Een virtuele machine implementeren waarvoor Vertrouwde start is ingeschakeld

Van toepassing op: ✔️ Virtuele Linux-machines windows-VM's ✔️ ✔️ Flexibele schaalsets ✔️ Uniform schaalsets.

Trusted Launch is een manier om de beveiliging van virtuele machines van de tweede generatie (VM's) te verbeteren. Trusted Launch beschermt tegen geavanceerde en permanente aanvalstechnieken door infrastructuurtechnologieën zoals virtuele Trusted Platform Module (vTPM) en beveiligd opstarten te combineren.

Vereisten

• We raden u aan uw abonnement aan te Microsoft Defender voor Cloud als dit nog niet het beste is. Defender voor Cloud heeft een gratis laag, die nuttige inzichten biedt voor verschillende Azure- en hybride resources. Als er geen Defender voor Cloud is, kunnen gebruikers van vertrouwde start-VM's de opstartintegriteit van de VIRTUELE machine niet controleren.

• Wijs Azure Policy-initiatieven toe aan uw abonnement. Deze beleidsinitiatieven moeten slechts eenmaal per abonnement worden toegewezen. Beleidsregels helpen bij het implementeren en controleren van VM's met vertrouwde start, terwijl alle vereiste extensies op alle ondersteunde VM's automatisch worden geïnstalleerd.

  • Configureer het ingebouwde beleidsinitiatief van vertrouwde start-VM's.
  • Configureer vereisten om Gastverklaring in te schakelen op vm's met vertrouwde start.
  • Configureer machines om de Azure Monitor- en Azure Security-agents automatisch op VM's te installeren.

• Sta de servicetag AzureAttestation toe in uitgaande regels voor netwerkbeveiligingsgroepen om verkeer voor Azure Attestation toe te staan. Zie Servicetags voor virtuele netwerken voor meer informatie.

• Zorg ervoor dat het firewallbeleid toegang *.attest.azure.nettoestaat.

Notitie

Als u een Linux-installatiekopie gebruikt en verwacht dat de VM mogelijk kernelstuurprogramma's bevat die niet zijn ondertekend door de leverancier van de Linux-distributie, kunt u overwegen om beveiligd opstarten uit te schakelen. Selecteer in Azure Portal op de pagina Een virtuele machine maken voor de Security type parameter met Vertrouwde start-VM's geselecteerd, beveiligingsfuncties configureren en schakel het selectievakje Beveiligd opstarten inschakelen uit. Stel in de Azure CLI, PowerShell of SDK de parameter voor beveiligd opstarten in op false.

Een vertrouwde start-VM implementeren

Maak een virtuele machine waarvoor Vertrouwde start is ingeschakeld. Kies een van de volgende opties.

Portal

1. Meld u aan bij het Azure-portaal.

2. Zoek naar virtuele machines.

3. Selecteer virtuele machines onder Services.

4. Selecteer Toevoegen op de pagina Virtuele machines en selecteer vervolgens Virtuele machine.

5. Controleer onder Projectdetails of het juiste abonnement is geselecteerd.

6. Selecteer voor Resourcegroep de optie Nieuwe maken. Voer een naam in voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.

7. Voer onder Instantiedetails een naam in voor de naam van de VIRTUELE machine en kies een regio die ondersteuning biedt voor Vertrouwd starten.

8. Voor beveiligingstype selecteert u Virtuele machines met vertrouwde start. Wanneer de opties Beveiligd opstarten, vTPM en Integriteitscontrole worden weergegeven, selecteert u de juiste opties voor uw implementatie. Zie Vertrouwde beveiligingsfuncties voor starten voor meer informatie.

   

9. Selecteer onder Afbeelding een installatiekopieën uit aanbevolen Gen 2-installatiekopieën die compatibel zijn met vertrouwde lancering. Zie Vertrouwde start voor een lijst.

   Tip

   Als u de Gen2-versie van de gewenste installatiekopieën niet ziet in de vervolgkeuzelijst, selecteert u Alle installatiekopieën weergeven. Wijzig vervolgens het filter Beveiligingstype in Vertrouwd starten.

10. Selecteer een VM-grootte die vertrouwde start ondersteunt. Zie de lijst met ondersteunde grootten voor meer informatie.

11. Vul de beheerdersaccountgegevens en vervolgens regels voor binnenkomende poorten in.

12. Selecteer Onder aan de pagina De optie Beoordelen en maken.

13. Op de pagina Een virtuele machine maken ziet u de informatie over de VM die u gaat implementeren. Nadat de validatie is weergegeven als geslaagd, selecteert u Maken.

Het duurt enkele minuten voordat uw VIRTUELE machine is geïmplementeerd.

CLI

Zorg ervoor dat u de nieuwste versie van de Azure CLI uitvoert.

1. Meld u aan bij Azure met behulp van az login.

   az login 
   

2. Maak een virtuele machine met vertrouwde start.

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. Voor bestaande VM's kunt u beveiligd opstarten en vTPM-instellingen in- of uitschakelen. Het bijwerken van de VM met beveiligde opstart- en vTPM-instellingen activeert automatisch opnieuw opstarten.

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

Zie Opstartintegriteit voor meer informatie over het installeren van bewaking van opstartintegriteit via de extensie Guest Attestation.

Powershell

Als u een virtuele machine wilt inrichten met Vertrouwde start, moet deze eerst worden ingeschakeld met de TrustedLaunch parameter met behulp van de Set-AzVmSecurityProfile cmdlet. Vervolgens kunt u de Set-AzVmUefi cmdlet gebruiken om de configuratie van vTPM en Beveiligd opstarten in te stellen. Gebruik het volgende fragment als quickstart. Vergeet niet om de waarden in dit voorbeeld te vervangen door uw eigen waarden.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Sjabloon

U kunt VM's met vertrouwde start implementeren met behulp van een quickstart-sjabloon.

Linux

Windows

Een VM met vertrouwde start implementeren vanuit een installatiekopieën van een Azure Compute Gallery

Azure Trusted Launch-VM's ondersteunen het maken en delen van aangepaste installatiekopieën met behulp van de Azure Compute Gallery. Er zijn twee typen installatiekopieën die u kunt maken, op basis van de beveiligingstypen van de installatiekopieën:

• Aanbevolen: installatiekopieën die worden ondersteund door vertrouwde start-VM's (TrustedLaunchSupported) zijn installatiekopieën waarvoor de bron geen informatie over de status VM-gast heeft en kan worden gebruikt om vm's van de tweede generatie of vertrouwde start-VM's te maken.
• Installatiekopieën van vertrouwde start-VM's (TrustedLaunch) zijn installatiekopieën waarbij de bron meestal informatie over de VM-gaststatus bevat en kan worden gebruikt om alleen VM's met vertrouwde start te maken.

Door vertrouwde start-VM ondersteunde installatiekopieën

Voor de volgende afbeeldingsbronnen moet het beveiligingstype voor de definitie van de installatiekopie worden ingesteld TrustedLaunchsupportedop:

• Gen2-besturingssysteemschijf -VHD
• Beheerde installatiekopieën van Gen2
• Installatiekopieënversie van Gen2 Gallery

Er kunnen geen informatie over de gaststatus van de VM worden opgenomen in de bron van de installatiekopieën.

U kunt de resulterende versie van de installatiekopieën gebruiken om virtuele Azure Gen2-machines of vertrouwde start-VM's te maken.

Deze installatiekopieën kunnen worden gedeeld met behulp van Azure Compute Gallery - Direct Shared Gallery en Azure Compute Gallery - Community Gallery.

Notitie

De versie van de VHD van de besturingssysteemschijf, beheerde installatiekopieën of galerie-installatiekopieën moet worden gemaakt op basis van een Gen2-installatiekopieën die compatibel is met vertrouwde start-VM's.

Portal

1. Meld u aan bij het Azure-portaal.
2. Zoek en selecteer versies van VM-installatiekopieën in de zoekbalk.
3. Selecteer Maken op de pagina versies van vm-installatiekopieën.
4. Ga op het tabblad Basisbeginselen naar de pagina Versie van de VM-installatiekopieën maken:
   1. Selecteer het Azure-abonnement.
   2. Selecteer een bestaande resourcegroep of maak een nieuwe resourcegroep.
   3. Selecteer de Azure-regio.
   4. Voer een versienummer van de installatiekopieën in.
   5. Selecteer voor bron opslagblobs (VHD) of beheerde installatiekopieën of een andere versie van de VM-installatiekopieën.
   6. Als u Storage Blobs (VHD) hebt geselecteerd, voert u een VHD van de besturingssysteemschijf in (zonder de vm-gaststatus). Zorg ervoor dat u een Gen2-VHD gebruikt.
   7. Als u beheerde installatiekopieën hebt geselecteerd, selecteert u een bestaande beheerde installatiekopieën van een Gen2-VM.
   8. Als u vm-installatiekopieënversie hebt geselecteerd, selecteert u een bestaande versie van de galerie-installatiekopieën van een Gen2-VM.
   9. Voor de Doel-Azure-rekengalerie selecteert of maakt u een galerie om de installatiekopieën te delen.
   10. Voor de status van het besturingssysteem selecteert u Generalized of Specialized, afhankelijk van uw use-case. Als u een beheerde installatiekopieën als bron gebruikt, selecteert u altijd Gegeneraliseerd. Als u een opslagblob (VHD) gebruikt en gegeneraliseerd wilt selecteren, volgt u de stappen voor het generaliseren van een Linux-VHD of het generaliseren van een Windows-VHD voordat u doorgaat. Als u een bestaande versie van de VM-installatiekopieën gebruikt, selecteert u Gegeneraliseerd of Gespecialiseerd op basis van wat wordt gebruikt in de definitie van de bron-VM-installatiekopieën.
   11. Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën.
   12. Voer in het deelvenster Een vm-installatiekopieëndefinitie maken een naam in voor de definitie. Zorg ervoor dat het beveiligingstype is ingesteld op Trustedlaunch Ondersteund. Voer de informatie over de uitgever, aanbieding en SKU in. Selecteer vervolgens OK.
5. Voer op het tabblad Replicatie het aantal replica's en de doelregio's in voor replicatie van installatiekopieën, indien nodig.
6. Voer op het tabblad Versleuteling , indien nodig, SSE-versleutelingsgerelateerde informatie in.
7. Selecteer Controleren + maken.
8. Nadat de configuratie is gevalideerd, selecteert u Maken om het maken van de installatiekopieën te voltooien.
9. Nadat de versie van de installatiekopieën is gemaakt, selecteert u Vm maken.
10. Selecteer op de pagina Een virtuele machine maken onder Resourcegroep de optie Nieuwe maken. Voer een naam in voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
11. Voer onder Instantiedetails een naam in voor de naam van de VIRTUELE machine en kies een regio die ondersteuning biedt voor Vertrouwd starten.
12. Voor beveiligingstype selecteert u Virtuele machines met vertrouwde start. De selectievakjes Beveiligd opstarten en vTPM zijn standaard ingeschakeld.
13. Vul de beheerdersaccountgegevens en vervolgens regels voor binnenkomende poorten in.
14. Controleer op de validatiepagina de details van de VIRTUELE machine.
15. Nadat de validatie is voltooid, selecteert u Maken om het maken van de VIRTUELE machine te voltooien.

CLI

Zorg ervoor dat u de nieuwste versie van de Azure CLI uitvoert.

1. Meld u aan bij Azure met behulp van az login.

   az login 
   

2. Maak een installatiekopiedefinitie met het TrustedLaunchSupported beveiligingstype.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. Gebruik een VHD van de besturingssysteemschijf om een installatiekopieënversie te maken. Zorg ervoor dat de Linux-VHD is gegeneraliseerd voordat u deze uploadt naar een Blob van een Azure Storage-account met behulp van de stappen in Linux voorbereiden voor imaging in Azure.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. Maak een vertrouwde start-VM op basis van de vorige installatiekopieënversie.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

Powershell

1. Maak een installatiekopiedefinitie met het TrustedLaunchSupported beveiligingstype.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Als u een versie van een installatiekopie wilt maken, kunt u een bestaande versie van de Gen2 Gallery-installatiekopie gebruiken, die tijdens het maken is gegeneraliseerd.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Maak een vertrouwde start-VM op basis van de vorige installatiekopieënversie.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

VM-installatiekopieën van vertrouwde start

Het beveiligingstype voor de definitie van de installatiekopie moet worden ingesteld TrustedLaunchop de volgende afbeeldingsbronnen:

• Vm-opname met vertrouwde start
• Beheerde OS-schijf
• Momentopname van beheerde besturingssysteemschijf

U kunt de resulterende versie van de installatiekopieën gebruiken om alleen vm's met Vertrouwde start van Azure te maken.

Portal

1. Meld u aan bij het Azure-portaal.
2. Als u een installatiekopieën van een Azure Compute Gallery wilt maken op basis van een virtuele machine, opent u een bestaande VM met vertrouwde start en selecteert u Capture.
3. Sta op de pagina Een installatiekopieën maken toe dat de installatiekopieën worden gedeeld met de galerie als versie van een VM-installatiekopieën. Het maken van beheerde installatiekopieën wordt niet ondersteund voor vm's met vertrouwde start.
4. Maak een nieuwe Doelgalerie van Azure Compute of selecteer een bestaande galerie.
5. Selecteer de status van het besturingssysteem als Gegeneraliseerd of Gespecialiseerd. Als u een gegeneraliseerde installatiekopieën wilt maken, moet u ervoor zorgen dat u de VM generaliseert om machinespecifieke informatie te verwijderen voordat u deze optie selecteert. Als Bitlocker-versleuteling is ingeschakeld op uw virtuele Windows-machine met vertrouwde start, kunt u mogelijk niet hetzelfde generaliseren.
6. Maak een nieuwe definitie van een installatiekopieën door een naam, uitgever, aanbieding en SKU-gegevens op te geven. Beveiligingstype voor de definitie van de installatiekopie moet al zijn ingesteld op Vertrouwd starten.
7. Geef een versienummer op voor de versie van de installatiekopieën.
8. Wijzig indien nodig replicatieopties.
9. Selecteer Onder aan de pagina Een afbeelding maken de optie Beoordelen en maken. Nadat de validatie is weergegeven als geslaagd, selecteert u Maken.
10. Nadat de versie van de installatiekopieën is gemaakt, gaat u rechtstreeks naar de versie van de installatiekopieën. U kunt ook naar de vereiste versie van de installatiekopieën gaan via de definitie van de installatiekopieën.
11. Selecteer + Vm maken op de pagina versie van de VM-installatiekopieën om naar de pagina Een virtuele machine maken te gaan.
12. Selecteer op de pagina Een virtuele machine maken onder Resourcegroep de optie Nieuwe maken. Voer een naam in voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
13. Voer onder Instantiedetails een naam in voor de naam van de VIRTUELE machine en kies een regio die ondersteuning biedt voor Vertrouwd starten.
14. De installatiekopie en het beveiligingstype zijn al ingevuld op basis van de geselecteerde versie van de installatiekopie. De selectievakjes Beveiligd opstarten en vTPM zijn standaard ingeschakeld.
15. Vul de beheerdersaccountgegevens en vervolgens regels voor binnenkomende poorten in.
16. Selecteer Onder aan de pagina De optie Beoordelen en maken.
17. Controleer op de validatiepagina de details van de VIRTUELE machine.
18. Nadat de validatie is voltooid, selecteert u Maken om het maken van de VIRTUELE machine te voltooien.

Als u een beheerde schijf of een momentopname van een beheerde schijf wilt gebruiken als bron van de versie van de installatiekopie (in plaats van een vertrouwde start-VM), volgt u deze stappen.

1. Meld u aan bij het Azure-portaal.
2. Zoek naar VM-installatiekopieën en selecteer Maken.
3. Geef het abonnement, de resourcegroep, de regio en het versienummer van de installatiekopieën op.
4. Selecteer de bron als schijven en/of momentopnamen.
5. Selecteer de besturingssysteemschijf als een beheerde schijf of een momentopname van een beheerde schijf in de vervolgkeuzelijst.
6. Selecteer een Azure Compute-doelgalerie om de installatiekopieën te maken en te delen. Als er geen galerie bestaat, maakt u een nieuwe galerie.
7. Selecteer de status van het besturingssysteem als Gegeneraliseerd of Gespecialiseerd. Als u een gegeneraliseerde installatiekopie wilt maken, moet u ervoor zorgen dat u de schijf of momentopname generaliseert om computerspecifieke informatie te verwijderen.
8. Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën. Selecteer in het venster dat wordt geopend een naam voor de definitie van de installatiekopie en zorg ervoor dat het beveiligingstype is ingesteld op Vertrouwd starten. Geef de informatie over de uitgever, aanbieding en SKU op en selecteer OK.
9. Het tabblad Replicatie kan worden gebruikt om het aantal replica's en doelregio's in te stellen voor replicatie van installatiekopieën, indien nodig.
10. Het tabblad Versleuteling kan ook worden gebruikt om SSE-versleutelingsgerelateerde informatie te verstrekken, indien nodig.
11. Selecteer Maken op het tabblad Beoordelen en maken om de afbeelding te maken.
12. Nadat de versie van de installatiekopieën is gemaakt, selecteert u + Virtuele machine maken om naar de pagina Een virtuele machine maken te gaan.
13. Volg stap 12 tot en met 18 zoals eerder vermeld om een vertrouwde start-VM te maken met behulp van deze installatiekopieënversie.

CLI

Zorg ervoor dat u de nieuwste versie van de Azure CLI uitvoert.

1. Meld u aan bij Azure met behulp van az login.

   az login 
   

2. Maak een installatiekopiedefinitie met het TrustedLaunch beveiligingstype.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. Als u een installatiekopieënversie wilt maken, kunt u een bestaande op Linux gebaseerde vertrouwde start-VM vastleggen. Generaliseer de VM vertrouwde start voordat u de versie van de installatiekopieën maakt.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   Als een beheerde schijf of een momentopname van een beheerde schijf moet worden gebruikt als de bron van de installatiekopie voor de versie van de installatiekopie, vervangt --managed-image u de vorige opdracht --os-snapshot door en geeft u de schijf of de resourcenaam van de momentopname op.

4. Maak een vertrouwde start-VM op basis van de vorige installatiekopieënversie.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

Powershell

1. Maak een installatiekopiedefinitie met het TrustedLaunch beveiligingstype.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Als u een installatiekopieënversie wilt maken, kunt u een bestaande op Windows gebaseerde vertrouwde start-VM vastleggen. Generaliseer de VM vertrouwde start voordat u de versie van de installatiekopieën maakt.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Maak een vertrouwde start-VM op basis van de vorige installatiekopieënversie.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

Ingebouwd beleid voor vertrouwde start

Azure-beleidsregels zijn beschikbaar om eigenaren van resources te helpen bij de overstap naar Vertrouwde start om vertrouwd starten te gebruiken. Het belangrijkste doel is om vm's van generatie 1 en 2 te converteren die geschikt zijn voor vertrouwde lancering.

Op de virtuele machine moet één beleid met vertrouwde start zijn ingeschakeld als de VIRTUELE machine momenteel is ingeschakeld met vertrouwde startbeveiligingsconfiguraties. De schijven en het besturingssysteem die worden ondersteund voor beleid voor vertrouwd starten, controleren of eerder gemaakte VM's de geschikte grootte van het besturingssysteem en de VM van de tweede generatie hebben om een vertrouwde start-VM te implementeren.

Deze twee beleidsregels komen samen om het initiatief voor vertrouwd starten te maken. Met dit initiatief kunt u verschillende gerelateerde beleidsdefinities groeperen om toewijzingen en beheerresources te vereenvoudigen om de configuratie vertrouwde start op te nemen.

Zie Ingebouwde beleidsregels voor vertrouwde start voor meer informatie en het implementeren.

---

Uw instellingen controleren of bijwerken

Voor VM's die zijn gemaakt met Vertrouwde start ingeschakeld, kunt u de configuratie vertrouwde start bekijken door naar de pagina Overzicht voor de VIRTUELE machine in Azure Portal te gaan. Op het tabblad Eigenschappen ziet u de status van functies voor vertrouwd starten.

Als u de configuratie vertrouwde start wilt wijzigen, selecteert u in het linkermenu onder Instellingen de optie Configuratie. In de sectie Beveiligingstype kunt u beveiligd opstarten, vTPM en integriteitscontrole in- of uitschakelen. Selecteer Opslaan boven aan de pagina wanneer u klaar bent.

Als de VIRTUELE machine wordt uitgevoerd, ontvangt u een bericht dat de VIRTUELE machine opnieuw wordt opgestart. Selecteer Ja en wacht totdat de VIRTUELE machine opnieuw wordt opgestart voordat wijzigingen van kracht worden.

Gerelateerde inhoud

Meer informatie over vertrouwde start - en opstartintegriteitscontrole-VM's .