Aplica-se a
Virtual Machine running Linux

Data de publicação original: 12 de junho de 2026

ID do KB: 5103014

Aplicável a:

Azure máquinas virtuais de inicialização confiáveis e máquinas virtuais confidenciais em execução Linux com a Inicialização Segura habilitada

Para obter a lista completa do sistema operacional com suporte para Lançamento Confiável, confira este link: Inicialização confiável para VMs Azure - Azure Máquinas Virtuais | Microsoft Learn

Para obter a lista completa do sistema operacional com suporte para VMs confidenciais, consulte este link: Sobre Azure VMs confidenciais | Microsoft Learn

Neste artigo

Introdução

A Inicialização Segura é um recurso de segurança de firmware UEFI que ajuda a garantir que apenas o software confiável e assinado digitalmente seja executado durante a sequência de inicialização da VM. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026. 

Para manter a proteção contra Inicialização Segura e a manutenção contínua do processo de inicialização antecipada, Azure inicialização confiável em execução Linux deve ser atualizado com certificados SECURE Boot 2023 db e KEK no firmware UEFI virtual. Máquinas Virtuais Confidenciais para Linux em Azure com certificados antigos devem ser recriadas. 

Se uma VM continuar contando com os certificados de 2011 após a expiração, ela continuará a inicializar. No entanto, ele não receberá mais novas proteções de segurança na forma de atualizações shim e certificados futuros e revogações. 

Identificar cenários que exigem ação 

Examine os seguintes cenários para determinar se a ação é necessária: 

  • Linux VMs de Lançamento Confiáveis (TVM) ou VMs Confidenciais (CVM) criadas antes de abril de 2024

  • Azure imagens da Galeria de Computação capturadas de VMs mais antigas (antes de abril de 2024) Linux Lançamento Confiável ou Confidencial

  • Instantâneos ou backups de Linux inicialização confiável ou VMs confidenciais criadas antes de abril de 2024

  • VMs confidenciais criadas antes de abril de 2024 a partir de blobs, importadas como disco seguro.

O Lançamento Confiável e o Confidencial Máquinas Virtuais criados após abril de 2024 normalmente já incluem certificados Secure Boot 2023 no firmware UEFI virtual.

Observação: Linux VMs confidenciais criadas antes de abril de 2024 não devem ser atualizadas manualmente, pois a Criptografia de Disco Confidencial depende do valor PCR7 do vTPM que é calculado com base nas variáveis de inicialização seguras. Atualizar os certificados de inicialização seguros sem garantir que a relação de chaves FDE faça com que a VM confidencial entre no modo de recuperação. É recomendável recriar essas VMs confidenciais antigas para obter os novos certificados.

Azure considerações de VM convidado 

Atualizações de inicialização segura para Linux em Azure VMs envolvem dois componentes: 

  • Proteger certificados de inicialização no firmware virtual (instalado manualmente por meio de ferramentas fornecidas pelo sistema operacional ou automaticamente por meio de atualizações de segurança)

  • Linux atualizações de shim e bootloader (fornecedor de distribuição gerenciado)

As operações de atualização são iniciadas de dentro do sistema operacional convidado e dependem do suporte da plataforma para aplicar atualizações autenticadas a variáveis de Inicialização Segura. 

Depois de identificar cenários aplicáveis, inventário seu ambiente para determinar quais VMs exigem atualizações. 

Ações necessárias 

Para todas as VMs convidadas Azure:

  • Verifique se os certificados secure boot 2023 estão presentes no firmware UEFI virtual

Para VMs de inicialização confiáveis:

  • Inicie atualizações de dentro do Linux sistema operacional de VM convidado, quando necessário de acordo com as diretrizes e ferramentas recomendadas do fornecedor de distro.

  • Para Linux VMs, as atualizações devem ser aplicadas na ordem correta.

    Importante: Atualize sempre o firmware de Inicialização Segura (variáveis UEFI) antes de atualizar o shim ou o bootloader. 

  • Atualizar o shim antes de atualizar o firmware primeiro pode resultar em uma falha de inicialização.

