Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-VMs
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ VMs der 2. Generation
Azure Virtual Machines (VM) unterstützt die Aktivierung des vertrauenswürdigen Starts für vorhandene Azure-VMs der 2. Generation durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.
Der vertrauenswürdige Start ist eine Möglichkeit, die grundlegende Computesicherheit auf Azure-VMs der 2. Generation zu aktivieren, und schützt vor erweiterten und persistenten Angriffstechniken wie Boot Kits und Rootkits. Dies geschieht durch die Kombination von Infrastrukturtechnologien wie sicherer Start, vTPM und Überwachung der Startintegrität in Ihrer VM.
Wichtig
- Die Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 befindet sich derzeit in der privaten Vorschau. Sie können über den Registrierungslink https://aka.ms/Gen1ToTLUpgrade Zugriff auf die Vorschau erhalten.
Voraussetzungen
- Azure-VMs der 2. Generation werden konfiguriert mit:
- VM-Familie mit Unterstützung für den vertrauenswürdigen Start
- Betriebssystemimage mit Unterstützung für den vertrauenswürdigen Start Bei benutzerdefinierten Betriebssystemimages oder -datenträgern sollte das Basisimage für den vertrauenswürdigen Start geeignet sein.
- Eine Azure-VM der 2. Generation verwendet keine Features, die derzeit nicht mit dem vertrauenswürdigen Start unterstützt werden.
- Bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren, sollten Sie die Azure-VM der 2. Generation beenden und ihre Zuordnung aufheben.
- Sofern Azure Backup für die VM aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp „Vertrauenswürdiger Start“ kann nicht für eine VM der 2. Generation aktiviert werden, die mit dem Sicherungsschutz Standardrichtlinie konfiguriert sind.
- Vorhandene Azure-VM-Sicherungen können von der Richtlinie Standard zu Erweitert migriert werden. Weitere Informationen finden Sie unter Migrieren von Azure-VM-Sicherungen von der Richtlinie „Standard“ zu „Erweitert“ (Vorschau).
Bewährte Methoden
- Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
- Erstellen Sie einen Wiederherstellungspunkt für eine Azure-VM der 2. Generation, der Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.
Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM
Hinweis
- Nach Aktivierung des vertrauenswürdigen Starts kann die VM derzeit nicht mehr auf den Sicherheitstyp Standard (Konfiguration für den nicht vertrauenswürdigen Start) zurückgesetzt werden.
- vTPM ist standardmäßig aktiviert.
- Es wird empfohlen, Sicherer Start zu aktivieren (standardmäßig nicht aktiviert), wenn Sie keinen eigenen unsignierten Kernel oder Treiber verwenden. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.
Aktivieren Sie den vertrauenswürdigen Start auf einer vorhandenen Azure-VM der 2. Generation mit dem Microsoft Azure-Portal.
Melden Sie sich beim Azure-Portal an.
Vergewissern Sie sich, dass die VM-Generation V2 lautet, und beenden Sie die VM.
Wählen Sie auf der Seite Übersicht in den Eigenschaften der VM unter Sicherheitstyp die Option Standard aus. Dadurch wird die Seite Konfiguration für den virtuellen Computer aufgerufen.
Wählen Sie auf der Seite Konfiguration im Abschnitt Sicherheitstyp das Dropdownmenü Sicherheitstyp aus.
Wählen Sie Vertrauenswürdiger Start in der Dropdownliste aus, und aktivieren Sie Kontrollkästchen, um Sicherer Start und vTPM zu aktivieren. Klicken Sie auf Speichern, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
Hinweis
- VMs der 2. Generation, die mit Azure Compute Gallery (ACG), einem verwalteten Image oder Betriebssystemdatenträger erstellt wurden, können nicht über das Portal auf den vertrauenswürdigen Start aktualisiert werden. Stellen Sie sicher, dass die Betriebssystemversion für den vertrauenswürdigen Start unterstützt wird, und verwenden Sie PowerShell, die CLI oder eine ARM-Vorlage, um das Upgrade auszuführen.
Schließen Sie die Seite Konfiguration, nachdem das Update erfolgreich abgeschlossen wurde, und überprüfen Sie den Sicherheitstyp in den VM-Eigenschaften auf der Seite Übersicht.
Starten Sie die aktualisierte VM mit vertrauenswürdigem Start, und überprüfen Sie, ob Sie sich bei der VM entweder per RDP (Windows-VM) oder über SSH (Linux-VM) anmelden können.
Nächste Schritte
(Empfohlen) Aktivieren Sie nach einem Upgrade die Überwachung der Startintegrität, um die Integrität der VM mit Microsoft Defender for Cloud zu überwachen.
Erfahren Sie mehr über den vertrauenswürdigen Start, und lesen Sie die häufig gestellten Fragen.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für