Sākotnējais publicēšanas datums: 2026. gada 13. maijs

KB ID: 5085395

Šajā rakstā ir norādījumi par: 

  • Azure uzticamās palaišanas virtuālās mašīnas (TVM) un konfidenciālas virtuālās mašīnas (CVM), kurās darbojas operētājsistēma Windows ar iespējotu drošo sāknēšanu.

  • Pilnu atbalstīto Windows operētājsistēmu sarakstu skatiet rakstā: Uzticama palaišana Azure virtuālajām mašīnām

Šajā rakstā:

Ievads

Drošā palaišana ir UEFI aparātprogrammatūras drošības līdzeklis, kas palīdz nodrošināt, ka tikai uzticama programmatūra ar ciparparakstu darbojas ierīces sāknēšanas laikā. 2011. gadā izdoto Microsoft drošās palaišanas sertifikātu derīgums sākas 2026. gada jūnijā. 

Lai uzturētu drošu palaišanas aizsardzību un turpinātu agrīnās palaišanas procesa apkopi, Azure uzticamās palaišanas un konfidenciālās virtuālās mašīnas ir jāatjaunina ar abiem šiem elementiem: 

  • Drošās palaišanas 2023 sertifikāti virtuālajā programmaparatūrā

  • Windows palaišanas pārvaldnieks, kas parakstīts ar atjauninātajiem sertifikātiem

Šie komponenti darbojas kopā: sertifikāti izveido uzticamību virtuālajai aparātprogrammatūrai, un palaišanas pārvaldnieks ir jāatjaunina, lai to parakstītu šī uzticamība. 

Lai palīdzētu novērst aizsardzības trūkumus, pārbaudiet, vai abi komponenti ir atjaunināti, un, ja nepieciešams, uzsāciet atjauninājumus. 

Ja VM turpina paļauties uz 2011. gada sertifikātiem pēc derīguma beigām, tā var turpināt sāknēšanu un saņemt standarta Windows atjauninājumus. Tomēr tas vairs nesaņems jaunu drošības aizsardzību agrīnās palaišanas procesam, tostarp Windows palaišanas pārvaldnieka atjauninājumus, drošās palaišanas datu bāzes un atsaukšanas sarakstus vai jaunatklāto palaišanas līmeņa ievainojamību mazinājumus. 

Lai uzzinātu vairāk, skatiet sadaļu Kad Windows ierīcēs beidzas derīguma termiņš drošās palaišanas sertifikātiem.

atpakaļ uz sākumu 

Identificējiet scenārijus, kuros nepieciešama rīcība

Vairumā gadījumu Windows automātiski lieto Secure Boot 2023 sertifikātus, veicot ikmēneša atjauninājumus piemērotās ierīcēs, tostarp atbalstītajās Azure uzticamās palaišanas un konfidenciālajās VM ar iespējotu drošo sāknēšanu. Dažas virtuālās mašīnas var nebūt piemērotas automātiskai izvietošanai, ja nav pieejami pietiekami saderības signāli. Šādos gadījumos var būt nepieciešama administratīva darbība, lai sāktu atjauninājumus viesa operētājsistēmā. Lai iegūtu papildinformāciju par to, kā iegūt drošās palaišanas sertifikātu atjauninājumus, apmeklējiet: Drošās palaišanas sertifikāta atjauninājumi: norādes IT speciālistiem un organizācijām.

Azure uzticamās palaišanas un konfidenciālo virtuālo mašīnu drošās palaišanas atjauninājumi ietver divus komponentus: 

  • Drošās palaišanas sertifikāti, kas tiek glabāti virtuālajā aparātprogrammatūrā (pārvaldīti platformā)

  • Windows palaišanas pārvaldnieks (viesa operētājsistēmas pārvaldīts)

Virtuālajās mašīnās, kas izveidotas pēc 2024. gada marta, parasti jau ir iekļauti 2023. gada drošās palaišanas sertifikāti virtuālajā aparātprogrammatūrā. Šīm virtuālajām mašīnām parasti ir nepieciešams tikai Windows palaišanas pārvaldnieka atjauninājums. 

Ilgstošas darbības virtuālās mašīnas, kas izveidotas pirms 2024. gada marta, neiekļauj 2023. gada drošās palaišanas sertifikātus virtuālajā aparātprogrammatūrā, un tām ir nepieciešami gan drošās palaišanas sertifikātu, gan Windows palaišanas pārvaldnieka atjauninājumi. 

Atjaunināšanas darbības tiek sāktas viesa operētājsistēmā, izmantojot Windows apkalpošanu, un tās nodrošina platformas atbalstu, lai lietotu autentificētus atjauninājumus drošās palaišanas mainīgajiem virtuālajā aparātatūrā. 

Pēc piemērojamo scenāriju identificēšanas inventarizējiet savu vidi, lai noteiktu, kurām VM ir nepieciešami atjauninājumi. 

Veicamās darbības: 

  • Pārliecinieties, vai viesu virtuālās mašīnas ir atjauninātas ar 2026. gada marta Windows atjauninājumu vai jaunāku versiju (2026. gada aprīli vai jaunāku versiju, ja izmantojat karsto ielāpošanu). Skatīt vairāk: Hotpatch for Windows Server.

  • Pārbaudiet, vai visām Azure uzticamajām palaišanas un konfidenciālajām virtuālajām mašīnām ir drošās palaišanas 2023 sertifikāti un atjaunināts Windows palaišanas pārvaldnieks.

  • Uzsāciet atjauninājumus no viesa operētājsistēmas, lai lietotu drošās palaišanas sertifikātu un Windows palaišanas pārvaldnieka atjauninājumus, ja nepieciešams.

  • Auditējiet Windows sistēmas notikumu žurnālus: notikuma ID 1808 un notikuma ID 1801 vai pārraugiet reģistra atslēgu UEFICA2023Status, lai pārliecinātos, vai ir lietoti atjaunināti drošās palaišanas sertifikāti un vai ir atjaunināts Windows palaišanas pārvaldnieks.

Ierīcēm, kurās nav lietoti šie atjauninājumi, izmantojiet pārraudzības un izvietošanas metodes, kas aprakstītas drošās palaišanas rokasgrāmatāWindows Server Drošās palaišanas rokasgrāmatā sertifikātiem, kuru derīguma termiņš beidzas 2026. gadā, un https://aka.ms/GetSecureBoot lai saņemtu pilnīgus norādījumus. 

atpakaļ uz sākumu

Azure viesa virtuālās mašīnas izmantošanas apsvērumi

Pārskatiet tālāk norādītos scenārijus un nepieciešamo darbību sesiju rīkotājiem:

VM scenārijs

Vai drošā sāknēšana ir aktīva?

Nepieciešama darbība

TVM vai CVM ar iespējotu drošo sāknēšanu

Drošās palaišanas sertifikātu un Windows palaišanas pārvaldnieka atjaunināšana

TVM ar atspējotu drošo sāknēšanu

Nav jāveic nekādas darbības

1. paaudze VM

Netiek atbalstīts

Nav jāveic nekādas darbības

Piezīme.: Standard drošības tipa virtuālajām mašīnām nav iespējota drošā sāknēšana. 

atpakaļ uz sākumu

Zeltaina attēla apsvērumi

Pārskatiet tālāk norādītos scenārijus un nepieciešamās darbības attēliem:

Piezīme.: Azure Marketplace attēli nodrošina iepriekš konfigurētus sākumpunktus, vaniļas vai izdevēju noklusējuma attēlus, savukārt Azure Compute Gallery attēli tiek izmantoti pielāgotu attēlu glabāšanai un izplatīšanai. Abos gadījumos attēli tver Windows palaišanas pārvaldnieku, bet neietver drošās palaišanas aparātprogrammatūras mainīgos, kas tiek lietoti virtuālās mašīnas līmenī.

Blokshēma, lai noteiktu, vai ir jāveic darbības ar attēliem

Azure skaitļošanas galerija un pārvaldītie attēli tver operētājsistēmas un palaišanas ielādētāja stāvokli, tostarp Windows palaišanas pārvaldnieku, bet neietver drošās palaišanas aparātprogrammatūras mainīgos. Drošās palaišanas sertifikāti, piemēram, drošās palaišanas datu bāzes (Secure Boot database — DB) vai atslēgu apmaiņas atslēgu (key exchange keys — KEK) atjauninājumi, tiek glabāti izvietotās virtuālās mašīnas virtuālajā aparātprogrammatūrā un netiek tverti attēla vispārināšanas laikā. 

Lietojot drošās palaišanas atjauninājumus zelta attēlā, Windows palaišanas pārvaldnieks tiek uzlabots, bet drošās palaišanas sertifikāti netiek saglabāti virtuālajās mašīnās, kas tiek nodrošinātas no šī attēla. Tomēr, veicot šo atjauninājumu, attēlā tiek uzlabota Windows palaišanas pārvaldnieka darbība.

Veicamās darbības:

  • Pirms tveršanas zeltainam attēlam lietojiet drošās palaišanas 2023. gada atjauninājumu. Piezīme. Tādējādi tiek uzlabots Windows palaišanas pārvaldnieks, bet drošās palaišanas sertifikāti netiks saglabāti izvietotajās virtuālajās mašīnās.

  • Restartējiet VM pēc nepieciešamības, lai atļautu sākt sāknēšanas pārvaldnieka atjauninājumu.

  • Pirms attēla vispārināšanas pārbaudiet, vai atjaunināšana ir pabeigta, izpildot šādu PowerShell komandu un apstiprinot, ka vērtība ir iestatīta kā Atjaunināts:

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status 

Windows palaišanas pārvaldnieka atjaunināšana zelta attēlā attiecas uz virtuālajām mašīnām, kas izvietotas vai atkārtoti izvietotas, izmantojot attēlu. Nesen nodrošinātās Azure uzticamās palaišanas un konfidenciālās virtuālās mašīnas ietver Secure Boot 2023 sertifikātus virtuālajā programmaparatūrā un var droši izmantot zelta attēlus ar atjaunināto Windows sāknēšanas pārvaldnieku. 

Tomēr, uz attēliem balstīta atkārtota izvietošana esošajās virtuālajās mašīnās, kas izveidotas pirms 2024. gada marta, var lietot atjaunināto Windows palaišanas pārvaldnieku VM, kuru aparātprogrammatūra vēl neuzticas atbilstošajiem drošās palaišanas 2023 sertifikātiem. Šādos gadījumos drošās palaišanas sertifikāta atjauninājumi jālieto viesa operētājsistēmā pirms Windows palaišanas pārvaldnieka jaunināšanas.

atpakaļ uz sākumu 

Citi apsvērumi saistībā ar Azure resursiem

Azure resource

Vai izveidots pirms 2024. gada aprīļa?

Nepieciešama darbība

TVM vai CVM dublējums/momentuzņēmums

Sāknējiet VM, lietojiet atjauninājumus un pēc tam atkārtoti tveriet

TVM vai CVM dublējums/momentuzņēmums

Nav jāveic nekādas darbības

Azure skaitļošanas galerijas attēlu tvērumi ar (attēla drošības tips = TL vai CVM) tvērumiem no TVM vai CVM

Sāknējiet VM, lietojiet atjauninājumus un pēc tam atkārtoti tveriet

Azure skaitļošanas galerijas attēlu tvērumi ar (attēla drošības tips = TL vai CVM) tvērumiem no TVM vai CVM

Nav jāveic nekādas darbības

atpakaļ uz sākumu 

Atjaunināšanas statusa pārraudzība

Drošās palaišanas sertifikātu atjauninājumu pārraudzība un izvietošana Azure uzticamās palaišanas un konfidenciālajās virtuālajās mašīnās notiek saskaņā ar tiem pašiem Windows apkopes norādījumiem, kas tiek izmantoti fiziskām un virtualizētām ierīcēm. 

Detalizētus pārraudzības norādījumus, tostarp par to, kā veikt ierīču inventarizāciju, pārbaudīt aparātprogrammatūras mainīgo atjauninājumus un izsekot atjaunināšanas norisi, skatiet drošās palaišanas rokasgrāmatu Windows Server un https://aka.ms/GetSecureBoot.

Atjauninājumu izvietošana

Azure uzticamās palaišanas un konfidenciālo virtuālo mašīnu drošās palaišanas sertifikāta atjauninājumi tiek iniciēti viesa operētājsistēmā, izmantojot Windows apkalpošanu.  

Izpildiet izvietošanas norādījumus drošās palaišanas rokasgrāmatā operētājsistēmai Windows Server:

  • automātiska izvietošana, izmantojot Windows Update

  • IT iniciētas izvietošanas metodes

  • Reģistra atslēgu apkope

  • Izvietošanas secība

Izmantojot pielāgotus vai atkārtoti izmantotus virtuālās mašīnas attēlus, pirms Windows palaišanas pārvaldnieka jaunināšanas skatiet šajā rakstā iekļautos zelta attēlu apsvērumus

atpakaļ uz sākumu

Resursi

Ja jums ir atbalsta plāns un jums ir nepieciešama tehniskā palīdzība, lūdzu, iesniedziet atbalsta pieprasījumu. 

atpakaļ uz sākumu

Izmaiņu žurnāls

Mainīt datumu

Izmaiņu apraksts

2026. gada 13. maijs

Šajā rakstā nav izmaiņu

atpakaļ uz sākumu

Facebook LinkedIn E-pasts

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs