Oorspronkelijke publicatiedatum: dinsdag 13 mei 2026
KB-id: 5085395
Dit artikel bevat richtlijnen voor:
-
Azure Trusted Launch Virtual Machines (TVM) en VERTROUWELIJKE VM's (CVM) met Windows waarop Beveiligd opstarten is ingeschakeld.
-
Zie het artikel Trusted Launch for Azure virtual machines (Vertrouwd starten voor Azure virtuele machines) voor de volledige lijst met ondersteunde Windows-besturingssystemen
In dit artikel:
Inleiding
Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van het apparaat. Microsoft Secure Boot-certificaten die zijn uitgegeven in 2011, beginnen in juni 2026 te verlopen.
Als u beveiligd opstarten en het onderhoud van het vroege opstartproces wilt behouden, moeten Azure vertrouwde start- en vertrouwelijke virtuele machines worden bijgewerkt met het volgende:
-
Secure Boot 2023-certificaten in virtuele firmware
-
Een Windows Boot Manager die is ondertekend door de bijgewerkte certificaten
Deze onderdelen werken samen: de certificaten zorgen voor vertrouwen in virtuele firmware en bootbeheer moet worden bijgewerkt om te worden ondertekend door die vertrouwensrelatie.
Als u hiaten in de beveiliging wilt voorkomen, controleert u of beide onderdelen zijn bijgewerkt en start u waar nodig updates.
Als een VM na verloop van de vervaldatum nog steeds afhankelijk is van de 2011-certificaten, kan deze blijven opstarten en standaard Windows-updates ontvangen. Het ontvangt echter geen nieuwe beveiligingsbeschermingen meer voor het vroege opstartproces, waaronder updates voor Windows Boot Manager, beveiligde opstartdatabases en intrekkingslijsten, of oplossingen voor nieuw gedetecteerde beveiligingsproblemen op opstartniveau.
Zie Wanneer certificaten voor beveiligd opstarten verlopen op Windows-apparaten voor meer informatie.
Scenario's identificeren waarvoor actie is vereist
In de meeste gevallen past Windows de Secure Boot 2023-certificaten automatisch toe via maandelijkse updates op in aanmerking komende apparaten, waaronder ondersteunde Azure Trusted Launch en Confidential VM's waarvoor Beveiligd opstarten is ingeschakeld. Sommige VM's komen mogelijk niet in aanmerking voor automatische implementatie als er niet voldoende compatibiliteitssignalen beschikbaar zijn. In deze gevallen is mogelijk beheeractie vereist om updates vanuit het gastbesturingssysteem te initiëren. Ga voor meer informatie over het verkrijgen van updates voor Secure Boot-certificaten naar: Secure Boot-certificaatupdates: richtlijnen voor IT-professionals en organisaties.
Updates voor beveiligd opstarten voor Azure Trusted Launch en Confidential VM's omvatten twee onderdelen:
-
Certificaten voor beveiligd opstarten die zijn opgeslagen in virtuele firmware (door platform beheerd)
-
Windows Boot Manager (beheerd door gastbesturingssysteem)
Virtuele machines die na maart 2024 zijn gemaakt, bevatten doorgaans al de Secure Boot 2023-certificaten in virtuele firmware. Voor deze VM's is over het algemeen alleen een Windows Boot Manager-update vereist.
Langlopende virtuele machines die vóór maart 2024 zijn gemaakt, bevatten geen Secure Boot 2023-certificaten in virtuele firmware en vereisen updates voor zowel Secure Boot-certificaten als Windows Boot Manager.
Updatebewerkingen worden gestart vanuit het gastbesturingssysteem via Windows-onderhoud en zijn afhankelijk van platformondersteuning om geverifieerde updates toe te passen op Secure Boot-variabelen in virtuele firmware.
Nadat u toepasselijke scenario's hebt geïdentificeerd, inventariseert u uw omgeving om te bepalen welke VM's moeten worden bijgewerkt.
