Freigeben über


Vertrauenswürdiger Start für Azure-VMs

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Azure bietet die vertrauenswürdige Einführung als nahtlose Möglichkeit, die Sicherheit virtueller Computer der Generation 2 (VM) zu verbessern. Das Feature „Vertrauenswürdiger Start“ bietet Schutz vor fortschrittlichen und beständigen Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen.

Wichtig

Vorteile

  • Sicheres Bereitstellen von virtuellen Computern mit überprüften Bootstrapladeprogrammen, Betriebssystemkernels und Treibern
  • Sicheres Schützen von Schlüsseln, Zertifikaten und Geheimnissen auf den VMs
  • Gewinnen von Einblicken und Vertrauen in die Integrität der gesamten Startkette.
  • Sicherstellen der Vertrauenswürdigkeit und Überprüfbarkeit von Workloads

Größen virtueller Computer

Typ Unterstützte Größenfamilien Derzeit nicht unterstützte Größenfamilien Nicht unterstützte Größenfamilien
Allgemeiner Zweck B-Familie, D-Familie Dpsv5-Serie, Dpdsv5-Serie, Dplsv5-Serie, Dpldsv5-Serie A-Familie, Dv2-Serie, Dv3-Serie, DC-Confidential-Familie
Computeoptimiert F-Familie, Fx-Familie Alle Größen werden unterstützt.
Arbeitsspeicheroptimiert E-Familie, Eb-Familie M-Familie EC-Confidential-Familie
Speicheroptimiert L-Familie Alle Größen werden unterstützt.
GPU NC-Familie, ND-Familie, NV-Familie NDasrA100_v4-Serie, NDm_A100_v4-Serie NC-Serie, NV-Serie, NP-Serie
Hochleistungscompute HBv2-Serie, HBv3-Serie, HBv4-Serie, HC-Serie, HX-Serie Alle Größen werden unterstützt.

Hinweis

  • Für die Installation der CUDA- und GRID-Treiber für Windows-VMs mit aktiviertem sicherem Start sind keine weiteren Schritte erforderlich.
  • Die Installation des CUDA-Treibers auf Ubuntu-VMs mit aktiviertem sicheren Start erfordert zusätzliche Schritte. Weitere Informationen finden Sie unter Installieren von NVIDIA GPU-Treibern für VMs der N-Serie unter Linux. Der sichere Start sollte für die Installation von CUDA-Treibern auf anderen Linux-VMs deaktiviert werden.
  • Für die Installation des GRID-Treibers muss der sichere Start für Linux-VMs deaktiviert werden.
  • Nicht unterstützte Größenfamilien unterstützen keine VMs der 2. Generation. Ändern Sie die VM-Größe in entsprechende unterstützte Größenfamilien, um den vertrauenswürdigen Start zu aktivieren.

Unterstützte Betriebssysteme

Betriebssystem Version
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8-LVM, 9.0, 9.1-LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS
Windows 10 Pro, Enterprise, Enterprise (Mehrere Sitzungen) *
Windows 11 Pro, Enterprise, Enterprise (Mehrere Sitzungen) *
Windows Server 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition *

* Variationen dieses Betriebssystems werden unterstützt.

Weitere Informationen

Regionen:

  • Alle öffentlichen Regionen
  • Alle Azure Government-Regionen
  • Alle Azure China-Regionen

Preise: Der vertrauenswürdige Start erhöht die Kosten für vorhandene VMs nicht.

Nicht unterstützte Funktionen

Derzeit werden die folgenden VM-Features nicht mit dem vertrauenswürdigen Start unterstützt:

Sicherer Start

Das Fundament des vertrauenswürdigen Starts bildet „Sicherer Start“ für Ihre VM. Der sichere Start ist in der Plattformfirmware implementiert und schützt vor der Installation von schadsoftwarebasierten Rootkits und Bootkits. Der sichere Start bewirkt, dass nur signierte Betriebssysteme und Treiber gestartet werden können. Damit wird ein Vertrauensanker für den Softwarestapel der VM erstellt.

Bei aktiviertem sicherem Start müssen alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert sein. Der sichere Start wird unter Windows sowie ausgewählten Linux-Distributionen unterstützt. Wenn der sichere Start nicht authentifiziert, dass das Image mit einem vertrauenswürdigen Herausgeber signiert ist, kann der virtuelle Computer nicht gestartet werden. Weitere Informationen finden Sie unter Sicherer Start.

vTPM

Der vertrauenswürdige Start führt auch das virtuelle Trusted Platform Module (vTPM) für Azure-VMs ein. Diese virtualisierte Hardwareversion des Trusted Platform Module ist mit den TPM 2.0-Spezifikationen konform. Sie dient als dedizierter sicherer Tresor für Schlüssel und Messungen.

Der vertrauenswürdige Start bietet für die VM eine eigene dedizierte TPM-Instanz, die in einer sicheren Umgebung außerhalb der Reichweite von VMs ausgeführt wird. vTPM ermöglicht den Nachweis durch Messung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber).

Beim vertrauenswürdigen Start wird vTPM verwendet, um einen Remotenachweis über die Cloud durchzuführen. Nachweise ermöglichen Plattformintegritätsprüfungen und werden für vertrauensbasierte Entscheidungsprozesse verwendet. Als Integritätsprüfung kann beim vertrauenswürdigen Start kryptografisch zertifiziert werden, dass die VM ordnungsgemäß gestartet wurde.

Wenn bei diesem Prozess Fehler auftreten (beispielsweise, weil auf der VM eine nicht autorisierte Komponente ausgeführt wird), werden in Microsoft Defender for Cloud Integritätswarnungen ausgegeben. Die Warnungen enthalten Details zu den Komponenten, bei denen die Integritätsprüfungen nicht erfolgreich durchgeführt wurden.

Virtualisierungsbasierte Sicherheit

Für die virtualisierungsbasierte Sicherheit (VBS) wird mit Hypervisor ein sicherer und isolierter Speicherbereich erstellt. Unter Windows werden in diesen Bereichen verschiedene Sicherheitslösungen mit erhöhtem Schutz vor Sicherheitsrisiken und schädlichen Exploits ausgeführt. Mit dem vertrauenswürdigen Start können Sie Hypervisor Code Integrity (HVCI) und Windows Defender Credential Guard aktivieren.

HVCI bietet eine leistungsstarke Risikominderung für das System und schützt Windows-Kernelmodusprozesse vor der Einschleusung und Ausführung von schädlichem oder nicht überprüftem Code. Kernelmodustreiber und -binärdateien werden vor der Ausführung überprüft, sodass nicht signierte Dateien nicht in den Speicher geladen werden können. Überprüfungen stellen sicher, dass ausführbarer Code nicht verändert werden kann, nachdem HVCI das Laden erlaubt hat. Weitere Informationen zu VBS und HVCI finden Sie unter Virtualisierungsbasierte Sicherheit und Hypervisor Enforced Code Integrity.

Mit dem vertrauenswürdigen Start und VBS können Sie Windows Defender Credential Guard aktivieren. Credential Guard isoliert und schützt Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Dadurch können der nicht autorisierte Zugriff auf Geheimnisse und Diebstahl von Anmeldeinformationen verhindert werden, z. B. PtH-Angriffe (Pass-the-Hash). Weitere Informationen finden Sie unter Credential Guard.

Integration bei Microsoft Defender für Cloud

Der vertrauenswürdige Start ist mit Defender for Cloud integriert, damit Ihre virtuellen Computer ordnungsgemäß konfiguriert sind. In Defender for Cloud werden kompatible VMs kontinuierlich bewertet und relevante Empfehlungen ausgegeben:

  • Empfehlung zum Aktivieren des sicheren Starts: Die Empfehlung für den sicheren Start gilt nur für VMs, die den vertrauenswürdigen Start unterstützen. Defender für Cloud identifiziert VMs, die den sicheren Start deaktiviert haben. Es wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.

  • Empfehlung zum Aktivieren von vTPM: Wenn vTPM für vm aktiviert ist, kann Defender für Cloud es verwenden, um einen Gastnachweis durchzuführen und erweiterte Bedrohungsmuster zu identifizieren. Wenn Defender für Cloud VMs identifiziert, die den vertrauenswürdigen Start mit deaktiviertem vTPM unterstützen, gibt es eine Empfehlung mit geringem Schweregrad, um es zu aktivieren.

  • Empfehlung zum Installieren der Gastnachweiserweiterung: Wenn auf Ihrer VM sicherer Start und vTPM aktiviert sind, die Gastnachweiserweiterung aber nicht installiert ist, gibt Defender for Cloud eine Empfehlung mit niedrigem Schweregrad für die Installation der Gastnachweiserweiterung aus. Mit dieser Erweiterung kann Defender for Cloud die Startintegrität Ihrer virtuellen Computer proaktiv nachweisen und überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis.

  • Nachweisintegritätsbewertung oder Startintegritätsüberwachung: Wenn auf Ihrem virtuellen Computer Secure Boot und vTPM aktiviert und die Nachweiserweiterung installiert sind, kann Defender for Cloud remote überprüfen, ob Ihr virtueller Computer fehlerfrei gestartet wurde. Diese Vorgehensweise wird als Startintegritätsüberwachung bezeichnet. Defender for Cloud gibt eine Bewertung aus, die den Status des Remotenachweises angibt.

    Wenn Ihre virtuellen Computer ordnungsgemäß mit vertrauenswürdigem Start eingerichtet sind, kann Defender for Cloud Integritätsprobleme eines virtuellen Computers erkennen und entsprechende Warnungen ausgeben.

  • Warnung bei VM-Nachweisfehlern: Defender for Cloud führt in regelmäßigen Abständen Nachweise für Ihre VMs durch. Der Nachweis erfolgt auch nach dem Starten der VM. Wenn beim Nachweis ein Fehler auftritt, wird eine Warnung mit mittlerem Schweregrad ausgelöst. Beim VM-Nachweis können aus folgenden Gründen Fehler auftreten:

    • Die nachgewiesenen Informationen, einschließlich eines Startprotokolls, weichen von einer vertrauenswürdigen Baseline ab. Jede Abweichung kann darauf hinweisen, dass nicht vertrauenswürdige Module geladen werden, und das Betriebssystem könnte kompromittiert werden.

    • Es konnte nicht überprüft werden, ob das Nachweisangebot von der vTPM-Instanz der VM stammt, für die der Nachweis erstellt wurde. Ein nicht überprüfter Ursprung kann darauf hindeuten, dass Schadsoftware vorhanden ist und den Datenverkehr an das vTPM abfangen könnte.

      Hinweis

      Warnungen sind für VMs mit aktivierter vTPM-Instanz und installierter Nachweiserweiterung verfügbar. Der sichere Start muss aktiviert sein, damit der Nachweisvorgang erfolgreich durchgeführt wird. Beim Nachweis treten Fehler auf, wenn der sichere Start deaktiviert ist. Wenn Sie den sicheren Start deaktivieren möchten, können Sie diese Warnung unterdrücken, um False Positives zu vermeiden.

  • Warnung bei nicht vertrauenswürdigem Linux-Kernelmodul: Beim vertrauenswürdigen Start mit aktiviertem sicherem Start ist es möglich, dass eine VM gestartet wird, obwohl bei der Überprüfung eines Kerneltreibers ein Fehler auftritt und das Laden nicht zulässig ist. Wenn fehler bei der Kerneltreiberüberprüfung auftreten, gibt Defender für Cloud Warnungen mit geringem Schweregrad aus. Es liegt zwar keine unmittelbare Bedrohung vor, weil der nicht vertrauenswürdige Treiber nicht geladen wurde, dennoch sollten diese Ereignisse untersucht werden. Fragen Sie sich selbst:

    • Bei welchem Kerneltreiber sind Fehler aufgetreten? Bin ich mit dem ausgefallenen Kerneltreiber vertraut und erwarte ich, dass er geladen wird?
    • Entspricht die genaue Version des Treibers der erwarteten Version? Sind die Binärdateien des Treibers intakt? Wenn ein fehlerhafter Treiber ein Partnertreiber ist, hat der Partner die Betriebssystem-Kompatibilitätstests bestanden, um ihn signieren zu lassen?

(Vorschau) Vertrauenswürdiger Start als Standard

Wichtig

Der Standard „Vertrauenswürdiger Start“ befindet sich derzeit in der Vorschau. Diese Vorschau ist nur für Test-, Auswertungs- und Feedbackzwecke vorgesehen. Sie sollten es nicht für Produktionsworkloads verwenden. Bei der Registrierung bei der Vorschau stimmen Sie den ergänzenden Nutzungsbedingungen zu. Einige Aspekte dieses Features können sich mit der allgemeinen Verfügbarkeit (GA) ändern.

Vertrauenswürdige Start als Standard (Trusted Launch as Default, TLaD) ist in der Vorschau für neue virtuelle Gen2-Computer (VMs) und Virtual Machine Scale Sets (Skalierungsgruppen) verfügbar.

TLaD in der REST-API ist eine schnelle und berührungslose Methode zur Verbesserung des Sicherheitsstatus für neue Bereitstellungen von Gen2-basierten Azure-VMs und Virtual Machine Scale Sets. Mit Trusted Launch als Voreinstellung werden alle neuen Gen2-VMs oder Skalierungssätze, die über clientbasierte Tools (z. B. ARM-Vorlage, Bicep) erstellt werden, automatisch als Trusted Launch VMs mit aktiviertem sicheren Start und vTPM festgelegt.

Mit der öffentlichen Vorschauversion können Sie diese Änderungen in Ihrer jeweiligen Umgebung für alle neuen virtuellen Azure Gen2-Computer, Skalierungssätze und Vorbereitungen für diese bevorstehende Änderung überprüfen.

Hinweis

Alle neuen Gen2-VMs, Skalierungsgruppen und Bereitstellungen, die ein beliebiges Client-Tool (ARM-Vorlage, Bicep, Terraform usw.) verwenden, werden standardmäßig nach dem Onboarding in der Vorschau vertrauenswürdig gestartet. Diese Änderung überschreibt keine Eingaben, die als Teil des Bereitstellungscodes bereitgestellt werden.

TLaD-Vorschau aktivieren

Registrieren Sie die Previewfunktion TrustedLaunchByDefaultPreview unter dem Namespace Microsoft.Compute im VM-Abonnement. Weitere Informationen finden Sie unter Einrichten von Vorschaufeatures im Azure-Abonnement

Um eine neue Gen2-VM oder einen Skalierungssatz mit dem Standard-Trusted-Launch zu erstellen, führen Sie Ihr vorhandenes Bereitstellungsskript unverändert über das Azure SDK, Terraform oder eine andere Methode aus, die nicht das Azure-Portal, CLI oder PowerShell umfasst. Die neue VM oder Skalierungsgruppe, die im registrierten Abonnement erstellt wurde, führt zu einer VM oder einer VM-Skalierungsgruppe mit vertrauenswürdigem Start.

Bereitstellungen von VMs und Skalierungsgruppen mit TLaD-Vorschau

Vorhandenes Verhalten

Um VMs und Skalierungsgruppen mit vertrauenswürdigem Start zu erstellen, müssen Sie das folgende securityProfile-Element in die Bereitstellung aufnehmen:

"securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
        "secureBootEnabled": true,
        "vTpmEnabled": true,
    }
}

Wenn das SecurityProfile-Element im Bereitstellungscode nicht vorhanden ist, wird vm & scale set bereitgestellt, ohne den vertrauenswürdigen Start zu aktivieren.

Beispiele

Neues Verhalten

Wenn Sie die API-Version 2021-11-01 oder höher verwenden UND in die Vorschau einsteigen, ermöglicht das Fehlen des Elements securityProfile in der Bereitstellung standardmäßig den vertrauenswürdigen Start für neu bereitgestellte VMs und Skalierungsgruppen, wenn die folgenden Bedingungen erfüllt sind:

Die Bereitstellung wird nicht standardmäßig auf den vertrauenswürdigen Start umgestellt, wenn eine oder mehrere der aufgeführten Bedingungen nicht erfüllt sind und die Erstellung einer neuen Gen2 VM & Skalierungsgruppe ohne vertrauenswürdigen Start erfolgreich abgeschlossen wurde.

Sie können die Standardeinstellung für die Bereitstellung von VMs & Skalierungsgruppen explizit umgehen, indem Sie Standard als Wert des Parameters securityType festlegen. Weitere Informationen finden Sie unter "Kann ich den vertrauenswürdigen Start für eine neue VM-Bereitstellung deaktivieren".

Bekannte Einschränkungen

Es ist nicht möglich, die Standardeinstellung für den vertrauenswürdigen Start zu umgehen und eine Gen2-VM (nicht vertrauenswürdiger Start) über das Azure-Portal zu erstellen, nachdem Sie sich für die Vorschau registriert haben.

Nachdem Sie das Abonnement für die Vorschau registriert haben, stellt das Festlegen des Sicherheitstyps Standard im Azure-Portal den virtuellen Computer oder den Skalierungssatz Trusted launchbereit. Diese Einschränkung wird vor der allgemeinen Standardverfügbarkeit des vertrauenswürdigen Starts behoben.

Um diese Einschränkung zu verringern, können Sie die Registrierung des Vorschaufeatures aufheben , indem Sie die Featurekennzeichnung TrustedLaunchByDefaultPreview unter Microsoft.Compute dem Namespace für ein bestimmtes Abonnement entfernen.

Screenshot der Dropdownliste

Es ist nicht möglich, die Größe einer VM oder VM-Skalierungsgruppe nach der Standardeinstellung für den vertrauenswürdigen Start auf eine nicht unterstützte VM-Größenfamilie für den vertrauenswürdigen Start (z. B. M-Series) zu ändern.

Das Ändern der Größe von Trusted Launch VMs auf eine nicht mit Trusted Launch unterstützte VM-Größenfamilie wird nicht unterstützt.

Als Gegenmaßnahme registrieren Sie das Feature-Flag UseStandardSecurityType im Namespace Microsoft.Compute UND führen Sie einen Rollback der VM vom vertrauenswürdigen Start auf Gen2 (nicht-vertrauenswürdiger Start) durch, indem Sie securityType = Standard mit den verfügbaren Clienttools (außer dem Azure-Portal) festlegen.

Feedback zur TLaD-Vorschau

Wenden Sie sich an uns mit Feedback, Abfragen oder Bedenken bezüglich dieser bevorstehenden Änderung unter Umfrage und Feedback zur Vorschau des Standards „Vertrauenswürdiger Start“.

TLaD-Vorschau deaktivieren

Um die TLaD-Vorschau zu deaktivieren, heben Sie die Registrierung der Previewfunktion TrustedLaunchByDefaultPreview unter dem Namespace Microsoft.Compute im VM-Abonnement auf. Weitere Informationen finden Sie unter "Vorschaufeature aufheben"

Bereitstellen einer VM mit vertrauenswürdigem Start