Der Vertrauenswürdige Start ist eine Möglichkeit, die grundlegende Computesicherheit auf Azure-VMs der 2. Generation zu aktivieren, und schützt vor erweiterten und persistenten Angriffstechniken wie Boot Kits und Rootkits. Dies geschieht durch die Kombination von Infrastrukturtechnologien wie sicherer Start, vTPM (virtual Trusted Platform Module) und Überwachung der Startintegrität in Ihrer VM.
Wichtig
Die Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 befindet sich derzeit in der privaten Vorschau. Sie können über das Registrierungsformular Zugriff auf die Vorschau erhalten.
Voraussetzungen
Azure-VMs der 2. Generation werden konfiguriert mit:
Bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren, sollten Sie die Azure-VMs der 2. Generation beenden und ihre Zuordnung aufheben.
Sofern Azure Backup für die VMs aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp „Vertrauenswürdiger Start“ kann nicht für VMs der 2. Generation aktiviert werden, die mit dem Sicherungsschutz Standardrichtlinie konfiguriert sind.
Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
Erstellen Sie einen Wiederherstellungspunkt für Azure-VMs der 2. Generation, die Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.
Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM
Hinweis
Nachdem Sie den vertrauenswürdigen Start aktiviert haben, können derzeit keine virtuellen Computer auf den Standardsicherheitstyp zurückgesetzt werden (nicht vertrauenswürdige Startkonfiguration).
vTPM ist standardmäßig aktiviert.
Es wird empfohlen, den sicheren Start zu aktivieren, wenn Sie keinen benutzerdefinierten nicht signierten Kernel oder Treiber verwenden. Er ist nicht standardmäßig aktiviert. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.
Vergewissern Sie sich, dass die VM-Generation V2 ist, und wählen Sie Beenden für die VM aus.
Wählen Sie auf der Seite Übersicht der VM-Eigenschaften unter SicherheitstypStandard aus. Die Konfigurationsseite für die VM wird geöffnet.
Wählen Sie auf der Seite Konfiguration unter dem Abschnitt Sicherheitstyp die Dropdownliste Sicherheitstyp aus.
Wählen Sie unter der Dropdownliste Vertrauenswürdigen Start aus. Aktivieren Sie Kontrollkästchen, um Sicheren Start und vTPM zu aktivieren. Nachdem Sie die Änderungen vorgenommen haben, wählen Sie Speichern aus.
Schließen Sie nach erfolgreichem Abschluss des Updates die Seite Konfiguration. Bestätigen Sie auf der Seite Übersicht der VM-Eigenschaften die Einstellung Sicherheitstyp.
Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich bei der VM anmelden können, indem Sie entweder das Remotedesktopprotokoll (RDP) für Windows-VMs oder das Secure Shell-Protokoll (SSH) für Linux-VMs verwenden.
Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe der Azure CLI zu aktivieren.
Stellen Sie sicher, dass Sie die neueste Azure CLI installieren und bei einem Azure-Konto mit az login angemeldet sind.
Melden Sie sich beim VM Azure-Abonnement an.
az login
az account set --subscription 00000000-0000-0000-0000-000000000000
Heben Sie die Zuordnung der VM auf.
az vm deallocate \
--resource-group myResourceGroup --name myVm
Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf TrustedLaunch festlegen.
az vm update \
--resource-group myResourceGroup --name myVm \
--security-type TrustedLaunch \
--enable-secure-boot true --enable-vtpm true
Überprüfen Sie die Ausgabe des vorherigen Befehls. Stellen Sie sicher, dass die securityProfile-Konfiguration mit der Befehlsausgabe zurückgegeben wird.
az vm start \
--resource-group myResourceGroup --name myVm
Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.
Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe von Azure PowerShell zu aktivieren.
Stellen Sie sicher, dass Sie die neueste Version von Azure PowerShell installieren und mit Connect-AzAccount bei einem Azure-Konto angemeldet sind.
Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.
Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe einer ARM-Vorlage zu aktivieren.
Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.
Überprüfen Sie die Vorlage.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmsToUpgrade": {
"type": "object",
"metadata": {
"description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
}
},
"vTpmEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether vTPM should be enabled on the virtual machine."
}
}
},
"resources": [
{
"type": "Microsoft.Compute/virtualMachines",
"apiVersion": "2022-11-01",
"name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
"location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
"properties": {
"securityProfile": {
"uefiSettings": {
"secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
"vTpmEnabled": "[parameters('vTpmEnabled')]"
},
"securityType": "TrustedLaunch"
}
},
"copy": {
"name": "vmCopy",
"count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
}
}
]
}
Bearbeiten Sie die JSON-Datei parameters mit virtuellen Computern, um mit dem TrustedLaunch-Sicherheitstyp aktualisiert zu werden.
Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.
Azure Advisor-Empfehlung
Azure Advisor füllt die operative Exzellenzempfehlung Vertrauenswürdiger Start, grundlegende Exzellenz und moderne Sicherheit für vorhandene VM(s) der 2. Generation für vorhandene VMs der 2. Generation 2 aus, damit sie Vertrauenswürdigen Start aktivieren; einen höheren Sicherheitsstatus für Azure-VMs ohne zusätzliche Kosten für Sie. Stellen Sie sicher, dass die VM der 2. Generation alle Voraussetzungen für die Migration zum vertrauenswürdigen Start hat, befolgen Sie alle bewährten Methoden, einschließlich der Überprüfung des Betriebssystemimages, der VM-Größe und des Erstellens von Wiederherstellungspunkten. Führen Sie die Schritte aus, die im Aktivieren des vertrauenswürdigen Starts auf einer vorhandenen VM beschrieben sind, um den Sicherheitstyp der virtuellen Computer zu aktualisieren und den vertrauenswürdigen Start zu aktivieren.
Was geschieht, wenn VMs der 2. Generation vorhanden sind, die nicht den Voraussetzungen für den vertrauenswürdigen Start entsprechen?
Für einen virtuellen Computer der 2. Generation, der die Voraussetzungen für das Upgrade auf den vertrauenswürdigen Start nicht erfüllt hat, schauen Sie sich an, wie die Voraussetzungen erfüllt werden können. Wenn z. B. die Größe eines virtuellen Computers nicht unterstützt wird, suchen Sie nach einer entsprechenden unterstützten Größe für den vertrauenswürdigen Start, die den vertrauenswürdigen Start unterstützt.
Hinweis
Schließen Sie die Empfehlung, wenn der virtuelle Gen2-Computer mit VM-Größenfamilien konfiguriert ist, die derzeit nicht mit dem vertrauenswürdigen Start wie der MSv2-Serie unterstützt werden.