Veelgestelde vragen over een vertrouwde start

Veelgestelde vragen over azure Trusted Launch-functiegebruiksvoorbeelden, ondersteuning voor andere Azure-functies en oplossingen voor veelvoorkomende fouten.

Gebruiksgevallen

In deze sectie vindt u antwoorden op vragen over use cases voor Vertrouwd starten.

Waarom moet ik Vertrouwde start gebruiken? Wat beveiligt Trusted Launch tegen?

Trusted Launch beschermt tegen opstartkits, rootkits en malware op kernelniveau. Deze geavanceerde typen malware worden uitgevoerd in de kernelmodus en blijven verborgen voor gebruikers. Voorbeeld:

Firmware-rootkits: deze kits overschrijven de firmware van het BIOS van de virtuele machine (VM), zodat de rootkit kan starten vóór het besturingssysteem (OS).
Opstartkits: Deze kits vervangen het opstartlaadprogramma van het besturingssysteem, zodat de VM de opstartkit vóór het besturingssysteem laadt.
Kernel-rootkits: Deze kits vervangen een deel van de besturingssysteemkernel, zodat de rootkit automatisch kan worden gestart wanneer het besturingssysteem wordt geladen.
Rootkits van stuurprogramma's: deze kits doen zich voor als een van de vertrouwde stuurprogramma's die het besturingssysteem gebruikt om te communiceren met de onderdelen van de VIRTUELE machine.

Wat zijn de verschillen tussen Beveiligd opstarten en gemeten opstarten?

In een secure boot-keten controleert elke stap in het opstartproces een cryptografische handtekening van de volgende stappen. Het BIOS controleert bijvoorbeeld een handtekening op het laadprogramma en het laadprogramma controleert handtekeningen op alle kernelobjecten die worden geladen, enzovoort. Als een van de objecten is aangetast, komt de handtekening niet overeen en wordt de VIRTUELE machine niet opgestart. Zie voor meer informatie beveiligd opstarten.

Hoe vergelijkt Trusted Launch zich met de afgeschermde Hyper-V-VM?

Hyper-V Afgeschermde VM is momenteel alleen beschikbaar op Hyper-V. Hyper-V Afgeschermde VM wordt doorgaans geïmplementeerd met beveiligde infrastructuur. Een beveiligde infrastructuur bestaat uit een Host Guardian-service (HGS), een of meer beveiligde hosts en een set afgeschermde VM's. Afgeschermde Hyper-V-VM's worden gebruikt in fabrics waar de gegevens en status van de VIRTUELE machine moeten worden beschermd tegen verschillende actoren. Deze actoren zijn zowel infrastructuurbeheerders als niet-vertrouwde software die mogelijk wordt uitgevoerd op de Hyper-V-hosts.

Vertrouwde lancering kan worden geïmplementeerd als een zelfstandige VM of als virtuele-machineschaalsets in Azure zonder andere implementatie en beheer van HGS. Alle functies van Trusted Launch kunnen worden ingeschakeld met een eenvoudige wijziging in de implementatie of een selectievakje in Azure Portal.

Wat is VM-gaststatus (VMGS)?

VM-gaststatus (VMGS) is specifiek voor VM's met vertrouwde start. Het is een blob die wordt beheerd door Azure en bevat de geïntegreerde UEFI(Extensible Firmware Interface) Secure Boot Signature-databases en andere beveiligingsgegevens. De levenscyclus van de VMGS-blob is gekoppeld aan die van de besturingssysteemschijf.

Ondersteunde functies en implementaties

In deze sectie worden ondersteunde functies en implementaties van Trusted Launch besproken.

Wordt Azure Compute Gallery ondersteund door Trusted Launch?

Met Vertrouwde start kunnen nu installatiekopieën worden gemaakt en gedeeld via de Azure Compute Gallery (voorheen Shared Image Gallery). De bron van de afbeeldingen kan het volgende zijn:

Een bestaande Azure-VM die gegeneraliseerd of gespecialiseerd is.
Een bestaande beheerde schijf of een momentopname.
Een virtuele harde schijf (VHD) of een afbeeldingsversie uit een andere bibliotheek.

Zie Vertrouwde start-VM's implementeren voor meer informatie over het implementeren van een VERTROUWDE start-VM met behulp van de Azure Compute Gallery.

