受信任启动常见问题解答

项目
11/15/2024

注意

本文引用了 CentOS，这是一个接近生命周期结束 (EOL) 状态的 Linux 发行版。请相应地考虑使用和规划。有关详细信息，请参阅 CentOS EOL 指南。

有关 Azure 受信任启动功能用例、对其他 Azure 功能的支持，以及常见错误的解决方法的常见问题解答 (FAQ)。

用例

本部分回答有关受信任启动用例的问题。

为何应使用受信任启动？受信任启动防范哪些行为？

受信任启动防范 Bootkit、Rootkit 和内核级恶意软件。这种复杂类型的恶意软件在内核模式下运行，对用户是隐身的。例如：

固件 Rootkit：这些工具包可覆盖虚拟机 (VM) BIOS 的固件，因此 Rootkit 可以在操作系统 (OS) 启动之前启动。
Bootkit：这些工具包可替换 OS 的启动加载程序，使 VM 在 OS 启动之前加载 Bootkit。
内核 Rootkit：这些工具包可替换 OS 内核的一部分，因此，Rootkit 可在 OS 加载时自动启动。
驱动程序 Rootkit：这些工具包假装是操作系统用来与 VM 组件通信的受信任驱动程序之一。

安全启动与受度量启动之间的区别是什么？

在安全启动链中，启动过程中的每个步骤都会检查后续步骤的加密签名。例如，BIOS 会检查加载程序中的签名，而加载程序会检查它所加载的所有内核对象中的签名，依此类推。如有任何对象泄密，则签名将不匹配，VM 也就不会启动。有关详细信息，请参阅安全启动。

受信任启动与 Hyper-V 防护的 VM 有何差别？

Hyper-V 防护的 VM 目前仅在 Hyper-V 上可用。 Hyper-V 防护的 VM通常与 Guarded Fabric 一同部署。 Guarded Fabric 由一个主机保护服务 (HGS)、一个或多个受保护的主机以及一组受防护的 VM 组成。 Hyper-V 受防护的 VM 用于必须保护 VM 的数据和状态不受各种行动者影响的结构中。这些行动者既包括结构管理员，也包括可能在 Hyper-V 主机上运行的不受信任的软件。

另一方面，受信任启动可作为独立的 VM 或虚拟机规模集部署在 Azure 上，而无需额外的 HGS 部署和管理。只需在部署代码中做出一项简单更改，或者在 Azure 门户上选中相应的复选框，即可启用所有的受信任启动功能。

VM 来宾状态 (VMGS) 是什么？

VM 来宾状态 (VMGS) 特定于受信任启动 VM。它是 Azure 管理的 Blob，包含统一可扩展固件接口 (UEFI) 安全启动签名数据库和其他安全信息。 VMGS Blob 的生命周期与操作系统磁盘的生命周期相关联。

是否可以针对新 VM 部署禁用受信任启动？

受信任启动 VM 提供基础计算安全。建议不要为新的 VM 或虚拟机规模集部署禁用它们，除非你的部署依赖于：

可以使用具有 Standard 值的 securityType 参数，通过 Azure PowerShell (v10.3.0+) 和 Azure CLI (v2.53.0+) 在新 VM 或虚拟机规模集部署中禁用受信任启动。

注意

除非使用自定义未签名内核或驱动程序，否则不建议禁用安全启动。

如果需要禁用安全启动，请在 VM 的配置下清除“启用安全启动”选项。

CLI
PowerShell

az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
    --security-type 'Standard'

$adminUsername = <USER NAME>
$adminPassword = <PASSWORD> | ConvertTo-SecureString -AsPlainText -Force
$vmCred = New-Object System.Management.Automation.PSCredential($adminUsername, $adminPassword)
New-AzVM -Name MyVm -Credential $vmCred -SecurityType Standard

支持的功能和部署

本部分讨论受信任启动支持的功能和部署。

受信任启动是否支持 Azure Compute Gallery？

受信任启动目前允许通过 Azure Compute Gallery（以前称为“共享映像库”）创建和共享映像。映像源可以是：

现有的通用或专用 Azure VM。
现有的托管磁盘或快照。
另一个库中的 VHD 或映像版本。

有关使用 Azure Compute Gallery 部署受信任启动 VM 的详细信息，请参阅部署受信任启动 VM。

受信任启动是否支持 Azure 备份？

受信任启动目前支持 Azure 备份。有关详细信息，请参阅 Azure VM 备份的支持矩阵。

启用受信任启动后，Azure 备份是否继续工作？

启用受信任启动后，使用增强策略配置的备份将继续备份 VM。

受信任启动是否支持临时 OS 磁盘？

受信任启动支持临时 OS 磁盘。有关详细信息，请参阅临时 OS 磁盘的受信任启动。

注意

将临时磁盘用于受信任启动 VM 时，创建 VM 后由虚拟受信任的平台模块 (vTPM) 生成或密封的密钥和机密可能不会在重新映像等操作和平台事件（如服务修复）中保留。

受信任启动的安全功能是否也适用于数据磁盘？

受信任启动通过证明其启动完整性为虚拟机中托管的操作系统提供基础安全性。受信任启动安全功能仅适用于正在运行的 OS 和 OS 磁盘，不适用于数据磁盘或存储在数据磁盘中的 OS 二进制文件。如需更多详细信息，请参阅受信任启动概述

是否可以使用在启用受信任启动之前创建的备份来还原 VM？

将现有第 2 代 VM 升级到受信任启动之前创建的备份可用于还原整个 VM 或单个数据磁盘。它们不能用于还原或仅替换 OS 磁盘。

如何查找支持受信任启动的 VM 大小？

请参阅支持受信任启动的第 2 代 VM 大小的列表。

使用以下命令检查第 2 代 VM 大小是否不支持受信任启动。

CLI
PowerShell

subscription="<yourSubID>"
region="chinanorth2"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

$region = "chinanorth2"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

响应类似于以下格式。输出中包含 TrustedLaunchDisabled True 表明第 2 代 VM 大小不支持受信任启动。如果它是第 2 代 VM 大小并且 TrustedLaunchDisabled 不在输出中，则该 VM 大小支持受信任启动。

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

如何验证 OS 映像是否支持受信任启动？

请参阅受信任启动支持的 OS 版本列表。

市场 OS 映像

使用以下命令检查 Azure 市场 OS 映像是否支持受信任启动。

CLI
PowerShell

az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"

响应类似于以下格式。如果 hyperVGeneration 为 v2，并且 SecurityType 在输出中包含 TrustedLaunch，则第 2 代 OS 映像支持受信任启动。

{
  "architecture": "x64",
  "automaticOsUpgradeProperties": {
    "automaticOsUpgradeSupported": false
  },
  "dataDiskImages": [],
  "disallowed": {
    "vmDiskType": "Unmanaged"
  },
  "extendedLocation": null,
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchAndConfidentialVmSupported"
    },
    {
      "name": "IsAcceleratedNetworkSupported",
      "value": "True"
    },
    {
      "name": "DiskControllerTypes",
      "value": "SCSI, NVMe"
    },
    {
      "name": "IsHibernateSupported",
      "value": "True"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/chinanorth2/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
  "imageDeprecationStatus": {
    "alternativeOption": null,
    "imageState": "Active",
    "scheduledDeprecationTime": null
  },
  "location": "chinanorth2",
  "name": "20348.1906.230803",
  "osDiskImage": {
    "operatingSystem": "Windows",
    "sizeInGb": 127
  },
  "plan": null,
  "tags": null
}

Get-AzVMImage -Skus 22_04-lts-gen2 -PublisherName Canonical -Offer 0001-com-ubuntu-server-jammy -Location chinanorth2 -Version latest

可以将命令的输出与虚拟机 - 获取 API 配合使用。响应类似于以下格式。如果 hyperVGeneration 为 v2，并且 SecurityType 在输出中包含 TrustedLaunch，则第 2 代 OS 映像支持受信任启动。

{
    "properties": {
        "hyperVGeneration": "V2",
        "architecture": "x64",
        "replicaType": "Managed",
        "replicaCount": 10,
        "disallowed": {
            "vmDiskType": "Unmanaged"
        },
        "automaticOSUpgradeProperties": {
            "automaticOSUpgradeSupported": false
        },
        "imageDeprecationStatus": {
            "imageState": "Active"
        },
        "features": [
            {
                "name": "SecurityType",
                "value": "TrustedLaunchSupported"
            },
            {
                "name": "IsAcceleratedNetworkSupported",
                "value": "True"
            },
            {
                "name": "DiskControllerTypes",
                "value": "SCSI, NVMe"
            },
            {
                "name": "IsHibernateSupported",
                "value": "True"
            }
        ],
        "osDiskImage": {
            "operatingSystem": "Linux",
            "sizeInGb": 30
        },
        "dataDiskImages": []
    },
    "location": "ChinaNorth2",
    "name": "22.04.202309080",
    "id": "/Subscriptions/00000000-0000-0000-0000-000000000000/Providers/Microsoft.Compute/Locations/ChinaNorth2/Publishers/Canonical/ArtifactTypes/VMImage/Offers/0001-com-ubuntu-server-jammy/Skus/22_04-lts-gen2/Versions/22.04.202309080"
}

Azure Compute Gallery OS 映像

使用以下命令检查 Azure Compute Gallery OS 映像是否支持受信任启动。

CLI
PowerShell

az sig image-definition show `
    --gallery-image-definition myImageDefinition `
    --gallery-name myImageGallery `
    --resource-group myImageGalleryRg

响应类似于以下格式。如果 hyperVGeneration 为 v2，并且 SecurityType 在输出中包含 TrustedLaunch，则第 2 代 OS 映像支持受信任启动。

{
  "architecture": "x64",
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
  "identifier": {
    "offer": "myImageDefinition",
    "publisher": "myImageDefinition",
    "sku": "myImageDefinition"
  },
  "location": "chinanorth2",
  "name": "myImageDefinition",
  "osState": "Generalized",
  "osType": "Windows",
  "provisioningState": "Succeeded",
  "recommended": {
    "memory": {
      "max": 32,
      "min": 1
    },
    "vCPUs": {
      "max": 16,
      "min": 1
    }
  },
  "resourceGroup": "myImageGalleryRg",
  "tags": {},
  "type": "Microsoft.Compute/galleries/images"
}

Get-AzGalleryImageDefinition -ResourceGroupName myImageGalleryRg `
    -GalleryName myImageGallery -GalleryImageDefinitionName myImageDefinition

响应类似于以下格式。如果 hyperVGeneration 为 v2，并且 SecurityType 在输出中包含 TrustedLaunch，则第 2 代 OS 映像支持受信任启动。

ResourceGroupName : myImageGalleryRg
OsType            : Windows
OsState           : Generalized
HyperVGeneration  : V2
Identifier        :
  Publisher       : myImageDefinition
  Offer           : myImageDefinition
  Sku             : myImageDefinition
Recommended       :
  VCPUs           :
    Min           : 1
    Max           : 16
  Memory          :
    Min           : 1
    Max           : 32
ProvisioningState : Succeeded
Id                : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition
Name              : myImageDefinition
Type              : Microsoft.Compute/galleries/images
Location          : chinanorth2
Tags              : {}
Features[0]       :
  Name            : SecurityType
  Value           : TrustedLaunchSupported
Architecture      : x64

外部通信驱动程序如何与受信任启动 VM 配合使用？

添加 COM 端口需要禁用安全启动。受信任启动 VM 会默认禁用 COM 端口。

对问题进行故障排除

本部分解答了有关特定状态、启动类型和常见启动问题的问题。

如果受信任启动 VM 部署失败，该怎么办？

本部分提供了有关受信任启动部署失败的其他详细信息，以便你能够采取适当的措施来防止出现这些失败。

Virtual machine <vm name> failed to create from the selected snapshot because the virtual Trusted Platform Module (vTPM) state is locked.
To proceed with the VM creation, please select a different snapshot without a locked vTPM state.
For more assistance, please refer to "Troubleshooting locked vTPM state" in FAQ page at https://docs.azure.cn/virtual-machines/trusted-launch-faq.

当提供的快照或还原点由于以下原因无法访问或无法使用时，就会发生此部署错误：

虚拟机来宾状态 (VMGS) 损坏
vTPM 处于锁定状态
一个或多个关键 vTPM 索引处于无效状态。

如果虚拟机上运行的用户或工作负载在 vTPM 上设置锁或修改关键 vTPM 索引使 vTPM 处于无效状态，则可能会出现上述情况。

使用相同的快照/还原点重试将导致相同的失败。

若要解决此问题：

在生成快照或还原点的源受信任启动 VM 上，必须纠正 vTPM 错误。
1. 如果虚拟机上的工作负载修改了 vTPM 状态，则需要使用相同的方法来检查错误状态并将 vTPM 置于非错误状态。
2. 如果 TPM 工具用于修改 vTPM 状态，则应使用相同的工具来检查错误状态并将 vTPM 置于非错误状态。

