Secure Boot-update van 2011- naar 2023-certificaten: Trusted Launch-VM's (TVM) en Vertrouwelijke VM's (CVM)

Opmerking

  • Oorspronkelijke publicatiedatum: 13 mei 2026
  • KB-id: 5085395

Opmerking

Dit artikel bevat richtlijnen voor:

  • Azure Trusted Launch Virtual Machines (TVM) en Confidential VM's (CVM) met Windows met Secure Boot ingeschakeld.
  • Zie het artikel voor de volledige lijst met ondersteunde Windows-besturingssystemen: Trusted Launch voor virtuele Azure-machines

In dit artikel:

Inleiding

Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van het apparaat. Microsoft Secure Boot-certificaten die zijn uitgegeven in 2011, verlopen in juni 2026.

Om de beveiliging van beveiligd opstarten te behouden en het vroege opstartproces te blijven onderhouden, moeten virtuele machines van Azure Trusted Launch en Confidential worden bijgewerkt met de volgende services:

  • Secure Boot 2023-certificaten in virtuele firmware
  • Een Windows Boot Manager ondertekend door de bijgewerkte certificaten

Deze onderdelen werken samen: de certificaten zorgen voor vertrouwen in virtuele firmware en Boot Manager moet worden bijgewerkt om door die vertrouwenspersoon te worden ondertekend.

Om hiaten in de beveiliging te helpen voorkomen, controleert u of beide onderdelen zijn bijgewerkt en start u waar nodig updates.

Als een VM na de vervaldatum blijft vertrouwen op de 2011-certificaten, kan deze blijven opstarten en standaard Windows-updates blijven ontvangen. Er worden echter geen nieuwe beveiligingsmaatregelen meer getroffen voor het proces voor vroeg opstarten, waaronder updates voor Windows Opstartbeheer, databases voor beveiligd opstarten en intrekkingslijsten, of oplossingen voor nieuw ontdekte kwetsbaarheden op opstartniveau.

Zie voor meer informatieWanneer certificaten voor beveiligd opstarten verlopen op Windows-apparaten.

terug naar boven

Identificeer scenario's die actie vereisen

In de meeste gevallen past Windows de certificaten voor Secure Boot 2023 automatisch toe via maandelijkse updates op in aanmerking komende apparaten, waaronder ondersteunde Azure Trusted Launch en Confidential VM's met Secure Boot ingeschakeld. Sommige VM's komen mogelijk niet in aanmerking voor automatische implementatie als er onvoldoende compatibiliteitssignalen beschikbaar zijn. In deze gevallen kan het zijn dat er beheerdersmaatregelen nodig zijn om updates te starten vanuit het gastbesturingssysteem. Ga voor meer informatie over het verkrijgen van updates voor Secure Boot-certificaten naar: Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties.

Updates voor beveiligd opstarten voor Azure Trusted Launch en Confidential VM's bestaan uit twee componenten:

  • Certificaten voor beveiligd opstarten opgeslagen in virtuele firmware (door platform beheerd)
  • Windows Boot Manager (beheerd door een gastbesturingssysteem)

Virtuele machines die na maart 2024 zijn gemaakt, bevatten doorgaans al de certificaten voor Secure Boot 2023 in virtuele firmware. Voor deze VM's is doorgaans alleen een update van Windows Opstartbeheer vereist.

Langlopende virtuele machines die vóór maart 2024 zijn gemaakt, bevatten de certificaten voor Secure Boot 2023 niet in de virtuele firmware en vereisen updates voor zowel certificaten voor Secure Boot als Windows Boot Manager.

Updatebewerkingen worden geïnitieerd vanuit het gastbesturingssysteem via Windows-onderhoud en zijn afhankelijk van platformondersteuning om geverifieerde updates toe te passen op variabelen voor beveiligd opstarten in virtuele firmware.

Nadat u de toepasselijke scenario's hebt geïdentificeerd, inventariseert u de omgeving om te bepalen welke VM's updates nodig hebben.

Vereiste acties:

  • Zorg ervoor dat gast-VM's worden bijgewerkt met de Windows-update van maart 2026 of later (april 2026 of later als u hotpatching gebruikt). Meer informatie: Hotpatch voor Windows Server.
  • Controleer of alle Azure Trusted Launch en Confidential VM's de certificaten voor Secure Boot 2023 en een bijgewerkte Windows Boot Manager hebben.
  • Start updates vanuit het gastbesturingssysteem om waar nodig het Secure Boot-certificaat en updates van Windows Boot Manager toe te passen.
  • Controleer de gebeurtenislogboeken van het Windows-systeem: gebeurtenis-id 1808 en gebeurtenis-id 1801 of controleer de registersleutel UEFICA2023Status om te bevestigen of bijgewerkte certificaten voor beveiligd opstarten zijn toegepast en of Windows Boot Manager is bijgewerkt.

Gebruik voor apparaten waarop deze updates niet zijn toegepast de bewakings- en implementatiemethoden die worden beschreven in de playbook voor beveiligd opstarten, Windows Server playbook voor beveiligd opstarten voor certificaten die in 2026 verlopen en bij https://aka.ms/GetSecureBoot voor volledige richtlijnen.

terug naar boven

Azure overwegingen voor gast-VM's

Bekijk de volgende scenario's en vereiste acties voor sessiehosts:

VM-scenario Actief beveiligd opstarten? Actie vereist
TVM of CVM met Secure Boot ingeschakeld Ja Certificaten voor Secure Boot en Windows Boot Manager bijwerken
TVM met Secure Boot uitgeschakeld Nee Geen actie nodig
VM van generatie 1 Niet ondersteund Geen actie nodig

Opmerking

Op standaard-VM's van het beveiligingstype is Beveiligd opstarten niet ingeschakeld.

terug naar boven

Aandachtspunten voor gouden afbeeldingen

Bekijk de volgende scenario's en vereiste acties voor afbeeldingen:

Opmerking

Azure Marketplace-installatiekopieën bieden vooraf geconfigureerde startpunten, standaard of standaardafbeeldingen van uitgevers, terwijl Azure Compute Gallery-installatiekopieën worden gebruikt om aangepaste installatiekopieën op te slaan en te distribueren. In beide gevallen leggen installatiekopieën Windows Boot Manager vast, maar bevatten ze geen firmwarevariabelen voor beveiligd opstarten, die worden toegepast op het niveau van de virtuele machine.

Stroomdiagram om te bepalen of actie nodig is voor afbeeldingen

Azure Compute Gallery en beheerde installatiekopieën leggen de status van het besturingssysteem en het opstartlaadprogramma vast, inclusief Windows Boot Manager, maar bevatten geen firmwarevariabelen voor Secure Boot. Certificaten voor beveiligd opstarten, zoals updates voor de Secure Boot-database (DB) of sleuteluitwisselingssleutels (KEK), worden opgeslagen in de virtuele firmware van de geïmplementeerde virtuele machine en worden niet vastgelegd tijdens het generaliseren van installatiekopieën.

Door secure boot-updates toe te passen in een golden image wordt Windows Boot Manager vooruitgezet, maar blijven er geen Secure Boot-certificaten behouden op virtuele machines die zijn ingericht vanaf die image. Als je deze update uitvoert, gaat Windows Boot Manager echter vooruit in de installatiekopie.

Vereiste acties:

  • Pas de update voor Secure Boot 2023 toe op de gouden afbeelding voordat je deze vastlegt. Opmerking: Hiermee wordt Windows Boot Manager vooruitgezet, maar blijven Secure Boot-certificaten niet behouden voor geïmplementeerde virtuele machines.

  • Start de VM opnieuw op als dat nodig is om de update voor Opstartbeheer toe te passen.

  • Controleer of de update is voltooid voordat u de afbeelding generaliseert door de volgende PowerShell-opdracht uit te voeren en te bevestigen dat de waarde is ingesteld op Bijgewerkt:

    Opmerking

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Het bijwerken van Windows Boot Manager in een gouden image past die update toe op virtuele machines die zijn geïmplementeerd of opnieuw zijn geïmplementeerd met behulp van de installatiekopie. Nieuw ingerichte virtuele machines voor Azure Trusted Launch en Confidential bevatten de certificaten voor Secure Boot 2023 in virtuele firmware en kunnen veilig golden images gebruiken met de bijgewerkte Windows Boot Manager.

Herimplementaties op basis van installatiekopieën op bestaande virtuele machines die vóór maart 2024 zijn gemaakt, kunnen echter de bijgewerkte Windows Boot Manager toepassen op VM's waarvan de firmware de bijbehorende Secure Boot 2023-certificaten nog niet vertrouwt. In deze gevallen moeten secure boot-certificaatupdates worden toegepast binnen het gastbesturingssysteem voordat verder wordt gegaan met Windows Boot Manager.

terug naar boven

Andere aandachtspunten voor Azure-resources

Azure-resource Gemaakt vóór april 2024? Actie vereist
Back-up/momentopname van TVM of CVM Ja Start de VM op, pas updates toe en herover vervolgens
Back-up/momentopname van TVM of CVM Nee Geen actie nodig
Afbeeldingsopnamen in de Azure Compute Gallery met (afbeeldingsbeveiligingstype = TL of CVM) van TVM of CVM Ja Start de VM op, pas updates toe en herover vervolgens
Afbeeldingsopnamen in de Azure Compute Gallery met (afbeeldingsbeveiligingstype = TL of CVM) van TVM of CVM Nee Geen actie nodig

terug naar boven

Updatestatus controleren

De bewaking en implementatie van secure boot-certificaatupdates in Azure Trusted Launch en Confidential virtuele machines volgt dezelfde Windows-onderhoudsrichtlijnen die worden gebruikt voor fysieke en gevirtualiseerde apparaten.

Zie de Secure Boot Playbook voor Windows Server en https://aka.ms/GetSecureBoot voor gedetailleerde bewakingsrichtlijnen, waaronder het inventariseren van apparaten, het controleren van firmwarevariabele updates en het volgen van de voortgang van updates.

Updates implementeren

Certificaatupdates voor beveiligd opstarten voor Azure Trusted Launch en Confidential virtuele machines worden geïnitieerd vanuit het gastbesturingssysteem met behulp van Windows-onderhoud.

Volg de implementatierichtlijnen in de Secure Boot Playbook voor Windows Server voor:

  • automatische implementatie via Windows Update
  • Door IT geïnitieerde implementatiemethoden
  • Registersleutels onderhouden
  • Implementatievolgorde

Wanneer u aangepaste of hergebruikte installatiekopieën van virtuele machines gebruikt, raadpleegt u de overwegingen voor gouden afbeeldingen in dit artikel voordat u doorgaat met Windows Opstartbeheer.

terug naar boven

Bronnen

Als u een ondersteuningsplan hebt en technische hulp nodig hebt, kunt u een ondersteuningsaanvraag indienen.

terug naar boven

Wijzigingenlogboek

Datum wijzigen Beschrijving van wijziging
13 mei 2026 Dit artikel bevat geen wijzigingen

terug naar boven