Aktivera betrodd start på befintliga virtuella Azure-datorer

Gäller för: ✔️ Virtuell Linux-dator ✔️, virtuell Windows-dator ✔️, generation 2

Azure Virtual Machines stöder aktivering av azure trusted launch på befintliga virtuella Azure Generation 2-datorer (VM) genom att uppgradera till säkerhetstypen Betrodd start .

Betrodd start är ett sätt att aktivera grundläggande beräkningssäkerhet på virtuella Azure Generation 2-datorer och skyddar mot avancerade och beständiga attacktekniker som startpaket och rootkits. Det gör det genom att kombinera infrastrukturtekniker som Säker start, virtuell betrodd plattformsmodul (vTPM) och övervakning av startintegritet på den virtuella datorn.

Viktigt!

Stöd för att aktivera betrodd start på befintliga virtuella Azure Generation 1-datorer finns för närvarande i privat förhandsversion. Du kan få åtkomst till förhandsversionen med hjälp av registreringsformuläret.

Förutsättningar

• Den virtuella Azure Generation 2-datorn har konfigurerats med:
  • Storleksfamilj som stöds för betrodd start.
  • Avbildning av operativsystemet (OS) som stöds med betrodd start. För anpassade OS-avbildningar eller diskar ska basavbildningen vara betrodd startkompatibel.
• Den virtuella Azure Generation 2-datorn använder inte funktioner som för närvarande inte stöds med betrodd start.
• Virtuella Azure Generation 2-datorer ska stoppas och frigöras innan du aktiverar säkerhetstypen Betrodd start.
• Azure Backup, om det är aktiverat, för virtuella datorer ska konfigureras med principen för förbättrad säkerhetskopiering. Säkerhetstypen Betrodd start kan inte aktiveras för virtuella datorer i generation 2 som konfigurerats med standardsäkerhetsskydd för principsäkerhetskopiering .
  • Befintlig säkerhetskopiering av virtuella Azure-datorer kan migreras från Standard till den förbättrade principen. Följ stegen i Migrera säkerhetskopieringar av virtuella Azure-datorer från Standard till Utökad princip (förhandsversion).

Bästa praxis

• Aktivera betrodd start på en virtuell testdator i generation 2 och ta reda på om några ändringar krävs för att uppfylla kraven innan du aktiverar betrodd start på virtuella datorer i generation 2 som är associerade med produktionsarbetsbelastningar.
• Skapa återställningspunkter för virtuella Azure Generation 2-datorer som är associerade med produktionsarbetsbelastningar innan du aktiverar säkerhetstypen Betrodd start. Du kan använda återställningspunkterna för att återskapa diskarna och den virtuella datorn i generation 2 med det tidigare välkända tillståndet.

Aktivera betrodd start på en befintlig virtuell dator

Kommentar

• När du har aktiverat betrodd start kan virtuella datorer för närvarande inte återställas till standardsäkerhetstypen (konfiguration av icke-betrodd start).
• vTPM är aktiverat som standard.
• Vi rekommenderar att du aktiverar Säker start om du inte använder anpassad osignerad kernel eller drivrutiner. Det är inte aktiverat som standard. Säker start bevarar startintegriteten och möjliggör grundläggande säkerhet för virtuella datorer.

Portal

Aktivera betrodd start på en befintlig virtuell Azure Generation 2-dator med hjälp av Azure-portalen.

1. Logga in på Azure-portalen.

2. Bekräfta att vm-genereringen är V2 och välj Stoppa för den virtuella datorn.

   

3. På sidan Översikt i egenskaperna för den virtuella datorn går du till Säkerhetstyp och väljer Standard. Sidan Konfiguration för den virtuella datorn öppnas.

   

4. På sidan Konfiguration går du till avsnittet Säkerhetstyp och väljer listrutan Säkerhetstyp .

   

5. Under listrutan väljer du Betrodd start. Markera kryssrutor för att aktivera säker start och vTPM. När du har genomfört ändringarna väljer du Spara.

   Kommentar

   • Generation 2 virtuella datorer som skapats med hjälp av Azure Compute Gallery (ACG), Hanterad avbildning eller en OS-disk kan inte uppgraderas till betrodd start med hjälp av portalen. Kontrollera att operativsystemets version stöds för betrodd start. Använd PowerShell, Azure CLI eller en Azure Resource Manager-mall (ARM-mall) för att köra uppgraderingen.

   

6. När uppdateringen är klar stänger du sidan Konfiguration . På sidan Översikt i egenskaperna för den virtuella datorn bekräftar du inställningarna för säkerhetstyp .

   

7. Starta den uppgraderade virtuella datorn för betrodd start. Kontrollera att du kan logga in på den virtuella datorn med hjälp av antingen Remote Desktop Protocol (RDP) för virtuella Windows-datorer eller Secure Shell Protocol (SSH) för virtuella Linux-datorer.

CLI

Följ stegen för att aktivera betrodd start på en befintlig virtuell Azure Generation 2-dator med hjälp av Azure CLI.

Se till att du installerar den senaste Azure CLI och är inloggad på ett Azure-konto med az login.

1. Logga in på den virtuella datorns Azure-prenumeration.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Frigör den virtuella datorn.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Aktivera betrodd start genom att ange --security-type till TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Verifiera utdata från föregående kommando. Kontrollera att konfigurationen securityProfile returneras med kommandoutdata.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Starta den virtuella datorn.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Starta den uppgraderade virtuella datorn för betrodd start. Kontrollera att du kan logga in på den virtuella datorn med rdp (för virtuella Windows-datorer) eller SSH (för virtuella Linux-datorer).

PowerShell

Följ stegen för att aktivera betrodd start på en befintlig virtuell Azure Generation 2-dator med hjälp av Azure PowerShell.

Se till att du installerar den senaste Azure PowerShell och är inloggad på ett Azure-konto med Connect-AzAccount.

1. Logga in på den virtuella datorns Azure-prenumeration.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Frigör den virtuella datorn.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Aktivera betrodd start genom att ange -SecurityType till TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Verifiera securityProfile i den uppdaterade VM-konfigurationen.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Starta den virtuella datorn.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Starta den uppgraderade virtuella datorn för betrodd start. Kontrollera att du kan logga in på den virtuella datorn med rdp (för virtuella Windows-datorer) eller SSH (för virtuella Linux-datorer).

Mall

Följ stegen för att aktivera betrodd start på en befintlig virtuell Azure Generation 2-dator med hjälp av en ARM-mall.

En Azure Resource Manager-mall är en JSON-fil (JavaScript Object Notation) som definierar infrastrukturen och konfigurationen för projektet. Mallen använder deklarativ syntax. Du beskriver den avsedda distributionen utan att skriva sekvensen med programmeringskommandon för att skapa distributionen.

1. Granska mallen.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. parameters Redigera JSON-filen med virtuella datorer som ska uppdateras med TrustedLaunch säkerhetstypen.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Parameterfildefinition

   Property	Egenskapsbeskrivning	Exempelmallvärde
   vmName	Namnet på den virtuella Azure Generation 2-datorn.	myVm
   plats	Plats för virtuell Azure Generation 2-dator.	westus3
   secureBootEnabled	Aktivera säker start med säkerhetstypen Betrodd start.	true

3. Frigör alla virtuella Azure Generation 2-datorer som ska uppdateras.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Kör ARM-malldistributionen.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Starta den uppgraderade virtuella datorn för betrodd start. Kontrollera att du kan logga in på den virtuella datorn med rdp (för virtuella Windows-datorer) eller SSH (för virtuella Linux-datorer).

Azure Advisor-rekommendation

Azure Advisor fyller i grundkvaliteten Enable Trusted launch foundational och modern säkerhet för befintliga virtuella datorer av generation 2 för befintliga virtuella datorer i generation 2 för att införa betrodd start, en högre säkerhetsstatus för virtuella Azure-datorer utan extra kostnad för dig. Se till att den virtuella datorn i generation 2 har alla förutsättningar för att migrera till betrodd start, följa alla metodtips, inklusive validering av OS-avbildning, VM-storlek och skapande av återställningspunkter. För att Advisor-rekommendationen ska betraktas som fullständig följer du stegen som beskrivs i aktivera betrodd start på en befintlig virtuell dator för att uppgradera säkerhetstypen virtuella datorer och aktivera betrodd start.

Vad händer om det finns virtuella datorer i generation 2 som inte passar förutsättningarna för betrodd start?

För en virtuell dator i generation 2, som inte uppfyller kraven för att uppgradera till betrodd start, kan du se hur du uppfyller förutsättningarna. Om du till exempel använder en storlek på en virtuell dator som inte stöds letar du efter en motsvarande storlek för betrodd start som stöds och som stöder betrodd start.

Kommentar

Stäng rekommendationen om den virtuella Gen2-datorn har konfigurerats med vm-storleksfamiljer som för närvarande inte stöds med betrodd start som MSv2-serien.

Relaterat innehåll

• Aktivera betrodd start för distributioner av nya virtuella datorer. Mer information finns i Distribuera betrodda virtuella startdatorer
• Efter uppgraderingarna rekommenderar vi att du aktiverar övervakning av startintegritet för att övervaka hälsotillståndet för den virtuella datorn med hjälp av Microsoft Defender för molnet.
• Läs mer om betrodd start och granska vanliga frågor och svar.