Vereiste acties:
-
Zorg ervoor dat gast-VM's worden bijgewerkt met de Windows-update van maart 2026 of hoger (april 2026 of hoger als hotpatching wordt gebruikt). Zie meer: Hotpatch voor Windows Server.
-
Controleer of alle Azure Vertrouwde start- en vertrouwelijke VM's de certificaten Beveiligd opstarten 2023 en een bijgewerkte Windows Boot Manager hebben.
-
Initieer updates vanuit het gastbesturingssysteem om waar nodig secure boot-certificaat en Windows Boot Manager-updates toe te passen.
-
Controleer de gebeurtenislogboeken van het Windows-systeem: gebeurtenis-id 1808 en gebeurtenis-id 1801 of bewaak de registersleutel UEFICA2023Status om te controleren of bijgewerkte certificaten voor beveiligd opstarten zijn toegepast en of Windows Opstartbeheer is bijgewerkt.
Voor apparaten die deze updates niet hebben toegepast, gebruikt u de bewakings- en implementatiemethoden die worden beschreven in het playbook beveiligd opstarten, Windows Server Beveiligd opstarten-playbook voor certificaten die verlopen in 2026 en op https://aka.ms/GetSecureBoot voor volledige richtlijnen.
overwegingen voor Azure gast-VM
Bekijk de volgende scenario's en vereiste acties voor sessiehosts:
|
VM-scenario |
Beveiligd opstarten actief? |
Actie vereist |
|
TVM of CVM met Beveiligd opstarten ingeschakeld |
Ja |
Certificaten voor beveiligd opstarten en Windows Boot Manager bijwerken |
|
TVM met Beveiligd opstarten uitgeschakeld |
Nee |
Geen actie nodig |
|
VM van generatie 1 |
Niet ondersteund |
Geen actie nodig |
Opmerking: Voor standaardbeveiligings-VM's is Beveiligd opstarten niet ingeschakeld.
Overwegingen voor gouden afbeeldingen
Bekijk de volgende scenario's en vereiste acties voor installatiekopieën:
Opmerking: Azure Marketplace-installatiekopieën bieden vooraf geconfigureerde uitgangspunten, standaardinstallatiekopieën of standaardinstallatiekopieën van uitgevers, terwijl Azure Compute Gallery-installatiekopieën worden gebruikt om aangepaste installatiekopieën op te slaan en te distribueren. In beide gevallen leggen installatiekopieën Windows Boot Manager vast, maar bevatten geen firmwarevariabelen voor beveiligd opstarten, die worden toegepast op het niveau van de virtuele machine.
Azure Compute Gallery en beheerde installatiekopieën leggen de status van het besturingssysteem en het opstartlaadprogramma vast, inclusief Windows Boot Manager, maar bevatten geen firmwarevariabelen voor beveiligd opstarten. Secure Boot-certificaten, zoals updates voor de Secure Boot-database (DB) of sleuteluitwisselingssleutels (KEK), worden opgeslagen in de virtuele firmware van de geïmplementeerde virtuele machine en worden niet vastgelegd tijdens het generaliseren van installatiekopieën.
Door secure boot-updates toe te passen binnen een gouden installatiekopie, wordt Windows Boot Manager verder uitgevoerd, maar blijven secure boot-certificaten niet behouden op virtuele machines die vanuit die installatiekopie zijn ingericht. Als u deze update uitvoert, wordt Windows Opstartbeheer echter binnen de installatiekopie verder uitgevoerd.
Vereiste acties:
-
Pas de secure boot 2023-update toe op de gouden afbeelding voordat u deze vastlegt. Opmerking: Hierdoor wordt Windows Opstartbeheer verder ondersteund, maar blijven secure boot-certificaten niet behouden op geïmplementeerde virtuele machines.
-
Start de VM opnieuw op als dat nodig is om de Opstartbeheer-update toe te passen.
