Implantar uma máquina virtual com a Inicialização Confiável habilitada

Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ Windows Conjuntos ✔️ de escala flexíveis Conjuntos de escala uniformes.

O Trusted Launch é uma forma de melhorar a segurança das máquinas virtuais (VMs) de 2ª geração. O Trusted Launch protege contra técnicas de ataque avançadas e persistentes combinando tecnologias de infraestrutura como vTPM (Trusted Platform Module) virtual e inicialização segura.

Pré-requisitos

• Recomendamos que integre a sua subscrição do Microsoft Defender for Cloud , caso ainda não o tenha feito. O Defender for Cloud tem uma camada gratuita, que oferece informações úteis para vários recursos do Azure e híbridos. Com a ausência do Defender for Cloud, os usuários da VM de inicialização confiável não podem monitorar a integridade de inicialização da VM.

• Atribua iniciativas de política do Azure à sua subscrição. Estas iniciativas políticas têm de ser atribuídas apenas uma vez por subscrição. As políticas ajudarão a implantar e auditar VMs de inicialização confiável enquanto instalam automaticamente todas as extensões necessárias em todas as VMs suportadas.

  • Configure a iniciativa de política interna das VMs de inicialização confiável.
  • Configure os pré-requisitos para habilitar o Atestado de Convidado em VMs habilitadas para Inicialização Confiável.
  • Configure máquinas para instalar automaticamente o Azure Monitor e os agentes de Segurança do Azure em VMs.

• Permita que a marca AzureAttestation de serviço nas regras de saída do grupo de segurança de rede permita o tráfego para o Atestado do Azure. Para obter mais informações, consulte Marcas de serviço de rede virtual.

• Certifique-se de que as políticas de firewall permitem o acesso ao *.attest.azure.net.

Nota

Se você estiver usando uma imagem do Linux e antecipar que a VM pode ter drivers de kernel não assinados ou não assinados pelo fornecedor da distribuição Linux, convém considerar desativar a inicialização segura. No portal do Azure, na página Criar uma máquina virtual para o Security type parâmetro com Máquinas Virtuais de Inicialização Confiáveis selecionada, selecione Configurar recursos de segurança e desmarque a caixa de seleção Habilitar inicialização segura. Na CLI do Azure, PowerShell ou SDK, defina o parâmetro de inicialização segura como false.

Implantar uma VM de inicialização confiável

Crie uma VM com a Inicialização Confiável habilitada. Selecione uma das seguintes opções.

Portal

1. Inicie sessão no portal do Azure.

2. Procure máquinas virtuais.

3. Em Serviços, selecione Máquinas virtuais.

4. Na página Máquinas virtuais, selecione Adicionar e, em seguida, selecione Máquina virtual.

5. Em Detalhes do projeto, verifique se a assinatura correta está selecionada.

6. Em Grupo de recursos, selecione Criar novo. Insira um nome para seu grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.

7. Em Detalhes da instância, insira um nome para o nome da VM e escolha uma região que ofereça suporte ao Trusted Launch.

8. Em Tipo de segurança, selecione Máquinas virtuais de inicialização confiáveis. Quando as opções Inicialização segura, vTPM e Monitoramento de integridade aparecerem, selecione as opções apropriadas para sua implantação. Para obter mais informações, consulte Recursos de segurança habilitados para inicialização confiável.

   

9. Em Imagem, selecione uma imagem das imagens Gen 2 recomendadas compatíveis com inicialização confiável. Para obter uma lista, consulte Inicialização confiável.

   Gorjeta

   Se você não vir a versão Gen2 da imagem desejada na lista suspensa, selecione Ver todas as imagens. Em seguida, altere o filtro Tipo de segurança para Início confiável.

10. Selecione um tamanho de VM que ofereça suporte ao Trusted Launch. Para obter mais informações, consulte a lista de tamanhos suportados.

11. Preencha as informações da conta de Administrador e, em seguida, Regras de porta de entrada.

12. Na parte inferior da página, selecione Rever + Criar.

13. Na página Criar uma máquina virtual, você pode ver as informações sobre a VM que está prestes a implantar. Depois que a validação for mostrada como aprovada, selecione Criar.

Leva alguns minutos para que sua VM seja implantada.

CLI

Certifique-se de que está a executar a versão mais recente da CLI do Azure.

1. Entre no Azure usando az logino .

   az login 
   

2. Crie uma VM com inicialização confiável.

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. Para VMs existentes, você pode habilitar ou desabilitar as configurações de inicialização segura e vTPM. A atualização da VM com configurações de inicialização segura e vTPM aciona a reinicialização automática.

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

Para obter mais informações sobre como instalar o monitoramento de integridade de inicialização por meio da extensão Atestado de convidado, consulte Integridade de inicialização.

PowerShell

Para provisionar uma VM com Inicialização Confiável, ela primeiro precisa ser habilitada com o TrustedLaunch parâmetro usando o Set-AzVmSecurityProfile cmdlet. Em seguida, você pode usar o Set-AzVmUefi cmdlet para definir a configuração vTPM e Inicialização Segura. Use o trecho a seguir como um início rápido. Lembre-se de substituir os valores neste exemplo pelos seus.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Modelo

Você pode implantar VMs de inicialização confiável usando um modelo de início rápido.

Linux

Windows

Implantar uma VM de inicialização confiável a partir de uma imagem da Galeria de Computação do Azure

As VMs de Início Confiável do Azure dão suporte à criação e ao compartilhamento de imagens personalizadas usando a Galeria de Computação do Azure. Há dois tipos de imagens que você pode criar, com base nos tipos de segurança da imagem:

• Recomendado: As imagens suportadas por VM de Inicialização Confiável (TrustedLaunchSupported) são imagens em que a fonte não tem informações de estado de Convidado de VM e podem ser usadas para criar VMs de Geração 2 ou VMs de Inicialização Confiável.
• As imagens de VM de Inicialização Confiável (TrustedLaunch) são imagens em que a fonte geralmente tem informações de Estado Convidado da VM e podem ser usadas para criar apenas VMs de Inicialização Confiável.

Imagens suportadas pela Trusted Launch VM

Para as seguintes fontes de imagem, o tipo de segurança na definição de imagem deve ser definido como TrustedLaunchsupported:

• VHD de disco do sistema operacional (SO) Gen2
• Imagem gerenciada Gen2
• Versão Gen2 Gallery Image

Nenhuma informação de estado convidado da VM pode ser incluída na fonte da imagem.

Você pode usar a versão de imagem resultante para criar VMs do Azure Gen2 ou VMs de Inicialização Confiável.

Essas imagens podem ser compartilhadas usando a Galeria de Computação do Azure - Galeria Compartilhada Direta e a Galeria de Computação do Azure - Galeria da Comunidade.

Nota

A versão VHD do disco do sistema operacional, Imagem gerenciada ou Imagem da galeria deve ser criada a partir de uma imagem Gen2 compatível com VMs de inicialização confiáveis.

Portal

1. Inicie sessão no portal do Azure.
2. Procure e selecione versões de imagem de VM na barra de pesquisa.
3. Na página Versões de imagem da VM, selecione Criar.
4. Na página Criar versão da imagem da VM, na guia Noções básicas:
   1. Selecione a assinatura do Azure.
   2. Selecione um grupo de recursos existente ou crie um novo grupo de recursos.
   3. Selecione a região do Azure.
   4. Insira um número de versão da imagem.
   5. Em Source, selecione Storage Blobs (VHD) ou Managed Image ou another VM Image Version.
   6. Se você selecionou Blobs de Armazenamento (VHD), insira um VHD de disco do sistema operacional (sem o estado Convidado da VM). Certifique-se de usar um VHD Gen2.
   7. Se você selecionou Imagem gerenciada, selecione uma imagem gerenciada existente de uma VM Gen2.
   8. Se você selecionou Versão da Imagem da VM, selecione uma versão existente da Imagem da Galeria de uma VM Gen2.
   9. Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
   10. Para Estado do sistema operacional, selecione Generalizado ou Especializado , dependendo do seu caso de uso. Se você estiver usando uma imagem gerenciada como fonte, sempre selecione Generalizado. Se você estiver usando um blob de armazenamento (VHD) e quiser selecionar Generalizado, siga as etapas para generalizar um VHD Linux ou generalizar um VHD do Windows antes de continuar. Se você estiver usando uma versão de imagem de VM existente, selecione Generalizada ou Especializada com base no que é usado na definição de imagem da VM de origem.
   11. Para Definição de Imagem da VM de Destino, selecione Criar novo.
   12. No painel Criar uma definição de imagem de VM, insira um nome para a definição. Verifique se o tipo de segurança está definido como Trustedlaunch Supported. Insira as informações do editor, da oferta e da SKU. Em seguida, selecione OK.
5. Na guia Replicação, insira a contagem de réplicas e as regiões de destino para replicação de imagens, se necessário.
6. Na guia Criptografia, insira informações relacionadas à criptografia SSE, se necessário.
7. Selecione Rever + Criar.
8. Depois que a configuração for validada com êxito, selecione Criar para concluir a criação da imagem.
9. Depois que a versão da imagem for criada, selecione Criar VM.
10. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo. Insira um nome para seu grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
11. Em Detalhes da instância, insira um nome para o nome da VM e escolha uma região que ofereça suporte ao Trusted Launch.
12. Em Tipo de segurança, selecione Máquinas virtuais de inicialização confiáveis. As caixas de seleção Inicialização Segura e vTPM são ativadas por padrão.
13. Preencha as informações da conta de Administrador e, em seguida, Regras de porta de entrada.
14. Na página de validação, revise os detalhes da VM.
15. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

CLI

Certifique-se de que está a executar a versão mais recente da CLI do Azure.

1. Entre no Azure usando az logino .

   az login 
   

2. Crie uma definição de imagem com o TrustedLaunchSupported tipo de segurança.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. Use um VHD de disco do sistema operacional para criar uma versão de imagem. Certifique-se de que o VHD do Linux foi generalizado antes de carregá-lo para um blob de conta de Armazenamento do Azure usando as etapas em Preparar o Linux para criação de imagens no Azure.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. Crie uma VM de inicialização confiável a partir da versão de imagem anterior.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. Crie uma definição de imagem com o TrustedLaunchSupported tipo de segurança.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Para criar uma versão de imagem, você pode usar uma versão existente da Gen2 Gallery Image, que foi generalizada durante a criação.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Crie uma VM de inicialização confiável a partir da versão de imagem anterior.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

Imagens de VM de inicialização confiáveis

O tipo de segurança na definição de imagem deve ser definido para TrustedLaunchas seguintes fontes de imagem:

• Captura de VM de inicialização confiável
• Disco SO gerido
• Instantâneo de disco do sistema operacional gerenciado

Você pode usar a versão de imagem resultante para criar somente VMs de Inicialização Confiável do Azure.

Portal

1. Inicie sessão no portal do Azure.
2. Para criar uma Imagem da Galeria de Computação do Azure a partir de uma VM, abra uma VM de Inicialização Confiável existente e selecione Capturar.
3. Na página Criar uma imagem, permita que a imagem seja compartilhada na galeria como uma versão de imagem de VM. A criação de imagens gerenciadas não é suportada para VMs de inicialização confiáveis.
4. Crie uma nova Galeria de Computação do Azure de destino ou selecione uma galeria existente.
5. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se você quiser criar uma imagem generalizada, certifique-se de generalizar a VM para remover informações específicas da máquina antes de selecionar essa opção. Se a criptografia baseada em Bitlocker estiver habilitada em sua VM Windows de Inicialização Confiável, talvez não seja possível generalizar a mesma.
6. Crie uma nova definição de imagem fornecendo um nome, editor, oferta e detalhes de SKU. O tipo de segurança para a definição de imagem já deve estar definido como Inicialização confiável.
7. Forneça um número de versão para a versão da imagem.
8. Modifique as opções de replicação, se necessário.
9. Na parte inferior da página Criar uma imagem , selecione Rever + Criar. Depois que a validação for mostrada como aprovada, selecione Criar.
10. Depois que a versão da imagem for criada, vá diretamente para a versão da imagem. Como alternativa, você pode ir para a versão de imagem necessária através da definição de imagem.
11. Na página Versão da imagem da VM, selecione + Criar VM para ir para a página Criar uma máquina virtual.
12. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo. Insira um nome para seu grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
13. Em Detalhes da instância, insira um nome para o nome da VM e escolha uma região que ofereça suporte ao Trusted Launch.
14. A imagem e o tipo de segurança já estão preenchidos com base na versão da imagem selecionada. As caixas de seleção Inicialização Segura e vTPM são ativadas por padrão.
15. Preencha as informações da conta de Administrador e, em seguida, Regras de porta de entrada.
16. Na parte inferior da página, selecione Rever + Criar.
17. Na página de validação, revise os detalhes da VM.
18. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

Se você quiser usar um disco gerenciado ou um instantâneo de disco gerenciado como fonte da versão da imagem (em vez de uma VM de inicialização confiável), siga estas etapas.

1. Inicie sessão no portal do Azure.
2. Pesquise por Versões de Imagem de VM e selecione Criar.
3. Forneça a assinatura, o grupo de recursos, a região e o número da versão da imagem.
4. Selecione a origem como Discos e/ou Instantâneos.
5. Selecione o disco do sistema operacional como um disco gerenciado ou um instantâneo de disco gerenciado na lista suspensa.
6. Selecione uma Galeria de Computação do Azure de destino para criar e compartilhar a imagem. Se não existir uma galeria, crie uma nova galeria.
7. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se quiser criar uma imagem generalizada, certifique-se de generalizar o disco ou o instantâneo para remover informações específicas da máquina.
8. Para a Definição de Imagem da VM de Destino, selecione Criar nova. Na janela que se abre, selecione um nome de definição de imagem e verifique se Tipo de segurança está definido como Início confiável. Forneça as informações do editor, da oferta e da SKU e selecione OK.
9. A guia Replicação pode ser usada para definir a contagem de réplicas e as regiões de destino para replicação de imagens, se necessário.
10. A guia Criptografia também pode ser usada para fornecer informações relacionadas à criptografia SSE, se necessário.
11. Selecione Criar na guia Revisar + criar para criar a imagem.
12. Depois que a versão da imagem for criada com êxito, selecione + Criar VM para ir para a página Criar uma máquina virtual.
13. Siga as etapas 12 a 18, conforme mencionado anteriormente, para criar uma VM de inicialização confiável usando esta versão de imagem.

CLI

Certifique-se de que está a executar a versão mais recente da CLI do Azure.

1. Entre no Azure usando az logino .

   az login 
   

2. Crie uma definição de imagem com o TrustedLaunch tipo de segurança.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. Para criar uma versão de imagem, você pode capturar uma VM de inicialização confiável baseada em Linux existente. Generalize a VM de inicialização confiável antes de criar a versão da imagem.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   Se um disco gerenciado ou um instantâneo de disco gerenciado precisar ser usado como fonte de imagem para a versão da imagem, substitua --managed-image no comando anterior por --os-snapshot e forneça o disco ou o nome do recurso de instantâneo.

4. Crie uma VM de inicialização confiável a partir da versão de imagem anterior.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. Crie uma definição de imagem com o TrustedLaunch tipo de segurança.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Para criar uma versão de imagem, você pode capturar uma VM de inicialização confiável baseada no Windows existente. Generalize a VM de inicialização confiável antes de criar a versão da imagem.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Crie uma VM de inicialização confiável a partir da versão de imagem anterior.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

Políticas internas do Trusted Launch

Para ajudar os usuários a adotar o Lançamento Confiável, as políticas do Azure estão disponíveis para ajudar os proprietários de recursos a adotar o Lançamento Confiável. O principal objetivo é ajudar a converter VMs de Geração 1 e 2 que são capazes de Lançamento Confiável.

A máquina virtual deve ter verificações de política única habilitadas para inicialização confiável se a VM estiver habilitada atualmente com configurações de segurança de inicialização confiável. A política de Discos e SO suportados para Inicialização Confiável verifica se as VMs criadas anteriormente têm o tamanho do SO e da VM de Geração 2 capazes de implantar uma VM de Inicialização Confiável.

Estas duas políticas conjugam-se para criar a iniciativa política de lançamento fiável. Essa iniciativa permite agrupar várias definições de política relacionadas para simplificar atribuições e recursos de gerenciamento para incluir a configuração de inicialização confiável.

Para saber mais e começar a implantar, consulte Políticas internas de inicialização confiável.

---

Verificar ou atualizar suas configurações

Para VMs criadas com a Inicialização Confiável habilitada, você pode exibir a configuração da Inicialização Confiável acessando a página Visão geral da VM no portal do Azure. A guia Propriedades mostra o status dos recursos de inicialização confiável.

Para alterar a configuração de Início Confiável, no menu à esquerda, em Configurações, selecione Configuração. Na seção Tipo de segurança, você pode habilitar ou desabilitar a Inicialização Segura, o vTPM e o monitoramento de integridade. Selecione Salvar na parte superior da página quando terminar.

Se a VM estiver em execução, você receberá uma mensagem informando que a VM será reiniciada. Selecione Sim e aguarde a reinicialização da VM para que as alterações entrem em vigor.

Conteúdos relacionados

Saiba mais sobre VMs de monitoramento de integridade de inicialização e inicialização confiáveis.