Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-VMs
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ VMs der 2. Generation
Azure Virtual Machines unterstützt die Aktivierung des vertrauenswürdigen Starts für vorhandene Azure-VMs der 2. Generation durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.
Das Feature Vertrauenswürdiger Start bietet die Möglichkeit, grundlegende Computesicherheit für Azure-VMs der 2. Generation zu aktivieren. Der vertrauenswürdige Start schützt Ihre VMs vor komplexen und dauerhaften Angriffstechniken wie Bootkits und Rootkits, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Überwachung der Startintegrität für Ihre VM kombiniert werden.
Wichtig
- Wenn diese Option für die Generation 2 VM aktiviert ist, sollte die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln (SSE-CMK) deaktiviert werden, bevor Sie das Upgrade des vertrauenswürdigen Starts ausführen. Die SSE-CMK-Verschlüsselung sollte nach Abschluss des vertrauenswürdigen Startupgrades erneut aktiviert werden.
- Die Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 befindet sich derzeit in der privaten Vorschau. Sie können über den Registrierungslink https://aka.ms/Gen1ToTLUpgrade Zugriff auf die Vorschau erhalten.
- Das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMSS-Skalierungssätzen (Virtual Machine Scale Sets, VMSS) Uniform & Flex wird derzeit nicht unterstützt.
Voraussetzungen
- Azure-VMs der 2. Generation werden mit folgenden Eigenschaften konfiguriert:
- VM-Familie mit Unterstützung für den vertrauenswürdigen Start
- Betriebssystemimage mit Unterstützung für den vertrauenswürdigen Start Bei benutzerdefinierten Betriebssystemimages oder -datenträgern sollte das Basisimage für den vertrauenswürdigen Start geeignet sein.
- Azure-VMs der 2. Generation verwenden Features, die derzeit nicht mit dem vertrauenswürdigen Start unterstützt werden.
- Bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren, sollten Sie die Azure-VMs der 2. Generation beenden und ihre Zuordnung aufheben.
- Sofern Azure Backup für die VM(s) aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp „Vertrauenswürdiger Start“ kann nicht für VMs der 2. Generation aktiviert werden, die mit dem Sicherungsschutz Standardrichtlinie konfiguriert sind.
- Die vorhandene Azure VM-Sicherung kann mithilfe der privaten Vorschaumigrationsfunktion von der Richtlinie Standard zu Erweitert migriert werden. Senden Sie eine On-Boarding-Anfrage an die Vorschau mithilfe des Links https://aka.ms/formBackupPolicyMigration.
Bewährte Methoden
- Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
- Erstellen Sie einen Wiederherstellungspunkt für Azure-VMs der 2. Generation, die Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.
Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM
Hinweis
- Nach Aktivierung des vertrauenswürdigen Starts kann die VM derzeit nicht mehr auf den Sicherheitstyp Standard (Konfiguration für den nicht vertrauenswürdigen Start) zurückgesetzt werden.
- vTPM ist standardmäßig aktiviert.
- Es wird empfohlen, Sicherer Start zu aktivieren (standardmäßig nicht aktiviert), wenn Sie keinen eigenen unsignierten Kernel oder Treiber verwenden. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.
In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung des Azure-Portals ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.
- Anmeldung beim Azure-Portal
- Vergewissern Sie sich, dass die VM-Generation V2 lautet, und beenden Sie die VM.
- Wählen Sie auf der Seite Übersicht in den Eigenschaften der VM unter Sicherheitstyp die Option Standard aus. Dadurch wird die Seite Konfiguration für den virtuellen Computer aufgerufen.
- Wählen Sie auf der Seite Konfiguration im Abschnitt Sicherheitstyp das Dropdownmenü Sicherheitstyp aus.
- Wählen Sie Vertrauenswürdiger Start in der Dropdownliste aus, und aktivieren Sie Kontrollkästchen, um Sicherer Start und vTPM zu aktivieren. Klicken Sie auf Speichern, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
Hinweis
- VMs der 2. Generation, die mit Azure Compute Gallery (ACG), einem verwalteten Image oder Betriebssystemdatenträger erstellt wurden, können nicht über das Portal auf den vertrauenswürdigen Start aktualisiert werden. Stellen Sie sicher, dass die Betriebssystemversion für den vertrauenswürdigen Start unterstützt wird, und verwenden Sie PowerShell, die CLI oder eine ARM-Vorlage, um das Upgrade auszuführen.
- Schließen Sie die Seite Konfiguration, nachdem das Update erfolgreich abgeschlossen wurde, und überprüfen Sie den Sicherheitstyp in den VM-Eigenschaften auf der Seite Übersicht.
- Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und vergewissern Sie sich, dass sie erfolgreich gestartet wurde. Überprüfen Sie, ob Sie sich bei der VM entweder per RDP (für eine Windows-VM) oder über SSH (für eine Linux-VM) anmelden können.
Nächste Schritte
(Empfohlen) Aktivieren Sie nach einem Upgrade die Überwachung der Startintegrität, um die Integrität der VM mit Microsoft Defender for Cloud zu überwachen.
Erfahren Sie mehr über den vertrauenswürdigen Start, und lesen Sie die häufig gestellten Fragen.