Häufig gestellte Fragen zum vertrauenswürdigen Start

Artikel
03/19/2024

Achtung

Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, die sich dem End-of-Life-Status (EOL) nähert. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS-Leitfaden für das Lebensende.

Häufig gestellte Fragen zum vertrauenswürdigen Start Featureanwendungsfälle, Unterstützung für andere Azure-Features und Fixes für häufige Fehler.

Anwendungsfälle

Warum sollte der vertrauenswürdige Start verwendet werden? Worin besteht der Schutz des vertrauenswürdigen Starts?

Der vertrauenswürdige Start bietet Schutz vor Bootkits, Rootkits und Schadsoftware auf Kernelebene. Diese komplexen Schadsoftwaretypen werden im Kernelmodus ausgeführt und bleiben für Benutzer verborgen. Beispiel:

Firmwarerootkits: Diese Kits überschreiben die Firmware des BIOS der VM, sodass das Rootkit vor dem Betriebssystem gestartet werden kann.
Bootkits: Diese Kits ersetzen den Bootloader des Betriebssystems, sodass die VM das Bootkit vor dem Betriebssystem lädt.
Kernelrootkits: Diese Kits ersetzen einen Teil des Betriebssystemkernels, sodass das Rootkit automatisch gestartet werden kann, wenn das Betriebssystem geladen wird.
Treiberrootkits: Diese Kits geben vor, einer der vertrauenswürdigen Treiber zu sein, die im Betriebssystem zur Kommunikation mit den Komponenten der VM verwendet werden.

Wie unterscheidet sich der vertrauenswürdige Start von einer abgeschirmten Hyper-V-VM?

Abgeschirmte Hyper-V-VMs sind derzeit nur für Hyper-V verfügbar. Abgeschirmte Hyper-V-VMs werden normalerweise mit einer geschützten Fabric bereitgestellt. Ein geschütztes Fabric besteht aus einem Hostüberwachungsdienst (Host Guardian Service, HGS), einem oder mehreren geschützten Hosts und einer Gruppe von abgeschirmten VMs. Abgeschirmte Hyper-V-VMs werden in Fabrics verwendet, in denen die Daten und der Status des virtuellen Computers vor verschiedenen Akteuren geschützt werden müssen. Bei diesen Akteuren handelt es sich sowohl um Fabric-Administratoren als auch um nicht vertrauenswürdige Software, die möglicherweise auf den Hyper-V-Hosts ausgeführt wird. Der vertrauenswürdige Start kann dagegen in Azure als eigenständige VM oder als VM-Skalierungsgruppe ohne weitere Bereitstellung und Verwaltung von HGS bereitgestellt werden. Alle Funktionen des vertrauenswürdigen Starts können mit einer einfachen Änderung im Bereitstellungscode oder einem Kontrollkästchen im Azure-Portal aktiviert werden.

Kann ich den vertrauenswürdigen Start für eine neue VM-Bereitstellung deaktivieren?

Virtuelle Computer mit vertrauenswürdigem Start bieten grundlegende Computesicherheit. Wir raten davon ab, dieses Feature für neue VM/VMSS-Bereitstellungen zu deaktivieren, es sei denn, Ihre Bereitstellungen sind abhängig von Folgendem:

Sie können den Parameter securityType mit dem Wert Standard verwenden, um den vertrauenswürdigen Start in neuen VM/VMSS-Bereitstellungen mithilfe von Azure PowerShell (ab v10.3.0) oder per CLI (ab v2.53.0) zu deaktivieren.

BEFEHLSZEILENSCHNITTSTELLE (CLI)
PowerShell

az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
    --security-type 'Standard'

$adminUsername = <USER NAME>
$adminPassword = <PASSWORD> | ConvertTo-SecureString -AsPlainText -Force
$vmCred = New-Object System.Management.Automation.PSCredential($adminUsername, $adminPassword)
New-AzVM -Name MyVm -Credential $vmCred -SecurityType Standard

Kann ich die Option „Sicherer Start“ für VMs mit der Option „Vertrauenswürdiger Start“ deaktivieren?

