Önyükleme bütünlüğünü izlemeye genel bakış

Azure Güvenilen Başlatma'nın sanal makinelere (VM' ler) yönelik kötü amaçlı rootkit saldırılarını daha iyi önlemesine yardımcı olmak için, önyükleme dizisi bütünlüğünü izlemek için bir Azure Doğrulama uç noktası üzerinden konuk kanıtlaması kullanılır. Bu kanıtlama, bir platformun durumlarının geçerliliğini sağlamak için kritik öneme sahiptir.

Güvenilir Başlatma VM'nizin, kanıtlama uzantılarının yüklenebilmesi için Güvenli Önyükleme ve sanal Güvenilen Platform Modülü'nüzün (vTPM) etkinleştirilmesi gerekir. Bulut için Microsoft Defender, Konuk Kanıtlama doğrulama durumunu ve VM'nizin önyükleme bütünlüğünün doğru ayarlandığını temel alan raporlar sunar. Bulut için Microsoft Defender tümleştirmesi hakkında daha fazla bilgi edinmek için bkz. Bulut için Microsoft Defender ile Güvenilen Başlatma tümleştirmesi.

Önemli

Otomatik Uzantı Yükseltmesi artık Önyükleme Bütünlüğünü İzleme - Konuk Kanıtlama uzantısı için kullanılabilir. Daha fazla bilgi için bkz . Otomatik Uzantı Yükseltme.

Önkoşullar

Etkin bir Azure aboneliğine ve Güvenilir Başlatma VM'lerine ihtiyacınız vardır.

Bütünlük izlemeyi etkinleştirme

Bütünlük izlemeyi etkinleştirmek için bu bölümdeki adımları izleyin.

Azure portalı

1. Azure Portal’ında oturum açın.

2. Kaynağı seçin (Sanal Makineler).

3. Ayarlar bölümünde Yapılandırma‘yı seçin. Güvenlik türü bölmesinde Bütünlük izleme'yi seçin.

   

4. Değişiklikleri kaydedin.

VM'ye Genel Bakış sayfasında, bütünlük izleme için güvenlik türü Etkin olarak görünmelidir.

Bu eylem, Uzantılar + Uygulamalar sekmesindeki ayarlar aracılığıyla başvurabileceğiniz Konuk Kanıtlama uzantısını yükler.

Şablon

Hızlı başlangıç şablonunu kullanarak Güvenilen Başlatma VM'leri için Konuk Kanıtlama uzantısını dağıtabilirsiniz.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Güvenilen Başlatma VM'sinin ilk dağıtımı aracılığıyla Güvenli Önyükleme ve vTPM özelliklerine sahip Güvenilir Başlatma ile bir VM oluşturun. Konuk Kanıtlama uzantısını dağıtmak için kullanın --enable-integrity-monitoring. VM sahibi olarak, kullanarak az vm createVM yapılandırmasını özelleştirebilirsiniz.
2. Mevcut VM'lerde, bütünlük izlemenin açık olduğundan emin olmak için güncelleştirme yaparak önyükleme bütünlüğü izleme ayarlarını etkinleştirebilirsiniz. kullanabilirsiniz --enable-integrity-monitoring.

Not

Konuk Kanıtlama uzantısı açıkça yapılandırılmalıdır.

PowerShell

Güvenli Önyükleme ve vTPM AÇILDI olarak ayarlandıysa, önyükleme bütünlüğü de AÇILDI olarak ayarlanır.

1. Güvenilen Başlatma VM'sinin ilk dağıtımı aracılığıyla Güvenli Önyükleme ve vTPM özelliklerine sahip Güvenilir Başlatma ile bir VM oluşturun. VM sahibi olarak VM yapılandırmasını özelleştirebilirsiniz.
2. Mevcut VM'ler için, önyükleme bütünlüğü izleme ayarlarını güncelleştirerek etkinleştirebilirsiniz. Hem Güvenli Önyükleme hem de vTPM'nin ON olarak ayarlandığından emin olun.

Konuk Kanıtlama uzantısı aracılığıyla önyükleme bütünlüğünü izlemeyi içerecek şekilde VM oluşturma veya güncelleştirme hakkında daha fazla bilgi için bkz . Güvenilen Başlatma etkin (PowerShell) ile VM dağıtma.

Konuk Kanıtlama uzantısı yüklemesi için sorun giderme kılavuzu

Bu bölümde kanıtlama hataları ve çözümleri ele alır.

Belirtiler

Bir ağ güvenlik grubu (NSG) veya ara sunucu ayarladığınızda Azure Doğrulama uzantısı düzgün çalışmaz. "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation Sağlama başarısız oldu" gibi görünen bir hata görüntülenir.

Çözümler

Azure'da NSG'ler, Azure kaynakları arasındaki ağ trafiğini filtrelemeye yardımcı olmak için kullanılır. NSG'ler, gelen ağ trafiğine veya çeşitli Azure kaynaklarından giden ağ trafiğine izin veren veya reddeden güvenlik kuralları içerir. Azure Doğrulama uç noktasının Konuk Kanıtlama uzantısıyla iletişim kurabilmesi gerekir. Bu uç nokta olmadan Güvenilen Başlatma, Bulut için Microsoft Defender VM'lerinizin önyükleme sırasının bütünlüğünü izlemesine olanak tanıyan konuk kanıtlamasına erişemez.

Hizmet etiketlerini kullanarak NSG'lerdeki Azure Doğrulama trafiğinin engelini kaldırmak için:

1. Giden trafiğe izin vermek istediğiniz VM'ye gidin.

2. En soldaki bölmedeki Ağ'ın altında Ağ ayarları'nı seçin.

3. Ardından Bağlantı noktası kuralı>oluştur Giden bağlantı noktası kuralı'na tıklayın.

   

4. Azure Doğrulama izin vermek için hedefi bir hizmet etiketi yaparsınız. Bu ayar, IP adresleri aralığının güncelleştirilmesini ve Azure Doğrulama izin veren kuralların otomatik olarak ayarlanmasını sağlar. Hedef hizmet etiketini AzureAttestation olarak ve Eylem'i İzin Ver olarak ayarlayın.

   

Güvenlik duvarları, birden çok Güvenilen Başlatma VM'sini içeren bir sanal ağı korur. Uygulama kuralı koleksiyonu kullanarak güvenlik duvarındaki Azure Doğrulama trafiğinin engelini kaldırmak için:

1. Güvenilen Başlatma VM kaynağından trafiğin engellendiği Azure Güvenlik Duvarı örneğine gidin.

2. Ayarlar'ın altında Kurallar (klasik) öğesini seçerek güvenlik duvarının arkasındaki konuk kanıtlama engelini kaldırmaya başlayın.

3. Ağ kuralı koleksiyonu altında Ağ kuralı koleksiyonu ekle'yi seçin.

   

4. Ad, öncelik, kaynak türü ve hedef bağlantı noktalarını gereksinimlerinize göre yapılandırın. Hizmet etiketi adını AzureAttestation olarak ve Eylem'i İzin Ver olarak ayarlayın.

Uygulama kuralı koleksiyonu kullanarak güvenlik duvarındaki Azure Doğrulama trafiğinin engelini kaldırmak için:

1. Güvenilen Başlatma VM kaynağından trafiğin engellendiği Azure Güvenlik Duvarı örneğine gidin.

   

   Kural koleksiyonu, tam etki alanı adlarını (FQDN) hedefleyen en az bir kural içermelidir.

2. Uygulama kuralı koleksiyonunu seçin ve bir uygulama kuralı ekleyin.

3. Uygulama kurallarınız için bir ad ve sayısal öncelik seçin. Kural koleksiyonu için Eylem'i İzin Ver olarak ayarlayın.

   

4. Adı, kaynağı ve protokolü yapılandırın. Kaynak türü tek bir IP adresi içindir. Güvenlik duvarı üzerinden birden çok IP adresine izin vermek için IP grubunu seçin.

Bölgesel paylaşılan sağlayıcılar

Azure Doğrulama, kullanılabilir her bölgede bölgesel bir paylaşılan sağlayıcı sağlar. Kanıtlama için bölgesel paylaşılan sağlayıcıyı kullanmayı veya özel ilkelerle kendi sağlayıcılarınızı oluşturmayı seçebilirsiniz. Tüm Microsoft Entra kullanıcıları paylaşılan sağlayıcılara erişebilir. İlişkili ilke değiştirilemez.

Not

Kaynak türünü, hizmeti, hedef bağlantı noktası aralıklarını, protokolü, önceliği ve adı yapılandırabilirsiniz.

İlgili içerik

Güvenilen Başlatma ve Güvenilen Başlatma VM'sini dağıtma hakkında daha fazla bilgi edinin.