Nasazení virtuálního počítače s povoleným důvěryhodným spuštěním

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Důvěryhodné spuštění je způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2 . Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku kombinováním technologií infrastruktury, jako je vTPM a zabezpečené spouštění.

Předpoklady

• Pokud ještě není, musíte své předplatné připojit do Programu Microsoft Defender for Cloud . Microsoft Defender pro cloud má bezplatnou úroveň, která nabízí velmi užitečné přehledy pro různé prostředky Azure a hybridní prostředky. Důvěryhodné spuštění využívá Defender for Cloud k zobrazení více doporučení týkajících se stavu virtuálního počítače.

• Přiřaďte k předplatnému iniciativy zásad Azure. Tyto iniciativy zásad je potřeba přiřadit pouze jednou pro každé předplatné. Tím se automaticky nainstalují všechna požadovaná rozšíření na všechny podporované virtuální počítače.

  • Nakonfigurujte požadavky na povolení ověření hosta na virtuálních počítačích s povoleným důvěryhodným spuštěním.

  • Nakonfigurujte počítače tak, aby na virtuální počítače automaticky nainstalovaly agenty Azure Monitor a Azure Security.

• Povolit značku služby AzureAttestation v pravidlech odchozích přenosů NSG tak, aby umožňovala provoz pro ověření identity Microsoft Azure. Projděte si značky služeb virtuální sítě.

• Ujistěte se, že zásady brány firewall umožňují přístup k *.attest.azure.net.

Poznámka:

Pokud používáte image Linuxu a předpokládáte, že virtuální počítač může mít ovladače jádra nepodepsané nebo nepodepsané dodavatelem distribuce Linuxu, můžete zvážit vypnutí zabezpečeného spouštění. Na webu Azure Portal na stránce Vytvořit virtuální počítač pro parametr Typ zabezpečení s vybranou možností Důvěryhodné spouštěcí virtuální počítače klikněte na Konfigurovat funkce zabezpečení a zrušte zaškrtnutí políčka Povolit zabezpečené spouštění. V rozhraní příkazového řádku, PowerShellu nebo sadě SDK nastavte zabezpečený spouštěcí parametr na false.

Nasazení důvěryhodného spouštěcího virtuálního počítače

Vytvořte virtuální počítač s povoleným důvěryhodným spuštěním. Zvolte následující možnost:

Azure Portal

1. Přihlaste se k portálu Azure.
2. Vyhledejte virtuální počítače.
3. V části Služby vyberte Virtuální počítače.
4. Na stránce Virtuální počítače vyberte Přidat a pak vyberte Virtuální počítač.
5. V části Podrobnosti projectu se ujistěte, že je vybrané správné předplatné.
6. V části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků nebo v rozevíracím seznamu vyberte existující skupinu prostředků.
7. V části Podrobnosti o instanci zadejte název virtuálního počítače a zvolte oblast, která podporuje důvěryhodné spuštění.
8. Pro typ zabezpečení vyberte Důvěryhodné spouštěcí virtuální počítače. Zobrazí se tři další možnosti – zabezpečené spouštění, virtuální počítač vTPM a monitorování integrity . Vyberte vhodné možnosti pro vaše nasazení. Další informace o funkcích zabezpečení s povoleným důvěryhodným spuštěním.
9. V části Image vyberte image z doporučených imagí Gen2 kompatibilních s důvěryhodným spuštěním. Seznam najdete v části Důvěryhodné spuštění.

   Tip

   Pokud v rozevíracím seznamu nevidíte požadovanou verzi image Gen 2, vyberte Zobrazit všechny image a změňte filtr Typu zabezpečení na Důvěryhodné spuštění.

10. Vyberte velikost virtuálního počítače, která podporuje důvěryhodné spuštění. Podívejte se na seznam podporovaných velikostí.
11. Vyplňte informace o účtu Správa istrator a pak pravidla portů pro příchozí spojení.
12. V dolní části stránky vyberte Zkontrolovat a vytvořit.
13. Na stránce Vytvořit virtuální počítač můžete zobrazit podrobnosti o virtuálním počítači, který chcete nasadit. Jakmile se ověření zobrazí jako úspěšné, vyberte Vytvořit.

Nasazení virtuálního počítače bude několik minut trvat.

Rozhraní příkazového řádku

Ujistěte se, že používáte nejnovější verzi Azure CLI.

Přihlaste se k Azure pomocí az login.

az login 

Vytvořte virtuální počítač s důvěryhodným spuštěním.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

U existujících virtuálních počítačů můžete povolit nebo zakázat nastavení zabezpečeného spouštění a virtuálního hesla. Aktualizace virtuálního počítače pomocí zabezpečeného spouštění a nastavení vTPM aktivuje automatické restartování.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Další informace o instalaci monitorování integrity spouštění prostřednictvím rozšíření Ověření identity hosta najdete v tématu Integrita spouštění.

PowerShell

Aby bylo možné zřídit virtuální počítač s důvěryhodným spuštěním, je potřeba ho TrustedLaunch nejdřív povolit pomocí rutiny Set-AzVmSecurityProfile . Pak můžete pomocí rutiny Set-AzVmUefi nastavit konfiguraci vTPM a SecureBoot. Jako rychlý start použijte následující fragment kódu, nezapomeňte nahradit hodnoty v tomto příkladu vlastními.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Šablona

Důvěryhodné spouštěcí virtuální počítače můžete nasadit pomocí šablony pro rychlý start:

Linux

Windows

Nasazení důvěryhodného spouštěcího virtuálního počítače z image Galerie výpočetních prostředků Azure

Důvěryhodné spouštěcí virtuální počítače Azure podporují vytváření a sdílení vlastních imagí pomocí Galerie výpočetních prostředků Azure. Existují dva typy imagí, které můžete vytvořit na základě typů zabezpečení image:

• Doporučenéimage podporovanéTrustedLaunchSupported důvěryhodným spouštěcím virtuálním počítačem jsou image, ve kterých zdroj neobsahuje informace o stavu hosta virtuálního počítače a lze je použít k vytvoření virtuálních počítačů generace 2 nebo důvěryhodných spouštěcích virtuálních počítačů.
• Image důvěryhodného spouštěcího virtuálníhoTrustedLaunch počítače jsou image , kde zdroj obvykle obsahuje informace o stavu hosta virtuálního počítače a dá se použít k vytvoření pouze důvěryhodných spouštěcích virtuálních počítačů.

Podporované image důvěryhodného spouštěcího virtuálního počítače

U následujících zdrojů imagí by měl být typ zabezpečení definice image nastaven na TrustedLaunchsupported:

• Virtuální pevný disk s operačním systémem Gen2
• Spravovaná image Gen2
• Verze image galerie Gen2

Do zdroje image nesmí být zahrnuty žádné informace o stavu hosta virtuálního počítače.

Výsledná verze image se dá použít k vytvoření virtuálních počítačů Azure Gen2 nebo důvěryhodných spouštěcích virtuálních počítačů.

Tyto image je možné sdílet pomocí Galerie výpočetních prostředků Azure – Přímá sdílená galerie a Galerie výpočetních prostředků Azure – Galerie komunity

Poznámka:

Z image Gen2, která je kompatibilní s důvěryhodnými spouštěcími virtuálními počítači, by se měla vytvořit verze disku s operačním systémem, spravovanou imagí nebo imagí galerie.

Azure Portal

1. Přihlaste se k portálu Azure.
2. Vyhledání a výběr verzí imagí virtuálních počítačů na panelu hledání
3. Na stránce verze imagí virtuálního počítače vyberte Vytvořit.
4. Na stránce Vytvořit verzi image virtuálního počítače na kartě Základy:
   1. Vyberte předplatné Azure.
   2. Vyberte existující skupinu prostředků nebo vytvořte novou skupinu prostředků.
   3. Vyberte oblast Azure.
   4. Zadejte číslo verze image.
   5. Jako zdroj vyberte objekty blob úložiště (VHD) nebo spravovanou image nebo jinou verzi image virtuálního počítače.
   6. Pokud jste vybrali objekty blob úložiště (VHD), zadejte diskový virtuální pevný disk s operačním systémem (bez stavu hosta virtuálního počítače). Ujistěte se, že používáte virtuální pevný disk Gen2.
   7. Pokud jste vybrali spravovanou image, vyberte existující spravovanou image virtuálního počítače Gen2.
   8. Pokud jste vybrali verzi image virtuálního počítače, vyberte existující verzi image galerie virtuálního počítače Gen2.
   9. V případě cílové výpočetní galerie Azure vyberte nebo vytvořte galerii pro sdílení image.
   10. V případě stavu operačního systému vyberte v závislosti na vašem případu použití možnost Generalized nebo Special. Pokud jako zdroj používáte spravovanou image, vždy vyberte Generalized . Pokud používáte objekt blob úložiště (VHD) a chcete vybrat Generalized, před pokračováním zobecnění virtuálního pevného disku s Linuxem nebo zobecnění virtuálního pevného disku s Windows. Pokud používáte existující verzi image virtuálního počítače, vyberte generalizovanou nebo specializovanou na základě toho, co se používá v definici image zdrojového virtuálního počítače.
   11. V části Definice image cílového virtuálního počítače vyberte Vytvořit novou.
   12. V podokně Vytvořit definici image virtuálního počítače zadejte název definice. Ujistěte se, že je typ zabezpečení nastavený na Trustedlaunch Supported. Zadejte informace o vydavateli, nabídce a SKU. Pak vyberte ok.
5. Na kartě Replikace zadejte počet replik a cílové oblasti pro replikaci imagí v případě potřeby.
6. Na kartě Šifrování zadejte informace související s šifrováním SSE v případě potřeby.
7. Vyberte Zkontrolovat a vytvořit.
8. Po úspěšném ověření konfigurace vyberte Vytvořit a dokončete vytváření image.
9. Po vytvoření verze image vyberte Vytvořit virtuální počítač.
10. Na stránce Vytvořit virtuální počítač v části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků nebo v rozevíracím seznamu vyberte existující skupinu prostředků.
11. V části Podrobnosti o instanci zadejte název virtuálního počítače a zvolte oblast, která podporuje důvěryhodné spuštění.
12. Jako typ zabezpečení vyberte Důvěryhodné spuštění virtuálních počítačů . Ve výchozím nastavení jsou povolená zaškrtávací políčka Zabezpečené spouštění a vTPM .
13. Vyplňte informace o účtu Správa istrator a pak pravidla portů pro příchozí spojení.
14. Na stránce ověření zkontrolujte podrobnosti virtuálního počítače.
15. Po úspěšném ověření vyberte Vytvořit a dokončete vytvoření virtuálního počítače.

Rozhraní příkazového řádku

Ujistěte se, že používáte nejnovější verzi Azure CLI.

Přihlaste se k Azure pomocí az login.

az login 

Vytvoření definice image s typem TrustedLaunchSupported zabezpečení

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

K vytvoření verze image použijte virtuální pevný disk s operačním systémem. Před nahráním do objektu blob účtu úložiště Azure se ujistěte, že byl virtuální pevný disk s Linuxem zobecněn.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Vytvoření důvěryhodného spouštěcího virtuálního počítače z výše uvedené verze image

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Vytvoření definice image s typem TrustedLaunchSupported zabezpečení

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

K vytvoření verze image můžeme použít existující verzi image galerie Gen2, která se zobecnila během vytváření.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Vytvoření důvěryhodného spouštěcího virtuálního počítače z výše uvedené verze image

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Důvěryhodné spouštěcí image virtuálních počítačů

U následujících zdrojů imagí by měl být typ zabezpečení definice image nastaven na TrustedLaunch:

• Zachytávání důvěryhodných spouštěcích virtuálních počítačů
• Spravovaný disk operačního systému
• Snímek disku spravovaného operačního systému

Výsledná verze image se dá použít jenom k vytvoření virtuálních počítačů azure Trusted Launch.

Azure Portal

1. Přihlaste se k portálu Azure.
2. Pokud chcete vytvořit image galerie výpočetních prostředků Azure z virtuálního počítače, otevřete existující důvěryhodný spouštěcí virtuální počítač a vyberte Zachytit.
3. Na následující stránce Vytvořit image povolte sdílení image do galerie jako verzi image virtuálního počítače. Vytváření spravovaných imagí není podporováno pro virtuální počítače důvěryhodného spuštění.
4. Vytvořte novou cílovou galerii služby Azure Compute nebo vyberte existující galerii.
5. Vyberte stav operačního systému jako generalizovaný nebo specializovaný. Pokud chcete vytvořit generalizovanou image, ujistěte se, že virtuální počítač zobecníte , abyste před výběrem této možnosti odebrali konkrétní informace o počítači. Pokud je na vašem virtuálním počítači s Windows na základě nástroje BitLocker povolené šifrování založené na nástroji BitLocker, možná nebudete moct generalizovat totéž.
6. Vytvořte novou definici image zadáním názvu, vydavatele, nabídky a podrobností skladové položky. Typ zabezpečení definice image by již měl být nastaven na důvěryhodné spuštění.
7. Zadejte číslo verze pro verzi image.
8. V případě potřeby upravte možnosti replikace.
9. V dolní části stránky Vytvořit obrázek vyberte Zkontrolovat a vytvořit a po úspěšném ověření vyberte Vytvořit.
10. Po vytvoření verze image přejděte přímo na verzi image. Případně můžete přejít k požadované verzi image prostřednictvím definice image.
11. Na stránce verze image virtuálního počítače vyberte + Vytvořit virtuální počítač, který se zobrazí na stránce Vytvořit virtuální počítač.
12. Na stránce Vytvořit virtuální počítač v části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků nebo v rozevíracím seznamu vyberte existující skupinu prostředků.
13. V části Podrobnosti o instanci zadejte název virtuálního počítače a zvolte oblast, která podporuje důvěryhodné spuštění.
14. Image a typ zabezpečení jsou už vyplněné na základě vybrané verze image. Ve výchozím nastavení jsou povolená zaškrtávací políčka Zabezpečené spouštění a vTPM .
15. Vyplňte informace o účtu Správa istrator a pak pravidla portů pro příchozí spojení.
16. V dolní části stránky vyberte Zkontrolovat a vytvořit.
17. Na stránce ověření zkontrolujte podrobnosti virtuálního počítače.
18. Po úspěšném ověření vyberte Vytvořit a dokončete vytvoření virtuálního počítače.

Pokud chcete použít spravovaný disk nebo snímek spravovaného disku jako zdroj verze image (místo důvěryhodného spouštěcího virtuálního počítače), postupujte následovně:

1. Přihlášení k portálu
2. Vyhledejte verze imagí virtuálních počítačů a vyberte Vytvořit.
3. Zadejte číslo verze předplatného, skupiny prostředků, oblasti a image.
4. Vyberte zdroj jako disky nebo snímky.
5. V rozevíracím seznamu vyberte disk s operačním systémem jako spravovaný disk nebo snímek spravovaného disku.
6. Výběrem cílové galerie výpočetních prostředků Azure vytvořte a nasdílejte image. Pokud žádná galerie neexistuje, vytvořte novou galerii.
7. Vyberte stav operačního systému jako generalizovaný nebo specializovaný. Pokud chcete vytvořit generalizovanou image, ujistěte se, že zobecníte disk nebo snímek, abyste odebrali informace specifické pro počítač.
8. Pro definici image cílového virtuálního počítače vyberte Vytvořit novou. V okně, které se otevře, vyberte název definice image a ujistěte se, že typ zabezpečení je nastavený na Důvěryhodné spuštění. Zadejte informace o vydavateli, nabídce a SKU a vyberte OK.
9. Na kartě Replikace lze v případě potřeby nastavit počet replik a cílové oblasti pro replikaci imagí.
10. V případě potřeby můžete také použít kartu Šifrování k poskytnutí informací souvisejících s šifrováním SSE.
11. Výběrem možnosti Vytvořit na kartě Zkontrolovat a vytvořit obrázek
12. Po úspěšném vytvoření verze image vyberte + Vytvořit virtuální počítač a přejděte na stránku Vytvořit virtuální počítač.
13. Pomocí kroků 12 až 18, jak je uvedeno výše, vytvořte důvěryhodný spouštěcí virtuální počítač s použitím této verze image.

Rozhraní příkazového řádku

Ujistěte se, že používáte nejnovější verzi Azure CLI.

Přihlaste se k Azure pomocí az login.

az login 

Vytvoření definice image s typem TrustedLaunch zabezpečení

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Abychom vytvořili verzi image, můžeme zachytit existující virtuální počítač s důvěryhodným spuštěním založeným na Linuxu. Zobecnění důvěryhodného spouštěcího virtuálního počítače před vytvořením verze image

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

V případě, že se jako zdroj image pro verzi image musí použít spravovaný disk nebo snímek spravovaného disku, nahraďte ve výše uvedeném příkazu --managed-image --os-snapshot a zadejte disk nebo název prostředku snímku.

Vytvoření důvěryhodného spouštěcího virtuálního počítače z výše uvedené verze image

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Vytvoření definice image s typem TrustedLaunch zabezpečení

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Abychom vytvořili verzi image, můžeme zachytit existující virtuální počítač s důvěryhodným spuštěním systému Windows. Zobecnění důvěryhodného spouštěcího virtuálního počítače před vytvořením verze image

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Vytvoření důvěryhodného spouštěcího virtuálního počítače z výše uvedené verze image

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Ověření nebo aktualizace nastavení

U virtuálních počítačů vytvořených s povoleným důvěryhodným spuštěním můžete zobrazit konfiguraci důvěryhodného spuštění na stránce Přehled virtuálního počítače na webu Azure Portal. Na kartě Vlastnosti se zobrazí stav funkcí důvěryhodného spuštění:

Pokud chcete změnit konfiguraci důvěryhodného spuštění, v nabídce vlevo v části Nastavení vyberte Konfigurace. V části Typ zabezpečení můžete povolit nebo zakázat zabezpečené spouštění, virtuální počítač vTPM a monitorování integrity. Až budete hotovi, vyberte Uložit v horní části stránky.

Pokud je virtuální počítač spuštěný, zobrazí se zpráva, že se virtuální počítač restartuje. Vyberte Ano a počkejte, až se virtuální počítač restartuje, aby se změny projevily.

Další kroky

Přečtěte si další informace o důvěryhodných virtuálních počítačích monitorování integrity spouštění a spouštění.