2011'den 2023 sertifikalarına Güvenli Önyükleme güncelleştirmesi: Güvenilir Başlatma Sanal Makineleri (TVM) ve Gizli Sanal Makineler (CVM)

Not

  • Orijinal yayınlama tarihi: Mayıs 13, 2026
  • KB Kimliği: 5085395

Not

Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:

Bu makalede:

Giriş

Güvenli Önyükleme, aygıt önyükleme sırasında yalnızca güvenilir, dijital olarak imzalanmış yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011'de verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026'da dolmaya başlıyor.

Güvenli Önyükleme korumalarını sürdürmek ve erken önyükleme işlemine hizmet vermeye devam etmek için Azure Güvenilir Başlatma ve Gizli sanal makineler aşağıdakilerin her ikisiyle de güncelleştirilmelidir:

  • Sanal bellenimde Güvenli Önyükleme 2023 sertifikaları
  • Güncelleştirilmiş sertifikalarla imzalanmış bir Windows Önyükleme Yöneticisi

Bu bileşenler birlikte çalışır: sertifikalar sanal bellenime güven oluşturur ve Önyükleme Yöneticisi'nin bu güven tarafından imzalanacak şekilde güncelleştirilmesi gerekir.

Korumada boşlukların önlenmesine yardımcı olmak için, her iki bileşenin de güncelleştirildiğini doğrulayın ve gerektiğinde güncelleştirmeleri başlatın.

VM süresi dolduktan sonra 2011 sertifikalarını kullanmaya devam ederse önyükleme yapmaya ve standart Windows güncelleştirmelerini almaya devam edebilir. Ancak, erken önyükleme işlemi için Windows Önyükleme Yöneticisi güncelleştirmeleri, Güvenli Önyükleme veritabanları ve iptal listeleri veya yeni keşfedilen önyükleme düzeyindeki güvenlik açıklarına yönelik azaltıcı etkenler dahil olmak üzere yeni güvenlik korumaları almayacaktır.

Daha fazla bilgi edinmek içinWindows cihazlarında Güvenli Önyükleme sertifikalarının süresi dolduğunda bölümüne bakın.

başa dön

Eylem gerektiren senaryoları belirleme

Çoğu durumda Windows, Güvenli Önyükleme etkinleştirilmiş Azure Güvenilir Başlatma ve Gizli VM'ler de dahil olmak üzere uygun cihazlara aylık güncelleştirmeler aracılığıyla Güvenli Önyükleme 2023 sertifikalarını otomatik olarak uygular. Yeterli uyumluluk sinyalleri yoksa bazı VM'ler otomatik dağıtım için uygun olmayabilir. Bu durumlarda, güncelleştirmeleri konuk işletim sisteminin içinden başlatmak için yönetici eylemi gerekebilir. Güvenli Önyükleme sertifikaları güncelleştirmelerini alma hakkında daha fazla bilgi için şu adresi ziyaret edin: Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için rehberlik.

Azure Güvenilir Başlatma ve Gizli VM'ler için Güvenli Önyükleme güncelleştirmeleri iki bileşen içerir:

  • Sanal bellenimde depolanan Güvenli Önyükleme sertifikaları (platform tarafından yönetilen)
  • Windows Önyükleme Yöneticisi (konuk işletim sistemi tarafından yönetilen)

Mart 2024'ten sonra oluşturulan sanal makineler genellikle sanal bellenimde Güvenli Önyükleme 2023 sertifikalarını zaten içerir. Bu VM'ler genellikle yalnızca bir Windows Önyükleme Yöneticisi güncelleştirmesi gerektirir.

Mart 2024'ten önce oluşturulan uzun süre çalışan sanal makineler, sanal üretici yazılımında Güvenli Önyükleme 2023 sertifikalarını içermez ve hem Güvenli Önyükleme sertifikalarının hem de Windows Önyükleme Yöneticisi'nin güncelleştirilmesini gerektirir.

Güncelleştirme işlemleri, Windows hizmeti aracılığıyla konuk işletim sisteminin içinden başlatılır ve sanal bellenimdeki Güvenli Önyükleme değişkenlerine kimliği doğrulanmış güncelleştirmeleri uygulamak için platform desteğine dayanır.

Uygulanabilir senaryoları belirledikten sonra, hangi VM'lerin güncelleştirme gerektirdiğini belirlemek için ortamınızın envanterini çıkarın.

Gerekli işlemler:

  • Konuk VM'lerin Mart 2026 Windows güncelleştirmesi veya sonraki sürümlerle (anında düzeltme kullanılıyorsa Nisan 2026 veya sonrası) güncelleştirildiğinden emin olun. Ayrıca bakınız: Hotpatch for Windows ServerWindows Server.
  • Tüm Azure Güvenilen Başlatma ve Gizli VM'lerin Güvenli Önyükleme 2023 sertifikalarına ve güncelleştirilmiş bir Windows Önyükleme Yöneticisine sahip olduğunu doğrulayın.
  • Gerektiğinde Güvenli Önyükleme sertifikası ve Windows Önyükleme Yöneticisi güncelleştirmelerini uygulamak için güncelleştirmeleri konuk işletim sisteminden başlatın.
  • Güncelleştirilmiş Güvenli Önyükleme sertifikalarının uygulanıp uygulanmadığını ve Windows Önyükleme Yöneticisi'nin güncelleştirilip güncelleştirilmediğini doğrulamak için Windows Sistemi olay günlüklerini denetleyin: Olay Kimliği 1808 ve Olay Kimliği 1801 veya UEFICA2023Status kayıt defteri anahtarını izleyin.

Bu güncelleştirmeleri uygulamayan cihazlarda, Güvenli Önyükleme akış kitabında, 2026'da süresi dolacak sertifikalar için Windows Server Güvenli Önyükleme akış kitabında ve eksiksiz rehberlik için https://aka.ms/GetSecureBoot'te açıklanan izleme ve dağıtım yöntemlerini kullanın.

başa dön

AzureAzure konuk VM konusunda dikkat edilmesi gerekenler

Oturum konakları için aşağıdaki senaryoları ve gerekli eylemleri gözden geçirin:

VM Senaryosu Güvenli Önyükleme Etkin mi? Eylem Gerekli
Güvenli Önyükleme etkinleştirilmiş TVM veya CVM Evet Güvenli Önyükleme sertifikalarını ve Windows Önyükleme Yöneticisi'ni güncelleştirme
Güvenli Önyükleme devre dışı bırakılmış TVM Hayır Eylem gerekmez
1. Nesil VM Desteklenmez Eylem gerekmez

Not

Standart güvenlik türündeki VM'lerde Güvenli Önyükleme etkinleştirilmemiştir.

başa dön

Altın rengi görüntü konusunda dikkat edilmesi gerekenler

Görüntüler için aşağıdaki senaryoları ve gerekli eylemleri gözden geçirin:

Not

Azure Market görüntüleri önceden yapılandırılmış başlangıç noktaları, vanilya veya yayımcıların varsayılan görüntülerini sağlarken, özelleştirilmiş görüntüleri depolamak ve dağıtmak için Azure İşlem Galerisi görüntüleri kullanılır. Her iki durumda da, görüntüler Windows Önyükleme Yöneticisi'ni yakalar ancak sanal makine düzeyinde uygulanan Güvenli Önyükleme üretici yazılımı değişkenlerini içermez.

Resimler için eylem gerekip gerekmediğini belirlemek için akış çizelgesi

AzureAzure İşlem Galerisi ve yönetilen görüntüler, Windows Önyükleme Yöneticisi de dahil olmak üzere işletim sistemi ve önyükleyici durumunu yakalar, ancak Güvenli Önyükleme üretici yazılımı değişkenlerini içermez. Güvenli Önyükleme veritabanı (DB) veya anahtar değişim anahtarları (KEK) güncelleştirmeleri gibi Güvenli Önyükleme sertifikaları, dağıtılan sanal makinenin sanal üretici yazılımında depolanır ve görüntü genellemesi sırasında yakalanmaz.

Altın renkli bir görüntü içinde Güvenli Önyükleme güncelleştirmelerinin uygulanması, Windows Önyükleme Yöneticisi'ni ilerletir ancak Güvenli Önyükleme sertifikalarını bu görüntüden sağlanan sanal makinelere kalıcı hale getirmez. Ancak bu güncelleştirmeyi gerçekleştirmek, görüntüdeki Windows Önyükleme Yöneticisi'ni ilerletir.

Gerekli işlemler:

  • Güvenli Önyükleme 2023 güncelleştirmesini yakalamadan önce altın görüntüye uygulayın. Bilginize: Bu, Windows Önyükleme Yöneticisi'ni ilerletir ancak Güvenli Önyükleme sertifikalarını dağıtılan sanal makinelere kalıcı hale getirmez.

  • Önyükleme Yöneticisi güncelleştirmesinin uygulanmasına izin vermek için VM'yi gerektiği gibi yeniden başlatın.

  • Görüntüyü genelleştirmeden önce aşağıdaki PowerShell komutunu çalıştırıp değerin Güncelleştirildi olarak ayarlandığını onaylayarak güncelleştirmenin tamamlandığını doğrulayın:

    Not

    Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status

Windows Önyükleme Yöneticisi'ni altın renkli bir görüntü içinde güncelleştirmek, bu güncelleştirmeyi görüntü kullanılarak dağıtılan veya yeniden dağıtılan sanal makinelere uygular. Yeni sağlanan AzureAzure Trusted Launch ve Confidential sanal makineleri, sanal bellenimde Secure Boot 2023 sertifikalarını içerir ve güncelleştirilmiş Windows Boot Manager ile altın görüntüleri güvenle kullanabilir.

Ancak, Mart 2024'ten önce oluşturulan mevcut sanal makinelere yapılan görüntü tabanlı yeniden dağıtımlar, güncelleştirilmiş Windows Önyükleme Yöneticisi'ni, üretici yazılımı henüz ilgili Güvenli Önyükleme 2023 sertifikalarına güvenmeyen VM'lere uygulayabilir. Bu gibi durumlarda, Windows Önyükleme Yöneticisi'ni ilerletmeden önce konuk işletim sisteminde Güvenli Önyükleme sertifikası güncelleştirmelerinin uygulanması gerekir.

başa dön

Diğer AzureAzure resources considerations

AzureAzure resource Nisan 2024'ten önce mi oluşturuldu? Eylem gerekiyor
TVM veya CVM'nin yedeklenmesi/anlık görüntüsü Evet VM'yi önyükleyin, güncelleştirmeleri uygulayın ve ardından yeniden yakalayın
TVM veya CVM'nin yedeklenmesi/anlık görüntüsü Hayır Eylem gerekmez
AzureAzure Compute Gallery image captures with (image security type = TL or CVM) captures from TVM or CVM Evet VM'yi önyükleyin, güncelleştirmeleri uygulayın ve ardından yeniden yakalayın
AzureAzure Compute Gallery image captures with (image security type = TL or CVM) captures from TVM or CVM Hayır Eylem gerekmez

başa dön

Güncelleştirme durumunu izleme

Azure Güvenilir Başlatma ve Gizli sanal makinelerinde Güvenli Önyükleme sertifikası güncelleştirmelerinin izlenmesi ve dağıtılması, fiziksel ve sanallaştırılmış cihazlar için kullanılan Windows hizmet yönergelerini izler.

Cihazların envanterinin nasıl alınacağı, üretici yazılımı değişken güncelleştirmelerinin nasıl doğrulanacağı ve güncelleştirme ilerleme durumunun nasıl izleneceği de dahil olmak üzere ayrıntılı izleme yönergeleri için Windows Server ve https://aka.ms/GetSecureBoot için Güvenli Önyükleme Akış Akış Kitabı'na bakın.

Güncelleştirmeleri dağıtma

Azure Güvenilir Başlatma ve Gizli sanal makineler için Güvenli Önyükleme sertifikası güncelleştirmeleri, Windows hizmeti kullanılarak konuk işletim sisteminin içinden başlatılır.

Aşağıdakiler için Güvenli Önyükleme Windows Server Taktik'teki dağıtım yönergelerini izleyin:

  • Windows UpdateWindows Update aracılığıyla otomatik dağıtım
  • BT tarafından başlatılan dağıtım yöntemleri
  • hizmet kayıt defteri anahtarları
  • Dağıtım Sıralaması

Özel veya yeniden kullanılan sanal makine görüntülerini kullanırken, Windows Önyükleme Yöneticisi'ni ilerletmeden önce bu makaledeki Altın Görüntü konuları konularına bakın.

başa dön

Kaynaklar

Bir destek planınız varsa ve teknik yardıma ihtiyacınız varsa lütfen bir destek isteği gönderin.

başa dön

Değişiklik günlüğü

Tarihi değiştir Açıklamayı değiştir
Mayıs 13, 2026 Bu makalede herhangi bir değişiklik yok

başa dön