Een VIRTUELE machine implementeren waarvoor vertrouwde start is ingeschakeld

Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️

Vertrouwde lancering is een manier om de beveiliging van vm's van de tweede generatie te verbeteren. Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken door infrastructuurtechnologieën zoals vTPM en beveiligd opstarten te combineren.

Vereisten

• U moet uw abonnement onboarden naar Microsoft Defender voor Cloud als dit nog niet is gebeurd. Microsoft Defender voor Cloud heeft een gratis laag, die zeer nuttige inzichten biedt voor verschillende Azure- en hybride resources. Vertrouwde lancering maakt gebruik van Defender voor Cloud om meerdere aanbevelingen met betrekking tot vm-status weer te geven.

• Wijs Initiatieven voor Azure-beleid toe aan uw abonnement. Deze beleidsinitiatieven moeten slechts eenmaal per abonnement worden toegewezen. Hiermee worden automatisch alle vereiste extensies op alle ondersteunde VM's geïnstalleerd.

  • Configureer vereisten voor het inschakelen van Guest Attestation op vm's met vertrouwde start.

  • Configureer machines om de Azure Monitor- en Azure Security-agents automatisch op virtuele machines te installeren.

• Sta servicetag AzureAttestation toe in uitgaande NSG-regels om verkeer voor Microsoft Azure Attestation toe te staan. Raadpleeg servicetags voor virtueel netwerk.

• Zorg ervoor dat het firewallbeleid toegang *.attest.azure.nettoestaat.

Notitie

Als u een Linux-installatiekopie gebruikt en verwacht dat de VM mogelijk kernelstuurprogramma's heeft die niet zijn ondertekend door de leverancier van de Linux-distributie, kunt u overwegen om beveiligd opstarten uit te schakelen. Klik in Azure Portal op de pagina Een virtuele machine maken voor de parameter Beveiligingstype met Vertrouwde start-VM's geselecteerd, klik op Beveiligingsfuncties configureren en schakel het selectievakje Beveiligd opstarten inschakelen uit. Stel in CLI, PowerShell of SDK de parameter beveiligd opstarten in op false.

Een vertrouwde start-VM implementeren

Maak een virtuele machine waarvoor vertrouwde start is ingeschakeld. Kies hieronder een optie:

Portal

1. Meld u aan bij de Azure-portal.
2. Zoek naar virtuele machines.
3. Selecteer virtuele machines onder Services.
4. Selecteer Op de pagina Virtuele machines de optie Toevoegen en selecteer vervolgens Virtuele machine.
5. Controleer onder Projectdetails of het juiste abonnement is geselecteerd.
6. Selecteer onder Resourcegroep Nieuwe maken en typ een naam voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
7. Typ onder Instantiedetails een naam voor de naam van de virtuele machine en kies een regio die ondersteuning biedt voor vertrouwde lancering.
8. Selecteer voor Beveiligingstype vertrouwde virtuele machines starten. Hierdoor worden er nog drie opties weergegeven: Beveiligd opstarten, vTPM en Integriteitscontrole . Selecteer de juiste opties voor uw implementatie. Meer informatie over beveiligingsfuncties met vertrouwde startmogelijkheden.
9. Selecteer onder Afbeelding een afbeelding in de Aanbevolen Gen 2-installatiekopieën die compatibel zijn met vertrouwde lancering. Zie vertrouwde lancering voor een lijst.

   Fooi

   Als u de Gen 2-versie van de gewenste installatiekopie niet ziet in de vervolgkeuzelijst, selecteert u Alle installatiekopieën weergeven en wijzigt u vervolgens het filter Beveiligingstype in Vertrouwd starten.

10. Selecteer een VM-grootte die ondersteuning biedt voor vertrouwde lancering. Bekijk de lijst met ondersteunde grootten.
11. Vul de accountgegevens van de Beheer istrator in en voer vervolgens regels voor binnenkomende poorten in.
12. Selecteer Onder aan de pagina De optie Controleren + Maken
13. Op de pagina Een virtuele machine maken ziet u de details over de VM die u gaat implementeren. Zodra de validatie wordt weergegeven als geslaagd, selecteert u Maken.

