Исходная дата публикации: 13 мая 2026 г.
Идентификатор базы знаний: 5085395
В этой статье содержатся рекомендации по следующим вопросам:
-
Azure Виртуальные машины доверенного запуска (TVM) и конфиденциальных виртуальных машин (CVM) под управлением Windows с включенной безопасной загрузкой.
-
Полный список поддерживаемых операционных систем Windows см. в статье Доверенный запуск для Azure виртуальных машин.
В этой статье:
Введение
Безопасная загрузка — это функция безопасности встроенного ПО UEFI, которая помогает гарантировать, что во время загрузки устройства выполняется только доверенное программное обеспечение с цифровой подписью. Срок действия сертификатов безопасной загрузки Майкрософт, выданных в 2011 году, начинается в июне 2026 г.
Чтобы обеспечить защиту безопасной загрузки и продолжить обслуживание процесса ранней загрузки, Azure доверенные виртуальные машины запуска и конфиденциальные виртуальные машины должны быть обновлены с помощью следующих компонентов:
-
Сертификаты безопасной загрузки 2023 в виртуальном встроенном ПО
-
Диспетчер загрузки Windows, подписанный обновленными сертификатами
Эти компоненты работают вместе: сертификаты устанавливают доверие к виртуальному встроенному ПО, а диспетчер загрузки необходимо обновить, чтобы он был подписан этим доверием.
Чтобы избежать пробелов в защите, убедитесь, что оба компонента обновлены, и инициируйте обновления при необходимости.
Если после истечения срока действия виртуальная машина продолжает полагаться на сертификаты 2011 года, она может продолжать загружаться и получать стандартные обновления Windows. Однако он больше не будет получать новые средства безопасности для процесса ранней загрузки, включая обновления диспетчера загрузки Windows, базы данных безопасной загрузки и списки отзыва, а также устранение новых уязвимостей на уровне загрузки.
Дополнительные сведения см. в статье Истечение срока действия сертификатов безопасной загрузки на устройствах Windows.
Определение сценариев, требующих действий
В большинстве случаев Windows автоматически применяет сертификаты безопасной загрузки 2023 с помощью ежемесячных обновлений на соответствующих устройствах, включая поддерживаемые Azure доверенного запуска и конфиденциальные виртуальные машины с включенной безопасной загрузкой. Если отсутствуют достаточные сигналы совместимости, некоторые виртуальные машины могут не иметь права на автоматическое развертывание. В таких случаях для запуска обновлений в гостевой операционной системе могут потребоваться административные действия. Дополнительные сведения о том, как получить обновления сертификатов безопасной загрузки, см. в статье Обновления сертификатов безопасной загрузки: руководство для ИТ-специалистов и организаций.
Обновления безопасной загрузки для доверенных и конфиденциальных виртуальных машин Azure включают два компонента:
-
Сертификаты безопасной загрузки, хранящиеся в виртуальном встроенном ПО (управляемые платформой)
-
Диспетчер загрузки Windows (под управлением гостевой ОС)
Виртуальные машины, созданные после марта 2024 г., обычно уже включают сертификаты безопасной загрузки 2023 в виртуальном встроенном ПО. Для этих виртуальных машин обычно требуется только обновление диспетчера загрузки Windows.
Долго работающие виртуальные машины, созданные до марта 2024 г., не включают сертификаты безопасной загрузки 2023 в виртуальном встроенном ПО и требуют обновления сертификатов безопасной загрузки и диспетчера загрузки Windows.
Операции обновления инициируются из гостевой операционной системы через обслуживание Windows и используют поддержку платформы для применения проверенных обновлений к переменным безопасной загрузки в виртуальном встроенном ПО.
После определения применимых сценариев выполните инвентаризацию среды, чтобы определить, какие виртуальные машины требуют обновления.
Необходимые действия:
-
Убедитесь, что гостевые виртуальные машины обновлены с обновлением Windows за март 2026 г. или более поздней (за апрель 2026 г. или более поздней версии, если используется горячее исправление). Дополнительные сведения см. в статье Hotpatch для Windows Server.
-
Убедитесь, что все Azure доверенных и конфиденциальных виртуальных машин имеют сертификаты безопасной загрузки 2023 и обновленный диспетчер загрузки Windows.
-
Инициируйте обновления из гостевой операционной системы, чтобы при необходимости применить обновления сертификата безопасной загрузки и диспетчера загрузки Windows.
-
Аудит журналов событий системы Windows: события с идентификатором 1808 и событием 1801 или мониторинг раздела реестра UEFICA2023Status, чтобы проверить, применены ли обновленные сертификаты безопасной загрузки и обновлен ли диспетчер загрузки Windows.
Для устройств, которые не применяли эти обновления, используйте методы мониторинга и развертывания, описанные в сборнике схем безопасной загрузки, Windows Server сборник схем безопасной загрузки для сертификатов, срок действия которых истекает в 2026 году, и https://aka.ms/GetSecureBoot для получения полных рекомендаций.
рекомендации по Azure гостевых виртуальных машин
Просмотрите следующие сценарии и необходимые действия для узлов сеансов:
|
Сценарий виртуальной машины |
Безопасная загрузка активна? |
Требуется действие |
|
TVM или CVM с включенной безопасной загрузкой |
Да |
Обновление сертификатов безопасной загрузки и диспетчера загрузки Windows |
|
TVM с отключенной безопасной загрузкой |
Нет |
Никаких действий не требуется |
|
Виртуальная машина поколения 1 |
Не поддерживается |
Никаких действий не требуется |
Примечание: Standard виртуальных машинах типа безопасности не включена безопасная загрузка.
Рекомендации по золотому изображению
Просмотрите следующие сценарии и необходимые действия для образов:
Примечание: Azure образы Marketplace предоставляют предварительно настроенные начальные точки, образы ванили или издателей по умолчанию, а образы Azure коллекции вычислений используются для хранения и распространения настраиваемых образов. В обоих случаях образы фиксируют диспетчер загрузки Windows, но не включают переменные встроенного ПО безопасной загрузки, которые применяются на уровне виртуальной машины.
Azure коллекция вычислений и управляемые образы фиксируют состояние операционной системы и загрузчика, включая диспетчер загрузки Windows, но не включают переменные встроенного ПО безопасной загрузки. Сертификаты безопасной загрузки, такие как обновления базы данных безопасной загрузки (DB) или ключи обмена ключами (KEK), хранятся в виртуальном встроенном ПО развернутой виртуальной машины и не записываются во время обобщения образа.
Применение обновлений безопасной загрузки в золотом образе продвигает диспетчер загрузки Windows, но не сохраняет сертификаты безопасной загрузки на виртуальных машинах, подготовленных из этого образа. Однако при выполнении этого обновления диспетчер загрузки Windows перемещает его в образ.
Необходимые действия:
-
Примените обновление безопасной загрузки 2023 к золотому образу перед его записью. Примечание. Это позволяет усовершенствовать диспетчер загрузки Windows, но сертификаты безопасной загрузки не будут сохраняться на развернутых виртуальных машинах.
-
Перезапустите виртуальную машину по мере необходимости, чтобы разрешить применение обновления диспетчера загрузки.
-
Убедитесь, что обновление завершено, прежде чем обобщать образ, выполнив следующую команду PowerShell и убедившись, что для параметра задано значение Обновлено:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Обновление диспетчера загрузки Windows в золотом образе применяется к виртуальным машинам, развернутыми или повторно развернутыми с помощью образа. Недавно подготовленные Azure доверенных и конфиденциальных виртуальных машин включают сертификаты безопасной загрузки 2023 в виртуальном встроенном ПО и могут безопасно использовать золотые образы с обновленным диспетчером загрузки Windows.
Однако повторное развертывание на основе образов на существующих виртуальных машинах, созданных до марта 2024 г., может применять обновленный диспетчер загрузки Windows к виртуальным машинам, встроенное ПО которых еще не доверяет соответствующим сертификатам безопасной загрузки 2023. В этих случаях обновления сертификатов безопасной загрузки должны применяться в гостевой операционной системе, прежде чем переходить к работе с диспетчером загрузки Windows.
Рекомендации по другим ресурсам Azure
|
ресурс Azure |
Создано до апреля 2024 г.? |
Требуется действие |
|---|---|---|
|
Резервное копирование или snapshot TVM или CVM |
Да |
Загрузите виртуальную машину, примените обновления, а затем повторное извлечение |
|
Резервное копирование или snapshot TVM или CVM |
Нет |
Никаких действий не требуется |
|
Azure записи изображений из коллекции вычислений с помощью (тип безопасности образа = TL или CVM) из TVM или CVM |
Да |
Загрузите виртуальную машину, примените обновления, а затем повторное извлечение |
|
Azure записи изображений из коллекции вычислений с помощью (тип безопасности образа = TL или CVM) из TVM или CVM |
Нет |
Никаких действий не требуется |
Мониторинг состояния обновления
Мониторинг и развертывание обновлений сертификатов безопасной загрузки в Azure доверенных и конфиденциальных виртуальных машинах соответствуют тем же рекомендациям по обслуживанию Windows, которые используются для физических и виртуализированных устройств.
Подробные рекомендации по мониторингу, включая инвентаризацию устройств, проверку обновлений переменных встроенного ПО и отслеживание хода обновления, см. в сборнике схем безопасной загрузки для Windows Server и https://aka.ms/GetSecureBoot.
Развертывание обновлений
Обновления сертификатов безопасной загрузки для Azure доверенных и конфиденциальных виртуальных машин инициируются из гостевой операционной системы с помощью обслуживания Windows.
Следуйте указаниям по развертыванию в сборнике схем безопасной загрузки для Windows Server для:
-
автоматическое развертывание через клиентский компонент Центра обновления Windows
-
Методы развертывания, инициированные ИТ-службой
-
обслуживание разделов реестра
-
виртуализация развертывания
При использовании пользовательских или повторно используемых образов виртуальных машин ознакомьтесь с рекомендациями по использованию золотого образа в этой статье, прежде чем использовать диспетчер загрузки Windows.
Ресурсы
-
Закладка Получить безопасную загрузку для получения дополнительных сведений об этом изменении, подробных рекомендаций по управлению обновлением сертификата безопасной загрузки и ответов на часто задаваемые вопросы.
-
Обновления сертификатов безопасной загрузки: руководство для ИТ-специалистов и организаций
-
Дополнительные сведения о событиях журнала событий см. в разделе События обновления для базы данных безопасной загрузки и переменных DBX.
-
Дополнительные сведения о разделах реестра безопасной загрузки см. в разделе Обновления разделов реестра для безопасной загрузки: устройства Windows с обновлениями, управляемыми ИТ-службой.
Если у вас есть план поддержки и вам нужна техническая помощь, отправьте запрос на поддержку.
Журнал изменений
|
Дата изменения |
Описание изменений |
|
13 мая 2026 г. |
В этой статье нет изменений |
