วันที่เผยแพร่ต้นฉบับ: วันที่ 13 พฤษภาคม 2026
KB ID: 5085395
บทความนี้มีคําแนะนําสําหรับ:
-
Azure Trusted Launch Virtual Machines (TVM) และ VM (CVM) ลับเฉพาะที่ใช้ Windows ที่เปิดใช้งาน Secure Boot
-
สําหรับรายการระบบปฏิบัติการ Windows ที่รองรับทั้งหมด โปรดดูบทความ: Trusted Launch for Azure Virtual Machine
ในบทความนี้:
บทนำ
การบูตแบบปลอดภัยเป็นฟีเจอร์ความปลอดภัยของเฟิร์มแวร์ UEFI ที่ช่วยให้แน่ใจว่าเฉพาะซอฟต์แวร์ที่เซ็นชื่อแบบดิจิทัลที่เชื่อถือได้เท่านั้นที่ทํางานระหว่างลําดับการบูตอุปกรณ์ ใบรับรองการบูตแบบปลอดภัยของ Microsoft ที่ออกในปี 2011 จะเริ่มหมดอายุในเดือนมิถุนายน 2026
เมื่อต้องการรักษาการป้องกันการบูตแบบปลอดภัยและการให้บริการกระบวนการเริ่มต้นระบบอย่างต่อเนื่อง Azure Trusted Launch และเครื่องเสมือนที่เป็นความลับต้องได้รับการอัปเดตด้วยทั้งสองอย่างต่อไปนี้:
-
ใบรับรองการบูตแบบปลอดภัย 2023 ในเฟิร์มแวร์เสมือน
-
Windows Boot Manager ที่เซ็นชื่อด้วยใบรับรองที่อัปเดตแล้ว
คอมโพเนนต์เหล่านี้ทํางานร่วมกัน: ใบรับรองสร้างความเชื่อถือในเฟิร์มแวร์เสมือน และตัวจัดการการเริ่มต้นระบบต้องได้รับการอัปเดตให้เซ็นชื่อโดยความเชื่อถือนั้น
เพื่อช่วยป้องกันช่องว่างในการป้องกัน ให้ตรวจสอบว่าทั้งสองคอมโพเนนต์ได้รับการอัปเดตและเริ่มการอัปเดตเมื่อจําเป็น
หาก VM ยังคงใช้ใบรับรอง 2011 หลังจากหมดอายุ VM ยังสามารถเริ่มต้นระบบและรับการอัปเดต Windows มาตรฐานต่อไปได้ อย่างไรก็ตาม ระบบจะไม่ได้รับการป้องกันความปลอดภัยใหม่สําหรับกระบวนการเริ่มต้นระบบก่อนใคร อีกต่อไป รวมถึงการอัปเดต Windows Boot Manager, ฐานข้อมูลการบูตแบบปลอดภัย และรายการการยกเลิก หรือการลดช่องโหว่ระดับการบูตที่พบใหม่
เมื่อต้องการเรียนรู้เพิ่มเติม ให้ดู เมื่อใบรับรองการบูตแบบปลอดภัยหมดอายุบนอุปกรณ์ Windows
ระบุสถานการณ์ที่จําเป็นต้องมีการดําเนินการ
ในกรณีส่วนใหญ่ Windows จะใช้ใบรับรอง Secure Boot 2023 โดยอัตโนมัติผ่านการอัปเดตรายเดือนบนอุปกรณ์ที่มีสิทธิ์ รวมถึง Azure ที่สนับสนุนการเปิดใช้ที่เชื่อถือได้และ VM ที่เป็นความลับที่เปิดใช้งานการบูตแบบปลอดภัย VM บางเครื่องอาจไม่เข้าเกณฑ์สําหรับการปรับใช้อัตโนมัติ ถ้าสัญญาณความเข้ากันได้ที่เพียงพอไม่พร้อมใช้งาน ในกรณีเหล่านี้ อาจจําเป็นต้องดําเนินการด้านการดูแลระบบเพื่อเริ่มต้นการอัปเดตจากภายในระบบปฏิบัติการ Guest สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการรับการอัปเดตใบรับรองการบูตแบบปลอดภัย โปรดไปที่: การอัปเดตใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT และองค์กร
การอัปเดตการบูตแบบปลอดภัยสําหรับ Azure Trusted Launch และ VM ที่เป็นความลับเกี่ยวข้องกับสองคอมโพเนนต์:
-
ใบรับรองการบูตแบบปลอดภัยที่เก็บไว้ในเฟิร์มแวร์เสมือน (จัดการแพลตฟอร์ม)
-
Windows Boot Manager (ระบบปฏิบัติการ guest-managed)
เครื่องเสมือนที่สร้างขึ้นหลังจากเดือนมีนาคม 2024 โดยทั่วไปแล้วจะรวมใบรับรอง Secure Boot 2023 ไว้ในเฟิร์มแวร์เสมือน โดยทั่วไป VM เหล่านี้ต้องการการอัปเดต Windows Boot Manager เท่านั้น
เครื่องเสมือนที่ใช้งานเป็นเวลานานที่สร้างขึ้นก่อนเดือนมีนาคม 2024 ไม่มีใบรับรอง Secure Boot 2023 ในเฟิร์มแวร์เสมือน และจําเป็นต้องมีการอัปเดตสําหรับทั้งใบรับรองการบูตแบบปลอดภัยและ Windows Boot Manager
การดําเนินการอัปเดตเริ่มต้นจากภายในระบบปฏิบัติการแบบผู้เยี่ยมชมผ่านการให้บริการของ Windows และใช้การสนับสนุนแพลตฟอร์มเพื่อใช้การอัปเดตที่ได้รับการรับรองความถูกต้องกับตัวแปร Secure Boot ในเฟิร์มแวร์เสมือน
หลังจากระบุสถานการณ์ที่เกี่ยวข้อง แล้ว ให้ทําสินค้าคงคลังในสภาพแวดล้อมของคุณเพื่อกําหนด VM ที่ต้องการการอัปเดต
การดําเนินการที่จําเป็น:
-
ตรวจสอบให้แน่ใจว่าเครื่องเสมือน Guest ได้รับการอัปเดตด้วยการอัปเดต Windows ประจําเดือนมีนาคม 2026 หรือใหม่กว่า (เมษายน 2026 หรือใหม่กว่าหากใช้ hotpatching) ดูเพิ่มเติม: Hotpatch สําหรับ Windows Server
-
ตรวจสอบว่า Azure Trusted Launch และ VM ลับเฉพาะทั้งหมดมีใบรับรอง Secure Boot 2023 และ Windows Boot Manager ที่อัปเดตแล้ว
-
เริ่มต้นการอัปเดตจากภายในระบบปฏิบัติการ Guest เพื่อใช้ใบรับรองการบูตแบบปลอดภัยและการอัปเดต Windows Boot Manager เมื่อจําเป็น
-
ตรวจสอบบันทึกเหตุการณ์ของระบบ Windows: รหัสเหตุการณ์ 1808 และรหัสเหตุการณ์ 1801 หรือตรวจสอบรีจิสทรีคีย์ UEFICA2023Status เพื่อยืนยันว่าได้นําใบรับรองการบูตแบบปลอดภัยที่อัปเดตไปใช้แล้วหรือไม่ และ Windows Boot Manager ได้รับการอัปเดตแล้วหรือไม่
สําหรับอุปกรณ์ที่ไม่ได้ใช้การอัปเดตเหล่านี้ ให้ใช้วิธีการตรวจสอบและการปรับใช้ที่อธิบายไว้ใน Secure Boot playbookWindows Server Secure Boot playbook สําหรับใบรับรองที่หมดอายุในปี 2026 และที่ https://aka.ms/GetSecureBoot สําหรับคําแนะนําทั้งหมด
Azure ข้อควรพิจารณาเกี่ยวกับ VM guest
ตรวจทานสถานการณ์สมมติต่อไปนี้และการดําเนินการที่จําเป็นสําหรับโฮสต์เซสชัน:
|
สถานการณ์สมมติ VM |
การบูตแบบปลอดภัยทํางานอยู่หรือไม่ |
ต้องดําเนินการ |
|
TVM หรือ CVM ที่เปิดใช้งานการบูตแบบปลอดภัย |
ใช่ |
อัปเดตใบรับรองการบูตแบบปลอดภัยและ Windows Boot Manager |
|
TVM ที่ปิดใช้งานการบูตแบบปลอดภัย |
ไม่ใช่ |
ไม่จําเป็นต้องดําเนินการใดๆ |
|
รุ่นที่ 1 VM |
ไม่รองรับ |
ไม่จําเป็นต้องดําเนินการใดๆ |
หมายเหตุ: Standard VM ประเภทความปลอดภัยไม่ได้เปิดใช้งาน Secure Boot
ข้อควรพิจารณาเกี่ยวกับภาพสีทอง
