Ispravka bezbednog pokretanja sistema od 2011. do 2023. godine: Pouzdane virtuelne mašine za pokretanje (TVM) i poverljive virtuelne mašine (CVM)

Uvod

Bezbedno pokretanje je bezbednosna funkcija UEFI firmvera koja obezbeđuje da se tokom sekvence pokretanja uređaja pokrene samo pouzdani, digitalno potpisani softver. Certifikati za bezbedno pokretanje korporacije Microsoft izdati 2011. godine ističu u junu 2026.

Da biste zadržali zaštitu od bezbednog pokretanja i nastavili servisiranje procesa ranog pokretanja, Azure pouzdana pokretanja i poverljive virtuelne mašine moraju da se ažuriraju na sledeće načine:

Certifikati za bezbedno pokretanje sistema 2023 u virtuelnom firmveru
Upravljač windows pokretanjem potpisao ažurirani certifikati

Ove komponente rade zajedno: certifikati uspostavljaju poverenje u virtuelni firmver, a upravljač pokretanja mora da se ažurira da bi ga taj pouzdani potpisao.

Da biste sprečili razmake u zaštiti, proverite da li su obe komponente ažurirane i pokrenite ažuriranja tamo gde je to potrebno.

Ako virtuelna mašina nastavi da se oslanja na certifikate iz 2011. godine nakon isteka, može da nastavi da koristi i prima standardne ispravke za Windows. Međutim, ona više neće dobijati nove bezbednosne zaštite za proces ranog pokretanja, uključujući ispravke za Windows Boot Manager, baze podataka za bezbedno pokretanje i liste oponovanih poziva ili umanjivanja za novopokrivene ranjivosti na nivou pokretanja.

Da biste saznali više, pogledajte članak Kada certifikati za bezbedno pokretanje isteknu na Windows uređajima.

nazad na vrh

Identifikovanje scenarija koji zahtevaju radnju

U većini slučajeva, Windows automatski primenjuje certifikate za bezbedno pokretanje sistema 2023 putem mesečnih ispravki na uređajima koji ispunjavaju uslove, uključujući podržane Azure pouzdane virtuelne mašine za pokretanje i poverljive virtuelne mašine sa omogućenim bezbednim pokretanjem. Neke virtuelne mašine možda neće ispunjavati uslove za automatsku primenu ako nisu dostupni dovoljni signali kompatibilnosti. U tim slučajevima, možda će biti potrebna administrativna radnja za pokretanje ažuriranja u okviru operativnog sistema gosta. Više informacija o tome kako da preuzmete ispravke certifikata za bezbedno pokretanje potražite u članku: Ispravke certifikata za bezbedno pokretanje sistema: Vodič za IT stručnjake i organizacije.

Ispravke bezbednog pokretanja za Azure pouzdana pokretanja i poverljive virtuelne mašine uključuju dve komponente:

Certifikati za bezbedno pokretanje uskladišteni u virtuelnom firmveru (kojim upravlja platforma)
Windows Boot Manager (upravljanje OS-om gostujućeg operativnog sistema)

Virtuelne mašine kreirane posle marta 2024. obično već obuhvataju certifikate za bezbedno pokretanje 2023 u virtuelnom firmveru. Ove virtuelne mašine obično zahtevaju samo windows Boot Manager ispravku.

Dugotrajne virtuelne mašine napravljene pre marta 2024. ne uključuju certifikate bezbednog pokretanja 2023 u virtuelni firmver i zahtevaju ispravke i certifikata za bezbedno pokretanje i Windows Boot Manager.

Operacije ažuriranja se pokreću iz operativnog sistema gosta putem servisiranja operativnog sistema Windows i oslanjaju se na podršku platforme da primene autorizovane ispravke na promenljive bezbednog pokretanja u virtuelnom firmveru.

Nakon identifikovanja primenljivih scenarija, zalihe okruženja da biste utvrdili koji virtuelni računari zahtevaju ispravke.

Potrebne radnje:

Uverite se da su virtuelne mašine sa statusom gosta ažurirane ispravkom za mart 2026. ili novijom verzijom (april 2026. ili novije verzije ako koristite hotpatching). Pročitajte više: Hotpatch za Windows Server.
Proverite da Azure pouzdana pokretanja i poverljive virtuelne mašine imaju certifikate za bezbedno pokretanje 2023 i ažuriran Windows Boot Manager.
Pokrenite ispravke iz operativnog sistema gosta da biste primenili certifikat za bezbedno pokretanje i ispravke upravljača windows pokretanjem tamo gde je to potrebno.
Nadgledajte evidencije događaja sistema Windows: ID događaja 1808 i ID događaja 1801 ili nadgledajte ključ registratora UEFICA2023Status da biste potvrdili da li su primenjeni ažurirani certifikati za bezbedno pokretanje i da li je Windows Boot Manager ažuriran.

Za uređaje koji nisu primenili ove ispravke koristite metode nadgledanja i primene opisane u beležnici za bezbedno pokretanje sistema, Windows Server Za certifikate koji ističu 2026. i na https://aka.ms/GetSecureBoot za potpuna uputstva.

nazad na vrh

Azure razmatranja virtuelne mašine za goste

Pregledajte sledeće scenarije i potrebne radnje za hostove sesija:

Virtuelni scenario	Bezbedno pokretanje aplikacije je aktivno?	Potrebna je radnja
TVM ili CVM sa omogućenim bezbednim pokretanjem	Da	Ažuriranje certifikata za bezbedno pokretanje sistema i Windows upravljača pokretanjem
TVM sa onemogućenim bezbednim pokretanjem	Ne	Nije potrebna nikakva radnja
Generacija 1 virtuelna mašina	Nije podržano	Nije potrebna nikakva radnja

Napomena: Standard bezbednosnog tipa virtuelne mašine nisu omogućene za bezbedno pokretanje.

nazad na vrh

Stavke koje treba uzeti u obzir u vezi sa zlatnom slikom

Pregledajte sledeće scenarije i potrebne radnje za slike:

Napomena: Azure Marketplace slike obezbeđuju unapred konfigurisane početne tačke, podrazumevane slike vanila ili izdavača, dok se slike Azure Galerija za računare koriste za skladištenje i distribuciju prilagođenih slika. U oba slučaja slike snimaju Windows Boot Manager, ali ne uključuju promenljive firmvera bezbednog pokretanja koje se primenjuju na nivou virtuelne mašine.

Dijagram toka za određivanje da li je potrebna radnja za slike

Azure galerija računarskog sistema i kontrolisane slike beleže stanje operativnog sistema i učitavanja pokretanja, uključujući Windows Boot Manager, ali ne uključuju promenljive firmvera za bezbedno pokretanje sistema. Certifikati za bezbedno pokretanje, kao što su ispravke baze podataka za bezbedno pokretanje (DB) ili ključevi razmene ključeva (KEK), skladište se u virtuelnom firmveru primenjene virtuelne mašine i ne hvataju se tokom generalizacije slike.

Primena ispravki za bezbedno pokretanje u okviru zlatne slike prelazi na Windows Boot Manager, ali ne i dalje potvrde o bezbednom pokretanju na virtuelne mašine obezbeđene od te slike. Međutim, izvršavanjem ove ispravke prelazi se na Windows Boot Manager u okviru slike.

Potrebne radnje:

Primenite ispravku "Bezbedno pokretanje sistema 2023" na zlatnu sliku pre hvatanja. Beleške: Ovo unapredi Windows upravljač pokretanjem, ali neće nastaviti sa potvrdama o bezbednom pokretanju na primenjene virtuelne mašine.
Ponovo pokrenite virtuelnu mašinu po potrebi da biste omogućili primenu ispravke upravljača pokretanjem.
Uverite se da je ažuriranje dovršeno pre nego što generalizujete sliku tako što ćete pokrenuti sledeću PowerShell komandu i potvrditi da je vrednost postavljena na Ažurirano:

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Ažuriranje programa Windows Boot Manager unutar zlatne slike primenjuje se na virtuelne mašine primenjene ili ponovo primenjene pomoću slike. Nove obezbeđene Azure pouzdane pokreni i poverljive virtuelne mašine uključuju certifikate za bezbedno pokretanje 2023 u virtuelnom firmveru i mogu bezbedno da koriste zlatne slike uz ažurirani Windows Boot Manager.

Međutim, poništavanja zasnovana na slikama na postojeće virtuelne mašine kreirane pre marta 2024. mogu da primene ažurirani Windows Boot Manager na virtuelne mašine čiji firmver još uvek nema poverenja u odgovarajuće certifikate za bezbedno pokretanje 2023. U tim slučajevima, ispravke certifikata za bezbedno pokretanje treba da se primene u okviru operativnog sistema gosta pre nego što se primene na Windows Boot Manager.

nazad na vrh

Druge Azure razmatranja resursa

Azure resursa	Kreirani pre aprila 2024. godine?	Potrebna je radnja
Pravljenje rezervne kopije/snimak TVM-a ili CVM-a	Da	Pokretanje virtuelne mašine, primena ispravki, a zatim ponovno pokretanje
Pravljenje rezervne kopije/snimak TVM-a ili CVM-a	Ne	Nije potrebna nikakva radnja
Azure galerije računara snima sa snimcima (tip bezbednosti slike = TL ili CVM) sa TVM ili CVM-a	Da	Pokretanje virtuelne mašine, primena ispravki, a zatim ponovno pokretanje
Azure galerije računara snima sa snimcima (tip bezbednosti slike = TL ili CVM) sa TVM ili CVM-a	Ne	Nije potrebna nikakva radnja

nazad na vrh

Nadgledanje statusa ažuriranja

Nadgledanje i primena za ispravke certifikata za bezbedno pokretanje na Azure pouzdanim pokreni i poverljivim virtuelnim mašinama prati ista uputstva za servisiranje operativnog sistema Windows koja se koristi za fizičke i virtuelizovane uređaje.

Detaljna uputstva za nadgledanje, uključujući uputstva za zalihe uređaja, verifikaciju promenljivih firmvera i praćenje toka ažuriranja potražite u playbook-u za bezbedno pokretanje Windows Server i https://aka.ms/GetSecureBoot.

Primena ispravki

Ispravke certifikata za bezbedno pokretanje za Azure pouzdane pokreću i poverljive virtuelne mašine pokreću se iz operativnog sistema gosta pomoću Windows servisiranja.

Pratite uputstva za primenu u beležnici za bezbedno pokretanje za Windows Server za:

automatska primena putem Windows Update
Metodi primene koje je pokrenuo IT
servisiranje ključeva registratora
sekvenca primene

Kada koristite prilagođene ili ponovo korišćene slike virtuelnih mašina, pročitajte odeljak Zlatna slika u ovom članku pre nego što započnete programom Windows Boot Manager.

nazad na vrh

Resurse

Obeleživač Preuzmite bezbedno pokretanje za više informacija o ovoj promeni, detaljna uputstva za upravljanje ažuriranjem certifikata za bezbedno pokretanje i odgovore na najčešća pitanja.
Secure Boot Playbook for Windows Server
Ispravke certifikata za bezbedno pokretanje sistema: Vodič za IT stručnjake i organizacije
Više detalja o događajima evidencije događaja potražite u člancima Bezbedno pokretanje baze podataka i događaji promenljivih DBX promenljivih.
Više detalja o ključevima registratora bezbednog pokretanja potražite u članku Ispravke ključa registratora za bezbedno pokretanje: Windows uređaji sa ispravkama kojima upravlja IT.