Säker startuppdatering från 2011 till 2023-certifikat: Betrodda virtuella startdatorer (TVM) och konfidentiella virtuella datorer (CVM)

Obs

  • Ursprungligt publiceringsdatum: Den 13 maj 2026
  • KB-ID: 5085395

Obs

Den här artikeln innehåller vägledning för:

  • Azure Trusted Launch Virtual Machines (TVM) och konfidentiella virtuella datorer (CVM) som kör Windows med Säker start aktiverat.
  • En fullständig lista över Windows-operativsystem som stöds finns i artikeln: Betrodd start för virtuella Azure-datorer

I den här artikeln:

Introduktion

Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som hjälper till att säkerställa att endast betrodd, digitalt signerad programvara körs under enhetens startsekvens. Microsoft Secure Boot-certifikat som utfärdades 2011 börjar löpa ut i juni 2026.

För att upprätthålla skydd för säker start och fortsatt underhåll av den tidiga startprocessen måste virtuella datorer med Azure Trusted Launch och Confidential uppdateras med båda följande:

  • Certifikat för säker start 2023 i virtuell inbyggd programvara
  • En Windows Boot Manager som signerats av de uppdaterade certifikaten

Dessa komponenter fungerar tillsammans: certifikaten skapar förtroende för virtuell inbyggd programvara och Boot Manager måste uppdateras för att signeras av det förtroendet.

För att förhindra luckor i skyddet kontrollerar du att båda komponenterna är uppdaterade och initierar uppdateringar vid behov.

Om en virtuell dator fortsätter att förlita sig på 2011-certifikaten efter förfallodatumet kan den fortsätta att starta och ta emot Windows-standarduppdateringar. Den kommer dock inte längre att få nytt säkerhetsskydd för den tidiga startprocessen, inklusive uppdateringar av Windows Boot Manager, databaser för säker start och återkallningslistor eller lösningar för nyligen upptäckta säkerhetsrisker på startnivå.

Mer information finnsi När Secure Boot-certifikat upphör att gälla på Windows-enheter.

tillbaka till toppen

Identifiera scenarier som kräver åtgärder

I de flesta fall tillämpar Windows Secure Boot 2023-certifikaten automatiskt via månatliga uppdateringar på berättigade enheter, inklusive Azure Trusted Launch och Confidential VM som stöds med säker start aktiverat. Vissa virtuella datorer kanske inte är kvalificerade för automatisk distribution om det inte finns tillräckliga kompatibilitetssignaler. I dessa fall kan administrativa åtgärder krävas för att initiera uppdateringar från gästoperativsystemet. Mer information om hur du hämtar uppdateringar av certifikat för säker start finns på: Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.

Uppdateringar av säker start för Azure Trusted Launch och konfidentiella virtuella datorer består av två komponenter:

  • Certifikat för säker start som lagras i virtuell inbyggd programvara (plattformshanterad)
  • Windows Boot Manager (gäst-OS-hanterad)

Virtuella datorer som skapats efter mars 2024 inkluderar vanligtvis redan Secure Boot 2023-certifikaten i den virtuella inbyggda programvaran. Dessa virtuella datorer kräver vanligtvis bara en Windows Boot Manager-uppdatering.

Långvariga virtuella datorer som skapats före mars 2024 innehåller inte certifikaten för säker start 2023 i den virtuella inbyggda programvaran och kräver uppdateringar av både certifikat för säker start och Windows Boot Manager.

Uppdateringsåtgärder initieras från gästoperativsystemet via Windows-underhåll och förlitar sig på plattformsstöd för att tillämpa autentiserade uppdateringar på säkra startvariabler i virtuell inbyggd programvara.

När du har identifierat tillämpliga scenarier inventerar du miljön för att avgöra vilka virtuella datorer som behöver uppdateras.

Åtgärder som krävs:

  • Se till att virtuella gästdatorer uppdateras med Windows-uppdateringen för mars 2026 eller senare (april 2026 eller senare om du använder hotpatching). Läs mer: Hotpatch för Windows Server.
  • Kontrollera att alla Azure Trusted Launch och Confidential VMs har Secure Boot 2023-certifikat och en uppdaterad Windows Boot Manager.
  • Initiera uppdateringar från gästoperativsystemet för att tillämpa uppdateringar för säker start och Windows Boot Manager där det behövs.
  • Granska händelseloggarna för Windows-systemet: händelse-ID 1808 och händelse-ID 1801 eller övervaka registernyckeln UEFICA2023Status för att bekräfta om uppdaterade certifikat för säker start har tillämpats och om Windows Boot Manager har uppdaterats.