ตรวจสอบสถานการณ์ต่อไปนี้และการดําเนินการที่จําเป็นสําหรับรูปภาพ:
หมายเหตุ: รูปภาพ Azure Marketplace มีจุดเริ่มต้นที่กําหนดไว้ล่วงหน้า รูปเริ่มต้นของวานิลลาหรือผู้เผยแพร่ ในขณะที่ Azure รูปแกลเลอรีการคํานวณถูกใช้เพื่อจัดเก็บและแจกจ่ายรูปที่กําหนดเอง ในทั้งสองกรณี รูปภาพจะบันทึก Windows Boot Manager แต่ไม่รวมตัวแปรเฟิร์มแวร์การบูตแบบปลอดภัย ซึ่งใช้ในระดับเครื่องเสมือน
Azure แกลเลอรีการคํานวณและอิมเมจที่มีการจัดการจะบันทึกสถานะของระบบปฏิบัติการและตัวโหลดการเริ่มต้นระบบ รวมถึง Windows Boot Manager แต่ไม่มีตัวแปรเฟิร์มแวร์การบูตแบบปลอดภัย ใบรับรองการบูตแบบปลอดภัย เช่น การอัปเดตฐานข้อมูล Secure Boot (DB) หรือคีย์การแลกเปลี่ยนคีย์ (KEK) จะถูกเก็บไว้ในเฟิร์มแวร์เสมือนของเครื่องเสมือนที่ปรับใช้และไม่ได้บันทึกในระหว่างการปรับแต่งรูปภาพ
การใช้การอัปเดตการบูตแบบปลอดภัยภายในอิมเมจสีทองจะช่วยพัฒนา Windows Boot Manager แต่จะไม่คงใบรับรองการบูตแบบปลอดภัยไปยังเครื่องเสมือนที่เตรียมใช้งานจากอิมเมจนั้น อย่างไรก็ตาม การดําเนินการอัปเดตนี้จะทําให้ Windows Boot Manager ภายในอิมเมจพัฒนาขึ้น
การดําเนินการที่จําเป็น:
-
ใช้การปรับปรุง Secure Boot 2023 ไปใช้กับภาพสีทองก่อนที่จะจับภาพ หมายเหตุ: การดําเนินการนี้จะทําให้ Windows Boot Manager ดําเนินต่อ แต่จะไม่คงใบรับรองการบูตแบบปลอดภัยเพื่อปรับใช้เครื่องเสมือน
-
รีสตาร์ต VM ตามที่จําเป็นเพื่ออนุญาตให้นําการอัปเดตตัวจัดการการเริ่มต้นระบบไปใช้
-
ตรวจสอบว่าการอัปเดตเสร็จสมบูรณ์ก่อนที่จะกําหนดรูปภาพให้เป็นแบบทั่วไปโดยการเรียกใช้คําสั่ง PowerShell ต่อไปนี้ และยืนยันว่าค่าถูกตั้งค่าเป็น อัปเดต:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
การอัปเดตตัวจัดการการเริ่มต้นระบบของ Windows ภายในอิมเมจสีทองจะใช้การอัปเดตนั้นกับเครื่องเสมือนที่ปรับใช้หรือปรับใช้อิมเมจใหม่โดยใช้รูปภาพ Azure Trusted Launch ที่เพิ่งเตรียมใช้งานใหม่และเครื่องเสมือนที่เป็นความลับจะมีใบรับรอง Secure Boot 2023 ในเฟิร์มแวร์เสมือน และสามารถใช้รูปภาพสีทองได้อย่างปลอดภัยด้วย Windows Boot Manager ที่อัปเดตแล้ว
อย่างไรก็ตาม การปรับใช้อิมเมจบนเครื่องเสมือนที่มีอยู่ที่สร้างขึ้นก่อนเดือนมีนาคม 2024 อาจใช้ตัวจัดการการเริ่มต้นระบบของ Windows ที่อัปเดตแล้วกับ VM ซึ่งเฟิร์มแวร์นั้นยังไม่เชื่อถือใบรับรอง Secure Boot 2023 ที่สอดคล้องกัน ในกรณีเหล่านี้ การอัปเดตใบรับรองการบูตแบบปลอดภัยควรใช้ภายในระบบปฏิบัติการแบบผู้เยี่ยมชมก่อนเริ่ม Windows Boot Manager
ข้อควรพิจารณาเกี่ยวกับทรัพยากร Azure อื่นๆ
|
ทรัพยากร Azure |
สร้างก่อนเดือนเมษายน 2024 หรือไม่ |
ต้องการการกระทำ |
|---|---|---|
|
