Oryginalna data publikacji: 13 maja 2026 r.
Identyfikator BAZY WIEDZY: 5085395
Ten artykuł zawiera wskazówki dotyczące:
-
Azure Trusted Launch Virtual Machines (TVM) i poufne maszyny wirtualne (CVM) z włączonym bezpiecznym rozruchem systemu Windows.
-
Pełną listę obsługiwanych systemów operacyjnych Windows można znaleźć w artykule: Zaufane uruchamianie dla Azure maszyn wirtualnych.
W tym artykule:
Wprowadzenie
Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która zapewnia, że w sekwencji rozruchu urządzenia działa tylko zaufane, podpisane cyfrowo oprogramowanie. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r.
Aby zachować zabezpieczenia bezpiecznego rozruchu i dalszą obsługę wczesnego procesu rozruchu, Azure Trusted Launch i Poufne maszyny wirtualne muszą zostać zaktualizowane o obie następujące opcje:
-
Certyfikaty bezpiecznego rozruchu 2023 w oprogramowaniu układowym wirtualnym
-
Menedżer rozruchu systemu Windows podpisany za pomocą zaktualizowanych certyfikatów
Te składniki współpracują ze sobą: certyfikaty ustanawiają zaufanie do oprogramowania układowego wirtualnego, a Menedżer rozruchu musi zostać zaktualizowany, aby podpisane przez to zaufanie było zaufane.
Aby zapobiec przerwom w ochronie, sprawdź, czy oba składniki są aktualizowane, i w razie potrzeby inicjuj aktualizacje.
Jeśli po wygaśnięciu maszyna wirtualna nadal korzysta z certyfikatów z wersji 2011, może kontynuować rozruch i otrzymywać standardowe aktualizacje systemu Windows. Jednak nie będzie już otrzymywać nowych zabezpieczeń dla wczesnego procesu rozruchu, w tym aktualizacji Menedżera rozruchu systemu Windows, baz danych bezpiecznego rozruchu i list odwołań ani środków łagodzących nowo odkryte luki w zabezpieczeniach na poziomie rozruchu.
Aby dowiedzieć się więcej, zobacz Kiedy certyfikaty bezpiecznego rozruchu wygasają na urządzeniach z systemem Windows.
Identyfikowanie scenariuszy wymagających działania
W większości przypadków system Windows automatycznie stosuje certyfikaty bezpiecznego rozruchu 2023 za pośrednictwem comiesięcznych aktualizacji na kwalifikujących się urządzeniach, w tym obsługiwanych Azure Zaufane uruchamianie i poufnych maszyn wirtualnych z włączonym bezpiecznym rozruchem. Niektóre maszyny wirtualne mogą nie kwalifikować się do automatycznego wdrożenia, jeśli nie są dostępne wystarczające sygnały zgodności. W takich przypadkach do zainicjowania aktualizacji z poziomu systemu operacyjnego gościa może być wymagane działanie administracyjne. Aby uzyskać więcej informacji na temat uzyskiwania aktualizacji certyfikatów bezpiecznego rozruchu, odwiedź stronę: Aktualizacje certyfikatu bezpiecznego rozruchu: Wskazówki dla informatyków i organizacji.
Aktualizacje bezpiecznego rozruchu dla Azure Zaufane uruchamianie i poufne maszyny wirtualne obejmują dwa składniki:
-
Certyfikaty bezpiecznego rozruchu przechowywane w oprogramowaniu układowym wirtualnym (zarządzanym przez platformę)
-
Menedżer rozruchu systemu Windows (zarządzany przez system operacyjny gościa)
Maszyny wirtualne utworzone po marcu 2024 r. zwykle zawierają certyfikaty bezpiecznego rozruchu 2023 w oprogramowaniu układowym wirtualnym. Te maszyny wirtualne zwykle wymagają tylko aktualizacji Menedżera rozruchu systemu Windows.
Długotrwałe maszyny wirtualne utworzone przed marcem 2024 r. nie zawierają certyfikatów bezpiecznego rozruchu 2023 w wirtualnym oprogramowaniu układowym i wymagają aktualizacji zarówno certyfikatów bezpiecznego rozruchu, jak i Menedżera rozruchu systemu Windows.
Operacje aktualizacji są inicjowane z poziomu systemu operacyjnego gościa za pośrednictwem obsługi systemu Windows i polegają na obsłudze platformy w celu zastosowania uwierzytelnionych aktualizacji do zmiennych bezpiecznego rozruchu w wirtualnym oprogramowaniu układowym.
Po zidentyfikowaniu odpowiednich scenariuszy, inwentaryzacja środowiska w celu określenia, które maszyny wirtualne wymagają aktualizacji.
