta saugia įkrova	Ne	Nereikia atlikti jokių veiksmų
1 karta VM	Nepalaikoma	Nereikia atlikti jokių veiksmų

Pastaba: Standard saugos tipo VM nėra įgalinta saugi įkrova.

Atgal į viršų

Auksinio įvaizdžio aspektai

Peržiūrėkite šiuos scenarijus ir būtinus veiksmus su vaizdais:

Pastaba: "Azure Marketplace" vaizdai pateikia iš anksto sukonfigūruotus pradžios taškus, standartinius arba leidėjų numatytuosius vaizdus, o "Azure Compute Gallery" vaizdai naudojami tinkintiems vaizdams saugoti ir platinti. Abiem atvejais vaizdai fiksuoja "Windows" įkrovos tvarkytuvą, bet neapima saugiosios įkrovos programinės-aparatinės įrangos kintamųjų, kurie taikomi virtualiosios mašinos lygiu.

Flowchart for determination if action is need with images

"Azure" skaičiavimo galerija ir valdomi vaizdai fiksuoja operacinės sistemos ir įkrovos įkelties programos būseną, įskaitant "Windows" įkrovos tvarkytuvą, tačiau neapima saugiosios įkrovos programinės-aparatinės įrangos kintamųjų. Saugiosios įkrovos sertifikatai, pvz., saugiosios įkrovos duomenų bazės (DB) arba raktų keitimo raktų (KEK) naujinimai, saugomi įdiegtos virtualiosios mašinos virtualiojoje programinėje aparatinėje įrangoje ir neužfiksuojami apibendrinant vaizdą.

Auksiniame vaizde pritaikius saugiosios įkrovos naujinimus, "Windows" įkrovos tvarkytuvas pažengia į priekį, tačiau neišlaiko saugiosios įkrovos sertifikatų virtualiosiose mašinose, parengtose iš to vaizdo. Tačiau atlikus šį naujinimą, "Windows" įkrovos tvarkytuvas pažengia į priekį vaizde.

Reikalingi veiksmai:

Prieš užfiksuodami auksiniam vaizdui pritaikykite "Secure Boot 2023" naujinimą. Pastaba: Tokiu būdu bus patobulintas "Windows" įkrovos tvarkytuvas, tačiau saugiosios įkrovos sertifikatai neišliks įdiegtose virtualiosiose mašinose.
Iš naujo paleiskite VM, jei reikia, kad būtų taikomas įkrovos tvarkytuvo naujinimas.
Prieš apibendrindami vaizdą, patikrinkite, ar naujinimas baigtas, vykdydami šią "PowerShell" komandą ir patvirtindami, kad reikšmė nustatyta kaip Atnaujinta:

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Atnaujinus "Windows" įkrovos tvarkytuvą auksiniame vaizde, šis naujinimas taikomas virtualiosioms mašinoms, įdiegtoms arba iš naujo įdiegtoms naudojant vaizdą. Naujai parengtose "Azure Trusted Launch" ir konfidencialiose virtualiosiose mašinose yra saugios įkrovos 2023 sertifikatai virtualiojoje programinėje įrangoje ir gali saugiai naudoti auksinius vaizdus su atnaujinta "Windows" įkrovos tvarkytuve.

Tačiau vaizdais pagrįstas pakartotinis diegimas esamose virtualiosiose mašinose, sukurtose iki 2024 m. kovo mėn., gali pritaikyti atnaujintą "Windows" įkrovos tvarkytuvą VM, kurių programinė-aparatinė įranga dar nepasitiki atitinkamais saugiosios įkrovos 2023 sertifikatais. Tokiais atvejais saugiojo paleidimo sertifikato naujinimai turėtų būti taikomi svečio operacinėje sistemoje prieš perkeliant "Windows" įkrovos tvarkytuvą.

