Opprinnelig publiseringsdato: 13. mai 2026 kl.
KB-ID: 5085395
Denne artikkelen har veiledning for:
-
Azure klarerte oppstarts-Virtual Machines (TVM) og konfidensielle virtuelle maskiner (CVM) som kjører Windows med sikker oppstart aktivert.
-
Hvis du vil ha en fullstendig liste over støttede Windows-operativsystemer, kan du se artikkelen Klarert lansering for Azure virtuelle maskiner
I denne artikkelen:
Innledning
Sikker oppstart er en UEFI-fastvaresikkerhetsfunksjon som bidrar til å sikre at bare klarert, digitalt signert programvare kjører under enhetsoppstartssekvensen. Microsoft Secure Boot-sertifikater utstedt i 2011 begynner å utløpe i juni 2026.
Hvis du vil opprettholde beskyttelse for sikker oppstart og fortsatt service av den tidlige oppstartsprosessen, må Azure klarerte oppstarts- og konfidensielle virtuelle maskiner oppdateres med begge følgende:
-
Sertifikater for sikker oppstart 2023 i virtuell fastvare
-
En Windows Boot Manager signert av de oppdaterte sertifikatene
Disse komponentene fungerer sammen: Sertifikatene etablerer klarering i virtuell fastvare, og Oppstartsbehandling må oppdateres for å kunne signeres av denne klareringen.
For å forhindre hull i beskyttelsen må du kontrollere at begge komponentene oppdateres og starte oppdateringer der det er nødvendig.
Hvis en virtuell maskin fortsetter å være avhengig av 2011-sertifikatene etter utløp, kan den fortsette å starte opp og motta standard Windows-oppdateringer. Den vil imidlertid ikke lenger motta nye sikkerhetsbeskyttelser for den tidlige oppstartsprosessen, inkludert oppdateringer for Windows Boot Manager, Secure Boot-databaser og tilbakekallingslister eller begrensninger for nylig oppdagede sikkerhetsproblemer på oppstartsnivå.
Hvis du vil ha mer informasjon, kan du se Når sertifikater for sikker oppstart utløper på Windows-enheter.
Identifiser scenarioer som krever handling
I de fleste tilfeller bruker Windows sertifikater for sikker oppstart 2023 automatisk gjennom månedlige oppdateringer på kvalifiserte enheter, inkludert støttede Azure klarerte oppstarts- og konfidensielle virtuelle maskiner med sikker oppstart aktivert. Noen vm-er kvalifiserer kanskje ikke for automatisk distribusjon hvis tilstrekkelige kompatibilitetssignaler ikke er tilgjengelige. I slike tilfeller kan det være nødvendig med administrative tiltak for å starte oppdateringer fra gjesteoperativsystemet. Hvis du vil ha mer informasjon om hvordan du får oppdateringer for sertifikater for sikker oppstart, kan du gå til: Oppdateringer for sertifikater for sikker oppstart: Veiledning for IT-teknikere og organisasjoner.
Oppdateringer for sikker oppstart for Azure klarerte oppstarts- og konfidensielle virtuelle maskiner involverer to komponenter:
-
Sertifikater for sikker oppstart lagret i virtuell fastvare (plattformadministrert)
-
Windows Boot Manager (gjeste-OS-administrert)
Virtuelle maskiner opprettet etter mars 2024 inkluderer vanligvis allerede Secure Boot 2023-sertifikater i virtuell fastvare. Disse VM-ene krever vanligvis bare en Windows Boot Manager-oppdatering.
Langvarige virtuelle maskiner som ble opprettet før mars 2024, inkluderer ikke sertifikater for sikker oppstart 2023 i virtuell fastvare og krever oppdateringer for både Secure Boot-sertifikater og Windows Boot Manager.
Oppdateringsoperasjoner startes fra gjesteoperativsystemet via Windows-service og er avhengig av plattformstøtte for å bruke godkjente oppdateringer på variabler for sikker oppstart i virtuell fastvare.
Når du har identifisert gjeldende scenarioer, lager du miljøet ditt for å finne ut hvilke vm-er som krever oppdateringer.
Handlinger kreves:
-
Sørg for at gjeste-VM-er oppdateres med Windows-oppdateringen for mars 2026 eller nyere (april 2026 eller nyere hvis du bruker hurtigoppdatering). Se mer: Hotpatch for Windows Server.
-
Kontroller at alle Azure klarerte oppstarts- og konfidensielle VIRTUELLE-er har sertifikater for sikker oppstart 2023 og en oppdatert Windows Boot Manager.
-
Start oppdateringer fra gjesteoperativsystemet for å bruke sertifikat for sikker oppstart og oppdateringer for Windows Boot Manager der det er nødvendig.
-
Overvåk hendelsesloggene for Windows System: Hendelses-ID 1808 og hendelses-ID 1801 eller overvåk UEFICA2023Status-registernøkkelen for å bekrefte om oppdaterte sertifikater for sikker oppstart er brukt, og om Windows Boot Manager er oppdatert.
For enheter som ikke har brukt disse oppdateringene, kan du bruke overvåkings- og distribusjonsmetodene som er beskrevet i strategiplanen for sikker oppstart, Windows Server secure boot-strategiplanen for sertifikater som utløper i 2026, og på https://aka.ms/GetSecureBoot for fullstendig veiledning.
vurderinger for Azure gjeste-VM
Se gjennom følgende scenarioer og nødvendige handlinger for øktverter:
|
VM-scenario |
Sikker oppstart aktiv? |
Handling kreves |
|
TVM eller CVM med sikker oppstart aktivert |
Ja |
Oppdater sertifikater for sikker oppstart og Windows Boot Manager |
|
TVM med sikker oppstart deaktivert |
Nei |
Ingen handling er nødvendig |
|
Generasjon 1 VM |
Støttes ikke |
Ingen handling er nødvendig |
Obs!: Standard vm-er av sikkerhetstype har ikke sikker oppstart aktivert.
Vurderinger av gylne bilder
Se gjennom følgende scenarioer og nødvendige handlinger for bilder:
Obs!: Azure Marketplace-bilder gir forhåndskonfigurerte startpunkter, vanilje eller utgivernes standardbilder, mens Azure Compute Gallery-bilder brukes til å lagre og distribuere tilpassede bilder. I begge tilfeller tar bilder Windows Boot Manager, men inkluderer ikke fastvarevarvariabler for sikker oppstart, som brukes på virtuelt maskinnivå.
Azure Compute Gallery og administrerte bilder registrerer operativsystem og oppstartslastertilstand, inkludert Windows Boot Manager, men inkluderer ikke secure boot-fastvarevarvariabler. Sertifikater for sikker oppstart, for eksempel oppdateringer til databasen for sikker oppstart (DB) eller nøkkelutvekslingsnøkler (KEK), lagres i den virtuelle fastvaren til den distribuerte virtuelle maskinen og registreres ikke under bildegeneralisering.
Bruk av oppdateringer for sikker oppstart i et gyllent bilde fremmer Windows Boot Manager, men opprettholder ikke sertifikater for sikker oppstart på virtuelle maskiner som er klargjort fra dette bildet. Hvis du utfører denne oppdateringen, vil imidlertid Oppstartsbehandling for Windows gå videre i bildet.
Handlinger kreves:
-
Bruk sikker oppstart 2023-oppdateringen på det gylne bildet før du tar det opp. Obs!: Dette fremmer Windows Boot Manager, men vil ikke vedvare sertifikater for sikker oppstart til distribuerte virtuelle maskiner.
-
Start den virtuelle maskinen på nytt etter behov for å tillate at oppstartsbehandlingsoppdateringen gjelder.
