Vertrouwde start inschakelen voor een bestaande uniforme schaalset

Van toepassing op: ✔️ Uniforme schaalset ✔️ Flexschaalset ❌ Service Fabric

Virtuele-machineschaalsets van Azure bieden ondersteuning voor het inschakelen van vertrouwde lancering op bestaande virtuele machines van Uniform Scale sets (VM) door een upgrade uit te voeren naar het beveiligingstype Vertrouwde lancering .

Vertrouwde lancering maakt basisrekenkrachtbeveiliging mogelijk op Azure virtuele machines van de tweede generatie & schaalsets en beschermt ze tegen geavanceerde en aanhoudende aanvalstechnieken zoals bootkits en rootkits. Dit doet u door infrastructuurtechnologieën zoals Beveiligd opstarten, vTPM en Bewaking van opstartintegriteit in uw schaalset te combineren.

Limitations

• Voor het inschakelen van betrouwbare start op bestaande virtuele-machineschaalsets met gekoppelde gegevensschijven moet de upgrademodus ingesteld worden op Rolling upgrade met maximale piekcapaciteit

  • Als u wilt controleren of de schaalset is geconfigureerd met een gegevensschijf, gaat u naar de schaalset ->Schijven onder het menu Instellingen -> controleert u onder de kop Gegevensschijven

• Vertrouwde start inschakelen voor bestaande virtuele-machineschaalsets Flex is momenteel in preview. Registreren voor de preview van het inschakelen van Trusted Launch op een bestaande Flex-schaalset in de preview

• Het inschakelen van vertrouwde start op bestaande Service Fabric-clusters en beheerde Service Fabric-clusters wordt momenteel niet ondersteund.

Prerequisites

• De schaalset is niet afhankelijk van functies die momenteel niet worden ondersteund door Trusted launch.
• Schaalset moet worden geconfigureerd met de ondersteunde groottefamilie vertrouwde start

  Note

  • De grootte van de virtuele machine kan worden gewijzigd, samen met een upgrade van vertrouwde start. Zorg ervoor dat het quotum voor nieuwe VM-grootte in gebruik is om upgradefouten te voorkomen. Raadpleeg vCPU-quota controleren.
  • Als u de grootte van de virtuele machine wijzigt, wordt het exemplaar van de virtuele machine met een nieuwe grootte opnieuw gemaakt en is downtime vereist voor een afzonderlijk exemplaar van de virtuele machine. Dit kan op een rolling upgrade worden uitgevoerd om uitvaltijd van schaalsets te voorkomen.
• Schaalset moet worden geconfigureerd met de ondersteunde installatiekopieën van het besturingssysteem met vertrouwde start. Voor de installatiekopieën van het besturingssysteem van de Azure Compute-galerie moet u ervoor zorgen dat de definitie van de installatiekopieën is gemarkeerd als TrustedLaunchSupported

  Important

  Het wijzigen van de OS-image van een schaalset hermaakt de OS-schijven voor alle VM-instances met de nieuwe image. Deze wijziging betekent dat alle gegevens of aangepaste configuraties die zijn opgeslagen op de huidige besturingssysteemschijven, verloren gaan na de upgrade. Zorg ervoor dat u een back-up maakt van belangrijke informatie voordat u doorgaat.

Vertrouwde start inschakelen op bestaande schaalset Uniform

Portal

Volg de stappen voor meer informatie over het inschakelen van vertrouwde start op een bestaande uniforme schaalset met behulp van Azure Portal.

1. (Optioneel) Grootte van schaalset: ga naar Size onder Availability + scale -> Wijzig de grootte van de schaalset als de huidige groottefamilie niet wordt ondersteund met de vertrouwde startbeveiligingsconfiguratie -> Klik op Toepassen.

2. OS-afbeelding: navigeer naar Operating system onder Settings -> klik op Change image reference.

3. Werk de verwijzing naar de besturingssysteemafbeelding bij naar de Gen2-Trusted gelanceerde, ondersteunde besturingssysteemafbeelding. Zorg ervoor dat de bron-Gen2-installatiekopie beveiligingstype heeft TrustedLaunchSupported als u de installatiekopie van het besturingssysteem van de Azure Compute Gallery gebruikt:> klik op Toepassen.

4. Beveiligingstype: klik op StandardSecurity type op Overview de pagina van de schaalset OF navigeer naar Configuration onder Settings.

   

5. Werk de keuzelijst van het beveiligingstype op de Configuration-pagina bij van Standard naar Trusted launch met Enable secure boot en Enable vTPM ingeschakeld om de configuratie voor Trusted Launch-beveiliging in te schakelen. Klik Yes om wijzigingen te bevestigen.

   Note

   • vTPM is standaard ingeschakeld.
   • Beveiligd opstarten moet zijn ingeschakeld (niet standaard ingeschakeld) als u geen aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt. Beveiligd opstarten behoudt de opstartintegriteit en maakt fundamentele beveiliging mogelijk voor vm's.

   

6. Valideer de wijzigingen op de pagina van de Overview schaalset.

7. (Aanbevolen) Guest Attestation Extension: Add Guest Attestation (GA) extension for Scale set resource, which enable Boot integrity monitoring for Scale set.

8. Werk de VM-exemplaren handmatig bij als de uniforme upgrademodus van de schaalset is ingesteld op Manual.

Template

Volg de stappen met behulp van een ARM-sjabloon om Trusted Launch in te schakelen voor een bestaande uniforme schaalset.

Breng de volgende wijzigingen aan om vertrouwd starten in te schakelen met behulp van bestaande ARM-sjabloonimplementatiecode. Raadpleeg de ARM-sjabloon voor vertrouwde startschaalsets voor vertrouwde start voor een volledige sjabloon.

Important

Het beveiligingstype Vertrouwde start is beschikbaar met schaalset apiVersion2020-12-01 of hoger. Zorg ervoor dat de API-versie correct is ingesteld voordat de upgrade wordt uitgevoerd.

1. OS-afbeelding: Werk de verwijzing naar de OS-afbeelding bij met Gen2-Trusted-launchondersteunde OS-afbeelding. Zorg ervoor dat de bron-Gen2-installatiekopie beveiligingstype heeft TrustedLaunchSupported als u de installatiekopie van het besturingssysteem van de Azure Compute Gallery gebruikt.

   "storageProfile": { 
           "osDisk": { 
               "createOption": "FromImage", 
               "caching": "ReadWrite" 
           }, 
           "imageReference": { 
               "publisher": "MicrosoftWindowsServer", 
               "offer": "WindowsServer", 
               "sku": "2022-datacenter-azure-edition", 
               "version": "latest" 
           } 
   }
   

2. (Optioneel) Grootte van schaalset: wijzig de grootte van de schaalset als de huidige groottefamilie niet wordt ondersteund met de vertrouwde startbeveiligingsconfiguratie.

       "sku": { 
           "name": "Standard_D2s_v3", 
           "tier": "Standard", 
           "capacity": "[parameters('instanceCount')]" 
       } 
   

3. Beveiligingsprofiel: voeg securityProfile een blok toe onder virtualMachineProfile om de beveiligingsconfiguratie vertrouwde start in te schakelen.

   Note

   Aanbevolen instellingen: vTPM: true en secureBoot: truesecureBoot moeten worden ingesteld op false als u een niet-ondertekend aangepast stuurprogramma of kernel in het besturingssysteem gebruikt.

   "securityProfile": { 
       "securityType": "TrustedLaunch", 
       "uefiSettings": { 
         "secureBootEnabled": true, 
         "vTpmEnabled": true
       } 
   }
   

4. (Aanbevolen) Guest Attestation Extension: Add Guest Attestation (GA) extension for Scale set resource, which enable Boot integrity monitoring for Scale set.

   Important

   De extensie voor gastattest vereist secureBoot en vTPM ingesteld op true.

   { 
       "condition": "[and(parameters('vTPM'), parameters('secureBoot'))]", 
       "type": "Microsoft.Compute/virtualMachineScaleSets/extensions", 
       "apiVersion": "2022-03-01", 
       "name": "[format('{0}/{1}', parameters('vmssName'), GuestAttestation)]", 
       "location": "[parameters('location')]", 
       "properties": { 
         "publisher": "Microsoft.Azure.Security.WindowsAttestation", 
         "type": "GuestAttestation", 
         "typeHandlerVersion": "1.0", 
         "autoUpgradeMinorVersion": true, 
         "enableAutomaticUpgrade": true, 
         "settings": { 
           "AttestationConfig": { 
             "MaaSettings": { 
               "maaEndpoint": "[substring('emptystring', 0, 0)]", 
               "maaTenantName": "GuestAttestation" 
             } 
           } 
         } 
       }, 
       "dependsOn": [ 
         "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]" 
       ] 
   } 
   

   Naam van extensie-uitgever:

   Type besturingssysteem	Naam van extensie-uitgever
   Windows	Microsoft.Azure.Security.WindowsAttestation
   Linux	Microsoft.Azure.Security.LinuxAttestation

5. Controleer de wijzigingen in de sjabloon.

   Vouw uit om de volledige ARM-voorbeeldsjabloon weer te geven, die ondersteuning biedt voor het upgraden van bestaande schaalsets naar vertrouwd starten en terugdraaien (indien nodig).

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "vmSku": {
         "type": "string",
         "defaultValue": "Standard_D2s_v3",
         "metadata": {
           "description": "Size of VMs in the VM Scale Set."
         }
       },
       "sku": {
         "type": "string",
         "defaultValue": "2022-datacenter-azure-edition",
         "allowedValues": [
           "2022-datacenter-azure-edition"
         ],
         "metadata": {
           "description": "The Windows version for the VM. This will pick a fully patched image of this given Windows version."
         }
       },
       "vmssName": {
         "type": "string",
         "maxLength": 61,
         "metadata": {
           "description": "String used as a base for naming resources. Must be 3-61 characters in length and globally unique across Azure. A hash is prepended to this string for some resources, and resource-specific information is appended."
         }
       },
       "instanceCount": {
         "type": "int",
         "defaultValue": 2,
         "maxValue": 100,
         "minValue": 1,
         "metadata": {
           "description": "Number of VM instances (100 or less)."
         }
       },
       "adminUsername": {
         "type": "string",
         "metadata": {
           "description": "Admin username on all VMs."
         }
       },
       "adminPassword": {
         "type": "securestring",
         "metadata": {
           "description": "Admin password on all VMs."
         }
       },
       "location": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "metadata": {
           "description": "Location for all resources."
         }
       },
       "publicIpName": {
         "type": "string",
         "defaultValue": "myPublicIP",
         "metadata": {
           "description": "Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "publicIPAllocationMethod": {
         "type": "string",
         "defaultValue": "Static",
         "allowedValues": [
           "Dynamic",
           "Static"
         ],
         "metadata": {
           "description": "Allocation method for the Public IP used to access the virtual machine set."
         }
       },
       "publicIpSku": {
         "type": "string",
         "defaultValue": "Standard",
         "allowedValues": [
           "Basic",
           "Standard"
         ],
         "metadata": {
           "description": "SKU for the Public IP used to access the virtual machine Scale set."
         }
       },
       "dnsLabelPrefix": {
         "type": "string",
         "defaultValue": "[toLower(format('{0}-{1}', parameters('vmssName'), uniqueString(resourceGroup().id)))]",
         "metadata": {
           "description": "Unique DNS Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "healthExtensionProtocol": {
         "type": "string",
         "defaultValue": "TCP",
         "allowedValues": [
           "TCP",
           "HTTP",
           "HTTPS"
         ]
       },
       "healthExtensionPort": {
         "type": "int",
         "defaultValue": 3389
       },
       "healthExtensionRequestPath": {
         "type": "string",
         "defaultValue": "/"
       },
       "overprovision": {
         "type": "bool",
         "defaultValue": false
       },
       "upgradePolicy": {
         "type": "string",
         "defaultValue": "Manual",
         "allowedValues": [
           "Manual",
           "Rolling",
           "Automatic"
         ]
       },
       "maxBatchInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyUpgradedInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "pauseTimeBetweenBatches": {
         "type": "string",
         "defaultValue": "PT5S"
       },
       "securityType": {
         "type": "string",
         "defaultValue": "TrustedLaunch",
         "allowedValues": [
           "Standard",
           "TrustedLaunch"
         ],
         "metadata": {
           "description": "Security Type of the Virtual Machine."
         }
       },
       "encryptionAtHost": {
           "type": "bool",
           "defaultValue": false,
           "metadata": {
               "description": "This property can be used by user in the request to enable or disable the Host Encryption for the virtual machine or virtual machine Scale set. This will enable the encryption for all the disks including Resource/Temp disk at host itself. The default behavior is: The Encryption at host will be disabled unless this property is set to true for the resource."
           }
       }
     },
     "variables": {
       "namingInfix": "[toLower(substring(format('{0}{1}', parameters('vmssName'), uniqueString(resourceGroup().id)), 0, 9))]",
       "addressPrefix": "10.0.0.0/16",
       "subnetPrefix": "10.0.0.0/24",
       "virtualNetworkName": "[format('{0}vnet', variables('namingInfix'))]",
       "subnetName": "[format('{0}subnet', variables('namingInfix'))]",
       "loadBalancerName": "[format('{0}lb', variables('namingInfix'))]",
       "natPoolName": "[format('{0}natpool', variables('namingInfix'))]",
       "bePoolName": "[format('{0}bepool', variables('namingInfix'))]",
       "natStartPort": 50000,
       "natEndPort": 50119,
       "natBackendPort": 3389,
       "nicName": "[format('{0}nic', variables('namingInfix'))]",
       "ipConfigName": "[format('{0}ipconfig', variables('namingInfix'))]",
       "imageReference": {
         "2022-datacenter-azure-edition": {
           "publisher": "MicrosoftWindowsServer",
           "offer": "WindowsServer",
           "sku": "[parameters('sku')]",
           "version": "latest"
         }
       },
       "extensionName": "GuestAttestation",
       "extensionPublisher": "Microsoft.Azure.Security.WindowsAttestation",
       "extensionVersion": "1.0",
       "maaTenantName": "GuestAttestation",
       "maaEndpoint": "[substring('emptyString', 0, 0)]",
       "uefiSettingsJson": {
           "secureBootEnabled": true,
           "vTpmEnabled": true
       },
       "rollingUpgradeJson": {
         "maxBatchInstancePercent": "[parameters('maxBatchInstancePercent')]",
         "maxUnhealthyInstancePercent": "[parameters('maxUnhealthyInstancePercent')]",
         "maxUnhealthyUpgradedInstancePercent": "[parameters('maxUnhealthyUpgradedInstancePercent')]",
         "pauseTimeBetweenBatches": "[parameters('pauseTimeBetweenBatches')]"
       }
     },
     "resources": [
       {
         "type": "Microsoft.Network/virtualNetworks",
         "apiVersion": "2022-05-01",
         "name": "[variables('virtualNetworkName')]",
         "location": "[parameters('location')]",
         "properties": {
           "addressSpace": {
             "addressPrefixes": [
               "[variables('addressPrefix')]"
             ]
           },
           "subnets": [
             {
               "name": "[variables('subnetName')]",
               "properties": {
                 "addressPrefix": "[variables('subnetPrefix')]"
               }
             }
           ]
         }
       },
       {
         "type": "Microsoft.Network/publicIPAddresses",
         "apiVersion": "2022-05-01",
         "name": "[parameters('publicIpName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]"
         },
         "properties": {
           "publicIPAllocationMethod": "[parameters('publicIPAllocationMethod')]",
           "dnsSettings": {
             "domainNameLabel": "[parameters('dnsLabelPrefix')]"
           }
         }
       },
       {
         "type": "Microsoft.Network/loadBalancers",
         "apiVersion": "2022-05-01",
         "name": "[variables('loadBalancerName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]",
           "tier": "Regional"
         },
         "properties": {
           "frontendIPConfigurations": [
             {
               "name": "LoadBalancerFrontEnd",
               "properties": {
                 "publicIPAddress": {
                   "id": "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
                 }
               }
             }
           ],
           "backendAddressPools": [
             {
               "name": "[variables('bePoolName')]"
             }
           ],
           "inboundNatPools": [
             {
               "name": "[variables('natPoolName')]",
               "properties": {
                 "frontendIPConfiguration": {
                   "id": "[resourceId('Microsoft.Network/loadBalancers/frontendIPConfigurations', variables('loadBalancerName'), 'loadBalancerFrontEnd')]"
                 },
                 "protocol": "Tcp",
                 "frontendPortRangeStart": "[variables('natStartPort')]",
                 "frontendPortRangeEnd": "[variables('natEndPort')]",
                 "backendPort": "[variables('natBackendPort')]"
               }
             }
           ]
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
         ]
       },
       {
         "type": "Microsoft.Compute/virtualMachineScaleSets",
         "apiVersion": "2022-03-01",
         "name": "[parameters('vmssName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('vmSku')]",
           "tier": "Standard",
           "capacity": "[parameters('instanceCount')]"
         },
         "properties": {
           "virtualMachineProfile": {
             "storageProfile": {
               "osDisk": {
                 "createOption": "FromImage",
                 "caching": "ReadWrite"
               },
               "imageReference": "[variables('imageReference')[parameters('sku')]]"
             },
             "osProfile": {
               "computerNamePrefix": "[variables('namingInfix')]",
               "adminUsername": "[parameters('adminUsername')]",
               "adminPassword": "[parameters('adminPassword')]"
             },
             "securityProfile": {
                 "encryptionAtHost": "[parameters('encryptionAtHost')]",
                 "securityType": "[parameters('securityType')]",
                 "uefiSettings": "[if(equals(parameters('securityType'), 'TrustedLaunch'), variables('uefiSettingsJson'), null())]"
                 
             },
             "networkProfile": {
               "networkInterfaceConfigurations": [
                 {
                   "name": "[variables('nicName')]",
                   "properties": {
                     "primary": true,
                     "ipConfigurations": [
                       {
                         "name": "[variables('ipConfigName')]",
                         "properties": {
                           "subnet": {
                             "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', variables('virtualNetworkName'), variables('subnetName'))]"
                           },
                           "loadBalancerBackendAddressPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/backendAddressPools', variables('loadBalancerName'), variables('bePoolName'))]"
                             }
                           ],
                           "loadBalancerInboundNatPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/inboundNatPools', variables('loadBalancerName'), variables('natPoolName'))]"
                             }
                           ]
                         }
                       }
                     ]
                   }
                 }
               ]
             },
             "extensionProfile": {
               "extensions": [
                 {
                   "name": "HealthExtension",
                   "properties": {
                     "publisher": "Microsoft.ManagedServices",
                     "type": "ApplicationHealthWindows",
                     "typeHandlerVersion": "1.0",
                     "autoUpgradeMinorVersion": false,
                     "settings": {
                       "protocol": "[parameters('healthExtensionProtocol')]",
                       "port": "[parameters('healthExtensionPort')]",
                       "requestPath": "[if(equals(parameters('healthExtensionProtocol'), 'TCP'), null(), parameters('healthExtensionRequestPath'))]"
                     }
                   }
                 }
               ]
             },
             "diagnosticsProfile": {
               "bootDiagnostics": {
                 "enabled": true
               }
             }
           },
           "orchestrationMode": "Uniform",
           "overprovision": "[parameters('overprovision')]",
           "upgradePolicy": {
             "mode": "[parameters('upgradePolicy')]",
             "rollingUpgradePolicy": "[if(equals(parameters('upgradePolicy'), 'Rolling'), variables('rollingUpgradeJson'), null())]",
             "automaticOSUpgradePolicy": {
               "enableAutomaticOSUpgrade": true
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/loadBalancers', variables('loadBalancerName'))]",
           "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]"
         ]
       },
       {
         "condition": "[and(equals(parameters('securityType'), 'TrustedLaunch'), and(equals(variables('uefiSettingsJson').secureBootEnabled, true()), equals(variables('uefiSettingsJson').vTpmEnabled, true())))]",
         "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
         "apiVersion": "2022-03-01",
         "name": "[format('{0}/{1}', parameters('vmssName'), variables('extensionName'))]",
         "location": "[parameters('location')]",
         "properties": {
           "publisher": "[variables('extensionPublisher')]",
           "type": "[variables('extensionName')]",
           "typeHandlerVersion": "[variables('extensionVersion')]",
           "autoUpgradeMinorVersion": true,
           "enableAutomaticUpgrade": true,
           "settings": {
             "AttestationConfig": {
               "MaaSettings": {
                 "maaEndpoint": "[variables('maaEndpoint')]",
                 "maaTenantName": "[variables('maaTenantName')]"
               }
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]"
         ]
       }
     ]
   }
   

6. Voer de implementatie van de ARM-sjabloon uit.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

7. Controleer of de implementatie is geslaagd. Controleer op het beveiligingstype en de UEFI-instellingen van de schaalset uniform met behulp van Azure Portal. Controleer de sectie Beveiligingstype op de pagina Overzicht.

   

8. Werk de VM-exemplaren handmatig bij als de uniforme upgrademodus van de schaalset is ingesteld op Manual.

   $resourceGroupName = "myResourceGroup"
   $vmssName = "VMScaleSet001"
   Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "0"
   

CLI

In deze sectie wordt stapsgewijs uitgelegd hoe u de Azure CLI gebruikt om vertrouwd starten in te schakelen voor een bestaande Uniform-resource voor Azure-schaalsets.

Zorg ervoor dat de nieuwste versie van Azure CLI is geïnstalleerd en aangemeld bij een Azure-account met az login.

Note

• vTPM is standaard ingeschakeld.
• Beveiligd opstarten moet zijn ingeschakeld (niet standaard ingeschakeld) als u geen aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt. Beveiligd opstarten behoudt de opstartintegriteit en maakt fundamentele beveiliging mogelijk voor vm's.

1. Aanmelden bij Azure-abonnement

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Schakel vertrouwd starten in met de opdracht az vmss update door instelling --security-type: TrustedLaunch, virtualMachineProfile.storageProfile.imageReference.sku: Gen2-Trusted launch supported OS image, --vm-sku: Gen2-Trusted launch supported VM size.

   az vmss update --name MyScaleSet `
       --resource-group MyResourceGroup `
       --set virtualMachineProfile.storageProfile.imageReference.sku='2022-datacenter-azure-edition' `
       --security-type TrustedLaunch --enable-secure-boot $true --enable-vtpm $true
   

   Note

   De OS-afbeelding-SKU die in de az vmss update wordt gebruikt, moet afkomstig zijn van dezelfde uitgever en aanbieding voor besturingssysteemafbeeldingen.

3. De uitvoer van de vorige opdracht valideren. securityProfile configuratie wordt geretourneerd met opdrachtuitvoer.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Werk de VM-exemplaren handmatig bij als de uniforme upgrademodus van de schaalset is ingesteld op Manual.

   az vmss update-instances --instance-ids 1 --name MyScaleSet --resource-group MyResourceGroup
   

5. Start de rolling upgrade als de uniforme upgrademodus van de schaalset wordt ingesteld op RollingUpgrade.

   az vmss rolling-upgrade start --name MyScaleSet --resource-group MyResourceGroup
   

PowerShell

In deze sectie wordt stapsgewijs uitgelegd hoe u Azure PowerShell gebruikt om vertrouwd starten in te schakelen voor een bestaande virtuele-machineschaalset van Azure.

Zorg ervoor dat de nieuwste Azure PowerShell is geïnstalleerd en aangemeld bij een Azure-account met Connect-AzAccount.

Note

• vTPM is standaard ingeschakeld.
• Beveiligd opstarten moet zijn ingeschakeld (niet standaard ingeschakeld) als u geen aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt. Beveiligd opstarten behoudt de opstartintegriteit en maakt fundamentele beveiliging mogelijk voor vm's.

1. Aanmelden bij Azure-abonnement

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Schakel Vertrouwde Launch in met de opdracht Update-AzVMSS door het instellen van: -SecurityType, TrustedLaunch: Gen2-Vertrouwde Launch-ondersteunde OS-afbeelding, ImageReferenceSku: Gen2-Vertrouwde Launch-ondersteunde VM-grootte.

   $vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup
   
   # Enable Trusted Launch
   $vmss = Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType TrustedLaunch
   
   # Enable Trusted Launch settings
   $vmss = Set-AzVmssUefi -VirtualMachineScaleSet $vmss -EnableVtpm $true -EnableSecureBoot $true
   
   Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
       -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
       -SecurityType TrustedLaunch -EnableVtpm $true -EnableSecureBoot $true `
       -ImageReferenceSku 2022-datacenter-azure-edition
   

   Note

   De SKU van de installatiekopieën van het besturingssysteem die wordt gebruikt in de opdracht Update-AzVMSS, moet afkomstig zijn van dezelfde besturingssysteeminstallatiekopieënuitgever en aanbieding.

3. Controleer of de securityProfile-configuratie wordt geretourneerd met de uitvoer van de Get-AzVMSS-commando.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Werk de VM-exemplaren handmatig bij als de uniforme upgrademodus van de schaalset is ingesteld op Manual.

   Update-AzVmssInstance -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet" -InstanceId "0"
   

5. Start de rolling upgrade als de uniforme upgrademodus van de schaalset is ingesteld op RollingUpgrade.

   Start-AzVmssRollingOSUpgrade -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet"
   

Terugdraaien

Als u wijzigingen wilt terugdraaien van vertrouwde start naar een eerdere bekende goede configuratie, moet u een schaalset instellen securityType op Standard.

Portal

1. OS-image: navigeer naar Operating system onder Settings. Klik op Change image reference.

2. Werk de verwijzing naar de besturingssysteeminstallatiekopie bij naar de laatst bekende goede configuratie:> klik op Toepassen.

3. Beveiligingstype: Navigeer naar Configuration pagina onder Settings -> Update de beveiligingstype vervolgkeuzelijst op de Configuration pagina, van Trusted launch naar Standard, om de Trusted Launch-beveiligingsconfiguratie uit te schakelen. Klik Yes om wijzigingen te bevestigen.

4. Valideer de wijzigingen op de pagina van de Overview schaalset.

5. Werk de VM-exemplaren handmatig bij als de uniforme upgrademodus van de schaalset is ingesteld op Manual.

Template

Als u wijzigingen wilt terugdraaien van vertrouwde start naar een eerdere bekende goede configuratie, stelt u deze in op securityProfileStandard , zoals wordt weergegeven. Desgewenst kunt u ook andere parameterwijzigingen herstellen: installatiekopieën van het besturingssysteem, de VM-grootte en herhaal stap 5-8 beschreven met Vertrouwde start inschakelen voor bestaande schaalset

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

CLI

Note

Vereiste Azure CLI versie 2.62.0 of hoger voor het terugdraaien van uniforme schaalsets van vertrouwde lancering naar niet-vertrouwde startconfiguratie.

Als u wijzigingen wilt terugdraaien van 'Trusted launch' naar een eerdere bekende goede configuratie, stelt u --security-type in op Standard zoals wordt weergegeven. U kunt desgewenst ook andere parameterwijzigingen herstellen: installatiekopieën van het besturingssysteem, de grootte van de virtuele machine en herhaal stap 2-5 die worden beschreven met Vertrouwde start inschakelen voor bestaande schaalsets

az vmss update --name MyScaleSet `
        --resource-group MyResourceGroup `
        --security-type Standard

PowerShell

Als u wijzigingen wilt terugdraaien van 'Trusted launch' naar een eerdere bekende goede configuratie, stelt u -SecurityType in op Standard zoals wordt weergegeven. U kunt desgewenst ook andere parameterwijzigingen herstellen: installatiekopieën van het besturingssysteem, de grootte van de virtuele machine en herhaal stap 2-5 die worden beschreven met Vertrouwde start inschakelen voor bestaande schaalsets

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# roll back Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType Standard

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType Standard `
    -ImageReferenceSku 2022-datacenter-azure-edition

Volgende stappen

(Aanbevolen) Na upgrades kunt u bewaking van opstartintegriteit inschakelen om de status van de VIRTUELE machine te bewaken met Behulp van Microsoft Defender voor Cloud.

Meer informatie over vertrouwd starten en veelgestelde vragen bekijken.