Ngày phát hành ban đầu: Ngày 13 tháng 5 năm 2026
ID KB: 5085395
Bài viết này có hướng dẫn về:
-
Azure Máy Ảo Khởi chạy Đáng tin cậy (TVM) và Máy ảo Bảo mật (CVM) chạy Windows có bật Khởi động An toàn.
-
Để biết danh sách đầy đủ các hệ điều hành Windows được hỗ trợ, hãy xem bài viết: Khởi chạy Tin cậy cho Azure ảo
Trong bài viết này:
Giới thiệu
Khởi động An toàn là tính năng bảo mật vi chương trình UEFI giúp đảm bảo rằng chỉ phần mềm được ký điện tử đáng tin cậy mới chạy trong quá trình khởi động thiết bị. Chứng chỉ Khởi động An toàn của Microsoft được cấp vào năm 2011 sẽ bắt đầu hết hạn vào tháng 6 năm 2026.
Để duy trì tính năng bảo vệ Khởi động An toàn và tiếp tục cung cấp dịch vụ cho quy trình khởi động sớm, Azure Khởi chạy Đáng tin cậy và Máy ảo tuyệt mật phải được cập nhật cả hai cách sau:
-
Chứng chỉ Khởi động An toàn 2023 trong vi chương trình ảo
-
Trình quản lý Khởi động Windows được ký bằng chứng chỉ được cập nhật
Các cấu phần này hoạt động cùng nhau: chứng chỉ thiết lập độ tin cậy trong vi chương trình ảo và Trình quản lý Khởi động phải được cập nhật để được ký bởi bên tin cậy đó.
Để giúp ngăn chặn lỗ hổng bảo vệ, hãy xác minh rằng cả hai cấu phần đều được cập nhật và khởi tạo các bản cập nhật theo yêu cầu.
Nếu một máy ảo tiếp tục dựa vào chứng chỉ 2011 sau khi hết hạn, nó có thể tiếp tục khởi động và nhận các bản cập nhật Windows tiêu chuẩn. Tuy nhiên, phiên bản này sẽ không còn nhận được các biện pháp bảo vệ bảo mật mới cho quá trình khởi động sớm, bao gồm các bản cập nhật cho Trình quản lý Khởi động Windows, cơ sở dữ liệu Khởi động An toàn và danh sách thu hồi hoặc biện pháp giảm nhẹ cho các lỗ hổng mức khởi động mới được phát hiện.
Để tìm hiểu thêm, hãy xem Khi chứng chỉ Khởi động An toàn hết hạn trên các thiết bị Windows.
Xác định các kịch bản yêu cầu hành động
Trong hầu hết các trường hợp, Windows tự động áp dụng chứng chỉ Khởi động An toàn 2023 thông qua các bản cập nhật hàng tháng trên thiết bị đủ điều kiện, bao gồm cả các máy ảo bảo mật và Khởi động An toàn được hỗ trợ Azure Khởi động Tin cậy và Máy ảo Bảo mật có bật Khởi động An toàn. Một số máy ảo có thể không đủ điều kiện triển khai tự động nếu không có đủ tín hiệu tương thích. Trong những trường hợp này, bạn có thể bắt buộc phải thực hiện hành động quản trị để khởi tạo các bản cập nhật từ bên trong hệ điều hành khách. Để biết thêm thông tin về cách tải bản cập nhật chứng chỉ Khởi động An toàn, hãy truy cập: Cập nhật Chứng chỉ Khởi động An toàn: Hướng dẫn dành cho các chuyên gia và tổ chức CNTT.
Các bản cập nhật Khởi động An toàn Azure được Tin cậy và VM Bảo mật liên quan đến hai cấu phần:
-
Chứng chỉ Khởi động An toàn được lưu trữ trong vi chương trình ảo (được quản lý bởi nền tảng)
-
Windows Boot Manager (do HĐH khách quản lý)
Máy ảo được tạo sau tháng 3 năm 2024 thường đã bao gồm chứng chỉ Khởi động An toàn 2023 trong vi chương trình ảo. Các máy ảo này thường chỉ yêu cầu bản cập nhật Windows Boot Manager.
Máy ảo chạy dài được tạo trước tháng 3 năm 2024 không bao gồm chứng chỉ Secure Boot 2023 trong vi chương trình ảo và yêu cầu cập nhật cho cả chứng chỉ Khởi động An toàn và Windows Boot Manager.
Hoạt động cập nhật được khởi tạo từ bên trong hệ điều hành khách thông qua dịch vụ Windows và dựa vào hỗ trợ nền tảng để áp dụng các bản cập nhật được xác thực cho các biến Khởi động An toàn trong vi chương trình ảo.
Sau khi xác định các kịch bản áp dụng, hãy kiểm kê môi trường của bạn để xác định máy ảo nào yêu cầu cập nhật.
Cần phải hành động:
-
Đảm bảo rằng máy ảo khách được cập nhật bản cập nhật Windows tháng 3 năm 2026 trở lên (tháng 4 năm 2026 trở lên nếu sử dụng tính năng truyền nóng). Xem thêm: Hotpatch for Windows Server.
-
Xác minh rằng tất Azure VM Tuyệt mật và Khởi động Tin cậy đều có chứng chỉ Khởi động An toàn 2023 và Trình quản lý Khởi động Windows được cập nhật.
-
Khởi chạy các bản cập nhật từ bên trong hệ điều hành khách để áp dụng chứng chỉ Khởi động An toàn và các bản cập nhật Trình quản lý Khởi động Windows nếu cần.
-
Kiểm tra nhật ký sự kiện Hệ thống Windows: ID Sự kiện 1808 và ID Sự kiện 1801 hoặc giám sát khóa đăng ký UEFICA2023Status để xác nhận xem đã áp dụng chứng chỉ Khởi động An toàn được cập nhật chưa và liệu Trình quản lý Khởi động Windows đã được cập nhật hay chưa.
Đối với các thiết bị chưa áp dụng các bản cập nhật này, hãy sử dụng các phương pháp theo dõi và triển khai được mô tả trong sách phát Khởi động An toàn, Windows Server Sách phát Khởi động An toàn cho chứng chỉ hết hạn vào năm 2026 và tại https://aka.ms/GetSecureBoot để được hướng dẫn đầy đủ.
Azure máy ảo khách mời
Xem lại các kịch bản sau đây và các hành động cần thiết cho người chủ trì phiên:
|
Kịch bản máy ảo |
Khởi động An toàn Hoạt động? |
Yêu cầu Hành động |
|
TVM hoặc CVM có bật Khởi động An toàn |
Có |
Cập nhật chứng chỉ Khởi động An toàn và Trình quản lý Khởi động Windows |
|
TVM có Khởi động An toàn bị vô hiệu hóa |
Không |
Không cần hành động nào |
|
Thế hệ 1 VM |
Không hỗ trợ |
Không cần hành động nào |
Lưu ý: Standard máy ảo loại bảo mật không được bật Khởi động An toàn.
Những điều cần cân nhắc về ảnh vàng
Xem lại các kịch bản sau đây và các hành động cần thiết cho hình ảnh:
Lưu ý: hình ảnh Azure Marketplace cung cấp các điểm bắt đầu được cấu hình sẵn, hình ảnh mặc định của vanilla hoặc nhà xuất bản, trong khi hình ảnh bộ sưu tập tính toán Azure được sử dụng để lưu trữ và phân phối hình ảnh tùy chỉnh. Trong cả hai trường hợp, ảnh chụp Trình quản lý Khởi động Windows nhưng không bao gồm các biến vi chương trình Khởi động An toàn, được áp dụng ở cấp máy ảo.
Azure Sưu tập Tính toán và ảnh được quản lý chụp hệ điều hành và trạng thái bộ nạp khởi động, bao gồm Trình quản lý Khởi động Windows, nhưng không bao gồm các biến vi chương trình Khởi động An toàn. Chứng chỉ Khởi động An toàn, chẳng hạn như các bản cập nhật cho cơ sở dữ liệu Khởi động An toàn (DB) hoặc khóa trao đổi khóa (KEK), được lưu trữ trong vi chương trình ảo của máy ảo đã triển khai và không được ghi lại trong quá trình tổng quát hóa hình ảnh.
Việc áp dụng các bản cập nhật Khởi động An toàn trong hình ảnh vàng sẽ giúp nâng cao Trình quản lý Khởi động Windows nhưng không duy trì chứng chỉ Khởi động An toàn cho máy ảo được cung cấp từ hình ảnh đó. Tuy nhiên, việc thực hiện bản cập nhật này sẽ cải tiến Trình quản lý Khởi động Windows trong hình ảnh.
Cần phải hành động:
-
Áp dụng bản cập nhật Khởi động An toàn 2023 cho hình ảnh vàng trước khi chụp. Lưu ý: Điều này cải tiến Trình quản lý Khởi động Windows nhưng sẽ không duy trì chứng chỉ Khởi động An toàn để triển khai máy ảo.
-
Khởi động lại máy ảo theo yêu cầu để cho phép áp dụng bản cập nhật Trình quản lý Khởi động.
-
Xác minh rằng bản cập nhật đã hoàn tất trước khi tổng quát hình ảnh bằng cách chạy lệnh PowerShell sau đây và xác nhận giá trị được đặt thành Cập nhật:
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
Cập nhật Windows Boot Manager trong hình ảnh màu vàng áp dụng cho các bản cập nhật cho máy ảo đã triển khai hoặc lại triển khai bằng hình ảnh. Các máy ảo Azure mật và Khởi động Tin cậy mới được cung cấp bao gồm chứng chỉ Khởi động An toàn 2023 trong vi chương trình ảo và có thể sử dụng ảnh vàng một cách an toàn với Trình quản lý Khởi động Windows được cập nhật.
Tuy nhiên, các bản hiển thị lại dựa trên hình ảnh vào máy ảo hiện có được tạo trước tháng 3 năm 2024 có thể áp dụng Trình quản lý Khởi động Windows cập nhật cho các máy ảo có vi chương trình chưa tin cậy chứng chỉ Secure Boot 2023 tương ứng. Trong những trường hợp này, các bản cập nhật chứng chỉ Khởi động An toàn sẽ được áp dụng trong hệ điều hành khách trước khi chuyển từ Trình quản lý Khởi động Windows.
Các cân Azure nguyên khác
|
Azure tài nguyên |
Được tạo trước tháng 4 năm 2024? |
Yêu cầu hành động |
|---|---|---|
|
Sao lưu/chụp nhanh TVM hoặc CVM |
Có |
Khởi động máy ảo, áp dụng bản cập nhật, sau đó chiếm lại |
|
Sao lưu/chụp nhanh TVM hoặc CVM |
Không |
Không cần hành động nào |
|
Azure ảnh Bộ sưu tập Tính toán được chụp bằng (loại bảo mật hình ảnh = TL hoặc CVM) được chụp từ TVM hoặc CVM |
Có |
Khởi động máy ảo, áp dụng bản cập nhật, sau đó chiếm lại |
|
Azure ảnh Bộ sưu tập Tính toán được chụp bằng (loại bảo mật hình ảnh = TL hoặc CVM) được chụp từ TVM hoặc CVM |
Không |
Không cần hành động nào |
Theo dõi trạng thái cập nhật
Giám sát và triển khai cho các bản cập nhật chứng chỉ Khởi động An toàn trong Azure Khởi chạy Đáng tin cậy và máy ảo Bí mật tuân theo cùng một hướng dẫn cung cấp dịch vụ Windows được sử dụng cho các thiết bị thực và ảo hóa.
Để biết hướng dẫn giám sát chi tiết, bao gồm cả cách kiểm kê thiết bị, xác minh các bản cập nhật biến đổi vi chương trình và theo dõi tiến trình cập nhật, hãy xem Sách phát Khởi động An toàn cho Windows Server và https://aka.ms/GetSecureBoot.
Triển khai bản cập nhật
Các bản cập nhật chứng chỉ Khởi động An toàn cho máy Azure Khởi chạy Đáng tin cậy và Máy ảo bảo mật được khởi tạo từ bên trong hệ điều hành khách bằng cách sử dụng dịch vụ Windows.
Làm theo hướng dẫn triển khai trong Sách phát Khởi động An toàn dành Windows Server cho:
-
triển khai tự động thông qua Windows Update
-
Phương pháp triển khai do IT khởi tạo
-
khóa đăng ký dịch vụ
-
trình tự triển khai
Khi sử dụng hình ảnh máy ảo tùy chỉnh hoặc tái sử dụng, hãy xem Những điều cần cân nhắc hình ảnh vàng trong bài viết này trước khi cải tiến Windows Boot Manager.
Tài nguyên
-
Thẻ đánh dấu Nhận Khởi động An toàn để biết thêm thông tin về thay đổi này, hướng dẫn chi tiết để quản lý bản cập nhật chứng chỉ Khởi động An toàn và câu trả lời cho câu hỏi thường gặp.
-
Cập nhật Chứng chỉ Khởi động An toàn: Hướng dẫn dành cho các chuyên gia CNTT và tổ chức
-
Để biết thêm chi tiết về sự kiện Nhật ký Sự kiện, hãy xem Sự kiện cập nhật biến số Khởi động An toàn DB và DBX.
-
Để biết thêm chi tiết về khóa đăng ký Khởi động An toàn, hãy xem Các bản cập nhật khóa đăng ký cho Khởi động An toàn: Thiết bị Windows có các bản cập nhật do CNTT quản lý.
Nếu bạn có gói hỗ trợ và cần trợ giúp kỹ thuật, vui lòng gửi yêu cầu hỗ trợ.
Nhật ký thay đổi
|
Thay đổi ngày |
Thay đổi mô tả |
|
Ngày 13 tháng 5 năm 2026 |
Không có thay đổi nào trong bài viết này |