För enheter som inte har tillämpat dessa uppdateringar använder du de övervaknings- och distributionsmetoder som beskrivs i spelboken för säker start, Windows Server spelboken för säker start för certifikat som upphör att gälla 2026 och på https://aka.ms/GetSecureBoot för fullständig vägledning.

tillbaka till toppen

Överväganden för virtuella Azure-gästdatorer

Granska följande scenarier och nödvändiga åtgärder för sessionsvärdar:

Scenario för virtuell dator Säker start aktiv? Åtgärd krävs
TVM eller CVM med Säker start aktiverat Ja Uppdatera certifikat för säker start och Windows Boot Manager
TVM med Säker start inaktiverat Nej Ingen åtgärd krävs
Virtuell dator (generation 1) Stöds inte Ingen åtgärd krävs

Obs

Virtuella standarddatorer av säkerhetstyp har inte Säker start aktiverat.

tillbaka till toppen

Att tänka på när det gäller guldbilder

Granska följande scenarier och nödvändiga åtgärder för bilder:

Obs

Azure Marketplace-avbildningar tillhandahåller förkonfigurerade startpunkter, vanilj- eller utgivares standardavbildningar, medan Azure Compute Gallery-avbildningar används för att lagra och distribuera anpassade avbildningar. I båda fallen samlar avbildningarna in Windows Boot Manager men innehåller inte variabler för inbyggd programvara för säker start, som tillämpas på virtuell datornivå.

Flödesschema för att avgöra om en åtgärd krävs för bilder

Azure Compute Gallery och hanterade avbildningar samlar in operativsystemets och startprogrammets tillstånd, inklusive Windows Boot Manager, men innehåller inte variabler för inbyggd programvara för säker start. Certifikat för säker start, till exempel uppdateringar av databasen för säker start (DB) eller nyckelutbytesnycklar (KEK), lagras i den virtuella inbyggda programvaran för den distribuerade virtuella datorn och samlas inte in under generalisering av avbildningen.

Om du tillämpar uppdateringar för säker start i en gyllene avbildning avanceras Windows Boot Manager men bevarar inte certifikat för säker start till virtuella datorer som etableras från den avbildningen. Men när du utför den här uppdateringen flyttas Windows Boot Manager framåt i avbildningen.

Åtgärder som krävs:

  • Tillämpa Secure Boot 2023-uppdateringen på den gyllene bilden innan du spelar in den. Notera: Detta avancerar Windows Boot Manager men bevarar inte Secure Boot-certifikat till distribuerade virtuella datorer.

  • Starta om den virtuella datorn efter behov så att Boot Manager-uppdateringen kan tillämpas.

  • Kontrollera att uppdateringen har slutförts innan du generaliserar avbildningen genom att köra följande PowerShell-kommando och bekräfta att värdet är inställt på Uppdaterad:

    Obs

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Om du uppdaterar Windows Boot Manager i en gyllene avbildning tillämpas den uppdateringen på virtuella datorer som distribueras eller distribueras om med hjälp av avbildningen. Nyligen etablerade virtuella Azure Trusted Launch- och Confidential-datorer inkluderar Secure Boot 2023-certifikaten i virtuell firmware och kan säkert använda gyllene bilder med den uppdaterade Windows Boot Manager.

Avbildningsbaserade omdistributioner till befintliga virtuella datorer som skapats före mars 2024 kan dock tillämpa den uppdaterade Windows Boot Manager på virtuella datorer vars inbyggda programvara ännu inte litar på motsvarande Secure Boot 2023-certifikat. I sådana fall bör uppdateringar av certifikat för säker start tillämpas i gästoperativsystemet innan Windows Boot Manager avanceras.

tillbaka till toppen

Andra överväganden gällande Azure-resurser

Azure-resurs Skapad före april 2024? Åtgärd krävs
Säkerhetskopiering/ögonblicksbild av TVM eller CVM Ja Starta den virtuella datorn, tillämpa uppdateringar och ta sedan hem den igen
Säkerhetskopiering/ögonblicksbild av TVM eller CVM Nej Ingen åtgärd krävs
Azure Compute Gallery avbildningar med (bildsäkerhetstyp = TL eller CVM) fångar från TVM eller CVM Ja Starta den virtuella datorn, tillämpa uppdateringar och ta sedan hem den igen
Azure Compute Gallery avbildningar med (bildsäkerhetstyp = TL eller CVM) fångar från TVM eller CVM Nej Ingen åtgärd krävs

tillbaka till toppen

Övervaka uppdateringsstatus

Övervakning och distribution för uppdateringar av certifikat för säker start i Azure Trusted Launch och Confidential virtual machines följer samma Windows-underhållsvägledning som används för fysiska och virtualiserade enheter.

Detaljerad övervakningsvägledning, inklusive hur du inventerar enheter, verifierar uppdateringar av inbyggda programvaruvariabler och spårar uppdateringsförlopp, finns i Spelbok för säker start för Windows Server och https://aka.ms/GetSecureBoot.

Distribuera uppdateringar

Uppdateringar av certifikat för säker start för Azure Trusted Launch och konfidentiella virtuella datorer initieras från gästoperativsystemet med Windows-underhåll.

Följ distributionsanvisningarna i spelboken för säker start för Windows Server för:

  • automatisk distribution via Windows Update
  • IT-initierade distributionsmetoder
  • underhåll av registernycklar
  • Sekvensering av distribution

När du använder anpassade eller återanvända avbildningar av virtuella datorer kan du läsa Att tänka på vid gyllene avbildningar i den här artikeln innan du avancerar Windows Boot Manager.

tillbaka till toppen

Resurser

Skicka en supportbegäran om du har en supportplan och behöver teknisk hjälp.

tillbaka till toppen

Ändringslogg

Ändra datum Beskrivning av ändring
Den 13 maj 2026 Det finns inga ändringar i den här artikeln

tillbaka till början