在現有的 Azure VM 上啟用可信啟動

適用於： ✔️ Linux VM ✔️ Windows VM ✔️ 第 2 代 VM

Azure 虛擬機器藉由升級至可信啟動安全性類型，支援使用者在現有 Azure 第 2 代 VM 上啟用可信啟動。

可信啟動是一種在 Azure 第 2 代 VM 上啟用基礎計算安全性的方法。 可信啟動會在您的虛擬機器上結合安全開機、vTPM 和開機完整性監視等基礎結構技術，保護虛擬機器免於 Bootkit 和 Rootkit 等持續性進階攻擊。

重要

• 在現有 Azure 第 1 代 VM 上啟用可信啟動的支援目前處於個人預覽狀態。 您可以使用註冊連結 https://aka.ms/Gen1ToTLUpgrade 取得預覽的存取權。
• 目前不支援在現有的 Azure 虛擬機器擴展集 (VMSS) Uniform 和 Flex 上啟用可信啟動。

必要條件

• Azure 第 2 代 VM 經過以下設定：
  • 支援可信啟動的大小系列
  • 支援可信啟動的 OS 映像。 針對自訂 OS 映像或磁碟，基底映像應能夠啟用可信啟動。
• Azure 第 2 代 VM 未使用目前不支援可信啟動的功能。
• 啟用可信啟動安全性類型之前，應該先停止並解除配置 Azure 第 2 代 VM。
• 如果已為 VM 啟用 Azure 備份，則應該使用增強備份原則進行設定。 無法為已設定標準原則備份保護的第 2 代 VM 啟用可信啟動安全性類型。
  • 現有的 Azure VM 備份可以使用將 Azure VM 備份從標準移轉至增強原則（預覽）從標準移轉至增強原則。

最佳作法

• 在測試第 2 代 VM 上啟用可信啟動，並在與實際執行工作負載相關聯的第 2 代 VM 上啟用可信啟動之前，確保是否需要進行任何變更才能符合必要條件。
• 啟用可信啟動安全性類型之前，為與實際執行工作負載相關聯的 Azure 第 2 代 VM 建立還原點。 您可以使用還原點來重新建立具有先前已知狀態的磁碟和第 2 代 VM。

在現有的 VM 上啟用可信啟動

注意

• 啟用可信啟動之後，目前虛擬機器無法復原至「標準」安全性類型 (非可信啟動設定)。
• vTPM 預設為啟用。
• 如果您未使用自訂未簽署核心或驅動程式，建議您啟用安全開機 (預設不會啟用)。 安全開機會保留開機完整性，並啟用 VM 的基礎安全性。

入口網站

本節將逐步引導您使用 Azure 入口網站，在現有的 Azure 第 2 代 VM 上啟用可信啟動。

1. 登入 Azure 入口網站
2. 驗證虛擬機器產生為 V2，並停止 VM。

3. 在 VM 屬性的 [概觀] 頁面中，選取 [安全性類型] 下方的 [標準]。 這會瀏覽至 VM 的 [設定] 頁面。

4. 在 [設定] 頁面的 [安全性類型] 區段下方，選取 [安全性類型] 下拉式清單。

5. 在下拉式清單下方選取 [可信啟動]，然後勾選核取方塊，以啟用 [安全開機] 和 [vTPM]。 進行必要的變更之後，按一下 [儲存]。

注意

• 使用 Azure Compute Gallery (ACG)、受控映像、OS 磁碟所建立的第 2 代 VM，無法使用入口網站升級至可信啟動。 請確認 OS 版本支援可信啟動，並使用 PowerShell、CLI 或 ARM 範本以執行升級。

6. 當更新成功完成後，請關閉 [設定] 頁面，並在 [概觀] 頁面的 VM 屬性下方驗證 [安全性類型]。

7. 啟動升級的可信啟動 VM，並確定其已成功啟動，然後確認您能夠使用 RDP (適用於 Windows VM) 或 SSH (適用於 Linux VM) 登入 VM。

CLI

本節將逐步引導您使用 Azure CLI，在現有的 Azure 第 2 代 VM 上啟用可信啟動。

請確定您已安裝最新的 Azure CLI，並使用 az login 登入 Azure 帳戶。

1. 登入 Azure 訂用帳戶

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. 解除配置 VM

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. 將 --security-type 設定為 TrustedLaunch，以啟用可信啟動。

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. 驗證上一個命令的輸出。 使用命令輸出來傳回 securityProfile 設定。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. 啟動 VM。

az vm start \
    --resource-group myResourceGroup --name myVm

6. 啟動升級的可信啟動 VM，並確定其已成功啟動，然後確認您能夠使用 RDP (適用於 Windows VM) 或 SSH (適用於 Linux VM) 登入 VM。

PowerShell

本節將逐步引導您使用 Azure PowerShell，在現有的 Azure 第 2 代 VM 上啟用可信啟動。

請確定您已安裝最新的 Azure PowerShell，並使用 Connect-AzAccount 登入 Azure 帳戶。

1. 登入 Azure 訂用帳戶

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. 解除配置 VM

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. 將 --security-type 設定為 TrustedLaunch，以啟用可信啟動。

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. 在更新的 VM 設定中驗證securityProfile。

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. 啟動 VM。

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. 啟動升級的可信啟動 VM，並確定其已成功啟動，然後確認您能夠使用 RDP (適用於 Windows VM) 或 SSH (適用於 Linux VM) 登入 VM。

範本

本節將逐步引導您使用 ARM 範本，在現有的 Azure 第 2 代 VM 上啟用可信啟動。

Azure Resource Manager 範本是一個 JavaScript 物件標記法 (JSON) 檔案，會定義專案的基礎結構和設定。 範本使用宣告式語法。 您可以描述預期的部署，而不需要撰寫程式設計命令順序來建立部署。

1. 檢閱範本。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. 透過使用 TrustedLaunch 安全性類型更新的虛擬機器來編輯參數 json 檔案。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

參數檔案定義

屬性	屬性描述	範例範本值
vmName	Azure 第 2 代 VM 的名稱	"myVm"
location	Azure 第 2 代 VM 的位置	"westus3"
secureBootEnabled	使用可信啟動安全性類型啟用安全開機	true

3. 解除配置所有要更新的 Azure 第 2 代 VM。

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. 執行 ARM 範本部署。

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. 驗證部署是否成功。 使用 Azure 入口網站檢查 VM 的安全性類型和 UEFI 設定。 檢查 [概觀] 頁面中的 [安全性類型] 區段。

6. 啟動升級的可信啟動 VM，並確定其已成功啟動，然後確認您能夠使用 RDP (適用於 Windows VM) 或 SSH (適用於 Linux VM) 登入 VM。

下一步

(建議) 升級後啟用開機完整性監視，透過適用於雲端的 Microsoft Defender 監視 VM 的健康情況。

深入瞭解可信啟動，並檢閱常見問題