Översikt över övervakning av startintegritet

För att hjälpa Trusted Launch att bättre förhindra skadliga rootkit-attacker på virtuella datorer används gästattestering via Maa-slutpunkten (Microsoft Azure Attestation) för att övervaka startsekvensintegriteten. Den här attesteringen är viktig för att tillhandahålla giltighet för en plattforms tillstånd. Om dina Azure Trusted Virtual Machines har säker start och vTPM aktiverat och attesteringstillägg installerade kontrollerar Microsoft Defender för molnet att statusen och startintegriteten för den virtuella datorn har konfigurerats korrekt. Mer information om MDC-integrering finns i den betrodda startintegrering med Microsoft Defender för molnet.

Viktigt!

Automatisk tilläggsuppgradering är nu tillgänglig för övervakning av startintegritet – gästattesteringstillägg. Läs mer om automatisk tilläggsuppgradering.

Förutsättningar

En aktiv Azure-prenumeration + betrodd virtuell startdator

Aktivera integritetsövervakning

Azure-portalen

1. Logga in på Azure-portalen.

2. Välj resursen (virtuella datorer).

3. Under Inställningar väljer du konfiguration. I panelen säkerhetstyp väljer du integritetsövervakning.

   

4. Spara ändringarna.

Under översiktssidan för virtuella datorer ska nu säkerhetstypen för integritetsövervakning vara aktiverad.

Detta installerar gästattesteringstillägget, som kan refereras via inställningar på fliken tillägg + program.

Mall

Du kan distribuera gästattesteringstillägget för betrodda virtuella startdatorer med hjälp av en snabbstartsmall:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Skapa en virtuell dator med betrodd start som har funktioner för säker start + vTPM genom inledande distribution av en betrodd virtuell startdator. Så här distribuerar du tillägg för gästattestering (--enable_integrity_monitoring). Konfigurationen av virtuella datorer kan anpassas av den virtuella datorns ägare (az vm create).
2. För befintliga virtuella datorer kan du aktivera inställningar för övervakning av startintegritet genom att uppdatera för att se till att aktivera integritetsövervakning är aktiverat (--enable_integrity_monitoring).

Kommentar

Gästattesteringstillägget måste konfigureras explicit.

PowerShell

Om Säker start och vTPM är PÅ är startintegriteten PÅ.

1. Skapa en virtuell dator med betrodd start som har funktioner för säker start + vTPM genom inledande distribution av den betrodda virtuella startdatorn. Konfigurationen av virtuella datorer kan anpassas av den virtuella datorns ägare.
2. För befintliga virtuella datorer kan du aktivera inställningar för övervakning av startintegritet genom att uppdatera för att kontrollera att både SecureBoot och vTPM är på.

Mer information om hur du skapar eller uppdaterar en virtuell dator för att inkludera övervakning av startintegritet via gästattesteringstillägget finns i Distribuera en virtuell dator med betrodd start aktiverat (PowerShell).

Felsökningsguide för installation av gästattesteringstillägg

Symtom

Microsoft Azure Attestation-tilläggen fungerar inte korrekt när kunder konfigurerar en nätverkssäkerhetsgrupp eller proxy. Ett fel som liknar (Microsoft.Azure.Security.WindowsAttestation.GuestAttestation-etableringen misslyckades.)

Lösningar

I Azure används nätverkssäkerhetsgrupper (NSG) för att filtrera nätverkstrafik mellan Azure-resurser. NSG:er innehåller säkerhetsregler som antingen tillåter eller nekar inkommande nätverkstrafik eller utgående nätverkstrafik från flera typer av Azure-resurser. För Microsoft Azure Attestation-slutpunkten bör den kunna kommunicera med gästattesteringstillägget. Utan den här slutpunkten kan trusted launch inte komma åt gästattestering, vilket gör att Microsoft Defender för molnet kan övervaka integriteten i startsekvensen för dina virtuella datorer.

Avblockera Microsoft Azure Attestation-trafik i nätverkssäkerhetsgrupper med hjälp av tjänsttaggar.

1. Navigera till den virtuella dator som du vill tillåta utgående trafik på.
2. Under Nätverk i sidofältet till vänster väljer du fliken Nätverksinställningar .
3. Välj sedan skapa portregel och Lägg till regel för utgående port.
   
4. Om du vill tillåta Microsoft Azure-attestering gör du målet till en tjänsttagg. Detta gör att intervallet med IP-adresser kan uppdateras och automatiskt ange tillåtna regler för Microsoft Azure-attestering. Måltjänsttaggen är AzureAttestation och åtgärden är inställd på Tillåt.

Brandväggar skyddar ett virtuellt nätverk som innehåller flera virtuella datorer med betrodd start. Så här avblockerar du Microsoft Azure Attestation-trafik i brandväggen med hjälp av programregelsamling.

1. Gå till Azure Firewall som har trafik blockerad från den virtuella datorresursen Betrodd start.
2. Under inställningar väljer du Regler (klassisk) för att börja avblockera gästattestering bakom brandväggen.
3. Välj en nätverksregelsamling och lägg till nätverksregel.
4. Användaren kan konfigurera namn, prioritet, källtyp, målportar baserat på deras behov. Namnet på tjänsttaggen är följande: AzureAttestation och åtgärden måste anges som tillåten.

Så här avblockerar du Microsoft Azure Attestation-trafik i brandväggen med hjälp av programregelsamling.

1. Gå till Azure Firewall som har trafik blockerad från den virtuella datorresursen Betrodd start. Regelsamlingen måste innehålla minst en regel och gå till Mål-FQDN (fullständigt kvalificerade domännamn).
2. Välj Programregelsamling och lägg till en programregel.
3. Välj ett namn, en numerisk prioritet för dina programregler. Åtgärden för regelsamlingen är inställd på TILLÅT. Mer information om programbearbetning och värden finns här.
4. Namn, källa, protokoll, kan alla konfigureras av användaren. Källtyp för enskild IP-adress, välj IP-grupp för att tillåta flera IP-adresser via brandväggen.

Regionala delade leverantörer

Azure Attestation tillhandahåller en regional delad provider i varje tillgänglig region. Kunder kan välja att använda den regionala delade providern för attestering eller skapa egna leverantörer med anpassade principer. Delade leverantörer kan nås av alla Azure AD-användare och principen som är associerad med den kan inte ändras.

Kommentar

Användare kan konfigurera sin källtyp, tjänst, målportintervall, protokoll, prioritet och namn.

Nästa steg

Läs mer om betrodd start och distribution av en betrodd virtuell dator.