Posodobitev potrdil varnega zagona od 2011 do 2023: zaupanja vredni navidezni računalniki (TVM) in zaupni navidezni računalniki (CVM)

Opomba

  • Prvotni datum objave: 13 maja, 2026
  • ID zbirke znanja: 5085395

Opomba

Ta članek vsebuje navodila za:

  • Azure Trusted Launch Virtual Machines (TVM) in zaupne virtualne računalnike (CVM) s sistemom Windows z omogočenim varnim zagonom.
  • Če si želite ogledati celoten seznam podprtih operacijskih sistemov Windows, glejte članek: Zaupanja vreden zagon za navidezne računalnike Azure

V tem članku:

Uvod

Varni zagon je varnostna funkcija vdelane programske opreme UEFI, ki pomaga zagotoviti, da se med zagonskim zaporedjem naprave izvaja samo zaupanja vredna, digitalno podpisana programska oprema. Microsoftova potrdila za varen zagon, izdana leta 2011, potečejo junija 2026.

Če želite ohraniti zaščito varnega zagona in nadaljevati servisiranje postopka zgodnjega zagona, morate navidezne računalnike Azure Trusted Launch in Confidential posodobiti z obema naslednjima možnostjo:

  • Certifikati varnega zagona 2023 v navidezni vdelani programski opremi
  • Upravitelj zagona sistema Windows, ki ga podpišejo posodobljena potrdila

Te komponente delujejo skupaj: potrdila vzpostavijo zaupanje v navidezno vdelano programsko opremo in upravitelj zagona mora biti posodobljen, da ga to zaupanje podpiše.

Če želite preprečiti vrzeli v zaščiti, preverite, ali sta obe komponenti posodobljeni, in po potrebi zaženite posodobitve.

Če se VM po poteku še naprej zanaša na potrdila 2011, se lahko še naprej zažene in prejema standardne posodobitve sistema Windows. Vendar pa ne bo več prejemal novih varnostnih zaščit za zgodnji zagonski postopek, vključno s posodobitvami upravitelja zagona sistema Windows, zbirkami podatkov varnega zagona in seznami preklicov ali ublažitvami za novo odkrite ranljivosti na ravni zagona.

Če želite izvedeti več, glejte Ko potrdila varnega zagona potečejo v napravah s sistemom Windows.

Nazaj na vrh

Prepoznajte scenarije, ki zahtevajo ukrepanje

V večini primerov Windows samodejno uporabi potrdila varnega zagona 2023 z mesečnimi posodobitvami v upravičenih napravah, vključno s podprtimi zaupanja vrednimi zagoni Azure in zaupnimi virtualnimi računalniki z omogočenim varnim zagonom. Nekateri virtualni računalniki morda ne izpolnjujejo pogojev za samodejno uvedbo, če ni na voljo dovolj signalov združljivosti. V teh primerih bo morda potrebno skrbniško ukrepanje za sprožitev posodobitev iz gostujočega operacijskega sistema. Če želite več informacij o tem, kako pridobiti posodobitve potrdil za varni zagon, obiščite: Posodobitve potrdil za varni zagon: Navodila za strokovnjake in organizacije za IT.

Posodobitve varnega zagona za Azure Trusted Launch in zaupne virtualne računalnike vključujejo dve komponenti:

  • Potrdila za varen zagon, shranjena v navidezni vdelani programski opremi (upravljana s platformo)
  • Upravitelj zagona sistema Windows (upravljan z gostujočim operacijskim sistemom)

Navidezni stroji, ustvarjeni po marcu 2024, običajno že vključujejo potrdila Secure Boot 2023 v navidezni vdelani programski opremi. Ti virtualni računalniki običajno zahtevajo samo posodobitev upravitelja zagona sistema Windows.

Dolgotrajni navidezni stroji, ustvarjeni pred marcem 2024, ne vključujejo potrdil Secure Boot 2023 v navidezno vdelano programsko opremo in zahtevajo posodobitve potrdil za varen zagon in upravitelja zagona sistema Windows.

Postopki posodabljanja se začnejo v gostujočem operacijskem sistemu prek servisiranja sistema Windows in se zanašajo na podporo platforme za uporabo preverjenih posodobitev za spremenljivke varnega zagona v navidezni vdelani programski opremi.

Ko prepoznate ustrezne scenarije, pregledajte svoje okolje in ugotovite, kateri virtualni računalniki zahtevajo posodobitve.

Zahtevana dejanja:

  • Prepričajte se, da so gostujoči virtualni računalniki posodobljeni s posodobitvijo sistema Windows iz marca 2026 ali novejšo (april 2026 ali pozneje, če uporabljate hotpatching). Oglejte si več: Hotpatch za Windows Server.
  • Preverite, ali imajo vsi virtualni računalniki Azure Trusted Launch in Confidential potrdila za varen zagon 2023 in posodobljenega upravitelja zagona sistema Windows.
  • Zaženite posodobitve v gostujočem operacijskem sistemu, da po potrebi uporabite potrdilo za varen zagon in posodobitve upravitelja zagona sistema Windows.
  • Nadzorujte dnevnike dogodkov sistema Windows: ID dogodka 1808 in ID dogodka 1801 ali spremljajte registrski ključ UEFICA2023Status , da preverite, ali so bila uporabljena posodobljena potrdila za varen zagon in ali je bil posodobljen upravitelj zagona sistema Windows.

Za naprave, ki niso uporabile teh posodobitev, uporabite načine nadzora in uvajanja, opisane v priročniku varnega zagonaWindows Server priročniku varnega zagona za potrdila, ki potečejo leta 2026, in https://aka.ms/GetSecureBoot za popolna navodila.

Nazaj na vrh

Premisleki o virtualnem računalniku za goste Azure

Preglejte te scenarije in zahtevana dejanja za gostitelje sej:

Scenarij VM Varen zagon aktiven? Potrebno je ukrepanje
TVM ali CVM z omogočenim varnim zagonom Da Posodabljanje potrdil za varen zagon in upravitelja zagona sistema Windows
TVM z onemogočenim varnim zagonom Ne Ukrepanje ni potrebno
VM generacije 1 Ni podprto Ukrepanje ni potrebno

Opomba

Standard varnostnih virtualnih računalnikov nima omogočenega varnega zagona.

Nazaj na vrh

Premisleki o zlati sliki

Preglejte te scenarije in zahtevana dejanja za slike:

Opomba

Slike Azure Marketplace zagotavljajo vnaprej konfigurirane izhodiščne točke, vanilijo ali privzete slike založnikov, medtem ko se slike Azure Compute Gallery uporabljajo za shranjevanje in distribucijo prilagojenih slik. V obeh primerih posnetki zajamejo upravitelja zagona sistema Windows, vendar ne vključujejo spremenljivk vdelane programske opreme varnega zagona, ki se uporabljajo na ravni navideznega računalnika.

Diagram poteka za ugotavljanje, ali je za slike potrebno ukrepanje

Azure Compute Gallery in upravljane slike zajamejo stanje operacijskega sistema in zagonskega nalagalnika, vključno z upraviteljem zagona sistema Windows, vendar ne vključujejo spremenljivk vdelane programske opreme za varen zagon. Potrdila varnega zagona, kot so posodobitve zbirke podatkov varnega zagona (DB) ali ključi za izmenjavo ključev (KEK), so shranjena v navidezni vdelani programski opremi uvedenega navideznega računalnika in niso zajeta med posploševanjem slike.

Če uporabite posodobitve varnega zagona v zlati sliki, upravitelj zagona sistema Windows napreduje, vendar potrdila varnega zagona ne ohranite v navideznih računalnikih, ki so omogočeni iz tega posnetka. Vendar pa s to posodobitvijo upravitelj zagona sistema Windows napreduje na sliki.