在快照或还原点消除了这些错误后，就可以使用它创建新的受信任启动 VM。

为什么受信任启动 VM 无法正确启动？

如果从 UEFI（来宾固件）、启动加载程序、OS 或启动驱动程序中检测到未签名的组件，则受信任启动 VM 不会启动。如果在启动过程中遇到未签名或不受信任的启动组件，并且报告安全启动失败，则受信任启动 VM 中的安全启动设置将无法启动。

显示从安全启动到第三方驱动程序的受信任启动管道的屏幕截图。

注意

直接从 Azure 市场映像创建的受信任启动 VM 不会遇到安全启动失败。具有 Azure 市场的原始映像源和从受信任启动 VM 创建的快照的 Azure Compute Gallery 映像也不会遇到这些错误。

如何在 Azure 门户中验证无启动的情况？

当 VM 因安全启动失败而不可用时，“无法启动”意味着 VM 具有由受信任的颁发机构签名的 OS 组件，该组件会阻止启动受信任启动 VM。在 VM 部署中，可能会在 Azure 门户中看到资源运行状况中的信息，指出安全启动中存在验证错误。

若要从 VM 配置页访问资源运行状况，请转到“帮助”窗格下的“资源运行状况”。

如果已验证无法启动是由安全启动失败导致的：

正在使用的映像版本较低，该版本可能具有一个或多个不受信任的启动组件，并且即将弃用。若要修复过时的映像，请更新到受支持的较新的映像版本。
你正在使用的映像可能已在市场源外部生成，或者启动组件已修改，并包含未签名或不受信任的启动组件。若要验证映像是否具有未签名或不受信任的启动组件，请参阅以下“验证安全启动失败”部分。
如果上述两种方案不适用，VM 可能感染了恶意软件 (Bootkit/Rootkit)。在评估要安装的所有软件时，请考虑删除 VM 并从同一源映像重新创建新 VM。

为什么我的受信任启动 VM 显示内存少了 50MB？

使用受信任启动时，会创建一个通常称为“paravisor”的执行环境，并在 VM 内部运行该环境。 paravisor 通常会使用大约 50MB 的内存，该部分内容会在来宾操作系统中显示为“保留”内存。

验证安全启动失败

本部分可帮助你验证安全启动失败。

Linux 虚拟机

若要验证哪些启动组件对 Azure Linux VM 中的安全启动失败负责，可以使用 Linux 安全数据包中的 SBInfo 工具。

关闭安全启动。
连接到 Azure Linux 受信任启动 VM。
安装适用于正在运行的 VM 发行版的 SBInfo 工具。它位于 Linux 安全数据包中。

以下命令适用于 Ubuntu、Debian 和其他基于 Debian 的发行版。

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list

wget https://packages.microsoft.com/keys/microsoft.asc

wget https://packages.microsoft.com/keys/msopentech.asc

sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc

sudo apt update && sudo apt install azure-security

以下命令适用于 CentOS 和其他基于 Red Hat 的发行版。

echo "[packages-microsoft-com-azurecore]" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "name=packages-microsoft-com-azurecore" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "baseurl=https://packages.microsoft.com/yumrepos/azurecore/" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "enabled=1" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "gpgcheck=0" | sudo tee -a /etc/yum.repos.d/azurecore.repo

sudo yum install azure-security

以下命令适用于 SLES、openSUSE 和其他基于 SUSE 的发行版。

sudo zypper ar -t rpm-md -n "packages-microsoft-com-azurecore" --no-gpgcheck https://packages.microsoft.com/yumrepos/azurecore/ azurecore

sudo zypper install azure-security

安装适合你的发行版的 Linux 安全数据包后，运行 sbinfo 命令，通过显示所有未签名的模块、内核和启动加载程序来验证哪些启动组件导致安全启动失败。

sudo sbinfo -u -m -k -b

若要了解有关 SBInfo 诊断工具的详细信息，请运行 sudo sbinfo -help。

为什么我收到启动完整性监视错误？

Azure VM 的受信任启动将受到监视，以识别高级威胁。如果检测到此类威胁，将触发警报。仅当已启用 Microsoft Defender for Cloud 中的增强的安全性功能时，警报才可用。

Microsoft Defender for Cloud 定期执行证明。如果证明失败，将触发中等严重性警报。受信任启动证明可能出于以下原因而失败：

证明的信息（包括受信任计算基础 (TCB) 的日志）偏离受信任基线（如启用安全启动时）。任何偏差都表明加载了不受信任的模块，并且 OS 可能遭到入侵。
无法验证该证明引述是否源自被证明 VM 的 vTPM。验证失败表明存在恶意软件，并且可能拦截发送到 TPM 的流量。
VM 上的证明扩展未响应。无响应扩展表示恶意软件或 OS 管理员发起了拒绝服务攻击。

Certificates

本部分提供有关证书的信息。

如何通过受信任启动 VM 建立信任根？

虚拟 TPM AK 公共证书让你能够查看完整证书链（根证书和中间证书）的相关信息，帮助你验证证书和根链中的信任。为了确保持续保持受信任启动的最高安全状况，它会提供有关实例属性的信息，以便你可以追溯到整个链。

下载说明

包证书由 .p7b（完整证书颁发机构）和 .cer（中间证书颁发机构）组成，显示签名和证书颁发机构。请复制相关内容，并使用证书工具来检查和评估证书的详细信息。

选择下载 Azure 虚拟 TPM 根证书颁发机构 2023 的 .crt

Azure 虚拟 TPM 根证书颁发机构 2023

选择查看 .p7b 内容

全局虚拟 TPM CA - 01：

选择查看根证书的 .cert 内容

Azure 虚拟 TPM 根证书颁发机构 2023

选择查看中间 CA 内容

TPM 证书的中间证书颁发机构：

"Global Virtual TPM CA - XX" (intermediate CA) [.cer], 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Intermediate Certificate Authority

Thumbprint # db1f3959dcce7091f87c43446be1f4ab2d3415b7
Serial Number # 3300000002c0d17b4b8f979c35000000000002
Valid Until # November 3rd, 2025

Azure VM 中内置了哪些 Microsoft 拥有的受信任证书？

对于 Windows VM，Windows CA 证书内置于 UEFI 固件中。对于 Linux VM，Microsoft UEFI CA 证书内置于 UEFI 固件中。仅限 Azure Linux VM，还会在所有 Linux 分发版的 UEFI 固件中添加额外的“Azure 服务 Linux Kmod PCA”证书。 Linux Kmod PCA 用于对 Microsoft 拥有的内核模块进行签名。

添加了 Linux Kmod PCA 证书，以便使用安装内核模块的 azure Site Recovery (ASR) 等 Microsoft 解决方案时，客户体验更流畅。将加载 ASR 内核模块，无需任何客户操作即可提供密钥，因为 ASR 内核模块使用受信任的“Azure 服务 Linux Kmod PCA”证书签名。

下载说明

由 .p7b 和 .cer 成的包证书将会显示签名和证书颁发机构。请复制相关内容，并使用证书工具来检查和评估证书的详细信息。

选择下载适用于 Microsoft Windows CA 的 .crt

Microsoft Windows CA

选择下载适用于 Microsoft UEFI CA 的 .crt

MICROSOFT UEFI CA

选择查看 .p7b 内容

Azure 服务 Linux kmod PCA 证书：

通过

受信任启动常见问题解答

用例

为何应使用受信任启动？ 受信任启动防范哪些行为？

安全启动与受度量启动之间的区别是什么？

受信任启动与 Hyper-V 防护的 VM 有何差别？

VM 来宾状态 (VMGS) 是什么？

是否可以针对新 VM 部署禁用受信任启动？

支持的功能和部署

受信任启动是否支持 Azure Compute Gallery？

受信任启动是否支持 Azure 备份？

启用受信任启动后，Azure 备份是否继续工作？

受信任启动是否支持临时 OS 磁盘？

受信任启动的安全功能是否也适用于数据磁盘？

是否可以使用在启用受信任启动之前创建的备份来还原 VM？

如何查找支持受信任启动的 VM 大小？

如何验证 OS 映像是否支持受信任启动？

市场 OS 映像

Azure Compute Gallery OS 映像

外部通信驱动程序如何与受信任启动 VM 配合使用？

对问题进行故障排除

如果受信任启动 VM 部署失败，该怎么办？

为什么受信任启动 VM 无法正确启动？

如何在 Azure 门户中验证无启动的情况？

为什么我的受信任启动 VM 显示内存少了 50MB？

验证安全启动失败

Linux 虚拟机

为什么我收到启动完整性监视错误？

Certificates

如何通过受信任启动 VM 建立信任根？

下载说明

Azure VM 中内置了哪些 Microsoft 拥有的受信任证书？

下载说明

其他资源

为何应使用受信任启动？受信任启动防范哪些行为？