在現有的 Azure VM 上啟用可信啟動
在此文章
適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 第 2 代 VM
Azure 虛擬機器藉由升級至可信啟動 安全性類型,支援在現有 Azure 第 2 代 虛擬機器 (VM) 上啟用 Azure 可信啟動。
可信啟動 是一種在 Azure 第 2 代 VM 虛擬機器上啟用基礎計算安全性的方式,並防範開機套件和 rootkit 等進階和持續性攻擊技術。 其方式是結合 VM 上的安全開機、虛擬信賴平台模組 (vTPM) 和開機完整性監視等基礎結構技術。
重要
在現有 Azure 第 1 代 VM 上啟用可信啟動 的支援目前處於個人預覽狀態。 您可以使用註冊表單 取得預覽的存取權。
必要條件
Azure 第 2 代 VM 經過以下設定:
Azure 第 2 代 VM 未使用目前不支援可信啟動的功能 。
啟用可信啟動安全性類型之前,應該先停止並解除配置 Azure 第 2 代 VM。
如果已為 VM 啟用 Azure 備份,則應該使用增強備份原則 進行設定。 無法為已設定標準原則 備份保護的第 2 代 VM 啟用可信啟動安全性類型。
最佳作法
在測試第 2 代 VM 上啟用可信啟動,並在與實際執行工作負載相關聯的第 2 代 VM 上啟用可信啟動之前,確認是否需要進行任何變更才能符合必要條件。
啟用可信啟動安全性類型之前,為與實際執行工作負載相關聯的 Azure 第 2 代 VM 建立還原點 。 您可以使用還原點來重新建立具有先前已知狀態的磁碟和第 2 代 VM。
在現有的 VM 上啟用可信啟動
注意
啟用可信啟動之後,目前 VM 無法復原至「標準」安全性類型 (非可信啟動設定)。
vTPM 預設為啟用。
如果您未使用自訂未簽署的核心或驅動程式,建議您啟用安全開機。 依預設未啟用。 安全開機會保留開機完整性,並啟用 VM 的基礎安全性。
使用 Azure 入口網站,在現有的 Azure 第 2 代 VM 上啟用可信啟動。
登入 Azure 入口網站 。
確認 VM 世代為 V2 ,然後針對該 VM 選取 [停止]
在 VM 屬性的 [概觀]
在 [設定]
在下拉式清單底下,選取 [可信啟動]
更新順利完成之後,請關閉 [設定]
啟動已升級的可信啟動 VM。 確認您可以使用適用於 Windows VM 的遠端桌面通訊協定 (RDP) 或適用於 Linux VM 的安全殼層通訊協定 (SSH) 來登入 VM。
請遵循步驟,使用 Azure CLI 在現有的 Azure 第 2 代 VM 上啟用可信啟動。
確定安裝最新的 Azure CLI ,並使用 az login 登入 Azure 帳戶。
登入 VM Azure 訂用帳戶。
az login
az account set --subscription 00000000-0000-0000-0000-000000000000
解除配置 VM。
az vm deallocate \
--resource-group myResourceGroup --name myVm
將 --security-type 設定為 TrustedLaunch,以啟用可信啟動。
az vm update \
--resource-group myResourceGroup --name myVm \
--security-type TrustedLaunch \
--enable-secure-boot true --enable-vtpm true
驗證上一個命令的輸出。 確定 securityProfile 設定隨著命令輸出一起傳回。
{
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true
}
}
}
啟動 VM。
az vm start \
--resource-group myResourceGroup --name myVm
啟動已升級的可信啟動 VM。 確認您可以使用 RDP (適用於 Windows VM) 或 SSH (適用於 Linux VM) 來登入 VM。
請遵循步驟,使用 Azure PowerShell 在現有的 Azure 第 2 代 VM 上啟用可信啟動。
確定安裝最新的 Azure PowerShell ,並使用 Connect-AzAccount 登入 Azure 帳戶。
登入 VM Azure 訂用帳戶。
Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
解除配置 VM。
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
將 -SecurityType 設定為 TrustedLaunch,以啟用可信啟動。
Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Update-AzVM -SecurityType TrustedLaunch `
-EnableSecureBoot $true -EnableVtpm $true
在更新的 VM 設定中驗證 securityProfile。
# Following command output should be `TrustedLaunch`
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Select-Object -Property SecurityProfile `
-ExpandProperty SecurityProfile).SecurityProfile.SecurityType
# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Select-Object -Property SecurityProfile `
-ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
啟動 VM。
Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
啟動已升級的可信啟動 VM。 確認您可以使用 RDP (適用於 Windows VM) 或 SSH (適用於 Linux VM) 來登入 VM。
請遵循步驟,使用 ARM 範本在現有的 Azure 第 2 代 VM 上啟用可信啟動。
Azure Resource Manager 範本 是一個 JavaScript 物件標記法 (JSON) 檔案,會定義專案的基礎結構和設定。 範本使用宣告式語法。 您可以描述預期的部署,而不需要撰寫程式設計命令順序來建立部署。
檢閱範本。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmsToUpgrade": {
"type": "object",
"metadata": {
"description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
}
},
"vTpmEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether vTPM should be enabled on the virtual machine."
}
}
},
"resources": [
{
"type": "Microsoft.Compute/virtualMachines",
"apiVersion": "2022-11-01",
"name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
"location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
"properties": {
"securityProfile": {
"uefiSettings": {
"secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
"vTpmEnabled": "[parameters('vTpmEnabled')]"
},
"securityType": "TrustedLaunch"
}
},
"copy": {
"name": "vmCopy",
"count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
}
}
]
}
編輯要更新成 TrustedLaunch 安全性類型的虛擬機器的 parameters JSON 檔案。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmsToUpgrade": {
"value": {
"virtualMachines": [
{
"vmName": "myVm01",
"location": "westus3",
"secureBootEnabled": true
},
{
"vmName": "myVm02",
"location": "westus3",
"secureBootEnabled": true
}
]
}
}
}
}
參數檔案定義
屬性
屬性描述
範例範本值
vmName
Azure 第 2 代 VM 的名稱。
myVm
location
Azure 第 2 代 VM 的位置。
westus3
secureBootEnabled
啟用可信啟動安全性類型的安全開機。
true
解除配置所有要更新的 Azure 第 2 代 VM。
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
執行 ARM 範本部署。
$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"
New-AzResourceGroupDeployment `
-ResourceGroupName $resourceGroupName `
-TemplateFile $templateFile -TemplateParameterFile $parameterFile
啟動已升級的可信啟動 VM。 確認您可以使用 RDP (適用於 Windows VM) 或 SSH (適用於 Linux VM) 來登入 VM。
Azure Advisor 建議
Azure Advisor 提供啟用可信啟動卓越基礎,以及新式安全性作為現有第 2 代 VM 卓越營運建議,讓現有第 2 代 VM 可以採用可信啟動 ,這是更高的 Azure VM 安全性態勢,且您無需支付任何額外成本。 請確定第 2 代 VM 具有移轉至可信啟動的所有必要條件,請遵循所有最佳做法,包括驗證 OS 映像、VM 大小,以及建立還原點。 若要將 Advisor 建議視為已完成,請遵循在現有 VM 上啟用可信啟動
如果第 2 代 VM 不符合可信啟動的必要條件,該怎麼辦?
若第 2 代 VM 不符合升級至可信啟動的必要條件 ,請查看如何滿足這些必要條件。 例如,如果使用的虛擬機器大小不受支援,請尋找支援可信啟動的對等可信啟動支援的大小 。
注意
如果第 2 代虛擬機器已設定使用 VM 大小系列,但這些大小系列目前不支援可信啟動 (例如 MSv2 系列),請關閉建議。
相關內容
![此螢幕擷取畫面顯示 [安全性類型] 為 [標準]。](media/trusted-launch/03-generation-2-to-trusted-launch-click-standard.png)
![此螢幕擷取畫面顯示 [安全性類型] 下拉式清單。](media/trusted-launch/04-generation-2-to-trusted-launch-select-dropdown.png)
