Aktualizacja bezpiecznego rozruchu z certyfikatów z wersji 2011–2023: Trusted Launch VMs (TVM) i Poufne maszyny wirtualne (CVM)

Uwaga

  • Data pierwotnej publikacji: 13 maja 2026 r
  • Identyfikator KB: 5085395

Uwaga

Ten artykuł zawiera wskazówki dotyczące następujących tematów:

  • Azure Trusted Launch Virtual Machines (TVM) i poufne maszyny wirtualne (CVM) z systemem Windows z włączonym bezpiecznym rozruchem.
  • Aby uzyskać pełną listę obsługiwanych systemów operacyjnych Windows, zobacz artykuł: Zaufane uruchamianie maszyn wirtualnych platformy Azure

Tematy w tym artykule:

Wprowadzenie

Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która pomaga zapewnić, że tylko zaufane, podpisane cyfrowo oprogramowanie będzie uruchamiane podczas sekwencji rozruchowej urządzenia. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r.

Aby zachować ochronę przed bezpiecznym rozruchem i kontynuować obsługę procesu wczesnego rozruchu, zaufane uruchamianie i poufne maszyny wirtualne platformy Azure muszą zostać zaktualizowane za pomocą obu następujących elementów:

  • Certyfikaty bezpiecznego rozruchu 2023 w wirtualnym oprogramowaniu układowym
  • Menedżer rozruchu systemu Windows podpisany przez zaktualizowane certyfikaty

Te składniki współpracują ze sobą: certyfikaty ustanawiają zaufanie do wirtualnego oprogramowania układowego, a program Boot Manager musi zostać zaktualizowany, aby był podpisany przez to zaufanie.

Aby zapobiec lukom w ochronie, sprawdź, czy oba składniki są zaktualizowane, i zainicjuj aktualizacje, jeśli jest to wymagane.

Jeśli maszyna wirtualna nadal korzysta z certyfikatów z wersji 2011 po wygaśnięciu limitu, może nadal się uruchamiać i odbierać standardowe aktualizacje systemu Windows. Nie będzie on jednak otrzymywał nowych zabezpieczeń dla procesu wczesnego rozruchu, w tym aktualizacji Menedżera rozruchu systemu Windows, baz danych bezpiecznego rozruchu i list odwołań, ani środków zaradczych dla nowo wykrytych luk na poziomie rozruchu.

Aby dowiedzieć się więcej, zobacz Kiedy wygasają certyfikaty bezpiecznego rozruchu na urządzeniach z systemem Windows.

powrót do początku

Identyfikowanie scenariuszy wymagających działania

W większości przypadków system Windows automatycznie stosuje certyfikaty bezpiecznego rozruchu 2023 poprzez comiesięczne aktualizacje na kwalifikujących się urządzeniach, w tym obsługiwanych zaufanym uruchamianiu platformy Azure i poufnych maszynach wirtualnych z włączonym bezpiecznym rozruchem. Niektóre maszyny wirtualne mogą nie kwalifikować się do wdrożenia automatycznego, jeśli nie są dostępne wystarczające sygnały zgodności. W takich przypadkach może być konieczne podjęcie działań administracyjnych w celu zainicjowania aktualizacji z poziomu systemu operacyjnego gościa. Aby uzyskać więcej informacji na temat uzyskiwania aktualizacji certyfikatów bezpiecznego rozruchu, odwiedź stronę: Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.

Aktualizacje bezpiecznego rozruchu dla zaufanego uruchamiania platformy Azure i poufnych maszyn wirtualnych obejmują dwa składniki:

  • Certyfikaty bezpiecznego rozruchu przechowywane w wirtualnym oprogramowaniu układowym (zarządzane przez platformę)
  • Menedżer rozruchu systemu Windows (zarządzany przez system operacyjny gościa)

Maszyny wirtualne utworzone po marcu 2024 r. zazwyczaj zawierają już certyfikaty bezpiecznego rozruchu 2023 w wirtualnym oprogramowaniu układowym. Te maszyny wirtualne zwykle wymagają jedynie aktualizacji Menedżera rozruchu systemu Windows.

Długo działające maszyny wirtualne utworzone przed marcem 2024 r. nie zawierają certyfikatów bezpiecznego rozruchu 2023 w wirtualnym oprogramowaniu układowym i wymagają aktualizacji zarówno certyfikatów bezpiecznego rozruchu, jak i Menedżera rozruchu systemu Windows.

Operacje aktualizacji są inicjowane z poziomu systemu operacyjnego gościa poprzez obsługę systemu Windows i polegają na obsłudze platformy w celu stosowania uwierzytelnionych aktualizacji do zmiennych bezpiecznego rozruchu w wirtualnym oprogramowaniu układowym.

