Rendszerindítási integritás monitorozása – áttekintés

Annak érdekében, hogy a megbízható indítások jobban megelőzzék a virtuális gépek rosszindulatú rootkit-támadásait, a rendszer a Microsoft Azure Attestation (MAA) végponton keresztüli vendégigazolást használja a rendszerindítási sorozat integritásának figyelésére. Ez az igazolás kritikus fontosságú a platform állapotainak érvényességéhez. Ha az Azure Trusted Virtual Machines biztonságos rendszerindítási és vTPM-kompatibilis és igazolási bővítményekkel rendelkezik, Felhőhöz készült Microsoft Defender ellenőrzi, hogy a virtuális gép állapota és rendszerindítási integritása megfelelően van-e beállítva. Az MDC-integrációval kapcsolatos további információkért tekintse meg a megbízható indítási integrációt Felhőhöz készült Microsoft Defender.

Fontos

Az automatikus bővítményfrissítés mostantól elérhető a rendszerindítási integritás monitorozása – Vendégigazolás bővítményhez. További információ az automatikus bővítményfrissítésről.

Előfeltételek

Aktív Azure-előfizetés + megbízható virtuális gép indítása

Integritásfigyelés engedélyezése

Azure Portalra

1. Jelentkezzen be az Azure Portalra.

2. Válassza ki az erőforrást (virtuális gépek).

3. A Gépház területen válassza ki a konfigurációt. A biztonsági típus panelen válassza az integritásfigyelés lehetőséget.

   

4. Mentse el a módosításokat.

A virtuális gépek áttekintési lapján az integritásfigyelés biztonsági típusának engedélyezve kell lennie.

Ez telepíti a vendégigazolási bővítményt, amely a bővítmények + alkalmazások lapon található beállításokon keresztül hivatkozható.

Sablon

A vendégigazolási bővítményt üzembe helyezheti megbízható indítású virtuális gépekhez egy rövid útmutatósablon használatával:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Parancssori felület

1. Hozzon létre egy megbízható indítású virtuális gépet, amely biztonságos rendszerindítási + vTPM-képességekkel rendelkezik a megbízható indítású virtuális gép kezdeti üzembe helyezésével. A vendégigazolási bővítmény üzembe helyezéséhez használja (--enable_integrity_monitoring). A virtuális gépek konfigurációját a virtuális gép tulajdonosa (az vm create) szabja testre.
2. Meglévő virtuális gépek esetén a rendszerindítási integritás monitorozási beállításait a frissítéssel engedélyezheti, hogy az integritásfigyelés engedélyezve legyen (--enable_integrity_monitoring).

Feljegyzés

A vendégigazolási bővítményt explicit módon kell konfigurálni.

PowerShell

Ha a biztonságos rendszerindítás és a vTPM be van kapcsolva, a rendszerindítás integritása be van kapcsolva.

1. Hozzon létre egy megbízható indítású virtuális gépet, amely biztonságos rendszerindítási + vTPM-képességekkel rendelkezik a megbízható indítású virtuális gép kezdeti üzembe helyezésével. A virtuális gépek konfigurációját a virtuális gép tulajdonosa szabja testre.
2. Meglévő virtuális gépek esetén a rendszerindítási integritás monitorozási beállításait úgy engedélyezheti, hogy a SecureBoot és a vTPM is be legyen kapcsolva.

A virtuális gépek létrehozásáról vagy frissítéséről a rendszerindítási integritás vendégigazolási bővítményen keresztül történő figyelésével kapcsolatos további információkért lásd : Virtuális gép üzembe helyezése megbízható indítással engedélyezve (PowerShell).

Hibaelhárítási útmutató a vendégigazolási bővítmény telepítéséhez

Hibajelenségek

A Microsoft Azure-igazolási bővítmények nem működnek megfelelően, ha az ügyfelek hálózati biztonsági csoportot vagy proxyt állítottak be. A következőhöz hasonló hibaüzenet jelenik meg(Microsoft.Azure.Security.WindowsAttestation.GuestAttestation kiépítés nem sikerült.)

Megoldások

Az Azure-ban a hálózati biztonsági csoportok (NSG) segítségével szűrhető az Azure-erőforrások közötti hálózati forgalom. Az NSG-k olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a bejövő hálózati forgalmat, vagy több típusú Azure-erőforrás kimenő hálózati forgalmát. A Microsoft Azure-igazolási végpont esetében képesnek kell lennie kommunikálni a vendégigazolási bővítménysel. E végpont nélkül a megbízható indítás nem fér hozzá a vendégigazoláshoz, ami lehetővé teszi, hogy Felhőhöz készült Microsoft Defender monitorozza a virtuális gépek rendszerindítási sorrendjének integritását.

A Microsoft Azure-igazolási forgalom letiltásának feloldása a hálózati biztonsági csoportokban szolgáltatáscímkék használatával.

1. Lépjen arra a virtuális gépre , amelyet engedélyezni szeretne a kimenő forgalom számára.
2. A bal oldali oldalsáv "Hálózatkezelés" területén válassza a hálózatkezelési beállítások lapot.
3. Ezután válassza a portszabály létrehozása és a kimenő portszabály hozzáadása lehetőséget.
   
4. A Microsoft Azure-igazolás engedélyezéséhez állítsa a célhelyet szolgáltatáscímkére. Ez lehetővé teszi, hogy az IP-címek tartománya frissüljön, és automatikusan beállíthassa a Microsoft Azure-igazolásra vonatkozó engedélyezési szabályokat. A célszolgáltatás címkéje az AzureAttestation, a művelet pedig Engedélyezés értékre van állítva.

Tűzfalak védik a virtuális hálózatot, amely több megbízható indítású virtuális gépet tartalmaz. A Microsoft Azure-igazolási forgalom blokkolásának feloldása a tűzfalon alkalmazásszabály-gyűjtemény használatával.

1. Lépjen az Azure Firewallra, amely letiltotta a forgalmat a megbízható indítású virtuálisgép-erőforrásból.
2. A Beállítások területen válassza a Szabályok (klasszikus) lehetőséget a vendégigazolás tűzfal mögötti letiltásának feloldásához.
3. Válasszon ki egy hálózati szabálygyűjteményt, és adjon hozzá hálózati szabályt.
4. A felhasználó igény szerint konfigurálhatja a nevét, prioritását, forrástípusát és célportját. A szolgáltatáscímke neve a következő: AzureAttestation, és a műveletet engedélyezni kell.

A Microsoft Azure-igazolási forgalom blokkolásának feloldása a tűzfalon alkalmazásszabály-gyűjtemény használatával.

1. Lépjen az Azure Firewallra, amely letiltotta a forgalmat a megbízható indítású virtuálisgép-erőforrásból. A szabályok gyűjteményének tartalmaznia kell legalább egy szabályt, és keresse meg a cél teljes tartományneveket (teljes tartományneveket).
2. Válassza az Alkalmazásszabály-gyűjtemény lehetőséget, és adjon hozzá egy alkalmazásszabályt.
3. Válasszon ki egy nevet, egy numerikus prioritást az alkalmazásszabályokhoz. A szabálygyűjtemény művelete ENGEDÉLYEZÉS értékre van állítva. Az alkalmazásfeldolgozásról és az értékekről itt olvashat bővebben.
4. A név, a forrás és a protokoll mind konfigurálható a felhasználó számára. Egyetlen IP-cím forrástípusa, válassza ki az IP-csoportot több IP-cím tűzfalon keresztüli engedélyezéséhez.

Regionális megosztott szolgáltatók

Az Azure Attestation minden elérhető régióban biztosít regionális megosztott szolgáltatót . Az ügyfelek dönthetnek úgy, hogy a regionális megosztott szolgáltatót használják az igazoláshoz, vagy egyéni szabályzatokkal hozzák létre saját szolgáltatóikat. A megosztott szolgáltatókat bármely Azure AD-felhasználó elérheti, és a hozzá társított szabályzat nem módosítható.

Feljegyzés

A felhasználók konfigurálhatják a forrástípust, a szolgáltatást, a célporttartományokat, a protokollt, a prioritást és a nevet.

Következő lépések

További információ a megbízható virtuális gépek megbízható indításáról és üzembe helyezéséről.