Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-VMs

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ VMs der 2. Generation

Azure Virtual Machines unterstützt die Aktivierung des vertrauenswürdigen Starts von Azure für vorhandene Virtual Machines (VMs) der 2. Generation von Azure durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.

Der Vertrauenswürdige Start ist eine Möglichkeit, die grundlegende Computesicherheit auf Azure-VMs der 2. Generation zu aktivieren, und schützt vor erweiterten und persistenten Angriffstechniken wie Boot Kits und Rootkits. Dies geschieht durch die Kombination von Infrastrukturtechnologien wie sicherer Start, vTPM (virtual Trusted Platform Module) und Überwachung der Startintegrität in Ihrer VM.

Wichtig

Die Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 befindet sich derzeit in der privaten Vorschau. Sie können über das Registrierungsformular Zugriff auf die Vorschau erhalten.

Voraussetzungen

• Azure-VMs der 2. Generation werden konfiguriert mit:
  • VM-Familie mit Unterstützung für den vertrauenswürdigen Start.
  • Vom vertrauenswürdigen Start unterstütztes Betriebssystemimage (OS). Bei benutzerdefinierten Betriebssystemimages oder -datenträgern sollten die Basisimages für den vertrauenswürdigen Start geeignet sein.
• Eine Azure-VM der 2. Generation verwendet keine Features, die derzeit nicht mit dem vertrauenswürdigen Start unterstützt werden.
• Bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren, sollten Sie die Azure-VMs der 2. Generation beenden und ihre Zuordnung aufheben.
• Sofern Azure Backup für die VMs aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp „Vertrauenswürdiger Start“ kann nicht für VMs der 2. Generation aktiviert werden, die mit dem Sicherungsschutz Standardrichtlinie konfiguriert sind.
  • Vorhandene Azure VM-Sicherungen können von der Richtlinie Standard zu Erweitert migriert werden. Führen Sie die Schritte in Migrieren von Azure VM-Sicherungen von der Richtlinie Standard zu Erweitert (Vorschau) aus.

Bewährte Methoden

• Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
• Erstellen Sie einen Wiederherstellungspunkt für Azure-VMs der 2. Generation, die Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.

Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM

Hinweis

• Nachdem Sie den vertrauenswürdigen Start aktiviert haben, können derzeit keine virtuellen Computer auf den Standardsicherheitstyp zurückgesetzt werden (nicht vertrauenswürdige Startkonfiguration).
• vTPM ist standardmäßig aktiviert.
• Es wird empfohlen, den sicheren Start zu aktivieren, wenn Sie keinen benutzerdefinierten nicht signierten Kernel oder Treiber verwenden. Er ist nicht standardmäßig aktiviert. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.

Portal

Aktivieren Sie den vertrauenswürdigen Start auf einer vorhandenen Azure-VM der 2. Generation mit dem Microsoft Azure-Portal.

1. Melden Sie sich beim Azure-Portal an.

2. Vergewissern Sie sich, dass die VM-Generation V2 ist, und wählen Sie Beenden für die VM aus.

   

3. Wählen Sie auf der Seite Übersicht der VM-Eigenschaften unter Sicherheitstyp Standard aus. Die Konfigurationsseite für die VM wird geöffnet.

   

4. Wählen Sie auf der Seite Konfiguration unter dem Abschnitt Sicherheitstyp die Dropdownliste Sicherheitstyp aus.

   

5. Wählen Sie unter der Dropdownliste Vertrauenswürdigen Start aus. Aktivieren Sie Kontrollkästchen, um Sicheren Start und vTPM zu aktivieren. Nachdem Sie die Änderungen vorgenommen haben, wählen Sie Speichern aus.

   Hinweis

   • VMs der 2. Generation, die mit Azure Compute Gallery (ACG), verwalteten Image oder einem Betriebssystemdatenträger erstellt werden, können nicht mithilfe des Portals auf den vertrauenswürdigen Start aktualisiert werden. Stellen Sie sicher, dass die Betriebssystemversion für den vertrauenswürdigen Start unterstützt wird. Verwenden Sie PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage (ARM-Vorlage), um das Upgrade auszuführen.

   

6. Schließen Sie nach erfolgreichem Abschluss des Updates die Seite Konfiguration. Bestätigen Sie auf der Seite Übersicht der VM-Eigenschaften die Einstellung Sicherheitstyp.

   

7. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich bei der VM anmelden können, indem Sie entweder das Remotedesktopprotokoll (RDP) für Windows-VMs oder das Secure Shell-Protokoll (SSH) für Linux-VMs verwenden.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe der Azure CLI zu aktivieren.

Stellen Sie sicher, dass Sie die neueste Azure CLI installieren und bei einem Azure-Konto mit az login angemeldet sind.

1. Melden Sie sich beim VM Azure-Abonnement an.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Heben Sie die Zuordnung der VM auf.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf TrustedLaunch festlegen.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Überprüfen Sie die Ausgabe des vorherigen Befehls. Stellen Sie sicher, dass die securityProfile-Konfiguration mit der Befehlsausgabe zurückgegeben wird.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Starten Sie die VM.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

PowerShell

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe von Azure PowerShell zu aktivieren.

Stellen Sie sicher, dass Sie die neueste Version von Azure PowerShell installieren und mit Connect-AzAccount bei einem Azure-Konto angemeldet sind.

1. Melden Sie sich beim VM Azure-Abonnement an.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Heben Sie die Zuordnung der VM auf.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Aktivieren Sie den vertrauenswürdigen Start, indem Sie -SecurityType auf TrustedLaunch festlegen.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Überprüfen Sie securityProfile in der aktualisierten VM-Konfiguration.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Starten Sie die VM.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

Vorlage

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe einer ARM-Vorlage zu aktivieren.

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.

1. Überprüfen Sie die Vorlage.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Bearbeiten Sie die JSON-Datei parameters mit virtuellen Computern, um mit dem TrustedLaunch-Sicherheitstyp aktualisiert zu werden.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definition der Parameterdatei

   Eigenschaft	Beschreibung der Eigenschaft	Beispiel für Vorlagenwert
   vmName	Name der Azure-VM der 2. Generation.	myVm
   location	Standort der Azure-VM der 2. Generation.	westus3
   secureBootEnabled	Aktivieren des sicheren Starts mit dem Sicherheitstyp „Vertrauenswürdiger Start“.	true

3. Heben Sie die Zuordnung aller Azure-VMs der 2. Generation auf, die aktualisiert werden sollen.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Führen Sie die ARM-Vorlagenbereitstellung aus.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

Azure Advisor-Empfehlung

Azure Advisor füllt die operative Exzellenzempfehlung Vertrauenswürdiger Start, grundlegende Exzellenz und moderne Sicherheit für vorhandene VM(s) der 2. Generation für vorhandene VMs der 2. Generation 2 aus, damit sie Vertrauenswürdigen Start aktivieren; einen höheren Sicherheitsstatus für Azure-VMs ohne zusätzliche Kosten für Sie. Stellen Sie sicher, dass die VM der 2. Generation alle Voraussetzungen für die Migration zum vertrauenswürdigen Start hat, befolgen Sie alle bewährten Methoden, einschließlich der Überprüfung des Betriebssystemimages, der VM-Größe und des Erstellens von Wiederherstellungspunkten. Führen Sie die Schritte aus, die im Aktivieren des vertrauenswürdigen Starts auf einer vorhandenen VM beschrieben sind, um den Sicherheitstyp der virtuellen Computer zu aktualisieren und den vertrauenswürdigen Start zu aktivieren.

Was geschieht, wenn VMs der 2. Generation vorhanden sind, die nicht den Voraussetzungen für den vertrauenswürdigen Start entsprechen?

Für einen virtuellen Computer der 2. Generation, der die Voraussetzungen für das Upgrade auf den vertrauenswürdigen Start nicht erfüllt hat, schauen Sie sich an, wie die Voraussetzungen erfüllt werden können. Wenn z. B. die Größe eines virtuellen Computers nicht unterstützt wird, suchen Sie nach einer entsprechenden unterstützten Größe für den vertrauenswürdigen Start, die den vertrauenswürdigen Start unterstützt.

Hinweis

Schließen Sie die Empfehlung, wenn der virtuelle Gen2-Computer mit VM-Größenfamilien konfiguriert ist, die derzeit nicht mit dem vertrauenswürdigen Start wie der MSv2-Serie unterstützt werden.

Zugehöriger Inhalt

• Aktivieren Sie den vertrauenswürdigen Start für neue Bereitstellungen virtueller Computer. Weitere Informationen finden Sie unter Bereitstellen von virtuellen Computern mit vertrauenswürdigen Starts
• Nach den Upgrades wird empfohlen, die Startintegritätsüberwachung zu aktivieren, um den Status der VM mithilfe von Microsoft Defender for Cloud zu überwachen.
• Erfahren Sie mehr über den vertrauenswürdigen Start, und lesen Sie die häufig gestellten Fragen.