Översikt över övervakning av startintegritet

För att hjälpa Azure Trusted Launch att bättre förhindra skadliga rootkit-attacker på virtuella datorer används gästattestering via en Azure Attestation-slutpunkt för att övervaka startsekvensintegriteten. Detta attestering är viktigt för att tillhandahålla giltigheten för en plattforms tillstånd.

Den betrodda virtuella datorn för start behöver säker start och virtuell betrodd plattformsmodul (vTPM) för att kunna aktiveras så att attesteringstilläggen kan installeras. Microsoft Defender för molnet erbjuder rapporter baserade på gästattestering som verifierar status och att startintegriteten för den virtuella datorn är korrekt konfigurerad. Mer information om Microsoft Defender för molnintegrering finns i Betrodd startintegrering med Microsoft Defender för molnet.

Viktigt!

Automatisk tilläggsuppgradering är nu tillgängligt för tillägget Boot Integrity Monitoring – Gästattestering. Mer information finns i Automatisk tilläggsuppgradering.

Förutsättningar

Du behöver en aktiv Azure-prenumeration och en betrodd virtuell dator för start.

Aktivera integritetsövervakning

Om du vill aktivera integritetsövervakning följer du stegen i det här avsnittet.

Azure-portalen

1. Logga in på Azure-portalen.

2. Välj resursen (virtuella datorer).

3. Under Inställningar väljer du Konfiguration. I fönstret Säkerhetstyp väljer du Integritetsövervakning.

   

4. Spara ändringarna.

På sidan Översikt över virtuell dator ska säkerhetstypen för integritetsövervakning visas som Aktiverad.

Den här åtgärden installerar gästattesteringstillägget, som du kan referera till via inställningarna på fliken Tillägg + program .

Mall

Du kan distribuera gästattesteringstillägget för betrodda starta virtuella datorer med hjälp av en snabbstartsmall.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Skapa en virtuell dator med betrodd start som har funktioner för säker start och vTPM genom inledande distribution av en betrodd virtuell startdator. Om du vill distribuera gästattesteringstillägget använder du --enable-integrity-monitoring. Som vm-ägare kan du anpassa VM-konfigurationen med hjälp az vm createav .
2. För befintliga virtuella datorer kan du aktivera inställningar för övervakning av startintegritet genom att uppdatera för att kontrollera att integritetsövervakning är aktiverat. Du kan använda --enable-integrity-monitoring.

Kommentar

Gästattesteringstillägget måste konfigureras explicit.

PowerShell

Om Säker start och vTPM är inställda på PÅ är startintegriteten också inställd på PÅ.

1. Skapa en virtuell dator med betrodd start som har funktioner för säker start och vTPM genom inledande distribution av en betrodd virtuell startdator. Som vm-ägare kan du anpassa konfigurationen av den virtuella datorn.
2. För befintliga virtuella datorer kan du aktivera inställningar för övervakning av startintegritet genom att uppdatera. Kontrollera att både Säker start och vTPM är inställda på PÅ.

Mer information om hur du skapar eller uppdaterar en virtuell dator för att inkludera övervakning av startintegritet via gästattesteringstillägget finns i Distribuera en virtuell dator med betrodd start aktiverat (PowerShell).

Felsökningsguide för installation av gästattesteringstillägg

Det här avsnittet behandlar attesteringsfel och lösningar.

Symtom

Azure Attestation-tillägget fungerar inte korrekt när du konfigurerar en nätverkssäkerhetsgrupp (NSG) eller en proxyserver. Ett fel visas som liknar "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation etableringen misslyckades".

Lösningar

I Azure används NSG:er för att filtrera nätverkstrafik mellan Azure-resurser. NSG:er innehåller säkerhetsregler som antingen tillåter eller nekar inkommande nätverkstrafik eller utgående nätverkstrafik från flera typer av Azure-resurser. Azure Attestation-slutpunkten bör kunna kommunicera med gästattesteringstillägget. Utan den här slutpunkten kan trusted launch inte komma åt gästattestering, vilket gör att Microsoft Defender för molnet kan övervaka integriteten i startsekvensen för dina virtuella datorer.

Så här avblockerar du Azure Attestation-trafik i NSG:er med hjälp av tjänsttaggar:

1. Gå till den virtuella dator som du vill tillåta utgående trafik.

2. I den vänstra rutan, under Nätverk, väljer du Nätverksinställningar.

3. Välj sedan Skapa portregel>Utgående portregel.

   

4. Om du vill tillåta Azure Attestation gör du målet till en tjänsttagg. Med den här inställningen kan ip-adressintervallet uppdatera och automatiskt ange regler som tillåter Azure-attestering. Ange Måltjänsttagg till AzureAttestation och ange Åtgärd till Tillåt.

   

Brandväggar skyddar ett virtuellt nätverk som innehåller flera betrodda virtuella startdatorer. Så här avblockerar du Azure Attestation-trafik i en brandvägg med hjälp av en programregelsamling:

1. Gå till Azure Firewall-instansen som har trafik blockerad från resursen För betrodd start av virtuell dator.

2. Under Inställningar väljer du Regler (klassisk) för att börja avblockera gästattestering bakom brandväggen.

3. Under Nätverksregelsamling väljer du Lägg till nätverksregelsamling.

   

4. Konfigurera namn, prioritet, källtyp och målportar baserat på dina behov. Ange Namnet på tjänsttaggen till AzureAttestation och ange Åtgärd till Tillåt.

Så här avblockerar du Azure Attestation-trafik i en brandvägg med hjälp av en programregelsamling:

1. Gå till Azure Firewall-instansen som har trafik blockerad från resursen För betrodd start av virtuell dator.

   

   Regelsamlingen måste innehålla minst en regel som riktar sig mot fullständigt kvalificerade domännamn (FQDN).

2. Välj programregelsamlingen och lägg till en programregel.

3. Välj ett namn och en numerisk prioritet för dina programregler. Ange Åtgärd för regelsamlingen till Tillåt.

   

4. Konfigurera namn, källa och protokoll. Källtypen är för en enskild IP-adress. Välj IP-gruppen för att tillåta flera IP-adresser via brandväggen.

Regionala delade leverantörer

Azure Attestation tillhandahåller en regional delad provider i varje tillgänglig region. Du kan välja att använda den regionala delade providern för attestering eller skapa egna leverantörer med anpassade principer. Alla Microsoft Entra-användare kan komma åt delade leverantörer. Det går inte att ändra principen som är associerad med den.

Kommentar

Du kan konfigurera källtyp, tjänst, målportintervall, protokoll, prioritet och namn.

Relaterat innehåll

Läs mer om betrodd start och distribution av en betrodd virtuell dator för start.