Povolení důvěryhodného spuštění na existujících virtuálních počítačích Azure

Platí pro: ✔️ Virtuální ✔️ počítač s Windows generace 2 virtuálního počítače s Linuxem ✔️

Azure Virtual Machines podporuje povolení důvěryhodného spuštění Azure na existujících virtuálních počítačích Azure Generation 2 upgradem na typ zabezpečení Důvěryhodné spuštění.

Důvěryhodné spuštění je způsob, jak na virtuálních počítačích Azure Generation 2 povolit základní výpočetní zabezpečení a chránit před pokročilými a trvalými technikami útoku, jako jsou spouštěcí sady a rootkity. To dělá tak, že na virtuálním počítači zkombinujete technologie infrastruktury, jako je zabezpečené spouštění, virtuální čip vTPM (VTPM) a monitorování integrity spouštění.

Důležité

Podpora povolení důvěryhodného spuštění na existujících virtuálních počítačích Azure Generation 1 je aktuálně ve verzi Private Preview. Přístup k verzi Preview získáte pomocí registračního formuláře.

Požadavky

• Virtuální počítač Azure Generation 2 je nakonfigurovaný pomocí:
  • Řada podporovaných velikostí důvěryhodného spuštění
  • Image podporovaného operačního systému (OS) trusted Launch Pro vlastní image operačního systému nebo disky by měla být základní image schopná důvěryhodného spuštění.
• Virtuální počítač Azure Generation 2 v současné době nepoužívá funkce, které se u důvěryhodného spuštění nepodporují.
• Než povolíte typ zabezpečení Důvěryhodné spuštění, měly by se virtuální počítače Azure Generation 2 zastavit a uvolnit .
• Pokud je služba Azure Backup povolená, měla by být pro virtuální počítače nakonfigurovaná pomocí zásad rozšířeného zálohování. Pro virtuální počítače generace 2 nakonfigurované s ochranou zálohování zásad Standard není možné povolit typ zabezpečení Důvěryhodné spuštění.
  • Existující zálohování virtuálních počítačů Azure je možné migrovat ze standardu do rozšířených zásad. Postupujte podle kroků v tématu Migrace záloh virtuálních počítačů Azure ze standardu do rozšířených zásad (Preview).

Osvědčené postupy

• Povolte důvěryhodné spuštění na virtuálním počítači 2. generace a určete, jestli se pro splnění požadavků vyžadují nějaké změny, než povolíte důvěryhodné spuštění na virtuálních počítačích generace 2 přidružených k produkčním úlohám.
• Než povolíte typ zabezpečení Důvěryhodné spuštění, vytvořte body obnovení pro virtuální počítače Azure Generation 2 přidružené k produkčním úlohám. Pomocí bodů obnovení můžete znovu vytvořit disky a virtuální počítač generace 2 s předchozím dobře známým stavem.

Povolení důvěryhodného spuštění na existujícím virtuálním počítači

Poznámka:

• Po povolení důvěryhodného spuštění se aktuálně virtuální počítače nedají vrátit zpět do standardního typu zabezpečení (konfigurace ne trusted Launch).
• Virtuální počítač vTPM je ve výchozím nastavení povolený.
• Pokud nepoužíváte vlastní nepodepsané jádro nebo ovladače, doporučujeme povolit zabezpečené spouštění. Ve výchozím nastavení není povolená. Zabezpečené spouštění zachovává integritu spouštění a umožňuje základní zabezpečení virtuálních počítačů.

Azure Portal

Povolte důvěryhodné spuštění na existujícím virtuálním počítači Azure Generation 2 pomocí webu Azure Portal.

1. Přihlaste se k portálu Azure.

2. Ověřte, že je generace virtuálního počítače V2 , a vyberte Zastavit pro virtuální počítač.

   

3. Na stránce Přehled ve vlastnostech virtuálního počítače v části Typ zabezpečení vyberte Standard. Otevře se stránka Konfigurace virtuálního počítače.

   

4. Na stránce Konfigurace v části Typ zabezpečení vyberte rozevírací seznam Typ zabezpečení.

   

5. V rozevíracím seznamu vyberte Důvěryhodné spuštění. Zaškrtnutím políček povolíte zabezpečené spouštění a vTPM. Po provedení změn vyberte Uložit.

   Poznámka:

   • Virtuální počítače generace 2 vytvořené pomocí Galerie výpočetních prostředků Azure (ACG), spravované image nebo disku s operačním systémem se nedají upgradovat na důvěryhodné spuštění pomocí portálu. Ujistěte se, že je pro důvěryhodné spuštění podporovaná verze operačního systému. Ke spuštění upgradu použijte PowerShell, Azure CLI nebo šablonu Azure Resource Manageru (šablonu ARM).

   

6. Po úspěšném dokončení aktualizace zavřete stránku Konfigurace . Na stránce Přehled ve vlastnostech virtuálního počítače potvrďte nastavení typu zabezpečení.

   

7. Spusťte upgradovaný virtuální počítač Trusted Launch. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (Remote Desktop Protocol) pro virtuální počítače s Windows nebo pomocí protokolu SSH (Secure Shell Protocol) pro virtuální počítače s Linuxem.

Rozhraní příkazového řádku

Postupujte podle kroků a povolte důvěryhodné spuštění na existujícím virtuálním počítači Azure Generation 2 pomocí Azure CLI.

Ujistěte se, že nainstalujete nejnovější Azure CLI a jste přihlášení k účtu Azure pomocí příkazu az login.

1. Přihlaste se k předplatnému Azure virtuálního počítače.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Uvolněte virtuální počítač.

3. Povolte důvěryhodné spuštění nastavením --security-type na TrustedLaunch.

   az vm deallocate \
       --resource-group myResourceGroup --name myVm
   

4. Ověřte výstup předchozího příkazu. Ujistěte se, že securityProfile se konfigurace vrátí s výstupem příkazu.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

5. Ověřte výstup předchozího příkazu. Ujistěte se, že securityProfile se konfigurace vrátí s výstupem příkazu.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

6. Spusťte virtuální počítač.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

7. Spusťte upgradovaný virtuální počítač Trusted Launch. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (pro virtuální počítače s Windows) nebo SSH (pro virtuální počítače s Linuxem).

PowerShell

Postupujte podle pokynů k povolení důvěryhodného spuštění na existujícím virtuálním počítači Azure Generation 2 pomocí Azure PowerShellu.

Ujistěte se, že nainstalujete nejnovější Azure PowerShell a jste přihlášení k účtu Azure pomocí Connect-AzAccount.

1. Přihlaste se k předplatnému Azure virtuálního počítače.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Uvolněte virtuální počítač.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Povolte důvěryhodné spuštění nastavením -SecurityType na TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Ověřte securityProfile v aktualizované konfiguraci virtuálního počítače.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Spusťte virtuální počítač.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Spusťte upgradovaný virtuální počítač Trusted Launch. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (pro virtuální počítače s Windows) nebo SSH (pro virtuální počítače s Linuxem).

Šablona

Pomocí šablony ARM povolte důvěryhodné spuštění na existujícím virtuálním počítači Azure Generation 2.

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.

1. Zkontrolujte šablonu.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. parameters Upravte soubor JSON pomocí virtuálních počítačů, které chcete aktualizovat pomocí TrustedLaunch typu zabezpečení.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definice souboru parametrů

   Vlastnost	Popis vlastnosti	Příklad hodnoty v šabloně
   vmName	Název virtuálního počítače Azure Generation 2	myVm
   location	Umístění virtuálního počítače Azure Generation 2	westus3
   secureBootEnabled	Povolte zabezpečené spouštění s typem zabezpečení Trusted Launch.	true

3. Uvolněte všechny virtuální počítače Azure generace 2, které se mají aktualizovat.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Spusťte nasazení šablony ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Spusťte upgradovaný virtuální počítač Trusted Launch. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (pro virtuální počítače s Windows) nebo SSH (pro virtuální počítače s Linuxem).

Související obsah

• Po upgradech doporučujeme povolit monitorování integrity spouštění, abyste mohli monitorovat stav virtuálního počítače pomocí Microsoft Defenderu pro cloud.
• Přečtěte si další informace o důvěryhodném spuštění a projděte si nejčastější dotazy.