Implantar uma VM com a inicialização confiável habilitada

Aplica-se a: ✔️ VMs Linux VMs ✔️ ✔️ do Windows Conjuntos de escala flexíveis Conjuntos ✔️ de balanças uniformes

O lançamento confiável é uma maneira de melhorar a segurança das VMs de 2ª geração. O lançamento confiável protege contra técnicas de ataque avançadas e persistentes, combinando tecnologias de infraestrutura como vTPM e inicialização segura.

Pré-requisitos

• Você precisa integrar sua assinatura do Microsoft Defender for Cloud , caso ainda não esteja. O Microsoft Defender for Cloud tem uma camada gratuita, que oferece informações muito úteis para vários recursos do Azure e híbridos. O lançamento confiável aproveita o Defender for Cloud para apresentar várias recomendações sobre a integridade da VM.

• Atribua iniciativas de políticas do Azure à sua subscrição. Estas iniciativas políticas têm de ser atribuídas apenas uma vez por subscrição. Isso instalará automaticamente todas as extensões necessárias em todas as VMs suportadas.

  • Configure os pré-requisitos para habilitar o Atestado de Convidado em VMs habilitadas para Inicialização Confiável.

  • Configure máquinas para instalar automaticamente o Azure Monitor e os agentes de Segurança do Azure em máquinas virtuais.

• Permitir a marca de serviço AzureAttestation em regras de saída NSG para permitir o tráfego para o Atestado do Microsoft Azure. Consulte Tags de serviço de rede virtual.

• Certifique-se de que as políticas de firewall estão permitindo o acesso ao *.attest.azure.net.

Nota

Se você estiver usando uma imagem do Linux e antecipar que a VM pode ter drivers de kernel não assinados ou não assinados pelo fornecedor da distribuição Linux, então você pode querer considerar desativar a inicialização segura. No portal do Azure, na página 'Criar uma máquina virtual' para o parâmetro 'Tipo de segurança' com 'Máquinas virtuais de inicialização confiáveis' selecionada, clique em 'Configurar recursos de segurança' e desmarque a caixa de seleção 'Habilitar inicialização segura'. Na CLI, PowerShell ou SDK, defina o parâmetro de inicialização segura como false.

Implantar uma VM de inicialização confiável

Crie uma máquina virtual com a inicialização confiável habilitada. Escolha uma opção abaixo:

Portal

1. Inicie sessão no portal do Azure.
2. Procure máquinas virtuais.
3. Em Serviços, selecione Máquinas virtuais.
4. Na página Máquinas virtuais, selecione Adicionar e, em seguida, selecione Máquina virtual.
5. Em Detalhes do projeto, verifique se a assinatura correta está selecionada.
6. Em Grupo de recursos, selecione Criar novo e digite um nome para o grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
7. Em Detalhes da instância, digite um nome para o nome da máquina virtual e escolha uma região que ofereça suporte à inicialização confiável.
8. Em Tipo de segurança , selecione Máquinas virtuais de inicialização confiáveis. Isso fará com que mais três opções apareçam - Inicialização segura, vTPM e Monitoramento de Integridade. Selecione as opções apropriadas para sua implantação. Para saber mais sobre os Recursos de Segurança Habilitados para Inicialização Confiável.
9. Em Imagem, selecione uma imagem das imagens Gen 2 recomendadas compatíveis com inicialização confiável. Para obter uma lista, consulte inicialização confiável.

   Gorjeta

   Se não vir a versão Gen 2 da imagem pretendida no menu pendente, selecione Ver todas as imagens e, em seguida, altere o filtro Tipo de segurança para Início Fidedigno.

10. Selecione um tamanho de VM que ofereça suporte à inicialização confiável. Consulte a lista de tamanhos suportados.
11. Preencha as informações da conta de Administrador e, em seguida, Regras de porta de entrada.
12. Na parte inferior da página, selecione Revisão + Criar
13. Na página Criar uma máquina virtual, você pode ver os detalhes sobre a VM que está prestes a implantar. Depois que a validação for mostrada como aprovada, selecione Criar.

Irá demorar alguns minutos até a VM ser implementada.

CLI

Verifique se você está executando a versão mais recente da CLI do Azure

Entre no Azure usando o az login.

az login 

Crie uma máquina virtual com o Trusted Launch.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Para VMs existentes, você pode habilitar ou desabilitar as configurações de inicialização segura e vTPM. Atualizar a máquina virtual com configurações de inicialização segura e vTPM acionará a reinicialização automática.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Para obter mais informações sobre como instalar o monitoramento de integridade de inicialização por meio da extensão Atestado de convidado, consulte Integridade de inicialização.

PowerShell

Para provisionar uma VM com Inicialização Confiável, ela primeiro precisa ser habilitada com o uso do TrustedLaunchSet-AzVmSecurityProfile cmdlet. Em seguida, você pode usar o cmdlet Set-AzVmUefi para definir a configuração vTPM e SecureBoot. Use o trecho abaixo como um início rápido, lembre-se de substituir os valores neste exemplo pelo seu próprio.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Modelo

Você pode implantar VMs de inicialização confiáveis usando um modelo de início rápido:

Linux

Windows

Implantar uma VM de inicialização confiável a partir de uma imagem da Galeria de Computação do Azure

As máquinas virtuais de inicialização confiável do Azure dão suporte à criação e ao compartilhamento de imagens personalizadas usando a Galeria de Computação do Azure. Há dois tipos de imagens que você pode criar, com base nos tipos de segurança da imagem:

• As imagens recomendadasde VM de inicialização confiável suportada (TrustedLaunchSupported) são imagens em que a origem não tem informações de estado de convidado de VM e podem ser usadas para criar VMs de 2ª geração ou VMs de inicialização confiáveis.
• As imagens de VM de inicialização confiável (TrustedLaunch) são imagens em que a fonte geralmente tem informações de estado de convidado de VM e podem ser usadas para criar apenas VMs de inicialização confiáveis.

Imagens suportadas por VM de inicialização confiável

Para as seguintes fontes de imagem, o tipo de segurança na definição de imagem deve ser definido como TrustedLaunchsupported:

• VHD de disco do sistema operacional Gen2
• Imagem gerenciada Gen2
• Versão da imagem da galeria Gen2

Nenhuma informação do Estado convidado da VM deve ser incluída na fonte da imagem.

A versão da imagem resultante pode ser usada para criar VMs do Azure Gen2 ou VMs de inicialização confiáveis.

Essas imagens podem ser compartilhadas usando a Galeria de Computação do Azure - Galeria Compartilhada Direta e a Galeria de Computação do Azure - Galeria da Comunidade

Nota

O VHD do disco do SO, a Imagem Gerenciada ou a Versão da Imagem da Galeria devem ser criados a partir de uma imagem Gen2 compatível com VMs de inicialização confiáveis.

Portal

1. Inicie sessão no portal do Azure.
2. Pesquisar e selecionar versões de imagem de VM na barra de pesquisa
3. Na página Versões de imagem da VM, selecione Criar.
4. Na página Criar versão da imagem da VM, na guia Noções básicas:
   1. Selecione a assinatura do Azure.
   2. Selecione um grupo de recursos existente ou crie um novo grupo de recursos.
   3. Selecione a região do Azure.
   4. Insira um número de versão da imagem.
   5. Em Source, selecione Storage Blobs (VHD) ou Managed Image ou another VM Image Version
   6. Se você selecionou Blobs de Armazenamento (VHD), insira um VHD de disco do sistema operacional (sem o estado Convidado da VM). Certifique-se de usar um VHD Gen 2.
   7. Se você selecionou Imagem gerenciada, selecione uma imagem gerenciada existente de uma VM Gen 2.
   8. Se você selecionou Versão da Imagem da VM, selecione uma Versão da Imagem da Galeria existente de uma VM Gen2.
   9. Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
   10. Para Estado do sistema operacional, selecione Generalizado ou Especializado , dependendo do seu caso de uso. Se você estiver usando uma imagem gerenciada como fonte, sempre selecione Generalizado. Se você estiver usando um blob de armazenamento (VHD) e quiser selecionar Generalizado, siga as etapas para generalizar um VHD Linux ou generalizar um VHD do Windows antes de continuar. Se você estiver usando uma Versão de Imagem de VM existente, selecione Generalizada ou Especializada com base no que é usado na definição de imagem da VM de origem.
   11. Para Definição de Imagem da VM de Destino, selecione Criar novo.
   12. No painel Criar uma definição de imagem VM, insira um nome para a definição. Verifique se o tipo de segurança está definido como Trustedlaunch Supported. Insira informações de editor, oferta e SKU. Em seguida, selecione Ok.
5. Na guia Replicação, insira a contagem de réplicas e as regiões de destino para replicação de imagens, se necessário.
6. Na guia Criptografia, insira informações relacionadas à criptografia SSE, se necessário.
7. Selecione Rever + Criar.
8. Depois que a configuração for validada com êxito, selecione Criar para concluir a criação da imagem.
9. Depois que a versão da imagem for criada, selecione Criar VM.
10. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo e digite um nome para o grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
11. Em Detalhes da instância, digite um nome para o nome da máquina virtual e escolha uma região que ofereça suporte à inicialização confiável.
12. Selecione Máquinas virtuais de inicialização confiáveis como o tipo de segurança. As caixas de seleção Inicialização Segura e vTPM são ativadas por padrão.
13. Preencha as informações da conta de Administrador e, em seguida, Regras de porta de entrada.
14. Na página de validação, revise os detalhes da VM.
15. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

CLI

Verifique se você está executando a versão mais recente da CLI do Azure

Entre no Azure usando o az login.

az login 

Criar uma definição de imagem com TrustedLaunchSupported tipo de segurança

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Use um VHD de disco do sistema operacional para criar uma versão de imagem. Certifique-se de que o VHD do Linux foi generalizado antes de carregar para um blob de conta de armazenamento do Azure usando as etapas descritas aqui

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Criar uma VM de inicialização confiável a partir da versão da imagem acima

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Criar uma definição de imagem com TrustedLaunchSupported tipo de segurança

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Para criar uma versão de imagem, podemos usar uma versão de imagem de galeria Gen2 existente que foi generalizada durante a criação.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Criar uma VM de inicialização confiável a partir da versão da imagem acima

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Imagens de VM de inicialização confiáveis

Para as seguintes fontes de imagem, o tipo de segurança na definição de imagem deve ser definido como TrustedLaunch:

• Captura de VM de inicialização confiável
• Disco SO gerido
• Instantâneo de disco do sistema operacional gerenciado

A versão da imagem resultante só pode ser usada para criar VMs de inicialização confiáveis do Azure.

Portal

1. Inicie sessão no portal do Azure.
2. Para criar uma Imagem da Galeria de Computação do Azure a partir de uma VM, abra uma VM de inicialização confiável existente e selecione Capturar.
3. Na página Criar uma imagem a seguir, permita que a imagem seja compartilhada na galeria como uma versão de imagem de VM. A criação de imagens gerenciadas não é suportada para VMs de inicialização confiáveis.
4. Crie uma nova Galeria de Computação do Azure de destino ou selecione uma galeria existente.
5. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se você quiser criar uma imagem generalizada, certifique-se de generalizar a VM para remover informações específicas da máquina antes de selecionar essa opção. Se a encriptação baseada no Bitlocker estiver ativada na sua VM Windows de início fidedigno, poderá não conseguir generalizar a mesma.
6. Crie uma nova definição de imagem fornecendo um nome, editor, oferta e detalhes de SKU. O Tipo de segurança da definição de imagem já deve estar definido como Inicialização confiável.
7. Forneça um número de versão para a versão da imagem.
8. Modifique as opções de replicação, se necessário.
9. Na parte inferior da página Criar uma imagem, selecione Rever + Criar e, quando a validação for apresentada como aprovada, selecione Criar.
10. Uma vez que a versão da imagem é criada, vá para a versão da imagem diretamente. Como alternativa, você pode navegar até a versão de imagem necessária através da definição de imagem.
11. Na página Versão da imagem da VM, selecione + Criar VM para aterrissar na página Criar uma máquina virtual.
12. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo e digite um nome para o grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
13. Em Detalhes da instância, digite um nome para o nome da máquina virtual e escolha uma região que ofereça suporte à inicialização confiável.
14. A imagem e o tipo de segurança já estão preenchidos com base na versão da imagem selecionada. As caixas de seleção Inicialização Segura e vTPM são ativadas por padrão.
15. Preencha as informações da conta de Administrador e, em seguida, Regras de porta de entrada.
16. Na parte inferior da página, selecione Revisão + Criar
17. Na página de validação, revise os detalhes da VM.
18. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

Caso você queira usar um disco gerenciado ou um instantâneo de disco gerenciado como fonte da versão da imagem (em vez de uma VM de inicialização confiável), use as seguintes etapas

1. Iniciar sessão no portal
2. Pesquise versões de imagem de VM e selecione Criar
3. Forneça a assinatura, o grupo de recursos, a região e o número da versão da imagem
4. Selecione a origem como Discos e/ou Snapshots
5. Selecione o disco do sistema operacional como um disco gerenciado ou um instantâneo de disco gerenciado na lista suspensa
6. Selecione uma Galeria de Computação do Azure de destino para criar e compartilhar a imagem. Se não existir uma galeria, crie uma nova galeria.
7. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se você quiser criar uma imagem generalizada, certifique-se de generalizar o disco ou instantâneo para remover informações específicas da máquina.
8. Para a Definição de Imagem da VM de Destino, selecione Criar nova. Na janela que se abre, selecione um nome de definição de imagem e certifique-se de que o Tipo de segurança está definido como Início fidedigno. Forneça as informações do editor, da oferta e da SKU e selecione OK.
9. A guia Replicação pode ser usada para definir a contagem de réplicas e as regiões de destino para replicação de imagens, se necessário.
10. A guia Criptografia também pode ser usada para fornecer informações relacionadas à criptografia SSE, se necessário.
11. Selecione Criar na guia Revisar + criar para criar a imagem
12. Depois que a versão da imagem for criada com êxito, selecione + Criar VM para acessar a página Criar uma máquina virtual.
13. Siga as etapas 12 a 18, conforme mencionado anteriormente, para criar uma VM de inicialização confiável usando esta versão de imagem

CLI

Verifique se você está executando a versão mais recente da CLI do Azure

Entre no Azure usando o az login.

az login 

Criar uma definição de imagem com TrustedLaunch tipo de segurança

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Para criar uma versão de imagem, podemos capturar uma VM de inicialização confiável baseada em Linux existente. Generalize a VM de inicialização confiável antes de criar a versão da imagem.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Caso um disco gerenciado ou um instantâneo de disco gerenciado precise ser usado como fonte de imagem para a versão da imagem, substitua --managed-image no comando acima por --os-snapshot e forneça o disco ou o nome do recurso de snapshot

Criar uma VM de inicialização confiável a partir da versão da imagem acima

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Criar uma definição de imagem com TrustedLaunch tipo de segurança

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Para criar uma versão de imagem, podemos capturar uma VM de inicialização confiável baseada no Windows existente. Generalize a VM de inicialização confiável antes de criar a versão da imagem.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Criar uma VM de inicialização confiável a partir da versão da imagem acima

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Verificar ou atualizar suas configurações

Para VMs criadas com inicialização confiável habilitada, você pode exibir a configuração de inicialização confiável visitando a página Visão geral da VM no portal do Azure. A guia Propriedades mostrará o status dos recursos de inicialização confiável:

Para alterar a configuração de inicialização confiável, no menu à esquerda, na seção Configurações , selecione Configuração. Você pode habilitar ou desabilitar a Inicialização Segura, o vTPM e o Monitoramento de Integridade na seção Tipo de segurança . Selecione Salvar na parte superior da página quando terminar.

Se a VM estiver em execução, você receberá uma mensagem informando que a VM será reiniciada. Selecione Sim e aguarde a reinicialização da VM para que as alterações entrem em vigor.

Próximos passos

Saiba mais sobre VMs confiáveis de inicialização e monitoramento de integridade de inicialização.