Застосовується до
Virtual Machine running Linux

Вихідна дата публікації: 12 червня 2026 р.

Ідентифікатор KB: 5103014

Застосовується до:

Azure надійні віртуальні машини запуску та конфіденційні віртуальні машини, на яких запущено Linux з увімкненим захищеним завантаженням

Повний список підтримуваних ОС для надійного запуску див. за цим посиланням: Trusted Launch for Azure VMs - Azure Virtual Machines | Microsoft Learn

Повний список підтримуваних ОС для конфіденційних віртуальних машин див. за цим посиланням: Про Azure конфіденційні віртуальні машини | Microsoft Learn

У цій статті

Вступ

Безпечне завантаження – це функція безпеки мікропрограми UEFI, яка забезпечує запуск лише надійного програмного забезпечення з цифровим підписом під час послідовності завантаження віртуальної машини. Термін дії сертифікатів microsoft Secure Boot, випущених у 2011 році, починається в червні 2026 року. 

Щоб забезпечити захист від безпечного завантаження та продовжити обслуговування процесу раннього завантаження, Azure trusted Launch running Linux повинні бути оновлені сертифікатами secure Boot 2023 db і KEK у віртуальній мікропрограмі UEFI. Конфіденційні віртуальні машини для Linux на Azure зі старими сертифікатами потрібно створити повторно. 

Якщо віртуальна машина продовжує покладатися на сертифікати 2011 після завершення терміну дії, вона буде продовжувати завантажуватися. Однак він більше не отримуватиме нові засоби захисту у вигляді оновлень шимів і майбутніх сертифікатів і відкликань. 

Визначення сценаріїв, які вимагають дій 

Перегляньте наведені нижче сценарії, щоб визначити, чи потрібна дія: 

  • Linux надійних віртуальних машин запуску (TVM) або конфіденційних віртуальних машин (CVM), створених до квітня 2024 р.

  • зображення Azure Compute Gallery, записані зі старих версій (до квітня 2024 р.) Linux надійного запуску або конфіденційних віртуальних машин

  • Знімки або резервні копії Linux надійного запуску або конфіденційних віртуальних машин, створених до квітня 2024 р.

  • Конфіденційні віртуальні машини, створені до квітня 2024 року з blobs, імпортовані як безпечний диск.

Надійні запуск і конфіденційні віртуальні машини, створені після квітня 2024 року, зазвичай уже включають сертифікати безпечного завантаження 2023 у віртуальну мікропрограму UEFI.

Примітка.: Linux конфіденційні віртуальні машини, створені до квітня 2024 року, не слід оновлювати вручну, оскільки конфіденційне шифрування диска використовує значення ПЛР7 vTPM, яке обчислюється на основі змінних безпечного завантаження. Оновлення сертифікатів безпечного завантаження без забезпечення повторного запечатування ключа FDE призведе до того, що конфіденційна віртуальна машина перейде в режим відновлення. Для отримання нових сертифікатів рекомендовано повторно створити такі старі конфіденційні віртуальні машини.

Azure зауваження щодо гостьової віртуальної машини 

Оновлення безпечного завантаження для Linux на віртуальних машинах Azure включає два компоненти: 

  • Сертифікати безпечного завантаження у віртуальній мікропрограмі (інсталюються вручну за допомогою наданих ОС засобів або автоматично за допомогою оновлень системи безпеки)

  • оновлення Linux шим і завантажувача (керований постачальником distro)

Операції оновлення ініціюються в гостьовій операційній системі та використовують підтримку платформи для застосування автентифікованих оновлень до змінних безпечного завантаження. 

Після визначення застосовних сценаріїв інвентаризуйте середовище, щоб визначити, які віртуальні машини потребують оновлення. 

Необхідні дії 

Для всіх Azure гостьових віртуальних машин:

  • Перевірка наявності сертифікатів безпечного завантаження 2023 у віртуальній мікропрограмі UEFI

Для надійних віртуальних машин запуску:

  • Ініціювати оновлення з Linux гостьової віртуальної машини, де це потрібно відповідно до рекомендованих рекомендацій і інструментів постачальника.

  • Для віртуальних машин Linux оновлення потрібно застосовувати в правильному порядку.

    Увага!: Завжди оновлюйте мікропрограму безпечного завантаження (змінні UEFI) перед оновленням шим-коду або завантажувача. 

  • Оновлення шим перед оновленням мікропрограми спочатку може призвести до помилки завантаження.

