Megbízható indítás engedélyezése meglévő Azure-beli virtuális gépeken
A következőkre vonatkozik: ✔️ Linux rendszerű, ✔️ Windows rendszerű ✔️ virtuális gép 2. generációs virtuális gép
Az Azure Virtual Machines támogatja a megbízható indítás engedélyezését a meglévő, 2. generációs Azure-beli virtuális gépeken a Megbízható indítás biztonsági típusra való frissítéssel.
A megbízható indítás lehetővé teszi az alapszintű számítási biztonságot az Azure 2. generációs virtuális gépeken. A megbízható indítás védelmet nyújt a virtuális gépeknek az olyan fejlett és állandó támadási technikákkal szemben, mint a rendszerindító készletek és a rootkitek, olyan infrastruktúra-technológiák kombinálásával, mint a Biztonságos rendszerindítás, a vTPM és a rendszerindítási integritás monitorozása a virtuális gépen.
Fontos
- Ha a 2. generációs virtuális gépek esetében engedélyezve van, az ügyfél által felügyelt kulcsokkal (S Standard kiadás-CMK) rendelkező kiszolgálóoldali titkosítást le kell tiltani a megbízható indítási frissítés végrehajtása előtt. Az S Standard kiadás-CMK titkosítást újra engedélyezni kell a megbízható indítási frissítés befejezése után.
- A meglévő 1. generációs Azure-beli virtuális gépeken a megbízható indítás engedélyezésének támogatása jelenleg privát előzetes verzióban érhető el. A regisztrációs hivatkozással https://aka.ms/Gen1ToTLUpgradehozzáférést kaphat az előzetes verzióhoz.
- A megbízható indítás engedélyezése a meglévő Azure-beli virtuálisgép-méretezési csoportokon (VMSS) Az Uniform > Flex jelenleg nem támogatott.
Előfeltételek
- Az Azure 2. generációs virtuális gépek a következőkkel konfigurálhatók:
- Megbízható indítási támogatott méretcsalád
- A megbízható indítás támogatott operációsrendszer-rendszerképe. Egyéni operációsrendszer-lemezképek vagy -lemezek esetén az alaprendszerképnek megbízható indítási képesnek kell lennie.
- Az Azure 2. generációs virtuális gépek jelenleg nem használják a megbízható indítással nem támogatott funkciókat.
- A megbízható indítási biztonsági típus engedélyezése előtt le kell állítani és felszabadítani az Azure 2. generációs virtuális gépeket.
- Ha engedélyezve van az Azure Backup a virtuális gépekhez, továbbfejlesztett biztonsági mentési szabályzattal kell konfigurálni. A megbízható indítási biztonsági típus nem engedélyezhető a Standard Házirend biztonsági mentési védelemmel konfigurált 2. generációs virtuális gépek esetében.
- A meglévő Azure-beli virtuális gépek biztonsági mentése standardróltovábbfejlesztett szabályzatra migrálható a privát előzetes verziójú migrálási funkcióval. Küldje el a beszállási kérelmet az előnézethez a hivatkozás https://aka.ms/formBackupPolicyMigrationhasználatával.
Ajánlott eljárások
- Engedélyezze a megbízható indítást egy 2. generációs virtuális gépen, és győződjön meg arról, hogy a 2. generációs virtuális gépeken az éles számítási feladatokhoz társított 2. generációs virtuális gépeken történő megbízható indítás engedélyezése előtt szükség van-e módosításokra az előfeltételek teljesítéséhez.
- Hozzon létre visszaállítási pontot az éles számítási feladatokhoz társított 2. generációs Azure-beli virtuális gépekhez, mielőtt engedélyezi a megbízható indítási biztonsági típust. A visszaállítási ponttal újra létrehozhatja a lemezeket és a 2. generációs virtuális gépet az előző jól ismert állapottal.
Megbízható indítás engedélyezése meglévő virtuális gépen
Feljegyzés
- A megbízható indítás engedélyezése után a virtuális gépek jelenleg nem állíthatók vissza a Standard (nem megbízható indítási konfiguráció) biztonsági típusra.
- A vTPM alapértelmezés szerint engedélyezve van.
- A biztonságos rendszerindítás engedélyezése javasolt (alapértelmezés szerint nem engedélyezett), ha nem használ egyéni aláíratlan kernelt vagy illesztőprogramokat. A Biztonságos rendszerindítás megőrzi a rendszerindítás integritását, és lehetővé teszi a virtuális gép alapvető biztonságát.
Ez a szakasz végigvezeti az Azure Portalon a megbízható indítás engedélyezését a meglévő 2. generációs Azure-beli virtuális gépen.
- Bejelentkezés az Azure Portalra
- Ellenőrizze, hogy a virtuális gép létrehozása v2-e, és állítsa le a virtuális gépet.
- A virtuális gép tulajdonságainak Áttekintés lapján válassza a Standard lehetőséget a Biztonság típus alatt. Ez a virtuális gép konfigurációs lapjára lép.
- Válassza a Biztonsági típus legördülő menüt a Konfiguráció lap Biztonsági típus szakaszában.
- Válassza a Megbízható indítás lehetőséget a legördülő menüben, és jelölje be a jelölőnégyzeteket a biztonságos rendszerindítás és a vTPM engedélyezéséhez. Kattintson a Mentés gombra a szükséges módosítások elvégzése után.
Feljegyzés
- Az Azure Compute Gallery (ACG), felügyelt rendszerkép és operációsrendszer-lemez használatával létrehozott 2. generációs virtuális gépek nem frissíthetők megbízható indításra a Portál használatával. Győződjön meg arról, hogy az operációsrendszer-verzió támogatott a megbízható indításhoz , és a frissítés végrehajtásához használja a PowerShell, a PARANCSSOR vagy az ARM-sablont.
- A frissítés sikeres befejezése után zárja be a Konfiguráció lapot, és ellenőrizze a biztonsági típust az Áttekintés lapon a virtuális gép tulajdonságai területen.
- Indítsa el a frissített megbízható indítású virtuális gépet, és győződjön meg arról, hogy sikeresen elindult, és ellenőrizze, hogy be tud-e jelentkezni a virtuális gépbe RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).
Következő lépések
(Ajánlott) A frissítés utáni funkciók lehetővé teszik a rendszerindítási integritás monitorozását a virtuális gép állapotának figyeléséhez a Felhőhöz készült Microsoft Defender használatával.
További információ a megbízható indításról és a gyakori kérdések áttekintéséről