Data de publicare inițială: 13 mai 2026
ID KB: 5085395
Acest articol conține instrucțiuni pentru:
-
Azure lansare de încredere Mașini virtuale (TVM) și mașini virtuale confidențiale (CVM) care rulează Windows cu Bootare securizată activată.
-
Pentru lista completă a sistemelor de operare Windows acceptate, consultați articolul: Lansare de încredere pentru Azure mașini virtuale
În acest articol:
Introducere
Secure Boot este o caracteristică de securitate de firmware UEFI care vă ajută să vă asigurați că doar software-ul de încredere, semnat digital rulează în timpul secvenței de boot a dispozitivului. Certificatele Microsoft Secure Boot emise în 2011 încep să expire în iunie 2026.
Pentru a menține protecțiile Secure Boot și a continua service-ul procesului de bootare timpurie, Azure lansare de încredere și mașini virtuale confidențiale trebuie actualizate cu următoarele:
-
Certificate Secure Boot 2023 în firmware virtual
-
Un Manager de boot Windows semnat de certificatele actualizate
Aceste componente funcționează împreună: certificatele stabilesc încrederea în firmware-ul virtual, iar Managerul de boot trebuie actualizat pentru a fi semnat de acea încredere.
Pentru a preveni lacunele în protecție, verificați dacă ambele componente sunt actualizate și inițiați actualizări acolo unde este necesar.
Dacă o mașină virtuală continuă să se bazeze pe certificatele 2011 după expirare, poate continua să booteze și să primească actualizări Windows standard. Cu toate acestea, nu va mai primi noi protecții de securitate pentru procesul de bootare timpurie, inclusiv actualizări la Windows Boot Manager, baze de date Secure Boot și liste de revocare sau atenuări pentru vulnerabilitățile de nivel de boot nou descoperite.
Pentru a afla mai multe, consultați Când expiră certificatele secure Boot pe dispozitiveLe Windows.
Identificați scenariile care necesită acțiune
În majoritatea cazurilor, Windows aplică automat certificatele Secure Boot 2023 prin actualizări lunare pe dispozitivele eligibile, inclusiv pe cele acceptate Azure lansare de încredere și mașini virtuale confidențiale cu Bootare sigură activată. Este posibil ca unele mașini virtuale să nu se califice pentru implementare automată dacă nu sunt disponibile suficiente semnale de compatibilitate. În aceste cazuri, pot fi necesare acțiuni administrative pentru a iniția actualizări din cadrul sistemului de operare invitat. Pentru mai multe informații despre obținerea actualizărilor certificatelor Secure Boot, vizitați: Actualizări secure boot certificate: Instrucțiuni pentru profesioniști IT și organizații.
Actualizările Secure Boot pentru lansarea de încredere Azure și mașinile virtuale confidențiale implică două componente:
-
Certificate secure Boot stocate în firmware virtual (gestionate de platformă)
-
Windows Boot Manager (gestionat de sistemul de operare invitat)
Mașinile virtuale create după martie 2024 includ deja certificate secure Boot 2023 în firmware virtual. Aceste mașini virtuale necesită în general doar o actualizare Windows Boot Manager.
Mașinile virtuale de lungă durată create înainte de martie 2024 nu includ certificatele Secure Boot 2023 în firmware-ul virtual și necesită actualizări atât la certificatele Secure Boot, cât și la Windows Boot Manager.
Operațiunile de actualizare sunt inițiate din cadrul sistemului de operare invitat prin intermediul serviciilor Windows și se bazează pe suportul de platformă pentru a aplica actualizări autentificate la variabilele Secure Boot în firmware-ul virtual.
După identificarea scenariilor aplicabile, inventariați mediul pentru a determina ce mașini virtuale necesită actualizări.
Acțiuni necesare:
-
Asigurați-vă că mașinile virtuale invitat sunt actualizate cu actualizarea Windows din martie 2026 sau cu o versiune mai recentă (aprilie 2026 sau o versiune mai recentă, dacă utilizați hotpatching). Vedeți mai multe: Hotpatch pentru Windows Server.
-
Verificați dacă toate Azure lansare de încredere și mașini virtuale confidențiale au certificate Secure Boot 2023 și un Manager de boot Windows actualizat.
-
Inițiați actualizări din cadrul sistemului de operare invitat pentru a aplica certificatul de bootare securizată și actualizările Managerului de boot Windows acolo unde este necesar.
-
Auditați jurnalele de evenimente ale sistemului Windows: ID-ul de eveniment 1808 și ID-ul de eveniment 1801 sau monitorizați cheia de registry UEFICA2023Status pentru a confirma dacă s-au aplicat certificate de boot secure actualizate și dacă s-a actualizat Managerul de boot Windows.
Pentru dispozitivele care nu au aplicat aceste actualizări, utilizați metodele de monitorizare și implementare descrise în secure Boot playbookWindows Server Secure Boot playbook pentru certificatele care expiră în 2026 și la https://aka.ms/GetSecureBoot pentru instrucțiuni complete.
Azure considerații despre mașinile virtuale invitat
Examinați următoarele scenarii și acțiunile necesare pentru gazdele de sesiune:
|
Scenariu VM |
Bootare sigură activă? |
Acțiune necesară |
|
TVM sau CVM cu bootare securizată activată |
Da |
Actualizarea certificatelor secure boot și a Managerului de boot Windows |
|
TVM cu boot securizat dezactivat |
Nu |
Nu este necesară nicio acțiune |
|
Generația 1 VM |
Neacceptat |
Nu este necesară nicio acțiune |
Notă: Standard mașinile virtuale de tip securitate nu au Secure Boot activat.
Considerente de imagine aurie
Revizuiți următoarele scenarii și acțiunile necesare pentru imagini:
Notă: Azure imaginile din Marketplace oferă puncte de plecare preconfigurate, imagini cu vanilă sau imagini implicite ale editorilor, în timp ce imaginile Azure Compute Gallery sunt utilizate pentru a stoca și a distribui imagini particularizate. În ambele cazuri, imaginile capturează Managerul de boot Windows, dar nu includ variabile de firmware secure boot, care sunt aplicate la nivel de mașină virtuală.
Azure Galeria de calcul și imaginile gestionate captează sistemul de operare și starea încărcătorului de boot, inclusiv Windows Boot Manager, dar nu includ variabile de firmware secure boot. Certificatele Secure Boot, cum ar fi actualizările bazei de date Secure Boot (DB) sau cheile cheie de schimb (KEK) sunt stocate în firmware-ul virtual al mașinii virtuale implementate și nu sunt capturate în timpul generalizării imaginilor.
Aplicarea actualizărilor Secure Boot într-o imagine aurie avansează în Windows Boot Manager, dar nu persistă certificatele Secure Boot pe mașinile virtuale cărora le-a fost asigurat accesul din acea imagine. Totuși, efectuarea acestei actualizări avansează în managerul de boot Windows din imagine.
Acțiuni necesare:
-
Aplicați actualizarea Secure Boot 2023 la imaginea de aur înainte de a o captura. Notă: Acest lucru va duce Managerul de boot Windows, dar nu va menține certificatele secure Boot la mașinile virtuale implementate.
-
Reporniți VM după cum este necesar pentru a permite aplicarea actualizării Managerului de boot.
-
Verificați dacă actualizarea s-a terminat înainte de a generaliza imaginea, rulând următoarea comandă PowerShell și confirmând că valoarea este setată la Actualizat:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Actualizarea Managerului de boot Windows într-o imagine aurie aplică acea actualizare la mașinile virtuale implementate sau rede implementate utilizând imaginea. Accesul nou Azure lansare de încredere și mașini virtuale confidențiale includ certificatele Secure Boot 2023 în firmware-ul virtual și pot utiliza în siguranță imagini de aur cu Managerul de boot Windows actualizat.
Cu toate acestea, reimplementările bazate pe imagini pe mașinile virtuale existente create înainte de martie 2024 ar putea aplica Managerul de boot Windows actualizat pentru mașinile virtuale al căror firmware nu are încă încredere în certificatele Secure Boot 2023 corespunzătoare. În aceste cazuri, actualizările certificatelor de boot securizat ar trebui să fie aplicate în cadrul sistemului de operare invitat înainte de a avansa în Windows Boot Manager.
Alte considerații privind resursele Azure
|
Azure resursă |
Creat înainte de aprilie 2024? |
Acțiune necesară |
|---|---|---|
|
Backup/instantaneu AL TVM sau CVM |
Da |
Bootați VM, aplicați actualizări, apoi recuperați |
|
Backup/instantaneu AL TVM sau CVM |
Nu |
Nu este necesară nicio acțiune |
|
Azure Imagini din Galeria de calcul capturi cu capturi (tip de securitate imagine = TL sau CVM) de la TVM sau CVM |
Da |
Bootați VM, aplicați actualizări, apoi recuperați |
|
Azure Imagini din Galeria de calcul capturi cu capturi (tip de securitate imagine = TL sau CVM) de la TVM sau CVM |
Nu |
Nu este necesară nicio acțiune |
Monitorizați starea actualizării
Monitorizarea și implementarea actualizărilor certificatului de bootare securizată în Azure lansare de încredere și mașini virtuale confidențiale urmează aceleași instrucțiuni de service Windows utilizate pentru dispozitivele fizice și virtualizate.
Pentru instrucțiuni detaliate de monitorizare, inclusiv despre inventarierea dispozitivelor, verificarea actualizărilor variabilelor firmware și urmărirea progresului actualizărilor, consultați Secure Boot Playbook pentru Windows Server și https://aka.ms/GetSecureBoot.
Implementarea actualizărilor
Actualizările certificatului de bootare securizată pentru Azure lansare de încredere și mașini virtuale confidențiale sunt inițiate din cadrul sistemului de operare invitat utilizând serviciile Windows.
Urmați instrucțiunile de implementare din Secure Boot Playbook pentru Windows Server pentru:
-
implementare automată prin Windows Update
-
Metode de implementare inițiate de IT
-
chei de registry de service
-
secvențiere implementare
Atunci când utilizați imagini de mașină virtuală particularizate sau reutilizate, consultați Considerații privind imaginea de aur din acest articol înainte de a avansa în Windows Boot Manager.
Resurse
-
Marcaj Obțineți bootarea sigură pentru mai multe informații despre această modificare, instrucțiuni detaliate pentru gestionarea actualizării certificatului de bootare securizată și răspunsuri la întrebări frecvente.
-
Actualizări secure boot certificate: instrucțiuni pentru profesioniști IT și organizații
-
Pentru mai multe detalii despre evenimentele din jurnalul de evenimente, consultați Evenimente de actualizare a variabilelor Secure Boot DB și DBX.
-
Pentru mai multe detalii despre cheile de registry Secure Boot, consultați Actualizări de chei de registry pentru Bootare securizată: dispozitive Windows cu actualizări gestionate de IT.
Dacă aveți un plan de asistență și aveți nevoie de ajutor tehnic, trimiteți o solicitare de asistență.
Jurnal de modificări
|
Modificare dată |
Modificare descriere |
|
13 mai 2026 |
Nu există modificări în acest articol |
