View a markdown version of this page

AWS Windows Server AMI abilitate per NitroTPM - AWS AMI di Windows
Trova Windows Server AMI configurate con NitroTPM e UEFI Secure BootAggiorna i certificati Secure Boot su Windows Istanze

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Windows Server AMI abilitate per NitroTPM

Amazon crea un set di AMI preconfigurate con i requisiti di avvio sicuro NitroTPM e UEFI, come segue:

  • Il driver TPM 2.0 Command Response Buffer (CRB) è installato

  • NitroTPM è abilitato

  • La modalità UEFI Secure Boot è abilitata con le chiavi Microsoft

Per informazioni più dettagliate su NitroTPM, consulta NitroTPM per istanze Amazon EC2 nella Amazon EC2 User Guide.

Trova Windows Server AMI configurate con NitroTPM e UEFI Secure Boot

AWS le AMI gestite includono sempre la data di creazione dell'AMI come parte del nome. Il modo migliore per garantire che la ricerca restituisca le AMI che stai cercando è aggiungere un filtro per data per il nome. Utilizza una delle seguenti opzioni della riga di comando per trovare un AMI.

AWS CLI
Trova le AMI NitroTPM e UEFI Secure Boot più recenti

L'esempio seguente recupera un elenco delle Windows Server AMI più recenti configurate per NitroTPM e UEFI Secure Boot.

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
Trova un AMI specifico

L'esempio seguente recupera le Windows Server AMI configurate per NitroTPM e UEFI Secure Boot filtrando in base al nome dell'AMI, al proprietario, alla piattaforma e alla data di creazione (anno e mese). L'output è formattato come tabella con colonne per il nome AMI e l'ID dell'immagine.

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
Trova le AMI NitroTPM e UEFI Secure Boot più recenti

L'esempio seguente recupera un elenco delle Windows Server AMI più recenti configurate per NitroTPM e UEFI Secure Boot.

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
Nota

Se questo comando non viene eseguito nel tuo ambiente, potrebbe mancare un modulo. PowerShell Per ulteriori informazioni su questo comando, vedere Get-SSMLatestEC2Image Cmdlet.

In alternativa, è possibile utilizzare la CloudShell console ed eseguirla pwsh per visualizzare un PowerShell prompt in cui sono già installati tutti gli AWS strumenti. Per ulteriori informazioni, consulta la Guida per l'utente AWS CloudShell.

Trova un AMI specifico

L'esempio seguente recupera le Windows Server AMI configurate per NitroTPM e UEFI Secure Boot filtrando in base al nome dell'AMI, al proprietario, alla piattaforma e alla data di creazione (anno e mese). L'output è formattato come tabella con colonne per il nome AMI e l'ID dell'immagine.

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

Aggiorna i certificati Secure Boot su Windows Istanze

Microsoft sta aggiornando i certificati Secure Boot originariamente emessi nel 2011 per garantire che Windows i dispositivi continuino a verificare il software di avvio affidabile. Questi vecchi certificati iniziano a scadere a giugno 2026. I dispositivi che non hanno ricevuto i nuovi certificati 2023 continueranno ad avviarsi e funzionare normalmente e Windows gli aggiornamenti standard continueranno a essere installati. Tuttavia, questi dispositivi non saranno più in grado di ricevere nuove protezioni di sicurezza per il processo di avvio anticipato, inclusi aggiornamenti a Boot Manager, database Secure Windows Boot, elenchi di revoca o mitigazioni per le vulnerabilità a livello di avvio scoperte di recente. Per ulteriori informazioni, consulta la documentazione Microsoft Secure Boot.

Importante

Le istanze avviate da Windows AMI compatibili con NitroTPM, versione datata 2026.01.14 o precedente, devono seguire i passaggi per aggiornare i certificati Secure Boot sulle istanze. Windows Per le Windows AMI rilasciate con data 2026.02.11 o successiva, non sono necessarie ulteriori azioni.

Per eseguire l'aggiornamento ai certificati Secure Boot più recenti (Microsoft Corporation KEK 2K CA 2023 e Windows UEFI CA 2023), puoi migrare a nuove istanze lanciate dalle Windows AMI più recenti o seguire i passaggi seguenti per aggiornare le istanze esistenti.

  1. Esegui Windows Update e riavvia l'istanza se richiesto.

  2. Scarica il seguente PowerShell script sull'istanza:. Update-EC2SecureBootCertificate.ps1

  3. Apri un PowerShell prompt dei comandi come amministratore ed esegui lo PowerShell script scaricato.

    .\Update-EC2SecureBootCertificate.ps1

  4. Se richiesto, riavvia l'istanza.

Se riscontri errori durante l'aggiornamento del certificato, contatta l'AWS assistenza.