Wymagane działania:
-
Upewnij się, że maszyny wirtualne gości są zaktualizowane o aktualizację systemu Windows z marca 2026 r. lub nowszą (kwiecień 2026 r. lub nowszą, jeśli korzystasz z hotpatchingu). Zobacz więcej: Hotpatch for Windows Server.
-
Sprawdź, czy wszystkie Azure Zaufane uruchamianie i poufne maszyny wirtualne mają certyfikaty bezpiecznego rozruchu 2023 i zaktualizowany Menedżer rozruchu systemu Windows.
-
Inicjuj aktualizacje z poziomu systemu operacyjnego gościa, aby w razie potrzeby zastosować certyfikat bezpiecznego rozruchu i aktualizacje Menedżera rozruchu systemu Windows.
-
Inspekcja dzienników zdarzeń systemu Windows: Identyfikator zdarzenia 1808 i Identyfikator zdarzenia 1801 lub monitorowanie klucza rejestru UEFICA2023Status w celu potwierdzenia, czy zastosowano zaktualizowane certyfikaty bezpiecznego rozruchu i czy menedżer rozruchu systemu Windows został zaktualizowany.
W przypadku urządzeń, które nie zastosowały tych aktualizacji, użyj metod monitorowania i wdrażania opisanych w podręczniku bezpiecznego rozruchu, Windows Server podręcznik bezpiecznego rozruchu dla certyfikatów wygasających w 2026 r. oraz w witrynie https://aka.ms/GetSecureBoot, aby uzyskać pełne wskazówki.
Azure zagadnienia dotyczące maszyny wirtualnej gościa
Przejrzyj następujące scenariusze i wymagane akcje dla hostów sesji:
|
Scenariusz maszyny wirtualnej |
Aktywny bezpieczny rozruch? |
Wymagane działanie |
|
TVM lub CVM z włączonym bezpiecznym rozruchem |
Tak |
Aktualizowanie certyfikatów bezpiecznego rozruchu i Menedżera rozruchu systemu Windows |
|
TVM z wyłączonym bezpiecznym rozruchem |
Nie |
Nie jest wymagana żadna akcja |
|
Maszyna wirtualna 1 generacji |
Nieobsługiwane |
Nie jest wymagana żadna akcja |
Uwaga: Standardowe maszyny wirtualne typu zabezpieczeń nie mają włączonego bezpiecznego rozruchu.
Zagadnienia dotyczące złotego obrazu
Przejrzyj następujące scenariusze i wymagane akcje dla obrazów:
Uwaga: Azure Obrazy z witryny Marketplace zapewniają wstępnie skonfigurowane punkty początkowe, domyślne obrazy wanilii lub wydawców, natomiast Azure obrazy z Galerii obliczeń są używane do przechowywania i rozpowszechniania dostosowanych obrazów. W obu przypadkach obrazy przechwytują Menedżera rozruchu systemu Windows, ale nie zawierają zmiennych oprogramowania układowego bezpiecznego rozruchu, które są stosowane na poziomie maszyny wirtualnej.
Azure Compute Gallery i obrazy zarządzane przechwytują stan systemu operacyjnego i modułu ładującego rozruch, w tym Menedżera rozruchu systemu Windows, ale nie zawierają zmiennych oprogramowania układowego bezpiecznego rozruchu. Certyfikaty bezpiecznego rozruchu, takie jak aktualizacje bazy danych bezpiecznego rozruchu (DB) lub klucze wymiany kluczy (KEK), są przechowywane w wirtualnym oprogramowaniu układowym wdrożonej maszyny wirtualnej i nie są rejestrowane podczas uogólniania obrazu.
Zastosowanie aktualizacji bezpiecznego rozruchu w obrębie złotego obrazu powoduje przejście do Menedżera rozruchu systemu Windows, ale nie powoduje utrwalenia certyfikatów bezpiecznego rozruchu na maszynach wirtualnych zainicjowanych z tego obrazu. Jednak wykonanie tej aktualizacji powoduje przejście do Menedżera rozruchu systemu Windows na obrazie.
Wymagane działania:
-
Przed przechwyceniem obrazu zastosuj aktualizację bezpiecznego rozruchu 2023 do złotego obrazu. Uwaga: Spowoduje to przejście do Menedżera rozruchu systemu Windows, ale nie będzie nadal zachowywać certyfikatów bezpiecznego rozruchu na wdrożonych maszynach wirtualnych.
-
Uruchom ponownie maszynę wirtualną zgodnie z wymaganiami, aby umożliwić zastosowanie aktualizacji Menedżera rozruchu.
-
Sprawdź, czy aktualizacja została ukończona przed uogólnieniem obrazu, uruchamiając następujące polecenie programu PowerShell i potwierdzając, że wartość jest ustawiona na Zaktualizowano:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Aktualizacja Menedżera rozruchu systemu Windows w obrębie złotego obrazu powoduje zastosowanie tej aktualizacji do maszyn wirtualnych wdrożonych lub ponownie wdrożonych przy użyciu obrazu. Nowo zainicjowane Azure Zaufane uruchamianie i poufne maszyny wirtualne zawierają certyfikaty bezpiecznego rozruchu 2023 w oprogramowaniu układowym wirtualnym i mogą bezpiecznie używać złotych obrazów ze zaktualizowanym Menedżerem rozruchu systemu Windows.
Jednak ponowne rozmieszczenia na istniejących maszynach wirtualnych utworzonych przed marcem 2024 r. mogą zastosować zaktualizowany Menedżer rozruchu systemu Windows do maszyn wirtualnych, których oprogramowanie układowe nie ufa jeszcze odpowiednim certyfikatom bezpiecznego rozruchu 2023. W takich przypadkach aktualizacje certyfikatu bezpiecznego rozruchu powinny być stosowane w systemie operacyjnym gościa przed przejściem do Menedżera rozruchu systemu Windows.
Zagadnienia dotyczące innych zasobów Azure
|
zasób Azure |
Utworzono przed kwietniem 2024 r.? |
Wymagana akcja |
|---|---|---|
|
Kopia zapasowa/migawka tvm lub CVM |
Tak |
Uruchom maszynę wirtualną, zastosuj aktualizacje, a następnie odzyskaj |
|
Kopia zapasowa/migawka tvm lub CVM |
Nie |
Nie jest wymagana żadna akcja |
|
Azure Compute Gallery obraz przechwytuje z (typ zabezpieczeń obrazu = TL lub CVM) z TVM lub CVM |
Tak |
Uruchom maszynę wirtualną, zastosuj aktualizacje, a następnie odzyskaj |
|
Azure Compute Gallery obraz przechwytuje z (typ zabezpieczeń obrazu = TL lub CVM) z TVM lub CVM |
Nie |
Nie jest wymagana żadna akcja |
Monitorowanie stanu aktualizacji
Monitorowanie i wdrażanie aktualizacji certyfikatów bezpiecznego rozruchu w Azure zaufanych uruchomień i poufnych maszyn wirtualnych jest zgodne z tymi samymi wskazówkami dotyczącymi obsługi systemu Windows używanymi w przypadku urządzeń fizycznych i zwirtualizowanych.
Aby uzyskać szczegółowe wskazówki dotyczące monitorowania, w tym sposobu inwentaryzacji urządzeń, weryfikowania zmiennych aktualizacji oprogramowania układowego i śledzenia postępu aktualizacji, zobacz Podręcznik bezpiecznego rozruchu dla Windows Server i https://aka.ms/GetSecureBoot.
Wdrażanie aktualizacji
Aktualizacje certyfikatu bezpiecznego rozruchu dla Azure Zaufane uruchamianie i Poufne maszyny wirtualne są inicjowane z poziomu systemu operacyjnego gościa przy użyciu obsługi systemu Windows.
Postępuj zgodnie ze wskazówkami dotyczącymi wdrażania w podręczniku bezpiecznego rozruchu, aby Windows Server:
-
automatyczne wdrażanie za pośrednictwem Windows Update
-
Metody wdrażania inicjowane przez informatyków
-
servicing registry keys
-
sekwencjonowanie wdrożeń
Podczas korzystania z niestandardowych lub ponownie używanych obrazów maszyn wirtualnych zobacz zagadnienia dotyczące złotego obrazu w tym artykule przed przejściem do Menedżera rozruchu systemu Windows.
Zasoby
-
Zakładka Uzyskaj bezpieczny rozruch, aby uzyskać więcej informacji na temat tej zmiany, szczegółowe wskazówki dotyczące zarządzania aktualizacją certyfikatu bezpiecznego rozruchu oraz odpowiedzi na często zadawane pytania.
-
Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków i organizacji
-
Aby uzyskać więcej szczegółów na temat zdarzeń dziennika zdarzeń, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX.
-
Aby uzyskać więcej informacji na temat kluczy rejestru bezpiecznego rozruchu, zobacz Aktualizacje klucza rejestru dla bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez DZIAŁ IT.
Jeśli masz plan pomocy technicznej i potrzebujesz pomocy technicznej, zgłoś wniosek o pomoc techniczną.
Dziennik zmian
|
Zmień datę |
Zmień opis |
|
13 maja 2026 r. |
W tym artykule nie ma żadnych zmian |
