Özgün yayımlama tarihi: 13 Mayıs 2026, Mayıs 2026, Mayıs 2026, Mayıs 2026, Mayıs
KB Kimliği: 5085395
Bu makalede aşağıdakiler için yönergeler verilmiştir:
-
Güvenli Önyükleme etkin olarak Windows çalıştıran Güvenilir Başlatma Sanal Makineler (TVM) ve Gizli VM'ler (CVM) Azure.
-
Desteklenen Windows işletim sistemlerinin tam listesi için şu makaleye bakın: Azure sanal makineler için Güvenilen Başlatma
Bu makalede:
Giriş
Güvenli Önyükleme, cihaz önyükleme sırası sırasında yalnızca güvenilir, dijital olarak imzalanan yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011'de verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026'da dolmaya başlar.
Güvenli Önyükleme korumalarını korumak ve erken önyükleme işleminin sürekli bakımını yapmak için, Güvenilen Başlatma ve Gizli sanal makinelerin Azure aşağıdakilerin her ikisiyle de güncelleştirilmesi gerekir:
-
Sanal üretici yazılımında Güvenli Önyükleme 2023 sertifikaları
-
Güncelleştirilmiş sertifikalar tarafından imzalanan bir Windows Önyükleme Yöneticisi
Bu bileşenler birlikte çalışır: sertifikalar sanal üretici yazılımında güven oluşturur ve Önyükleme Yöneticisi bu güven tarafından imzalanacak şekilde güncelleştirilmelidir.
Koruma boşluklarını önlemeye yardımcı olmak için her iki bileşenin de güncelleştirildiğini doğrulayın ve gerektiğinde güncelleştirmeleri başlatın.
Vm süre sonunda 2011 sertifikalarını kullanmaya devam ederse, standart Windows güncelleştirmelerini önyüklemeye ve almaya devam edebilir. Ancak, Windows Önyükleme Yöneticisi güncelleştirmeleri, Güvenli Önyükleme veritabanları ve iptal listeleri veya yeni bulunan önyükleme düzeyi güvenlik açıkları için azaltmalar da dahil olmak üzere erken önyükleme işlemi için yeni güvenlik korumaları almayacaktır.
Daha fazla bilgi için bkz. Windows cihazlarında Güvenli Önyükleme sertifikalarının süresi dolduğunda.
Eylem gerektiren senaryoları belirleme
Çoğu durumda Windows, Güvenli Önyükleme 2023 sertifikalarını, desteklenen Azure Güvenilen Başlatma ve Güvenli Önyükleme etkinleştirilmiş Gizli VM'ler de dahil olmak üzere uygun cihazlarda aylık güncelleştirmeler aracılığıyla otomatik olarak uygular. Yeterli uyumluluk sinyalleri yoksa bazı VM'ler otomatik dağıtım için uygun olmayabilir. Bu gibi durumlarda, konuk işletim sisteminden güncelleştirmeleri başlatmak için yönetim eylemi gerekebilir. Güvenli Önyükleme sertifikaları güncelleştirmelerini alma hakkında daha fazla bilgi için bkz. Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için yönergeler.
Azure Güvenilir Başlatma ve Gizli VM'ler için Güvenli Önyükleme güncelleştirmeleri iki bileşen içerir:
-
Sanal üretici yazılımında depolanan güvenli Önyükleme sertifikaları (platform tarafından yönetilen)
-
Windows Önyükleme Yöneticisi (konuk işletim sistemi tarafından yönetilen)
Mart 2024'te oluşturulan sanal makineler genellikle sanal üretici yazılımında Güvenli Önyükleme 2023 sertifikalarını içerir. Bu VM'ler genellikle yalnızca bir Windows Önyükleme Yöneticisi güncelleştirmesi gerektirir.
Mart 2024'e kadar oluşturulan uzun süre çalışan sanal makineler, sanal üretici yazılımına Güvenli Önyükleme 2023 sertifikalarını içermez ve hem Güvenli Önyükleme sertifikalarında hem de Windows Önyükleme Yöneticisi'nde güncelleştirmeler gerektirir.
Güncelleştirme işlemleri Windows bakımı aracılığıyla konuk işletim sistemi içinden başlatılır ve sanal üretici yazılımındaki Güvenli Önyükleme değişkenlerine kimliği doğrulanmış güncelleştirmeler uygulamak için platform desteğine güvenir.
Geçerli senaryoları belirledikten sonra, hangi VM'lerin güncelleştirme gerektirdiğini belirlemek için ortamınızın envanterini oluşturun.
