Aktualizácia zabezpečeného spustenia od roku 2011 do roku 2023 certifikáty: Dôveryhodné spustenie virtuálnych počítačoch (TVM) a dôverných virtuálnych počítačoch (CVM)

Úvod

Zabezpečené spustenie je funkcia zabezpečenia firmvéru UEFI, ktorá pomáha zabezpečiť, aby sa počas spustenia zariadenia spustil iba dôveryhodný digitálne podpísaný softvér. Platnosť certifikátov zabezpečeného spustenia od spoločnosti Microsoft vydaných v roku 2011 sa začína v júni 2026.

Ak chcete zachovať zabezpečenie zabezpečeného spustenia a nepretržitú údržbu procesu skorého spustenia, Azure dôveryhodné spustenie a dôverné virtuálne počítače musia byť aktualizované oboma z týchto:

Certifikáty zabezpečeného spustenia systému 2023 vo virtuálnom firmvéri
Správca spustenia systému Windows podpísaný aktualizovanými certifikátmi

Tieto súčasti spolupracujú: certifikáty vytvárajú dôveru vo virtuálny firmvér a správca spustenia musí byť aktualizovaný, aby bol podpísaný danou dôveryhodnosťou.

Ak chcete zabrániť nedostatkom v ochrane, overte, či sa obe súčasti aktualizujú a podľa potreby inicializovali aktualizácie.

Ak sa virtuálny počítač naďalej spolieha na certifikáty z roku 2011 po uplynutí platnosti, môže pokračovať v spúšťaní a prijímaní štandardných aktualizácií Windowsu. Už však nebude dostávať nové ochrany zabezpečenia pre proces skorého spustenia vrátane aktualizácií správcu spúšťania systému Windows, databáz zabezpečeného spustenia a zoznamov zrušenia alebo zmiernení novoobjavených chýb na úrovni spustenia.

Ďalšie informácie nájdete v téme Uplynutie platnosti certifikátov zabezpečeného spustenia v zariadeniach s Windowsom.

Späť na začiatok

Identifikácia scenárov, ktoré vyžadujú akciu

Windows vo väčšine prípadov automaticky používa certifikáty zabezpečeného spustenia 2023 prostredníctvom mesačných aktualizácií v oprávnených zariadeniach vrátane podporovaných Azure dôveryhodného spustenia a dôverných virtuálnych počítačoch s povoleným zabezpečeným spustením. Niektoré virtuálne počítačy nemusia spĺňať podmienky automatického nasadenia, ak nie sú k dispozícii dostatočné signály kompatibility. V takýchto prípadoch môže byť na spustenie aktualizácií z hosťovského operačného systému potrebná správcovská akcia. Ďalšie informácie o tom, ako získať aktualizácie certifikátov zabezpečeného spustenia, nájdete v téme: Aktualizácie certifikátov zabezpečeného spustenia: Sprievodný materiál pre IT profesionálov a organizácie.

Aktualizácie zabezpečeného spustenia pre Azure dôveryhodné spustenie a dôverné virtuálne počítače zahŕňajú dve súčasti:

Certifikáty zabezpečeného spustenia uložené vo virtuálnom firmvéri (spravované platformou)
Windows Boot Manager (hosťovský OS spravovaný)

Virtuálne počítače vytvorené po marci 2024 už zvyčajne obsahujú certifikáty zabezpečeného spustenia 2023 do virtuálneho firmvéru. Tieto virtuálne počítačy vo všeobecnosti vyžadujú len aktualizáciu Správcu spúšťania systému Windows.

Dlho spracúvané virtuálne počítače vytvorené pred marcom 2024 nezahŕňajú certifikáty zabezpečeného spustenia 2023 do virtuálneho firmvéru a vyžadujú aktualizácie certifikátov zabezpečeného spustenia aj správcu systému Windows Boot Manager.

Operácie aktualizácie sa inicializuje z hosťovského operačného systému prostredníctvom údržby systému Windows a spoliehajú sa na podporu platformy na použitie overených aktualizácií premenných zabezpečeného spustenia vo virtuálnom firmvéri.

Po identifikovaní príslušných scenárov zadajte do inventára svoje prostredie, aby ste zistili, ktoré virtuálne počítače vyžadujú aktualizácie.

Vyžadujú sa akcie:

Skontrolujte, či sú hosťovské virtuálne počítačy aktualizované aktualizáciou Windowsu z marca 2026 alebo novšou verziou (apríl 2026 alebo novšia, ak používate aktualizáciu hotpatching). Ďalšie informácie: Hotpatch for Windows Server.
Overte, či majú všetky Azure dôveryhodné spustenie a dôverné virtuálne počítačy certifikáty zabezpečeného spustenia 2023 a aktualizovaný Správca spúšťania systému Windows.
Inicializuje aktualizácie z hosťovského operačného systému a v prípade potreby použije certifikát zabezpečeného spustenia a aktualizácie správcu spúšťania systému Windows.
Auditujte denníky udalostí systému Windows: IDENTIFIKÁCIA udalosti 1808 a IDENTIFIKÁCIA udalosti 1801 alebo monitorujte kľúč databázy Registry UEFICA2023Status a overte, či sa použili aktualizované certifikáty zabezpečeného spustenia a či bol správca spúšťania systému Windows aktualizovaný.

V zariadeniach, ktoré tieto aktualizácie nepoužili, použite metódy monitorovania a nasadenia popísané v scenári zabezpečeného spustenia, Windows Server playbooku zabezpečeného spustenia pre certifikáty, ktorých platnosť vyprší v roku 2026, a na https://aka.ms/GetSecureBoot úplný sprievodný materiál.

Späť na začiatok

Azure dôležité informácie o virtuálnych počítačoch hostí

Pozrite si nasledujúce scenáre a požadované akcie pre hostiteľov relácií:

Scenár virtuálneho počítaču	Je zabezpečené spustenie aktívne?	Vyžaduje sa akcia
TVM alebo CVM so zapnutým zabezpečeným spustením	Áno	Aktualizácia certifikátov zabezpečeného spustenia a Správcu spúšťania systému Windows
TVM s vypnutým zabezpečeným štartom	Nie	Nie je potrebná žiadna akcia
Generation 1 VM	Nepodporované	Nie je potrebná žiadna akcia

Poznámka: Standard virtuálnych počítačoch typu zabezpečenia nie je povolené zabezpečené spustenie.

Späť na začiatok

Dôležité informácie o zlatých obrázkoch

Pozrite si nasledujúce scenáre a požadované akcie pre obrázky:

Poznámka: Azure obrázky zo služby Marketplace poskytujú vopred nakonfigurované začiatočné body, vanilku alebo predvolené obrázky vydavateľov, zatiaľ čo obrázky Azure Compute Gallery sa používajú na ukladanie a distribúciu prispôsobených obrázkov. V oboch prípadoch obrázky zachytávajú nástroj Windows Boot Manager, ale nezahŕňajú premenné firmvéru zabezpečeného spustenia, ktoré sa používajú na úrovni virtuálneho počítača.

Vývojový diagram na určenie, či je pre obrázky potrebná akcia

Azure Galéria výpočtov a spravované obrázky zachytávajú stav operačného systému a zavádzacieho zariadenia vrátane správcu spúšťania systému Windows, ale nezahŕňajú premenné firmvéru zabezpečeného spustenia. Certifikáty zabezpečeného spustenia, ako sú napríklad aktualizácie databázy zabezpečeného spustenia (DB) alebo kľúče výmeny kľúčov (KEK), sú uložené vo virtuálnom firmvéri nasadeného virtuálneho počítača a počas zovšeobecnenia obrázka sa nezachytávajú.

Použitím aktualizácií zabezpečeného spustenia v rámci zlatého obrázka sa program Windows Boot Manager predlží, ale nezachová certifikáty zabezpečeného spustenia vo virtuálnych počítačoch z tohto obrázka. Avšak, vykonanie tejto aktualizácie zálohy Systému Windows Boot Manager v rámci obrazu.

Vyžadujú sa akcie:

Použite aktualizáciu zabezpečeného spustenia 2023 na zlatý obrázok pred jeho zachytením. Poznámka: Týmto sa presunie správca spustenia systému Windows, ale nezachová certifikáty zabezpečeného spustenia na nasadených virtuálnych počítačoch.
Reštartujte virtuálny počítač podľa potreby, aby sa povolila aktualizácia správcu spustenia.
Pred zovšeobecnením obrázka overte, či sa aktualizácia dokončila spustením nasledujúceho príkazu prostredia PowerShell a potvrďte, že hodnota je nastavená na možnosť Aktualizované:

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Aktualizácia nástroja Windows Boot Manager v rámci zlatého obrázka sa vzťahuje na aktualizáciu virtuálnych počítačov nasadených alebo opätovne nasadených pomocou obrázka. Novo poskytnuté Azure dôveryhodné spustenie a dôverné virtuálne počítače zahŕňajú certifikáty Secure Boot 2023 vo virtuálnom firmvéri a môžu bezpečne používať zlaté obrázky s aktualizovaným správcom systému Windows Boot Manager.

Premiestnenia na základe obrázkov do existujúcich virtuálnych počítačov vytvorených pred marcom 2024 však môžu použiť aktualizovaný Nástroj Windows Boot Manager na virtuálne počítače, ktorých firmvér ešte nedôveruje príslušným certifikátom zabezpečeného spustenia 2023. V takýchto prípadoch by sa aktualizácie certifikátov zabezpečeného spustenia mali použiť v rámci hosťovského operačného systému pred tým, než sa spustí správca spúšťania systému Windows.

Späť na začiatok

Ďalšie dôležité informácie o Azure zdrojoch

Azure zdroj	Vytvorené pred aprílom 2024?	Vyžaduje sa akcia
Zálohovanie alebo snímka TVM alebo CVM	Áno	Spustenie virtuálneho počítača, použitie aktualizácií a následné opätovné spustenie
Zálohovanie alebo snímka TVM alebo CVM	Nie	Nie je potrebná žiadna akcia
Azure snímka z galérie výpočtov s (typ zabezpečenia obrazu = TL alebo CVM) z TVM alebo CVM	Áno	Spustenie virtuálneho počítača, použitie aktualizácií a následné opätovné spustenie
Azure snímka z galérie výpočtov s (typ zabezpečenia obrazu = TL alebo CVM) z TVM alebo CVM	Nie	Nie je potrebná žiadna akcia

Späť na začiatok

Monitorovanie stavu aktualizácie

Monitorovanie a nasadenie aktualizácií certifikátov zabezpečeného spustenia v Azure dôveryhodných spúšťacích a dôverných virtuálnych počítačoch sa riadi rovnakými sprievodnými materiálmi k údržbe Systému Windows, ktoré sa používajú pre fyzické a virtualizované zariadenia.

Podrobné pokyny na monitorovanie vrátane spôsobu inventára zariadení, overenia aktualizácií premenných firmvéru a sledovania priebehu aktualizácií nájdete v scenári zabezpečeného spustenia pre Windows Server a https://aka.ms/GetSecureBoot.

Nasadenie aktualizácií

Aktualizácie certifikátov zabezpečeného spustenia pre Azure dôveryhodné spustenie a dôverné virtuálne počítače sa inicializuje z hosťovského operačného systému pomocou služby systému Windows.

Postupujte podľa pokynov na nasadenie v scenári zabezpečeného spustenia pre Windows Server pre:

automatické nasadenie prostredníctvom Windows Update
Metódy nasadenia iniciované IT
kľúče databázy Registry údržby
sekvencovanie nasadenia

Pri používaní vlastných alebo opätovne použiteľných obrázkov z virtuálneho počítača si pozrite dôležité informácie o zlatých obrázkoch v tomto článku pred tým, ako prejdete na Správcu spúšťania systému Windows.

Späť na začiatok

Zdroje informácií

Záložka Získať zabezpečené spustenie pre viac informácií o tejto zmene, podrobné pokyny pre správu aktualizácie certifikátu zabezpečeného spustenia, a odpovede na najčastejšie otázky.
Scenár zabezpečeného spustenia pre Windows Server
Aktualizácie certifikátu zabezpečeného spustenia: Sprievodný materiál pre odborníkov v oblasti IT a organizácie
Ďalšie informácie o udalostiach denníka udalostí nájdete v témach Secure Boot DB a DBX variable update events.
Ďalšie informácie o kľúčoch databázy Registry zabezpečeného spustenia nájdete v téme Aktualizácie kľúčov databázy Registry pre zabezpečené spustenie: zariadenia s Windowsom s aktualizáciami spravovanými IT.

Ak máte plán podpory a potrebujete technickú pomoc, odošlite žiadosť o podporu. 

Späť na začiatok

Denník zmien

Zmeniť dátum	Zmeniť popis
13. mája 2026	Tento článok neobsahuje žiadne zmeny

Späť na začiatok

Aktualizácia zabezpečeného spustenia od roku 2011 do roku 2023 certifikáty: Dôveryhodné spustenie virtuálnych počítačoch (TVM) a dôverných virtuálnych počítačoch (CVM)

Úvod

Identifikácia scenárov, ktoré vyžadujú akciu

Azure dôležité informácie o virtuálnych počítačoch hostí

Dôležité informácie o zlatých obrázkoch

Ďalšie dôležité informácie o Azure zdrojoch

Monitorovanie stavu aktualizácie

Nasadenie aktualizácií

Zdroje informácií

Denník zmien

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!