-
Kontroller at oppdateringen er fullført før du generaliserer bildet ved å kjøre følgende PowerShell-kommando og bekrefte at verdien er satt til Oppdatert:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Oppdatering av Windows Boot Manager i et gyllent bilde gjelder oppdateringen for virtuelle maskiner som distribueres eller distribueres på nytt ved hjelp av bildet. Nylig klargjorte Azure klarerte oppstarts- og konfidensielle virtuelle maskiner inkluderer secure boot 2023-sertifikater i virtuell fastvare og kan trygt bruke gylne bilder med den oppdaterte Windows Boot Manager.
Bildebaserte omplasseringer på eksisterende virtuelle maskiner som ble opprettet før mars 2024, kan imidlertid bruke den oppdaterte Windows Boot Manager på virtuelle maskiner hvis fastvare ennå ikke stoler på tilsvarende Secure Boot 2023-sertifikater. I slike tilfeller bør du bruke sertifikatoppdateringer for sikker oppstart i gjesteoperativsystemet før du går videre med Windows Boot Manager.
Andre Azure ressurshensyn
|
Azure ressurs |
Opprettet før april 2024? |
Handling kreves |
|---|---|---|
|
Sikkerhetskopi/øyeblikksbilde av TVM eller CVM |
Ja |
Starte den virtuelle maskinen, bruke oppdateringer og deretter gjenerobre |
|
Sikkerhetskopi/øyeblikksbilde av TVM eller CVM |
Nei |
Ingen handling er nødvendig |
|
Azure Bilde av databehandlingsgalleri med (bildesikkerhetstype = TL eller CVM) fanger opp fra TVM eller CVM |
Ja |
Starte den virtuelle maskinen, bruke oppdateringer og deretter gjenerobre |
|
Azure Bilde av databehandlingsgalleri med (bildesikkerhetstype = TL eller CVM) fanger opp fra TVM eller CVM |
Nei |
Ingen handling er nødvendig |
Overvåk oppdateringsstatus
Overvåking og distribusjon for oppdateringer av sertifikater for sikker oppstart i Azure klarerte lanseringen og konfidensielle virtuelle maskiner følger den samme Windows-serviceveiledningen som brukes for fysiske og virtualiserte enheter.
Hvis du vil ha detaljert overvåkingsveiledning, inkludert hvordan du lager enheter, bekrefter oppdateringer for fastvarevaren og sporer oppdateringsfremdrift, kan du se strategiplanen for sikker oppstart for Windows Server og https://aka.ms/GetSecureBoot.
Distribuer oppdateringer
Sertifikatoppdateringer for sikker oppstart for Azure klarert oppstart og konfidensielle virtuelle maskiner startes fra gjesteoperativsystemet ved hjelp av Windows-service.
Følg distribusjonsveiledningen i strategiplanen for sikker oppstart for Windows Server for:
-
automatisk distribusjon via Windows Update
-
IT-initierte distribusjonsmetoder
-
vedlikehold av registernøkler
-
sekvensering av distribusjon
Når du bruker egendefinerte eller gjenbrukte virtuelle maskinbilder, kan du se vurderinger av golden image i denne artikkelen før du går videre med Windows Boot Manager.
Ressurser
-
Bokmerke Få sikker oppstart for mer informasjon om denne endringen, detaljert veiledning for administrasjon av sertifikatoppdateringen for sikker oppstart og svar på vanlige spørsmål.
-
Oppdateringer for sertifikat for sikker oppstart: Veiledning for IT-teknikere og organisasjoner
-
Hvis du vil ha mer informasjon om hendelseslogghendelser, kan du se hendelser for variabel oppdatering av sikker oppstart og DBX.
-
Hvis du vil ha mer informasjon om registernøkler for sikker oppstart, kan du se Registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer.
Hvis du har en støtteplan og trenger teknisk hjelp, kan du sende inn en støtteforespørsel.
Endre logg
|
Endre dato |
Endre beskrivelse |
|
13. mai 2026 kl. |
Det er ingen endringer i denne artikkelen |