Gerekli eylemler:
-
Konuk VM'lerin Mart 2026 Windows güncelleştirmesi veya sonraki sürümleriyle güncelleştirildiğinden emin olun (hotpatching kullanılıyorsa Nisan 2026 veya üzeri). Daha fazla bilgi: Windows Server için kısayol düzeltme eki.
-
Tüm Azure Güvenilir Başlatma ve Gizli VM'lerin Güvenli Önyükleme 2023 sertifikalarına ve güncelleştirilmiş bir Windows Önyükleme Yöneticisi'ne sahip olduğunu doğrulayın.
-
Gerektiğinde Güvenli Önyükleme sertifikası ve Windows Önyükleme Yöneticisi güncelleştirmelerini uygulamak için konuk işletim sistemi içinden güncelleştirmeleri başlatın.
-
Windows Sistemi olay günlüklerini denetleyin: Olay Kimliği 1808 ve Olay Kimliği 1801 veya güncelleştirilmiş Güvenli Önyükleme sertifikalarının uygulanıp uygulanmadığını ve Windows Önyükleme Yöneticisi'nin güncelleştirilip güncelleştirilmediğini onaylamak için UEFICA2023Status kayıt defteri anahtarını izleyin.
Bu güncelleştirmeleri uygulamamış cihazlar için, Güvenli Önyükleme playbook'unda açıklanan izleme ve dağıtım yöntemlerini kullanın Windows Server 2026'da süresi dolan sertifikalar için Güvenli Önyükleme playbook'u ve eksiksiz rehberlik için https://aka.ms/GetSecureBoot.
Azure konuk VM ile ilgili dikkat edilmesi gerekenler
Oturum konakları için aşağıdaki senaryoları ve gerekli eylemleri gözden geçirin:
|
VM Senaryosu |
Güvenli Önyükleme Etkin mi? |
Eylem Gerekli |
|
Güvenli Önyükleme etkin TVM veya CVM |
Evet |
Güvenli Önyükleme sertifikalarını ve Windows Önyükleme Yöneticisi'ni güncelleştirme |
|
Güvenli Önyükleme devre dışı tvm |
Hayır |
Eylem gerekmez |
|
1. Nesil VM |
Desteklenmiyor |
Eylem gerekmez |
Not: Standart güvenlik türü vm'lerde Güvenli Önyükleme etkin değildir.
Altın renkli görüntüyle ilgili dikkat edilmesi gerekenler
Görüntüler için aşağıdaki senaryoları ve gerekli eylemleri gözden geçirin:
Not: Azure Market görüntüleri önceden yapılandırılmış başlangıç noktaları, vanilya veya yayımcıların varsayılan görüntülerini sağlarken, özelleştirilmiş görüntüleri depolamak ve dağıtmak için Azure İşlem Galerisi görüntüleri kullanılır. Her iki durumda da görüntüler Windows Önyükleme Yöneticisi'ni yakalar ancak sanal makine düzeyinde uygulanan Güvenli Önyükleme üretici yazılımı değişkenlerini içermez.
Azure İşlem Galerisi ve yönetilen görüntüler, Windows Önyükleme Yöneticisi dahil olmak üzere işletim sistemini ve önyükleme yükleyici durumunu yakalar, ancak Güvenli Önyükleme üretici yazılımı değişkenlerini içermez. Güvenli Önyükleme veritabanı (DB) veya anahtar değişim anahtarları (KEK) güncelleştirmeleri gibi Güvenli Önyükleme sertifikaları, dağıtılan sanal makinenin sanal üretici yazılımında depolanır ve görüntü genelleştirmesi sırasında yakalanmaz.
Altın renkli bir görüntüde Güvenli Önyükleme güncelleştirmelerinin uygulanması Windows Önyükleme Yöneticisi'ni ilerletir, ancak Bu görüntüden sağlanan sanal makinelere Güvenli Önyükleme sertifikalarını kalıcı yapmaz. Ancak bu güncelleştirmenin gerçekleştirilmesi, görüntüdeki Windows Önyükleme Yöneticisi'ni ilerletir.
Gerekli eylemler:
-
Güvenli Önyükleme 2023 güncelleştirmesini yakalamadan önce altın görüntüye uygulayın. Not: Bu, Windows Önyükleme Yöneticisi'ni ilerletir, ancak Güvenli Önyükleme sertifikalarını dağıtılan sanal makinelerde kalıcı hale vermez.
-
Önyükleme Yöneticisi güncelleştirmesinin uygulanmasına izin vermek için VM'yi gerektiği gibi yeniden başlatın.