Para VMs confidenciais:

Implantar atualizações 

Atualizações de certificado de inicialização segura para Linux em Azure VMs são iniciadas de dentro do sistema operacional convidado. Essas atualizações diferem por fornecedores de distro, e os clientes devem marcar com seu fornecedor de distribuição primeiro no método recomendado.  

Recomendações de fornecedores do sistema operacional Linux: 

​​​​​​​​​​​​​​

Recomendações por Azure para VMs confidenciais:

  • O número de CVMs criadas antes de abril de 2024 é muito baixo. Se sua VM Confidencial for uma das poucas que não tem os novos certificados, siga as etapas para recriar a CVM.

Métodos de atualização de firmware 

Observação: Antes de experimentar as atualizações de variável UEFI diretamente em VMs de produção, os clientes podem utilizar o modelo de início rápido Azure para simular a VM de lançamento confiável Linux com certificados de AC UEFI mais antigos de 2011.

Usando fwupd 

Verifique se a VM tem a versão 2.0.8 ou posterior instalada. 

Para atualizar kek e db, execute esses comandos com fwupdmgr:

atualização sudo fwupdmgr

atualização sudo fwupdmgr

Usando efitools 

Baixe pacotes de atualização de DB e KEK para Azure.

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Usar o efi-updatevar para instalar os pacotes de atualização

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

reinicialização de sudo

Usando sbsigntools 

Baixe pacotes de atualização de DB e KEK para Azure. 

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Use o utilitário sbkeysync de sbsigntools para instalar os pacotes de atualização:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

reinicialização de sudo

Métodos de verificação 

Usando o mokutil 

  • mokutil --db | grep "UEFI CA 2023"

  • mokutil --kek | grep "KEK 2K CA 2023"

Usando efitools 

  • efi-readvar -v db | grep "UEFI CA 2023"

  • efi-readvar -v KEK | grep "KEK 2K CA 2023"

  • ​​​​​​​​​​​​​​

Linux atualização da cadeia de inicialização 

Após a atualização de firmware bem-sucedida, é seguro aplicar atualizações de shim dos fornecedores de distribuição Linux. 

Outras considerações sobre recursos Azure

Azure recurso

Criado antes de abril de 2024

Ação necessária para a TVM

Ação necessária para a CVM

Backup/snapshot

Sim

Inicializar VM, aplicar atualizações, recapturar

Recriar a CVM, recapturar

Backup/snapshot

Não

Nenhuma ação necessária

Nenhuma ação necessária

Imagem da Galeria de Computação

Sim

Implantar, atualizar, recapturar

Recriar a CVM, recapturar

Imagem da Galeria de Computação

Não

Nenhuma ação necessária

Nenhuma ação necessária

Monitorar status de atualização 

Verifique as atualizações por meio do sistema operacional convidado: 

  • Validar inicialização bem-sucedida após atualizações

  • Confirmar se os certificados de Inicialização Segura estão presentes no firmware

As abordagens de monitoramento e validação podem variar de acordo com Linux distribuição e você deve marcar com seu fornecedor de distribuição. 

Etapas de mitigação em caso de falhas de inicialização 

No caso de um cenário de falha, como falha de inicialização após a atualização da variável UEFI, você pode redefinir as configurações UEFI usando um dos métodos abaixo: 

  1. Restaure o backup feito antes de iniciar o processo de atualização manual.

  2. Converta a VM de Inicialização Confiável em Standard VM e aplique novamente o tipo de segurança de inicialização confiável na VM. (Mais detalhes aqui: Habilitar o lançamento confiável em VMs Gen2 existentes – Azure Máquinas Virtuais | Microsoft Learn)

  3. Exporte o vhd do sistema operacional para uma conta de armazenamento, crie uma imagemde galeria do vhd e implante a VM usando a versão da imagem da galeria.

​​​​​​​​​​​​​​Aviso de isenção de responsabilidade para informações de terceiros

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Log de mudanças

Data da alteração

Alterar descrição

18 de junho de 2026

Os links de referência foram adicionados à seção "Recomendações de fornecedores do sistema operacional Linux".

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade