原始出版日期: 2026年5月13日
KB ID:5085395
本文提供以下指引:
-
Azure 虛擬機器 (TVM) 和 Confidential VM (Trusted Launch) 運行 Windows 並啟用安全開機的 CVM。
-
欲了解完整的支援 Windows 作業系統清單,請參閱文章:Azure 虛擬機的可信啟動
本文內容:
簡介
安全開機是 UEFI 韌體的安全功能,確保只有受信任且數位簽署的軟體能在裝置開機過程中執行。 2011 年發行的 Microsoft 安全啟動憑證將於 2026 年 6 月開始到期。
為維持安全開機保護並持續維護早期開機流程,Azure 可信啟動與機密虛擬機必須同時更新以下兩項:
-
虛擬韌體中的 Secure Boot 2023 憑證
-
一個由更新憑證簽署的 Windows 開機管理器
這些元件協同運作:憑證建立對虛擬韌體的信任,而開機管理器必須更新以由該信任簽署。
為防止保護漏洞,請確認兩個元件均已更新,並在需要時啟動更新。
若虛擬機在憑證過期後仍依賴 2011 年憑證,則可繼續開機並接收標準 Windows 更新。 然而,它將不再獲得針對早期開機流程的新安全防護,包括更新 Windows 開機管理員、安全開機資料庫與撤銷清單,或針對新發現的開機層級漏洞的緩解措施。
欲了解更多,請參閱 「當 Windows 裝置的安全開機憑證過期」。
找出需要採取行動的情境
在大多數情況下,Windows 會透過每月更新自動套用 Secure Boot 2023 憑證,適用於符合資格的裝置,包括支援的 Azure Trusted Launch 與啟用 Secure Boot 的 Confidential 虛擬機。 若缺乏足夠的相容性訊號,某些虛擬機可能無法自動部署。 在這些情況下,可能需要行政操作來從訪客作業系統內部啟動更新。 欲了解更多如何取得安全啟動憑證更新的資訊,請造訪:安全啟動憑證更新:IT 專業人員與組織指引。
Azure Trusted Launch 與 Confidential VM 的安全啟動更新包含兩個元件:
-
儲存在虛擬韌體 (平台管理) 的安全開機憑證
-
Windows 開機管理器 (訪客作業系統管理)
2024 年 3 月以後建立的虛擬機器通常已在虛擬韌體中包含 Secure Boot 2023 憑證。 這些虛擬機通常只需要 Windows 開機管理員的更新。
2024 年 3 月之前建立的長跑虛擬機器,虛擬韌體中不包含 Secure Boot 2023 憑證,且需同時更新 Secure Boot 憑證與 Windows Boot Manager。
更新操作由客戶作業系統內部透過 Windows 服務啟動,並依賴平台支援將認證更新套用到虛擬韌體中的安全開機變數。
在辨識適用情境後,盤點你的環境以判斷哪些虛擬機需要更新。
所需行動:
-
確保訪客虛擬機已更新至 2026 年 3 月的 Windows 更新,若使用熱補丁 () 則更新至 2026 年 4 月或更晚。 更多閱讀:Windows Server 熱補丁。
-
確認所有 Azure 受信任啟動與機密虛擬機都擁有 Secure Boot 2023 憑證及更新的 Windows 開機管理器。
-
從訪客作業系統內部啟動更新,以套用安全開機憑證及 Windows 開機管理員更新(如有需要)。
-
可稽核 Windows 系統事件日誌:事件 ID 1808 與事件 ID 1801,或監控 UEFICA2023Status 登錄檔金鑰,以確認是否已套用更新的安全開機憑證及 Windows 開機管理員是否已更新。
對於尚未套用這些更新的裝置,請使用安全啟動手冊、Windows Server 2026 年到期憑證的安全啟動手冊,以及 https://aka.ms/GetSecureBoot 年提供完整指引中描述的監控與部署方法。
Azure guest VM 考慮事項
請檢視以下情境及會議主持人所需的行動:
|
虛擬機情境 |
安全開機啟動? |
需要採取行動 |
|
啟用安全開機的 TVM 或 CVM |
是 |
更新安全開機憑證與 Windows 開機管理員 |
|
禁用安全開機的 TVM |
否 |
不需要任何行動 |
|
第一代虛擬機 |
不支援 |
不需要任何行動 |
附註: Standard 安全型虛擬機並未啟用安全開機。
黃金影像考量
請檢視以下情境及影像所需操作:
附註: Azure Marketplace 映像提供預設起始點,為原版或發行商預設的影像,而 Azure Compute Gallery 映像則用於儲存與分發自訂映像檔。 在這兩種情況下,映像檔會擷取 Windows 開機管理器,但不包含安全開機韌體變數,這些變數是在虛擬機層級套用。
Azure Compute Gallery 與受管理映像可擷取作業系統及開機載入程式狀態,包括 Windows 開機管理器,但不包含安全開機韌體變數。 安全開機憑證,例如對安全開機資料庫 (資料庫) 的更新,或 KEK) (金鑰交換金鑰,會儲存在部署的虛擬虛擬機韌體中,且在映像泛化時不會被擷取。
在黃金映像中套用安全開機更新會推進 Windows 開機管理員,但不會持久化安全開機憑證給從該映像檔配置的虛擬機。 然而,執行此更新會讓映像中的 Windows 開機管理器推進。
所需行動:
-
在擷取黃金映像檔前,先套用 Secure Boot 2023 更新。 注意: 此功能推進 Windows 開機管理器,但不會將安全開機憑證持續保存至已部署的虛擬機器。
-
依照需要重新啟動虛擬機,讓開機管理員更新得以套用。
-
在進行映像檔泛化前,請執行以下 PowerShell 指令並確認該值設為 Updated:
Get-ItemProperty “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing” | Select-Object UEFICA2023Status
在黃金映像中更新 Windows 開機管理員,該更新會套用到使用該映像檔部署或重新部署的虛擬機器上。 新配置的 Azure Trusted Launch 與 Confidential 虛擬機器在虛擬韌體中包含 Secure Boot 2023 憑證,並可安全使用更新後的 Windows 開機管理器的黃金映像。
然而,若在 2024 年 3 月之前建立的虛擬機上進行基於映像的重新部署,可能會將更新後的 Windows 開機管理器套用到韌體尚未信任對應 Secure Boot 2023 憑證的虛擬機。 在這些情況下,安全開機憑證更新應先在訪客作業系統中套用,再推進 Windows 開機管理員。
其他 Azure 資源考量
|
Azure resource |
是在2024年4月之前建立的嗎? |
需要採取動作 |
|---|---|---|
|
TVM 或 CVM 的備份/快照 |
是 |
啟動虛擬機,套用更新,然後重新擷取 |
|
TVM 或 CVM 的備份/快照 |
否 |
不需要任何行動 |
|
Azure Compute Gallery 影像擷取 (影像安全類型 = TL 或 CVM) TVM 或 CVM 擷取資料 |
是 |
啟動虛擬機,套用更新,然後重新擷取 |
|
Azure Compute Gallery 影像擷取 (影像安全類型 = TL 或 CVM) TVM 或 CVM 擷取資料 |
否 |
不需要任何行動 |
監控更新狀態
Azure Trusted Launch 與 Confidential 虛擬機中安全開機憑證更新的監控與部署,遵循與 Windows 服務指引相同的指引,適用於實體及虛擬化裝置。
如需詳細監控指引,包括如何清點裝置、驗證韌體變數更新及追蹤更新進度,請參閱安全開機手冊(Secure Boot Playbook)Windows Server與 https://aka.ms/GetSecureBoot。
部署更新
Azure 受信任啟動與機密虛擬機的安全啟動憑證更新,皆由訪客作業系統內部透過 Windows 服務啟動。
請依照 Windows Server 安全開機手冊中的部署指引進行:
-
透過 Windows Update 自動部署
-
IT 發起的部署方法
-
登錄檔金鑰維修
-
部署序列
使用自訂或重複使用的虛擬機器映像時,請先參考本文中的黃金映像考慮事項,再推進 Windows 開機管理器。
資源
-
請將「Get Secure Boot」加入書籤,了解更多關於此變更的資訊、管理安全啟動憑證更新的詳細指引,以及常見問題解答。
-
欲了解更多事件日誌事件的細節,請參閱安全啟動資料庫與 DBX 變數更新事件。
-
欲了解更多關於安全開機登錄檔金鑰的細節,請參閱安全開機登錄檔金鑰更新:帶有 IT 管理更新的 Windows 裝置。
如果您有支援計畫並需要技術協助,請提交支援申請。
變更記錄
|
變更日期 |
變更描述 |
|
2026年5月13日 |
本文內容沒有變動 |
