Rendszerindítási integritás monitorozása – áttekintés
Annak érdekében, hogy a megbízható indítások jobban megelőzzék a virtuális gépek rosszindulatú rootkit-támadásait, a rendszer a Microsoft Azure Attestation (MAA) végponton keresztüli vendégigazolást használja a rendszerindítási sorozat integritásának figyelésére. Ez az igazolás kritikus fontosságú a platform állapotainak érvényességéhez. Ha az Azure Trusted Virtual Machines biztonságos rendszerindítási és vTPM-kompatibilis és igazolási bővítményekkel rendelkezik, Felhőhöz készült Microsoft Defender ellenőrzi, hogy a virtuális gép állapota és rendszerindítási integritása megfelelően van-e beállítva. Az MDC-integrációval kapcsolatos további információkért tekintse meg a megbízható indítási integrációt Felhőhöz készült Microsoft Defender.
Fontos
Az automatikus bővítményfrissítés mostantól elérhető a rendszerindítási integritás monitorozása – Vendégigazolás bővítményhez. További információ az automatikus bővítményfrissítésről.
Előfeltételek
Aktív Azure-előfizetés + megbízható virtuális gép indítása
Integritásfigyelés engedélyezése
Jelentkezzen be az Azure Portalra.
Válassza ki az erőforrást (virtuális gépek).
A Gépház területen válassza ki a konfigurációt. A biztonsági típus panelen válassza az integritásfigyelés lehetőséget.
Mentse el a módosításokat.
A virtuális gépek áttekintési lapján az integritásfigyelés biztonsági típusának engedélyezve kell lennie.
Ez telepíti a vendégigazolási bővítményt, amely a bővítmények + alkalmazások lapon található beállításokon keresztül hivatkozható.
Hibaelhárítási útmutató a vendégigazolási bővítmény telepítéséhez
Hibajelenségek
A Microsoft Azure-igazolási bővítmények nem működnek megfelelően, ha az ügyfelek hálózati biztonsági csoportot vagy proxyt állítottak be. A következőhöz hasonló hibaüzenet jelenik meg(Microsoft.Azure.Security.WindowsAttestation.GuestAttestation kiépítés nem sikerült.)
Megoldások
Az Azure-ban a hálózati biztonsági csoportok (NSG) segítségével szűrhető az Azure-erőforrások közötti hálózati forgalom. Az NSG-k olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a bejövő hálózati forgalmat, vagy több típusú Azure-erőforrás kimenő hálózati forgalmát. A Microsoft Azure-igazolási végpont esetében képesnek kell lennie kommunikálni a vendégigazolási bővítménysel. E végpont nélkül a megbízható indítás nem fér hozzá a vendégigazoláshoz, ami lehetővé teszi, hogy Felhőhöz készült Microsoft Defender monitorozza a virtuális gépek rendszerindítási sorrendjének integritását.
A Microsoft Azure-igazolási forgalom letiltásának feloldása a hálózati biztonsági csoportokban szolgáltatáscímkék használatával.
- Lépjen arra a virtuális gépre , amelyet engedélyezni szeretne a kimenő forgalom számára.
- A bal oldali oldalsáv "Hálózatkezelés" területén válassza a hálózatkezelési beállítások lapot.
- Ezután válassza a portszabály létrehozása és a kimenő portszabály hozzáadása lehetőséget.
- A Microsoft Azure-igazolás engedélyezéséhez állítsa a célhelyet szolgáltatáscímkére. Ez lehetővé teszi, hogy az IP-címek tartománya frissüljön, és automatikusan beállíthassa a Microsoft Azure-igazolásra vonatkozó engedélyezési szabályokat. A célszolgáltatás címkéje az AzureAttestation, a művelet pedig Engedélyezés értékre van állítva.
Tűzfalak védik a virtuális hálózatot, amely több megbízható indítású virtuális gépet tartalmaz. A Microsoft Azure-igazolási forgalom blokkolásának feloldása a tűzfalon alkalmazásszabály-gyűjtemény használatával.
- Lépjen az Azure Firewallra, amely letiltotta a forgalmat a megbízható indítású virtuálisgép-erőforrásból.
- A Beállítások területen válassza a Szabályok (klasszikus) lehetőséget a vendégigazolás tűzfal mögötti letiltásának feloldásához.
- Válasszon ki egy hálózati szabálygyűjteményt, és adjon hozzá hálózati szabályt.
- A felhasználó igény szerint konfigurálhatja a nevét, prioritását, forrástípusát és célportját. A szolgáltatáscímke neve a következő: AzureAttestation, és a műveletet engedélyezni kell.
A Microsoft Azure-igazolási forgalom blokkolásának feloldása a tűzfalon alkalmazásszabály-gyűjtemény használatával.
- Lépjen az Azure Firewallra, amely letiltotta a forgalmat a megbízható indítású virtuálisgép-erőforrásból. A szabályok gyűjteményének tartalmaznia kell legalább egy szabályt, és keresse meg a cél teljes tartományneveket (teljes tartományneveket).
- Válassza az Alkalmazásszabály-gyűjtemény lehetőséget, és adjon hozzá egy alkalmazásszabályt.
- Válasszon ki egy nevet, egy numerikus prioritást az alkalmazásszabályokhoz. A szabálygyűjtemény művelete ENGEDÉLYEZÉS értékre van állítva. Az alkalmazásfeldolgozásról és az értékekről itt olvashat bővebben.
- A név, a forrás és a protokoll mind konfigurálható a felhasználó számára. Egyetlen IP-cím forrástípusa, válassza ki az IP-csoportot több IP-cím tűzfalon keresztüli engedélyezéséhez.
Regionális megosztott szolgáltatók
Az Azure Attestation minden elérhető régióban biztosít regionális megosztott szolgáltatót . Az ügyfelek dönthetnek úgy, hogy a regionális megosztott szolgáltatót használják az igazoláshoz, vagy egyéni szabályzatokkal hozzák létre saját szolgáltatóikat. A megosztott szolgáltatókat bármely Azure AD-felhasználó elérheti, és a hozzá társított szabályzat nem módosítható.
Feljegyzés
A felhasználók konfigurálhatják a forrástípust, a szolgáltatást, a célporttartományokat, a protokollt, a prioritást és a nevet.
Következő lépések
További információ a megbízható virtuális gépek megbízható indításáról és üzembe helyezéséről.