Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-VMs

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ VMs der 2. Generation

Azure Virtual Machines unterstützt die Aktivierung des vertrauenswürdigen Starts von Azure für vorhandene Virtual Machines (VMs) der 2. Generation von Azure durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.

Der Vertrauenswürdige Start ist eine Möglichkeit, die grundlegende Computesicherheit auf Azure-VMs der 2. Generation zu aktivieren, und schützt vor erweiterten und persistenten Angriffstechniken wie Boot Kits und Rootkits. Dies geschieht durch die Kombination von Infrastrukturtechnologien wie sicherer Start, vTPM (virtual Trusted Platform Module) und Überwachung der Startintegrität in Ihrer VM.

Wichtig

Die Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 befindet sich derzeit in der privaten Vorschau. Sie können über das Registrierungsformular Zugriff auf die Vorschau erhalten.

Voraussetzungen

Bewährte Methoden

  • Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
  • Erstellen Sie einen Wiederherstellungspunkt für Azure-VMs der 2. Generation, die Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.

Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM

Hinweis

  • Nachdem Sie den vertrauenswürdigen Start aktiviert haben, können derzeit keine virtuellen Computer auf den Standardsicherheitstyp zurückgesetzt werden (nicht vertrauenswürdige Startkonfiguration).
  • vTPM ist standardmäßig aktiviert.
  • Es wird empfohlen, den sicheren Start zu aktivieren, wenn Sie keinen benutzerdefinierten nicht signierten Kernel oder Treiber verwenden. Er ist nicht standardmäßig aktiviert. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.

Aktivieren Sie den vertrauenswürdigen Start auf einer vorhandenen Azure-VM der 2. Generation mit dem Microsoft Azure-Portal.

  1. Melden Sie sich beim Azure-Portal an.

  2. Vergewissern Sie sich, dass die VM-Generation V2 ist, und wählen Sie Beenden für die VM aus.

    Screenshot der VM Gen2, die abgeglichen werden soll.

  3. Wählen Sie auf der Seite Übersicht der VM-Eigenschaften unter Sicherheitstyp Standard aus. Die Konfigurationsseite für die VM wird geöffnet.

    Screenshot des Sicherheitstyps als Standard.

  4. Wählen Sie auf der Seite Konfiguration unter dem Abschnitt Sicherheitstyp die Dropdownliste Sicherheitstyp aus.

    Screenshot der Dropdownliste „Sicherheitstyp“.

  5. Wählen Sie unter der Dropdownliste Vertrauenswürdigen Start aus. Aktivieren Sie Kontrollkästchen, um Sicheren Start und vTPM zu aktivieren. Nachdem Sie die Änderungen vorgenommen haben, wählen Sie Speichern aus.

    Hinweis

    Screenshot der Einstellungen für den sicheren Start und vTPM.

  6. Schließen Sie nach erfolgreichem Abschluss des Updates die Seite Konfiguration. Bestätigen Sie auf der Seite Übersicht der VM-Eigenschaften die Einstellung Sicherheitstyp.

    Screenshot der aktualisierten VM für den vertrauenswürdigen Start.

  7. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich bei der VM anmelden können, indem Sie entweder das Remotedesktopprotokoll (RDP) für Windows-VMs oder das Secure Shell-Protokoll (SSH) für Linux-VMs verwenden.

Azure Advisor-Empfehlung

Azure Advisor füllt die operative Exzellenzempfehlung Vertrauenswürdiger Start, grundlegende Exzellenz und moderne Sicherheit für vorhandene VM(s) der 2. Generation für vorhandene VMs der 2. Generation 2 aus, damit sie Vertrauenswürdigen Start aktivieren; einen höheren Sicherheitsstatus für Azure-VMs ohne zusätzliche Kosten für Sie. Stellen Sie sicher, dass die VM der 2. Generation alle Voraussetzungen für die Migration zum vertrauenswürdigen Start hat, befolgen Sie alle bewährten Methoden, einschließlich der Überprüfung des Betriebssystemimages, der VM-Größe und des Erstellens von Wiederherstellungspunkten. Führen Sie die Schritte aus, die im Aktivieren des vertrauenswürdigen Starts auf einer vorhandenen VM beschrieben sind, um den Sicherheitstyp der virtuellen Computer zu aktualisieren und den vertrauenswürdigen Start zu aktivieren.

Was geschieht, wenn VMs der 2. Generation vorhanden sind, die nicht den Voraussetzungen für den vertrauenswürdigen Start entsprechen?

Für einen virtuellen Computer der 2. Generation, der die Voraussetzungen für das Upgrade auf den vertrauenswürdigen Start nicht erfüllt hat, schauen Sie sich an, wie die Voraussetzungen erfüllt werden können. Wenn z. B. die Größe eines virtuellen Computers nicht unterstützt wird, suchen Sie nach einer entsprechenden unterstützten Größe für den vertrauenswürdigen Start, die den vertrauenswürdigen Start unterstützt.

Hinweis

Schließen Sie die Empfehlung, wenn der virtuelle Gen2-Computer mit VM-Größenfamilien konfiguriert ist, die derzeit nicht mit dem vertrauenswürdigen Start wie der MSv2-Serie unterstützt werden.