Po zidentyfikowaniu odpowiednich scenariuszy przeprowadź inwentaryzację środowiska, aby określić, które maszyny wirtualne wymagają aktualizacji.

Wymagane działania:

  • Upewnij się, że maszyny wirtualne gości zostały zaktualizowane za pomocą aktualizacji systemu Windows z marca 2026 r. lub nowszej (z kwietnia 2026 r. lub późniejszej w przypadku stosowania poprawek na gorąco). Zobacz więcej: Poprawka na gorąco dla systemu Windows Server.
  • Sprawdź, czy wszystkie zaufane uruchamianie i poufne maszyny wirtualne platformy Azure mają certyfikaty bezpiecznego rozruchu 2023 i zaktualizowanego Menedżera rozruchu systemu Windows.
  • Zainicjuj aktualizacje z poziomu systemu operacyjnego gościa, aby zastosować aktualizacje certyfikatu bezpiecznego rozruchu i Menedżera rozruchu systemu Windows, jeśli są wymagane.
  • Przeprowadź inspekcję dzienników zdarzeń systemu Windows: identyfikator zdarzenia 1808 i identyfikator zdarzenia 1801 lub monitoruj klucz rejestru UEFICA2023Status , aby potwierdzić, czy zastosowano zaktualizowane certyfikaty bezpiecznego rozruchu i czy zaktualizowano Menedżera rozruchu systemu Windows.

W przypadku urządzeń, które nie zastosowały tych aktualizacji, użyj metod monitorowania i wdrażania opisanych w podręczniku bezpiecznego rozruchu, Windows Server podręczniku bezpiecznego rozruchu dla certyfikatów wygasających w 2026 r. oraz w https://aka.ms/GetSecureBoot, aby uzyskać pełne wskazówki.

powrót do początku

Zagadnienia dotyczące maszyny wirtualnej gościa platformy Azure

Zapoznaj się z następującymi scenariuszami i wymaganymi akcjami dla hostów sesji:

Scenariusz maszyny wirtualnej Aktywny bezpieczny rozruch? Wymagane działanie
TVM lub CVM z włączonym bezpiecznym rozruchem Tak Aktualizowanie certyfikatów bezpiecznego rozruchu i Menedżera rozruchu systemu Windows
TVM z wyłączonym bezpiecznym rozruchem Nie Nie jest wymagane żadne działanie
Maszyna wirtualna generacji 1 Nieobsługiwane Nie jest wymagane żadne działanie

Uwaga

Maszyny wirtualne typu zabezpieczeń w warstwie Standardowa nie mają włączonej funkcji bezpiecznego rozruchu.

powrót do początku

Zagadnienia dotyczące złotego obrazu

Zapoznaj się z poniższymi scenariuszami i wymaganymi akcjami dla obrazów:

Uwaga

Obrazy z witryny Azure Marketplace zawierają wstępnie skonfigurowane punkty początkowe, standardowe lub domyślne obrazy wydawców, natomiast obrazy z galerii obliczeniowej platformy Azure służą do przechowywania i rozpowszechniania obrazów niestandardowych. W obu przypadkach obrazy przechwytują Menedżera rozruchu systemu Windows, ale nie zawierają zmiennych oprogramowania układowego bezpiecznego rozruchu, które są stosowane na poziomie maszyny wirtualnej.

Schemat blokowy określający, czy w przypadku obrazów jest wymagane działanie

Galeria obliczeniowa platformy Azure i obrazy zarządzane przechwytują stan systemu operacyjnego i modułu ładującego rozruchu, w tym Menedżera rozruchu systemu Windows, ale nie zawierają zmiennych oprogramowania układowego bezpiecznego rozruchu. Certyfikaty bezpiecznego rozruchu, takie jak aktualizacje bazy danych bezpiecznego rozruchu (DB) lub kluczy wymiany kluczy (KEK), są przechowywane w wirtualnym oprogramowaniu układowym wdrożonej maszyny wirtualnej i nie są przechwytywane podczas generalizacji obrazu.

Stosowanie aktualizacji bezpiecznego rozruchu w złotym obrazie powoduje przejście do Menedżera rozruchu systemu Windows, ale nie utrwala certyfikatów bezpiecznego rozruchu na maszynach wirtualnych aprowizowanych z tego obrazu. Jednak wykonanie tej aktualizacji powoduje przesunięcie Menedżera rozruchu systemu Windows w obrębie obrazu.

Wymagane działania:

  • Zastosuj aktualizację Bezpieczny rozruch 2023 do złotego obrazu przed jego przechwyceniem. Uwaga: Przyspiesza to działanie Menedżera rozruchu systemu Windows, ale nie utrwala certyfikatów bezpiecznego rozruchu we wdrożonych maszynach wirtualnych.

  • Uruchom ponownie maszynę wirtualną zgodnie z wymaganiami, aby umożliwić zastosowanie aktualizacji Menedżera rozruchu.

  • Przed uogólnieniem obrazu sprawdź, czy aktualizacja została ukończona, uruchamiając następujące polecenie programu PowerShell i sprawdzając, czy ustawiono wartość na Zaktualizowano:

    Uwaga

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Aktualizacja Menedżera rozruchu systemu Windows z poziomu złotego obrazu dotyczy maszyn wirtualnych wdrożonych lub ponownie wdrożonych przy użyciu obrazu. Nowo udostępnione maszyny wirtualne platformy Azure Trusted Launch i Confidential obejmują certyfikaty bezpiecznego rozruchu 2023 w wirtualnym oprogramowaniu układowym i mogą bezpiecznie używać złotych obrazów za pomocą zaktualizowanego Menedżera rozruchu systemu Windows.

Jednak ponowne wdrożenia oparte na obrazach na istniejących maszynach wirtualnych utworzonych przed marcem 2024 r. mogą spowodować zastosowanie zaktualizowanego Menedżera rozruchu systemu Windows do maszyn wirtualnych, których oprogramowanie układowe nie ufa jeszcze odpowiednim certyfikatom bezpiecznego rozruchu 2023. W takich przypadkach należy zainstalować aktualizacje certyfikatu bezpiecznego rozruchu w systemie operacyjnym gościa przed uruchomieniem Menedżera rozruchu systemu Windows.

powrót do początku

Inne zagadnienia dotyczące zasobów platformy Azure

Zasób platformy Azure Utworzono przed kwietniem 2024 r.? Wymagana akcja
Kopia zapasowa/migawka TVM lub CVM Tak Uruchom maszynę wirtualną, zastosuj aktualizacje, a następnie przechwyć
Kopia zapasowa/migawka TVM lub CVM Nie Nie jest wymagane żadne działanie
Obraz usługi Azure Compute Gallery przechwytywany za pomocą (typ zabezpieczeń obrazu = TL lub CVM) przechwytywany z TVM lub CVM Tak Uruchom maszynę wirtualną, zastosuj aktualizacje, a następnie przechwyć
Obraz usługi Azure Compute Gallery przechwytywany za pomocą (typ zabezpieczeń obrazu = TL lub CVM) przechwytywany z TVM lub CVM Nie Nie jest wymagane żadne działanie

powrót do początku

Monitorowanie stanu aktualizacji

Monitorowanie i wdrażanie aktualizacji certyfikatów bezpiecznego rozruchu na maszynach wirtualnych platformy Azure Trusted Launch i Confidential podlega tym samym wskazówkom serwisowym systemu Windows, które są używane dla urządzeń fizycznych i zwirtualizowanych.

Aby uzyskać szczegółowe wskazówki dotyczące monitorowania, w tym sposobu inwentaryzacji urządzeń, weryfikowania aktualizacji zmiennych oprogramowania układowego i śledzenia postępu aktualizacji, zobacz podręcznik bezpiecznego rozruchu dotyczący Windows Server i https://aka.ms/GetSecureBoot.

Wdrażanie aktualizacji

Aktualizacje certyfikatów bezpiecznego rozruchu dla maszyn wirtualnych platformy Azure Trusted Launch i Confidential są inicjowane z poziomu systemu operacyjnego gościa przy użyciu obsługi systemu Windows.

Postępuj zgodnie ze wskazówkami dotyczącymi wdrażania w podręczniku bezpiecznego rozruchu dla systemu Windows Server dla systemu Windows Server:

  • automatyczne wdrażanie za pośrednictwem usługi Windows Update
  • Metody wdrażania inicjowane przez dział informatyczny
  • Obsługa kluczy rejestru
  • Sekwencjonowanie wdrażania

W przypadku korzystania z niestandardowych lub ponownie używanych obrazów maszyn wirtualnych przed przejściem do Menedżera rozruchu systemu Windows zapoznaj się z zagadnieniami dotyczącymi złotych obrazów w tym artykule w tym artykule.

powrót do początku

Zasoby

Jeśli masz plan pomocy technicznej i potrzebujesz pomocy technicznej, prześlij wniosek o pomoc techniczną.

powrót do początku

Dziennik zmian

Zmień datę Opis zmiany
13 maja 2026 r W tym artykule nie ma żadnych zmian

powrót do początku