Observação
- Data de publicação original: 13 de maio de 2026
- ID da base de dados: 5085395
Observação
Este artigo tem diretrizes para:
- Lançamento Confiável do Azure em Máquinas Virtuais (TVM) e VMs Confidenciais (CVM) executando o Windows com Inicialização Segura habilitada.
- Para obter a lista completa de sistemas operacionais Windows com suporte, consulte o artigo: Lançamento Confiável para máquinas virtuais do Azure
Neste artigo:
Introdução
A Inicialização Segura é um recurso de segurança de firmware UEFI que ajuda a garantir que apenas software confiável e assinado digitalmente seja executado durante a sequência de inicialização do dispositivo. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026.
Para manter as proteções de Inicialização Segura e a manutenção contínua do processo de inicialização inicial, as máquinas virtuais Confidencial e de Lançamento Confiável do Azure devem ser atualizadas com ambos os itens a seguir:
- Certificados Secure Boot 2023 em firmware virtual
- Um Gerenciador de Inicialização do Windows assinado pelos certificados atualizados
Esses componentes funcionam juntos: os certificados estabelecem confiança no firmware virtual e o Gerenciador de Inicialização deve ser atualizado para ser assinado por essa confiança.
Para ajudar a evitar lacunas na proteção, verifique se ambos os componentes estão atualizados e inicie atualizações quando necessário.
Se uma VM continuar a depender dos certificados de 2011 após a expiração, ela poderá continuar a inicializar e receber atualizações padrão do Windows. No entanto, ele não receberá mais novas proteções de segurança para o processo de inicialização inicial, incluindo atualizações para o Gerenciador de Inicialização do Windows, bancos de dados de Inicialização Segura e listas de revogação ou mitigações para vulnerabilidades de nível de inicialização recém-descobertas.
Para saber mais, consulte Quando os certificados de Inicialização Segura expiram em dispositivos Windows.
Identificar cenários que exigem ação
Na maioria dos casos, o Windows aplica os certificados de Inicialização Segura 2023 automaticamente por meio de atualizações mensais em dispositivos qualificados, incluindo o Lançamento Confiável do Azure com suporte e VMs Confidenciais com Inicialização Segura habilitada. Algumas VMs podem não se qualificar para a implantação automática se não houver sinais de compatibilidade suficientes disponíveis. Nesses casos, uma ação administrativa pode ser necessária para iniciar atualizações de dentro do sistema operacional convidado. Para obter mais informações sobre como obter atualizações de certificados de Inicialização Segura, visite: Atualizações do Certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.
As atualizações de Inicialização Segura para o Lançamento Confiável do Azure e VMs Confidenciais envolvem dois componentes:
- Certificados de Inicialização Segura armazenados no firmware virtual (gerenciado pela plataforma)
- Gerenciador de Inicialização do Windows (gerenciado pelo SO convidado)
As máquinas virtuais criadas após março de 2024 normalmente já incluem os certificados de Inicialização Segura 2023 no firmware virtual. Essas VMs geralmente exigem apenas uma atualização do Gerenciador de Inicialização do Windows.
As máquinas virtuais de longa execução criadas antes de março de 2024 não incluem os certificados de Inicialização Segura 2023 no firmware virtual e exigem atualizações para certificados de Inicialização Segura e para o Gerenciador de Inicialização do Windows.
As operações de atualização são iniciadas de dentro do sistema operacional convidado por meio da manutenção do Windows e dependem do suporte da plataforma para aplicar atualizações autenticadas às variáveis de Inicialização Segura no firmware virtual.
Depois de identificar os cenários aplicáveis, faça um inventário do ambiente para determinar quais VMs exigem atualizações.
Ações necessárias:
- Certifique-se de que as VMs convidadas sejam atualizadas com a atualização do Windows de março de 2026 ou posterior (abril de 2026 ou posterior, se estiver usando hotpatching). Veja mais: Hotpatch para o Windows Server.
- Verifique se todas as VMs de Lançamento Confiável e Confidenciais do Azure têm os certificados de Inicialização Segura 2023 e um Gerenciador de Inicialização do Windows atualizado.
- Inicie atualizações no sistema operacional convidado para aplicar o certificado de Inicialização Segura e as atualizações do Gerenciador de Inicialização do Windows quando necessário.
- Audite os logs de eventos do Sistema do Windows: ID do evento 1808 e ID do evento 1801 ou monitore a chave do registro UEFICA2023Status para confirmar se os certificados de Inicialização Segura atualizados foram aplicados e se o Gerenciador de Inicialização do Windows foi atualizado.
Para dispositivos que não aplicaram essas atualizações, use os métodos de monitoramento e implantação descritos no guia estratégico de Inicialização SeguraWindows Server no guia estratégico de inicialização segura para certificados que expiram em 2026 e em https://aka.ms/GetSecureBoot para obter diretrizes completas.
Considerações sobre a VM convidada do Azure
Examine os seguintes cenários e as ações necessárias para hosts de sessão:
| Cenário de VM | Inicialização Segura Ativa? | Ação necessária |
|---|---|---|
| TVM ou CVM com Inicialização Segura habilitada | Sim | Atualizar os certificados de Inicialização Segura e o Gerenciador de Inicialização do Windows |
| TVM com Inicialização Segura desabilitada | Não | Nenhuma ação necessária. |
| VM de geração 1 | Sem suporte | Nenhuma ação necessária. |
Observação
As VMs do tipo segurança Standard não têm a Inicialização Segura habilitada.
Considerações sobre a imagem dourada
Examine os seguintes cenários e as ações necessárias para imagens:
Observação
As imagens do Azure Marketplace fornecem pontos de partida pré-configurados, imagens padrão vanilla ou dos editores, enquanto as imagens da Galeria de Computação do Azure são usadas para armazenar e distribuir imagens personalizadas. Em ambos os casos, as imagens capturam o Gerenciador de Inicialização do Windows, mas não incluem variáveis de firmware da Inicialização Segura, que são aplicadas no nível da máquina virtual.
A Galeria de Computação do Azure e as imagens gerenciadas capturam o estado do sistema operacional e do carregador de inicialização, incluindo o Gerenciador de Inicialização do Windows, mas não incluem variáveis de firmware da Inicialização Segura. Os certificados de Inicialização Segura, como atualizações para o banco de dados (DB) de Inicialização Segura ou chaves de troca de chaves (KEK), são armazenados no firmware virtual da máquina virtual implantada e não são capturados durante a generalização da imagem.
A aplicação de atualizações de Inicialização Segura em uma imagem dourada avança o Gerenciador de Inicialização do Windows, mas não persiste os certificados de Inicialização Segura em máquinas virtuais provisionadas a partir dessa imagem. No entanto, realizar essa atualização avança o Gerenciador de Inicialização do Windows dentro da imagem.
Ações necessárias:
Aplique a atualização do Secure Boot 2023 à imagem dourada antes de capturá-la. Observação: Isso avança o Gerenciador de Inicialização do Windows, mas não persistirá os certificados de Inicialização Segura para máquinas virtuais implantadas.
Reinicie a VM conforme necessário para permitir que a atualização do Gerenciador de Inicialização seja aplicada.
Verifique se a atualização foi concluída antes de generalizar a imagem executando o seguinte comando do PowerShell e confirmando se o valor está definido como Atualizado:
Observação
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
A atualização do Gerenciador de Inicialização do Windows em uma imagem dourada aplica essa atualização a máquinas virtuais implantadas ou reimplantadas usando a imagem. As máquinas virtuais Confidenciais e de Lançamento Confiável do Azure recém-provisionadas incluem os certificados de Inicialização Segura 2023 no firmware virtual e podem usar imagens douradas com segurança com o Gerenciador de Inicialização do Windows atualizado.
No entanto, as reimplantações baseadas em imagem em máquinas virtuais existentes criadas antes de março de 2024 podem aplicar o Gerenciador de Inicialização do Windows atualizado a VMs cujo firmware ainda não confia nos certificados de Inicialização Segura 2023 correspondentes. Nesses casos, as atualizações de certificado de Inicialização Segura devem ser aplicadas no sistema operacional convidado antes de avançar o Gerenciador de Inicialização do Windows.
Outras considerações sobre recursos do Azure
| Recurso do Azure | Criado antes de abril de 2024? | Ação necessária |
|---|---|---|
| Backup/snapshot de TVM ou CVM | Sim | Inicialize a VM, aplique atualizações e, em seguida, recapture |
| Backup/snapshot de TVM ou CVM | Não | Nenhuma ação necessária. |
| Capturas de imagem da Galeria de Computação do Azure com (tipo de segurança de imagem = TL ou CVM) capturas de TVM ou CVM | Sim | Inicialize a VM, aplique atualizações e, em seguida, recapture |
| Capturas de imagem da Galeria de Computação do Azure com (tipo de segurança de imagem = TL ou CVM) capturas de TVM ou CVM | Não | Nenhuma ação necessária. |
Monitorar o status de atualização
O monitoramento e a implantação de atualizações de certificado de Inicialização Segura em máquinas virtuais Confiáveis e Confidenciais do Azure seguem as mesmas diretrizes de manutenção do Windows usadas para dispositivos físicos e virtualizados.
Para obter diretrizes detalhadas de monitoramento, incluindo como inventariar dispositivos, verificar atualizações de variáveis de firmware e acompanhar o progresso da atualização, consulte o Guia Estratégico de Inicialização Segura para Windows Server e https://aka.ms/GetSecureBoot.
Implantar atualizações
As atualizações de certificado de Inicialização Segura para máquinas virtuais Confiáveis e de Lançamento Confidencial do Azure são iniciadas a partir do sistema operacional convidado usando a manutenção do Windows.
Siga as diretrizes de implantação no Guia Estratégico de Inicialização Segura para Windows Server para:
- implantação automática por meio do Windows Update
- Métodos de implantação iniciados pela TI
- Manutenção de chaves do Registro
- Sequenciamento de implantação
Ao usar imagens de máquina virtual personalizadas ou reutilizadas, consulte as considerações sobre a imagem dourada neste artigo antes de avançar no Gerenciador de Inicialização do Windows.
Informações
- Indicador Obter Inicialização Segura para obter mais informações sobre essa alteração, orientações detalhadas para gerenciar a atualização do certificado de Inicialização Segura e respostas para perguntas frequentes.
- Guia Estratégico de Inicialização Segura para Windows Server
- Atualizações do Certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações
- Para obter mais detalhes sobre eventos do Log de Eventos, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura.
- Para obter mais detalhes sobre chaves do Registro de Inicialização Segura, consulte Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas por TI.
Se você tiver um plano de suporte e precisar de ajuda técnica, envie uma solicitação de suporte.
Log de mudanças
| Data da alteração | Alterar descrição |
|---|---|
| 13 de maio de 2026 | Não há alterações neste artigo |