„Sicherer Start“ ist standardmäßig NICHT aktiviert. Es wird empfohlen, diese Funktion zu aktivieren, wenn Sie keinen benutzerdefinierten unsignierten Kernel oder Treiber verwenden. Nachdem eine VM mit den aktivierten Optionen „Vertrauenswürdiger Start“ und „Sicherer Start“ erstellt wurde, können Sie auf der VM auf der Registerkarte „Einstellungen“ zu „Konfigurationen“ wechseln und die Option „Sicheren Start aktivieren“ deaktivieren.

Unterstützte Features und Bereitstellungen

Wird Azure Compute Gallery vom vertrauenswürdigen Start unterstützt?

Vertrauenswürdiger Start ermöglicht es nun, Images über die Azure Compute Gallery (ehemals Shared Image Gallery) zu erstellen und freizugeben. Mögliche Imagequellen:

Vorhandener virtueller Azure-Computer (generalisiert oder spezialisiert)
Vorhandener verwalteter Datenträger oder Momentaufnahme
VHD oder Imageversion aus einem anderen Katalog

Weitere Informationen zum Bereitstellen eines virtuellen Computers mit vertrauenswürdigem Start unter Verwendung der Azure Compute Gallery finden Sie unter Bereitstellen einer VM mit vertrauenswürdigem Start aus einem Azure Compute Gallery-Image.

Wird Azure Backup vom vertrauenswürdigen Start unterstützt?

Der vertrauenswürdige Start unterstützt jetzt Azure Backup. Weitere Informationen finden Sie unter Supportmatrix für die Azure VM-Sicherung.

Funktioniert Azure Backup nach dem Aktivieren des vertrauenswürdigen Starts weiterhin?

Bei Sicherungen, die mit einer erweiterten Richtlinie konfiguriert sind, werden nach Aktivierung des vertrauenswürdigen Starts weiterhin Sicherungen des virtuellen Computers erstellt.

Unterstützt der vertrauenswürdige Start kurzlebige Datenträger?

Der vertrauenswürdige Start unterstützt kurzlebige Betriebssystemdatenträger. Weitere Informationen finden Sie unter Vertrauenswürdiger Start für kurzlebige Betriebssystemdatenträger.

Hinweis

Wenn Sie kurzlebige Datenträger für virtuelle Computer mit vertrauenswürdigem Start verwenden, werden Schlüssel und Geheimnisse, die vom vTPM nach der VM-Erstellung generiert oder versiegelt wurden, bei Vorgängen wie Reimaging und Plattformereignissen wie Dienstreparatur möglicherweise nicht beibehalten.

Kann der virtuelle Computer mithilfe einer Sicherung wiederhergestellt werden, die vor der Aktivierung des vertrauenswürdigen Starts erstellt wurde?

Sicherungen, die vor dem Upgraden eines vorhandenen virtuellen Computers der zweiten Generation auf vertrauenswürdigen Start erstellt wurden, können verwendet werden, um den gesamten virtuellen Computer oder einzelne Datenträger wiederherzustellen. Sie können nicht nur zum Wiederherstellen oder Ersetzen des Betriebssystemdatenträgers verwendet werden.

Wie finde ich VM-Größen, die den vertrauenswürdigen Start unterstützen?

Informationen dazu finden Sie in der Liste der VM-Größen der Generation 2, die den vertrauenswürdigen Start unterstützen.

Mithilfe der folgenden Befehle können Sie überprüfen, ob eine VM-Größe der Generation 2 den vertrauenswürdigen Start nicht unterstützt.

BEFEHLSZEILENSCHNITTSTELLE (CLI)
PowerShell

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

Die Antwort ähnelt dem folgenden Formular. TrustedLaunchDisabled True in der Ausgabe gibt an, dass die VM-Größe der Generation 2 den vertrauenswürdigen Start nicht unterstützt. Wenn es sich um eine VM-Größe der Generation 2 handelt und TrustedLaunchDisabled nicht Teil der Ausgabe ist, bedeutet dies, dass der vertrauenswürdige Start für diese VM-Größe unterstützt wird.

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

Wie kann ich überprüfen, ob mein Betriebssystemimage den vertrauenswürdigen Start unterstützt?

Diese Information finden Sie in der Liste mit unterstützten Betriebssystemversionen für vertrauenswürdigen Start.

Marketplace-Betriebssystemimages

Mit den folgenden Befehlen können Sie überprüfen, ob ein Marketplace-Betriebssystemimage den vertrauenswürdigen Start unterstützt:

BEFEHLSZEILENSCHNITTSTELLE (CLI)
PowerShell

az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"

Die Antwort ähnelt dem folgenden Formular. Wenn hyperVGeneration in der Ausgabe den Wert v2 hat und SecurityType den Wert TrustedLaunch enthält, bedeutet das, dass das Betriebssystemimage der zweiten Generation den vertrauenswürdigen Start unterstützt.

{
  "architecture": "x64",
  "automaticOsUpgradeProperties": {
    "automaticOsUpgradeSupported": false
  },
  "dataDiskImages": [],
  "disallowed": {
    "vmDiskType": "Unmanaged"
  },
  "extendedLocation": null,
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchAndConfidentialVmSupported"
    },
    {
      "name": "IsAcceleratedNetworkSupported",
      "value": "True"
    },
    {
      "name": "DiskControllerTypes",
      "value": "SCSI, NVMe"
    },
    {
      "name": "IsHibernateSupported",
      "value": "True"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/westus/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
  "imageDeprecationStatus": {
    "alternativeOption": null,
    "imageState": "Active",
    "scheduledDeprecationTime": null
  },
  "location": "westus",
  "name": "20348.1906.230803",
  "osDiskImage": {
    "operatingSystem": "Windows",
    "sizeInGb": 127
  },
  "plan": null,
  "tags": null
}

Get-AzVMImage -Skus 22_04-lts-gen2 -PublisherName Canonical -Offer 0001-com-ubuntu-server-jammy -Location westus3 -Version latest

Die Ausgabe des Befehls kann mit der GET-API von Virtual Machines verwendet werden. Die Antwort ähnelt dem folgenden Formular. Wenn hyperVGeneration in der Ausgabe den Wert v2 hat und SecurityType den Wert TrustedLaunch enthält, bedeutet das, dass das Betriebssystemimage der zweiten Generation den vertrauenswürdigen Start unterstützt.

{
    "properties": {
        "hyperVGeneration": "V2",
        "architecture": "x64",
        "replicaType": "Managed",
        "replicaCount": 10,
        "disallowed": {
            "vmDiskType": "Unmanaged"
        },
        "automaticOSUpgradeProperties": {
            "automaticOSUpgradeSupported": false
        },
        "imageDeprecationStatus": {
            "imageState": "Active"
        },
        "features": [
            {
                "name": "SecurityType",
                "value": "TrustedLaunchSupported"
            },
            {
                "name": "IsAcceleratedNetworkSupported",
                "value": "True"
            },
            {
                "name": "DiskControllerTypes",
                "value": "SCSI, NVMe"
            },
            {
                "name": "IsHibernateSupported",
                "value": "True"
            }
        ],
        "osDiskImage": {
            "operatingSystem": "Linux",
            "sizeInGb": 30
        },
        "dataDiskImages": []
    },
    "location": "WestUS3",
    "name": "22.04.202309080",
    "id": "/Subscriptions/00000000-0000-0000-0000-000000000000/Providers/Microsoft.Compute/Locations/WestUS3/Publishers/Canonical/ArtifactTypes/VMImage/Offers/0001-com-ubuntu-server-jammy/Skus/22_04-lts-gen2/Versions/22.04.202309080"
}

Azure Compute Gallery-Betriebssystemimage

Mit den folgenden Befehlen können Sie überprüfen, ob ein Betriebssystemimage aus der Azure Compute Gallery den vertrauenswürdigen Start unterstützt:

BEFEHLSZEILENSCHNITTSTELLE (CLI)
PowerShell

az sig image-definition show `
    --gallery-image-definition myImageDefinition `
    --gallery-name myImageGallery `
    --resource-group myImageGalleryRg

{
  "architecture": "x64",
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
  "identifier": {
    "offer": "myImageDefinition",
    "publisher": "myImageDefinition",
    "sku": "myImageDefinition"
  },
  "location": "westus3",
  "name": "myImageDefinition",
  "osState": "Generalized",
  "osType": "Windows",
  "provisioningState": "Succeeded",
  "recommended": {
    "memory": {
      "max": 32,
      "min": 1
    },
    "vCPUs": {
      "max": 16,
      "min": 1
    }
  },
  "resourceGroup": "myImageGalleryRg",
  "tags": {},
  "type": "Microsoft.Compute/galleries/images"
}

Get-AzGalleryImageDefinition -ResourceGroupName myImageGalleryRg `
    -GalleryName myImageGallery -GalleryImageDefinitionName myImageDefinition

ResourceGroupName : myImageGalleryRg
OsType            : Windows
OsState           : Generalized
HyperVGeneration  : V2
Identifier        :
  Publisher       : myImageDefinition
  Offer           : myImageDefinition
  Sku             : myImageDefinition
Recommended       :
  VCPUs           :
    Min           : 1
    Max           : 16
  Memory          :
    Min           : 1
    Max           : 32
ProvisioningState : Succeeded
Id                : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition
Name              : myImageDefinition
Type              : Microsoft.Compute/galleries/images
Location          : westus3
Tags              : {}
Features[0]       :
  Name            : SecurityType
  Value           : TrustedLaunchSupported
Architecture      : x64

Wie funktionieren externe Kommunikationstreiber mit VMs mit vertrauenswürdigem Start?

Zum Hinzufügen von COM-Ports muss der sichere Start deaktiviert werden. Daher sind COM-Ports standardmäßig in VMs für vertrauenswürdige Starte deaktiviert.

Behandlung von Startproblemen

Featurespezifische Zustände, Starttypen und häufige Startprobleme.

Was ist der VM-Gastzustand (VMGS)?

Der VM-Gastzustand (VMGS) ist für VMs mit vertrauenswürdigem Start spezifisch. Es handelt sich um ein von Azure verwaltetes Blob, das die UEFI-Datenbanken (Unified Extensible Firmware Interface) für sichere Startsignaturen und andere Sicherheitsinformationen enthält. Der Lebenszyklus des VMGS-Blobs ist an den Lebenszyklus des Betriebssystemdatenträgers gebunden.

Worin bestehen die Unterschiede zwischen dem sicheren Start und dem kontrollierten Start?

In der sicheren Startkette wird in jedem Schritt im Startprozess eine kryptografische Signatur der nachfolgenden Schritte geprüft. Das BIOS prüft z. B. eine Signatur im Ladeprogramm, das Ladeprogramm prüft die Signaturen aller zu ladenden Kernelobjekte usw. Ist eines der Objekte kompromittiert, stimmt die Signatur nicht überein, und die VM wird nicht gestartet. Weitere Informationen finden Sie unter Sicherer Start. Beim kontrollierten Start wird der Startvorgang nicht unterbrochen, sondern jeweils der Hash der nächsten Objekte in der Kette gemessen oder berechnet. Die Hashwerte werden in den PCRs (Platform Configuration Registers) in der vTPM-Instanz gespeichert. Die Datensätze des kontrollierten Starts werden für die Überwachung der Startintegrität verwendet.

Warum wird die VM mit dem vertrauenswürdigen Start nicht ordnungsgemäß gestartet?

Wenn nicht signierte Komponenten in der UEFI (Gastfirmware), im Bootloader, Betriebssystem oder Starttreiber erkannt werden, wird eine VM mit vertrauenswürdigem Start nicht gestartet. Die Einstellung sicherer Start auf der VM mit vertrauenswürdigem Start verhindert das Starten, wenn während des Startvorgangs nicht signierte oder nicht vertrauenswürdige Startkomponenten erkannt werden, und es wird ein Fehler beim sicheren Start gemeldet.

Die Pipeline für den vertrauenswürdigen Start von sicherem Start zu Treibern von Drittanbietern

Hinweis

Bei VMs mit vertrauenswürdigem Start, die direkt aus einem Azure Marketplace-Image erstellt werden, sollten keine Fehler beim sicheren Start auftreten. Bei Azure Compute Gallery-Images mit einer ursprünglichen Imagequelle von Marketplace und Momentaufnahmen, die von VMs mit vertrauenswürdigem Start erstellt wurden, sollten diese Fehler ebenfalls nicht auftreten.

Wie kann ich ein „no-boot“-Szenario im Azure-Portal überprüfen?

Wenn eine VM durch einen Fehler beim sicheren Start nicht verfügbar ist, bedeutet „no-boot“, dass die VM über eine Betriebssystemkomponente verfügt, die von einer vertrauenswürdigen Autorität signiert ist, wodurch das Starten einer VM mit vertrauenswürdigem Start blockiert wird. Bei der VM-Bereitstellung werden Kund*innen möglicherweise Informationen aus der Ressourcenintegrität im Azure-Portal angezeigt, die besagt, dass beim sicheren Start ein Überprüfungsfehler auftritt.

Navigieren Sie im Bereich „Hilfe“ zu „Resource Health“, um auf der VM-Konfigurationsseite auf die Ressourcenintegrität zuzugreifen.

Führen Sie auf dem Resource Health-Bildschirm beschriebenen „Empfohlenen Schritte“ aus. Anweisungen umfassen einen Screenshot und herunterladbares serielles Protokoll aus der Startdiagnose der VM.

Wenn Sie überprüft haben, dass der Nichtstart durch einen Fehler beim sicheren Start verursacht wurde:

Das von Ihnen verwendete Image ist eine ältere Version, die möglicherweise eine oder mehrere nicht vertrauenswürdige Startkomponenten aufweist und sich unter einem veralteten Pfad befindet. Um Probleme durch ein veraltetes Image zu beheben, aktualisieren Sie auf eine unterstützte neuere Imageversion.
Das von Ihnen verwendete Image wurde möglicherweise außerhalb einer Marketplace-Quelle erstellt, oder die Startkomponenten wurden geändert und enthalten nicht signierte oder nicht vertrauenswürdige Startkomponenten. Um zu überprüfen, ob das Image nicht signierte oder nicht vertrauenswürdige Startkomponenten aufweist, lesen Sie „Überprüfen von Fehlern beim sicheren Start“.
Wenn die oben genannten beiden Szenarien nicht zutreffen, ist die VM potenziell mit Schadsoftware (Bootkit/Rootkit) infiziert. Erwägen Sie, die VM zu löschen und eine neue VM aus demselben Quellimage zu erstellen, während die gesamte installierte Software ausgewertet wird.

Überprüfen von Fehlern beim sicheren Start

Virtuelle Linux-Computer

Um zu überprüfen, welche Startkomponenten für Fehler beim sicheren Start innerhalb einer Azure-Linux-VM verantwortlich sind, können Endbenutzer*innen das SBInfo-Tool aus dem Linux-Sicherheitspaket verwenden.

Deaktivieren des sicheren Starts
Stellen Sie eine Verbindung mit Ihrer Azure-Linux-VM mit vertrauenswürdigem Start her.
Installieren Sie das SBInfo-Tool für die auf Ihrer VM ausgeführten Distribution. Es befindet sich im Linux-Sicherheitspaket

Diese Befehle gelten für Ubuntu, Debian und andere Debian-basierte Distributionen.

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list

wget https://packages.microsoft.com/keys/microsoft.asc

wget https://packages.microsoft.com/keys/msopentech.asc

sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc

sudo apt update && sudo apt install azure-security

Diese Befehle gelten für RHEL, CentOS und andere Red Hat-basierte Distributionen.

echo "[packages-microsoft-com-azurecore]" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "name=packages-microsoft-com-azurecore" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "baseurl=https://packages.microsoft.com/yumrepos/azurecore/" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "enabled=1" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "gpgcheck=0" | sudo tee -a /etc/yum.repos.d/azurecore.repo

sudo yum install azure-security

Diese Befehle gelten für SLES, openSUSE und andere SUSE-basierte Distributionen.

sudo zypper ar -t rpm-md -n "packages-microsoft-com-azurecore" --no-gpgcheck https://packages.microsoft.com/yumrepos/azurecore/ azurecore

sudo zypper install azure-security

Führen Sie nach der Installation des Linux-Sicherheitspakets für Ihre Distribution den Befehl „sbinfo“ aus, um zu überprüfen, welche Startkomponenten für Fehler beim sicheren Start verantwortlich sind, indem Sie alle nicht signierten Module, Kernel und Bootloader anzeigen.

sudo sbinfo -u -m -k -b

Um mehr über das SBInfo-Diagnosetool zu erfahren, können Sie „sudo sbinfo -help“ ausführen.

Warum erhalte ich einen Fehler bei der Startintegritätsüberwachung?

Der vertrauenswürdige Start für Azure-VMs wird für komplexe Bedrohungen überwacht. Wenn solche Bedrohungen erkannt werden, wird eine Warnung ausgelöst. Warnungen sind nur verfügbar, wenn die erweiterten Sicherheitsfunktionen von Defender für Cloud aktiviert sind.

Azure Defender for Cloud führt in regelmäßigen Abständen einen Nachweis durch. Wenn beim Nachweis ein Fehler auftritt, wird eine Warnung mit mittlerem Schweregrad ausgelöst. Bei Nachweisvorgängen beim vertrauenswürdigen Start können aus folgenden Gründen Fehler auftreten:

Die nachgewiesenen Informationen, einschließlich eines Protokolls der vertrauenswürdigen Computingbasis (Trusted Computing Base, TCB), weichen von einer vertrauenswürdigen Baseline ab (z. B. wenn der sichere Start aktiviert ist). Eine Abweichung deutet darauf hin, dass mindestens ein vertrauenswürdiges Modul geladen wurde und das Betriebssystem möglicherweise kompromittiert ist.
Es konnte nicht überprüft werden, ob das Nachweisangebot von der vTPM-Instanz der VM stammt, für die der Nachweis erstellt wurde. Der Überprüfungsfehler kann darauf hindeuten, dass Schadsoftware vorhanden ist und möglicherweise Datenverkehr an das TPM abfängt.
Die Nachweiserweiterung auf der VM reagiert nicht. Eine nicht reagierende Erweiterung deutet auf einen Denial-of-Service-Angriff durch Schadsoftware oder einen Betriebssystemadministrator hin.

Zertifikate

Wie können Benutzer*innen den Vertrauensanker für VMs mit vertrauenswürdigem Start einrichten?

Das öffentliche TPM-AK-Zertifikat bietet Benutzer*innen Informationen zur vollständigen Zertifikatkette (Stamm- und Zwischenzertifikate), die ihnen dabei helfen, die Vertrauensstellung in der Zertifikat- und Stammkette zu überprüfen. Um sicherzustellen, dass Consumer mit vertrauenswürdigem Start dauerhaft den höchstmöglichen Sicherheitsstatus haben, können Benutzer*innen damit die vollständige Kette zurückverfolgen.

Downloadanweisungen

Paketzertifikate setzen sich aus einer P7B- (vollständige Zertifizierungsstelle) und einer CER-Datei (Zwischenzertifizierungsstelle) zusammen und legen die Signatur- und Zertifizierungsstelle offen. Kopieren Sie die relevanten Inhalte, und verwenden Sie zertifikatbasierte Tools, um Details von Zertifikaten zu überprüfen und zu bewerten.

Wählen Sie diese Option aus, um die CRT-Datei unten für „Azure Virtual TPM Root Certificate Authority 2023“ herunterzuladen.

Azure Virtual TPM Root Certificate Authority 2023

Wählen Sie diese Option aus, um den Inhalt der P7B-Datei anzuzeigen.

Global Virtual TPM CA – 01:

Wählen Sie diese Option aus, um den Inhalt der CERT-Datei für das Stammzertifikat anzuzeigen.