Posodobitev varnega zagona potrdil od 2011 do 2023: zaupanja vredni navidezni računalniki (TVM) in zaupni navidezni računalniki (CVM)

Uvod

Varni zagon je varnostna funkcija vmesnika UEFI, ki zagotavlja, da se med zaporedjem zagona naprave izvaja le zaupanja vredna in digitalno podpisana programska oprema. Microsoftova potrdila za varni zagon, izdana leta 2011, bodo začela veljati junija 2026.

Če želite ohraniti zaščito varnega zagona in neprekinjeno servisiranje postopka predčasnega zagona, je treba navidezne računalnike Azure Trusted Launch in Confidential posodobiti z naslednjimi:

Potrdila za varni zagon 2023 v navidezni vdelani programski opremi
Upravitelj zagona sistema Windows, podpisan s posodobljenimi potrdili

Te komponente delujejo skupaj: potrdila vzpostavljajo zaupanje v navidezno vdelano programsko opremo, upravitelja zagona pa je treba posodobiti, da ga bo lahko podpisalo to zaupanje.

Če želite preprečiti vrzeli v zaščiti, preverite, ali sta obe komponenti posodobljeni, in po potrebi začnite posodobitve.

Če navidezni računalnik še naprej uporablja potrdila sistema 2011 po poteku, se lahko še naprej zažene in prejema standardne posodobitve sistema Windows. Vendar pa ne bo več prejemal novih varnostnih zaščite za proces predčasnega zagona, vključno s posodobitvami za upravitelja zagona sistema Windows, zbirkami podatkov varnega zagona in seznami ukinjenih naslovov ali ublažitvijo novih ranljivosti na ravni zagona.

Če želite izvedeti več, glejte Ko v napravah s sistemom Windows potečejo potrdila za varni zagon.

nazaj na vrh

Prepoznavanje scenarijev, ki zahtevajo ukrepanje

V večini primerov Windows samodejno uporabi potrdila za varni zagon 2023 z mesečnimi posodobitvami v upravičenih napravah, vključno s podprtimi zaupanja vrednimi zagoni Azure zaupnimi navideznimi računalniki z omogočenim varnim zagonom. Nekateri navidezni računalniki morda niso upravičeni do samodejnega uvajanja, če ni na voljo dovolj signalov o združljivosti. V teh primerih bo za začetek posodobitev znotraj gostujočega operacijskega sistema morda treba izvesti skrbniška dejanja. Če želite več informacij o tem, kako pridobite posodobitve potrdil za varni zagon, obiščite: Posodobitve potrdil za varni zagon: navodila za strokovnjake za IT in organizacije.

Posodobitve varnega zagona za Azure zagon zaupanja vrednih in zaupnih navideznih računalnikih vključujejo dve komponenti:

Potrdila za varni zagon, shranjena v navidezni vdelani programski opremi (upravljana s platformo)
Upravitelj zagona sistema Windows (upravlja gostujoči operacijski sistem)

Navidezni računalniki, ustvarjeni po marcu 2024, običajno v navidezno vdelano programsko opremo že vključujejo potrdila za varni zagon 2023. Ti navidezni računalniki običajno zahtevajo le posodobitev upravitelja zagona sistema Windows.

Navidezne računalnike, ki so bili ustvarjeni pred marcem 2024, ne vključujejo potrdil varnega zagona 2023 v navidezno vdelano programsko opremo in zahtevajo posodobitve potrdil za varni zagon in upravitelja zagona sistema Windows.

Postopki posodabljanja se začnejo znotraj gostujočega operacijskega sistema prek servisiranja sistema Windows in se zanašajo na podporo platforme za uporabo posodobitev s preverjeno pristnostjo za spremenljivke varnega zagona v navidezni vdelani programski opremi.

Ko prepoznate ustrezne scenarije, inventarjte svoje okolje, da ugotovite, kateri navidezni računalniki zahtevajo posodobitve.

Potrebni ukrepi:

Zagotovite, da so gostujoči navidezni računalniki posodobljeni s posodobitvijo sistema Windows iz marca 2026 ali novejšo različico (april 2026 ali novejšo različico, če uporabljate hotpatching). Več informacij: Hotpatch za Windows Server.
Prepričajte se, Azure imajo vsi zaupanja vredni zagoni in zaupni navidezni računalniki potrdila za varni zagon 2023 in posodobljen upravitelja zagona sistema Windows.
Zaženite posodobitve v gostujočem operacijskem sistemu, da uveljavite potrdilo varnega zagona in posodobitve upravitelja zagona sistema Windows, kjer je to potrebno.
Nadzorujte dnevnike dogodkov sistema Windows: ID dogodka 1808 in ID dogodka 1801 ali spremljajte registrski ključ UEFICA2023Status, da preverite, ali so bila uporabljena posodobljena potrdila za varni zagon in ali je bil upravitelj zagona sistema Windows posodobljen.

Za naprave, ki niso uveljavili teh posodobitev, uporabite načine spremljanja in uvajanja, ki so opisani v playbooku za varni zagon, Windows Server Playbook za varni zagon za potrdila, ki potečejo leta 2026, in na spletnem mestu https://aka.ms/GetSecureBoot za popolna navodila.

nazaj na vrh

Azure priporočila za gostujoči navidezni računalnik

Preglejte te scenarije in zahtevana dejanja za gostitelje seje:

Scenarij navideznega načina	Varni zagon je aktiven?	Potrebno je ukrepanje
TVM ali CVM z omogočenim varnim zagonom	Da	Posodobitev potrdil varnega zagona in upravitelja zagona sistema Windows
TVM z onemogočenim varnim zagonom	Ne	Ukrepanje ni potrebno
1. generacija navideznih računalnikih	Ni podprto	Ukrepanje ni potrebno

Opomba: Standard navideznim računalniki nimajo omogočenega varnega zagona.

nazaj na vrh

Pomisleki glede zlate slike

Preglejte te scenarije in zahtevana dejanja za slike:

Opomba: Azure Marketplace so vnaprej konfigurirane izhodišča, privzete slike vanilije ali založnikov, slike iz zbirke Azure pa se uporabljajo za shranjevanje in porazdelitev prilagojenih slik. V obeh primerih slike zajamejo upravitelja zagona sistema Windows, vendar ne vključujejo spremenljivk vdelane programske opreme varnega zagona, ki se uporabljajo na ravni navideznega računalnika.

Flowchart for determining if action is needed for images

Azure compute Gallery and managed images capture operating system and boot loader state, including Windows Boot Manager, but do not include Secure Boot firmware variables. Potrdila za varni zagon, kot so posodobitve zbirke podatkov za varni zagon (DB) ali ključi za izmenjavo ključev (KEK), so shranjena v navidezni vdelani programski opremi navideznega računalnika in se ne zajamejo med generalizacijo slike.

Uporaba posodobitev varnega zagona znotraj zlate slike napreduje v upravitelja zagona sistema Windows, vendar ne ohrani potrdil varnega zagona v navideznih računalnikih, ki so omogočeni na tej sliki. Vendar pa s to posodobitvijo na posnetku napredujete z upraviteljem zagona sistema Windows.

Potrebni ukrepi:

Uporabite posodobitev varnega zagona 2023 za zlato sliko, preden jo zajemte. Opomba: S tem se pomikate v upravitelja zagona sistema Windows, vendar ne morete še naprej varovati potrdil za varni zagon za uvedene navidezne računalnike.
Po potrebi znova zaženite navidezni računalnik, da omogočite uporabo posodobitve upravitelja zagona.
Preverite, ali se je posodobitev dokončala, preden posplošite sliko, tako da zaženete ta ukaz PowerShell in potrdite, da je vrednost nastavljena na Posodobljeno:

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Če posodobite upravitelja zagona sistema Windows znotraj zlate slike, se posodobitev uporabi za navidezne računalnike, uvedene ali preuvesti s sliko. Novo omogočene Azure navidezni računalniki z zaupanja vrednim zagonom in zaupnimi podatki vključujejo potrdila varnega zagona 2023 v navidezni vdelani programski opremi in lahko varno uporabljajo zlate slike s posodobljenim upraviteljem zagona sistema Windows.

Vendar pa bodo spremembe na podlagi slik v obstoječih navideznih računalnikih, ustvarjenih pred marcem 2024, morda uporabljene posodobljenega upravitelja zagona sistema Windows za navidezne računalnike, katerih vdelana programska oprema še ne zaupa ustreznim potrdilom za varni zagon 2023. V teh primerih je treba posodobitve potrdil za varni zagon namestiti v gostujočem operacijskem sistemu, preden se pomikate po upravitelju zagona sistema Windows.

nazaj na vrh

Druga Azure o virih

Azure vir	Ustvarjeno pred aprilom 2024?	Potrebno ukrepanje
Varnostno kopiranje/posnetek TVM ali CVM	Da	Za zagon navideznega pogona uporabite posodobitve in nato znova zajemjte
Varnostno kopiranje/posnetek TVM ali CVM	Ne	Ukrepanje ni potrebno
Azure zajema slik iz galerije izračunov (vrsta zaščite slike = TL ali CVM) iz TVM ali CVM	Da	Za zagon navideznega pogona uporabite posodobitve in nato znova zajemjte
Azure zajema slik iz galerije izračunov (vrsta zaščite slike = TL ali CVM) iz TVM ali CVM	Ne	Ukrepanje ni potrebno

nazaj na vrh

Spremljanje stanja posodobitve

Spremljanje in uvajanje posodobitev potrdil za varni zagon v sistemih Azure za zaupanja vredne zagone in navidezne računalnike z zaupnimi podatki upošteva enaka navodila za servisiranje sistema Windows, ki se uporabljajo za fizične in virtualizirane naprave.

Če želite podrobna navodila za spremljanje, vključno s tem, kako inventar naprave, preverite posodobitve s spremenljivo vdelano programsko opremo in sledite napredku posodobitve, glejte Playbook za varni zagon za Windows Server in https://aka.ms/GetSecureBoot.

Uvajanje posodobitev

Posodobitve potrdil za varni zagon za Azure zagon zaupanja vrednih in zaupnih navideznih računalnikov se začnejo v gostujočem operacijskem sistemu s servisiranjem sistema Windows.

Upoštevajte navodila za uvedbo v zvezku za predvajanje varnega zagona za Windows Server za:

samodejno uvajanje prek Windows Update
Načini uvajanja, ki jih sproži IT
servisni registrski ključi
zaporedje uvajanja

Če uporabljate slike navideznega računalnika po meri ali jih znova uporabite, preberite članek Pomisleki glede zlate slike v tem članku, preden napredujete v upravitelja zagona sistema Windows.

nazaj na vrh

Viri

Z zaznamkom Pridobite varni zagon poiščite več informacij o tej spremembi, podrobna navodila za upravljanje posodobitve potrdila varnega zagona in odgovore na pogosta vprašanja.
Playbook varnega zagona za Windows Server
Posodobitve potrdil varnega zagona: navodila za strokovnjake in organizacije za IT
Če želite več podrobnosti o dogodkih dnevnika dogodkov, glejte Dogodki posodobitve spremenljivih dogodkov za varni zagon DB in DBX.
Če želite več podrobnosti o registrskih ključih varnega zagona, glejte Posodobitve registrskega ključa za varni zagon: naprave s sistemom Windows, v katerih so nameščene posodobitve, ki jih upravlja IT.