共用方式為


可信啟動常見問題

警告

本文參考 CentOS,這是即將結束生命週期 (EOL) 狀態的 Linux 發行版本。 請據以考慮您的使用和規劃。 如需詳細資訊,請參閱 CentOS 終止服務指導

關於 Azure 可信啟動功能使用案例、支援其他 Azure 功能以及常見錯誤修正的常見問題 (FAQ)。

使用案例

本節會回答有關可信啟動使用案例的問題。

我為什麼應該使用可信啟動? 可信啟動防範的對象是什麼?

可信啟動可防範開機套件、Rootkit 和核心層級惡意程式碼。 這些複雜的惡意程式碼類型會在核心模式中執行,並讓使用者看不到。 例如:

  • 韌體 Rootkit:這些套件會覆寫虛擬機器 (VM) BIOS 的韌體,所以 Rootkit 可以在作業系統 (OS) 之前啟動。
  • 開機套件:這些套件會取代 OS 的開機載入器,讓 VM 在 OS 之前載入開機套件。
  • 核心 Rootkit:這些套件會取代 OS 核心的一部分,所以 OS 載入後,Rootkit 可以自動啟動。
  • 驅動程式 Rootkit:這些套件會假裝成 OS 用來與 VM 元件通訊的其中一個可信驅動程式。

安全開機與測量開機有什麼不同?

在安全的開機鏈中,開機程序中的每個步驟都會檢查後續步驟的密碼編譯簽章。 例如,BIOS 會檢查載入器上的簽章,而載入核心物件時,載入器會檢查所有核心物件上的簽章,以此類推。 如果有任何物件遭到入侵,簽章便會不相符且 VM 無法開機。 如需詳細資訊,請參閱安全開機

可信啟動與 Hyper-V 受防護的 VM 有什麼不同?

受 Hyper-V 防護的 VM 目前僅適用於 Hyper-V。 Hyper-V 受防護的 VM 通常與受防護網狀架構一起部署。 受防護網狀架構包括主機守護者服務 (HGS)、一或多個受防護主機,及一組受防護的 VM。 Hyper-V 受防護的 VM 用於網狀架構,其中 VM 的資料和狀態必須受到各種動作項目的保護。 這些執行者既是網狀架構系統管理員,也是可能在 Hyper-V 主機上執行的不受信任軟體。

再者,可信啟動可以部署為 Azure 上的獨立 VM 或虛擬機器擴展集,而不需要其他部署和管理 HGS。 啟用所有可信啟動功能只需在部署程式碼中進行簡單的變更,或在 Azure 入口網站上勾選核取方塊即可。

什麼是 VM 客體狀態 (VMGS)?

VM 客體狀態 (VMGS) 為可信啟動 VM 特定。 這是 Azure 管理的 Blob,並包含整合可延伸韌體介面 (UEFI) 安全開機簽章資料庫和其他安全性資訊。 VMGS Blob 的生命週期與 OS 磁碟的生命週期相關。

我可以停用新 VM 部署的可信啟動嗎?

可信啟動 VM 提供基本的計算安全性。 建議您不要在新的 VM 或虛擬機器擴展集部署中停用可信啟動,除非您的部署會受以下情況影響:

您可以使用 Azure PowerShell (v10.3.0+) 和 Azure CLI (v2.53.0+),以 securityType 參數搭配 Standard 值來停用新 VM 或虛擬機器擴展集部署中的可信啟動。

注意

除非您使用自訂未簽署的核心或驅動程式,否則不建議停用安全開機。

若要停用安全開機,請在 VM 的設定下,清除 [啟用安全開機] 選項。

az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
    --security-type 'Standard'

支援的功能和部署

本節討論可信啟動支援功能和部署。

可信啟動目前可以透過 Azure Compute Gallery (之前稱為共用映像庫) 建立並共用映像。 映像來源可以是:

  • 已一般化或特製化的現有 Azure VM。
  • 現有受控磁碟或快照集。
  • VHD 或另一個映像庫的映像版本。

如需使用 Azure Compute Gallery 部署可信啟動 VM 的詳細資訊,請參閱部署可信啟動 VM

可信啟動是否支援 Azure 備份?

可信啟動目前支援 Azure 備份。 如需詳細資訊,請參閱 Azure VM 備份的支援矩陣

啟用可信啟動之後,Azure 備份是否會繼續運作?

使用增強原則設定的備份,在您啟用可信啟動之後會繼續備份 VM。

可信啟動支援暫時性 OS 磁碟嗎?

可信啟動支援暫時性 OS 磁碟。 如需詳細資訊,請參閱暫時性 OS 磁碟的可信啟動

注意

為可信啟動 VM 使用暫時性磁碟時,虛擬信賴平台模組 (vTPM) 在虛擬機器建立後所產生或密封的金鑰和密碼,可能無法在重新安裝映像以及平台服務修復等事件中持續保存。

可信啟動提供的安全性功能也適用於資料磁碟嗎?

可信啟動會證明其開機完整性,為託管於虛擬機的作業系統提供基礎安全性。 可信啟動的安全性功能僅適用於執行作業系統和作業系統磁碟,不適用於資料磁碟或儲存於資料磁碟的作業系統二進位檔。 如需詳細資訊,請參閱可信啟動概觀

是否可使用啟用可信啟動前所建立的備份來還原 VM?

將現有第 2 代 VM 升級至可信啟動之前建立的備份,可用來還原整個 VM 或個別的資料磁碟。 其無法僅用於還原或取代 OS 磁碟。

如何尋找支援可信啟動的 VM 大小?

請參閱支援可信啟動的第 2 代 VM 大小清單。

使用下列命令來檢查第 2 代 VM 大小是否支援可信啟動。

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

如何驗證我的 OS 映像是否支援可信啟動?

請參閱可信啟動支援的 OS 版本清單。

Marketplace OS 映像

使用下列命令來檢查 Azure Marketplace OS 映像是否支援可信啟動。

az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"

回應如下列表單所示。 若 hyperVGenerationv2SecurityType 在輸出中包含 TrustedLaunch,則第 2 代 OS 映像便支援可信啟動。

{
  "architecture": "x64",
  "automaticOsUpgradeProperties": {
    "automaticOsUpgradeSupported": false
  },
  "dataDiskImages": [],
  "disallowed": {
    "vmDiskType": "Unmanaged"
  },
  "extendedLocation": null,
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchAndConfidentialVmSupported"
    },
    {
      "name": "IsAcceleratedNetworkSupported",
      "value": "True"
    },
    {
      "name": "DiskControllerTypes",
      "value": "SCSI, NVMe"
    },
    {
      "name": "IsHibernateSupported",
      "value": "True"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/westus/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
  "imageDeprecationStatus": {
    "alternativeOption": null,
    "imageState": "Active",
    "scheduledDeprecationTime": null
  },
  "location": "westus",
  "name": "20348.1906.230803",
  "osDiskImage": {
    "operatingSystem": "Windows",
    "sizeInGb": 127
  },
  "plan": null,
  "tags": null
}

使用下列命令來檢查 Azure Compute Gallery OS 映像是否支援可信啟動。

az sig image-definition show `
    --gallery-image-definition myImageDefinition `
    --gallery-name myImageGallery `
    --resource-group myImageGalleryRg

回應如下列表單所示。 若 hyperVGenerationv2SecurityType 在輸出中包含 TrustedLaunch,則第 2 代 OS 映像便支援可信啟動。

{
  "architecture": "x64",
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
  "identifier": {
    "offer": "myImageDefinition",
    "publisher": "myImageDefinition",
    "sku": "myImageDefinition"
  },
  "location": "westus3",
  "name": "myImageDefinition",
  "osState": "Generalized",
  "osType": "Windows",
  "provisioningState": "Succeeded",
  "recommended": {
    "memory": {
      "max": 32,
      "min": 1
    },
    "vCPUs": {
      "max": 16,
      "min": 1
    }
  },
  "resourceGroup": "myImageGalleryRg",
  "tags": {},
  "type": "Microsoft.Compute/galleries/images"
}

外部通訊驅動程式如何與可信啟動 VM 搭配運作?

新增 COM 埠需要您停用安全開機。 可信啟動 VM 中預設會停用 COM 連接埠。

疑難排解問題

本節會回答特定狀態、開機類型和常見開機狀況的問題。

當我的可信啟動 VM 部署失敗時,該怎麼辦?

本節提供可信啟動部署失敗的其他詳細資料,讓您採取適當的動作來避免作業失敗。

Virtual machine <vm name> failed to create from the selected snapshot because the virtual Trusted Platform Module (vTPM) state is locked.
To proceed with the VM creation, please select a different snapshot without a locked vTPM state.
For more assistance, please refer to “Troubleshooting locked vTPM state” in FAQ page at https://aka.ms/TrustedLaunch-FAQ. 

由於下列原因,無法存取或無法使用快照集或還原點時,就會發生此部署錯誤:

  1. 虛擬機器客體狀態 (VMGS) 損壞
  2. vTPM 處於鎖定狀態
  3. 一或多個重要的 vTPM 索引處於無效狀態。

如果虛擬機器上執行的使用者或工作負載在 vTPM 上設定鎖定,或修改重要 vTPM 索引而讓 vTPM 處於無效狀態,就可能發生上述情況。

使用相同的快照集/還原點重試會導致相同的作業失敗。

若要解決這個問題:

  1. 在產生快照集或還原點的來源可信啟動 VM 上,必須修正 vTPM 錯誤。
    1. 如果工作負載已在虛擬機器上修改 vTPM 狀態,您必須使用相同的方法來檢查錯誤狀態,並將 vTPM 恢復到非錯誤狀態。
    2. 如果使用 TPM 工具來修改 vTPM 狀態,則應使用相同的工具檢查錯誤狀態,並將 vTPM 恢復到非錯誤狀態。

當快照集或還原點不再發生這些錯誤後,您可以使用此項目來建立新的可信啟動 VM。

為什麼可信啟動 VM 無法正常開機?

如果從 UEFI (客體韌體)、開機載入器、OS 或開機驅動程式偵測到未簽署的元件,則可信啟動 VM 不會開機。 如果開機程序期間遇到未簽署或未受信任的開機元件,則可信啟動 VM 中的安全開機設定將無法開機,且會回報為安全開機失敗。

此螢幕擷取畫面顯示從安全開機到第三方驅動程式的可信啟動管線。

注意

直接從 Azure Marketplace 映像建立的可信啟動 VM 不應遇到安全開機失敗。 具有 Azure Marketplace 原始映像來源的 Azure Compute Gallery 映像,以及從可信啟動 VM 建立的快照集,也不應遇到這些錯誤。

如何在 Azure 入口網站中驗證無法開機案例?

當 VM 因安全開機失敗而無法使用時,「無法開機」表示該 VM 具有由受信任授權單位簽署的 OS 元件,這會阻止開機可信啟動 VM。 在 VM 部署上,您可能會在 Azure 入口網站內看到來自資源健康狀態的資訊,指出安全開機中存在驗證錯誤。

若要從 VM 組態頁面存取資源健康狀態,請移至 [說明] 面板下的 [資源健康狀態]

此螢幕擷取畫面顯示資源健康狀態的錯誤訊息,並警示安全開機失敗。

如果您確定無法開機是由安全開機失敗所造成:

  1. 您所使用的映像是較舊的版本,其可能有一或多個不受信任的開機元件,且位於淘汰路徑上。 若要補救過期的映像,請更新為支援的較新映像版本。
  2. 您使用的映像可能已建置在市集來源之外,或已修改開機元件,並包含未簽署或未受信任的開機元件。 若要驗證映像是否有未簽署或未受信任的開機元件,請參閱下一節「驗證安全開機失敗」。
  3. 如果上述兩個案例不適用,VM 可能會感染惡意程式碼 (bootkit/rootkit)。 在評估所有安裝的軟體時,請考慮刪除 VM 並從相同的來源映像重新建立新的 VM。

為什麼我的可信啟動 VM 顯示少了 50MB 的記憶體?

使用可信啟動,通常會在 VM 內建立並執行稱為「paravisor」的執行環境。 一般而言,paravisor 會使用大約 50MB 的記憶體,並在客體作業系統內顯示為「保留」。

驗證安全開機失敗

本節可協助您驗證安全開機失敗。

Linux 虛擬機器

若要驗證哪些開機元件會導致 Azure Linux VM 內的安全開機失敗,您可以使用 Linux 安全性套件中的 SBInfo 工具。

  1. 關閉安全開機。
  2. 連線至您的 Azure Linux 可信啟動 VM。
  3. 為 VM 執行的發行版本安裝 SBInfo 工具。 其位於 Linux 安全性套件內。

這些命令適用於 Ubuntu、Debian 和其他以 Debian 為基礎的發行版本。

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list

wget https://packages.microsoft.com/keys/microsoft.asc

wget https://packages.microsoft.com/keys/msopentech.asc

sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc

sudo apt update && sudo apt install azure-security

安裝發行版本的 Linux 安全性套件之後,請執行 sbinfo 命令,藉由顯示所有未簽署的模組、核心和開機載入器,驗證哪些開機元件會導致安全開機失敗。

sudo sbinfo -u -m -k -b 

如需深入了解 SBInfo 診斷工具,您可以執行 sudo sbinfo -help

為什麼我收到開機完整性監視錯誤?

系統會監視 Azure VM 的可信啟動是否存在進階威脅。 如果偵測到這類威脅,即會觸發警示。 只有啟用適用於雲端的 Microsoft Defender 增強式安全性功能時,才會提供警示。

適用於雲端的 Microsoft Defender 會定期執行證明。 如果證明失敗,即會觸發中嚴重性警示。 可信啟動證明可能因為下列原因失敗:

  • 證明的資訊 (包含信賴運算基礎 (TCB) 的記錄) 背離可信基準 (例如啟用安全開機後)。 任何偏差都表示已載入不受信任的模組,而且 OS 可能會遭到入侵。
  • 無法驗證證明引用源自證明 VM 的 vTPM。 驗證失敗表示存在惡意程式碼,而且可能攔截 TPM 的流量。
  • VM 上的證明延伸模組沒有回應。 沒有回應的延伸模組表示惡意程式碼或 OS 系統管理員拒絕服務的攻擊。

憑證

本節提供憑證的相關資訊。

我如何建立可信啟動 VM 的信任根源?

虛擬 TPM AK 公開憑證為您提供了完整憑證鏈結 (根憑證和中繼憑證) 資訊的可見度,協助您驗證對憑證和根鏈結的信任。 為了確保您持續擁有可信啟動的最高安全性狀態,其會提供執行個體屬性的相關資訊,以便您回溯到完整鏈結。

下載指示

套件憑證由 .p7b (完整憑證授權單位) 和 .cer (中繼 CA) 組成,會顯示簽署和憑證授權單位。 複製相關內容並使用憑證工具以檢查及評估憑證的詳細資料。

選取可下載以下 Azure 虛擬 TPM 根憑證授權單位 2023 的 .crt

Azure 虛擬 TPM 根憑證授權單位 2023

選取以檢視 .p7b 內容

全域虛擬 TPM CA - 01:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Full Certificate Authority Details

Thumbprint # cdb9bc34197a5355f652f1583fbd4e9a1d4801f0
Serial Number # 51f431da2c92088a4e29e0d929de4aa7
Valid Until # 01/Jun/2048

選取以檢視根憑證的 .cert 內容

Azure 虛擬 TPM 根憑證授權單位 2023

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
選取以檢視中繼 CA 內容

TPM 憑證的中繼憑證授權單位:

"Global Virtual TPM CA - XX" (intermediate CA) [.cer], 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Intermediate Certificate Authority

Thumbprint # db1f3959dcce7091f87c43446be1f4ab2d3415b7
Serial Number # 3300000002c0d17b4b8f979c35000000000002
Valid Until # November 3rd, 2025

Azure VM 內建了哪些Microsoft擁有的受信任憑證?

針對 Windows VM,Windows CA 憑證是內建的 UEFI 韌體。 針對 Linux VM,Microsoft UEFI CA 憑證內建在 UEFI 韌體中。 針對僅限 Azure Linux VM,所有 Linux 發行版的 UEFI 韌體中也會新增額外的「Azure 服務 Linux Kmod PCA」憑證。 Linux Kmod PCA 可用來簽署Microsoft擁有的核心模組。

已新增 Linux Kmod PCA 憑證,以在使用安裝核心模組的 Azure Site Recovery (ASR) 等Microsoft解決方案時,讓客戶體驗更順暢。 ASR 核心模組會在沒有任何客戶動作的情況下載入,以提供密鑰,因為 ASR 核心模組是使用受信任的「Azure 服務 Linux Kmod PCA」憑證簽署。

下載指示

套件憑證,由 .p7b 和 .cer所組成,會顯示簽署和證書頒發機構單位。 複製相關內容並使用憑證工具以檢查及評估憑證的詳細資料。

選取以下載後續Microsoft Windows CA 的 .crt

Microsoft Windows CA

針對 Microsoft UEFI CA,選取以下載後續的 .crt

Microsoft UEFI CA

選取以檢視 .p7b 內容

Azure 服務 Linux kmod PCA 憑證:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Linux kmod PCA Details

Serial Number # 3300000004c233d70c7f26ebd1000000000004
Valid Until # 08/Aug/2038