Вихідна дата публікації: 13 травня 2026 р.
Ідентифікатор KB: 5085395
У цій статті наведено рекомендації щодо:
-
Azure надійних віртуальних машин запуску (TVM) і конфіденційних віртуальних машин (CVM) під керуванням Windows із увімкненим безпечним завантаженням.
-
Повний список підтримуваних операційних систем Windows див. в статті Надійний запуск для віртуальних машин Azure
У цій статті:
Вступ
Безпечне завантаження – це функція безпеки мікропрограми UEFI, яка забезпечує запуск лише надійного програмного забезпечення з цифровим підписом під час послідовності завантаження пристрою. Термін дії сертифікатів microsoft Secure Boot, випущених у 2011 році, починається в червні 2026 року.
Для підтримки захисту від безпечного завантаження та продовження обслуговування процесу раннього завантаження, Azure надійний запуск і конфіденційні віртуальні машини мають бути оновлені за допомогою обох з наведених нижче способів.
-
Сертифікати безпечного завантаження 2023 у віртуальній мікропрограмі
-
Диспетчер завантаження Windows, підписаний оновленими сертифікатами
Ці компоненти працюють разом: сертифікати встановлюють довіру до віртуальної мікропрограми, і диспетчер завантаження повинен бути оновлений, щоб підписуватися цією довірою.
Щоб запобігти виникненню проміжків у захисті, переконайтеся, що обидва компоненти оновлюються, ініціюєте оновлення за потреби.
Якщо після завершення терміну дії віртуальна машина й надалі використовуватиме сертифікати 2011 року, вона може й надалі завантажувати й отримувати стандартні оновлення Windows. Однак він більше не отримуватиме нові засоби захисту системи безпеки для процесу раннього завантаження, зокрема оновлення диспетчера завантаження Windows, баз даних безпечного завантаження та списків відкликань або заходів зниження ризику для нових виявлених вразливостей на рівні завантаження.
Докладні відомості див. в статті Термін дії сертифікатів безпечного завантаження на пристроях Windows.
Визначення сценаріїв, які вимагають дій
У більшості випадків Windows автоматично застосовує сертифікати безпечного завантаження 2023 через щомісячні оновлення на відповідних пристроях, зокрема підтримувані Azure надійний запуск і конфіденційні віртуальні машини з увімкненим захищеним завантаженням. Деякі віртуальні машини можуть не мати права на автоматичне розгортання, якщо бракує сигналів сумісності. У таких випадках може знадобитися адміністративна дія, щоб ініціювати оновлення з гостьової операційної системи. Докладні відомості про отримання оновлень сертифікатів безпечного завантаження див. в статті Оновлення сертифіката безпечного завантаження: інструкції для ІТ-фахівців і організацій.
Оновлення безпечного завантаження для Azure надійного запуску та конфіденційних віртуальних машин передбачають два компоненти:
-
Сертифікати безпечного завантаження, що зберігаються у віртуальній мікропрограмі (під керуванням платформи)
-
Диспетчер завантаження Windows (керована гостьовою ОС)
Віртуальні машини, створені після березня 2024 року, зазвичай вже включають сертифікати безпечного завантаження 2023 у віртуальну мікропрограму. Зазвичай для цих віртуальних машин потрібне лише оновлення диспетчера завантаження Windows.
Довготривалі віртуальні машини, створені до березня 2024 року, не включають сертифікати безпечного завантаження 2023 у віртуальну мікропрограму та потребують оновлення як сертифікатів безпечного завантаження, так і диспетчера завантаження Windows.
Операції оновлення ініціюються з гостьової операційної системи через обслуговування Windows і використовують підтримку платформи для застосування автентифікованих оновлень до змінних безпечного завантаження у віртуальній мікропрограмі.
Після визначення застосовних сценаріїв інвентаризуйте середовище, щоб визначити, які віртуальні машини потребують оновлення.
Необхідні дії:
-
Переконайтеся, що гостьові віртуальні машини оновлено з оновленням Windows за березень 2026 р. або пізнішої версії (квітень 2026 р. або пізнішої версії, якщо використовується hotpatching). Докладні відомості див. в статті Hotpatch для Windows Server.
-
Переконайтеся, що всі Azure надійний запуск і конфіденційні віртуальні машини мають сертифікати безпечного завантаження 2023 і оновлений диспетчер завантаження Windows.
-
Ініціюйте оновлення з гостьової операційної системи, щоб застосувати сертифікат безпечного завантаження та оновлення Диспетчера завантаження Windows за потреби.
-
Перевірте журнали подій системи Windows: подія з ідентифікатором 1808 та ідентифікатор події 1801 або відстежуйте розділ реєстру UEFICA2023Status, щоб перевірити, чи застосовано оновлені сертифікати безпечного завантаження та чи оновлено диспетчер завантаження Windows.
Для пристроїв, на яких не застосовано ці оновлення, використовуйте методи моніторингу та розгортання, описані в плейбуку безпечного завантаження, Windows Server план відтворення безпечного завантаження для сертифікатів, термін дії яких завершується в 2026 році, і в https://aka.ms/GetSecureBoot для отримання повного керівництва.
Azure зауваження щодо гостьової віртуальної машини
Перегляньте такі сценарії та обов'язкові дії для хостів сеансів:
|
Сценарій віртуальної машини |
Безпечне завантаження активне? |
Потрібна дія |
|
TVM або CVM з увімкненим безпечним завантаженням |
Так |
Оновлення сертифікатів безпечного завантаження та диспетчера завантаження Windows |
|
TVM з вимкненим безпечним завантаженням |
Ні |
Жодних дій не потрібно |
|
ВМ покоління 1 |
Не підтримується |
Жодних дій не потрібно |
Примітка.: Standard віртуальних машин безпеки не ввімкнуто безпечне завантаження.
Застереження щодо золотого зображення
Перегляньте наведені нижче сценарії та обов'язкові дії для зображень.
Примітка.: Azure зображення Marketplace містять попередньо настроєні початкові точки, стандартні зображення ванільних або видавців, а зображення Azure Compute Gallery використовуються для зберігання та розповсюдження настроюваних зображень. В обох випадках знімки захоплюють Диспетчер завантаження Windows, але не включають змінні мікропрограми безпечного завантаження, які застосовуються на рівні віртуальної машини.
Azure Compute Gallery і керовані зображення захоплюють стан операційної системи та завантажувача, включно з диспетчером завантаження Windows, але не включають змінні мікропрограми безпечного завантаження. Сертифікати безпечного завантаження, наприклад оновлення бази даних безпечного завантаження (DB) або ключів обміну ключами (KEK), зберігаються у віртуальній мікропрограмі розгорнутої віртуальної машини та не записуються під час узагальнення зображень.
Застосування оновлень безпечного завантаження в золотому зображенні просуває диспетчер завантаження Windows, але не зберігає сертифікати безпечного завантаження на віртуальні машини, підготовлені з цього зображення. Однак виконання цього оновлення оновлює диспетчер завантаження Windows на зображенні.
Необхідні дії:
-
Застосуйте оновлення безпечного завантаження 2023 до золотого зображення, перш ніж записувати його. Примітка. Це призведе до досягнення диспетчера завантаження Windows, але не зберігає сертифікати безпечного завантаження для розгорнутих віртуальних машин.
-
Перезапустіть віртуальну машину, якщо потрібно, щоб дозволити застосування оновлення диспетчера завантаження.
-
Переконайтеся, що оновлення завершено, перш ніж узагальнити зображення, виконавши таку команду PowerShell і підтвердивши, що значення оновлено:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Оновлення диспетчера завантаження Windows в золотому зображенні застосовується до оновлення до віртуальних машин, розгорнутих або повторно розгорнутих за допомогою зображення. Нещодавно підготовлені Azure Надійний запуск і Конфіденційні віртуальні машини включають сертифікати безпечного завантаження 2023 у віртуальній мікропрограмі та безпечно використовувати золоті зображення з оновленим диспетчером завантаження Windows.
Однак повторні запуски на наявних віртуальних машинах, створених до березня 2024 року, можуть застосовувати оновлений диспетчер завантаження Windows до віртуальних машин, мікропрограма яких ще не довіряє відповідним сертифікатам безпечного завантаження 2023. У таких випадках оновлення сертифіката безпечного завантаження слід застосовувати в операційній системі гостя, перш ніж просувати диспетчер завантаження Windows.
Інші зауваження щодо Azure ресурсів
|
ресурс Azure |
Створено до квітня 2024 р.? |
Потрібно виконати дію |
|---|---|---|
|
Резервне копіювання або знімок TVM або CVM |
Так |
Завантажте віртуальну машину, застосуйте оновлення, а потім відновіть |
|
Резервне копіювання або знімок TVM або CVM |
Ні |
Жодних дій не потрібно |
|
Azure знімки зображень у колекції обчислень із записами TVM або CVM (тип безпеки зображення = TL або CVM) |
Так |
Завантажте віртуальну машину, застосуйте оновлення, а потім відновіть |
|
Azure знімки зображень у колекції обчислень із записами TVM або CVM (тип безпеки зображення = TL або CVM) |
Ні |
Жодних дій не потрібно |
Відстеження стану оновлення
Моніторинг і розгортання оновлень сертифіката безпечного завантаження в Azure Надійний запуск і Конфіденційні віртуальні машини керуються тими самими вказівками з обслуговування Windows, які використовуються для фізичних і віртуалізованих пристроїв.
Докладні вказівки з моніторингу, зокрема про те, як інвентаризувати пристрої, перевірити оновлення змінних мікропрограм і відстежувати перебіг оновлення, див. в статті Playbook безпечного завантаження для Windows Server та https://aka.ms/GetSecureBoot.
Розгортання оновлень
Оновлення сертифіката безпечного завантаження для Azure Надійний запуск і Конфіденційні віртуальні машини ініціюються з гостьової операційної системи за допомогою обслуговування Windows.
Дотримуйтеся вказівок із розгортання в плейбуку безпечного завантаження для Windows Server для:
-
автоматичне розгортання за допомогою Windows Update
-
Ініційовані ІТ-методами розгортання
-
розділи реєстру обслуговування
-
секвенування розгортання
Під час використання спеціальних або повторно використовуваних зображень віртуальної машини, див. золоте зображення в цій статті, перш ніж просувати диспетчер завантаження Windows.
Ресурси
-
Закладка Отримати безпечне завантаження для отримання додаткових відомостей про цю зміну, докладні вказівки з керування оновленням сертифіката безпечного завантаження та відповіді на поширені запитання.
-
Оновлення сертифіката безпечного завантаження: рекомендації для ІТ-фахівців і організацій
-
Докладні відомості про події журналу подій див. в статті Події оновлення змінних DB для безпечного завантаження та DBX.
-
Докладні відомості про розділи реєстру безпечного завантаження див. в статті Оновлення розділів реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ.
Якщо у вас є план підтримки та вам потрібна технічна допомога, надішліть запит на підтримку.
Журнал змін
|
Змінити дату |
Змінити опис |
|
13 травня 2026 р. |
У цій статті не внесено жодних змін |
