Training
Zertifizierung
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Planen, Bereitstellen, Verwalten und Überwachen virtueller Desktopumgebungen und von Remote-Apps in Microsoft Azure für beliebige Geräte
Dieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen
Azure bietet den vertrauenswürdigen Start als nahtlose Möglichkeit zur Verbesserung der Sicherheit von VMs der 2. Generation an. Das Feature „Vertrauenswürdiger Start“ bietet Schutz vor fortschrittlichen und beständigen Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen.
Wichtig
Hinweis
OS | Version |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8-LVM, 9.0, 9.1-LVM |
RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS |
Windows 10 | Pro, Enterprise, Enterprise (Mehrere Sitzungen) * |
Windows 11 | Pro, Enterprise, Enterprise (Mehrere Sitzungen) * |
Windows Server | 2016, 2019, 2022 * |
Windows Server (Azure-Edition) | 2022 |
* Variationen dieses Betriebssystems werden unterstützt.
Regionen:
Preise: Der vertrauenswürdige Start erhöht die Kosten für vorhandene VMs nicht.
Derzeit werden die folgenden VM-Features nicht mit dem vertrauenswürdigen Start unterstützt:
Das Fundament des vertrauenswürdigen Starts bildet „Sicherer Start“ für Ihre VM. Der sichere Start ist in der Plattformfirmware implementiert und schützt vor der Installation von schadsoftwarebasierten Rootkits und Bootkits. Der sichere Start bewirkt, dass nur signierte Betriebssysteme und Treiber gestartet werden können. Damit wird ein Vertrauensanker für den Softwarestapel der VM erstellt.
Bei aktiviertem sicherem Start müssen alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert sein. Der sichere Start wird unter Windows sowie ausgewählten Linux-Distributionen unterstützt. Wenn beim sicheren Start nicht authentifiziert werden kann, dass das Image von einem vertrauenswürdigen Herausgeber signiert wurde, kann die VM nicht gestartet werden. Weitere Informationen finden Sie unter Sicherer Start.
Der vertrauenswürdige Start führt auch das virtuelle Trusted Platform Module (vTPM) für Azure-VMs ein. Diese virtualisierte Hardwareversion des Trusted Platform Module ist mit den TPM 2.0-Spezifikationen konform. Sie dient als dedizierter sicherer Tresor für Schlüssel und Messungen.
Der vertrauenswürdige Start bietet für die VM eine eigene dedizierte TPM-Instanz, die in einer sicheren Umgebung außerhalb der Reichweite von VMs ausgeführt wird. vTPM ermöglicht den Nachweis durch Messung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber).
Beim vertrauenswürdigen Start wird vTPM verwendet, um einen Remotenachweis über die Cloud durchzuführen. Nachweise ermöglichen Plattformintegritätsprüfungen und werden für vertrauensbasierte Entscheidungsprozesse verwendet. Als Integritätsprüfung kann beim vertrauenswürdigen Start kryptografisch zertifiziert werden, dass die VM ordnungsgemäß gestartet wurde.
Wenn bei diesem Prozess Fehler auftreten (beispielsweise, weil auf der VM eine nicht autorisierte Komponente ausgeführt wird), werden in Microsoft Defender for Cloud Integritätswarnungen ausgegeben. Die Warnungen enthalten Details zu den Komponenten, bei denen die Integritätsprüfungen nicht erfolgreich durchgeführt wurden.
Für die virtualisierungsbasierte Sicherheit (VBS) wird mit Hypervisor ein sicherer und isolierter Speicherbereich erstellt. Unter Windows werden in diesen Bereichen verschiedene Sicherheitslösungen mit erhöhtem Schutz vor Sicherheitsrisiken und schädlichen Exploits ausgeführt. Mit dem vertrauenswürdigen Start können Sie Hypervisor Code Integrity (HVCI) und Windows Defender Credential Guard aktivieren.
HVCI bietet eine leistungsstarke Risikominderung für das System und schützt Windows-Kernelmodusprozesse vor der Einschleusung und Ausführung von schädlichem oder nicht überprüftem Code. Kernelmodustreiber und -binärdateien werden vor der Ausführung überprüft, sodass nicht signierte Dateien nicht in den Speicher geladen werden können. Überprüfungen stellen sicher, dass ausführbarer Code nicht mehr geändert werden kann, nachdem das Laden erlaubt wurde. Weitere Informationen zu VBS und HVCI finden Sie unter Virtualisierungsbasierte Sicherheit und Hypervisor Enforced Code Integrity.
Mit dem vertrauenswürdigen Start und VBS können Sie Windows Defender Credential Guard aktivieren. Credential Guard isoliert und schützt Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Dadurch können der nicht autorisierte Zugriff auf Geheimnisse und Diebstahl von Anmeldeinformationen verhindert werden, z. B. PtH-Angriffe (Pass-the-Hash). Weitere Informationen finden Sie unter Credential Guard.
Der vertrauenswürdige Start ist mit Defender for Cloud integriert, damit Ihre virtuellen Computer ordnungsgemäß konfiguriert sind. In Defender for Cloud werden kompatible VMs kontinuierlich bewertet und relevante Empfehlungen ausgegeben:
Empfehlung zum Aktivieren des sicheren Starts: Die Empfehlung für den sicheren Start gilt nur für VMs, die den vertrauenswürdigen Start unterstützen. In Defender for Cloud werden VMs identifiziert, auf denen der sichere Start aktiviert werden kann, aber derzeit deaktiviert ist. Es wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.
Empfehlung zum Aktivieren von vTPM: Wenn auf Ihrem virtuellen Computer vTPM aktiviert ist, können in Defender for Cloud Nachweisvorgänge für Gäste durchgeführt und komplexe Bedrohungsmuster identifiziert werden. Wenn in Defender for Cloud VMs identifiziert werden, auf denen der vertrauenswürdige Start unterstützt wird und vTPM deaktiviert ist, wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.
Empfehlung zum Installieren der Gastnachweiserweiterung: Wenn auf Ihrer VM sicherer Start und vTPM aktiviert sind, die Gastnachweiserweiterung aber nicht installiert ist, gibt Defender for Cloud eine Empfehlung mit niedrigem Schweregrad für die Installation der Gastnachweiserweiterung aus. Mit dieser Erweiterung kann Defender for Cloud die Startintegrität Ihrer virtuellen Computer proaktiv nachweisen und überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis.
Nachweisintegritätsbewertung oder Startintegritätsüberwachung: Wenn auf Ihrem virtuellen Computer Secure Boot und vTPM aktiviert und die Nachweiserweiterung installiert sind, kann Defender for Cloud remote überprüfen, ob Ihr virtueller Computer fehlerfrei gestartet wurde. Diese Vorgehensweise wird als Startintegritätsüberwachung bezeichnet. Defender for Cloud gibt eine Bewertung aus, die den Status des Remotenachweises angibt.
Wenn Ihre virtuellen Computer ordnungsgemäß mit vertrauenswürdigem Start eingerichtet sind, kann Defender for Cloud Integritätsprobleme eines virtuellen Computers erkennen und entsprechende Warnungen ausgeben.
Warnung bei VM-Nachweisfehlern: Defender for Cloud führt in regelmäßigen Abständen Nachweise für Ihre VMs durch. Der Nachweis erfolgt auch nach dem Starten der VM. Wenn beim Nachweis ein Fehler auftritt, wird eine Warnung mit mittlerem Schweregrad ausgelöst. Beim VM-Nachweis können aus folgenden Gründen Fehler auftreten:
Die nachgewiesenen Informationen, einschließlich eines Startprotokolls, weichen von einer vertrauenswürdigen Baseline ab. Jede Abweichung kann darauf hinweisen, dass nicht vertrauenswürdige Module geladen wurden und das Betriebssystem möglicherweise kompromittiert ist.
Es konnte nicht überprüft werden, ob das Nachweisangebot von der vTPM-Instanz der VM stammt, für die der Nachweis erstellt wurde. Ein nicht überprüfter Ursprung kann darauf hindeuten, dass Schadsoftware vorhanden ist und den Datenverkehr an das vTPM abfangen könnte.
Hinweis
Warnungen sind für VMs mit aktivierter vTPM-Instanz und installierter Nachweiserweiterung verfügbar. Der sichere Start muss aktiviert sein, damit der Nachweisvorgang erfolgreich durchgeführt wird. Beim Nachweis treten Fehler auf, wenn der sichere Start deaktiviert ist. Wenn Sie den sicheren Start deaktivieren möchten, können Sie diese Warnung unterdrücken, um False Positives zu vermeiden.
Warnung bei nicht vertrauenswürdigem Linux-Kernelmodul: Beim vertrauenswürdigen Start mit aktiviertem sicherem Start ist es möglich, dass eine VM gestartet wird, obwohl bei der Überprüfung eines Kerneltreibers ein Fehler auftritt und das Laden nicht zulässig ist. In diesem Fall gibt Defender for Cloud Warnungen mit niedrigem Schweregrad aus. Es liegt zwar keine unmittelbare Bedrohung vor, da der nicht vertrauenswürdige Treiber nicht geladen wurde, dennoch sollten diese Ereignisse untersucht werden. Fragen Sie sich selbst:
Bereitstellen einer VM mit vertrauenswürdigem Start
Training
Zertifizierung
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Planen, Bereitstellen, Verwalten und Überwachen virtueller Desktopumgebungen und von Remote-Apps in Microsoft Azure für beliebige Geräte