Opmerking
- Oorspronkelijke publicatiedatum: 13 mei 2026
- KB-id: 5085395
Opmerking
Dit artikel bevat richtlijnen voor:
- Azure Trusted Launch Virtual Machines (TVM) en Confidential VM's (CVM) met Windows met Secure Boot ingeschakeld.
- Zie het artikel voor de volledige lijst met ondersteunde Windows-besturingssystemen: Trusted Launch voor virtuele Azure-machines
In dit artikel:
Inleiding
Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van het apparaat. Microsoft Secure Boot-certificaten die zijn uitgegeven in 2011, verlopen in juni 2026.
Om de beveiliging van beveiligd opstarten te behouden en het vroege opstartproces te blijven onderhouden, moeten virtuele machines van Azure Trusted Launch en Confidential worden bijgewerkt met de volgende services:
- Secure Boot 2023-certificaten in virtuele firmware
- Een Windows Boot Manager ondertekend door de bijgewerkte certificaten
Deze onderdelen werken samen: de certificaten zorgen voor vertrouwen in virtuele firmware en Boot Manager moet worden bijgewerkt om door die vertrouwenspersoon te worden ondertekend.
Om hiaten in de beveiliging te helpen voorkomen, controleert u of beide onderdelen zijn bijgewerkt en start u waar nodig updates.
Als een VM na de vervaldatum blijft vertrouwen op de 2011-certificaten, kan deze blijven opstarten en standaard Windows-updates blijven ontvangen. Er worden echter geen nieuwe beveiligingsmaatregelen meer getroffen voor het proces voor vroeg opstarten, waaronder updates voor Windows Opstartbeheer, databases voor beveiligd opstarten en intrekkingslijsten, of oplossingen voor nieuw ontdekte kwetsbaarheden op opstartniveau.
Zie voor meer informatieWanneer certificaten voor beveiligd opstarten verlopen op Windows-apparaten.
Identificeer scenario's die actie vereisen
In de meeste gevallen past Windows de certificaten voor Secure Boot 2023 automatisch toe via maandelijkse updates op in aanmerking komende apparaten, waaronder ondersteunde Azure Trusted Launch en Confidential VM's met Secure Boot ingeschakeld. Sommige VM's komen mogelijk niet in aanmerking voor automatische implementatie als er onvoldoende compatibiliteitssignalen beschikbaar zijn. In deze gevallen kan het zijn dat er beheerdersmaatregelen nodig zijn om updates te starten vanuit het gastbesturingssysteem. Ga voor meer informatie over het verkrijgen van updates voor Secure Boot-certificaten naar: Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties.
Updates voor beveiligd opstarten voor Azure Trusted Launch en Confidential VM's bestaan uit twee componenten:
- Certificaten voor beveiligd opstarten opgeslagen in virtuele firmware (door platform beheerd)
- Windows Boot Manager (beheerd door een gastbesturingssysteem)
Virtuele machines die na maart 2024 zijn gemaakt, bevatten doorgaans al de certificaten voor Secure Boot 2023 in virtuele firmware. Voor deze VM's is doorgaans alleen een update van Windows Opstartbeheer vereist.
Langlopende virtuele machines die vóór maart 2024 zijn gemaakt, bevatten de certificaten voor Secure Boot 2023 niet in de virtuele firmware en vereisen updates voor zowel certificaten voor Secure Boot als Windows Boot Manager.
Updatebewerkingen worden geïnitieerd vanuit het gastbesturingssysteem via Windows-onderhoud en zijn afhankelijk van platformondersteuning om geverifieerde updates toe te passen op variabelen voor beveiligd opstarten in virtuele firmware.
Nadat u de toepasselijke scenario's hebt geïdentificeerd, inventariseert u de omgeving om te bepalen welke VM's updates nodig hebben.
Vereiste acties:
- Zorg ervoor dat gast-VM's worden bijgewerkt met de Windows-update van maart 2026 of later (april 2026 of later als u hotpatching gebruikt). Meer informatie: Hotpatch voor Windows Server.
- Controleer of alle Azure Trusted Launch en Confidential VM's de certificaten voor Secure Boot 2023 en een bijgewerkte Windows Boot Manager hebben.
- Start updates vanuit het gastbesturingssysteem om waar nodig het Secure Boot-certificaat en updates van Windows Boot Manager toe te passen.
- Controleer de gebeurtenislogboeken van het Windows-systeem: gebeurtenis-id 1808 en gebeurtenis-id 1801 of controleer de registersleutel UEFICA2023Status om te bevestigen of bijgewerkte certificaten voor beveiligd opstarten zijn toegepast en of Windows Boot Manager is bijgewerkt.
Gebruik voor apparaten waarop deze updates niet zijn toegepast de bewakings- en implementatiemethoden die worden beschreven in de playbook voor beveiligd opstarten, Windows Server playbook voor beveiligd opstarten voor certificaten die in 2026 verlopen en bij https://aka.ms/GetSecureBoot voor volledige richtlijnen.
Azure overwegingen voor gast-VM's
Bekijk de volgende scenario's en vereiste acties voor sessiehosts:
| VM-scenario | Actief beveiligd opstarten? | Actie vereist |
|---|---|---|
| TVM of CVM met Secure Boot ingeschakeld | Ja | Certificaten voor Secure Boot en Windows Boot Manager bijwerken |
| TVM met Secure Boot uitgeschakeld | Nee | Geen actie nodig |
| VM van generatie 1 | Niet ondersteund | Geen actie nodig |
Opmerking
Op standaard-VM's van het beveiligingstype is Beveiligd opstarten niet ingeschakeld.
Aandachtspunten voor gouden afbeeldingen
Bekijk de volgende scenario's en vereiste acties voor afbeeldingen:
Opmerking
Azure Marketplace-installatiekopieën bieden vooraf geconfigureerde startpunten, standaard of standaardafbeeldingen van uitgevers, terwijl Azure Compute Gallery-installatiekopieën worden gebruikt om aangepaste installatiekopieën op te slaan en te distribueren. In beide gevallen leggen installatiekopieën Windows Boot Manager vast, maar bevatten ze geen firmwarevariabelen voor beveiligd opstarten, die worden toegepast op het niveau van de virtuele machine.
Azure Compute Gallery en beheerde installatiekopieën leggen de status van het besturingssysteem en het opstartlaadprogramma vast, inclusief Windows Boot Manager, maar bevatten geen firmwarevariabelen voor Secure Boot. Certificaten voor beveiligd opstarten, zoals updates voor de Secure Boot-database (DB) of sleuteluitwisselingssleutels (KEK), worden opgeslagen in de virtuele firmware van de geïmplementeerde virtuele machine en worden niet vastgelegd tijdens het generaliseren van installatiekopieën.
Door secure boot-updates toe te passen in een golden image wordt Windows Boot Manager vooruitgezet, maar blijven er geen Secure Boot-certificaten behouden op virtuele machines die zijn ingericht vanaf die image. Als je deze update uitvoert, gaat Windows Boot Manager echter vooruit in de installatiekopie.
Vereiste acties:
Pas de update voor Secure Boot 2023 toe op de gouden afbeelding voordat je deze vastlegt. Opmerking: Hiermee wordt Windows Boot Manager vooruitgezet, maar blijven Secure Boot-certificaten niet behouden voor geïmplementeerde virtuele machines.
Start de VM opnieuw op als dat nodig is om de update voor Opstartbeheer toe te passen.
Controleer of de update is voltooid voordat u de afbeelding generaliseert door de volgende PowerShell-opdracht uit te voeren en te bevestigen dat de waarde is ingesteld op Bijgewerkt:
Opmerking
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Het bijwerken van Windows Boot Manager in een gouden image past die update toe op virtuele machines die zijn geïmplementeerd of opnieuw zijn geïmplementeerd met behulp van de installatiekopie. Nieuw ingerichte virtuele machines voor Azure Trusted Launch en Confidential bevatten de certificaten voor Secure Boot 2023 in virtuele firmware en kunnen veilig golden images gebruiken met de bijgewerkte Windows Boot Manager.
Herimplementaties op basis van installatiekopieën op bestaande virtuele machines die vóór maart 2024 zijn gemaakt, kunnen echter de bijgewerkte Windows Boot Manager toepassen op VM's waarvan de firmware de bijbehorende Secure Boot 2023-certificaten nog niet vertrouwt. In deze gevallen moeten secure boot-certificaatupdates worden toegepast binnen het gastbesturingssysteem voordat verder wordt gegaan met Windows Boot Manager.
Andere aandachtspunten voor Azure-resources
| Azure-resource | Gemaakt vóór april 2024? | Actie vereist |
|---|---|---|
| Back-up/momentopname van TVM of CVM | Ja | Start de VM op, pas updates toe en herover vervolgens |
| Back-up/momentopname van TVM of CVM | Nee | Geen actie nodig |
| Afbeeldingsopnamen in de Azure Compute Gallery met (afbeeldingsbeveiligingstype = TL of CVM) van TVM of CVM | Ja | Start de VM op, pas updates toe en herover vervolgens |
| Afbeeldingsopnamen in de Azure Compute Gallery met (afbeeldingsbeveiligingstype = TL of CVM) van TVM of CVM | Nee | Geen actie nodig |
Updatestatus controleren
De bewaking en implementatie van secure boot-certificaatupdates in Azure Trusted Launch en Confidential virtuele machines volgt dezelfde Windows-onderhoudsrichtlijnen die worden gebruikt voor fysieke en gevirtualiseerde apparaten.
Zie de Secure Boot Playbook voor Windows Server en https://aka.ms/GetSecureBoot voor gedetailleerde bewakingsrichtlijnen, waaronder het inventariseren van apparaten, het controleren van firmwarevariabele updates en het volgen van de voortgang van updates.
Updates implementeren
Certificaatupdates voor beveiligd opstarten voor Azure Trusted Launch en Confidential virtuele machines worden geïnitieerd vanuit het gastbesturingssysteem met behulp van Windows-onderhoud.
Volg de implementatierichtlijnen in de Secure Boot Playbook voor Windows Server voor:
- automatische implementatie via Windows Update
- Door IT geïnitieerde implementatiemethoden
- Registersleutels onderhouden
- Implementatievolgorde
Wanneer u aangepaste of hergebruikte installatiekopieën van virtuele machines gebruikt, raadpleegt u de overwegingen voor gouden afbeeldingen in dit artikel voordat u doorgaat met Windows Opstartbeheer.
Bronnen
- Bladwijzer Download Secure Boot voor meer informatie over deze wijziging, gedetailleerde richtlijnen voor het beheren van de secure boot-certificaatupdate en antwoorden op veelgestelde vragen.
- Playbook voor beveiligd opstarten voor Windows Server
- Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties
- Zie Secure Boot DB en DBX variabele updategebeurtenissen voor meer informatie over gebeurtenissen in het gebeurtenislogboek.
- Zie Registersleutelupdates voor Secure Boot: Windows-apparaten met door IT beheerde updates voor meer informatie over registersleutels voor beveiligd opstarten.
Als u een ondersteuningsplan hebt en technische hulp nodig hebt, kunt u een ondersteuningsaanvraag indienen.
Wijzigingenlogboek
| Datum wijzigen | Beschrijving van wijziging |
|---|---|
| 13 mei 2026 | Dit artikel bevat geen wijzigingen |