Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-VMs

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ VMs der 2. Generation

Azure Virtual Machines unterstützt die Aktivierung des vertrauenswürdigen Starts für vorhandene Azure-VMs der 2. Generation durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.

Das Feature Vertrauenswürdiger Start bietet die Möglichkeit, grundlegende Computesicherheit für Azure-VMs der 2. Generation zu aktivieren. Der vertrauenswürdige Start schützt Ihre VMs vor komplexen und dauerhaften Angriffstechniken wie Bootkits und Rootkits, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Überwachung der Startintegrität für Ihre VM kombiniert werden.

Wichtig

• Wenn diese Option für die Generation 2 VM aktiviert ist, sollte die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln (SSE-CMK) deaktiviert werden, bevor Sie das Upgrade des vertrauenswürdigen Starts ausführen. Die SSE-CMK-Verschlüsselung sollte nach Abschluss des vertrauenswürdigen Startupgrades erneut aktiviert werden.
• Die Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 befindet sich derzeit in der privaten Vorschau. Sie können über den Registrierungslink https://aka.ms/Gen1ToTLUpgrade Zugriff auf die Vorschau erhalten.
• Das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMSS-Skalierungssätzen (Virtual Machine Scale Sets, VMSS) Uniform & Flex wird derzeit nicht unterstützt.

Voraussetzungen

• Azure-VMs der 2. Generation werden mit folgenden Eigenschaften konfiguriert:
  • VM-Familie mit Unterstützung für den vertrauenswürdigen Start
  • Betriebssystemimage mit Unterstützung für den vertrauenswürdigen Start Bei benutzerdefinierten Betriebssystemimages oder -datenträgern sollte das Basisimage für den vertrauenswürdigen Start geeignet sein.
• Azure-VMs der 2. Generation verwenden Features, die derzeit nicht mit dem vertrauenswürdigen Start unterstützt werden.
• Bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren, sollten Sie die Azure-VMs der 2. Generation beenden und ihre Zuordnung aufheben.
• Sofern Azure Backup für die VM(s) aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp „Vertrauenswürdiger Start“ kann nicht für VMs der 2. Generation aktiviert werden, die mit dem Sicherungsschutz Standardrichtlinie konfiguriert sind.
  • Die vorhandene Azure VM-Sicherung kann mithilfe der privaten Vorschaumigrationsfunktion von der Richtlinie Standard zu Erweitert migriert werden. Senden Sie eine On-Boarding-Anfrage an die Vorschau mithilfe des Links https://aka.ms/formBackupPolicyMigration.

Bewährte Methoden

• Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
• Erstellen Sie einen Wiederherstellungspunkt für Azure-VMs der 2. Generation, die Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.

Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM

Hinweis

• Nach Aktivierung des vertrauenswürdigen Starts kann die VM derzeit nicht mehr auf den Sicherheitstyp Standard (Konfiguration für den nicht vertrauenswürdigen Start) zurückgesetzt werden.
• vTPM ist standardmäßig aktiviert.
• Es wird empfohlen, Sicherer Start zu aktivieren (standardmäßig nicht aktiviert), wenn Sie keinen eigenen unsignierten Kernel oder Treiber verwenden. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.

Portal

In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung des Azure-Portals ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.

1. Anmeldung beim Azure-Portal
2. Vergewissern Sie sich, dass die VM-Generation V2 lautet, und beenden Sie die VM.

3. Wählen Sie auf der Seite Übersicht in den Eigenschaften der VM unter Sicherheitstyp die Option Standard aus. Dadurch wird die Seite Konfiguration für den virtuellen Computer aufgerufen.

4. Wählen Sie auf der Seite Konfiguration im Abschnitt Sicherheitstyp das Dropdownmenü Sicherheitstyp aus.

5. Wählen Sie Vertrauenswürdiger Start in der Dropdownliste aus, und aktivieren Sie Kontrollkästchen, um Sicherer Start und vTPM zu aktivieren. Klicken Sie auf Speichern, nachdem Sie die erforderlichen Änderungen vorgenommen haben.

Hinweis

• VMs der 2. Generation, die mit Azure Compute Gallery (ACG), einem verwalteten Image oder Betriebssystemdatenträger erstellt wurden, können nicht über das Portal auf den vertrauenswürdigen Start aktualisiert werden. Stellen Sie sicher, dass die Betriebssystemversion für den vertrauenswürdigen Start unterstützt wird, und verwenden Sie PowerShell, die CLI oder eine ARM-Vorlage, um das Upgrade auszuführen.

6. Schließen Sie die Seite Konfiguration, nachdem das Update erfolgreich abgeschlossen wurde, und überprüfen Sie den Sicherheitstyp in den VM-Eigenschaften auf der Seite Übersicht.

7. Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und vergewissern Sie sich, dass sie erfolgreich gestartet wurde. Überprüfen Sie, ob Sie sich bei der VM entweder per RDP (für eine Windows-VM) oder über SSH (für eine Linux-VM) anmelden können.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung der Azure CLI ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.

Achten Sie darauf, dass Sie die aktuelle Version der Azure CLI installiert haben und mit az login bei einem Azure-Konto angemeldet sind.

1. Melden Sie sich bei Ihrem Azure-Abonnement an.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Heben Sie die Zuordnung für die VM auf.

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf TrustedLaunch festlegen.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Überprüfen Sie die Ausgabe des vorherigen Befehls. Die securityProfile-Konfiguration wird mit der Befehlsausgabe zurückgegeben.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Starten Sie die VM.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und vergewissern Sie sich, dass sie erfolgreich gestartet wurde. Überprüfen Sie, ob Sie sich bei der VM entweder per RDP (für eine Windows-VM) oder über SSH (für eine Linux-VM) anmelden können.

PowerShell

In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung von Azure PowerShell ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.

Stellen Sie sicher, dass Sie die aktuelle Version von Azure PowerShell installiert haben und mit einem Connect-AzAccount bei einem Azure-Konto angemeldet sind.

1. Melden Sie sich bei Ihrem Azure-Abonnement an.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Heben Sie die Zuordnung für die VM auf.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf TrustedLaunch festlegen.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. Überprüfen Sie securityProfile in der aktualisierten VM-Konfiguration.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Starten Sie die VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und vergewissern Sie sich, dass sie erfolgreich gestartet wurde. Überprüfen Sie, ob Sie sich bei der VM entweder per RDP (für eine Windows-VM) oder über SSH (für eine Linux-VM) anmelden können.

Vorlage

In diesem Abschnitt wird beschrieben, welche Schritte Sie bei Verwendung einer ARM-Vorlage ausführen müssen, um den vertrauenswürdigen Start für eine vorhandene Azure-VM der 2. Generation zu aktivieren.

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.

1. Überprüfen Sie die Vorlage.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Bearbeiten Sie die JSON-Parameterdatei mit VMs, die mit dem Sicherheitstyp TrustedLaunch aktualisiert werden sollen.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definition der Parameterdatei

Eigenschaft	Beschreibung der Eigenschaft	Beispiel für Vorlagenwert
vmName	Name der Azure-VM der 2. Generation	„myVM“
Speicherort	Standort der Azure-VM der 2. Generation	„westus3“
secureBootEnabled	Aktivieren des sicheren Starts mit dem Sicherheitstyp „Vertrauenswürdiger Start“	true

3. Heben Sie die Zuordnung aller Azure-VMs der 2. Generation auf, die aktualisiert werden sollen.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Führen Sie die ARM-Vorlagenbereitstellung aus.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Vergewissern Sie sich, dass die Bereitstellung erfolgreich war. Überprüfen Sie mithilfe des Azure-Portals den Sicherheitstyp und die UEFI-Einstellungen der VM. Überprüfen Sie auf der Seite „Übersicht“ den Abschnitt „Sicherheitstyp“.

6. Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und vergewissern Sie sich, dass sie erfolgreich gestartet wurde. Überprüfen Sie, ob Sie sich bei der VM entweder per RDP (für eine Windows-VM) oder über SSH (für eine Linux-VM) anmelden können.

Nächste Schritte

(Empfohlen) Aktivieren Sie nach einem Upgrade die Überwachung der Startintegrität, um die Integrität der VM mit Microsoft Defender for Cloud zu überwachen.

Erfahren Sie mehr über den vertrauenswürdigen Start, und lesen Sie die häufig gestellten Fragen.