開機完整性監視概觀
為了協助可信啟動更妥善地防止虛擬機器上的惡意 Rootkit 攻擊,透過 Microsoft Azure 證明 (MAA) 端點來使用客體證明,即可監視開機順序完整性。 此證明對於提供平台狀態的有效性至關重要。 如果您的 Azure 信任虛擬機器已啟用安全開機和 vTPM,且已安裝證明延伸模組,則適用於雲端的 Microsoft Defender 會確認 VM 的狀態和開機完整性是否已正確設定。 若要深入了解 MDC 整合,請參閱與適用於雲端的 Microsoft Defender 整合可信啟動。
重要
自動升級延伸模組現在可用於開機完整性監視 - 客體證明延伸模組。 深入了解自動升級延伸模組。
必要條件
作用中的 Azure 訂用帳戶 + 可信啟動虛擬機器
啟用完整性監視
登入 Azure 入口網站。
選取資源 (虛擬機器)。
在 [設定] 下方選取 [組態]。 在安全性類型面板中選取 [完整性監視]。
儲存變更。
接著,在虛擬機器概觀頁面底下,完整性監視的安全性類型應該會是啟用狀態。
這會安裝客體證明延伸模組,其可透過 [延伸模組 + 應用程式] 索引標籤內的設定加以參考。
安裝客體證明延伸模組的疑難排解指南
徵兆
當客戶設定網路安全性群組或 Proxy 時,Microsoft Azure 證明延伸模組將無法正常運作。 錯誤看起來類似 (Microsoft.Azure.Security.WindowsAttestation.GuestAttestation 佈建失敗)。
方案
在 Azure 中,網路安全性群組 (NSG) 可用來協助篩選 Azure 資源之間的網路流量。 NSG 包含安全性規則,可允許或拒絕數種 Azure 資源類型的輸入或輸出網路流量。 針對 Microsoft Azure 證明端點,該端點應該能夠與客體證明延伸模組通訊。 如果沒有此端點,可信啟動就無法存取客體證明,該客體證明可讓適用於雲端的 Microsoft Defender 監視虛擬機器開機順序的完整性。
使用服務標籤解除封鎖網路安全組中的 Microsoft Azure 證明 流量。
- 瀏覽至想要允許輸出流量的虛擬機器。
- 在左側提要欄位中的 [網络] 下選取 [網络設定] 索引標籤。
- 然後選取 [建立連接埠規則] 和 [新增輸出連接埠規則]。
- 若要允許 Microsoft Azure 證明,請將目的地設為服務標籤。 這可更新 IP 位址範圍,並自動設定 Microsoft Azure 證明的允許規則。 目的地服務標籤為 AzureAttestation,且動作設定為 [允許]。
防火牆會保護包含多個受信任啟動虛擬機的虛擬網路。 若要使用應用程式規則集合解除封鎖 Microsoft Azure 證明 防火牆中的流量。
- 流覽至已封鎖來自受信任啟動虛擬機資源的流量 Azure 防火牆。
- 在 [設定] 底下,選取 [規則] [傳統] 以開始解除封鎖防火牆後方的來賓證明。
- 選取網路規則集合並新增網路規則。
- 用戶可以根據其需求來設定其名稱、優先順序、來源類型、目的地埠。 服務標籤的名稱如下所示: AzureAttestation,且動作必須設定為 允許。
若要使用應用程式規則集合解除封鎖 Microsoft Azure 證明 防火牆中的流量。
- 流覽至已封鎖來自受信任啟動虛擬機資源的流量 Azure 防火牆。
規則集合必須包含至少一個規則,巡覽至 [目標 FQDN] (完整功能變數名稱)。 - 選取 [應用程式規則集合] 並新增應用程式規則。
- 選取應用程式規則的名稱、數值優先順序。 規則集合的動作會設定為 ALLOW。 若要深入瞭解應用程式處理和值,請參閱這裡。
- 用戶可設定名稱、來源、通訊協定。 單一IP位址的來源類型,選取 [IP 群組] 以允許多個IP位址通過防火牆。
區域共用提供者
Azure 證明 提供每個可用區域中的區域共用提供者。 客戶可以選擇使用區域共用提供者進行證明,或使用自定義原則建立自己的提供者。 任何 Azure AD 使用者都可以存取共用提供者,且無法變更與其相關聯的原則。
注意
使用者可以設定其來源類型、服務、目的地連接埠範圍、通訊協定、優先順序和名稱。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應