Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-VMs

Artikel
06/26/2024

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ VMs der 2. Generation

Azure Virtual Machines (VM) unterstützt die Aktivierung des vertrauenswürdigen Starts für vorhandene Azure-VMs der 2. Generation durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.

Der vertrauenswürdige Start ist eine Möglichkeit, die grundlegende Computesicherheit auf Azure-VMs der 2. Generation zu aktivieren, und schützt vor erweiterten und persistenten Angriffstechniken wie Boot Kits und Rootkits. Dies geschieht durch die Kombination von Infrastrukturtechnologien wie sicherer Start, vTPM und Überwachung der Startintegrität in Ihrer VM.

Wichtig

Die Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 befindet sich derzeit in der privaten Vorschau. Sie können über den Registrierungslink https://aka.ms/Gen1ToTLUpgrade Zugriff auf die Vorschau erhalten.

Voraussetzungen

Azure-VMs der 2. Generation werden konfiguriert mit:
- VM-Familie mit Unterstützung für den vertrauenswürdigen Start
- Betriebssystemimage mit Unterstützung für den vertrauenswürdigen Start Bei benutzerdefinierten Betriebssystemimages oder -datenträgern sollte das Basisimage für den vertrauenswürdigen Start geeignet sein.
Eine Azure-VM der 2. Generation verwendet keine Features, die derzeit nicht mit dem vertrauenswürdigen Start unterstützt werden.
Bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren, sollten Sie die Azure-VM der 2. Generation beenden und ihre Zuordnung aufheben.
Sofern Azure Backup für die VM aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp „Vertrauenswürdiger Start“ kann nicht für eine VM der 2. Generation aktiviert werden, die mit dem Sicherungsschutz Standardrichtlinie konfiguriert sind.
- Vorhandene Azure-VM-Sicherungen können von der Richtlinie Standard zu Erweitert migriert werden. Weitere Informationen finden Sie unter Migrieren von Azure-VM-Sicherungen von der Richtlinie „Standard“ zu „Erweitert“ (Vorschau).

Bewährte Methoden

Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
Erstellen Sie einen Wiederherstellungspunkt für eine Azure-VM der 2. Generation, der Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.

Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM

Hinweis

Nach Aktivierung des vertrauenswürdigen Starts kann die VM derzeit nicht mehr auf den Sicherheitstyp Standard (Konfiguration für den nicht vertrauenswürdigen Start) zurückgesetzt werden.
vTPM ist standardmäßig aktiviert.
Es wird empfohlen, Sicherer Start zu aktivieren (standardmäßig nicht aktiviert), wenn Sie keinen eigenen unsignierten Kernel oder Treiber verwenden. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.

Aktivieren Sie den vertrauenswürdigen Start auf einer vorhandenen Azure-VM der 2. Generation mit dem Microsoft Azure-Portal.

Melden Sie sich beim Azure-Portal an.
Vergewissern Sie sich, dass die VM-Generation V2 lautet, und beenden Sie die VM.
Wählen Sie auf der Seite Übersicht in den Eigenschaften der VM unter Sicherheitstyp die Option Standard aus. Dadurch wird die Seite Konfiguration für den virtuellen Computer aufgerufen.
Wählen Sie auf der Seite Konfiguration im Abschnitt Sicherheitstyp das Dropdownmenü Sicherheitstyp aus.
Wählen Sie Vertrauenswürdiger Start in der Dropdownliste aus, und aktivieren Sie Kontrollkästchen, um Sicherer Start und vTPM zu aktivieren. Klicken Sie auf Speichern, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
Hinweis
- VMs der 2. Generation, die mit Azure Compute Gallery (ACG), einem verwalteten Image oder Betriebssystemdatenträger erstellt wurden, können nicht über das Portal auf den vertrauenswürdigen Start aktualisiert werden. Stellen Sie sicher, dass die Betriebssystemversion für den vertrauenswürdigen Start unterstützt wird, und verwenden Sie PowerShell, die CLI oder eine ARM-Vorlage, um das Upgrade auszuführen.
Schließen Sie die Seite Konfiguration, nachdem das Update erfolgreich abgeschlossen wurde, und überprüfen Sie den Sicherheitstyp in den VM-Eigenschaften auf der Seite Übersicht.
Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und überprüfen Sie, ob Sie sich bei der VM entweder per RDP (Windows-VM) oder über SSH (Linux-VM) anmelden können.

In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung der Azure CLI ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.

Achten Sie darauf, dass Sie die aktuelle Version der Azure CLI installiert haben und mit az login bei einem Azure-Konto angemeldet sind.

Anmelden beim Azure-Abonnement

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Heben Sie die Zuordnung für die VM auf.

az vm deallocate \
    --resource-group myResourceGroup --name myVm

Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf TrustedLaunch festlegen.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Überprüfen Sie die Ausgabe des vorherigen Befehls. Die securityProfile-Konfiguration wird mit der Befehlsausgabe zurückgegeben.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Starten Sie die VM.

az vm start \
    --resource-group myResourceGroup --name myVm

Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und überprüfen Sie, ob Sie sich bei der VM entweder per RDP (Windows-VM) oder über SSH (Linux-VM) anmelden können.

In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung von Azure PowerShell ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.

Stellen Sie sicher, dass Sie die aktuelle Version von Azure PowerShell installiert haben und mit einem Connect-AzAccount bei einem Azure-Konto angemeldet sind.

Anmelden beim Azure-Abonnement

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Heben Sie die Zuordnung für die VM auf.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Aktivieren Sie den vertrauenswürdigen Start, indem Sie -SecurityType auf TrustedLaunch festlegen.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Überprüfen Sie securityProfile in der aktualisierten VM-Konfiguration.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Starten Sie die VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und überprüfen Sie, ob Sie sich bei der VM entweder per RDP (Windows-VM) oder über SSH (Linux-VM) anmelden können.

In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung einer ARM-Vorlage ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.

Überprüfen Sie die Vorlage.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Bearbeiten Sie die JSON-Parameterdatei mit VMs, die mit dem Sicherheitstyp TrustedLaunch aktualisiert werden sollen.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definition der Parameterdatei

Eigenschaft	Beschreibung der Eigenschaft	Beispiel für Vorlagenwert
vmName	Name der Azure-VM der 2. Generation	„myVM“
Speicherort	Standort der Azure-VM der 2. Generation	„westus3“
secureBootEnabled	Aktivieren des sicheren Starts mit dem Sicherheitstyp „Vertrauenswürdiger Start“	true

Heben Sie die Zuordnung aller Azure-VM der 2. Generation auf, die aktualisiert werden sollen.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Führen Sie die ARM-Vorlagenbereitstellung aus.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Vergewissern Sie sich, dass die Bereitstellung erfolgreich war. Überprüfen Sie mithilfe des Azure-Portals den Sicherheitstyp und die UEFI-Einstellungen der VM. Überprüfen Sie auf der Seite „Übersicht“ den Abschnitt „Sicherheitstyp“.
Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und überprüfen Sie, ob Sie sich bei der VM entweder per RDP (Windows-VM) oder über SSH (Linux-VM) anmelden können.

Nächste Schritte

(Empfohlen) Aktivieren Sie nach einem Upgrade die Überwachung der Startintegrität, um die Integrität der VM mit Microsoft Defender for Cloud zu überwachen.

Erfahren Sie mehr über den vertrauenswürdigen Start, und lesen Sie die häufig gestellten Fragen.

Teilen über