Vertrouwde start inschakelen op bestaande Virtuele Azure-machines

Van toepassing op: ✔️ Virtuele Linux-machine van windows-VM ✔️ ✔️ generatie 2

Azure Virtual Machines biedt ondersteuning voor het inschakelen van azure Trusted Launch op bestaande virtuele Azure-machines (VM's) van de tweede generatie door een upgrade uit te voeren naar het beveiligingstype Trusted Launch.

Trusted Launch is een manier om fundamentele rekenbeveiliging in te schakelen op vm's van Azure Generation 2 en beschermt tegen geavanceerde en permanente aanvalstechnieken, zoals bootkits en rootkits. Dit doet u door infrastructuurtechnologieën zoals Secure Boot, virtual Trusted Platform Module (vTPM) en bewaking van opstartintegriteit op uw VIRTUELE machine te combineren.

Belangrijk

Ondersteuning voor het inschakelen van vertrouwde lancering op bestaande Virtuele Azure-machines van de 1e generatie bevindt zich momenteel in de beperkte preview-versie. U kunt toegang krijgen tot preview met behulp van het registratieformulier.

Vereisten

• Azure Generation 2 VM is geconfigureerd met:
  • Vertrouwde lancering ondersteunde groottefamilie.
  • Installatiekopieën van het ondersteunde besturingssysteem (OS) met vertrouwde start. Voor aangepaste installatiekopieën of schijven van het besturingssysteem moet de basisinstallatiekopieën vertrouwd starten zijn.
• Azure Generation 2 VM maakt momenteel geen gebruik van functies die momenteel niet worden ondersteund met Vertrouwde start.
• Azure Generation 2-VM's moeten worden gestopt en de toewijzing ervan ongedaan worden gemaakt voordat u het beveiligingstype Vertrouwde start inschakelt.
• Azure Backup, indien ingeschakeld, voor VM's moet worden geconfigureerd met het verbeterde back-upbeleid. Het beveiligingstype Trusted Launch kan niet worden ingeschakeld voor vm's van de tweede generatie die zijn geconfigureerd met standaardbeleidsback-upbeveiliging .
  • Bestaande Back-ups van Virtuele Azure-machines kunnen worden gemigreerd van standard naar het uitgebreide beleid. Volg de stappen in Azure VM-back-ups migreren van Standard naar Uitgebreid beleid (preview).

Aanbevolen procedures

• Schakel Vertrouwde start in op een test-VM van de tweede generatie en bepaal of er wijzigingen nodig zijn om te voldoen aan de vereisten voordat u Vertrouwde lancering inschakelt op vm's van de tweede generatie die zijn gekoppeld aan productieworkloads.
• Maak herstelpunten voor Azure Generation 2-VM's die zijn gekoppeld aan productieworkloads voordat u het beveiligingstype Trusted Launch inschakelt. U kunt de herstelpunten gebruiken om de schijven en generatie 2-VM opnieuw te maken met de vorige bekende status.

Vertrouwde start inschakelen op een bestaande VIRTUELE machine

Notitie

• Nadat u Vertrouwde start hebt ingeschakeld, kunnen vm's momenteel niet worden teruggedraaid naar het standaardbeveiligingstype (niet-vertrouwde startconfiguratie).
• vTPM is standaard ingeschakeld.
• U wordt aangeraden Beveiligd opstarten in te schakelen als u geen aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt. Deze functie is niet standaard ingeschakeld. Beveiligd opstarten behoudt de opstartintegriteit en maakt fundamentele beveiliging mogelijk voor VM's.

Portal

Vertrouwde start inschakelen op een bestaande Virtuele Machine van de Tweede Generatie van Azure met behulp van De Azure-portal.

1. Meld u aan bij het Azure-portaal.

2. Controleer of de generatie van de VIRTUELE machine V2 is en selecteer Stoppen voor de VIRTUELE machine.

   

3. Selecteer Standard op de pagina Overzicht in de VM-eigenschappen onder Beveiligingstype. De pagina Configuratie voor de VIRTUELE machine wordt geopend.

   

4. Selecteer op de pagina Configuratie onder de sectie Beveiligingstype de vervolgkeuzelijst Beveiligingstype .

   

5. Selecteer In de vervolgkeuzelijst de optie Vertrouwd starten. Schakel selectievakjes in om Beveiligd opstarten en vTPM in te schakelen. Nadat u de wijzigingen hebt aangebracht, selecteert u Opslaan.

   Notitie

   • Vm's van de tweede generatie die zijn gemaakt met behulp van Azure Compute Gallery (ACG), beheerde installatiekopieën of een besturingssysteemschijf, kunnen niet worden geüpgraded naar Trusted Launch met behulp van de portal. Zorg ervoor dat de versie van het besturingssysteem wordt ondersteund voor Vertrouwd starten. Gebruik PowerShell, de Azure CLI of een ARM-sjabloon (Azure Resource Manager) om de upgrade uit te voeren.

   

6. Nadat de update is voltooid, sluit u de pagina Configuratie . Bevestig op de pagina Overzicht in de vm-eigenschappen de instellingen van het beveiligingstype .

   

7. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de virtuele machine met behulp van het Remote Desktop Protocol (RDP) voor Windows-VM's of het Secure Shell Protocol (SSH) voor Linux-VM's.

CLI

Volg de stappen om Vertrouwd starten in te schakelen op een bestaande Virtuele Machine van de Tweede Generatie van Azure met behulp van de Azure CLI.

Zorg ervoor dat u de nieuwste Azure CLI installeert en bent aangemeld bij een Azure-account met az login.

1. Meld u aan bij het Azure-abonnement voor de VM.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. De toewijzing van de virtuele machine ongedaan maken.

3. Vertrouwde start inschakelen door in te stellen --security-type op TrustedLaunch.

   az vm deallocate \
       --resource-group myResourceGroup --name myVm
   

4. Valideer de uitvoer van de vorige opdracht. Zorg ervoor dat de securityProfile configuratie wordt geretourneerd met de opdrachtuitvoer.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

5. Valideer de uitvoer van de vorige opdracht. Zorg ervoor dat de securityProfile configuratie wordt geretourneerd met de opdrachtuitvoer.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

6. Start de virtuele machine.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

7. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Powershell

Volg de stappen om Vertrouwd starten in te schakelen op een bestaande Virtuele Machine van de Tweede Generatie van Azure met behulp van Azure PowerShell.

Zorg ervoor dat u de nieuwste Azure PowerShell installeert en bent aangemeld bij een Azure-account met Connect-AzAccount.

1. Meld u aan bij het Azure-abonnement voor de VM.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. De toewijzing van de virtuele machine ongedaan maken.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Vertrouwde start inschakelen door in te stellen -SecurityType op TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Valideer securityProfile in de bijgewerkte VM-configuratie.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Start de virtuele machine.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Sjabloon

Volg de stappen voor het inschakelen van vertrouwd starten op een bestaande Virtuele Azure-machine van de tweede generatie met behulp van een ARM-sjabloon.

Een Azure Resource Manager-sjabloon is een JSON-bestand (JavaScript Object Notation) dat de infrastructuur en configuratie voor uw project definieert. Voor de sjabloon is declaratieve syntaxis vereist. U beschrijft de beoogde implementatie zonder de reeks programmeeropdrachten te schrijven om de implementatie te maken.

1. Bekijk de sjabloon.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Bewerk het parameters JSON-bestand met VM's die moeten worden bijgewerkt met het TrustedLaunch beveiligingstype.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definitie van parameterbestand

   Eigenschappen	Beschrijving van eigenschap	Voorbeeldwaarde van sjabloon
   vmName	Naam van azure Generation 2 VM.	myVm
   locatie	Locatie van Azure Generation 2 VM.	westus3
   secureBootEnabled	Schakel Beveiligd opstarten in met het beveiligingstype Vertrouwde start.	true

3. Maak de toewijzing van alle Virtuele Azure-machines van de tweede generatie ongedaan die moeten worden bijgewerkt.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Voer de implementatie van de ARM-sjabloon uit.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Gerelateerde inhoud

• Na de upgrades raden we u aan om bewaking van opstartintegriteit in te schakelen om de status van de virtuele machine te bewaken met behulp van Microsoft Defender voor Cloud.
• Meer informatie over Vertrouwd starten en veelgestelde vragen bekijken.