Wordt Azure Backup ondersteund door Trusted Launch?

Trusted Launch ondersteunt nu Azure Backup. Zie ondersteuningsmatrix voor Back-up van Azure-VM's voor meer informatie.

Blijft Azure Backup werken nadat ik Vertrouwde start heb ingeschakeld?

Back-ups die zijn geconfigureerd met het verbeterde beleid , blijven back-ups van VM's maken nadat u Vertrouwde start hebt ingeschakeld.

Worden tijdelijke besturingssysteemschijven ondersteund door Trusted Launch?

Trusted Launch ondersteunt tijdelijke besturingssysteemschijven. Zie Trusted Launch voor tijdelijke besturingssysteemschijven voor meer informatie.

Notitie

Voor vm's die met tijdelijke schijven zijn gemaakt, worden sleutels en geheimen die zijn gegenereerd of verzegeld door de virtuele Trusted Platform Module (vTPM) na het maken van de virtuele machine mogelijk niet behouden voor bewerkingen zoals opnieuw opstarten en platformgebeurtenissen, zoals serviceherstel.

Zijn er ook beveiligingsfuncties beschikbaar met vertrouwde lancering die van toepassing zijn op gegevensschijven?

Vertrouwde lancering biedt basisbeveiliging voor het besturingssysteem dat wordt gehost in een virtuele machine door de opstartintegriteit ervan te bevestigen. Beveiligingsfuncties voor vertrouwde lanceringen zijn alleen van toepassing op het uitvoeren van besturingssysteem- en besturingssysteemschijven. Ze zijn niet van toepassing op gegevensschijven of binaire besturingssysteembestanden die zijn opgeslagen in gegevensschijven. Zie Overzicht van vertrouwd starten voor meer informatie

Kan een virtuele machine worden hersteld met behulp van back-ups die zijn gemaakt voordat Vertrouwde start is ingeschakeld?

Back-ups die zijn gemaakt voordat u een bestaande generatie 2-VM bijwerken naar Vertrouwd starten , kunnen worden gebruikt om de hele VIRTUELE machine of afzonderlijke gegevensschijven te herstellen. Ze kunnen niet alleen worden gebruikt om de besturingssysteemschijf te herstellen of te vervangen.

Hoe vind ik VM-grootten die ondersteuning bieden voor vertrouwd starten?

Zie de lijst met VM-grootten van de tweede generatie die ondersteuning bieden voor Vertrouwde lancering.

Gebruik de volgende opdrachten om te controleren of een VM-grootte van de tweede generatie geen ondersteuning biedt voor Vertrouwd starten.

CLI
Powershell

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

Het antwoord is vergelijkbaar met het volgende formulier. Uitvoer die TrustedLaunchDisabled True bevat, geeft aan dat de VM-grootte van de tweede generatie geen ondersteuning biedt voor Veilig Starten. Als het een VM-grootte van de tweede generatie is en TrustedLaunchDisabled geen deel uitmaakt van de uitvoer, wordt Vertrouwd starten ondersteund voor die VM-grootte.

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

Hoe kan ik valideren dat mijn installatiekopieën van het besturingssysteem ondersteuning bieden voor Vertrouwd starten?

Bekijk de lijst met ondersteunde besturingssysteemversies met Vertrouwde start.

Installatiekopieën van Marketplace-besturingssysteem

Gebruik de volgende opdrachten om te controleren of een Installatiekopieën van een Azure Marketplace-besturingssysteem ondersteuning biedt voor vertrouwd starten.

CLI
Powershell

az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"

Het antwoord is vergelijkbaar met het volgende formulier. Als hyperVGeneration dit het resultaat is v2 en SecurityType bevat TrustedLaunch , ondersteunt de installatiekopieën van het besturingssysteem van de tweede generatie vertrouwde start.

{
  "architecture": "x64",
  "automaticOsUpgradeProperties": {
    "automaticOsUpgradeSupported": false
  },
  "dataDiskImages": [],
  "disallowed": {
    "vmDiskType": "Unmanaged"
  },
  "extendedLocation": null,
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchAndConfidentialVmSupported"
    },
    {
      "name": "IsAcceleratedNetworkSupported",
      "value": "True"
    },
    {
      "name": "DiskControllerTypes",
      "value": "SCSI, NVMe"
    },
    {
      "name": "IsHibernateSupported",
      "value": "True"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/westus/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
  "imageDeprecationStatus": {
    "alternativeOption": null,
    "imageState": "Active",
    "scheduledDeprecationTime": null
  },
  "location": "westus",
  "name": "20348.1906.230803",
  "osDiskImage": {
    "operatingSystem": "Windows",
    "sizeInGb": 127
  },
  "plan": null,
  "tags": null
}

Get-AzVMImage -Skus 22_04-lts-gen2 -PublisherName Canonical -Offer 0001-com-ubuntu-server-jammy -Location westus3 -Version latest

U kunt de uitvoer van de opdracht gebruiken met virtuele machines - API ophalen. Het antwoord is vergelijkbaar met het volgende formulier. Als hyperVGeneration dit het resultaat is v2 en SecurityType bevat TrustedLaunch , ondersteunt de installatiekopieën van het besturingssysteem van de tweede generatie vertrouwde start.

{
    "properties": {
        "hyperVGeneration": "V2",
        "architecture": "x64",
        "replicaType": "Managed",
        "replicaCount": 10,
        "disallowed": {
            "vmDiskType": "Unmanaged"
        },
        "automaticOSUpgradeProperties": {
            "automaticOSUpgradeSupported": false
        },
        "imageDeprecationStatus": {
            "imageState": "Active"
        },
        "features": [
            {
                "name": "SecurityType",
                "value": "TrustedLaunchSupported"
            },
            {
                "name": "IsAcceleratedNetworkSupported",
                "value": "True"
            },
            {
                "name": "DiskControllerTypes",
                "value": "SCSI, NVMe"
            },
            {
                "name": "IsHibernateSupported",
                "value": "True"
            }
        ],
        "osDiskImage": {
            "operatingSystem": "Linux",
            "sizeInGb": 30
        },
        "dataDiskImages": []
    },
    "location": "WestUS3",
    "name": "22.04.202309080",
    "id": "/Subscriptions/00000000-0000-0000-0000-000000000000/Providers/Microsoft.Compute/Locations/WestUS3/Publishers/Canonical/ArtifactTypes/VMImage/Offers/0001-com-ubuntu-server-jammy/Skus/22_04-lts-gen2/Versions/22.04.202309080"
}

Azure Compute Gallery-OS-afbeelding

Gebruik de volgende opdrachten om te controleren of een installatiekopieën van het besturingssysteem van de Azure Compute Gallery ondersteuning biedt voor Vertrouwd starten.

CLI
Powershell

az sig image-definition show `
    --gallery-image-definition myImageDefinition `
    --gallery-name myImageGallery `
    --resource-group myImageGalleryRg

{
  "architecture": "x64",
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
  "identifier": {
    "offer": "myImageDefinition",
    "publisher": "myImageDefinition",
    "sku": "myImageDefinition"
  },
  "location": "westus3",
  "name": "myImageDefinition",
  "osState": "Generalized",
  "osType": "Windows",
  "provisioningState": "Succeeded",
  "recommended": {
    "memory": {
      "max": 32,
      "min": 1
    },
    "vCPUs": {
      "max": 16,
      "min": 1
    }
  },
  "resourceGroup": "myImageGalleryRg",
  "tags": {},
  "type": "Microsoft.Compute/galleries/images"
}

Get-AzGalleryImageDefinition -ResourceGroupName myImageGalleryRg `
    -GalleryName myImageGallery -GalleryImageDefinitionName myImageDefinition

ResourceGroupName : myImageGalleryRg
OsType            : Windows
OsState           : Generalized
HyperVGeneration  : V2
Identifier        :
  Publisher       : myImageDefinition
  Offer           : myImageDefinition
  Sku             : myImageDefinition
Recommended       :
  VCPUs           :
    Min           : 1
    Max           : 16
  Memory          :
    Min           : 1
    Max           : 32
ProvisioningState : Succeeded
Id                : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition
Name              : myImageDefinition
Type              : Microsoft.Compute/galleries/images
Location          : westus3
Tags              : {}
Features[0]       :
  Name            : SecurityType
  Value           : TrustedLaunchSupported
Architecture      : x64

Hoe kan ik de compatibiliteit met beveiligde opstartbewerkingen voor Gen1- of Gen2-VM valideren voordat ik een upgrade naar vertrouwde lancering uitvoert?

Als u de aanwezigheid van niet-vertrouwde opstartonderdelen of kernelmodules in uw bestaande Gen1/Gen2 Linux-VM's zelf wilt evalueren voordat u migreert naar Vertrouwd starten, kunt u het SBInfo hulpprogramma van het Linux-beveiligingspakket gebruiken

Maak verbinding met uw Azure Linux Gen1/Gen2-VM.
Installeer het hulpprogramma SBInfo voor de distributie die uw VIRTUELE machine uitvoert. Het bevindt zich in het Linux-beveiligingspakket.

Raadpleeg Linux Vertrouwde Start Beveiligde Opstartvalidatie voor distributie-gebaseerde installatieopdrachten voor hulpprogramma's.

Hoe werken externe communicatiestuurprogramma's met vertrouwde start-VM's?

Als u COM-poorten (Component Object Model) toevoegt, moet u Beveiligd opstarten uitschakelen. COM-poorten zijn standaard uitgeschakeld in VM's met vertrouwde start.

Vertrouwde lancering als standaard (TLaD)

Wat is Vertrouwde start als standaardinstelling?

Vertrouwde start als standaard (TLaD) is momenteel in preview voor alle clients en algemeen beschikbaar voor Azure Portal, PowerShell en CLI. Zie De standaardinstelling voor vertrouwde lancering (preview) voor meer informatie.

Heeft TLaD invloed op bestaande VM's en schaalsets?

Vertrouwde start als standaard wijzigt geen bestaande Azure Virtuele Machines of schaalsets die al gedurende uitvoering in uw omgeving zijn.

Moet ik mijn automatiseringsscripts of implementatiesjablonen bijwerken?

U moet de API-versies voor de volgende resourceproviders bijwerken om de standaard end-to-end-ervaring voor vertrouwde lancering te valideren als onderdeel van de preview:

Microsoft.Compute/virtualMachines – API-versie 2021-11-01 of hoger.
Microsoft.Compute/virtualMachineScaleSets – API-versie 2021-11-01 of hoger.

Ik gebruik momenteel een Gen2-VM of schaalset zonder Trusted Launch en wil de configuratie van Non-Trusted Launch blijven gebruiken na de algemene beschikbaarheid van TLaD.

Vertrouwde start-VM's bieden u basisbeveiliging voor rekenkracht zonder extra kosten. U wordt ten zeerste aangeraden deze niet uit te schakelen voor nieuwe VM- of schaalsetimplementaties. Neem contact met ons op via Trusted Launch standaardfeedback.

Zie Kan ik de vertrouwde start uitschakelen voor nieuwe implementatie als u de vertrouwde start expliciet moet uitschakelen.

Wat kunnen mogelijke situaties zijn waarin ik de standaardinstellingen van Trusted Launch voor VM's of schaalsets moet omzeilen?

U moet de standaardinstelling voor vertrouwde lancering expliciet omzeilen als een van de volgende scenario's van toepassing is op uw Gen2-VM of schaalsetimplementaties:

Gen2-VM wordt gebruikt om TrustedLaunchSupported of TrustedLaunchAndConfidentialVMSupported of ConfidentialVMSupportedAzure-rekengalerie-installatiekopieën te genereren via Azure Image Builder (AIB) of Packer. OF
Gen2-VM wordt gebruikt voor het maken van beheerde installatiekopieën*. OF
Voor Gen2 Linux-VM is de Sluimerstand ingeschakeld.

Notitie

Als de implementatie afhankelijk is van beheerde installatiekopieën, wordt u aangeraden azure Compute Gallery te gebruiken voor de meest recente technologie. Alle nieuwe functies, zoals ARM64, Trusted Launch en Confidential VM, worden alleen ondersteund via de Azure Compute Gallery. Als u een bestaande beheerde installatiekopie hebt, kunt u deze migreren naar de Azure Compute Gallery.

Kan ik Vertrouwde start uitschakelen voor een nieuwe VM-implementatie?

Vertrouwde start-VM's bieden u basisbeveiliging voor rekenkracht. U wordt ten zeerste aangeraden deze niet uit te schakelen voor nieuwe VM- of schaalsetimplementaties, behalve als uw implementaties afhankelijk zijn van:

U kunt de securityType parameter met de Standard waarde gebruiken om Vertrouwde start uit te schakelen in nieuwe VM- of schaalsetimplementaties met behulp van Azure PowerShell (v10.3.0+) en de Azure CLI (v2.53.0+).

