نظرة عامة على مراقبة تكامل التمهيد

لمساعدة Azure Trusted Launch على منع هجمات rootkit الضارة على الأجهزة الظاهرية (VMs)، يتم استخدام إثبات الضيف من خلال نقطة نهاية Azure Attestation لمراقبة تكامل تسلسل التمهيد. يعد هذا التصديق أمرا بالغ الأهمية لتوفير صلاحية دول النظام الأساسي.

يحتاج الجهاز الظاهري للتشغيل الموثوق به إلى التمهيد الآمن والوحدة النمطية للنظام الأساسي الموثوق به الظاهري (vTPM) ليتم تمكينهما بحيث يمكن تثبيت ملحقات التصديق. يقدم Microsoft Defender for Cloud تقارير تستند إلى إثبات الضيف للتحقق من الحالة وأن تكامل التمهيد لجهازك الظاهري تم إعداده بشكل صحيح. لمعرفة المزيد حول تكامل Microsoft Defender for Cloud، راجع تكامل التشغيل الموثوق به مع Microsoft Defender for Cloud.

هام

تتوفر الآن ترقية الملحق التلقائي لملحق Boot Integrity Monitoring - Guest Attestation. لمزيد من المعلومات، راجع الترقية التلقائية للملحق.

المتطلبات الأساسية

تحتاج إلى اشتراك Azure نشط وVM موثوق به.

تمكين مراقبة التكامل

لتمكين مراقبة التكامل، اتبع الخطوات الواردة في هذا القسم.

مدخل Microsoft Azure

1. قم بتسجيل الدخول إلى بوابة Azure.

2. حدد المورد (الأجهزة الظاهرية).

3. ضمن Settings، حدد Configuration. في جزء Security type ، حدد Integrity monitoring.

   

4. ا‏‏حفظ التغييرات.

في صفحة نظرة عامة على الجهاز الظاهري، يجب أن يظهر نوع الأمان لمراقبة التكامل على أنه ممكن.

يقوم هذا الإجراء بتثبيت ملحق Guest Attestation، والذي يمكنك الرجوع إليه عبر الإعدادات في علامة التبويب Extensions + Applications .

القالب

يمكنك نشر ملحق Guest Attestation ل Trusted Launch VMs باستخدام قالب التشغيل السريع.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

المبادره القطريه

1. إنشاء جهاز ظاهري مع تشغيل موثوق به يحتوي على قدرات التمهيد الآمن وvTPM من خلال النشر الأولي ل Trusted Launch VM. لنشر ملحق Guest Attestation، استخدم --enable-integrity-monitoring. بصفتك مالك الجهاز الظاهري، يمكنك تخصيص تكوين الجهاز الظاهري باستخدام az vm create.
2. بالنسبة للأجهزة الظاهرية الموجودة، يمكنك تمكين إعدادات مراقبة تكامل التمهيد عن طريق التحديث للتأكد من تشغيل مراقبة التكامل. يمكنك استخدام --enable-integrity-monitoring.

إشعار

يجب تكوين ملحق Guest Attestation بشكل صريح.

بوويرشيل

إذا تم تعيين Secure Boot وvTPM إلى ON، تعيين تكامل التمهيد أيضا إلى ON.

1. إنشاء جهاز ظاهري مع تشغيل موثوق به يحتوي على قدرات التمهيد الآمن وvTPM من خلال النشر الأولي ل Trusted Launch VM. بصفتك مالك الجهاز الظاهري، يمكنك تخصيص تكوين الجهاز الظاهري.
2. بالنسبة للأجهزة الظاهرية الموجودة، يمكنك تمكين إعدادات مراقبة تكامل التمهيد عن طريق التحديث. تأكد من تعيين كل من Secure Boot وvTPM إلى ON.

لمزيد من المعلومات حول إنشاء جهاز ظاهري أو تحديثه لتضمين مراقبة تكامل التمهيد من خلال ملحق Guest Attestation، راجع نشر جهاز ظاهري مع تمكين التشغيل الموثوق به (PowerShell).

دليل استكشاف الأخطاء وإصلاحها لتثبيت ملحق Guest Attestation

يعالج هذا القسم أخطاء المصادقة والحلول.

العلامات

لن يعمل ملحق Azure Attestation بشكل صحيح عند إعداد مجموعة أمان شبكة (NSG) أو وكيل. يظهر خطأ يشبه "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation فشل التوفير".

الحلول

في Azure، تستخدم مجموعات أمان الشبكة للمساعدة في تصفية نسبة استخدام الشبكة بين موارد Azure. تحتوي مجموعات أمان الشبكة على قواعد أمان تسمح بنسبة استخدام الشبكة الواردة أو ترفضها، أو نسبة استخدام الشبكة الصادرة من عدة أنواع من موارد Azure. يجب أن تكون نقطة نهاية Azure Attestation قادرة على الاتصال بملحق Guest Attestation. بدون نقطة النهاية هذه، لا يمكن ل Trusted Launch الوصول إلى شهادة الضيف، والتي تسمح ل Microsoft Defender for Cloud بمراقبة تكامل تسلسل التمهيد للأجهزة الظاهرية الخاصة بك.

لإلغاء حظر حركة مرور Azure Attestation في مجموعات أمان الشبكة باستخدام علامات الخدمة:

1. انتقل إلى الجهاز الظاهري الذي تريد السماح بنسبة استخدام الشبكة الصادرة.

2. في الجزء الموجود في أقصى اليسار، ضمن Networking، حدد Networking settings.

3. ثم حدد Create port rule>Outbound port rule.

   

4. للسماح ب Azure Attestation، يمكنك جعل الوجهة علامة خدمة. يسمح هذا الإعداد لنطاق عناوين IP بتحديث القواعد التي تسمح ب Azure Attestation وتعيينها تلقائيا. تعيين علامة خدمة الوجهة إلى AzureAttestation وتعيين الإجراء إلى السماح.

   

تحمي جدران الحماية شبكة ظاهرية، والتي تحتوي على أجهزة ظاهرية متعددة لإطلاق موثوق بها. لإلغاء حظر حركة مرور Azure Attestation في جدار حماية باستخدام مجموعة قواعد تطبيق:

1. انتقل إلى مثيل جدار حماية Azure الذي تم حظر نسبة استخدام الشبكة من مورد Trusted Launch VM.

2. ضمن Settings، حدد Rules (classic) لبدء إلغاء حظر تصديق الضيف خلف جدار الحماية.

3. ضمن مجموعة قواعد الشبكة، حدد إضافة مجموعة قواعد الشبكة.

   

4. قم بتكوين الاسم والأولوية ونوع المصدر ومنافذ الوجهة بناء على احتياجاتك. تعيين اسم علامة الخدمة إلى AzureAttestation وتعيين الإجراء إلى السماح.

لإلغاء حظر حركة مرور Azure Attestation في جدار حماية باستخدام مجموعة قواعد تطبيق:

1. انتقل إلى مثيل جدار حماية Azure الذي تم حظر نسبة استخدام الشبكة من مورد Trusted Launch VM.

   

   يجب أن تحتوي مجموعة القواعد على قاعدة واحدة على الأقل تستهدف أسماء المجالات المؤهلة بالكامل (FQDNs).

2. حدد مجموعة قواعد التطبيق وأضف قاعدة تطبيق.

3. حدد اسما وأولوية رقمية لقواعد التطبيق. تعيين الإجراء لمجموعة القواعد إلى السماح.

   

4. تكوين الاسم والمصدر والبروتوكول. نوع المصدر هو لعنوان IP واحد. حدد مجموعة IP للسماح بعناوين IP متعددة من خلال جدار الحماية.

موفرو الخدمات المشتركة الإقليميون

يوفر Azure Attestation موفرا إقليميا مشتركا في كل منطقة متوفرة. يمكنك اختيار استخدام الموفر المشترك الإقليمي للمصادقة أو إنشاء موفرين خاصين بك باستخدام نهج مخصصة. يمكن لأي مستخدم Microsoft Entra الوصول إلى الموفرين المشتركين. لا يمكن تغيير النهج المقترن به.

إشعار

يمكنك تكوين نوع المصدر والخدمة ونطاقات منفذ الوجهة والبروتوكول والأولوية والاسم.

المحتوى ذو الصلة

تعرف على المزيد حول التشغيل الموثوق به ونشر جهاز ظاهري لإطلاق موثوق به.