Povolení důvěryhodného spuštění na existujících virtuálních počítačích Azure
Platí pro: ✔️ Virtuální ✔️ počítač s Windows generace 2 virtuálního počítače s Linuxem ✔️
Azure Virtual Machines podporuje povolení důvěryhodného spuštění Azure na existujících virtuálních počítačích Azure Generation 2 upgradem na typ zabezpečení Důvěryhodné spuštění.
Důvěryhodné spuštění je způsob, jak na virtuálních počítačích Azure Generation 2 povolit základní výpočetní zabezpečení a chránit před pokročilými a trvalými technikami útoku, jako jsou spouštěcí sady a rootkity. To dělá tak, že na virtuálním počítači zkombinujete technologie infrastruktury, jako je zabezpečené spouštění, virtuální čip vTPM (VTPM) a monitorování integrity spouštění.
Důležité
Podpora povolení důvěryhodného spuštění na existujících virtuálních počítačích Azure Generation 1 je aktuálně ve verzi Private Preview. Přístup k verzi Preview získáte pomocí registračního formuláře.
Požadavky
- Virtuální počítač Azure Generation 2 je nakonfigurovaný pomocí:
- Řada podporovaných velikostí důvěryhodného spuštění
- Image podporovaného operačního systému (OS) trusted Launch Pro vlastní image operačního systému nebo disky by měla být základní image schopná důvěryhodného spuštění.
- Virtuální počítač Azure Generation 2 v současné době nepoužívá funkce, které se u důvěryhodného spuštění nepodporují.
- Než povolíte typ zabezpečení Důvěryhodné spuštění, měly by se virtuální počítače Azure Generation 2 zastavit a uvolnit .
- Pokud je služba Azure Backup povolená, měla by být pro virtuální počítače nakonfigurovaná pomocí zásad rozšířeného zálohování. Pro virtuální počítače generace 2 nakonfigurované s ochranou zálohování zásad Standard není možné povolit typ zabezpečení Důvěryhodné spuštění.
- Existující zálohování virtuálních počítačů Azure je možné migrovat ze standardu do rozšířených zásad. Postupujte podle kroků v tématu Migrace záloh virtuálních počítačů Azure ze standardu do rozšířených zásad (Preview).
Osvědčené postupy
- Povolte důvěryhodné spuštění na virtuálním počítači 2. generace a určete, jestli se pro splnění požadavků vyžadují nějaké změny, než povolíte důvěryhodné spuštění na virtuálních počítačích generace 2 přidružených k produkčním úlohám.
- Než povolíte typ zabezpečení Důvěryhodné spuštění, vytvořte body obnovení pro virtuální počítače Azure Generation 2 přidružené k produkčním úlohám. Pomocí bodů obnovení můžete znovu vytvořit disky a virtuální počítač generace 2 s předchozím dobře známým stavem.
Povolení důvěryhodného spuštění na existujícím virtuálním počítači
Poznámka:
- Po povolení důvěryhodného spuštění se aktuálně virtuální počítače nedají vrátit zpět do standardního typu zabezpečení (konfigurace ne trusted Launch).
- Virtuální počítač vTPM je ve výchozím nastavení povolený.
- Pokud nepoužíváte vlastní nepodepsané jádro nebo ovladače, doporučujeme povolit zabezpečené spouštění. Ve výchozím nastavení není povolená. Zabezpečené spouštění zachovává integritu spouštění a umožňuje základní zabezpečení virtuálních počítačů.
Povolte důvěryhodné spuštění na existujícím virtuálním počítači Azure Generation 2 pomocí webu Azure Portal.
Přihlaste se k portálu Azure.
Ověřte, že je generace virtuálního počítače V2 , a vyberte Zastavit pro virtuální počítač.
Na stránce Přehled ve vlastnostech virtuálního počítače v části Typ zabezpečení vyberte Standard. Otevře se stránka Konfigurace virtuálního počítače.
Na stránce Konfigurace v části Typ zabezpečení vyberte rozevírací seznam Typ zabezpečení.
V rozevíracím seznamu vyberte Důvěryhodné spuštění. Zaškrtnutím políček povolíte zabezpečené spouštění a vTPM. Po provedení změn vyberte Uložit.
Poznámka:
- Virtuální počítače generace 2 vytvořené pomocí Galerie výpočetních prostředků Azure (ACG), spravované image nebo disku s operačním systémem se nedají upgradovat na důvěryhodné spuštění pomocí portálu. Ujistěte se, že je pro důvěryhodné spuštění podporovaná verze operačního systému. Ke spuštění upgradu použijte PowerShell, Azure CLI nebo šablonu Azure Resource Manageru (šablonu ARM).
Po úspěšném dokončení aktualizace zavřete stránku Konfigurace . Na stránce Přehled ve vlastnostech virtuálního počítače potvrďte nastavení typu zabezpečení.
Spusťte upgradovaný virtuální počítač Trusted Launch. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (Remote Desktop Protocol) pro virtuální počítače s Windows nebo pomocí protokolu SSH (Secure Shell Protocol) pro virtuální počítače s Linuxem.
Související obsah
- Po upgradech doporučujeme povolit monitorování integrity spouštění, abyste mohli monitorovat stav virtuálního počítače pomocí Microsoft Defenderu pro cloud.
- Přečtěte si další informace o důvěryhodném spuštění a projděte si nejčastější dotazy.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro