Bereitstellen einer VM, für die vertrauenswürdiger Start aktiviert ist

Gilt für: ✔️ Virtuelle Linux-Computer ✔️ Virtuelle Windows-Computer ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Der vertrauenswürdige Start ist eine Möglichkeit zur Verbesserung der Sicherheit von VMs der Generation 2. Der vertrauenswürdige Start schützt vor erweiterten und permanenten Angriffstechniken, indem Infrastrukturtechnologien wie vTPM und sicherer Start kombiniert werden.

Voraussetzungen

• Es wird empfohlen, Ihr Abonnement in Microsoft Defender for Cloud zu integrieren, falls dies noch nicht erfolgt ist. Microsoft Defender for Cloud verfügt über eine kostenlose Ebene, die sehr nützliche Hinweise für unterschiedliche Azure- und Hybridressourcen bietet. Wenn MDC nicht vorhanden ist, können Benutzer von VMs mit vertrauenswürdigem Start die Startintegrität der VM nicht überwachen.

• Weisen Sie Ihrem Abonnement Azure-Richtlinieninitiativen zu. Diese Richtlinieninitiativen müssen nur einmal pro Abonnement zugewiesen werden. Eine Richtlinie unterstützt die Bereitstellung und Überwachung von VMs mit vertrauenswürdigem Start, während alle erforderlichen Erweiterungen automatisch auf allen unterstützten VMs installiert werden.

  • Konfigurieren einer integrierten Richtlinieninitiative für VMs mit vertrauenswürdigem Start
  • Konfigurieren Sie die Voraussetzungen, um den Gastnachweis für virtuelle Computer mit „Vertrauenswürdiger Start“-aktivierten VMs zu aktivieren.
  • Konfigurieren Sie Computer zur automatischen Installation der Azure Monitor- und Azure Security-Agents auf VMs.

• Lassen Sie in den NSG-Ausgangsregeln das Diensttag AzureAttestation zu, um Datenverkehr für Microsoft Azure Attestation zuzulassen. Siehe Diensttags für virtuelle Netzwerke.

• Stellen Sie sicher, dass die Firewallrichtlinien den Zugriff auf *.attest.azure.net erlauben.

Hinweis

Wenn Sie ein Linux-Image verwenden und davon ausgehen, dass der virtuelle Computer Kerneltreiber entweder nicht signiert oder vom Linux-Distributionsanbieter nicht signiert hat, sollten Sie den sicheren Start deaktivieren. Klicken Sie im Azure-Portal auf der Seite „Virtuellen Computer erstellen“ für den Parameter „Sicherheitstyp“ mit ausgewählter Option "Vertrauenswürdiger Start Virtual Machines“ auf „Sicherheitsfeatures konfigurieren“, und deaktivieren Sie das Kontrollkästchen „Sicheren Start aktivieren“. Legen Sie in CLI, PowerShell oder SDK den Parameter für den sicheren Start auf false fest.

Bereitstellen einer VM mit vertrauenswürdigem Start

Erstellen Sie einen virtuellen Computer, für den vertrauenswürdiger Start aktiviert ist. Wählen Sie eine der folgenden Option aus:

Portal

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Virtuellen Computern.
3. Wählen Sie unter Dienste die Option Virtuelle Computer aus.
4. Wählen Sie auf der Seite Virtuelle Computer die Option Hinzufügen und dann Virtueller Computer aus.
5. Stellen Sie sicher, dass unter Projektdetails das richtige Abonnement ausgewählt ist.
6. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, und geben Sie einen Namen für Ihre Ressourcengruppe an, oder wählen Sie in der Dropdownliste eine vorhandene Ressourcengruppe aus.
7. Geben Sie unter Details zur Instanz einen Namen für den virtuellen Computer ein, und wählen Sie eine Region aus, die den vertrauenswürdigen Start unterstützt.
8. Wählen Sie als Sicherheitstyp die Option Vertrauenswürdiger Start von virtuellen Computern aus. Dadurch werden drei weitere Optionen angezeigt: Sicherer Start, vTPM und Integritätsüberwachung. Wählen Sie die passenden Optionen für Ihre Bereitstellung aus. Weitere Informationen zu Vertrauenswürdiger Start-fähige Sicherheitsfunktionen.
9. Wählen Sie unter Image ein Image aus den empfohlenen Gen 2-Images mit Kompatibilität für vertrauenswürdigen Start aus. Eine Liste finden Sie unter vertrauenswürdiger Start.

   Tipp

   Sollte die Gen 2-Version des gewünschten Images in der Dropdownliste nicht angezeigt werden, wählen Sie Alle Images anzeigen aus und ändern Sie dann den Filter Sicherheitstyp auf vertrauenswürdiger Start.

10. Wählen Sie eine VM-Größe, die den vertrauenswürdigen Start unterstützt. Die Liste der unterstützten Größen finden Sie hier.
11. Geben Sie die Informationen für das Administratorkonto und dann die Regeln für eingehende Ports ein.
12. Wählen Sie unten auf der Seite die Option Überprüfen + erstellen aus.
13. Auf der Seite zum Erstellen eines virtuellen Computers werden die Details des virtuellen Computers angezeigt, den Sie bereitstellen möchten. Klicken Sie auf Erstellen, sobald die Anzeige Überprüfung erfolgreich absolviert angezeigt wird.

Die Bereitstellung der VM dauert ein paar Minuten.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Achten Sie darauf, dass Sie die aktuelle Version der Azure CLI verwenden.

Melden Sie sich mit az login bei Azure an.

az login 

Erstellen Sie einen virtuellen Computer mit vertrauenswürdigem Start.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Für vorhandene VMs können Sie die Einstellungen für den sicheren Start und vTPM aktivieren oder deaktivieren. Das Aktualisieren der VM mit den Einstellungen für sicheren Start und vTPM löst einen automatischen Neustart aus.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Weitere Informationen zum Installieren der Startintegritätsüberwachung über die Erweiterung „Gastnachweis“ finden Sie unter Startintegrität.

PowerShell

Um einen virtuellen Computer mit vertrauenswürdigem Start bereitstellen zu können, muss er zunächst mithilfe des Cmdlets Set-AzVmSecurityProfile mit TrustedLaunch aktiviert werden. Anschließend können Sie das Cmdlet Set-AzVmUefi verwenden, um die Konfiguration von vTPM und sicherem Start festzulegen. Verwenden Sie den folgenden Codeausschnitt als Schnellstart. Denken Sie daran, die Werte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Vorlage

Sie können VMs für den vertrauenswürdigen Start mithilfe einer Schnellstartvorlage bereitstellen:

Linux

Windows

Bereitstellen einer VM mit vertrauenswürdigem Start aus einem Azure Compute Gallery-Image

Azure-VMs mit vertrauenswürdigem Start unterstützen die Erstellung und Freigabe von benutzerdefinierten Images mithilfe von Azure Compute Gallery. Es gibt zwei Arten von Images, die Sie erstellen können, basierend auf den Sicherheitstypen des Images:

• Empfohleneunterstützte VM-Images für den vertrauenswürdigen Start (TrustedLaunchSupported) sind Images, bei denen die Quelle über keinerlei Informationen zum VM-Gastzustand verfügt, und die verwendet werden können, um entweder VMs der 2. Generation oder VMs für den vertrauenswürdigen Start zu erstellen.
• VM-Images für den vertrauenswürdigen Start (TrustedLaunch) sind Images, bei denen die Quelle normalerweise über Informationen zum VM-Gastzustand verfügt, und die nur zum Erstellen von VMs mit vertrauenswürdigem Start verwendet werden können.

Unterstützte Images für VMs mit vertrauenswürdigem Start

Für die folgenden Imagequellen sollte der Sicherheitstyp für die Imagedefinition auf TrustedLaunchsupported festgelegt werden:

• VHD der 2. Generation mit Betriebssystemdatenträger
• Gen2 verwaltetes Image
• Katalogimageversion der 2. Generation

In der Imagequelle dürfen keine VM-Gaststatusinformationen enthalten sein.

Die resultierende Imageversion kann verwendet werden, um Azure Gen2-VMs oder VMs mit vertrauenswürdigem Start zu erstellen.

Diese Images können über Azure Compute Gallery – Direkt freigegebener Katalog und Azure Compute Gallery – Communitykatalog freigegeben werden.

Hinweis

Die VHD mit dem Betriebssystemdatenträger, das verwaltete Image oder die Katalogimageversion muss über ein Gen2-Image erstellt werden, das mit VMs mit vertrauenswürdigem Start kompatibel ist.

Portal

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach VM-Imageversionen in der Suchleiste und wählen Sie es aus
3. Wählen Sie auf der Seite VM-Imageversionen die Option Erstellen aus.
4. Auf der Seite VM-Imageversion erstellen, auf der Registerkarte Grundlagen:
   1. Wählen Sie das Azure-Abonnement aus.
   2. Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.
   3. Wählen Sie die Azure-Region aus.
   4. Geben Sie eine Imageversionsnummer ein.
   5. Wählen Sie als QuelleSpeicher-Blobs (VHD) oder Verwaltetes Image oder eine andere VM-Imageversion aus.
   6. Wenn Sie Speicher-Blobs (VHD) ausgewählt haben, geben Sie eine Betriebssystemdatenträger-VHD (ohne den VM-Gaststatus) ein. Stellen Sie sicher, dass Sie eine Gen 2 VHD verwenden.
   7. Wenn Sie Verwaltetes Image ausgewählt haben, wählen Sie ein vorhandenes verwaltetes Image einer Gen2-VM aus.
   8. Wenn Sie VM-Imageversion ausgewählt haben, wählen Sie eine vorhandene Katalogimageversion einer VM der 2. Generation aus.
   9. Wählen oder erstellen Sie einen Katalog für Ziel-Azure Compute Gallery, um das Image freizugeben.
   10. Wählen Sie für den Betriebssystemzustand je nach Ihrem Anwendungsfall Generalisiert oder Spezialisiert aus. Wenn Sie ein verwaltetes Image als Quelle verwenden, wählen Sie immer Generalisiert aus. Wenn Sie ein Speicher-Blob (VHD) verwenden und Generalisiert auswählen möchten, führen Sie die Schritte aus, um eine Linux-VHD zu generalisieren oder eine Windows-VHD zu generalisieren, bevor Sie fortfahren. Wenn Sie eine vorhandene VM-Imageversion verwenden, wählen Sie Generalisiert oder Spezialisiert aus, je nachdem, was in der VM-Imagedefinition der Quelle verwendet wird.
   11. Wählen Sie für die Ziel-VM-Imagedefinition die Option Neu erstellen aus.
   12. Geben Sie im Bereich VM-Imagedefinition erstellen einen Namen für die Definition ein. Stellen Sie sicher, dass der Sicherheitstyp auf Unterstützung für vertrauenswürdigen Start festgelegt ist. Geben Sie Herausgeber, Angebot und SKU-Informationen an. Wählen Sie anschließend OK aus.
5. Geben Sie auf der Registerkarte Replikation die Replikatanzahl und die Zielregionen für die Imagereplikation ein, sofern erforderlich.
6. Geben Sie auf der Registerkarte Verschlüsselung Informationen im Zusammenhang mit der SSE-Verschlüsselung ein, falls erforderlich.
7. Klicken Sie auf Überprüfen + erstellen.
8. Nachdem die Konfiguration erfolgreich überprüft wurde, wählen Sie Erstellen aus, um das Erstellen des Images abzuschließen.
9. Nachdem die Imageversion erfolgreich erstellt wurde, wählen Sie VM erstellen aus.
10. Wählen Sie auf der Seite zum Erstellen eines virtuellen Computers unter Ressourcengruppe die Option Neu erstellen aus, und geben Sie einen Namen für Ihre Ressourcengruppe an, oder wählen Sie in der Dropdownliste eine vorhandene Ressourcengruppe aus.
11. Geben Sie unter Details zur Instanz einen Namen für den virtuellen Computer ein, und wählen Sie eine Region aus, die den vertrauenswürdigen Start unterstützt.
12. Wählen Sie als Sicherheitstyp VMs mit vertrauenswürdigem Start aus. Die Kontrollkästchen Sicherer Start und vTPM sind standardmäßig aktiviert.
13. Geben Sie die Informationen für das Administratorkonto und dann die Regeln für eingehende Ports ein.
14. Überprüfen Sie auf der Überprüfungsseite die Details des virtuellen Computers.
15. Wenn die Überprüfung erfolgreich verläuft, wählen Sie Erstellen aus, um das Erstellen der VM abzuschließen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Achten Sie darauf, dass Sie die aktuelle Version der Azure CLI verwenden.

Melden Sie sich mit az login bei Azure an.

az login 

Erstellen Sie eine Imagedefinition mit dem Sicherheitstyp TrustedLaunchSupported:

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Verwenden Sie eine VHD mit Betriebssystemdatenträger, um eine Imageversion zu erstellen. Stellen Sie mithilfe der hier beschriebenen Schritte sicher, dass die Linux-VHD generalisiert wurde, bevor Sie sie in ein Azure-Speicherkontoblob hochladen.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Erstellen Sie eine VM mit vertrauenswürdigem Start aus der obigen Imageversion:

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Erstellen Sie eine Imagedefinition mit dem Sicherheitstyp TrustedLaunchSupported:

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Um eine Imageversion zu erstellen, können Sie eine vorhandene Gen2-Katalogimageversion verwenden, die während der Erstellung generalisiert wurde.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Erstellen einer VM mit vertrauenswürdigem Start aus der obigen Imageversion

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Images für VMs mit vertrauenswürdigem Start

Für die folgenden Imagequellen sollte der Sicherheitstyp für die Imagedefinition auf TrustedLaunch festgelegt werden:

• Erfassung von VMs mit vertrauenswürdigem Start
• Verwalteter Betriebssystemdatenträger
• Momentaufnahme verwalteter Betriebssystemdatenträger

Die resultierende Imageversion kann nur zum Erstellen von Azure-VMs mit vertrauenswürdigem Start verwendet werden.

Portal

1. Melden Sie sich beim Azure-Portal an.
2. Um ein Azure Compute Gallery-Image aus einer VM zu erstellen, öffnen Sie eine vorhandene VM mit vertrauenswürdigem Start, und wählen Sie Erfassen aus.
3. Erlauben Sie auf der folgenden Seite zum Erstellen eines Images, dass das Image als VM-Imageversion für den Katalog freigegeben werden kann. Die Erstellung verwalteter Images wird für VMs mit vertrauenswürdigem Start nicht unterstützt.
4. Erstellen Sie eine neue Azure Compute Gallery-Instanz als Ziel oder wählen Sie einen vorhandenen Katalog aus.
5. Wählen Sie Generalisiert oder Spezialisiert als Betriebssystemstatus aus. Wenn Sie ein verallgemeinertes Image erstellen möchten, stellen Sie sicher, dass Sie die VM verallgemeinern, um computerspezifische Informationen zu entfernen, bevor Sie diese Option auswählen. Wenn Verschlüsselung auf Bitlocker-Basis auf Ihrer VM mit vertrauenswürdigem Start aktiviert ist, können Sie diese möglicherweise nicht verallgemeinern.
6. Erstellen Sie eine neue Imagedefinition, indem Sie einen Namen, einen Herausgeber, ein Angebot und SKU-Details bereitstellen. Der Sicherheitstyp der Imagedefinition ist bereits auf Vertrauenswürdiger Start festgelegt.
7. Geben Sie eine Versionsnummer für die Imageversion ein.
8. Ändern Sie ggf. die Replikationsoptionen.
9. Wählen Sie unten auf der Seite Image erstellen die Option Überprüfen und erstellen aus. Wählen Sie dann Erstellen aus, wenn die Überprüfung als bestanden angezeigt wird.
10. Wechseln Sie direkt zur Imageversion, nachdem die Imageversion erstellt wurde. Alternativ können Sie über die Imagedefinition zur gewünschten Imageversion navigieren.
11. Wählen Sie auf der Seite VM-Imageversion die Option + VM erstellen aus, um zur Seite zum Erstellen eines virtuellen Computers zu gelangen.
12. Wählen Sie auf der Seite zum Erstellen eines virtuellen Computers unter Ressourcengruppe die Option Neu erstellen aus, und geben Sie einen Namen für Ihre Ressourcengruppe an, oder wählen Sie in der Dropdownliste eine vorhandene Ressourcengruppe aus.
13. Geben Sie unter Details zur Instanz einen Namen für den virtuellen Computer ein, und wählen Sie eine Region aus, die den vertrauenswürdigen Start unterstützt.
14. Das Image und der Sicherheitstyp sind bereits basierend auf der ausgewählten Imageversion ausgefüllt. Die Kontrollkästchen Sicherer Start und vTPM sind standardmäßig aktiviert.
15. Geben Sie die Informationen für das Administratorkonto und dann die Regeln für eingehende Ports ein.
16. Wählen Sie unten auf der Seite die Option Überprüfen + erstellen aus.
17. Überprüfen Sie auf der Überprüfungsseite die Details des virtuellen Computers.
18. Wenn die Überprüfung erfolgreich verläuft, wählen Sie Erstellen aus, um das Erstellen der VM abzuschließen.

Wenn Sie entweder einen verwalteten Datenträger oder eine Momentaufnahme eines verwalteten Datenträgers (anstelle einer VM mit vertrauenswürdigem Start) als Quelle der Imageversion verwenden möchten, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Portal an.
2. Suchen Sie nach VM-Imageversionen, und wählen Sie Erstellen aus.
3. Stellen Sie Abonnement, Ressourcengruppe, Region und Imageversionsnummer bereit.
4. Wählen Sie als Quelle Datenträger und/oder Momentaufnahmen aus.
5. Wählen Sie den Betriebssystemdatenträger als verwalteten Datenträger oder eine Momentaufnahme eines verwalteten Datenträgers aus der Dropdownliste aus.
6. Wählen Sie eine Ziel-Azure Compute Gallery aus, um das Image zu erstellen und zu teilen. Wenn kein Katalog vorhanden ist, erstellen Sie einen neuen Katalog.
7. Wählen Sie Generalisiert oder Spezialisiert als Betriebssystemstatus aus. Wenn Sie ein verallgemeinertes Image erstellen möchten, stellen Sie sicher, dass Sie den Datenträger bzw. die Momentaufnahme verallgemeinern, um computerspezifische Informationen zu entfernen.
8. Wählen Sie für die Ziel-VM-Imagedefinition die Option „Neu erstellen“ aus. Wählen Sie im dann geöffneten Fenster einen Imagedefinitionsnamen aus, und stellen Sie sicher, dass der Sicherheitstyp auf Vertrauenswürdiger Start festgelegt ist. Geben Sie Herausgeber, Angebot und SKU-Informationen an, und wählen Sie OK aus.
9. Mit der Registerkarte Replikation können die Replikatanzahl und die Zielregionen für die Imagereplikation festgelegt werden, falls erforderlich.
10. Die Registerkarte Verschlüsselung kann auch verwendet werden, um ggf. auf die SSE-Verschlüsselung bezogene Informationen bereitzustellen.
11. Wählen Sie Erstellen auf der Registerkarte Überprüfen + erstellen aus, um das Image zu erstellen.
12. Sobald die Imageversion erfolgreich erstellt ist, wählen Sie + VM erstellen aus, um zur Seite zum Erstellen eines virtuellen Computers zu gelangen.
13. Führen Sie wie zuvor erwähnt die Schritte 12 bis 18 aus, um mithilfe dieser Imageversion eine VM mit vertrauenswürdigem Start zu erstellen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Achten Sie darauf, dass Sie die aktuelle Version der Azure CLI verwenden.

Melden Sie sich mit az login bei Azure an.

az login 

Erstellen einer Imagedefinition mit dem Sicherheitstyp TrustedLaunch

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Um eine Imageversion zu erstellen, können wir eine vorhandene VM mit vertrauenswürdigem Start auf Linux-Basis erfassen. Verallgemeinern Sie die VM mit vertrauenswürdigem Start vor dem Erstellen der Imageversion.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Falls ein verwalteter Datenträger oder eine Momentaufnahme eines verwalteten Datenträgers als Imagequelle für die Imageversion verwendet werden muss, ersetzen Sie das „--managed-image“ im obigen Befehl durch „--os-snapshot“, und geben Sie den Namen des Datenträgers oder der Momentaufnahmenressource an.

Erstellen einer VM mit vertrauenswürdigem Start aus der obigen Imageversion

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Erstellen einer Imagedefinition mit dem Sicherheitstyp TrustedLaunch

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Um eine Imageversion zu erstellen, können wir eine vorhandene VM mit vertrauenswürdigem Start auf Windows-Basis erfassen. Verallgemeinern Sie die VM mit vertrauenswürdigem Start vor dem Erstellen der Imageversion.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Erstellen einer VM mit vertrauenswürdigem Start aus der obigen Imageversion

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Integrierte Richtlinien für vertrauenswürdigen Start

Um die Einführung von vertrauenswürdigem Start für Endbenutzer zu erleichtern, stehen Azure-Richtlinien zur Verfügung, die Ressourcenbesitzer bei der Einführung von vertrauenswürdigem Start unterstützen. Das Hauptziel ist die Unterstützung bei der Konvertierung von VMs der Generation 1 und 2, die für vertrauenswürdigen Start geeignet sind. Die einzelne Richtlinie Für die VM muss vertrauenswürdiger Start aktiviert sein. überprüft, ob für die VM derzeit Sicherheitskonfigurationen für vertrauenswürdigen Start aktiviert sind. Datenträger und Betriebssystem für vertrauenswürdigen Start unterstützt überprüft, ob zuvor erstellte VMs über geeignete Betriebssysteme und VM-Größen für Generation 2 verfügen, um VMs mit vertrauenswürdigem Start bereitzustellen. Diese beiden Richtlinien zusammen bilden die Richtlinieninitiative für vertrauenswürdigen Start. So können Sie mehrere verwandte Richtliniendefinitionen gruppieren, um Zuordnungen und Verwaltungsressourcen zu vereinfachen und die Konfiguration für vertrauenswürdigen Start einzuschließen.

Weitere Informationen zum Bereitstellen der integrierten Richtlinien für den vertrauenswürdigen Start finden Sie hier.

---

Überprüfen oder Aktualisieren Ihrer Einstellungen

Wenn Sie die Konfiguration für den vertrauenswürdigen Start bei VMs, die mit diesem Feature erstellt wurden, anzeigen möchten, navigieren Sie im Azure-Portal zur Seite Übersicht für diese VM. In der Registerkarte Eigenschaften wird der Status der Eigenschaften für den vertrauenswürdigen Start angezeigt:

Um die Konfiguration des vertrauenswürdigen Starts zu ändern, wählen Sie im Menü auf der linken Seite im Abschnitt Einstellungen die Option Konfiguration aus. Im Abschnitt Sicherheitstyp können Sie Sicherer Start, vTPM und Integritätsüberwachung aktivieren oder deaktivieren. Wählen Sie abschließend oben auf der Seite Speichern aus.

Wenn die VM ausgeführt wird, erhalten Sie eine Meldung, dass die VM neu gestartet wird. Wählen Sie Ja aus, und warten Sie, bis die VM neu gestartet wird, damit die Änderungen wirksam werden.

Nächste Schritte

Erfahren Sie mehr über VMs mit vertrauenswürdigem Start und Startintegritätsüberwachung.