-
Controleer of de update is voltooid voordat u de installatiekopieën generaliseert door de volgende PowerShell-opdracht uit te voeren en te bevestigen dat de waarde is ingesteld op Bijgewerkt:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Het bijwerken van Windows Boot Manager binnen een gouden installatiekopie wordt toegepast op virtuele machines die zijn geïmplementeerd of opnieuw geïmplementeerd met behulp van de installatiekopie. Nieuw ingerichte Azure Vertrouwde start- en vertrouwelijke virtuele machines bevatten de Certificaten beveiligd opstarten 2023 in virtuele firmware en kunnen veilig gouden installatiekopieën gebruiken met de bijgewerkte Windows Boot Manager.
Op installatiekopieën gebaseerde herimplementaties op bestaande virtuele machines die vóór maart 2024 zijn gemaakt, kunnen echter de bijgewerkte Windows Boot Manager toepassen op VM's waarvan de firmware de bijbehorende Certificaten voor Beveiligd opstarten 2023 nog niet vertrouwt. In deze gevallen moeten certificaatupdates voor beveiligd opstarten worden toegepast in het gastbesturingssysteem voordat windows opstartbeheer wordt uitgevoerd.
Overwegingen voor andere Azure resources
|
Azure resource |
Gemaakt voor april 2024? |
Actie vereist |
|---|---|---|
|
Back-up/momentopname van TVM of CVM |
Ja |
De VM opstarten, updates toepassen en vervolgens opnieuw ophalen |
|
Back-up/momentopname van TVM of CVM |
Nee |
Geen actie nodig |
|
Azure Compute Gallery image captures with (image security type = TL of CVM) captures from TVM or CVM (image security type = TL or CVM) |
Ja |
De VM opstarten, updates toepassen en vervolgens opnieuw ophalen |
|
Azure Compute Gallery image captures with (image security type = TL of CVM) captures from TVM or CVM (image security type = TL or CVM) |
Nee |
Geen actie nodig |
Updatestatus bewaken
Bewaking en implementatie voor secure boot-certificaatupdates in Azure vertrouwde start- en vertrouwelijke virtuele machines volgt dezelfde Windows-onderhoudsrichtlijnen die worden gebruikt voor fysieke en gevirtualiseerde apparaten.
Zie secure boot playbook voor Windows Server en https://aka.ms/GetSecureBoot voor gedetailleerde bewakingsrichtlijnen, waaronder het inventariseren van apparaten, het controleren van updates en het bijhouden van de voortgang van updates.
Updates implementeren
Secure Boot-certificaatupdates voor Azure vertrouwde start- en vertrouwelijke virtuele machines worden geïnitieerd vanuit het gastbesturingssysteem met behulp van Windows-onderhoud.
Volg de implementatierichtlijnen in het Playbook beveiligd opstarten voor Windows Server voor:
-
automatische implementatie via Windows Update
-
Door IT geïnitieerde implementatiemethoden
-
registersleutels onderhouden
-
implementatievolgorde
Wanneer u aangepaste of hergebruikte installatiekopieën van virtuele machines gebruikt, raadpleegt u Overwegingen voor gouden installatiekopieën in dit artikel voordat u Windows Opstartbeheer gebruikt.
Informatiebronnen
-
Maak een bladwijzer voor Beveiligd opstarten voor meer informatie over deze wijziging, gedetailleerde richtlijnen voor het beheren van de secure boot-certificaatupdate en antwoorden op veelgestelde vragen.
-
Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties
-
Zie Voor meer informatie over gebeurtenislogboekgebeurtenissen Secure Boot DB en DBX variabele updategebeurtenissen.
Als u een ondersteuningsplan hebt en technische hulp nodig hebt, dient u een ondersteuningsaanvraag in.
Wijzigingslogboek
|
Datum wijzigen |
Beschrijving wijzigen |
|
dinsdag 13 mei 2026 |
Dit artikel bevat geen wijzigingen |
