Menyebarkan Mesin Virtual dengan peluncuran tepercaya diaktifkan

Berlaku untuk: ✔️ Mesin virtual Linux ✔️ Mesin virtual Windows ✔️ Set skala fleksibel ✔️ Set skala seragam

Peluncuran tepercaya adalah cara untuk meningkatkan keamanan VM generasi 2. Peluncuran tepercaya melindungi dari teknik serangan lanjutan dan persisten dengan menggabungkan teknologi infrastruktur seperti vTPM dan boot aman.

Prasyarat

• Anda perlu onboard langganan Anda ke Microsoft Defender for Cloud jika belum. Microsoft Defender for Cloud memiliki tingkat gratis, yang menawarkan wawasan yang sangat berguna untuk berbagai sumber daya Azure dan Hibrid. Peluncuran tepercaya memanfaatkan Defender for Cloud untuk memunculkan beberapa rekomendasi mengenai kesehatan Mesin Virtual.

• Tetapkan inisiatif kebijakan Azure untuk langganan Anda. Inisiatif kebijakan ini perlu ditetapkan hanya sekali pada setiap langganan. Hal ini akan menginstal semua ekstensi yang diperlukan secara otomatis pada semua Mesin Virtual yang didukung.

  • Konfigurasikan prasyarat untuk mengaktifkan Pengesahan Tamu pada VM yang diaktifkan Peluncuran Tepercaya.

  • Konfigurasikan komputer untuk menginstal agen Azure Monitor dan Azure Security secara otomatis di komputer virtual.

• Izinkan tag layanan AzureAttestation dalam aturan NSG Outbound untuk memungkinkan lalu lintas untuk Microsoft Azure Attestation. Lihat Tag layanan jaringan virtual.

• Pastikan bahwa kebijakan firewall mengizinkan akses ke *.attest.azure.net.

Catatan

Jika Anda menggunakan gambar Linux dan mengantisipasi VM mungkin memiliki driver kernel yang tidak ditandatangani atau tidak ditandatangani oleh vendor distro Linux, maka Anda mungkin ingin mempertimbangkan untuk menonaktifkan boot aman. Di portal Azure, di halaman 'Buat komputer virtual' untuk parameter 'Jenis keamanan' dengan 'Mesin Virtual Peluncuran Tepercaya' dipilih, klik 'Konfigurasikan fitur keamanan' dan hapus centang pada kotak centang 'Aktifkan boot aman'. Di CLI, PowerShell, atau SDK, atur parameter boot aman ke false.

Menyebarkan Mesin Virtual peluncuran tepercaya

Membuat komputer virtual dengan peluncuran tepercaya diaktifkan. Pilih satu opsi berikut:

Portal

1. Masuk ke portal Azure.
2. Mencari Virtual Machines.
3. Pada Layanan, pilih Mesin virtual.
4. Di halaman Komputer virtual, pilih Tambahkan, lalu pilih Komputer virtual.
5. Di bawah Detail proyek, pastikan memilih langganan yang benar.
6. Di bawah Grup sumber daya, pilih Buat baru dan ketik nama untuk grup sumber daya Anda atau pilih grup sumber daya yang ada dari tarik-turun.
7. Pada Detail instans, ketik nama untuk nama komputer virtual dan pilih wilayah yang mendukung peluncuran tepercaya.
8. Untuk jenis Keamanan pilih Mesin virtual peluncuran tepercaya. Ini akan membuat tiga opsi lagi muncul - Boot aman, vTPM, dan Pemantauan Integritas . Pilih opsi yang sesuai untuk penyebaran Anda. Untuk mempelajari selengkapnya tentang Fitur Keamanan yang Diaktifkan Peluncuran Tepercaya.
9. Di bagian Gambar, pilih gambar dari Gambar Gen 2 yang disarankan yang kompatibel dengan peluncuran Tepercaya. Untuk daftar, lihat peluncuran tepercaya.

   Tip

   Jika Anda tidak melihat versi Gen 2 dari gambar yang diinginkan di drop-down, pilih Lihat semua gambar lalu ubah filter jenis Keamanan ke Peluncuran Tepercaya.

10. Pilih ukuran VM yang mendukung peluncuran tepercaya. Lihat daftar ukuran yang didukung.
11. Isi informasi Akun administrator, lalu Aturan port masuk.
12. Pada bagian bawah halaman, pilih Tinjau + Buat
13. Pada halaman Buat komputer virtual, Anda dapat melihat detail tentang komputer virtual yang akan Anda sebarkan. Setelah validasi ditampilkan sebagai lolos, pilih Buat.

Perlu beberapa menit agar komputer virtual Anda disebarkan.

CLI

Pastikan Anda menjalankan versi terbaru Azure CLI

Masuk ke Azure menggunakan az login.

az login 

Buat mesin virtual dengan Peluncuran Tepercaya.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Untuk Mesin Virtual yang ada, Anda dapat mengaktifkan atau menonaktifkan pengaturan boot dan vTPM yang aman. Memperbarui mesin virtual dengan pengaturan boot dan vTPM yang aman akan memicu reboot otomatis.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Untuk informasi selengkapnya tentang menginstal pemantauan integritas boot melalui ekstensi Pengesahan Tamu, lihat Integritas boot.

PowerShell

Untuk menyediakan Mesin Virtual dengan Peluncuran Tepercaya, Anda harus mengaktifkan TrustedLaunch terlebih dahulu menggunakan cmdlet Set-AzVmSecurityProfile. Kemudian Anda dapat menggunakan cmdlet Set-AzVmUefi untuk mengatur konfigurasi vTPM dan SecureBoot. Gunakan cuplikan di bawah ini sebagai mulai cepat, ingatlah untuk mengganti nilai dalam contoh ini dengan nilai Anda sendiri.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Templat

Anda dapat menyebarkan VM peluncuran tepercaya menggunakan templat mulai cepat:

Linux

Windows

Menyebarkan VM peluncuran Tepercaya dari gambar Azure Compute Gallery

Komputer virtual peluncuran tepercaya Azure mendukung pembuatan dan berbagi gambar kustom menggunakan Azure Compute Gallery. Ada dua jenis gambar yang dapat Anda buat, berdasarkan jenis keamanan gambar:

• Gambar VM peluncuran Tepercaya yang Didukung (TrustedLaunchSupported) yang direkomendasikanadalah gambar di mana sumber tidak memiliki informasi status Tamu VM dan dapat digunakan untuk membuat VM Generasi 2 atau VM Peluncuran Tepercaya.
• Gambar VM peluncuran tepercaya (TrustedLaunch) adalah gambar di mana sumber biasanya memiliki informasi status Tamu VM dan hanya dapat digunakan untuk membuat VM Peluncuran Tepercaya.

Gambar yang didukung VM peluncuran tepercaya

Untuk sumber gambar berikut, jenis keamanan pada definisi gambar harus diatur ke TrustedLaunchsupported:

• Gen2 OS Disk VHD
• Gambar Terkelola Gen2
• Versi Gambar Galeri Gen2

Tidak ada informasi Status Tamu VM yang akan disertakan dalam sumber gambar.

Versi gambar yang dihasilkan dapat digunakan untuk membuat VM Azure Gen2 atau VM peluncuran tepercaya.

Gambar-gambar ini dapat dibagikan menggunakan Azure Compute Gallery - Galeri Bersama Langsung dan Azure Compute Gallery - Galeri Komunitas

Catatan

VHD disk OS, Gambar Terkelola, atau Versi Gambar Galeri harus dibuat dari gambar Gen2 yang kompatibel dengan VM peluncuran Tepercaya.

Portal

1. Masuk ke portal Azure.
2. Cari dan pilih versi gambar VM di bilah pencarian
3. Pada halaman versi gambar VM, pilih Buat.
4. Pada halaman Buat versi gambar VM, pada tab Dasar:
   1. Pilih langganan Azure.
   2. Pilih grup sumber daya yang ada atau buat grup sumber daya baru.
   3. Pilih wilayah Azure.
   4. Masukkan nomor versi gambar.
   5. Untuk Sumber, pilih Blob Penyimpanan (VHD) atau Gambar Terkelola atau Versi Gambar VM lainnya
   6. Jika Anda memilih Blob Penyimpanan (VHD), masukkan VHD disk OS (tanpa status Tamu VM). Pastikan untuk menggunakan VHD Gen 2.
   7. Jika Anda memilih Gambar Terkelola, pilih gambar terkelola yang ada dari VM Gen 2.
   8. Jika Anda memilih Versi Gambar VM, pilih Versi Gambar Galeri yang ada dari VM Gen2.
   9. Untuk galeri komputasi Target Azure, pilih atau buat galeri untuk berbagi gambar.
   10. Untuk Status sistem operasi, pilih Umum atau Khusus tergantung pada kasus penggunaan Anda. Jika Anda menggunakan gambar terkelola sebagai sumber, selalu pilih Umum. Jika Anda menggunakan blob penyimpanan (VHD) dan ingin memilih Generalized, ikuti langkah-langkah untuk menggeneralisasi Linux VHD atau menggeneralisasi Windows VHD sebelum melanjutkan. Jika Anda menggunakan Versi Gambar VM yang ada, pilih Umum atauKhusus berdasarkan apa yang digunakan dalam definisi gambar VM sumber.
   11. Untuk Definisi Gambar VM Target, pilih Buat baru.
   12. Di panel Buat definisi gambar VM, masukkan nama untuk definisi. Pastikan jenis keamanan diatur ke Trustedlaunch Didukung. Masukkan informasi penerbit, penawaran, dan SKU. Lalu, pilih Ok.
5. Pada tab Replikasi , masukkan jumlah replika dan wilayah target untuk replikasi gambar, jika diperlukan.
6. Pada tab Enkripsi , masukkan informasi terkait enkripsi SSE, jika diperlukan.
7. Pilih Tinjau + Buat.
8. Setelah konfigurasi berhasil divalidasi, pilih Buat untuk menyelesaikan pembuatan gambar.
9. Setelah versi gambar dibuat, pilih Buat VM.
10. Di halaman Buat mesin virtual, di bawah Grup sumber daya, pilih Buat baru dan ketik nama untuk grup sumber daya Anda atau pilih grup sumber daya yang ada dari tarik-turun.
11. Pada Detail instans, ketik nama untuk nama komputer virtual dan pilih wilayah yang mendukung peluncuran tepercaya.
12. Pilih Komputer virtual peluncuran tepercaya sebagai jenis keamanan. Kotak centang Boot Aman dan vTPM diaktifkan secara default.
13. Isi informasi Akun administrator, lalu Aturan port masuk.
14. Pada halaman validasi, tinjau detail VM.
15. Setelah validasi berhasil, pilih Buat untuk menyelesaikan pembuatan VM.

CLI

Pastikan Anda menjalankan versi terbaru Azure CLI

Masuk ke Azure menggunakan az login.

az login 

Membuat definisi citra dengan jenis keamanan TrustedLaunchSupported

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Gunakan VHD disk OS untuk membuat versi gambar. Pastikan bahwa Linux VHD digeneralisasi sebelum mengunggah ke blob akun penyimpanan Azure menggunakan langkah-langkah yang diuraikan di sini

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Membuat VM peluncuran Tepercaya dari versi gambar di atas

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Membuat definisi citra dengan jenis keamanan TrustedLaunchSupported

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Untuk membuat versi gambar, kita dapat menggunakan Versi Gambar Galeri Gen2 yang ada yang digeneralisasi selama pembuatan.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Membuat VM peluncuran Tepercaya dari versi gambar di atas

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Gambar VM peluncuran tepercaya

Untuk sumber gambar berikut, jenis keamanan pada definisi gambar harus diatur ke TrustedLaunch:

• Pengambilan VM peluncuran tepercaya
• Disk OS Terkelola
• Rekam jepret disk OS terkelola

Versi gambar yang dihasilkan hanya dapat digunakan untuk membuat VM peluncuran Tepercaya Azure.

Portal

1. Masuk ke portal Azure.
2. Untuk buat Gambar Azure Compute Gallery dari mesin virtual, buka mesin virtual peluncuran Tepercaya yang ada dan pilih ambil.
3. Di halaman Buat Gambar berikutnya, izinkan gambar dibagikan ke galeri sebagai versi gambar VM. Pembuatan Gambar Terkelola tidak didukung untuk VM Peluncuran Tepercaya.
4. Buat target baru Azure Compute Gallery atau pilih galeri yang sudah ada.
5. Pilih Status Sistem operasi sebagai Umum atau Khusus. Jika Anda ingin membuat gambar umum, pastikan Anda menggeneralisasi VM untuk menghapus informasi khusus mesin sebelum memilih opsi ini. Jika enkripsi berbasis Bitlocker diaktifkan pada VM Windows peluncuran Tepercaya Anda, Anda mungkin tidak dapat menggeneralisasi hal yang sama.
6. Buat definisi gambar baru dengan memberikan nama, database penerbit, penawaran, dan detail SKU. Jenis Keamanan definisi gambar harus sudah diatur ke Peluncuran tepercaya.
7. Sediakan nomor versi untuk versi gambar.
8. Ubah opsi replika jika diperlukan.
9. Di bagian bawah halaman buat Gambarhalaman, pilih Tinjau + Buat dan saat validasi ditampilkan sebagai lulus, pilih Buat.
10. setelah versi gambar dibuat, buka versi citra secara langsung. Atau, Anda dapat menavigasi ke versi citra yang diperlukan melalui definisi gambar.
11. Pada halaman versi gambar mesin virtualhalaman, pilih + Buat mesin virtual untuk mendarat di halaman Buat mesin virtual.
12. Di halaman Buat mesin virtual, di bawah Grup sumber daya, pilih Buat baru dan ketik nama untuk grup sumber daya Anda atau pilih grup sumber daya yang ada dari tarik-turun.
13. Pada Detail instans, ketik nama untuk nama komputer virtual dan pilih wilayah yang mendukung peluncuran tepercaya.
14. Gambar dan jenis keamanan sudah diisi berdasarkan versi citra yang dipilih. Kotak centang Boot Aman dan vTPM diaktifkan secara default.
15. Isi informasi Akun administrator, lalu Aturan port masuk.
16. Pada bagian bawah halaman, pilih Tinjau + Buat
17. Pada halaman validasi, tinjau detail VM.
18. Setelah validasi berhasil, pilih Buat untuk menyelesaikan pembuatan VM.

Jika Anda ingin menggunakan disk terkelola atau snapshot disk terkelola sebagai sumber versi gambar (bukan VM peluncuran tepercaya), gunakan langkah-langkah berikut

1. Masuk ke portal
2. Cari Versi Gambar VM dan pilih Buat
3. Berikan nomor versi langganan, grup sumber daya, wilayah, dan gambar
4. Pilih sumber sebagai Disk dan/atau Snapshot
5. Pilih disk OS sebagai disk terkelola atau snapshot disk terkelola dari daftar dropdown
6. Pilih Azure Compute Gallery Target untuk membuat dan berbagi gambar. Jika tidak ada galeri, buat galeri baru.
7. Pilih Status Sistem operasi sebagai Umum atau Khusus. Jika Anda ingin membuat gambar umum, pastikan Anda menggeneralisasi disk atau snapshot untuk menghapus informasi khusus mesin.
8. Untuk Definisi Gambar VM Target pilih Buat baru. Di jendela yang terbuka, pilih nama definisi gambar dan pastikan bahwa Jenis keamanan diatur ke Peluncuran tepercaya. Berikan informasi penerbit, penawaran, dan SKU, lalu pilih Oke.
9. Tab Replikasi dapat digunakan untuk mengatur jumlah replika dan wilayah target untuk replikasi gambar, jika diperlukan.
10. Tab Enkripsi juga dapat digunakan untuk memberikan informasi terkait enkripsi SSE, jika diperlukan.
11. Pilih Buat di tab Tinjau + buat untuk membuat gambar
12. Setelah versi gambar berhasil dibuat, pilih + Buat VM untuk membuka halaman Buat mesin virtual.
13. Ikuti langkah 12 hingga 18 seperti yang disebutkan sebelumnya untuk membuat VM peluncuran tepercaya menggunakan versi gambar ini

CLI

Pastikan Anda menjalankan versi terbaru Azure CLI

Masuk ke Azure menggunakan az login.

az login 

Membuat definisi citra dengan jenis keamanan TrustedLaunch

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Untuk membuat versi gambar, kami dapat menangkap VM peluncuran Tepercaya berbasis Linux yang ada. Umumkan VM peluncuran Tepercaya sebelum membuat versi gambar.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Jika disk terkelola atau snapshot disk terkelola perlu digunakan sebagai sumber gambar untuk versi gambar, ganti --managed-image dalam perintah di atas dengan --os-snapshot dan beri nama disk atau sumber daya snapshot

Membuat VM peluncuran Tepercaya dari versi gambar di atas

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Membuat definisi citra dengan jenis keamanan TrustedLaunch

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Untuk membuat versi gambar, kami dapat menangkap VM peluncuran Tepercaya berbasis Windows yang ada. Umumkan VM peluncuran Tepercaya sebelum membuat versi gambar.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Membuat VM peluncuran Tepercaya dari versi gambar di atas

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Memverifikasi atau memperbarui pengaturan Anda

Untuk VM yang dibuat dengan peluncuran tepercaya diaktifkan, Anda dapat melihat konfigurasi peluncuran tepercaya dengan mengunjungi halaman Gambaran Umum untuk VM di portal Azure. Tab Properti akan menampilkan status fitur Peluncuran Tepercaya:

Untuk mengubah konfigurasi peluncuran tepercaya, di menu sebelah kiri, di bawah bagian Pengaturan, pilih Konfigurasi. Anda dapat mengaktifkan atau menonaktifkan Boot Aman, vTPM, dan Pemantauan Integritas dari bagian Jenis keamanan. Pilih Simpan di bagian atas laman setelah selesai.

Jika Mesin Virtual berjalan, Anda akan menerima pesan bahwa Mesin Virtual akan dimulai ulang. Pilih Ya lalu tunggu VM dimulai ulang agar perubahan diterapkan.

Langkah berikutnya

Pelajari selengkapnya tentang peluncuran tepercaya dan VM pemantauan integritas boot.