Notitie

Parameter securityType met waarde Standard kan worden gebruikt als het abonnement een functievlag UseStandardSecurityType heeft geregistreerd onder Microsoft.Compute naamruimte. Raadpleeg de functie Setup in het Azure-abonnement voor stappen om de vereiste functie in te schakelen.
Het wordt afgeraden Beveiligd opstarten uit te schakelen, tenzij u aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt.

Als u Beveiligd opstarten wilt uitschakelen, schakelt u onder de configuratie van de VIRTUELE machine de optie Beveiligd opstarten inschakelen uit.

Voorbeeldelement securityProfile van ARM-sjabloon voor het gebruik van securityType parameter met waarde Standard

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
    --security-type 'Standard'

$adminUsername = <USER NAME>
$adminPassword = <PASSWORD> | ConvertTo-SecureString -AsPlainText -Force
$vmCred = New-Object System.Management.Automation.PSCredential($adminUsername, $adminPassword)
New-AzVM -Name MyVm -Credential $vmCred -SecurityType Standard

Problemen oplossen

In deze sectie vindt u antwoorden op vragen over specifieke statussen, opstarttypen en veelvoorkomende opstartproblemen.

Wat moet ik doen wanneer mijn Trusted Launch VM implementatiefouten heeft?

In deze sectie vindt u meer informatie over mislukte implementaties van vertrouwde start, zodat u de juiste actie kunt ondernemen om deze te voorkomen.

Virtual machine <vm name> failed to create from the selected snapshot because the virtual Trusted Platform Module (vTPM) state is locked.
To proceed with the VM creation, please select a different snapshot without a locked vTPM state.
For more assistance, please refer to “Troubleshooting locked vTPM state” in FAQ page at https://aka.ms/TrustedLaunch-FAQ.

Deze implementatiefout treedt op wanneer het opgegeven momentopname- of herstelpunt om de volgende redenen niet toegankelijk of onbruikbaar is:

Beschadigde gaststatus van virtuele machine (VMGS).
vTPM met een vergrendelde status.
Een of meer kritieke vTPM-indexen hebben een ongeldige status.

De vermelde redenen kunnen optreden als een gebruiker of workload die wordt uitgevoerd op de virtuele machine de vergrendeling op vTPM instelt of kritieke vTPM-indexen wijzigt die de vTPM in een ongeldige status laten staan.

Opnieuw proberen met dezelfde momentopname of hetzelfde herstelpunt resulteert in dezelfde fout.

Resolutie:

Op de Trusted Launch bron-VM waarop de momentopname of het herstelpunt is gegenereerd, moeten de vTPM-fouten worden gecorrigeerd.
1. Als de vTPM-status is gewijzigd door een workload op de virtuele machine, moet u hetzelfde gebruiken om de foutstatussen te controleren en de vTPM in een niet-foutstatus te brengen.
2. Als de status van vTPM is gewijzigd met tpm-hulpprogramma's (Trusted Platform Module), moet u dezelfde hulpprogramma's gebruiken om de foutstatussen te controleren en de vTPM in een niet-foutstatus te brengen.

Zodra de momentopname of het herstelpunt vrij is van deze fouten, kunt u hetzelfde gebruiken om een nieuwe vertrouwde start-VM te maken.

Waarom wordt de vertrouwde start-VM niet correct opgestart?

Als niet-ondertekende componenten worden gedetecteerd vanuit de UEFI (gastfirmware), opstartlaadprogramma, het besturingssysteem of opstartstuurprogramma's, start een Trusted Launch VM niet op. De instelling Beveiligd opstarten in de vertrouwde opstart-VM kan niet worden opgestart als er niet-ondertekende of niet-vertrouwde opstartonderdelen zijn opgetreden tijdens het opstartproces en rapporteert deze als een fout bij beveiligd opstarten.

Schermopname van de trusted launch-pijplijn van Beveiligd opstarten naar stuurprogramma's van derden.

Notitie

VM's die rechtstreeks vanuit een Azure Marketplace-installatiekopie worden gemaakt, zouden geen Secure Boot-fouten moeten tegenkomen. Afbeeldingen in de Azure Compute Gallery met een oorspronkelijke afbeeldingsbron van Azure Marketplace en momentopnamen die zijn gemaakt op basis van vertrouwde start-VM's, mogen deze fouten ook niet tegenkomen.

Hoe kan ik een scenario zonder opstarten verifiëren in Azure Portal?

Wanneer een VM niet meer beschikbaar is door een Secure Boot-fout, no-boot betekent dit dat de VM een besturingssysteemonderdeel heeft dat niet is ondertekend door een vertrouwde instantie, wat het opstarten van een Trusted Launch VM blokkeert. Bij VM-implementatie ziet u mogelijk informatie uit de resourcestatus in de Azure-portal met de mededeling dat er een validatiefout is in Secure Boot.

Als u toegang wilt krijgen tot de resourcestatus vanaf de vm-configuratiepagina, gaat u naar Resource Health in het Help-deelvenster .

Als u hebt gecontroleerd of het niet opstarten wordt veroorzaakt door een fout bij beveiligd opstarten:

De installatiekopie die u gebruikt, is een oudere versie met een of meer niet-vertrouwde opstartonderdelen en bevindt zich op een afschaffingspad. Om een verouderde image te vervangen, update naar een ondersteunde nieuwere image-versie.
De installatiekopie die u gebruikt, kan buiten een marketplace-bron worden gebouwd of de opstartonderdelen zijn gewijzigd en niet-ondertekende of niet-vertrouwde opstartonderdelen bevatten. Als u wilt controleren of uw installatiekopie niet-ondertekende of niet-vertrouwde opstartonderdelen heeft, raadpleegt u de volgende sectie: 'Secure Boot failures'.
Als de voorgaande twee scenario's niet van toepassing zijn, is de VM mogelijk geïnfecteerd met malware (bootkit/rootkit). Overweeg om de virtuele machine te verwijderen en een nieuwe virtuele machine opnieuw te creëren vanuit dezelfde bronimage, terwijl u alle software evalueert die wordt geïnstalleerd.

Waarom toont mijn vertrouwde start-VM 50 MB minder geheugen?

Met Vertrouwde start wordt een uitvoeringsomgeving gemaakt die bekend staat als 'de paravisor' en wordt deze uitgevoerd in de virtuele machine. Normaal gesproken wordt ongeveer 50 MB geheugen gebruikt door de paravisor en wordt deze weergegeven als 'gereserveerd' binnen het gastbesturingssysteem.

Mislukte beveiligde opstartbewerkingen controleren

Deze sectie helpt u bij het controleren van fouten bij beveiligd opstarten.

Linux-virtuele machines met vertrouwde lancering

Als u wilt controleren welke opstartonderdelen verantwoordelijk zijn voor beveiligingsfouten binnen een vertrouwde opstart-VM van Azure Linux, kunt u het SBInfo hulpprogramma van het Linux-beveiligingspakket gebruiken

Schakel Beveiligd opstarten uit.
Maak verbinding met de vertrouwde start-VM van Azure Linux.
Installeer het hulpprogramma SBInfo voor de distributie die uw VIRTUELE machine uitvoert. Het bevindt zich in het Linux-beveiligingspakket

Deze opdrachten zijn van toepassing op Ubuntu-, Debian- en andere Op Debian gebaseerde distributies.

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list

wget https://packages.microsoft.com/keys/microsoft.asc

wget https://packages.microsoft.com/keys/msopentech.asc

sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc

sudo apt update && sudo apt install azure-security

Deze opdrachten zijn van toepassing op RHEL- en andere Red Hat-distributies.

echo "[packages-microsoft-com-azurecore]" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "name=packages-microsoft-com-azurecore" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "baseurl=https://packages.microsoft.com/yumrepos/azurecore/" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "enabled=1" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "gpgcheck=0" | sudo tee -a /etc/yum.repos.d/azurecore.repo

sudo yum install azure-security

Deze opdrachten zijn van toepassing op SLES, openSUSE en andere distributies op basis van SUSE.

sudo zypper ar -t rpm-md -n "packages-microsoft-com-azurecore" --no-gpgcheck https://packages.microsoft.com/yumrepos/azurecore/ azurecore

sudo zypper install azure-security

Nadat u het Linux-beveiligingspakket voor uw distributie hebt geïnstalleerd, voert u de sbinfo opdracht uit om te controleren welke opstartonderdelen verantwoordelijk zijn voor beveiligd opstarten door alle niet-ondertekende modules, kernels en bootloaders weer te geven.

sudo sbinfo -u -m -k -b

Voor meer informatie over het diagnostische hulpprogramma SBInfo kunt u uitvoeren sudo sbinfo -help.

Waarom krijg ik een fout bij het bewaken van opstartintegriteit?

Vertrouwde lancering voor Azure-VM's wordt gecontroleerd op geavanceerde bedreigingen. Als dergelijke bedreigingen worden gedetecteerd, wordt er een waarschuwing geactiveerd. Waarschuwingen zijn alleen beschikbaar als verbeterde beveiligingsfuncties in Microsoft Defender voor Cloud zijn ingeschakeld.

Microsoft Defender voor Cloud voert regelmatig attestation uit. Als de attestation mislukt, wordt er een waarschuwing met gemiddelde ernst geactiveerd. Attestation voor vertrouwde start kan om de volgende redenen mislukken:

De geteste informatie, die een logboek van de Trusted Computing Base (TCB) bevat, wijkt af van een vertrouwde basislijn (bijvoorbeeld wanneer Beveiligd opstarten is ingeschakeld). Elke afwijking geeft aan dat niet-vertrouwde modules zijn geladen en dat het besturingssysteem mogelijk is aangetast.
De attestation-offerte kan niet worden geverifieerd om afkomstig te zijn van de vTPM van de geteste VM. De verificatiefout geeft aan dat malware aanwezig is en mogelijk verkeer naar de TPM onderschept.
De attestation-extensie op de VIRTUELE machine reageert niet. Een niet-reagerende extensie geeft een denial-of-service-aanval aan door malware of een besturingssysteembeheerder.

Certificaten

Deze sectie bevat informatie over certificaten.

Hoe kan ik een vertrouwenshoofdmap met vertrouwde start-VM's tot stand brengen?

Het openbare TPM AK-certificaat biedt inzicht in informatie over de volledige certificaatketen (basis- en tussencertificaten) om u te helpen bij het valideren van de vertrouwensrelatie in het certificaat en de basisketen. Het biedt informatie over exemplaareigenschappen, zodat u kunt teruggaan naar de volledige keten. Het zorgt ervoor dat u voortdurend de hoogste beveiligingspostuur voor vertrouwde lancering hebt

Download de instructies

Pakketcertificaten, samengesteld uit .p7b (volledige certificeringsinstantie) en .cer (tussenliggende CA), onthullen de ondertekening en certificeringsinstantie. Kopieer de relevante inhoud en gebruik certificaathulpprogramma's om details van certificaten te controleren en te beoordelen.

Selecteer deze optie om het .crt te downloaden dat volgt voor de Azure Virtual TPM Root Certificate Authority 2023

Azure Virtual TPM Root Certificate Authority 2023

Selecteer deze optie om de .cert-inhoud voor het basiscertificaat weer te geven

Azure Virtual TPM Root Certificate Authority 2023

Selecteer deze optie om de .p7b-inhoud weer te geven (Root + ICA-01)

Global Virtual TPM CA - 01:

Selecteer deze optie om de tussenliggende CA-inhoud (ICA-01) weer te geven

"Global Virtual TPM CA - 01" (tussenliggende CA) [.cer]:

Selecteer deze optie om de .p7b-inhoud weer te geven (Root + ICA-03)

Global Virtual TPM CA - 03:

Selecteer deze optie om de inhoud van de tussenliggende CA weer te geven (ICA-03)

"Global Virtual TPM CA - 03" (tussenliggende CA) [.cer]:

Welke vertrouwde certificaten van Microsoft zijn ingebouwd in Azure-VM's?

Voor Windows-VM's is het Windows CA-certificaat ingebouwd in UEFI-firmware. Voor Linux-VM's is het Microsoft UEFI CA-certificaat ingebouwd in UEFI-firmware.

Alleen voor Azure Linux-VM's wordt het Azure Services Linux Kmod PCA-certificaat ook toegevoegd in de UEFI-firmware voor alle Linux-distributies. Linux Kmod PCA wordt gebruikt om kernelmodules van Microsoft te ondertekenen.

Linux Kmod PCA-certificaat wordt toegevoegd om de klantervaring soepeler te maken bij het gebruik van Microsoft-oplossingen zoals Azure Site Recovery (Site Recovery) waarmee een kernelmodule wordt geïnstalleerd. De Site Recovery-kernelmodule wordt geladen zonder een klantactie om een sleutel op te geven omdat de Site Recovery-kernelmodule is ondertekend met behulp van het vertrouwde certificaat 'Linux Kmod PCA' van Azure Services.

Download de instructies

Pakketcertificaten, samengesteld uit .p7b en .cer de ondertekening en certificeringsinstantie onthullen. Kopieer de relevante inhoud en gebruik certificaathulpprogramma's om details van certificaten te controleren en te beoordelen.

Selecteer deze optie om het .crt te downloaden dat volgt voor de Microsoft Windows-CA

Microsoft Windows CA

Selecteer deze optie om het .crt te downloaden dat volgt voor de Microsoft UEFI-CA

Microsoft UEFI CA

Selecteren om de .p7b-inhoud weer te geven

Azure-diensten Linux kmod PCA-certificaat

Feedback

Is deze pagina nuttig?

Last updated on 2025-08-14

Delen via

Veelgestelde vragen over een vertrouwde start

Gebruiksgevallen

Waarom moet ik Vertrouwde start gebruiken? Wat beveiligt Trusted Launch tegen?

Wat zijn de verschillen tussen Beveiligd opstarten en gemeten opstarten?

Hoe vergelijkt Trusted Launch zich met de afgeschermde Hyper-V-VM?

Wat is VM-gaststatus (VMGS)?

Ondersteunde functies en implementaties

Wordt Azure Compute Gallery ondersteund door Trusted Launch?

Wordt Azure Backup ondersteund door Trusted Launch?

Blijft Azure Backup werken nadat ik Vertrouwde start heb ingeschakeld?

Worden tijdelijke besturingssysteemschijven ondersteund door Trusted Launch?

Zijn er ook beveiligingsfuncties beschikbaar met vertrouwde lancering die van toepassing zijn op gegevensschijven?

Kan een virtuele machine worden hersteld met behulp van back-ups die zijn gemaakt voordat Vertrouwde start is ingeschakeld?

Hoe vind ik VM-grootten die ondersteuning bieden voor vertrouwd starten?

Hoe kan ik valideren dat mijn installatiekopieën van het besturingssysteem ondersteuning bieden voor Vertrouwd starten?

Installatiekopieën van Marketplace-besturingssysteem

Azure Compute Gallery-OS-afbeelding

Hoe kan ik de compatibiliteit met beveiligde opstartbewerkingen voor Gen1- of Gen2-VM valideren voordat ik een upgrade naar vertrouwde lancering uitvoert?

Hoe werken externe communicatiestuurprogramma's met vertrouwde start-VM's?

Vertrouwde lancering als standaard (TLaD)

Wat is Vertrouwde start als standaardinstelling?

Heeft TLaD invloed op bestaande VM's en schaalsets?

Moet ik mijn automatiseringsscripts of implementatiesjablonen bijwerken?

Ik gebruik momenteel een Gen2-VM of schaalset zonder Trusted Launch en wil de configuratie van Non-Trusted Launch blijven gebruiken na de algemene beschikbaarheid van TLaD.

Wat kunnen mogelijke situaties zijn waarin ik de standaardinstellingen van Trusted Launch voor VM's of schaalsets moet omzeilen?

Kan ik Vertrouwde start uitschakelen voor een nieuwe VM-implementatie?

Problemen oplossen

Wat moet ik doen wanneer mijn Trusted Launch VM implementatiefouten heeft?

Waarom wordt de vertrouwde start-VM niet correct opgestart?

Hoe kan ik een scenario zonder opstarten verifiëren in Azure Portal?

Waarom toont mijn vertrouwde start-VM 50 MB minder geheugen?

Mislukte beveiligde opstartbewerkingen controleren

Linux-virtuele machines met vertrouwde lancering

Waarom krijg ik een fout bij het bewaken van opstartintegriteit?

Certificaten

Hoe kan ik een vertrouwenshoofdmap met vertrouwde start-VM's tot stand brengen?

Download de instructies

Welke vertrouwde certificaten van Microsoft zijn ingebouwd in Azure-VM's?

Download de instructies

Feedback

Aanvullende resources