Opomba
- Prvotni datum objave: 13 maja, 2026
- ID zbirke znanja: 5085395
Opomba
Ta članek vsebuje navodila za:
- Azure Trusted Launch Virtual Machines (TVM) in zaupne virtualne računalnike (CVM) s sistemom Windows z omogočenim varnim zagonom.
- Če si želite ogledati celoten seznam podprtih operacijskih sistemov Windows, glejte članek: Zaupanja vreden zagon za navidezne računalnike Azure
V tem članku:
Uvod
Varni zagon je varnostna funkcija vdelane programske opreme UEFI, ki pomaga zagotoviti, da se med zagonskim zaporedjem naprave izvaja samo zaupanja vredna, digitalno podpisana programska oprema. Microsoftova potrdila za varen zagon, izdana leta 2011, potečejo junija 2026.
Če želite ohraniti zaščito varnega zagona in nadaljevati servisiranje postopka zgodnjega zagona, morate navidezne računalnike Azure Trusted Launch in Confidential posodobiti z obema naslednjima možnostjo:
- Certifikati varnega zagona 2023 v navidezni vdelani programski opremi
- Upravitelj zagona sistema Windows, ki ga podpišejo posodobljena potrdila
Te komponente delujejo skupaj: potrdila vzpostavijo zaupanje v navidezno vdelano programsko opremo in upravitelj zagona mora biti posodobljen, da ga to zaupanje podpiše.
Če želite preprečiti vrzeli v zaščiti, preverite, ali sta obe komponenti posodobljeni, in po potrebi zaženite posodobitve.
Če se VM po poteku še naprej zanaša na potrdila 2011, se lahko še naprej zažene in prejema standardne posodobitve sistema Windows. Vendar pa ne bo več prejemal novih varnostnih zaščit za zgodnji zagonski postopek, vključno s posodobitvami upravitelja zagona sistema Windows, zbirkami podatkov varnega zagona in seznami preklicov ali ublažitvami za novo odkrite ranljivosti na ravni zagona.
Če želite izvedeti več, glejte Ko potrdila varnega zagona potečejo v napravah s sistemom Windows.
Prepoznajte scenarije, ki zahtevajo ukrepanje
V večini primerov Windows samodejno uporabi potrdila varnega zagona 2023 z mesečnimi posodobitvami v upravičenih napravah, vključno s podprtimi zaupanja vrednimi zagoni Azure in zaupnimi virtualnimi računalniki z omogočenim varnim zagonom. Nekateri virtualni računalniki morda ne izpolnjujejo pogojev za samodejno uvedbo, če ni na voljo dovolj signalov združljivosti. V teh primerih bo morda potrebno skrbniško ukrepanje za sprožitev posodobitev iz gostujočega operacijskega sistema. Če želite več informacij o tem, kako pridobiti posodobitve potrdil za varni zagon, obiščite: Posodobitve potrdil za varni zagon: Navodila za strokovnjake in organizacije za IT.
Posodobitve varnega zagona za Azure Trusted Launch in zaupne virtualne računalnike vključujejo dve komponenti:
- Potrdila za varen zagon, shranjena v navidezni vdelani programski opremi (upravljana s platformo)
- Upravitelj zagona sistema Windows (upravljan z gostujočim operacijskim sistemom)
Navidezni stroji, ustvarjeni po marcu 2024, običajno že vključujejo potrdila Secure Boot 2023 v navidezni vdelani programski opremi. Ti virtualni računalniki običajno zahtevajo samo posodobitev upravitelja zagona sistema Windows.
Dolgotrajni navidezni stroji, ustvarjeni pred marcem 2024, ne vključujejo potrdil Secure Boot 2023 v navidezno vdelano programsko opremo in zahtevajo posodobitve potrdil za varen zagon in upravitelja zagona sistema Windows.
Postopki posodabljanja se začnejo v gostujočem operacijskem sistemu prek servisiranja sistema Windows in se zanašajo na podporo platforme za uporabo preverjenih posodobitev za spremenljivke varnega zagona v navidezni vdelani programski opremi.
