Data de publicação original: 13 de maio de 2026
ID da BDC: 5085395
Este artigo tem orientações para:
-
Azure Máquinas Virtuais de Iniciação Fidedigna (TVM) e VMs Confidenciais (CVM) com o Windows com o Arranque Seguro ativado.
-
Para obter a lista completa dos sistemas operativos Windows suportados, consulte o artigo: Lançamento Fidedigno para máquinas virtuais Azure
Neste artigo:
Introdução
O Arranque Seguro é uma funcionalidade de segurança de firmware UEFI que ajuda a garantir que apenas o software fidedigno e assinado digitalmente é executado durante a sequência de arranque do dispositivo. Os certificados de Arranque Seguro da Microsoft emitidos em 2011 começam a expirar em junho de 2026.
Para manter as proteções de Arranque Seguro e a manutenção contínua do processo de arranque antecipado, Azure as máquinas virtuais Trusted Launch e Confidential têm de ser atualizadas com ambas as seguintes opções:
-
Certificados de Arranque Seguro 2023 em firmware virtual
-
Um Gestor de Arranque do Windows assinado pelos certificados atualizados
Estes componentes funcionam em conjunto: os certificados estabelecem confiança no firmware virtual e o Gestor de Arranque tem de ser atualizado para ser assinado por essa confiança.
Para ajudar a evitar lacunas na proteção, verifique se ambos os componentes são atualizados e inicie as atualizações sempre que necessário.
Se uma VM continuar a depender dos certificados de 2011 após a expiração, pode continuar a arrancar e receber atualizações padrão do Windows. No entanto, deixará de receber novas proteções de segurança para o processo de arranque antecipado, incluindo atualizações para o Gestor de Arranque do Windows, bases de dados de Arranque Seguro e listas de revogação ou mitigações para vulnerabilidades de nível de arranque recentemente detetadas.
Para saber mais, veja Quando os certificados de Arranque Seguro expiram em dispositivos Windows.
Identificar cenários que requerem ação
Na maioria dos casos, o Windows aplica automaticamente os certificados de Arranque Seguro 2023 através de atualizações mensais em dispositivos elegíveis, incluindo Azure Lançamento Fidedigno e VMs Confidenciais com Arranque Seguro ativado. Algumas VMs poderão não ser elegíveis para implementação automática se não estiverem disponíveis sinais de compatibilidade suficientes. Nestes casos, poderá ser necessária uma ação administrativa para iniciar atualizações a partir do sistema operativo convidado. Para obter mais informações sobre como obter atualizações de certificados de Arranque Seguro, visite: Atualizações do Certificado de Arranque Seguro: Orientações para profissionais de TI e organizações.
As atualizações de Arranque Seguro para Azure lançamento fidedigno e VMs Confidenciais envolvem dois componentes:
-
Certificados de Arranque Seguro armazenados em firmware virtual (gerido pela plataforma)
-
Gestor de Arranque do Windows (gerido pelo SO convidado)
Normalmente, as máquinas virtuais criadas após março de 2024 já incluem os certificados de Arranque Seguro 2023 no firmware virtual. Geralmente, estas VMs requerem apenas uma atualização do Gestor de Arranque do Windows.
As máquinas virtuais de execução prolongada criadas antes de março de 2024 não incluem os certificados de Arranque Seguro 2023 no firmware virtual e requerem atualizações para certificados de Arranque Seguro e Gestor de Arranque do Windows.
As operações de atualização são iniciadas a partir do sistema operativo convidado através da manutenção do Windows e dependem do suporte da plataforma para aplicar atualizações autenticadas a variáveis de Arranque Seguro no firmware virtual.
Depois de identificar os cenários aplicáveis, faça um inventário do seu ambiente para determinar quais as VMs que necessitam de atualizações.
Ações necessárias:
-
Certifique-se de que as VMs convidadas são atualizadas com a atualização de março de 2026 do Windows ou posterior (abril de 2026 ou posterior, se utilizar a aplicação de acesso frequente). Veja mais: Hotpatch para Windows Server.
-
Verifique se todas as VMs Azure Trusted Launch e Confidential têm os certificados de Arranque Seguro 2023 e um Gestor de Arranque do Windows atualizado.
-
Inicie atualizações a partir do sistema operativo convidado para aplicar o certificado de Arranque Seguro e as atualizações do Gestor de Arranque do Windows, sempre que necessário.
-
Auditar os registos de eventos do Sistema Windows: ID do Evento 1808 e ID de Evento 1801 ou monitorizar a chave de registo UEFICA2023Status para confirmar se foram aplicados certificados de Arranque Seguro atualizados e se o Gestor de Arranque do Windows foi atualizado.
Para dispositivos que não tenham aplicado estas atualizações, utilize os métodos de monitorização e implementação descritos no manual de procedimentos arranque seguro, Windows Server manual de procedimentos de Arranque Seguro para certificados que expiram em 2026 e em https://aka.ms/GetSecureBoot para obter orientações completas.
Azure considerações de VMs convidadas
Reveja os seguintes cenários e as ações necessárias para anfitriões de sessão:
|
Cenário de VM |
Arranque Seguro Ativo? |
Ação Necessária |
|
TVM ou CVM com Arranque Seguro ativado |
Sim |
Atualizar certificados de Arranque Seguro e o Gestor de Arranque do Windows |
|
TVM com Arranque Seguro desativado |
Não |
Não é necessária nenhuma ação |
|
VM de geração 1 |
Não suportado |
Não é necessária nenhuma ação |
Nota: As VMs de tipo de segurança padrão não têm o Arranque Seguro ativado.