-
Aşağıdaki PowerShell komutunu çalıştırıp değerin Güncelleştirildi olarak ayarlandığını onaylayarak görüntüyü genelleştirmeden önce güncelleştirmenin tamamlandığını doğrulayın:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Altın renkli bir görüntü içinde Windows Önyükleme Yöneticisi'ni güncelleştirmek, görüntüyü kullanarak dağıtılan veya yeniden dağıtılan sanal makinelere güncelleştirme uygular. Yeni sağlanan Azure Güvenilen Başlatma ve Gizli sanal makineler, sanal üretici yazılımında Secure Boot 2023 sertifikalarını içerir ve güncelleştirilmiş Windows Önyükleme Yöneticisi ile altın görüntüleri güvenle kullanabilir.
Ancak, Mart 2024'te oluşturulan mevcut sanal makinelere görüntü tabanlı yeniden dağıtımlar, güncelleştirilmiş Windows Önyükleme Yöneticisi'ni üretici yazılımı henüz ilgili Secure Boot 2023 sertifikalarına güvenmeyen VM'lere uygulayabilir. Bu durumlarda, Windows Önyükleme Yöneticisi'ni ilerletmeden önce konuk işletim sistemi içinde Güvenli Önyükleme sertifika güncelleştirmeleri uygulanmalıdır.
Diğer Azure kaynaklarıyla ilgili dikkat edilmesi gerekenler
|
Azure kaynağı |
Nisan 2024'e kadar mı oluşturuldu? |
Eylem gerekiyor |
|---|---|---|
|
TVM veya CVM'nin yedekleme/anlık görüntüsü |
Evet |
VM'yi önyükleme, güncelleştirmeleri uygulama ve ardından yeniden yakalama |
|
TVM veya CVM'nin yedekleme/anlık görüntüsü |
Hayır |
Eylem gerekmez |
|
tvm veya CVM'den (görüntü güvenlik türü = TL veya CVM) yakalamalarıyla İşlem Galerisi görüntü yakalamalarını Azure |
Evet |
VM'yi önyükleme, güncelleştirmeleri uygulama ve ardından yeniden yakalama |
|
tvm veya CVM'den (görüntü güvenlik türü = TL veya CVM) yakalamalarıyla İşlem Galerisi görüntü yakalamalarını Azure |
Hayır |
Eylem gerekmez |
Güncelleştirme durumunu izleme
Azure Güvenilen Başlatma ve Gizli sanal makinelerinde Güvenli Önyükleme sertifika güncelleştirmeleri için izleme ve dağıtım, fiziksel ve sanallaştırılmış cihazlar için kullanılan Windows bakım kılavuzunu izler.
Cihazların envanterini çıkarma, üretici yazılımı değişken güncelleştirmelerini doğrulama ve güncelleştirme ilerleme durumunu izleme gibi ayrıntılı izleme yönergeleri için bkz. Windows Server ve https://aka.ms/GetSecureBoot için Güvenli Önyükleme Playbook'u.
Güncelleştirmeleri dağıtma
Azure Güvenilir Başlatma ve Gizli sanal makineler için Güvenli Önyükleme sertifikası güncelleştirmeleri, Windows hizmeti kullanılarak konuk işletim sistemi içinden başlatılır.
Windows Server için Güvenli Önyükleme Playbook'undaki dağıtım kılavuzunu izleyin:
-
Windows Update aracılığıyla otomatik dağıtım
-
BT tarafından başlatılan dağıtım yöntemleri
-
hizmet kayıt defteri anahtarları
-
dağıtım sıralama
Özel veya yeniden kullanılan sanal makine görüntülerini kullanırken, Windows Önyükleme Yöneticisi'ni geliştirmeden önce bu makaledeki Altın görüntüyle ilgili dikkat edilmesi gerekenler bölümüne bakın.
Kaynaklar
-
Bu değişiklik hakkında daha fazla bilgi, Güvenli Önyükleme sertifika güncelleştirmesini yönetmek için ayrıntılı yönergeler ve sık sorulan soruların yanıtları için Güvenli Önyükleme Al'a yer işareti ekleyin.
-
Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için rehberlik
-
Olay Günlüğü olayları hakkında daha fazla ayrıntı için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.
-
Güvenli Önyükleme kayıt defteri anahtarları hakkında daha fazla bilgi için bkz. Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri: BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları.
Destek planınız varsa ve teknik yardıma ihtiyacınız varsa lütfen bir destek isteği gönderin.
Günlüğü değiştir
|
Tarihi değiştir |
Açıklamayı değiştir |
|
13 Mayıs 2026, Mayıs 2026, Mayıs 2026, Mayıs 2026, Mayıs |
Bu makalede değişiklik yok |
