原始发布日期: 2026 年 5 月 13 日
KB ID:5085395
本文提供以下指南:
-
Azure受信任的启动虚拟机 (TVM) 和机密 VM (CVM) 运行启用了安全启动的 Windows。
-
有关受支持的 Windows 操作系统的完整列表,请参阅文章:Azure虚拟机的受信任启动
本文内容:
简介
安全启动是一项 UEFI 固件安全功能,可帮助确保在设备启动序列期间仅运行受信任的数字签名软件。 2011 年颁发的Microsoft安全启动证书将于 2026 年 6 月到期。
若要维护安全启动保护并持续维护早期启动过程,Azure受信任的启动和机密虚拟机必须更新为以下两项:
-
虚拟固件中的安全启动 2023 证书
-
由更新的证书签名的 Windows 启动管理器
这些组件协同工作:证书在虚拟固件中建立信任,并且必须更新启动管理器才能由该信任签名。
若要帮助防止保护漏洞,请验证这两个组件是否已更新,并在需要时启动更新。
如果 VM 在过期后继续依赖 2011 证书,它可以继续启动并接收标准 Windows 更新。 但是,它将不再收到针对早期启动过程的新安全保护,包括对 Windows 启动管理器、安全启动数据库和吊销列表的更新,或针对新发现的启动级别漏洞的缓解措施。
若要了解详细信息, 请参阅在 Windows 设备上安全启动证书过期时。
确定需要操作的方案
在大多数情况下,Windows 通过每月更新在符合条件的设备上自动应用安全启动 2023 证书,包括受支持的Azure受信任的启动和启用了安全启动的机密 VM。 如果没有足够的兼容性信号可用,某些 VM 可能不符合自动部署的条件。 在这些情况下,可能需要执行管理操作才能从来宾操作系统中启动更新。 有关如何获取安全启动证书更新的详细信息,请访问:安全启动证书更新:面向 IT 专业人员和组织的指导。
Azure受信任的启动 VM 和机密 VM 的安全启动更新涉及两个组件:
-
存储在虚拟固件中的安全启动证书 (平台管理的)
-
Windows 启动管理器 (来宾 OS 托管)
2024 年 3 月之后创建的虚拟机通常已在虚拟固件中包含安全启动 2023 证书。 这些 VM 通常只需要 Windows 启动管理器更新。
在 2024 年 3 月之前创建的长时间运行的虚拟机在虚拟固件中不包括安全启动 2023 证书,并且需要更新安全启动证书和 Windows 启动管理器。
更新操作通过 Windows 服务从来宾操作系统中启动,并依赖于平台支持将经过身份验证的更新应用于虚拟固件中的安全启动变量。
确定适用方案后,清点环境以确定哪些 VM 需要更新。
所需操作:
-
如果使用热修补) ,请确保使用 2026 年 3 月 Windows 更新或更高版本 (2026 年 4 月或更高版本更新来宾 VM。 有关详细信息:适用于Windows Server的热补丁。
-
验证所有Azure受信任的启动和机密 VM 是否具有安全启动 2023 证书和更新的 Windows 启动管理器。
-
从来宾操作系统中启动更新,以根据需要应用安全启动证书和 Windows 启动管理器更新。
-
审核 Windows 系统事件日志:事件 ID 1808 和事件 ID 1801 或监视 UEFICA2023Status 注册表项,以确认是否已应用更新的安全启动证书以及是否已更新 Windows 启动管理器。
对于未应用这些更新的设备,请使用安全启动 playbook 中所述的监视和部署方法,Windows Server安全启动 playbook 用于 2026 年过期的证书,并在 https://aka.ms/GetSecureBoot 获取完整指南。
Azure来宾 VM 注意事项
查看会话主机的以下方案和所需操作:
|
VM 方案 |
安全启动活动? |
所需操作 |
|
启用了安全启动的 TVM 或 CVM |
是 |
更新安全启动证书和 Windows 启动管理器 |
|
禁用安全启动的 TVM |
否 |
无需执行任何操作 |
|
第 1 代 VM |
不支持 |
无需执行任何操作 |
注意: Standard安全类型的 VM 未启用安全启动。
黄金映像注意事项
查看图像的以下方案和所需操作:
注意: Azure市场映像提供预配置的起点、vanilla 或发布者的默认映像,而 Azure Compute Gallery 映像用于存储和分发自定义映像。 在这两种情况下,映像都会捕获 Windows 启动管理器,但不包括在虚拟机级别应用的安全启动固件变量。
Azure计算库和托管映像捕获操作系统和启动加载程序状态,包括 Windows 启动管理器,但不包括安全启动固件变量。 安全启动证书(例如对安全启动数据库 (DB) 或密钥交换密钥 (KEK) 的更新)存储在已部署虚拟机的虚拟固件中,在映像通用化期间不会捕获。
在黄金映像中应用安全启动更新会推进 Windows 启动管理器,但不会将安全启动证书保存到从该映像预配的虚拟机。 但是,执行此更新会推进映像中的 Windows 启动管理器。
所需操作:
-
在捕获黄金映像之前,将安全启动 2023 更新应用到该映像。 注意: 这会推进 Windows 启动管理器,但不会将安全启动证书保存到已部署的虚拟机。
-
根据需要重启 VM 以允许应用启动管理器更新。
-
通过运行以下 PowerShell 命令并确认值设置为“ 已更新”,验证更新在通用化映像之前是否已完成:
Get-ItemProperty “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing” | Select-Object UEFICA2023Status
更新黄金映像中的 Windows 启动管理器会将更新应用到使用映像部署或重新部署的虚拟机。 新预配的Azure受信任的启动和机密虚拟机包括虚拟固件中的安全启动 2023 证书,并且可以通过更新的 Windows 启动管理器安全地使用黄金映像。
但是,在 2024 年 3 月之前创建的现有虚拟机上基于映像的重新部署可能会将更新后的 Windows 启动管理器应用于其固件尚不信任相应的安全启动 2023 证书的 VM。 在这些情况下,在推进 Windows 启动管理器之前,应在来宾操作系统中应用安全启动证书更新。
其他Azure资源注意事项
|
Azure资源 |
在 2024 年 4 月之前创建? |
要求执行操作 |
|---|---|---|
|
TVM 或 CVM 的备份/快照 |
是 |
启动 VM,应用更新,然后重新捕获 |
|
TVM 或 CVM 的备份/快照 |
否 |
无需执行任何操作 |
|
Azure (映像安全类型 = TL 或 CVM) 从 TVM 或 CVM 捕获的计算库映像捕获 |
是 |
启动 VM,应用更新,然后重新捕获 |
|
Azure (映像安全类型 = TL 或 CVM) 从 TVM 或 CVM 捕获的计算库映像捕获 |
否 |
无需执行任何操作 |
监视更新状态
监视和部署Azure受信任的启动和机密虚拟机中的安全启动证书更新遵循用于物理和虚拟化设备的相同 Windows 服务指南。
有关详细的监视指南,包括如何清点设备、验证固件变量更新和跟踪更新进度,请参阅适用于Windows Server和 https://aka.ms/GetSecureBoot 的安全启动 Playbook。
部署更新
使用 Windows 服务从来宾操作系统中启动Azure受信任的启动和机密虚拟机的安全启动证书更新。
按照安全启动 Playbook 中的部署指南Windows Server:
-
通过Windows 更新自动部署
-
IT 发起的部署方法
-
维护注册表项
-
部署排序
使用自定义或重用的虚拟机映像时,请参阅本文中的黄金映像注意事项,然后再推进 Windows 启动管理器。
资源
-
书签获取安全启动 有关此更改的详细信息、有关管理安全启动证书更新的详细指南以及常见问题解答。
-
有关事件日志事件的更多详细信息,请参阅安全启动 DB 和 DBX 变量更新事件。
-
有关安全启动注册表项的更多详细信息,请参阅安全启动的注册表项更新:具有 IT 托管更新的 Windows 设备。
如果你有支持计划并且需要技术帮助,请提交支持请求。
更改日志
|
更改日期 |
更改说明 |
|
2026 年 5 月 13 日 |
本文没有更改 |
