Freigeben über


Übersicht über die Überwachung der Startintegrität

Um den vertrauenswürdigen Start (Azure Trusted Launch) dabei zu unterstützen, böswillige Rootkit-Angriffe auf virtuelle Computer (VMs) besser zu verhindern, wird der Gastnachweis über einen Azure Attestation-Endpunkt verwendet, um die Integrität der Startsequenz zu überwachen. Dieser Nachweis ist wichtig, um die Gültigkeit der Zustände einer Plattform bereitzustellen.

Auf Ihrer VM für den vertrauenswürdigen Start müssen der sichere Start und vTPM (virtuelles Trusted Platform Module) aktiviert sein, damit die Nachweiserweiterungen installiert werden können. Microsoft Defender for Cloud bietet Berichte basierend auf dem Gastnachweis, die den Status und die ordnungsgemäße Einrichtung der Startintegrität Ihrer VM überprüfen. Weitere Informationen zur Integration von Microsoft Defender for Cloud finden Sie unter Integration des vertrauenswürdigen Starts mit Microsoft Defender for Cloud.

Wichtig

Das automatische Erweiterungsupgrade ist jetzt für die Erweiterung „Startintegritätsüberwachung – Gastnachweis“ verfügbar. Weitere Informationen finden Sie unter Automatisches Erweiterungsupgrade.

Voraussetzungen

Sie benötigen ein aktives Azure-Abonnement und eine VM für den vertrauenswürdigen Start.

Dateiintegritätsüberwachung aktivieren

Führen Sie die Schritte in diesem Abschnitt aus, um die Integritätsüberwachung zu aktivieren.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie die Ressource (VM) aus.

  3. Klicken Sie unter Einstellungen auf Konfiguration. Wählen Sie im Bereich Sicherheitstyp die Option Integritätsüberwachung aus.

    Screenshot: ausgewählte Integritätsüberwachung.

  4. Speichern Sie die Änderungen.

Auf der Seite Übersicht der VM sollte der Sicherheitstyp für die Integritätsüberwachung als Aktiviert angezeigt werden.

Dadurch wird die Gastnachweiserweiterung installiert, die über die Einstellungen auf der Registerkarte Erweiterungen + Anwendungen verfügbar ist.

Anleitung zur Problembehandlung bei der Installation der Gastnachweiserweiterung

In diesem Abschnitt werden Nachweisfehler und entsprechende Lösungen behandelt.

Problembeschreibung

Die Azure Attestation-Erweiterung funktioniert nicht ordnungsgemäß, wenn Sie eine Netzwerksicherheitsgruppe (NSG) oder einen Proxy einrichten. Es wird ein Fehler ähnlich wie dieser angezeigt: „Bereitstellung von Microsoft.Azure.Security.WindowsAttestation.GuestAttestation fehlgeschlagen.“

Screenshot: Fehler wegen einer fehlerhaften Gastnachweiserweiterung.

Lösungen

In Azure werden Netzwerksicherheitsgruppen verwendet, um Netzwerkdatenverkehr zwischen Azure-Ressourcen filtern zu können. Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen (oder von ihnen ausgehenden Netzwerkdatenverkehr) zulassen oder verweigern. Der Azure Attestation-Endpunkt sollte mit der Gastnachweiserweiterung kommunizieren können. Ohne diesen Endpunkt kann der vertrauenswürdige Start nicht auf den Gastnachweis zugreifen, der es Microsoft Defender for Cloud ermöglicht, die Integrität der Startsequenz Ihrer VMs zu überwachen.

So heben Sie die Blockierung des Azure Attestation-Datenverkehrs in Netzwerksicherheitsgruppen mithilfe von Diensttags auf

  1. Navigieren Sie zu der VM, für die Sie ausgehenden Datenverkehr zulassen möchten.

  2. Wählen Sie im Bereich ganz links unter Netzwerk die Option Netzwerkeinstellungen aus.

  3. Wählen Sie dann Port-Regel erstellen>Regel für ausgehenden Port aus.

    Screenshot: Hinzufügen einer Regel für den ausgehenden Port.

  4. Um Azure Attestation zuzulassen, legen Sie das Ziel als Diensttag fest. Durch diese Einstellung kann der Bereich der IP-Adressen aktualisiert werden und es können automatisch Regeln festgelegt werden, die Azure Attestation zulassen. Stellen Sie Zieldiensttag auf AzureAttestation und Aktion auf Zulassen ein.

    Screenshot: Festlegen des Ziels als Diensttag.

Firewalls schützen ein virtuelles Netzwerk, das mehrere VMs mit vertrauenswürdigem Start enthält. So heben Sie die Blockierung des Azure Attestation-Datenverkehrs in einer Firewall mithilfe der Anwendungsregelsammlung auf

  1. Navigieren Sie zu der Azure Firewall-Instanz, deren Datenverkehr von der VM-Ressource mit vertrauenswürdigem Start blockiert ist.

  2. Wählen Sie unter Einstellungen die Option Regeln (klassisch) aus, um die Blockierung des Gastnachweises hinter der Firewall aufzuheben.

  3. Wählen Sie unter Netzwerkregelsammlung die Option Netzwerkregelsammlung hinzufügen aus.

    Screenshot: Hinzufügen einer Anwendungsregel.

  4. Konfigurieren Sie den Namen, die Priorität, den Quelltyp und die Zielports gemäß Ihren Anforderungen. Stellen Sie Diensttagname auf AzureAttestation und Aktion auf Zulassen ein.

So heben Sie die Blockierung des Azure Attestation-Datenverkehrs in einer Firewall mithilfe der Anwendungsregelsammlung auf

  1. Navigieren Sie zu der Azure Firewall-Instanz, deren Datenverkehr von der VM-Ressource mit vertrauenswürdigem Start blockiert ist.

    Screenshot: Hinzufügen von Datenverkehr für die Anwendungsregelroute.

    Die Regelsammlung muss mindestens eine Regel enthalten, die auf voll qualifizierte Domänennamen (FQDN) abzielt.

  2. Wählen Sie die Anwendungsregelsammlung aus, und fügen Sie eine Anwendungsregel hinzu.

  3. Wählen Sie einen Namen und eine numerische Priorität für Ihre Anwendungsregeln aus. Stellen Sie die Aktion für die Regelsammlung auf Zulassen ein.

    Screenshot: Hinzufügen der Anwendungsregelroute.

  4. Konfigurieren Sie den Namen, die Quelle und das Protokoll. Der Quelltyp ist für eine einzelne IP-Adresse vorgesehen. Wählen Sie die IP-Gruppe aus, um mehrere IP-Adressen über die Firewall zuzulassen.

Regionale gemeinsam verwendete Anbieter

Von Azure Attestation wird in jeder verfügbaren Region ein regionaler Anbieter für die gemeinsame Verwendung bereitgestellt. Sie können den regionalen gemeinsam verwendeten Anbieter für die Nachweiserbringung nutzen oder eigene Anbieter mit benutzerdefinierten Richtlinien erstellen. Jeder Microsoft Entra-Benutzer kann auf gemeinsam verwendete Anbieter zugreifen. Die zugewiesene Richtlinie kann nicht geändert werden.

Hinweis

Sie können den Quelltyp, den Dienst, die Zielportbereiche, das Protokoll, die Priorität und den Namen konfigurieren.

Erfahren Sie mehr über den vertrauenswürdigen Start und das Bereitstellen einer VM mit vertrauenswürdigem Start.