Mevcut Azure VM'lerinde Güvenilen başlatmayı etkinleştirme

Şunlar için geçerlidir: ✔️ Linux VM ✔️ Windows VM ✔️ 2. Nesil VM

Azure Sanal Makineler, Güvenilen başlatma güvenlik türüne yükselterek mevcut Azure 2. Nesil sanal makinelerde (VM) Azure Güvenilen başlatmayı etkinleştirmeyi destekler.

Güvenilir başlatma , Azure 2. Nesil VM'lerde temel işlem güvenliğini etkinleştirmenin ve önyükleme setleri ve rootkit'ler gibi gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlamanın bir yoludur. Bunu, Vm'nizde Güvenli Önyükleme, sanal Güvenilen Platform Modülü (vTPM) ve önyükleme bütünlüğü izleme gibi altyapı teknolojilerini birleştirerek yapar.

Önemli

Mevcut Azure 1. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme desteği şu anda özel önizleme aşamasındadır. Kayıt formunu kullanarak önizleme erişimi elde edebilirsiniz.

Önkoşullar

• Azure 2. Nesil VM şu şekilde yapılandırılır:
  • Güvenilen lansman desteklenen boyut ailesi.
  • Güvenilen başlatma desteklenen işletim sistemi (OS) görüntüsü. Özel işletim sistemi görüntüleri veya diskleri için temel görüntü Güvenilir başlatma özelliğine sahip olmalıdır.
• Azure 2. Nesil VM şu anda Güvenilen başlatma ile desteklenmeyen özellikleri kullanmıyor.
• Güvenilen başlatma güvenlik türünü etkinleştirmeden önce Azure 2. Nesil VM'ler durdurulmalı ve serbest bırakılmalıdır.
• Vm'ler için Azure Backup etkinleştirildiyse Gelişmiş Yedekleme ilkesiyle yapılandırılmalıdır. Standart ilke yedekleme koruması ile yapılandırılmış 2. Nesil VM'ler için Güvenilen başlatma güvenlik türü etkinleştirilemiyor.
  • Mevcut Azure VM yedeklemesi Standart ilkeden Gelişmiş ilkesine geçirilebilir. Azure VM yedeklemelerini Standart ilkeden Gelişmiş ilkeye (önizleme) geçirme başlıklı adımları izleyin.

En iyi yöntemler

• Test 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin ve üretim iş yükleriyle ilişkili 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirmeden önce önkoşulları karşılamak için herhangi bir değişiklik gerekip gerekmediğini belirleyin.
• Güvenilen başlatma güvenlik türünü etkinleştirmeden önce üretim iş yükleriyle ilişkili Azure 2. Nesil VM'ler için geri yükleme noktaları oluşturun. Önceki iyi bilinen durumla diskleri ve 2. Nesil VM'yi yeniden oluşturmak için geri yükleme noktalarını kullanabilirsiniz.

Mevcut bir VM'de Güvenilen başlatmayı etkinleştirme

Not

• Güvenilen başlatmayı etkinleştirdikten sonra, şu anda VM'ler Standart güvenlik türüne (Güvenilir olmayan başlatma yapılandırması) geri alınamaz.
• vTPM varsayılan olarak etkindir.
• Özel imzasız çekirdek veya sürücüler kullanmıyorsanız Güvenli Önyükleme'yi etkinleştirmenizi öneririz. Varsayılan olarak etkin değildir. Güvenli Önyükleme önyükleme bütünlüğünü korur ve VM'ler için temel güvenliği etkinleştirir.

Portal

Azure portalını kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin.

1. Azure Portal’ında oturum açın.

2. VM oluşturma işleminin V2 olduğunu onaylayın ve VM için Durdur'u seçin.

   

3. VM özelliklerindeki Genel Bakış sayfasında, Güvenlik türü altında Standart'ı seçin. VM'nin Yapılandırma sayfası açılır.

   

4. Yapılandırma sayfasındaki Güvenlik türü bölümünün altında Güvenlik türü açılan listesini seçin.

   

5. Açılan listenin altında Güvenilen başlat'ı seçin. Güvenli Önyükleme ve vTPM'yi etkinleştirmek için onay kutularını seçin. Değişiklikleri yaptıktan sonra Kaydet'i seçin.

   Not

   • Azure İşlem Galerisi (ACG), Yönetilen görüntü veya işletim sistemi diski kullanılarak oluşturulan 2. nesil VM'ler portal kullanılarak Güvenilen başlatmaya yükseltilemiyor. güvenilir başlatma için işletim sistemi sürümünün desteklendiğinden emin olun. Yükseltmeyi çalıştırmak için PowerShell, Azure CLI veya Azure Resource Manager şablonu (ARM şablonu) kullanın.

   

6. Güncelleştirme başarıyla tamamlandıktan sonra Yapılandırma sayfasını kapatın. VM özelliklerindeki Genel Bakış sayfasında Güvenlik türü ayarlarını onaylayın.

   

7. Yükseltilen Güvenilen başlatma VM'sini başlatın. Windows VM'leri için Uzak Masaüstü Protokolü'nü (RDP) veya Linux VM'ler için Güvenli Kabuk Protokolü'nü (SSH) kullanarak VM'de oturum açabildiğinizi doğrulayın.

CLI

Azure CLI kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

En son Azure CLI'yi yüklediğinizden ve az login ile bir Azure hesabında oturum açtığınızdan emin olun.

1. VM Azure aboneliğinde oturum açın.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. VM'yi serbest bırakma.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. olarak ayarlayarak --security-type Güvenilen başlatmayı TrustedLaunchetkinleştirin.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Önceki komutun çıkışını doğrulayın. Yapılandırmanın securityProfile komut çıkışıyla döndürüldiğinden emin olun.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. VM’yi başlatın.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

PowerShell

Azure PowerShell kullanarak mevcut bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

En son Azure PowerShell'i yüklediğinizden ve Connect-AzAccount ile bir Azure hesabında oturum açtığınızdan emin olun.

1. VM Azure aboneliğinde oturum açın.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. VM'yi serbest bırakma.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. olarak ayarlayarak -SecurityType Güvenilen başlatmayı TrustedLaunchetkinleştirin.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Güncelleştirilmiş VM yapılandırmasında doğrulayın securityProfile .

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. VM’yi başlatın.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Şablon

ARM şablonu kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

Azure Resource Manager şablonu, projenizin altyapısını ve yapılandırmasını tanımlayan bir JavaScript Nesne Gösterimi (JSON) dosyasıdır. Bu şablonda, bildirim temelli sözdizimi kullanılır. Dağıtımı oluşturmak için programlama komutlarının sırasını yazmadan hedeflenen dağıtımınızı açıklarsınız.

1. Şablonu gözden geçirin.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. parameters Güvenlik türüyle güncelleştirilecek TrustedLaunch VM'lerle JSON dosyasını düzenleyin.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Parametre dosyası tanımı

   Özellik	Özellik açıklaması	Örnek şablon değeri
   vmName	Azure 2. Nesil VM'nin adı.	myVm
   konum	Azure 2. Nesil VM'nin konumu.	westus3
   secureBootEnabled	Güvenli Önyükleme'yi Güvenilen başlatma güvenlik türüyle etkinleştirin.	true

3. Güncelleştirilecek tüm Azure 2. Nesil VM'leri serbest bırakma.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. ARM şablonu dağıtımını çalıştırın.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Azure Danışmanı Önerisi

Azure Danışmanı, Azure VM'leri için ek ücret ödemeden daha yüksek bir güvenlik duruşu olan Güvenilen başlatmayı benimsemek üzere mevcut 2. Nesil VM'ler için Güvenilir başlatma temel mükemmelliği ve mevcut 2. Nesil VM'ler için modern güvenlik önerisini doldurur. 2. Nesil VM'nin Güvenilen başlatmaya geçiş için tüm önkoşullara sahip olduğundan emin olun, işletim sistemi görüntüsünü doğrulama, VM Boyutu ve geri yükleme noktaları oluşturma gibi en iyi yöntemleri izleyin. Danışman önerisinin tamamlanmış olarak kabul edilmesi için, sanal makinelerin güvenlik türünü yükseltmek ve Güvenilen başlatmayı etkinleştirmek için Mevcut bir VM'de Güvenilen başlatmayı etkinleştir bölümünde açıklanan adımları izleyin.

Güvenilen başlatma önkoşullarına uymayan 2. Nesil VM'ler varsa ne olur?

Güvenilen başlatmaya yükseltme önkoşullarını karşılamayan 2. Nesil VM için önkoşulları nasıl yerine getirebilirsiniz? Örneğin, sanal makine boyutu kullanılıyorsa, lütfen Güvenilen başlatmayı destekleyen eşdeğer bir Güvenilen başlatma desteklenen boyutu arayın.

Not

2. Nesil sanal makine şu anda MSv2 serisi gibi Güvenilir başlatma ile desteklenmeyen VM boyutu aileleri ile yapılandırılmışsa lütfen öneriyi kapatın.

İlgili içerik

• Yeni sanal makine dağıtımları için Güvenilen başlatmayı etkinleştirin. Daha fazla ayrıntı için bkz . Güvenilen başlatma sanal makinelerini dağıtma
• Yükseltmelerden sonra, Bulut için Microsoft Defender kullanarak VM'nin sistem durumunu izlemek için önyükleme bütünlüğü izlemeyi etkinleştirmenizi öneririz.
• Güvenilen başlatma hakkında daha fazla bilgi edinin ve sık sorulan soruları gözden geçirin.