共用方式為


在現有的 Azure VM 上啟用可信啟動

適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 第 2 代 VM

Azure 虛擬機器藉由升級至可信啟動安全性類型,支援在現有 Azure 第 2 代 虛擬機器 (VM) 上啟用 Azure 可信啟動。

可信啟動是一種在 Azure 第 2 代 VM 虛擬機器上啟用基礎計算安全性的方式,並防範開機套件和 rootkit 等進階和持續性攻擊技術。 其方式是結合 VM 上的安全開機、虛擬信賴平台模組 (vTPM) 和開機完整性監視等基礎結構技術。

重要

在現有 Azure 第 1 代 VM 上啟用可信啟動的支援目前處於個人預覽狀態。 您可以使用註冊表單取得預覽的存取權。

必要條件

最佳作法

  • 在測試第 2 代 VM 上啟用可信啟動,並在與實際執行工作負載相關聯的第 2 代 VM 上啟用可信啟動之前,確認是否需要進行任何變更才能符合必要條件。
  • 啟用可信啟動安全性類型之前,為與實際執行工作負載相關聯的 Azure 第 2 代 VM 建立還原點。 您可以使用還原點來重新建立具有先前已知狀態的磁碟和第 2 代 VM。

在現有的 VM 上啟用可信啟動

注意

  • 啟用可信啟動之後,目前 VM 無法復原至「標準」安全性類型 (非可信啟動設定)。
  • vTPM 預設為啟用。
  • 如果您未使用自訂未簽署的核心或驅動程式,建議您啟用安全開機。 依預設未啟用。 安全開機會保留開機完整性,並啟用 VM 的基礎安全性。

使用 Azure 入口網站,在現有的 Azure 第 2 代 VM 上啟用可信啟動。

  1. 登入 Azure 入口網站

  2. 確認 VM 世代為 V2,然後針對該 VM 選取 [停止]

    此螢幕擷取畫面顯示要解除分配的第 2 代 VM。

  3. 在 VM 屬性的 [概觀] 頁面上,在 [安全性類型] 下方選取 [標準]。 即會開啟該 VM 的 [設定] 頁面。

    此螢幕擷取畫面顯示 [安全性類型] 為 [標準]。

  4. 在 [設定] 頁面的 [安全性類型] 區段下方,選取 [安全性類型] 下拉式清單。

    此螢幕擷取畫面顯示 [安全性類型] 下拉式清單。

  5. 在下拉式清單底下,選取 [可信啟動]。 選取核取方塊以啟用 [安全開機] 和 [vTPM]。 進行變更之後,請選取 [儲存]

    注意

    此螢幕擷取畫面顯示安全開機和 vTPM 設定。

  6. 更新順利完成之後,請關閉 [設定] 頁面。 在 VM 屬性的 [概觀] 頁面上,確認 [安全性類型] 設定。

    此螢幕擷取畫面顯示可信啟動已升級的 VM。

  7. 啟動已升級的可信啟動 VM。 確認您可以使用適用於 Windows VM 的遠端桌面通訊協定 (RDP) 或適用於 Linux VM 的安全殼層通訊協定 (SSH) 來登入 VM。

Azure Advisor 建議

Azure Advisor 提供啟用可信啟動卓越基礎,以及新式安全性作為現有第 2 代 VM 卓越營運建議,讓現有第 2 代 VM 可以採用可信啟動,這是更高的 Azure VM 安全性態勢,且您無需支付任何額外成本。 請確定第 2 代 VM 具有移轉至可信啟動的所有必要條件,請遵循所有最佳做法,包括驗證 OS 映像、VM 大小,以及建立還原點。 若要將 Advisor 建議視為已完成,請遵循在現有 VM 上啟用可信啟動所述的步驟,升級虛擬機器安全性類型並啟用可信啟動。

如果第 2 代 VM 不符合可信啟動的必要條件,該怎麼辦?

若第 2 代 VM 不符合升級至可信啟動的必要條件,請查看如何滿足這些必要條件。 例如,如果使用的虛擬機器大小不受支援,請尋找支援可信啟動的對等可信啟動支援的大小

注意

如果第 2 代虛擬機器已設定使用 VM 大小系列,但這些大小系列目前不支援可信啟動 (例如 MSv2 系列),請關閉建議。