Для конфіденційних віртуальних машин:

Розгортання оновлень 

Оновлення сертифіката безпечного завантаження для Linux на віртуальних машинах Azure ініціюються з гостьової операційної системи. Ці оновлення відрізняються від постачальників, і користувачам слід спочатку рекомендувати постачальника послуг із підтримки.  

Рекомендації від постачальників ОС Linux: 

Рекомендації Azure щодо конфіденційних віртуальних машин:

  • Кількість CVM, створених до квітня 2024 року, дуже низька. Якщо ваша конфіденційна віртуальна машина є однією з небагатьох, яка не має нових сертифікатів, виконайте кроки, щоб повторно створити CVM.

Методи оновлення мікропрограми 

Примітка.: Перш ніж спробувати оновлення змінних UEFI безпосередньо на виробничих віртуальних машинах, клієнти можуть використовувати шаблон швидкого запуску Azure, щоб імітувати Linux надійний запуск віртуальної машини зі старшими сертифікатами UEFI 2011 року.

Використання fwupd 

Переконайтеся, що ВМ інстальовано fwupd версії 2.0.8 або пізнішої. 

Щоб оновити kek і db, виконайте ці команди з fwupdmgr:

оновлення sudo fwupdmgr

sudo fwupdmgr оновлення

Використання efitools 

Завантажте пакети оновлень db і KEK для Azure.

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Інсталяція пакетів оновлень за допомогою efi-updatevar

sudo efi-updatevar – a -f DBUpdate3P2023.bin db

sudo efi-updatevar - a -f KEKUpdate_Microsoft_PK1.bin KEK

перезавантаження sudo

Використання sbsigntools 

Завантажте пакети оновлень db і KEK для Azure. 

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Щоб інсталювати пакети оновлень, скористайтеся утилітою sbkeysync sbsigntools:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync –-verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

перезавантаження sudo

Способи перевірки 

Використання мокутиля 

  • mokutil --db | grep "UEFI CA 2023"

  • mokutil --kek | grep "KEK 2K CA 2023"

Використання efitools 

  • efi-readvar -v db | grep "UEFI CA 2023"

  • efi-readvar -v KEK | grep "KEK 2K CA 2023"

  • ​​​​​​​​​​​​​​

Linux оновлення ланцюга завантаження 

Після успішного оновлення мікропрограми можна безпечно застосовувати оновлення шим від постачальників Linux. 

Інші зауваження щодо Azure ресурсів

ресурс Azure

Створено до квітня 2024 р.

Потрібна дія для TVM

Для CVM необхідна дія

Резервне копіювання або знімок

Так

Завантаження ВМ, застосування оновлень, відновлення

Повторно створити CVM, відновити

Резервне копіювання або знімок

Ні

Жодних дій не потрібно

Жодних дій не потрібно

Зображення колекції обчислень

Так

Розгортання, оновлення, відновлення

Повторно створити CVM, відновити

Зображення колекції обчислень

Ні

Жодних дій не потрібно

Жодних дій не потрібно

Відстеження стану оновлення 

Перевірте оновлення в гостьовій ОС. 

  • Перевірка успішного завантаження після оновлень

  • Підтвердження наявності сертифікатів безпечного завантаження в мікропрограмі

Підходи до моніторингу та перевірки можуть відрізнятися залежно від Linux розподілу, тому зверніться до постачальника послуг розподілу. 

Кроки послаблення ризиків у разі помилок завантаження 

Якщо виникає помилка, наприклад, помилка завантаження після оновлення змінної UEFI, можна скинути параметри UEFI одним із наведених нижче способів. 

  1. Відновіть резервну копію, створену перед запуском процесу оновлення вручну.

  2. Перетворіть надійну віртуальну машину запуску на Standard віртуальну машину та повторно застосуйте надійний тип безпеки запуску в ВМ. (Додаткові відомості тут: Увімкнути надійний запуск на наявних віртуальних машинах Gen2 - Azure віртуальних машин | Microsoft Learn)

  3. Експортуйте VHD ОС до облікового запису сховища, створіть зображенняколекції на сайті vhd і розгорніть віртуальну машину за допомогою версії зображення колекції.

​​​​​​​​​​​​​​Застереження щодо інформації третіх осіб

Продукти сторонніх виробників, згадані в цій статті, виготовлено незалежними від корпорації Майкрософт компаніями. Ми не надаємо жодних гарантій (непрямих та інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх виробників, щоб допомогти вам отримати технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точність наданої контактної інформації сторонніх виробників.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей