Mevcut Azure 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme

Şunlar için geçerlidir: ✔️ Linux VM ✔️ Windows VM

Azure Sanal Makineler, Güvenilen başlatma güvenlik türüne yükselterek mevcut Azure 2. Nesil sanal makinelerde (VM) Azure Güvenilen başlatmayı etkinleştirmeyi destekler.

Güvenilir başlatma , Azure 2. Nesil VM'lerde temel işlem güvenliğini etkinleştirmenin ve önyükleme setleri ve rootkit'ler gibi gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlamanın bir yoludur. Bunu, Vm'nizde Güvenli Önyükleme, sanal Güvenilen Platform Modülü (vTPM) ve önyükleme bütünlüğü izleme gibi altyapı teknolojilerini birleştirerek yapar.

Important

Mevcut Azure 1. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme desteği sağlanır. Mevcut Azure Gen1 VM'leri Gen2 Güvenilir Başlatmaya taşıma bölümüne bakın.

Prerequisites

Azure VM şu şekilde yapılandırılır:

• Güvenilen lansman desteklenen boyut ailesi.
• Güvenilen başlatma desteklenen işletim sistemi (OS) sürümü. Özel işletim sistemi görüntüleri veya diskleri için temel görüntü Güvenilir başlatma özelliğine sahip olmalıdır.
• Arm64 VM'leri için Azure Market'ten güvenilir başlatma özellikli Arm64 görüntülerini ve desteklenen arm64 boyut ailesini kullanın. Cobalt 100 tabanlı Arm64 boyutları Güvenilir başlatmayı destekler.
• Azure VM şu anda Güvenilen başlatma ile desteklenmeyen özellikleri kullanmıyor.
• Vm'ler için Azure Backup etkinleştirildiyse Gelişmiş Yedekleme ilkesiyle yapılandırılmalıdır. Güvenilir başlatma güvenlik türü , Standart ilke yedekleme koruması ile yapılandırılmış VM'ler için etkinleştirilemiyor.
  • Mevcut Azure VM yedeklemesi Standart ilkeden Gelişmiş ilkesine geçirilebilir. Azure VM yedeklemelerini Standart ilkeden Gelişmiş ilkeye (önizleme) geçirme başlıklı adımları izleyin.

En iyi yöntemler

• Test 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin ve üretim iş yükleriyle ilişkili 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirmeden önce önkoşulları karşılamak için herhangi bir değişiklik gerekip gerekmediğini belirleyin.
• Güvenilen başlatma güvenlik türünü etkinleştirmeden önce üretim iş yükleriyle ilişkili Azure 2. Nesil VM'ler için geri yükleme noktaları oluşturun. Önceki iyi bilinen durumla diskleri ve 2. Nesil VM'yi yeniden oluşturmak için geri yükleme noktalarını kullanabilirsiniz.
• Linux VM'leri içinSBInfo aracı kullanarak güvenli önyükleme uyumluluğunu doğrulayın. Dağıtım tabanlı yükleme komutları için SBInfo bakın.

Mevcut bir VM'de Güvenilen başlatmayı etkinleştirme

Aşağıdaki adımlar, Güvenilir başlatma özellikli görüntüler kullanılırken hem x64 hem de Arm64 tabanlı 2. Nesil VM'ler için geçerlidir.

Note

• Bu adımlar x64 ve Arm64 2. Nesil VM'lere eşit şekilde uygulanır.
• vTPM varsayılan olarak etkindir.
• Güvenli önyükleme varsayılan olarak etkin değildir. Özel imzasız çekirdek veya sürücüler kullanmıyorsanız Güvenli Önyükleme'yi etkinleştirmenizi kesinlikle öneririz. Güvenli Önyükleme önyükleme bütünlüğünü korur ve VM'ler için temel güvenliği etkinleştirir.

Portal

Azure portalını kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin.

1. Azure portalınaoturum açın.

2. VM oluşturma işleminin V2 olduğunu onaylayın ve VM için Durdur'u seçin.

   

3. VM özelliklerindeki Genel Bakış sayfasında , Güvenlik türü altında Standart'ı seçin. VM'nin Yapılandırma sayfası açılır.

   

4. Yapılandırma sayfasındaki Güvenlik türü bölümünün altında Güvenlik türü açılan listesini seçin.

   

5. Açılan listenin altında Güvenilen başlat'ı seçin. Güvenli Önyükleme ve vTPM'yi etkinleştirmek için onay kutularını seçin. Değişiklikleri yaptıktan sonra Kaydet'i seçin.

   Note

   • Azure İşlem Galerisi (ACG), Yönetilen görüntü veya işletim sistemi diski kullanılarak oluşturulan 2. nesil VM'ler portal kullanılarak Güvenilen başlatmaya yükseltilemiyor. güvenilir başlatma için işletim sistemi sürümünün desteklendiğinden emin olun. Yükseltmeyi çalıştırmak için PowerShell, Azure CLI veya Azure Resource Manager şablonu (ARM şablonu) kullanın.

   

6. Güncelleştirme başarıyla tamamlandıktan sonra Yapılandırma sayfasını kapatın. VM özelliklerindeki Genel Bakış sayfasında Güvenlik türü ayarlarını onaylayın.

   

7. Yükseltilen Güvenilen başlatma VM'sini başlatın. Windows VM'leri için Uzak Masaüstü Protokolü'nü (RDP) veya Linux VM'ler için Güvenli Kabuk Protokolü'nü (SSH) kullanarak VM'de oturum açabildiğinizi doğrulayın.

CLI

Azure CLI kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

En son Azure CLI'yi yüklediğinizden ve az login ile bir Azure hesabında oturum açtığınızdan emin olun.

1. VM Azure aboneliğinde oturum açın.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. VM'yi serbest bırakma.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. olarak ayarlayarak --security-type Güvenilen başlatmayı TrustedLaunchetkinleştirin.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Önceki komutun çıkışını doğrulayın. Yapılandırmanın securityProfile komut çıkışıyla döndürüldiğinden emin olun.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. VM’yi başlatın.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

PowerShell

Azure PowerShell kullanarak mevcut bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

En son Azure PowerShell'i yüklediğinizden ve Connect-AzAccount ile bir Azure hesabında oturum açtığınızdan emin olun.

1. VM Azure aboneliğinde oturum açın.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. VM'yi serbest bırakma.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. olarak ayarlayarak -SecurityType Güvenilen başlatmayı TrustedLaunchetkinleştirin.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Güncelleştirilmiş VM yapılandırmasında doğrulayın securityProfile .

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. VM’yi başlatın.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Template

ARM şablonu kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

Azure Resource Manager şablonu, projenizin altyapısını ve yapılandırmasını tanımlayan bir JavaScript Nesne Gösterimi (JSON) dosyasıdır. Bu şablonda, bildirim temelli sözdizimi kullanılır. Dağıtımı oluşturmak için programlama komutlarının sırasını yazmadan hedeflenen dağıtımınızı açıklarsınız.

1. Şablonu gözden geçirin.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. parameters Güvenlik türüyle güncelleştirilecek TrustedLaunch VM'lerle JSON dosyasını düzenleyin.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Parametre dosyası tanımı

   Property	Özellik açıklaması	Örnek şablon değeri
   vmName	Azure 2. Nesil VM'nin adı.	myVm
   location	Azure 2. Nesil VM'nin konumu.	westus3
   secureBootEnabled	Güvenli Önyükleme'yi Güvenilen başlatma güvenlik türüyle etkinleştirin.	true

3. Güncelleştirilecek tüm Azure 2. Nesil VM'leri serbest bırakma.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. ARM şablonu dağıtımını çalıştırın.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Geri döndür

Note

Geri alma desteği için sanal makine aboneliğindeki ad alanında UseStandardSecurityType özelliğini Microsoft.Compute kaydedin. Daha fazla bilgi için bkz . Azure aboneliğinde önizleme özelliklerini ayarlama

Güvenilen Başlatma'daki değişiklikleri bilinen iyi 2. Nesil yapılandırmasına geri almak için VM'yi securityType olarak ayarlamanız gerekir.

Portal

Güvenilir başlatmanın 2. Nesil (Güvenilir Olmayan başlatma) yapılandırmasına geri alınması şu anda Azure portalında desteklenmemekte.

Template

Güvenilen başlatmadan önceki bilinen iyi yapılandırmaya değişiklikleri geri almak için, Güvenilen başlatma yükseltmesini yürütmek için kullanılan örnek şablonda gösterildiği gibi securityProfile olarak ayarlayın.

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

CLI

Azure CLI kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı devre dışı bırakmak için adımları izleyin.

En son Azure CLI'yi yüklediğinizden ve az login ile bir Azure hesabında oturum açtığınızdan emin olun.

1. VM Azure aboneliğinde oturum açın.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. VM'yi serbest bırakma.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. olarak ayarlayarak --security-type Güvenilen başlatmayı Standarddevre dışı bırakın.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type Standard
   

4. Önceki komutun çıkışını doğrulayın. Yapılandırmanın securityProfile komut çıkışıyla döndürüldiğinden emin olun.

   {
     "securityProfile": {
       "securityType": null,
       "uefiSettings": null
     }
   }
   

5. VM’yi başlatın.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

PowerShell

Güvenilen başlatmadan önceki bilinen iyi yapılandırmaya değişiklikleri geri almak için, gösterildiği gibi olarak ayarlayın -SecurityTypeStandard .

1. VM Azure aboneliğinde oturum açın.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. VM'yi serbest bırakma.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. olarak ayarlayarak -SecurityType Güvenilen başlatmayı Standarddevre dışı bırakın.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType Standard
   

4. Güncelleştirilmiş VM yapılandırmasında doğrulayın securityProfile .

   # Following command output should be `null`
   
   (Get-AzVM -ResourceGroupName myVm -VMName myResourceGroup `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   

5. VM’yi başlatın.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

Azure Danışmanı Önerisi

Azure Danışmanı, Sizin için ek ücret ödemeden Azure VM'leri için daha yüksek bir güvenlik duruşu olan Güvenilen başlatmayı benimsemek üzere mevcut 2. Nesil VM'ler için Güvenilir başlatma temel mükemmelliği ve mevcut 2. Nesil VM'ler için modern güvenlik önerisini doldurur. 2. Nesil VM'nin Güvenilen başlatmaya geçiş için tüm önkoşullara sahip olduğundan emin olun, işletim sistemi görüntüsünü doğrulama, VM Boyutu ve geri yükleme noktaları oluşturma gibi en iyi yöntemleri izleyin. Danışman önerisinin tamamlanmış olarak kabul edilmesi için, sanal makinelerin güvenlik türünü yükseltmek ve Güvenilen başlatmayı etkinleştirmek için Mevcut bir VM'de Güvenilen başlatmayı etkinleştir bölümünde açıklanan adımları izleyin.

Güvenilen başlatma önkoşullarına uymayan 2. Nesil VM'ler varsa ne olur?

Güvenilen başlatmaya yükseltme önkoşullarını karşılamayan 2. Nesil VM için önkoşulları nasıl yerine getirebilirsiniz? Örneğin, sanal makine boyutu kullanılıyorsa, Güvenilen başlatmayı destekleyen eşdeğer bir Güvenilen başlatma desteklenen boyutu arayın.

Note

2. Nesil sanal makine şu anda MSv2 serisi gibi Güvenilir başlatma ile desteklenmeyen VM boyutu aileleri ile yapılandırılmışsa öneriyi kapatın.

İlgili içerik

• Yeni sanal makine ve ölçek kümesi dağıtımlarında Güvenilen başlatmayı etkinleştirmek için Güvenilen başlatma sanal makinelerini dağıtma bölümüne bakın.
• Önyükleme bütünlüğünü izlemeyi etkinleştirmek için önyükleme bütünlüğü izleme bölümüne bakın ve Bulut için Microsoft Defender kullanarak VM'nin durumunu izleyin.
• Güvenilen başlatma hakkında daha fazla bilgi edinin ve sık sorulan soruları gözden geçirin.
• Güvenilen Başlatmayı destekleyen Cobalt 100 tabanlı Arm64 VM boyutları hakkında bilgi edinin.