Considerações sobre imagens douradas
Reveja os seguintes cenários e as ações necessárias para imagens:
Nota: Azure imagens do Marketplace fornecem pontos de partida pré-configurados, imagens predefinidas de baunilha ou editores, enquanto Azure imagens da Galeria de Computação são utilizadas para armazenar e distribuir imagens personalizadas. Em ambos os casos, as imagens capturam o Gestor de Arranque do Windows, mas não incluem variáveis de firmware de Arranque Seguro, que são aplicadas ao nível da máquina virtual.
Azure Galeria de Computação e imagens geridas capturam o estado do sistema operativo e do carregador de arranque, incluindo o Gestor de Arranque do Windows, mas não incluem variáveis de firmware de Arranque Seguro. Os certificados de Arranque Seguro, como atualizações para a base de dados de Arranque Seguro (DB) ou chaves de troca de chaves (KEK), são armazenados no firmware virtual da máquina virtual implementada e não são capturados durante a generalização da imagem.
A aplicação de atualizações de Arranque Seguro numa imagem dourada avança o Gestor de Arranque do Windows, mas não mantém os certificados de Arranque Seguro em máquinas virtuais aprovisionadas a partir dessa imagem. No entanto, a execução desta atualização avança o Gestor de Arranque do Windows na imagem.
Ações necessárias:
-
Aplique a atualização de Arranque Seguro 2023 à imagem dourada antes de a capturar. Nota: Isto avança o Gestor de Arranque do Windows, mas não irá manter os certificados de Arranque Seguro em máquinas virtuais implementadas.
-
Reinicie a VM conforme necessário para permitir a aplicação da atualização do Gestor de Arranque.
-
Verifique se a atualização foi concluída antes de generalizar a imagem ao executar o seguinte comando do PowerShell e confirmar que o valor está definido como Atualizado:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
A atualização do Gestor de Arranque do Windows numa imagem dourada aplica-se a essa atualização a máquinas virtuais implementadas ou reimplementadas com a imagem. As máquinas virtuais Azure Trusted Launch e Confidential recentemente aprovisionadas incluem os certificados de Arranque Seguro 2023 no firmware virtual e podem utilizar imagens douradas com o Gestor de Arranque do Windows atualizado.
No entanto, as reimplementações baseadas em imagens em máquinas virtuais existentes criadas antes de março de 2024 podem aplicar o Gestor de Arranque do Windows atualizado às VMs cujo firmware ainda não confia nos certificados de Arranque Seguro 2023 correspondentes. Nestes casos, as atualizações do certificado de Arranque Seguro devem ser aplicadas no sistema operativo convidado antes de avançar para o Gestor de Arranque do Windows.
Outras considerações sobre recursos Azure
|
Azure recurso |
Criado antes de abril de 2024? |
Ação necessária |
|---|---|---|
|
Cópia de segurança/instantâneo de TVM ou CVM |
Sim |
Inicie a VM, aplique atualizações e, em seguida, recupere |
|
Cópia de segurança/instantâneo de TVM ou CVM |
Não |
Não é necessária nenhuma ação |
|
Azure capturas de imagens da Galeria de Computação com capturas (tipo de segurança de imagem = TL ou CVM) de TVM ou CVM |
Sim |
Inicie a VM, aplique atualizações e, em seguida, recupere |
|
Azure capturas de imagens da Galeria de Computação com capturas (tipo de segurança de imagem = TL ou CVM) de TVM ou CVM |
Não |
Não é necessária nenhuma ação |
Monitorizar o estado da atualização
A monitorização e implementação de atualizações de certificados de Arranque Seguro no Azure máquinas virtuais Confidenciais e de Lançamento Fidedigno seguem as mesmas orientações de manutenção do Windows utilizadas para dispositivos físicos e virtualizados.
Para obter orientações detalhadas sobre a monitorização, incluindo como inventariar dispositivos, verificar atualizações de variáveis de firmware e controlar o progresso da atualização, veja o Manual de Procedimentos de Arranque Seguro para Windows Server e https://aka.ms/GetSecureBoot.
Implementar atualizações
As atualizações do certificado de Arranque Seguro para Azure as máquinas virtuais Trusted Launch e Confidential são iniciadas a partir do sistema operativo convidado através da manutenção do Windows.
Siga as orientações de implementação no Manual de Procedimentos de Arranque Seguro para Windows Server para:
-
implementação automática através de Windows Update
-
Métodos de implementação iniciados por TI
-
chaves de registo de manutenção
-
sequenciação de implementação
Ao utilizar imagens de máquinas virtuais personalizadas ou reutilizadas, veja Considerações sobre imagens douradas neste artigo antes de avançar com o Gestor de Arranque do Windows.
Recursos
-
Marcador Obtenha Arranque Seguro para obter mais informações sobre esta alteração, orientações detalhadas para gerir a atualização do certificado de Arranque Seguro e respostas a perguntas mais frequentes.
-
Manual de Procedimentos de Arranque Seguro para Windows Server
-
Atualizações do Certificado de Arranque Seguro: Orientações para profissionais de TI e organizações
-
Para obter mais detalhes sobre os eventos do Registo de Eventos, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX).
-
Para obter mais detalhes sobre as chaves de registo de Arranque Seguro, consulte Atualizações de chaves de registo para Arranque Seguro: dispositivos Windows com atualizações geridas por TI.
Se tiver um plano de suporte e precisar de ajuda técnica, submeta um pedido de suporte.
Registo de alterações
|
Alterar data |
Alterar descrição |
|
13 de maio de 2026 |
Não existem alterações neste artigo |
