Data de publicação original: 13 de maio de 2026
ID do KB: 5085395
Este artigo tem diretrizes para:
-
Azure TVM (Máquinas Virtuais de Inicialização Confiável) e VMs Confidenciais (CVM) executando o Windows com Inicialização Segura habilitada.
-
Para obter a lista completa de sistemas operacionais Windows com suporte, confira o artigo: Lançamento confiável para máquinas virtuais Azure
Neste artigo:
Introdução
A Inicialização Segura é um recurso de segurança de firmware UEFI que ajuda a garantir que apenas o software confiável e assinado digitalmente seja executado durante a sequência de inicialização do dispositivo. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026.
Para manter as proteções de Inicialização Segura e a manutenção contínua do processo de inicialização antecipada, Azure inicialização confiável e máquinas virtuais confidenciais devem ser atualizadas com as duas seguintes:
-
Certificados de Inicialização Segura 2023 em firmware virtual
-
Um Gerenciador de Inicialização do Windows assinado pelos certificados atualizados
Esses componentes funcionam juntos: os certificados estabelecem confiança no firmware virtual e o Gerenciador de Inicialização deve ser atualizado para ser assinado por essa confiança.
Para ajudar a evitar lacunas na proteção, verifique se ambos os componentes são atualizados e inicie atualizações quando necessário.
Se uma VM continuar contando com os certificados de 2011 após a expiração, ela poderá continuar a inicializar e receber atualizações padrão do Windows. No entanto, ele não receberá mais novas proteções de segurança para o processo de inicialização antecipada, incluindo atualizações para o Windows Boot Manager, bancos de dados de Inicialização Segura e listas de revogação ou mitigações para vulnerabilidades recém-descobertas no nível de inicialização.
Para saber mais, confira Quando os certificados de Inicialização Segura expirarem em dispositivos Windows.
Identificar cenários que exigem ação
Na maioria dos casos, o Windows aplica os certificados Secure Boot 2023 automaticamente por meio de atualizações mensais em dispositivos qualificados, incluindo Azure inicialização confiável e VMs confidenciais com Inicialização Segura habilitada. Algumas VMs podem não se qualificar para implantação automática se sinais de compatibilidade suficientes não estiverem disponíveis. Nesses casos, a ação administrativa pode ser necessária para iniciar atualizações de dentro do sistema operacional convidado. Para obter mais informações sobre como obter atualizações de certificados de Inicialização Segura, visite: Atualizações do Certificado de Inicialização Segura: Diretrizes para profissionais e organizações de TI.
As atualizações de inicialização segura para Azure Inicialização Confiável e VMs Confidenciais envolvem dois componentes:
-
Certificados de inicialização seguros armazenados em firmware virtual (gerenciado pela plataforma)
-
Windows Boot Manager (gerenciado pelo sistema operacional convidado)
As máquinas virtuais criadas após março de 2024 normalmente já incluem os certificados Secure Boot 2023 no firmware virtual. Essas VMs geralmente exigem apenas uma atualização do Windows Boot Manager.
As máquinas virtuais de execução longa criadas antes de março de 2024 não incluem os certificados Secure Boot 2023 no firmware virtual e exigem atualizações para certificados de Inicialização Segura e para o Gerenciador de Inicialização do Windows.
As operações de atualização são iniciadas de dentro do sistema operacional convidado por meio da manutenção do Windows e dependem do suporte à plataforma para aplicar atualizações autenticadas a variáveis de Inicialização Segura no firmware virtual.
Depois de identificar cenários aplicáveis, inventário seu ambiente para determinar quais VMs exigem atualizações.
Ações necessárias:
-
Verifique se as VMs convidadas são atualizadas com a atualização do Windows de março de 2026 ou posterior (abril de 2026 ou posterior, se estiver usando hotpatching). Veja mais: Hotpatch para Windows Server.
-
Verifique se todas as Azure inicialização confiável e VMs confidenciais têm os certificados de Inicialização Segura 2023 e um Gerenciador de Inicialização do Windows atualizado.
-
Inicie atualizações de dentro do sistema operacional convidado para aplicar o certificado de Inicialização Segura e as atualizações do Windows Boot Manager, quando necessário.
-
Audite os logs de eventos do Sistema Windows: ID do Evento 1808 e ID de Evento 1801 ou monitore a chave do registro UEFICA2023Status para confirmar se os certificados de Inicialização Segura atualizados foram aplicados e se o Gerenciador de Inicialização do Windows foi atualizado.
Para dispositivos que não aplicaram essas atualizações, use os métodos de monitoramento e implantação descritos na cartilha Inicialização Segura, Windows Server guia de guias de inicialização segura para certificados que expiram em 2026 e em https://aka.ms/GetSecureBoot para obter diretrizes completas.
Azure considerações de VM convidado
Examine os seguintes cenários e as ações necessárias para hosts de sessão:
|
Cenário de VM |
Inicialização segura ativa? |
Ação Necessária |
|
TVM ou CVM com Inicialização Segura habilitada |
Sim |
Atualizar certificados de Inicialização Segura e Gerenciador de Inicialização do Windows |
|
TVM com Inicialização Segura desabilitada |
Não |
Nenhuma ação necessária |
|
VM de geração 1 |
Sem suporte |
Nenhuma ação necessária |
Observação: Standard VMs do tipo de segurança não têm a Inicialização Segura habilitada.
Considerações de imagem dourada
Examine os seguintes cenários e as ações necessárias para imagens:
Observação: Azure imagens do Marketplace fornecem pontos de partida pré-configurados, imagens padrão de baunilha ou editores, enquanto Azure imagens da Galeria de Computação são usadas para armazenar e distribuir imagens personalizadas. Em ambos os casos, as imagens capturam o Gerenciador de Inicialização do Windows, mas não incluem variáveis de firmware de Inicialização Segura, que são aplicadas no nível da máquina virtual.
Azure Galeria de Computação e imagens gerenciadas capturam o sistema operacional e o estado do carregador de inicialização, incluindo o Windows Boot Manager, mas não incluem variáveis de firmware de Inicialização Segura. Certificados de Inicialização Segura, como atualizações para o Banco de Dados de Inicialização Segura (DB) ou KEK (chaves de troca de chaves), são armazenados no firmware virtual da máquina virtual implantada e não são capturados durante a generalização da imagem.
A aplicação de atualizações de Inicialização Segura em uma imagem dourada avança o Gerenciador de Inicialização do Windows, mas não persiste certificados de Inicialização Segura a máquinas virtuais provisionadas a partir dessa imagem. No entanto, a execução dessa atualização avança o Gerenciador de Inicialização do Windows na imagem.
Ações necessárias:
-
Aplique a atualização Da Inicialização Segura 2023 à imagem dourada antes de capturá-la. Observação: Isso avança o Gerenciador de Inicialização do Windows, mas não persistirá certificados de Inicialização Segura para máquinas virtuais implantadas.
-
Reinicie a VM conforme necessário para permitir que a atualização do Boot Manager seja aplicada.
-
Verifique se a atualização foi concluída antes de generalizar a imagem executando o seguinte comando do PowerShell e confirmando que o valor está definido como Atualizado:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Atualizar o Windows Boot Manager em uma imagem dourada aplica essa atualização a máquinas virtuais implantadas ou reimplantadas usando a imagem. As máquinas virtuais recém-provisionadas Azure Trusted Launch e Confidential incluem os certificados Secure Boot 2023 em firmware virtual e podem usar imagens douradas com segurança com o Gerenciador de Inicialização do Windows atualizado.
No entanto, as reimplantações baseadas em imagens em máquinas virtuais existentes criadas antes de março de 2024 podem aplicar o Gerenciador de Inicialização do Windows atualizado a VMs cujo firmware ainda não confia nos certificados de Inicialização Segura 2023 correspondentes. Nesses casos, as atualizações de certificado de Inicialização Segura devem ser aplicadas no sistema operacional convidado antes de avançar o Gerenciador de Inicialização do Windows.
Outras considerações sobre recursos Azure
|
Azure recurso |
Criado antes de abril de 2024? |
Ação necessária |
|---|---|---|
|
Backup/snapshot de TVM ou CVM |
Sim |
Inicializar a VM, aplicar atualizações e, em seguida, recapturar |
|
Backup/snapshot de TVM ou CVM |
Não |
Nenhuma ação necessária |
|
Azure capturas de imagem da Galeria de Computação com capturas (tipo de segurança de imagem = TL ou CVM) da TVM ou CVM |
Sim |
Inicializar a VM, aplicar atualizações e, em seguida, recapturar |
|
Azure capturas de imagem da Galeria de Computação com capturas (tipo de segurança de imagem = TL ou CVM) da TVM ou CVM |
Não |
Não é necessária nenhuma ação |
Monitorizar status de atualização
A monitorização e implementação de atualizações de certificados de Arranque Seguro no Azure máquinas virtuais Confidenciais e de Lançamento Fidedigno seguem as mesmas orientações de manutenção do Windows utilizadas para dispositivos físicos e virtualizados.
Para obter orientações detalhadas sobre a monitorização, incluindo como inventariar dispositivos, verificar atualizações de variáveis de firmware e controlar o progresso da atualização, veja o Manual de Procedimentos de Arranque Seguro para Windows Server e https://aka.ms/GetSecureBoot.
Implementar atualizações
As atualizações do certificado de Arranque Seguro para Azure as máquinas virtuais Trusted Launch e Confidential são iniciadas a partir do sistema operativo convidado através da manutenção do Windows.
Siga as orientações de implementação no Manual de Procedimentos de Arranque Seguro para Windows Server para:
-
implementação automática através de Windows Update
-
Métodos de implementação iniciados por TI
-
chaves de registo de manutenção
-
sequenciação de implementação
Ao utilizar imagens de máquinas virtuais personalizadas ou reutilizadas, veja Considerações sobre imagens douradas neste artigo antes de avançar com o Gestor de Arranque do Windows.
Recursos
-
Marcador Obtenha Arranque Seguro para obter mais informações sobre esta alteração, orientações detalhadas para gerir a atualização do certificado de Arranque Seguro e respostas a perguntas mais frequentes.
-
Manual de Procedimentos de Arranque Seguro para Windows Server
-
Atualizações do Certificado de Arranque Seguro: Orientações para profissionais de TI e organizações
-
Para obter mais detalhes sobre os eventos do Registo de Eventos, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX).
-
Para obter mais detalhes sobre as chaves de registo de Arranque Seguro, consulte Atualizações de chaves de registo para Arranque Seguro: dispositivos Windows com atualizações geridas por TI.
Se tiver um plano de suporte e precisar de ajuda técnica, submeta um pedido de suporte.
Log de mudanças
|
Data da alteração |
Alterar descrição |
|
13 de maio de 2026 |
Não existem alterações neste artigo |
