View a markdown version of this page

AWS Windows Server NitroTPM-fähige AMIs - AWS Windows-AMIs
Suchen Windows Server AMIs, die mit NitroTPM und UEFI Secure Boot konfiguriert sindAktualisieren Sie die Secure Boot-Zertifikate auf Windows -Instances

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Windows Server NitroTPM-fähige AMIs

Amazon erstellt wie folgt eine Reihe von AMIs, die mit NitroTPM- und UEFI Secure Boot-Anforderungen vorkonfiguriert sind:

  • Der TPM 2.0 Command Response Buffer (CRB) -Treiber ist installiert

  • NitroTPM ist aktiviert

  • Der UEFI Secure Boot-Modus ist mit Microsoft-Schlüsseln aktiviert

Ausführlichere Informationen zu NitroTPM finden Sie unter NitroTPM für Amazon EC2 EC2-Instances im Amazon EC2 EC2-Benutzerhandbuch.

Suchen Windows Server AMIs, die mit NitroTPM und UEFI Secure Boot konfiguriert sind

AWS verwaltete AMIs enthalten immer das AMI-Erstellungsdatum als Teil des Namens. Die beste Methode, um sicherzustellen, dass Ihre Suche die AMIs zurückgibt, nach denen Sie suchen, besteht darin, eine Datumsfilterung für den Namen hinzuzufügen. Verwenden Sie eine der folgenden Befehlszeilenoptionen, um ein AMI zu finden.

AWS CLI
Finden Sie die neuesten NitroTPM- und UEFI-Secure-Boot-AMIs

Im folgenden Beispiel wird eine Liste der neuesten Windows Server AMIs abgerufen, die für NitroTPM und UEFI Secure Boot konfiguriert sind.

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
Finden Sie ein bestimmtes AMI

Im folgenden Beispiel werden Windows Server AMIs abgerufen, die für NitroTPM und UEFI Secure Boot konfiguriert sind, indem nach dem AMI-Namen, dem Besitzer, der Plattform und dem Erstellungsdatum (Jahr und Monat) gefiltert wird. Die Ausgabe ist als Tabelle mit Spalten für den AMI-Namen und die Image-ID formatiert.

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
Finden Sie die neuesten NitroTPM- und UEFI-Secure-Boot-AMIs

Im folgenden Beispiel wird eine Liste der neuesten Windows Server AMIs abgerufen, die für NitroTPM und UEFI Secure Boot konfiguriert sind.

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
Anmerkung

Wenn dieser Befehl in Ihrer Umgebung nicht ausgeführt wird, fehlt Ihnen möglicherweise ein Modul. PowerShell Weitere Informationen zu diesem Befehl finden Sie unter Get-SSMLatestEC2Image Cmdlet.

Alternativ können Sie die CloudShell Konsole verwenden und ausführen, pwsh um eine PowerShell Eingabeaufforderung aufzurufen, in der bereits alle AWS Tools installiert sind. Weitere Informationen finden Sie im AWS CloudShell -Benutzerhandbuch.

Finden Sie ein bestimmtes AMI

Im folgenden Beispiel werden Windows Server AMIs abgerufen, die für NitroTPM und UEFI Secure Boot konfiguriert sind, indem nach dem AMI-Namen, dem Besitzer, der Plattform und dem Erstellungsdatum (Jahr und Monat) gefiltert wird. Die Ausgabe ist als Tabelle mit Spalten für den AMI-Namen und die Image-ID formatiert.

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

Aktualisieren Sie die Secure Boot-Zertifikate auf Windows -Instances

Microsoft aktualisiert die Secure Boot-Zertifikate, die ursprünglich 2011 ausgestellt wurden, um sicherzustellen, dass Windows Geräte weiterhin vertrauenswürdige Startsoftware überprüfen. Diese älteren Zertifikate laufen ab Juni 2026 ab. Geräte, die die neueren 2023-Zertifikate nicht erhalten haben, werden weiterhin normal gestartet und funktionieren, und Windows Standard-Updates werden weiterhin installiert. Diese Geräte werden jedoch nicht mehr in der Lage sein, neue Sicherheitsvorkehrungen für den frühen Startvorgang zu erhalten, einschließlich Updates für Boot Manager, Secure Windows Boot-Datenbanken, Sperrlisten oder Abhilfemaßnahmen für neu entdeckte Sicherheitslücken auf Boot-Ebene. Weitere Informationen finden Sie in der Secure Boot-Dokumentation von Microsoft.

Wichtig

Instances, die von NitroTPM-fähigen Windows AMIs, Version 2026.01.14 oder früher, gestartet wurden, sollten den Schritten zur Aktualisierung der Secure Boot-Zertifikate auf Instances folgen. Windows Für Windows AMIs, die Version 2026.02.11 oder später veröffentlicht wurde, sind keine weiteren Maßnahmen erforderlich.

Um auf die neuesten Secure Boot-Zertifikate (Microsoft Corporation KEK 2K CA 2023 und Windows UEFI CA 2023) zu aktualisieren, können Sie entweder zu neuen Instances migrieren, die über die neuesten Windows AMIs gestartet wurden, oder die folgenden Schritte ausführen, um bestehende Instances zu aktualisieren.

  1. Führen Sie Windows Update aus und starten Sie die Instance neu, wenn Sie dazu aufgefordert werden.

  2. Laden Sie das folgende PowerShell Skript auf die Instanz herunter: Update-EC2SecureBootCertificate.ps1.

  3. Öffnen Sie als Administrator eine PowerShell Eingabeaufforderung und führen Sie das heruntergeladene PowerShell Skript aus.

    .\Update-EC2SecureBootCertificate.ps1

  4. Starten Sie Ihre Instanz neu, wenn Sie dazu aufgefordert werden.

Wenn bei der Aktualisierung des Zertifikats Fehler auftreten, wenden Sie sich an den AWS Support.