Zahtevana dejanja:

  • Uporabite posodobitev Secure Boot 2023 na zlato sliko, preden jo zajamete. Opomba: S tem izboljšate upravitelja zagona sistema Windows, vendar potrdila varnega zagona ne bodo ohranila v uvedenih navideznih računalnikih.

  • Po potrebi znova zaženite VM, da omogočite uporabo posodobitve upravitelja zagona.

  • Preverite, ali je posodobitev dokončana, preden posplošite sliko, tako da zaženete ta ukaz PowerShell in potrdite, da je vrednost nastavljena na Posodobljeno:

    Opomba

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Posodabljanje upravitelja zagona sistema Windows v zlatem posnetku uporabi to posodobitev za navidezne računalnike, ki so bili uvedeni ali znova uvedeni s posnetkom. Na novo omogočeni virtualni računalniki Azure Trusted Launch in Confidential vključujejo potrdila Secure Boot 2023 v navidezno vdelano programsko opremo in lahko varno uporabljajo zlate slike s posodobljenim upraviteljem zagona sistema Windows.

Vendar pa lahko ponovne uvedbe na podlagi posnetkov v obstoječe navidezne računalnike, ustvarjene pred marcem 2024, uporabijo posodobljenega upravitelja zagona sistema Windows za virtualne računalnike, katerih vdelana programska oprema še ne zaupa ustreznim potrdilom varnega zagona 2023. V teh primerih je treba posodobitve potrdil za varen zagon uporabiti v gostujočem operacijskem sistemu, preden začnete uporabljati upravitelja zagona sistema Windows.

Nazaj na vrh

Drugi pomisleki glede virov Azure

Vir Azure Ste bili ustvarjeni pred aprilom 2024? Potrebno ukrepanje
Varnostno kopiranje/posnetek TVM ali CVM Da Zaženite VM, uporabite posodobitve in nato znova zajemite
Varnostno kopiranje/posnetek TVM ali CVM Ne Ukrepanje ni potrebno
Zajemi slik v Azure Compute Gallery z (vrsta varnosti slike = TL ali CVM) zajemi iz TVM ali CVM Da Zaženite VM, uporabite posodobitve in nato znova zajemite
Zajemi slik v Azure Compute Gallery z (vrsta varnosti slike = TL ali CVM) zajemi iz TVM ali CVM Ne Ukrepanje ni potrebno

Nazaj na vrh

Spremljanje stanja posodobitve

Nadzor in uvajanje posodobitev potrdil za varen zagon v navideznih računalnikih Azure Trusted Launch in Confidential sledi istim navodilom za servisiranje sistema Windows, ki se uporabljajo za fizične in virtualizirane naprave.

Če želite podrobna navodila za spremljanje, vključno s popisom naprav, preverjanjem posodobitev spremenljivk vdelane programske opreme in spremljanjem napredka posodobitve, glejte priročnik varnega zagona za Windows Server in https://aka.ms/GetSecureBoot.

Uvajanje posodobitev

Posodobitve potrdil za varen zagon za Azure Trusted Launch in zaupne navidezne računalnike se zaženejo v gostujočem operacijskem sistemu s servisiranjem sistema Windows.

Upoštevajte navodila za uvajanje v priročniku o varnem zagonu za Windows Server za:

  • Samodejna uvedba prek storitve Windows Update
  • Načini uvajanja, ki jih sproži IT
  • servisiranje registrskih ključev
  • Zaporedje uvajanja

Če uporabljate posnetke navideznih računalnikov po meri ali znova uporabljene posnetke, glejte Upoštevanje zlate slike v tem članku, preden nadaljujete z uporabo upravitelja zagona sistema Windows.

Nazaj na vrh

Viri

Če imate načrt podpore in potrebujete tehnično pomoč, pošljite zahtevo za podporo.

Nazaj na vrh

Dnevnik sprememb

Spremeni datum Spremeni opis
13 maja, 2026 V tem članku ni sprememb

Nazaj na vrh