Aplica-se A
Virtual Machine running Linux

Data de publicação original: 12 de junho de 2026

ID da BDC: 5103014

Aplica-se a:

Azure máquinas virtuais de Início Fidedigno e Máquinas Virtuais Confidenciais em execução Linux com Arranque Seguro ativado

Para obter uma lista completa do SO suportado para a Iniciação Fidedigna, veja esta ligação: Lançamento Fidedigno para VMs Azure - Azure Máquinas Virtuais | Microsoft Learn

Para obter uma lista completa do SO suportado para VMs Confidenciais, veja esta ligação: Acerca Azure VMs confidenciais | Microsoft Learn

Neste artigo

Introdução

O Arranque Seguro é uma funcionalidade de segurança de firmware UEFI que ajuda a garantir que apenas o software fidedigno e assinado digitalmente é executado durante a sequência de arranque da VM. Os certificados de Arranque Seguro da Microsoft emitidos em 2011 começam a expirar em junho de 2026. 

Para manter a proteção de Arranque Seguro e a manutenção contínua do processo de arranque antecipado, Azure Início Fidedigno em execução Linux tem de ser atualizado com certificados SECURE Boot 2023 db e KEK no firmware UEFI virtual. As Máquinas Virtuais Confidenciais para Linux em Azure com certificados antigos têm de ser recriadas. 

Se uma VM continuar a depender dos certificados de 2011 após a expiração, continuará a arrancar. No entanto, deixará de receber novas proteções de segurança sob a forma de atualizações shim e certificados e revogações futuros. 

Identificar cenários que requerem ação 

Reveja os seguintes cenários para determinar se é necessária uma ação: 

  • Linux VMs de Lançamento Fidedigno (TVM) ou VMs Confidenciais (CVM) criadas antes de abril de 2024

  • Azure imagens da Galeria de Computação capturadas a partir de VMs mais antigas (antes de abril de 2024) Linux Trusted Launch ou Confidential VMs

  • Instantâneos ou cópias de segurança de Linux Lançamento Fidedigno ou VMs Confidenciais criadas antes de abril de 2024

  • VMs confidenciais criadas antes de abril de 2024 a partir de blobs, importadas como disco seguro.

Normalmente, o Lançamento Fidedigno e Máquinas Virtuais Confidenciais criados após abril de 2024 já incluem certificados de Arranque Seguro 2023 no firmware UEFI virtual.

Nota: Linux as VMs Confidenciais criadas antes de abril de 2024 não devem ser atualizadas manualmente, uma vez que a Encriptação de Disco Confidencial depende do valor PCR7 do vTPM, que é calculado com base nas variáveis de arranque seguro. Atualizar os certificados de arranque seguro sem garantir que a nova selagem da chave FDE fará com que a VM confidencial entre no modo de recuperação. Recomenda-se recriar essas VMs confidenciais antigas para obter os novos certificados.

Azure considerações de VMs convidadas 

As atualizações de Arranque Seguro para Linux em VMs Azure envolvem dois componentes: 

  • Certificados de Arranque Seguro no firmware virtual (instalados manualmente através de ferramentas fornecidas pelo SO ou automaticamente através de Atualizações de segurança)

  • Linux atualizações shim e bootloader (distribuição gerida pelo fornecedor)

As operações de atualização são iniciadas a partir do sistema operativo convidado e dependem do suporte da plataforma para aplicar atualizações autenticadas a variáveis de Arranque Seguro. 

Depois de identificar os cenários aplicáveis, faça um inventário do seu ambiente para determinar quais as VMs que necessitam de atualizações. 

Ações necessárias 

Para todos os Azure VMs convidadas:

  • Verifique se os certificados de Arranque Seguro 2023 estão presentes no firmware UEFI virtual

Para VMs de Lançamento Fidedigno:

  • Inicie atualizações a partir do sistema operativo da VM convidada Linux, sempre que necessário, de acordo com as ferramentas e orientações recomendadas do fornecedor de distribuição.

  • Para Linux VMs, as atualizações têm de ser aplicadas pela ordem correta.

    Importante: Atualize sempre o firmware de Arranque Seguro (variáveis UEFI) antes de atualizar o shim ou o bootloader. 

  • Atualizar o shim antes de atualizar o firmware primeiro pode resultar numa falha de arranque.

