Ursprungligt publiceringsdatum: den 13 maj 2026

KB-ID: 5085395

Den här artikeln innehåller vägledning för: 

  • Azure Trusted Launch Virtual Machines (TVM) och konfidentiella virtuella datorer (CVM) som kör Windows med Säker start aktiverat.

  • En fullständig lista över Windows-operativsystem som stöds finns i artikeln: Betrodd start för Azure virtuella datorer

I den här artikeln:

Inledning

Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som hjälper till att säkerställa att endast betrodd, digitalt signerad programvara körs under enhetens startsekvens. Microsoft Secure Boot-certifikat som utfärdades 2011 börjar gälla i juni 2026. 

För att upprätthålla skydd för säker start och fortsatt underhåll av den tidiga startprocessen måste Azure betrodd start och konfidentiella virtuella datorer uppdateras med båda följande: 

  • Certifikat för säker start 2023 i virtuell inbyggd programvara

  • En Windows Boot Manager signerad av de uppdaterade certifikaten

Dessa komponenter fungerar tillsammans: certifikaten skapar förtroende för virtuell inbyggd programvara och Boot Manager måste uppdateras för att kunna signeras av det förtroendet. 

För att förhindra brister i skyddet kontrollerar du att båda komponenterna uppdateras och initierar uppdateringar där det behövs. 

Om en virtuell dator fortsätter att vara beroende av 2011-certifikaten efter utgångsdatumet kan den fortsätta att starta och ta emot vanliga Windows-uppdateringar. Men den får inte längre nya säkerhetsskydd för den tidiga startprocessen, inklusive uppdateringar av Windows Boot Manager, databaser för säker start och återkallelselistor eller lösningar för nyligen upptäckta säkerhetsrisker på startnivå. 

Mer information finns i När certifikat för säker start upphör att gälla på Windows-enheter.

Tillbaka till början 

Identifiera scenarier som kräver åtgärder

I de flesta fall tillämpar Windows certifikaten för säker start 2023 automatiskt via månatliga uppdateringar på berättigade enheter, inklusive Azure betrodd start och konfidentiella virtuella datorer med Säker start aktiverat. Vissa virtuella datorer kanske inte är berättigade till automatisk distribution om tillräckliga kompatibilitetssignaler inte är tillgängliga. I sådana fall kan administrativa åtgärder krävas för att initiera uppdateringar inifrån gästoperativsystemet. Mer information om hur du hämtar uppdateringar för certifikat för säker start finns i: Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer.

Uppdateringar av säker start för Azure betrodd start och konfidentiella virtuella datorer omfattar två komponenter: 

  • Certifikat för säker start som lagras i virtuell inbyggd programvara (plattformhanterad)

  • Windows Boot Manager (hanteras av gästoperativsystem)

Virtuella datorer som skapats efter mars 2024 innehåller vanligtvis redan Certifikat för säker start 2023 i virtuell inbyggd programvara. Dessa virtuella datorer kräver vanligtvis bara en uppdatering av Windows Boot Manager. 

Long-running virtual machines created prior to March 2024 do not include the Secure Boot 2023 certificates in virtual firmware and require updates to both Secure Boot certificates and Windows Boot Manager. 

Uppdateringsåtgärder initieras inifrån gästoperativsystemet via Windows-underhåll och förlitar sig på plattformsstöd för att tillämpa autentiserade uppdateringar på variabler för säker start i virtuell inbyggd programvara. 

När du har identifierat tillämpliga scenarier bör du inventera miljön för att avgöra vilka virtuella datorer som kräver uppdateringar. 

Åtgärder som krävs: 

  • Se till att virtuella gästdatorer uppdateras med Windows-uppdateringen för mars 2026 eller senare (april 2026 eller senare om du använder snabbkoppling). Läs mer: Hotpatch för Windows Server.

  • Kontrollera att alla Azure betrodda start och konfidentiella virtuella datorer har certifikat för säker start 2023 och en uppdaterad Windows Boot Manager.

  • Initiera uppdateringar inifrån gästoperativsystemet för att tillämpa certifikat för säker start och Uppdateringar för Windows Boot Manager där det behövs.

  • Granska händelseloggarna i Windows-systemet: Händelse-ID 1808 och händelse-ID 1801 eller övervaka registernyckeln UEFICA2023Status för att kontrollera om uppdaterade certifikat för säker start har tillämpats och om Windows Boot Manager har uppdaterats.

För enheter som inte har tillämpat dessa uppdateringar använder du övervaknings- och distributionsmetoderna som beskrivs i spelboken Säker startWindows Server Playbook för säker start för certifikat som upphör 2026 ochhttps://aka.ms/GetSecureBoot för fullständig vägledning. 

Tillbaka till början

överväganden för Azure virtuella gäst-VM

Granska följande scenarier och nödvändiga åtgärder för sessionsvärdar:

VM-scenario

Säker start aktiv?

Åtgärd krävs

TVM eller CVM med Säker start aktiverat

Ja

Uppdatera certifikat för säker start och Windows Boot Manager

TVM med Säker start inaktiverad

Nej

Ingen åtgärd krävs

Generation 1 VM

Stöds inte

Ingen åtgärd krävs

Obs!: Virtuella standarddatorer av säkerhetstyp har inte Säker start aktiverat. 

Tillbaka till början

Gyllene bildöverväganden

Granska följande scenarier och obligatoriska åtgärder för bilder:

Obs!: Azure Marketplace-bilder ger förkonfigurerade startpunkter, vanilj- eller utgivares standardbilder, medan Azure bilder i beräkningsgalleriet används för att lagra och distribuera anpassade bilder. I båda fallen spelar avbildningar in Windows Boot Manager men innehåller inte variabler för säker start av inbyggd programvara, som tillämpas på den virtuella datorns nivå.

Flödesschema för att avgöra om åtgärder krävs för avbildningar

Azure Beräkningsgalleriet och hanterade avbildningar fångar operativsystem och startinläsningstillstånd, inklusive Windows Boot Manager, men inkluderar inte variabler för säker start av inbyggd programvara. Certifikat för säker start, till exempel uppdateringar av databasen för säker start (DB) eller nyckel exchange-nycklar (KEK), lagras i den virtuella inbyggda programvaran på den distribuerade virtuella datorn och registreras inte under generaliseringen av avbildningen. 

Genom att tillämpa uppdateringar för säker start i en gyllene avbildning överförs Windows Boot Manager, men certifikat för säker start sparas inte på virtuella datorer som har etablerats från den avbildningen. Om du gör den här uppdateringen förs windows-starthanteraren framåt i avbildningen.

Åtgärder som krävs:

  • Tillämpa secure boot 2023-uppdateringen på den gyllene avbildningen innan du spelar in den. Obs! Detta flyttar fram Windows Boot Manager men kommer inte att bevara certifikat för säker start till distribuerade virtuella datorer.

  • Starta om den virtuella datorn efter behov så att Boot Manager-uppdateringen kan tillämpas.

  • Kontrollera att uppdateringen har slutförts innan du generaliserar avbildningen genom att köra följande PowerShell-kommando och bekräfta att värdet är uppdaterat:

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status 

Uppdatering av Windows Boot Manager i en gyllene avbildning gäller uppdateringen för virtuella datorer som distribueras eller omdistribueras med hjälp av avbildningen. Nyetablerade Azure Betrodd start och Konfidentiella virtuella datorer innehåller Certifikat för säker start 2023 i virtuell inbyggd programvara och kan på ett säkert sätt använda gyllene avbildningar med den uppdaterade Windows Boot Manager. 

Men avbildningsbaserade omdistributioner på befintliga virtuella datorer som skapats före mars 2024 kan tillämpa den uppdaterade Windows Boot Manager på virtuella datorer vars inbyggda programvara ännu inte litar på motsvarande Secure Boot 2023-certifikat. I sådana fall ska uppdateringar av certifikat för säker start tillämpas i gästoperativsystemet innan du går vidare till Windows Boot Manager.

Tillbaka till början 

Andra Azure resurser

Azure resurs

Skapades före april 2024?

Åtgärd krävs

Säkerhetskopiering/ögonblicksbild av TVM eller CVM

Ja

Starta den virtuella datorn, installera uppdateringar och spela sedan in igen

Säkerhetskopiering/ögonblicksbild av TVM eller CVM

Nej

Ingen åtgärd krävs

Azure Avbildning av beräkningsgalleriet med (bildsäkerhetstyp = TL eller CVM) från TVM eller CVM

Ja

Starta den virtuella datorn, installera uppdateringar och spela sedan in igen

Azure Avbildning av beräkningsgalleriet med (bildsäkerhetstyp = TL eller CVM) från TVM eller CVM

Nej

Ingen åtgärd krävs

Tillbaka till början 

Övervaka uppdateringsstatus

Övervakning och distribution av certifikatuppdateringar för säker start i Azure Betrodd start och Konfidentiella virtuella datorer följer samma underhållsvägledning för Windows som används för fysiska och virtualiserade enheter. 

Detaljerad övervakningsvägledning, inklusive hur du inventar enheter, verifierar uppdateringar av variabeln för inbyggd programvara och spårar uppdateringsförloppet finns i Secure Boot Playbook för Windows Server och https://aka.ms/GetSecureBoot.

Distribuera uppdateringar

Certifikatuppdateringar för säker start för Azure betrodd start och konfidentiella virtuella datorer initieras från gästoperativsystemet med hjälp av Windows-underhåll.  

Följ distributionsvägledningen i Secure Boot Playbook för Windows Server för:

  • automatisk distribution via Windows Update

  • IT-initierade distributionsmetoder

  • underhålla registernycklar

  • distributionssekvensering

När du använder anpassade eller återanvända virtuella datoravbildningar läser du Golden Image-överväganden i den här artikeln innan du går vidare med Windows Boot Manager. 

Tillbaka till början

Resurser

Om du har ett supportavtal och behöver teknisk hjälp kan du skicka en supportbegäran. 

Tillbaka till början

Ändra logg

Ändra datum

Ändra beskrivning

den 13 maj 2026

Det finns inga ändringar i den här artikeln

Tillbaka till början

Facebook LinkedIn E-post

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter