Развертывание виртуальной машины с включенным доверенным запуском

Применяется к: ✔️ виртуальные машины Linux Для виртуальных машин ✔️ ✔️ Windows Гибкие масштабируемые наборы ✔️ универсальных масштабируемых наборов.

Доверенный запуск — это способ повышения безопасности виртуальных машин поколения 2 . Доверенный запуск защищает от расширенных и постоянных атак путем объединения технологий инфраструктуры, таких как виртуальный доверенный платформенный модуль (vTPM) и безопасная загрузка.

Необходимые компоненты

• Рекомендуется подключить подписку к Microsoft Defender для облака, если это еще не так. Defender для облака имеет бесплатный уровень, который предоставляет полезные сведения для различных ресурсов Azure и гибридных ресурсов. При отсутствии Defender для облака пользователи доверенной виртуальной машины запуска не могут отслеживать целостность загрузки виртуальной машины.

• Назначьте инициативы политики Azure вашей подписке. Эти инициативы политик необходимо назначить только один раз для каждой подписки. Политики помогут развернуть и проверить виртуальные машины доверенного запуска при автоматической установке всех необходимых расширений на всех поддерживаемых виртуальных машинах.

  • Настройте встроенную инициативу политики запуска доверенных виртуальных машин.
  • Настройте предварительные требования для включения гостевой аттестации на виртуальных машинах с поддержкой доверенного запуска.
  • Настройте компьютеры для автоматической установки агентов Azure Monitor и Azure Security на виртуальных машинах.

• Разрешить тег AzureAttestation службы в правилах исходящего трафика группы безопасности сети, чтобы разрешить трафик для Аттестация Azure. Дополнительные сведения см. в разделе тегов службы виртуальной сети.

• Убедитесь, что политики брандмауэра разрешают доступ к *.attest.azure.net.

Примечание.

Если вы используете образ Linux и ожидаете, что у виртуальной машины могут быть драйверы ядра без знака или не подписаны поставщиком дистрибутива Linux, вам может потребоваться отключить безопасную загрузку. В портал Azure на странице "Создание виртуальной машины" для Security type параметра с выбранным Виртуальные машины доверенного запуска выберите пункт "Настройка функций безопасности" и снимите флажок "Включить безопасную загрузку". В Azure CLI, PowerShell или SDK задайте для falseпараметра безопасной загрузки значение .

Развертывание виртуальной машины доверенного запуска

Создайте виртуальную машину с включенным доверенным запуском. Выберите одно из следующих значений.

Портал

1. Войдите на портал Azure.

2. Найдите раздел Виртуальные машины.

3. В разделе Службы выберите Виртуальные машины.

4. На странице "Виртуальные машины" выберите "Добавить" и выберите "Виртуальная машина".

5. На вкладке Сведения о проекте должна быть выбрана правильная подписка.

6. Для параметра Группа ресурсов выберите Создать. Введите имя группы ресурсов или выберите существующую группу ресурсов из раскрывающегося списка.

7. В разделе " Сведения об экземпляре" введите имя виртуальной машины и выберите регион, поддерживающий доверенный запуск.

8. Для типа безопасности выберите доверенные виртуальные машины запуска. Когда отображаются параметры безопасной загрузки, vTPM и мониторинга целостности, выберите соответствующие параметры для развертывания. Дополнительные сведения см. в разделе "Надежные функции безопасности с поддержкой запуска".

   

9. В разделе "Изображение" выберите изображение из рекомендуемых образов 2-го поколения, совместимых с доверенным запуском. Список см. в разделе "Доверенный запуск".

   Совет

   Если в раскрывающемся списке не отображается версия образа 2-го поколения, выберите "Просмотреть все изображения". Затем измените фильтр типа безопасности на доверенный запуск.

10. Выберите размер виртуальной машины, поддерживающий доверенный запуск. Дополнительные сведения см. в списке поддерживаемых размеров.

11. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.

12. В нижней части страницы нажмите кнопку "Просмотр и создание".

13. На странице "Создание виртуальной машины" вы увидите сведения о виртуальной машине, которую вы планируете развернуть. После проверки нажмите кнопку "Создать".

Развертывание виртуальной машины занимает несколько минут.

CLI

Убедитесь, что вы используете последнюю версию Azure CLI.

1. Войдите в Azure с помощью az login.

   az login 
   

2. Создайте виртуальную машину с доверенным запуском.

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. Для существующих виртуальных машин можно включить или отключить параметры безопасной загрузки и vTPM. Обновление виртуальной машины с помощью параметров безопасной загрузки и vTPM активирует автоматическую перезагрузку.

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

Дополнительные сведения об установке мониторинга целостности загрузки с помощью расширения аттестации гостей см. в разделе "Целостность загрузки".

PowerShell

Чтобы подготовить виртуальную машину с доверенным запуском, сначала необходимо включить параметр TrustedLaunch с помощью командлета Set-AzVmSecurityProfile . Затем можно использовать Set-AzVmUefi командлет для задания конфигурации vTPM и безопасной загрузки. Используйте следующий фрагмент кода в качестве быстрого запуска. Не забудьте заменить значения в этом примере собственными.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Шаблон

Вы можете развернуть виртуальные машины доверенного запуска с помощью шаблона быстрого запуска.

Linux

Windows

Развертывание доверенной виртуальной машины запуска из образа коллекции вычислений Azure

Виртуальные машины доверенного запуска Azure поддерживают создание и совместное использование пользовательских образов с помощью коллекции вычислений Azure. Существует два типа изображений, которые можно создать на основе типов безопасности образа:

• Рекомендуется: поддерживаемые (TrustedLaunchSupported) образы доверенной виртуальной машины запуска — это образы, в которых источник не имеет сведений о состоянии гостевой виртуальной машины и может использоваться для создания виртуальных машин поколения 2 или доверенных виртуальных машин запуска.
• Образы доверенной виртуальной машиныTrustedLaunch запуска — это образы , в которых источник обычно содержит сведения о состоянии гостевой машины и может использоваться для создания только доверенных виртуальных машин запуска.

Поддерживаемые образы виртуальной машины доверенного запуска

Для следующих источников изображений необходимо задать TrustedLaunchsupportedтип безопасности определения образа:

• Виртуальный жесткий диск операционной системы 2-го поколения
• Управляемый образ 2-го поколения
• Версия образа коллекции 2-го поколения

Сведения о состоянии гостя виртуальной машины не могут быть включены в источник образа.

Полученную версию образа можно использовать для создания виртуальных машин Azure 2-го поколения или доверенных виртуальных машин запуска.

Эти образы можно совместно использовать с помощью коллекции вычислений Azure — прямая общая коллекция и коллекция вычислений Azure — коллекция сообщества.

Примечание.

Версия образа диска ОС, управляемого образа или образа коллекции должна быть создана на основе образа 2-го поколения, совместимого с доверенными виртуальными машинами запуска.

Портал

1. Войдите на портал Azure.
2. Найдите и выберите версии образов виртуальной машины в строке поиска.
3. На странице версий образов виртуальной машины нажмите кнопку "Создать".
4. На странице "Создание образа виртуальной машины" на вкладке "Основные сведения":
   1. Выберите подписку Azure.
   2. Выберите существующую группу ресурсов или создайте новую.
   3. Выберите регион Azure.
   4. Введите номер версии образа.
   5. В качестве источника выберите хранилище BLOB-объектов (VHD) или Управляемый образ или другую версию образа виртуальной машины.
   6. Если выбраны большие двоичные объекты хранилища (VHD), введите виртуальный жесткий диск ОПЕРАЦИОННОй системы (без состояния гостевой виртуальной машины). Обязательно используйте VHD 2-го поколения.
   7. Если выбран управляемый образ, выберите существующий управляемый образ виртуальной машины 2-го поколения.
   8. Если выбрана версия образа виртуальной машины, выберите существующую версию образа коллекции виртуальной машины 2-го поколения.
   9. Для целевой коллекции вычислений Azure выберите или создайте коллекцию, чтобы предоставить общий доступ к изображению.
   10. Для состояния операционной системы выберите "Обобщенный " или "Специализированный " в зависимости от варианта использования. Если вы используете управляемый образ в качестве источника, всегда выберите "Обобщенный". Если вы используете большой двоичный объект хранилища (VHD) и хотите выбрать обобщенный, выполните действия, чтобы обобщить виртуальный жесткий диск Linux или обобщение виртуального жесткого диска Windows, прежде чем продолжить. Если вы используете существующую версию образа виртуальной машины, выберите "Обобщенный " или "Специализированный " на основе того, что используется в определении исходного образа виртуальной машины.
   11. Для определения образа целевой виртуальной машины нажмите кнопку "Создать".
   12. В области определения образа виртуальной машины введите имя определения. Убедитесь, что для типа безопасности задано значение Trustedlaunch Supported. Введите сведения о издателе, предложении и номере SKU. Затем выберите OK.
5. На вкладке "Репликация" введите количество реплик и целевые регионы для репликации изображений при необходимости.
6. На вкладке "Шифрование" введите сведения, связанные с шифрованием SSE, при необходимости.
7. Выберите Review + Create (Просмотреть и создать).
8. После успешной проверки конфигурации нажмите кнопку "Создать ", чтобы завершить создание образа.
9. После создания версии образа нажмите кнопку "Создать виртуальную машину".
10. На странице "Создание виртуальной машины" в группе ресурсов выберите "Создать". Введите имя группы ресурсов или выберите существующую группу ресурсов из раскрывающегося списка.
11. В разделе " Сведения об экземпляре" введите имя виртуальной машины и выберите регион, поддерживающий доверенный запуск.
12. Для типа безопасности выберите доверенные виртуальные машины запуска. Флажки Безопасная загрузка и vTPM установлены по умолчанию.
13. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.
14. На странице проверки просмотрите сведения о виртуальной машине.
15. После успешной проверки нажмите кнопку "Создать ", чтобы завершить создание виртуальной машины.

CLI

Убедитесь, что вы используете последнюю версию Azure CLI.

1. Войдите в Azure с помощью az login.

   az login 
   

2. Создайте определение изображения с типом TrustedLaunchSupported безопасности.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. Создайте версию образа с помощью виртуального жесткого диска ОС. Убедитесь, что виртуальный жесткий диск Linux был обобщен перед отправкой его в большой двоичный объект учетной записи служба хранилища Azure, выполнив действия, описанные в разделе "Подготовка Linux к созданию образов в Azure".

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. Создайте виртуальную машину доверенного запуска из предыдущей версии образа.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. Создайте определение изображения с типом TrustedLaunchSupported безопасности.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Чтобы создать версию образа, можно использовать существующую версию образа коллекции 2-го поколения, которая была обобщена во время создания.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Создайте виртуальную машину доверенного запуска из предыдущей версии образа.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

Образы виртуальных машин доверенного запуска

Для следующих источников изображений необходимо задать TrustedLaunchтип безопасности определения изображения:

• Запись доверенного запуска виртуальной машины
• Управляемый диск ОС
• Моментальный снимок управляемого диска ОС

Полученную версию образа можно использовать для создания только виртуальных машин доверенного запуска Azure.

Портал

1. Войдите на портал Azure.
2. Чтобы создать образ коллекции вычислений Azure на виртуальной машине, откройте существующую виртуальную машину доверенного запуска и выберите "Запись".
3. На странице "Создание образа" разрешите общий доступ к изображению в коллекции в качестве версии образа виртуальной машины. Создание управляемых образов не поддерживается для виртуальных машин доверенного запуска.
4. Создайте новую целевую коллекцию вычислений Azure или выберите существующую коллекцию.
5. Выберите для параметра Состояние операционной системы значение Универсальная или Специализированная. Если вы хотите создать обобщенный образ, убедитесь, что вы обобщите виртуальную машину для удаления сведений , относящихся к компьютеру, прежде чем выбрать этот параметр. Если шифрование на основе Bitlocker включено на виртуальной машине доверенного запуска Windows, возможно, вы не сможете обобщить то же самое.
6. Создайте новое определение изображения, указав имя, издатель, предложение и номер SKU. Тип безопасности для определения образа должен иметь значение "Доверенный запуск".
7. Укажите номер версии для образа.
8. При необходимости измените параметры репликации.
9. В нижней части страницы "Создание изображения" выберите "Просмотр и создание". После проверки нажмите кнопку "Создать".
10. После создания версии образа перейдите непосредственно к версии образа. Кроме того, можно перейти к требуемой версии образа с помощью определения образа.
11. На странице версии образа виртуальной машины нажмите кнопку "Создать виртуальную машину", чтобы перейти на страницу "Создание виртуальной машины".
12. На странице "Создание виртуальной машины" в группе ресурсов выберите "Создать". Введите имя группы ресурсов или выберите существующую группу ресурсов из раскрывающегося списка.
13. В разделе " Сведения об экземпляре" введите имя виртуальной машины и выберите регион, поддерживающий доверенный запуск.
14. Значения образа и типа безопасности уже заполнены на основе версии выбранного образа. Флажки Безопасная загрузка и vTPM установлены по умолчанию.
15. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.
16. В нижней части страницы нажмите кнопку "Просмотр и создание".
17. На странице проверки просмотрите сведения о виртуальной машине.
18. После успешной проверки нажмите кнопку "Создать ", чтобы завершить создание виртуальной машины.

Если вы хотите использовать управляемый диск или моментальный снимок управляемого диска в качестве источника версии образа (вместо доверенной виртуальной машины запуска), выполните следующие действия.

1. Войдите на портал Azure.
2. Найдите версии образа виртуальной машины и нажмите кнопку "Создать".
3. Укажите подписку, группу ресурсов, регион и номер версии образа.
4. Выберите источник в качестве дисков и (или) моментальных снимков.
5. Выберите диск ОС в качестве управляемого диска или моментального снимка управляемого диска в раскрывающемся списке.
6. Выберите Целевая Коллекция вычислений Azure, чтобы создать образ и предоставить к нему доступ. Если коллекция не существует, создайте новую.
7. Выберите для параметра Состояние операционной системы значение Универсальная или Специализированная. Если вы хотите создать обобщенный образ, убедитесь, что вы обобщаете диск или моментальный снимок, чтобы удалить сведения, относящиеся к компьютеру.
8. Для определения образа целевой виртуальной машины выберите "Создать". В открывавшемся окне выберите имя определения изображения и убедитесь, что для типа безопасности задано значение "Доверенный запуск". Предоставьте сведения о издателе, предложении и номере SKU и нажмите кнопку "ОК".
9. Вкладку Репликация при необходимости можно использовать для установки количества реплик и целевых регионов для репликации образа.
10. Вкладка "Шифрование" также может использоваться для предоставления сведений, связанных с шифрованием SSE, при необходимости.
11. Нажмите кнопку "Создать " на вкладке "Рецензирование" и "Создать ", чтобы создать изображение.
12. После успешного создания версии образа нажмите кнопку "Создать виртуальную машину ", чтобы перейти на страницу "Создание виртуальной машины ".
13. Выполните шаги 12–18, как упоминалось ранее, чтобы создать виртуальную машину доверенного запуска с помощью этой версии образа.

CLI

Убедитесь, что вы используете последнюю версию Azure CLI.

1. Войдите в Azure с помощью az login.

   az login 
   

2. Создайте определение изображения с типом TrustedLaunch безопасности.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. Чтобы создать версию образа, можно записать существующую виртуальную машину доверенного запуска под управлением Linux. Обобщайте виртуальную машину доверенного запуска перед созданием версии образа.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   Если управляемый диск или моментальный снимок управляемого диска необходимо использовать в качестве источника образа для версии образа, замените --managed-image в предыдущей команде --os-snapshot на имя диска или ресурса моментального снимка.

4. Создайте виртуальную машину доверенного запуска из предыдущей версии образа.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. Создайте определение изображения с типом TrustedLaunch безопасности.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Чтобы создать версию образа, можно записать существующую виртуальную машину доверенного запуска под управлением Windows. Обобщайте виртуальную машину доверенного запуска перед созданием версии образа.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Создайте виртуальную машину доверенного запуска из предыдущей версии образа.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

Встроенные политики доверенного запуска

Чтобы помочь пользователям внедрить доверенный запуск, политики Azure доступны, чтобы помочь владельцам ресурсов принять доверенный запуск. Основной задачей является преобразование виртуальных машин поколения 1 и 2, способных к доверенному запуску.

Виртуальная машина должна иметь включенную единую политику доверенного запуска, если виртуальная машина включена с конфигурациями безопасности доверенного запуска. Диски и ОС, поддерживаемые для проверки политики доверенного запуска , если ранее созданные виртуальные машины имеют размер ос 2 поколения 2 и виртуальной машины для развертывания виртуальной машины доверенного запуска.

Эти две политики объединяются, чтобы сделать инициативу политики доверенного запуска. Эта инициатива позволяет сгруппировать несколько связанных определений политик для упрощения назначений и ресурсов управления для включения конфигурации доверенного запуска.

Дополнительные сведения о развертывании см. в статье о встроенных политиках доверенного запуска.

---

Проверка или обновление параметров

Для виртуальных машин, созданных с включенным доверенным запуском, можно просмотреть конфигурацию доверенного запуска, перейдя на страницу обзора виртуальной машины в портал Azure. На вкладке "Свойства" отображается состояние функций доверенного запуска.

Чтобы изменить конфигурацию доверенного запуска, в меню слева в разделе "Параметры" выберите "Конфигурация". В разделе "Тип безопасности" можно включить или отключить безопасный запуск, vTPM и мониторинг целостности. Нажмите кнопку "Сохранить " в верхней части страницы после завершения.

Если виртуальная машина запущена, вы получите сообщение о перезапуске виртуальной машины. Нажмите кнопку "Да ", а затем дождитесь перезапуска виртуальной машины, чтобы изменения вступили в силу.

Связанный контент

Дополнительные сведения о доверенном запуске и мониторинге целостности загрузки виртуальных машин.