การสํารองข้อมูล/สแนปช็อตของ TVM หรือ CVM |
ใช่ |
เริ่มต้นระบบ VM ใช้การอัปเดต แล้วซื้อใหม่ |
|
การสํารองข้อมูล/สแนปช็อตของ TVM หรือ CVM |
ไม่ใช่ |
ไม่จําเป็นต้องดําเนินการใดๆ |
|
Azure จับภาพแกลเลอรีการคํานวณด้วย (ประเภทความปลอดภัยของรูปภาพ = TL หรือ CVM) จับภาพจาก TVM หรือ CVM |
ใช่ |
เริ่มต้นระบบ VM ใช้การอัปเดต แล้วซื้อใหม่ |
|
Azure จับภาพแกลเลอรีการคํานวณด้วย (ประเภทความปลอดภัยของรูปภาพ = TL หรือ CVM) จับภาพจาก TVM หรือ CVM |
ไม่ใช่ |
ไม่จําเป็นต้องดําเนินการใดๆ |
ตรวจสอบสถานะการอัปเดต
การตรวจสอบและการปรับใช้สําหรับการอัปเดตใบรับรองการบูตแบบปลอดภัยใน Azure Trusted Launch และเครื่องเสมือนที่เป็นความลับเป็นไปตามคําแนะนําการให้บริการของ Windows เดียวกันกับที่ใช้สําหรับอุปกรณ์ทางกายภาพและเสมือน
สําหรับคําแนะนําในการตรวจสอบโดยละเอียด รวมถึงวิธีการทํารายการอุปกรณ์ ตรวจสอบการอัปเดตตัวแปรเฟิร์มแวร์ และติดตามความคืบหน้าในการอัปเดต ดูที่ Secure Boot Playbook สําหรับ Windows Server และ https://aka.ms/GetSecureBoot
ปรับใช้การอัปเดต
การอัปเดตใบรับรองการบูตแบบปลอดภัยสําหรับ Azure Trusted Launch และเครื่องเสมือนที่เป็นความลับจะเริ่มต้นจากภายในระบบปฏิบัติการแบบผู้เยี่ยมชมโดยใช้การให้บริการ Windows
ทําตามคําแนะนําการปรับใช้ใน Secure Boot Playbook สําหรับ Windows Server สําหรับ:
-
การปรับใช้อัตโนมัติผ่าน Windows Update
-
วิธีการปรับใช้ที่เริ่มต้นโดย IT
-
รีจิสทรีคีย์การให้บริการ
-
การจัดลําดับการปรับใช้
เมื่อใช้อิมเมจของเครื่องเสมือนแบบกําหนดเองหรือนํากลับมาใช้ใหม่ ให้ดู ข้อควรพิจารณาเกี่ยวกับรูปภาพสีทอง ในบทความนี้ก่อนการเลื่อนตัวจัดการการเริ่มต้นระบบ Windows
แหล่งข้อมูล
-
บุ๊กมาร์ก รับการบูตแบบปลอดภัย สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปลี่ยนแปลงนี้ คําแนะนําโดยละเอียดสําหรับการจัดการการอัปเดตใบรับรองการบูตแบบปลอดภัย และคําตอบของคําถามที่ถามบ่อย
-
การอัปเดตใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT และองค์กร
-
สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์ในบันทึกเหตุการณ์ โปรดดูเหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot
-
สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์การบูตแบบปลอดภัย ดูที่ การอัปเดตรีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย: อุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดย IT
หากคุณมีแผนการสนับสนุนและต้องการความช่วยเหลือทางเทคนิค โปรดส่งคําขอรับการสนับสนุน
เปลี่ยนล็อก
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|
วันที่ 13 พฤษภาคม 2026 |
ไม่มีการเปลี่ยนแปลงในบทความนี้ |