Para VMs Confidenciais:

Implementar atualizações 

As atualizações do certificado de Arranque Seguro para Linux em Azure VMs são iniciadas a partir do sistema operativo convidado. Estas atualizações diferem consoante os fornecedores de distribuição e os clientes devem consultar primeiro o fornecedor de distribuição no método recomendado.  

Recomendações de fornecedores de SO Linux: 

Recomendações por Azure para VMs Confidenciais:

  • O número de CVMs criados antes de abril de 2024 é muito baixo. Se a VM Confidencial for uma das poucas que não tem os novos certificados, siga os passos para recriar o CVM.

Métodos de atualização de firmware 

Nota: Antes de experimentar as atualizações da variável UEFI diretamente em VMs de produção, os clientes podem utilizar o modelo de início rápido Azure para simular a VM de Início Fidedigno Linux com certificados de AC UEFI mais antigos de 2011.

Utilizar fwupd 

Certifique-se de que a VM tem a versão fwupd 2.0.8 ou posterior instalada. 

Para atualizar kek e db, execute estes comandos com fwupdmgr:

sudo fwupdmgr refresh

sudo fwupdmgr update

Utilizar efitools 

Transfira pacotes de atualização DB e KEK para Azure.

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Utilizar o efi-updatevar para instalar os pacotes de atualização

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

sudo reboot

Utilizar sbsigntools 

Transfira pacotes de atualização DB e KEK para Azure. 

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Utilize o utilitário sbkeysync das sbsigntools para instalar os pacotes de atualização:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

sudo reboot

Métodos de verificação 

Utilizar o mokutil 

  • mokutil --db | grep "UEFI CA 2023"

  • mokutil --kek | grep "KEK 2K CA 2023"

Utilizar efitools 

  • efi-readvar -v db | grep "UEFI CA 2023"

  • efi-readvar -v KEK | grep "KEK 2K CA 2023"

  • ​​​​​​​​​​​​​​

Linux atualização da cadeia de arranque 

Após a atualização de firmware com êxito, é seguro aplicar atualizações shim dos fornecedores de distribuição Linux. 

Outras considerações sobre recursos Azure

Azure recurso

Criado antes de abril de 2024

Ação necessária para a TVM

Ação necessária para o CVM

Cópia de segurança/instantâneo

Sim

VM de arranque, aplicar atualizações, recapturar

Recriar o CVM, recapturar

Cópia de segurança/instantâneo

Não

Não é necessária nenhuma ação

Não é necessária nenhuma ação

Imagem da Galeria de Computação

Sim

Implementar, atualizar, recapturar

Recriar o CVM, recapturar

Imagem da Galeria de Computação

Não

Não é necessária nenhuma ação

Não é necessária nenhuma ação

Monitorizar o estado da atualização 

Verifique as atualizações através do SO convidado: 

  • Validar o arranque com êxito após as atualizações

  • Confirme que os certificados de Arranque Seguro estão presentes no firmware

As abordagens de monitorização e validação podem variar consoante Linux distribuição e deve contactar o fornecedor de distribuição. 

Passos de mitigação em caso de falhas de arranque 

No caso de um cenário de falha, como falha de arranque após a atualização da variável UEFI, pode repor as definições de UEFI com um dos métodos abaixo: 

  1. Restaure a cópia de segurança efetuada antes de iniciar o processo de atualização manual.

  2. Converta a VM de Iniciação Fidedigna em VM Standard e volte a aplicar o tipo de segurança Lançamento Fidedigno na VM. (Mais detalhes aqui: Ativar o Lançamento fidedigno em VMs gen2 existentes - Azure Máquinas Virtuais | Microsoft Learn)

  3. Exporte o vhd do SO para uma conta de armazenamento, crie uma imagemda galeria a partir do vhd e implemente a VM com a versão da imagem da galeria.

​​​​​​​​​​​​​​Informações sobre a exclusão de responsabilidade de terceiros

Os produtos de terceiros que este artigo aborda são fabricados por empresas que são independentes da Microsoft. Não estabelecemos garantias, implícitas ou de outro tipo, relativamente ao desempenho ou fiabilidade destes produtos.

Fornecemos informações de contacto de terceiros para o ajudar a obter suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade