Abilitare l'avvio attendibile nelle macchine virtuali di Azure esistenti
Si applica a: ✔️ macchina virtuale Linux ✔️ macchina virtuale Windows ✔️ macchina virtuale di seconda generazione
Le macchine virtuali (VM) di Azure supportano l'abilitazione dell'Avvio attendibile nelle macchine virtuali di seconda generazione di Azure esistenti eseguendo l'aggiornamento al tipo di sicurezza Avvio attendibile.
L'avvio attendibile è un modo per abilitare la sicurezza di calcolo di base nelle macchine virtuali di seconda generazione di Azure e protegge da tecniche di attacco avanzate e persistenti, ad esempio kit di avvio e rootkit. A tale scopo, combinare tecnologie dell'infrastruttura come avvio protetto, vTPM e monitoraggio dell'integrità dell'avvio nella macchina virtuale.
Importante
- Il supporto per l'abilitazione dell'avvio attendibile nelle macchine virtuali di prima generazione esistenti è attualmente disponibile in anteprima privata. È possibile accedere all'anteprima usando il collegamento di registrazione https://aka.ms/Gen1ToTLUpgrade.
Prerequisiti
- La macchina virtuale di seconda generazione di Azure è configurata con:
- Famiglia di dimensioni supportate per l'avvio attendibile
- Dimensioni dell'immagine supportate per l'avvio attendibile. Per l'immagine o i dischi del sistema operativo personalizzati, l'immagine di base deve essere compatibile con Avvio attendibile.
- La macchina virtuale di seconda generazione di Azure non usa funzionalità attualmente non supportate con l'Avvio attendibile.
- La macchina virtuale di seconda generazione di Azure deve essere arrestata e deallocata prima di abilitare il tipo di sicurezza Avvio attendibile.
- Backup di Azure se abilitato per la macchina virtuale deve essere configurato con criteri di backup avanzati. Non è possibile abilitare un tipo di sicurezza di avvio attendibile per la macchina virtuale di seconda generazione configurata con la protezione di backup con Criteri standard.
- È possibile eseguire la migrazione del backup di macchine virtuali di Azure esistenti da criteri standard a avanzati usando Eseguire la migrazione dei backup delle macchine virtuali di Azure da criteri standard a avanzati (anteprima).
Procedure consigliate
- Abilitare l'Avvio attendibile in una macchina virtuale di seconda generazione di test e verificare se siano necessarie modifiche per soddisfare i prerequisiti prima di abilitare l'Avvio attendibile nelle macchine virtuali di seconda generazione associate ai carichi di lavoro di produzione.
- Creare un punto di ripristino per la macchina virtuale di seconda generazione di Azure associata ai carichi di lavoro di produzione prima di abilitare il tipo di sicurezza Avvio attendibile. È possibile usare il punto di ripristino per ricreare i dischi e la macchina virtuale di seconda generazione con lo stato noto precedente.
Abilitare l'avvio attendibile nelle macchine virtuali esistenti
Nota
- Dopo l'abilitazione dell'avvio attendibile, attualmente non è possibile eseguire il rollback delle macchine virtuali al tipo di sicurezza Standard (configurazione di avvio non attendibile).
- vTPM è abilitato per impostazione predefinita.
- È consigliabile abilitare l'Avvio protetto (non abilitato per impostazione predefinita) se non si usano driver o kernel non firmati personalizzati. L'Avvio protetto mantiene l'integrità dell'avvio e abilita la sicurezza di base per la macchina virtuale.
Abilitare l'avvio attendibile nella macchina virtuale di Azure Generation 2 esistente usando il portale di Azure.
Accedere al portale di Azure.
Verificare che la generazione di macchine virtuali sia V2 e Arrestare la macchina virtuale.
Nella pagina Panoramica nelle Proprietà della macchina virtuale selezionare Standard in Tipo di sicurezza. Verrà visualizzata la pagina Configurazione per la macchina virtuale.
Selezionare l'elenco a discesa Tipo di sicurezza nella sezione Tipo di sicurezza della pagina Configurazione.
Selezionare Avvio attendibile nell'elenco a discesa e selezionare le caselle di controllo per abilitare Avvio protetto e vTPM. Fare clic su Salva dopo aver apportato le modifiche necessarie.
Nota
- Le macchine virtuali di seconda generazione create con Raccolta di calcolo di Azure, Immagine gestita, Disco del sistema operativo non possono essere aggiornate all'avvio attendibile tramite il portale. Assicurarsi che la versione del sistema operativo sia supportata per l'Avvio attendibile e usare PowerShell, l'interfaccia della riga di comando o il modello di Resource Manager per eseguire l'aggiornamento.
Chiudere la pagina Configurazione dopo il completamento dell'aggiornamento e convalidare il Tipo di sicurezza nelle proprietà della macchina virtuale nella pagina Panoramica.
Avviare la macchina virtuale di avvio attendibile aggiornata e verificare di essere in grado di accedere alla macchina virtuale usando RDP (per la macchina virtuale Windows) o SSH (per la macchina virtuale Linux).
Passaggi successivi
Sscelta consigliata) Gli aggiornamenti successivi consentono a Monitoraggio dell'integrità dell'avvio di monitorare l'integrità della macchina virtuale usando Microsoft Defender per il cloud.
Altre informazioni su Avvio attendibile e le domande frequenti
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per