Übersicht über die Überwachung der Startintegrität

Um den vertrauenswürdigen Start (Azure Trusted Launch) dabei zu unterstützen, böswillige Rootkit-Angriffe auf virtuelle Computer (VMs) besser zu verhindern, wird der Gastnachweis über einen Azure Attestation-Endpunkt verwendet, um die Integrität der Startsequenz zu überwachen. Dieser Nachweis ist wichtig, um die Gültigkeit der Zustände einer Plattform bereitzustellen.

Auf Ihrer VM für den vertrauenswürdigen Start müssen der sichere Start und vTPM (virtuelles Trusted Platform Module) aktiviert sein, damit die Nachweiserweiterungen installiert werden können. Microsoft Defender for Cloud bietet Berichte basierend auf dem Gastnachweis, die den Status und die ordnungsgemäße Einrichtung der Startintegrität Ihrer VM überprüfen. Weitere Informationen zur Integration von Microsoft Defender for Cloud finden Sie unter Integration des vertrauenswürdigen Starts mit Microsoft Defender for Cloud.

Wichtig

Das automatische Erweiterungsupgrade ist jetzt für die Erweiterung „Startintegritätsüberwachung – Gastnachweis“ verfügbar. Weitere Informationen finden Sie unter Automatisches Erweiterungsupgrade.

Voraussetzungen

Sie benötigen ein aktives Azure-Abonnement und eine VM für den vertrauenswürdigen Start.

Dateiintegritätsüberwachung aktivieren

Führen Sie die Schritte in diesem Abschnitt aus, um die Integritätsüberwachung zu aktivieren.

Azure portal

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie die Ressource (VM) aus.

3. Klicken Sie unter Einstellungen auf Konfiguration. Wählen Sie im Bereich Sicherheitstyp die Option Integritätsüberwachung aus.

   

4. Speichern Sie die Änderungen.

Auf der Seite Übersicht der VM sollte der Sicherheitstyp für die Integritätsüberwachung als Aktiviert angezeigt werden.

Dadurch wird die Gastnachweiserweiterung installiert, die über die Einstellungen auf der Registerkarte Erweiterungen + Anwendungen verfügbar ist.

Vorlage

Sie können die Gastnachweiserweiterung für VMs mit vertrauenswürdigem Start mithilfe einer Schnellstartvorlage bereitstellen.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

BEFEHLSZEILENSCHNITTSTELLE (CLI)

1. Erstellen Sie eine VM mit vertrauenswürdigem Start, die über Funktionen für den sicheren Start und vTPM verfügt, indem eine VM mit vertrauenswürdigem Start erstmalig bereitgestellt wird. Verwenden Sie zum Bereitstellen der Gastnachweiserweiterung --enable-integrity-monitoring. Als VM-Besitzer können Sie die VM-Konfiguration mithilfe von az vm create anpassen.
2. Bei vorhandenen VMs können Sie Einstellungen für die Startintegritätsüberwachung aktivieren, indem Sie ein Update ausführen und sicherstellen, dass die Integritätsüberwachung aktiviert ist. Sie können --enable-integrity-monitoring verwenden.

Hinweis

Die Gastnachweiserweiterung muss explizit konfiguriert werden.

PowerShell

Wenn „Sicherer Start“ und „vTPM“ auf EIN eingestellt sind, ist die Startintegrität ebenfalls auf EIN eingestellt.

1. Erstellen Sie eine VM mit vertrauenswürdigem Start, die über Funktionen für den sicheren Start und vTPM verfügt, indem eine VM mit vertrauenswürdigem Start erstmalig bereitgestellt wird. Als VM-Besitzer können Sie die VM-Konfiguration anpassen.
2. Für vorhandene VMs können Sie die Einstellungen für die Überwachung der Startintegrität aktivieren, indem Sie ein Update ausführen. Stellen Sie sicher, dass sowohl „Sicherer Start“ als auch „vTPM“ auf EIN festgelegt sind.

Weitere Informationen zum Erstellen oder Aktualisieren einer VM für die Überwachung der Startintegrität über die Gastnachweiserweiterung finden Sie unter Bereitstellen einer VM mit aktiviertem vertrauenswürdigem Start (PowerShell).

Anleitung zur Problembehandlung bei der Installation der Gastnachweiserweiterung

In diesem Abschnitt werden Nachweisfehler und entsprechende Lösungen behandelt.

Problembeschreibung

Die Azure Attestation-Erweiterung funktioniert nicht ordnungsgemäß, wenn Sie eine Netzwerksicherheitsgruppe (NSG) oder einen Proxy einrichten. Es wird ein Fehler ähnlich wie dieser angezeigt: „Bereitstellung von Microsoft.Azure.Security.WindowsAttestation.GuestAttestation fehlgeschlagen.“

Lösungen

In Azure werden Netzwerksicherheitsgruppen verwendet, um Netzwerkdatenverkehr zwischen Azure-Ressourcen filtern zu können. Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen (oder von ihnen ausgehenden Netzwerkdatenverkehr) zulassen oder verweigern. Der Azure Attestation-Endpunkt sollte mit der Gastnachweiserweiterung kommunizieren können. Ohne diesen Endpunkt kann der vertrauenswürdige Start nicht auf den Gastnachweis zugreifen, der es Microsoft Defender for Cloud ermöglicht, die Integrität der Startsequenz Ihrer VMs zu überwachen.

So heben Sie die Blockierung des Azure Attestation-Datenverkehrs in Netzwerksicherheitsgruppen mithilfe von Diensttags auf

1. Navigieren Sie zu der VM, für die Sie ausgehenden Datenverkehr zulassen möchten.

2. Wählen Sie im Bereich ganz links unter Netzwerk die Option Netzwerkeinstellungen aus.

3. Wählen Sie dann Port-Regel erstellen>Regel für ausgehenden Port aus.

   

4. Um Azure Attestation zuzulassen, legen Sie das Ziel als Diensttag fest. Durch diese Einstellung kann der Bereich der IP-Adressen aktualisiert werden und es können automatisch Regeln festgelegt werden, die Azure Attestation zulassen. Stellen Sie Zieldiensttag auf AzureAttestation und Aktion auf Zulassen ein.

   

Firewalls schützen ein virtuelles Netzwerk, das mehrere VMs mit vertrauenswürdigem Start enthält. So heben Sie die Blockierung des Azure Attestation-Datenverkehrs in einer Firewall mithilfe der Anwendungsregelsammlung auf

1. Navigieren Sie zu der Azure Firewall-Instanz, deren Datenverkehr von der VM-Ressource mit vertrauenswürdigem Start blockiert ist.

2. Wählen Sie unter Einstellungen die Option Regeln (klassisch) aus, um die Blockierung des Gastnachweises hinter der Firewall aufzuheben.

3. Wählen Sie unter Netzwerkregelsammlung die Option Netzwerkregelsammlung hinzufügen aus.

   

4. Konfigurieren Sie den Namen, die Priorität, den Quelltyp und die Zielports gemäß Ihren Anforderungen. Stellen Sie Diensttagname auf AzureAttestation und Aktion auf Zulassen ein.

So heben Sie die Blockierung des Azure Attestation-Datenverkehrs in einer Firewall mithilfe der Anwendungsregelsammlung auf

1. Navigieren Sie zu der Azure Firewall-Instanz, deren Datenverkehr von der VM-Ressource mit vertrauenswürdigem Start blockiert ist.

   

   Die Regelsammlung muss mindestens eine Regel enthalten, die auf voll qualifizierte Domänennamen (FQDN) abzielt.

2. Wählen Sie die Anwendungsregelsammlung aus, und fügen Sie eine Anwendungsregel hinzu.

3. Wählen Sie einen Namen und eine numerische Priorität für Ihre Anwendungsregeln aus. Stellen Sie die Aktion für die Regelsammlung auf Zulassen ein.

   

4. Konfigurieren Sie den Namen, die Quelle und das Protokoll. Der Quelltyp ist für eine einzelne IP-Adresse vorgesehen. Wählen Sie die IP-Gruppe aus, um mehrere IP-Adressen über die Firewall zuzulassen.

Regionale gemeinsam verwendete Anbieter

Von Azure Attestation wird in jeder verfügbaren Region ein regionaler Anbieter für die gemeinsame Verwendung bereitgestellt. Sie können den regionalen gemeinsam verwendeten Anbieter für die Nachweiserbringung nutzen oder eigene Anbieter mit benutzerdefinierten Richtlinien erstellen. Jeder Microsoft Entra-Benutzer kann auf gemeinsam verwendete Anbieter zugreifen. Die zugewiesene Richtlinie kann nicht geändert werden.

Hinweis

Sie können den Quelltyp, den Dienst, die Zielportbereiche, das Protokoll, die Priorität und den Namen konfigurieren.

Zugehöriger Inhalt

Erfahren Sie mehr über den vertrauenswürdigen Start und das Bereitstellen einer VM mit vertrauenswürdigem Start.