Ko prepoznate ustrezne scenarije, pregledajte svoje okolje in ugotovite, kateri virtualni računalniki zahtevajo posodobitve.
Zahtevana dejanja:
- Prepričajte se, da so gostujoči virtualni računalniki posodobljeni s posodobitvijo sistema Windows iz marca 2026 ali novejšo (april 2026 ali pozneje, če uporabljate hotpatching). Oglejte si več: Hotpatch za Windows Server.
- Preverite, ali imajo vsi virtualni računalniki Azure Trusted Launch in Confidential potrdila za varen zagon 2023 in posodobljenega upravitelja zagona sistema Windows.
- Zaženite posodobitve v gostujočem operacijskem sistemu, da po potrebi uporabite potrdilo za varen zagon in posodobitve upravitelja zagona sistema Windows.
- Nadzorujte dnevnike dogodkov sistema Windows: ID dogodka 1808 in ID dogodka 1801 ali spremljajte registrski ključ UEFICA2023Status , da preverite, ali so bila uporabljena posodobljena potrdila za varen zagon in ali je bil posodobljen upravitelj zagona sistema Windows.
Za naprave, ki niso uporabile teh posodobitev, uporabite načine nadzora in uvajanja, opisane v priročniku varnega zagonaWindows Server priročniku varnega zagona za potrdila, ki potečejo leta 2026, in https://aka.ms/GetSecureBoot za popolna navodila.
Premisleki o virtualnem računalniku za goste Azure
Preglejte te scenarije in zahtevana dejanja za gostitelje sej:
| Scenarij VM | Varen zagon aktiven? | Potrebno je ukrepanje |
|---|---|---|
| TVM ali CVM z omogočenim varnim zagonom | Da | Posodabljanje potrdil za varen zagon in upravitelja zagona sistema Windows |
| TVM z onemogočenim varnim zagonom | Ne | Ukrepanje ni potrebno |
| VM generacije 1 | Ni podprto | Ukrepanje ni potrebno |
Opomba
Standard varnostnih virtualnih računalnikov nima omogočenega varnega zagona.
Premisleki o zlati sliki
Preglejte te scenarije in zahtevana dejanja za slike:
Opomba
Slike Azure Marketplace zagotavljajo vnaprej konfigurirane izhodiščne točke, vanilijo ali privzete slike založnikov, medtem ko se slike Azure Compute Gallery uporabljajo za shranjevanje in distribucijo prilagojenih slik. V obeh primerih posnetki zajamejo upravitelja zagona sistema Windows, vendar ne vključujejo spremenljivk vdelane programske opreme varnega zagona, ki se uporabljajo na ravni navideznega računalnika.
Azure Compute Gallery in upravljane slike zajamejo stanje operacijskega sistema in zagonskega nalagalnika, vključno z upraviteljem zagona sistema Windows, vendar ne vključujejo spremenljivk vdelane programske opreme za varen zagon. Potrdila varnega zagona, kot so posodobitve zbirke podatkov varnega zagona (DB) ali ključi za izmenjavo ključev (KEK), so shranjena v navidezni vdelani programski opremi uvedenega navideznega računalnika in niso zajeta med posploševanjem slike.
Če uporabite posodobitve varnega zagona v zlati sliki, upravitelj zagona sistema Windows napreduje, vendar potrdila varnega zagona ne ohranite v navideznih računalnikih, ki so omogočeni iz tega posnetka. Vendar pa s to posodobitvijo upravitelj zagona sistema Windows napreduje na sliki.
Zahtevana dejanja:
Uporabite posodobitev Secure Boot 2023 na zlato sliko, preden jo zajamete. Opomba: S tem izboljšate upravitelja zagona sistema Windows, vendar potrdila varnega zagona ne bodo ohranila v uvedenih navideznih računalnikih.
Po potrebi znova zaženite VM, da omogočite uporabo posodobitve upravitelja zagona.
Preverite, ali je posodobitev dokončana, preden posplošite sliko, tako da zaženete ta ukaz PowerShell in potrdite, da je vrednost nastavljena na Posodobljeno:
Opomba
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Posodabljanje upravitelja zagona sistema Windows v zlatem posnetku uporabi to posodobitev za navidezne računalnike, ki so bili uvedeni ali znova uvedeni s posnetkom. Na novo omogočeni virtualni računalniki Azure Trusted Launch in Confidential vključujejo potrdila Secure Boot 2023 v navidezno vdelano programsko opremo in lahko varno uporabljajo zlate slike s posodobljenim upraviteljem zagona sistema Windows.
Vendar pa lahko ponovne uvedbe na podlagi posnetkov v obstoječe navidezne računalnike, ustvarjene pred marcem 2024, uporabijo posodobljenega upravitelja zagona sistema Windows za virtualne računalnike, katerih vdelana programska oprema še ne zaupa ustreznim potrdilom varnega zagona 2023. V teh primerih je treba posodobitve potrdil za varen zagon uporabiti v gostujočem operacijskem sistemu, preden začnete uporabljati upravitelja zagona sistema Windows.
Drugi pomisleki glede virov Azure
| Vir Azure | Ste bili ustvarjeni pred aprilom 2024? | Potrebno ukrepanje |
|---|---|---|
| Varnostno kopiranje/posnetek TVM ali CVM | Da | Zaženite VM, uporabite posodobitve in nato znova zajemite |
| Varnostno kopiranje/posnetek TVM ali CVM | Ne | Ukrepanje ni potrebno |
| Zajemi slik v Azure Compute Gallery z (vrsta varnosti slike = TL ali CVM) zajemi iz TVM ali CVM | Da | Zaženite VM, uporabite posodobitve in nato znova zajemite |
| Zajemi slik v Azure Compute Gallery z (vrsta varnosti slike = TL ali CVM) zajemi iz TVM ali CVM | Ne | Ukrepanje ni potrebno |
Spremljanje stanja posodobitve
Nadzor in uvajanje posodobitev potrdil za varen zagon v navideznih računalnikih Azure Trusted Launch in Confidential sledi istim navodilom za servisiranje sistema Windows, ki se uporabljajo za fizične in virtualizirane naprave.
Če želite podrobna navodila za spremljanje, vključno s popisom naprav, preverjanjem posodobitev spremenljivk vdelane programske opreme in spremljanjem napredka posodobitve, glejte priročnik varnega zagona za Windows Server in https://aka.ms/GetSecureBoot.
Uvajanje posodobitev
Posodobitve potrdil za varen zagon za Azure Trusted Launch in zaupne navidezne računalnike se zaženejo v gostujočem operacijskem sistemu s servisiranjem sistema Windows.
Upoštevajte navodila za uvajanje v priročniku o varnem zagonu za Windows Server za:
- Samodejna uvedba prek storitve Windows Update
- Načini uvajanja, ki jih sproži IT
- servisiranje registrskih ključev
- Zaporedje uvajanja
Če uporabljate posnetke navideznih računalnikov po meri ali znova uporabljene posnetke, glejte Upoštevanje zlate slike v tem članku, preden nadaljujete z uporabo upravitelja zagona sistema Windows.
Viri
- Če želite več informacij o tej spremembi, podrobna navodila za upravljanje posodobitve potrdila varnega zagona in odgovore na pogosta vprašanja, dodajte zaznamek.
- Priročnik o varnem zagonu za Windows Server
- Posodobitve potrdila za varni zagon: navodila za strokovnjake za IT in organizacije
- Če želite več informacij o dogodkih dnevnika dogodkov, glejte Dogodki posodobitve spremenljivke DBX za varen zagon in DBX.
- Če želite več informacij o registrskih ključih varnega zagona, glejte Posodobitve registrskega ključa za varni zagon: naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.
Če imate načrt podpore in potrebujete tehnično pomoč, pošljite zahtevo za podporo.
Dnevnik sprememb
| Spremeni datum | Spremeni opis |
|---|---|
| 13 maja, 2026 | V tem članku ni sprememb |