Het duurt een paar minuten voor uw virtuele machine is geïmplementeerd.

CLI

Zorg ervoor dat u de nieuwste versie van Azure CLI uitvoert

Meld u aan bij Azure met az login.

az login 

Maak een virtuele machine met Vertrouwde start.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Voor bestaande VM's kunt u beveiligd opstarten en vTPM-instellingen in- of uitschakelen. Als u de virtuele machine bijwerkt met beveiligde opstart- en vTPM-instellingen, wordt automatisch opnieuw opstarten geactiveerd.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Zie Opstartintegriteit voor meer informatie over het installeren van bewaking van opstartintegriteit via de extensie Guest Attestation.

PowerShell

Als u een virtuele machine wilt inrichten met Vertrouwde start, moet deze eerst worden ingeschakeld met behulp TrustedLaunch van de Set-AzVmSecurityProfile cmdlet. Vervolgens kunt u de cmdlet Set-AzVmUefi gebruiken om de configuratie van vTPM en SecureBoot in te stellen. Gebruik het onderstaande fragment als snel aan de slag. Vergeet niet om de waarden in dit voorbeeld te vervangen door uw eigen waarden.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Sjabloon

U kunt vm's voor vertrouwde lancering implementeren met behulp van een quickstart-sjabloon:

Linux

Windows

Een vertrouwde start-VM implementeren vanuit een installatiekopieën van een Azure Compute Gallery

Virtuele machines met vertrouwde lancering van Azure ondersteunen het maken en delen van aangepaste installatiekopieën met behulp van de Azure Compute Gallery. Er zijn twee typen installatiekopieën die u kunt maken, op basis van de beveiligingstypen van de installatiekopieën:

• Aanbevoleninstallatiekopieën voor vertrouwde start-VM's (TrustedLaunchSupported) zijn installatiekopieën waarbij de bron geen informatie over de status VM heeft en kan worden gebruikt om vm's van de tweede generatie of vertrouwde start-VM's te maken.
• Installatiekopieën van vertrouwde start-VM's (TrustedLaunch) zijn installatiekopieën waarbij de bron meestal informatie over de STATUS VM bevat en kan worden gebruikt om alleen VM's met vertrouwde start te maken.

Ondersteunde installatiekopieën van vertrouwde start-VM's

Voor de volgende afbeeldingsbronnen moet het beveiligingstype voor de definitie van de installatiekopie worden ingesteld TrustedLaunchsupportedop:

• VHD gen2-besturingssysteemschijf
• Beheerde installatiekopieën van Gen2
• Versie van installatiekopieën van Gen2-galerie

Er worden geen informatie over de gaststatus van de VM opgenomen in de bron van de installatiekopieën.

De resulterende versie van de installatiekopieën kan worden gebruikt om virtuele Azure Gen2-machines of vertrouwde start-VM's te maken.

Deze installatiekopieën kunnen worden gedeeld met behulp van Azure Compute Gallery - Direct Shared Gallery en Azure Compute Gallery - Community Gallery

Notitie

De versie van de VHD van de besturingssysteemschijf, beheerde installatiekopieën of galerieinstallatiekopieën moet worden gemaakt op basis van een Gen2-installatiekopieën die compatibel is met vertrouwde start-VM's.

Portal

1. Meld u aan bij de Azure-portal.
2. Versies van VM-installatiekopieën zoeken en selecteren in de zoekbalk
3. Selecteer Maken op de pagina versies van vm-installatiekopieën.
4. Ga op het tabblad Basisbeginselen naar de pagina Versie van de VM-installatiekopieën maken:
   1. Selecteer het Azure-abonnement.
   2. Selecteer een bestaande resourcegroep of maak een nieuwe resourcegroep.
   3. Selecteer de Azure-regio.
   4. Voer een versienummer van de installatiekopieën in.
   5. Selecteer voor bron opslagblobs (VHD) of beheerde installatiekopieën of een andere versie van de VM-installatiekopieën
   6. Als u Storage Blobs (VHD) hebt geselecteerd, voert u een VHD van de besturingssysteemschijf in (zonder de vm-gaststatus). Zorg ervoor dat u een Gen 2-VHD gebruikt.
   7. Als u Beheerde installatiekopieën hebt geselecteerd, selecteert u een bestaande beheerde installatiekopieën van een gen 2-VM.
   8. Als u vm-installatiekopieënversie hebt geselecteerd, selecteert u een bestaande galerie-installatiekopieënversie van een Gen2-VM.
   9. Voor de Doel-Azure-rekengalerie selecteert of maakt u een galerie om de installatiekopieën te delen.
   10. Voor de status van het besturingssysteem selecteert u Generalized of Specialized, afhankelijk van uw use-case. Als u een beheerde installatiekopieën als bron gebruikt, selecteert u altijd Gegeneraliseerd. Als u een opslagblob (VHD) gebruikt en gegeneraliseerd wilt selecteren, volgt u de stappen voor het generaliseren van een Linux-VHD of het generaliseren van een Windows-VHD voordat u doorgaat. Als u een bestaande versie van de VM-installatiekopieën gebruikt, selecteert u Gegeneraliseerd of Gespecialiseerd op basis van wat wordt gebruikt in de definitie van de bron-VM-installatiekopieën.
   11. Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën.
   12. Voer in het deelvenster Een vm-installatiekopieëndefinitie maken een naam in voor de definitie. Zorg ervoor dat het beveiligingstype is ingesteld op Trustedlaunch Ondersteund. Voer informatie over uitgevers, aanbiedingen en SKU's in. Selecteer vervolgens OK.
5. Voer op het tabblad Replicatie het aantal replica's en doelregio's in voor replicatie van installatiekopieën, indien nodig.
6. Voer op het tabblad Versleuteling SSE-versleutelingsinformatie in, indien nodig.
7. Selecteer Controleren + maken.
8. Nadat de configuratie is gevalideerd, selecteert u Maken om het maken van de installatiekopieën te voltooien.
9. Nadat de versie van de installatiekopieën is gemaakt, selecteert u Vm maken.
10. Selecteer op de pagina Een virtuele machine maken onder Resourcegroep de optie Nieuwe maken en typ een naam voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
11. Typ onder Instantiedetails een naam voor de naam van de virtuele machine en kies een regio die ondersteuning biedt voor vertrouwde lancering.
12. Selecteer Vertrouwde virtuele machines starten als beveiligingstype. De selectievakjes Beveiligd opstarten en vTPM zijn standaard ingeschakeld.
13. Vul de accountgegevens van de Beheer istrator in en voer vervolgens regels voor binnenkomende poorten in.
14. Controleer op de validatiepagina de details van de VIRTUELE machine.
15. Nadat de validatie is voltooid, selecteert u Maken om het maken van de VIRTUELE machine te voltooien.

CLI

Zorg ervoor dat u de nieuwste versie van Azure CLI uitvoert

Meld u aan bij Azure met az login.

az login 

Een installatiekopiedefinitie maken met TrustedLaunchSupported beveiligingstype

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Gebruik een VHD van de besturingssysteemschijf om een installatiekopieënversie te maken. Zorg ervoor dat de Linux-VHD is gegeneraliseerd voordat u uploadt naar een Blob van een Azure-opslagaccount met behulp van de stappen die hier worden beschreven

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Een vertrouwde start-VM maken op basis van de bovenstaande installatiekopieënversie

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Een installatiekopiedefinitie maken met TrustedLaunchSupported beveiligingstype

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Als u een versie van een installatiekopie wilt maken, kunnen we een bestaande versie van de Gen2 Gallery-installatiekopie gebruiken die tijdens het maken is gegeneraliseerd.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Een vertrouwde start-VM maken op basis van de bovenstaande installatiekopieënversie

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Vm-installatiekopieën van vertrouwde start

Voor de volgende afbeeldingsbronnen moet het beveiligingstype voor de definitie van de installatiekopie worden ingesteld TrustedLaunchop:

• Vm-opname met vertrouwde start
• Beheerde OS-schijf
• Momentopname van beheerde besturingssysteemschijf

De resulterende versie van de installatiekopieën kan alleen worden gebruikt voor het maken van azure Trusted Launch-VM's.

Portal

1. Meld u aan bij de Azure-portal.
2. Als u een installatiekopieën van een Azure Compute Gallery wilt maken op basis van een virtuele machine, opent u een bestaande vertrouwde start-VM en selecteert u Capture.
3. Op de pagina Een installatiekopieën maken die volgt, staat u toe dat de installatiekopieën als een versie van de VM-installatiekopieën worden gedeeld met de galerie. Het maken van beheerde installatiekopieën wordt niet ondersteund voor VM's met vertrouwde start.
4. Maak een nieuwe Doelgalerie van Azure Compute of selecteer een bestaande galerie.
5. Selecteer de status van het besturingssysteem als Gegeneraliseerd of Gespecialiseerd. Als u een gegeneraliseerde installatiekopieën wilt maken, moet u ervoor zorgen dat u de VM generaliseert om machinespecifieke informatie te verwijderen voordat u deze optie selecteert. Als Bitlocker-versleuteling is ingeschakeld op uw Vertrouwde windows-VM starten, kunt u mogelijk niet hetzelfde generaliseren.
6. Maak een nieuwe installatiekopieëndefinitie door een naam, uitgever, aanbieding en SKU-gegevens op te geven. Het beveiligingstype van de definitie van de installatiekopie moet al zijn ingesteld op Vertrouwd starten.
7. Geef een versienummer op voor de versie van de installatiekopieën.
8. Wijzig indien nodig replicatieopties.
9. Selecteer Onder aan de pagina Een afbeelding maken de optie Controleren + Maken en wanneer de validatie wordt weergegeven als geslaagd, selecteert u Maken.
10. Zodra de versie van de installatiekopieën is gemaakt, gaat u rechtstreeks naar de versie van de installatiekopieën. U kunt ook naar de vereiste versie van de installatiekopieën navigeren via de definitie van de installatiekopieën.
11. Selecteer op de pagina versie van de VM-installatiekopieën de optie + Vm maken om te landen op de pagina Een virtuele machine maken.
12. Selecteer op de pagina Een virtuele machine maken onder Resourcegroep de optie Nieuwe maken en typ een naam voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
13. Typ onder Instantiedetails een naam voor de naam van de virtuele machine en kies een regio die ondersteuning biedt voor vertrouwde lancering.
14. De installatiekopie en het beveiligingstype zijn al ingevuld op basis van de geselecteerde versie van de installatiekopie. De selectievakjes Beveiligd opstarten en vTPM zijn standaard ingeschakeld.
15. Vul de accountgegevens van de Beheer istrator in en voer vervolgens regels voor binnenkomende poorten in.
16. Selecteer Onder aan de pagina De optie Controleren + Maken
17. Controleer op de validatiepagina de details van de VIRTUELE machine.
18. Nadat de validatie is voltooid, selecteert u Maken om het maken van de VIRTUELE machine te voltooien.

Als u een beheerde schijf of een momentopname van een beheerde schijf wilt gebruiken als bron van de versie van de installatiekopie (in plaats van een vertrouwde opstart-VM), gebruikt u de volgende stappen

1. Aanmelden bij de portal
2. Zoek naar VM-installatiekopieën en selecteer Maken
3. Geef het abonnement, de resourcegroep, de regio en het versienummer van de installatiekopieën op
4. Selecteer de bron als schijven en/of momentopnamen
5. Selecteer de besturingssysteemschijf als een beheerde schijf of een momentopname van een beheerde schijf in de vervolgkeuzelijst
6. Selecteer een Azure Compute-doelgalerie om de installatiekopieën te maken en te delen. Als er geen galerie bestaat, maakt u een nieuwe galerie.
7. Selecteer de status van het besturingssysteem als Gegeneraliseerd of Gespecialiseerd. Als u een gegeneraliseerde installatiekopie wilt maken, moet u ervoor zorgen dat u de schijf of momentopname generaliseert om computerspecifieke informatie te verwijderen.
8. Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën . Selecteer in het venster dat wordt geopend een naam voor de definitie van de installatiekopie en zorg ervoor dat het beveiligingstype is ingesteld op Vertrouwd starten. Geef de informatie over de uitgever, aanbieding en SKU op en selecteer OK.
9. Het tabblad Replicatie kan worden gebruikt om het aantal replica's en doelregio's in te stellen voor replicatie van installatiekopieën, indien nodig.
10. Het tabblad Versleuteling kan ook worden gebruikt om SSE-versleutelingsgerelateerde informatie op te geven, indien nodig.
11. Selecteer Maken op het tabblad Beoordelen en maken om de afbeelding te maken
12. Zodra de versie van de installatiekopieën is gemaakt, selecteert u de + Virtuele machine maken om te landen op de pagina Een virtuele machine maken.
13. Volg stap 12 tot en met 18 zoals eerder vermeld om een vertrouwde start-VM te maken met behulp van deze installatiekopieënversie

CLI

Zorg ervoor dat u de nieuwste versie van Azure CLI uitvoert

Meld u aan bij Azure met az login.

az login 

Een installatiekopiedefinitie maken met TrustedLaunch beveiligingstype

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Als u een installatiekopieënversie wilt maken, kunnen we een bestaande op Linux gebaseerde vertrouwde start-VM vastleggen. Generaliseer de vertrouwde start-VM voordat u de versie van de installatiekopieën maakt.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Als een beheerde schijf of een momentopname van een beheerde schijf moet worden gebruikt als de bron van de installatiekopie voor de versie van de installatiekopie, vervangt u de beheerde installatiekopie in de bovenstaande opdracht door --os-snapshot en geeft u de schijf of de naam van de momentopnameresource op

Een vertrouwde start-VM maken op basis van de bovenstaande installatiekopieënversie

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Een installatiekopiedefinitie maken met TrustedLaunch beveiligingstype

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Als u een installatiekopieënversie wilt maken, kunnen we een bestaande op Windows gebaseerde vertrouwde start-VM vastleggen. Generaliseer de vertrouwde start-VM voordat u de versie van de installatiekopieën maakt.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Een vertrouwde start-VM maken op basis van de bovenstaande installatiekopieënversie

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Uw instellingen controleren of bijwerken

Voor VM's die zijn gemaakt met vertrouwde start ingeschakeld, kunt u de configuratie voor vertrouwde start bekijken door naar de overzichtspagina voor de VIRTUELE machine in Azure Portal te gaan. Op het tabblad Eigenschappen ziet u de status van functies voor vertrouwd starten:

Als u de configuratie voor vertrouwde start wilt wijzigen, selecteert u In het linkermenu onder de sectie Instellingen configuratie. U kunt Beveiligd opstarten, vTPM en Integriteitscontrole in- of uitschakelen vanuit de sectie Beveiligingstype . Selecteer Opslaan boven aan de pagina wanneer u klaar bent.

Als de VIRTUELE machine wordt uitgevoerd, ontvangt u een bericht dat de VIRTUELE machine opnieuw wordt opgestart. Selecteer Ja en wacht totdat de virtuele machine opnieuw wordt opgestart voordat wijzigingen van kracht worden.

Volgende stappen

Meer informatie over vertrouwde start - en opstartintegriteitscontrole-VM's .