Atgal į viršų

Kiti "Azure" išteklių aspektai

Azure išteklius	Sukurta iki 2024 m. balandžio mėn.?	Reikiami veiksmai
TVM arba CVM atsarginė kopija / momentinė kopija	Taip	Paleiskite VM, taikykite naujinimus, tada užfiksuokite iš naujo
TVM arba CVM atsarginė kopija / momentinė kopija	Ne	Nereikia atlikti jokių veiksmų
"Azure" skaičiavimo galerijos vaizdai užfiksuoti su (vaizdo saugos tipas = TL arba CVM) iš TVM arba CVM	Taip	Paleiskite VM, taikykite naujinimus, tada užfiksuokite iš naujo
"Azure" skaičiavimo galerijos vaizdai užfiksuoti su (vaizdo saugos tipas = TL arba CVM) iš TVM arba CVM	Ne	Nereikia atlikti jokių veiksmų

Atgal į viršų

Naujinimo būsenos stebėjimas

Saugiojo paleidimo sertifikato naujinimų stebėjimas ir diegimas "Azure Trusted Launch" ir konfidencialiose virtualiosiose mašinose atitinka tas pačias "Windows" priežiūros rekomendacijas, kurios taikomos fiziniams ir virtualiems įrenginiams.

Išsamias stebėjimo gaires, įskaitant tai, kaip inventorizuoti įrenginius, patikrinti programinės-aparatinės įrangos kintamųjų naujinimus ir sekti naujinimo eigą, žr. Saugiosios įkrovos vadovą, skirtą Windows Server ir https://aka.ms/GetSecureBoot.

Naujinimų diegimas

Saugiojo paleidimo sertifikato naujinimai, skirti "Azure Trusted Launch" ir konfidencialioms virtualiosioms mašinoms, inicijuojami svečio operacinėje sistemoje naudojant "Windows" techninę priežiūrą.

Vykdykite diegimo nurodymus, pateikiamus "Secure Boot Playbook for Windows Server":

automatinis diegimas per „Windows Update“
IT inicijuoti diegimo metodai
Registro raktų aptarnavimas
Diegimo seka

Jei naudojate pasirinktinius arba pakartotinai naudojamus virtualiųjų mašinų vaizdus, prieš tobulindami "Windows" įkrovos tvarkytuvą, žr. šiame straipsnyje pateiktą auksinio vaizdo informaciją.

Atgal į viršų

Ištekliai

Žymelė Gaukite saugiąją įkrovą Daugiau informacijos apie šį pakeitimą, išsamias saugiosios įkrovos sertifikato naujinimo valdymo gaires ir atsakymus į dažnai užduodamus klausimus.
Saugios įkrovos Playbook for Windows Server
Saugiosios įkrovos sertifikato naujinimai: rekomendacijos IT specialistams ir organizacijoms
Daugiau informacijos apie įvykių žurnalo įvykius žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.
Daugiau informacijos apie saugiosios įkrovos registro raktus žr. Registro raktų naujinimai, skirti saugiai įkrovai: "Windows" įrenginiai su IT valdomais naujinimais.

Jei turite palaikymo planą ir reikia techninės pagalbos, pateikite palaikymo užklausą. 

Atgal į viršų

Pakeitimų žurnalas

Datos keitimas	Keitimų aprašas
2026 m. gegužės 13 d.	Šiame straipsnyje pakeitimų nėra

Atgal į viršų

Saugiosios įkrovos naujinimas nuo 2011 m. iki 2023 m. sertifikatai: patikimo paleidimo virtualiosios mašinos (TVM) ir konfidencialios virtualiosios mašinos (CVM)

Įvadas

Scenarijų, kuriems reikia imtis veiksmų, nustatymas

"Azure" svečio VM aspektai

Auksinio įvaizdžio aspektai

Kiti "Azure" išteklių aspektai

Naujinimo būsenos stebėjimas

Naujinimų diegimas

Ištekliai

Pakeitimų žurnalas

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimą!