View a markdown version of this page

AWS Windows Server NitroTPM mengaktifkan AMI - AWS AMI Windows
Temukan Windows Server AMI dikonfigurasi dengan NitrotPM dan UEFI Secure BootPerbarui sertifikat Boot Aman pada Windows Instans

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Windows Server NitroTPM mengaktifkan AMI

Amazon membuat satu set AMI yang telah dikonfigurasi sebelumnya dengan persyaratan NitroTPM dan UEFI Secure Boot, sebagai berikut:

  • Driver TPM 2.0 Command Response Buffer (CRB) diinstal

  • NitroTPM diaktifkan

  • Mode Boot Aman UEFI diaktifkan dengan tombol Microsoft

Untuk informasi selengkapnya tentang NitroTPM, lihat instans NitroTPM untuk Amazon EC2 di Panduan Pengguna Amazon EC2.

Temukan Windows Server AMI dikonfigurasi dengan NitrotPM dan UEFI Secure Boot

AWS AMI terkelola selalu menyertakan tanggal pembuatan AMI sebagai bagian dari nama. Cara terbaik untuk memastikan bahwa pencarian Anda mengembalikan AMI yang Anda cari adalah dengan menambahkan pemfilteran tanggal untuk nama tersebut. Gunakan salah satu opsi baris perintah berikut untuk menemukan AMI.

AWS CLI
Temukan NitroTPM dan UEFI Secure Boot AMI terbaru

Contoh berikut mengambil daftar Windows Server AMI terbaru yang dikonfigurasi untuk NitrotPM dan UEFI Secure Boot.

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
Temukan AMI tertentu

Contoh berikut mengambil Windows Server AMI yang dikonfigurasi untuk NitrotPM dan UEFI Secure Boot dengan memfilter pada nama AMI, pemilik, platform, dan tanggal pembuatan (tahun dan bulan). Output diformat sebagai tabel dengan kolom untuk nama AMI dan ID gambar.

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
Temukan NitroTPM dan UEFI Secure Boot AMI terbaru

Contoh berikut mengambil daftar Windows Server AMI terbaru yang dikonfigurasi untuk NitrotPM dan UEFI Secure Boot.

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
catatan

Jika perintah ini tidak berjalan di lingkungan Anda, Anda mungkin kehilangan PowerShell modul. Untuk informasi selengkapnya tentang perintah ini, lihat Get-SSMLatestEC2Image Cmdlet.

Atau, Anda dapat menggunakan CloudShell konsol dan menjalankan pwsh untuk memunculkan PowerShell prompt yang sudah memiliki semua AWS alat yang diinstal. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS CloudShell.

Temukan AMI tertentu

Contoh berikut mengambil Windows Server AMI yang dikonfigurasi untuk NitrotPM dan UEFI Secure Boot dengan memfilter pada nama AMI, pemilik, platform, dan tanggal pembuatan (tahun dan bulan). Output diformat sebagai tabel dengan kolom untuk nama AMI dan ID gambar.

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

Perbarui sertifikat Boot Aman pada Windows Instans

Microsoft memperbarui sertifikat Boot Aman yang awalnya dikeluarkan pada tahun 2011 untuk memastikan Windows perangkat terus memverifikasi perangkat lunak boot tepercaya. Sertifikat lama ini mulai kedaluwarsa pada Juni 2026. Perangkat yang belum menerima sertifikat 2023 yang lebih baru akan terus dimulai dan beroperasi secara normal, dan Windows pembaruan standar akan terus diinstal. Namun, perangkat ini tidak akan lagi dapat menerima perlindungan keamanan baru untuk proses boot awal, termasuk pembaruan untuk Boot Manager, database Windows Boot Aman, daftar pencabutan, atau mitigasi untuk kerentanan tingkat boot yang baru ditemukan. Untuk informasi selengkapnya, lihat dokumentasi Boot Aman Microsoft.

penting

Instans yang diluncurkan dari rilis Windows AMI yang diaktifkan NitrotPM tertanggal 2026.01.14 atau sebelumnya harus mengikuti langkah-langkah untuk memperbarui sertifikat Boot Aman pada instance. Windows Untuk rilis Windows AMI tertanggal 2026.02.11 atau lebih baru, tidak diperlukan tindakan lebih lanjut.

Untuk memperbarui ke sertifikat Boot Aman terbaru (Microsoft Corporation KEK 2K CA 2023 dan Windows UEFI CA 2023), Anda dapat bermigrasi ke instans baru yang diluncurkan dari Windows AMI terbaru, atau ikuti langkah-langkah di bawah ini untuk memperbarui instans yang ada.

  1. Jalankan Windows Update dan reboot instance jika diminta.

  2. Unduh PowerShell skrip berikut ke instance: Update-EC2SecureBootCertificate.ps1.

  3. Buka prompt PowerShell perintah sebagai Administrator, dan jalankan PowerShell skrip yang diunduh.

    .\Update-EC2SecureBootCertificate.ps1

  4. Reboot instance Anda jika diminta.

Jika Anda mengalami kesalahan selama pembaruan sertifikat, hubungi AWS Support.