受信任启动常见问题解答
注意
本文引用了 CentOS,这是一个接近生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
有关受信任启动的常见问题。 功能用例、对其他 Azure 功能的支持,以及对常见错误的修复。
用例
为何应使用受信任启动? 受信任启动防范哪些行为?
受信任启动防范 Bootkit、Rootkit 和内核级恶意软件。 这种复杂类型的恶意软件在内核模式下运行,对用户是隐身的。 例如:
- 固件 Rootkit:这些工具包可覆盖虚拟机 BIOS 的固件,因此 Rootkit 可以在 OS 启动之前启动。
- 启动工具包:这些工具包可替换 OS 的启动加载程序,以便虚拟机在 OS 启动之前加载启动工具包。
- 内核 Rootkit:这些工具包可替换 OS 内核的一部分,因此,Rootkit 可在 OS 加载时自动启动。
- 驱动程序 Rootkit:这些工具包假装是 OS 用来与虚拟机组件通信的受信任驱动程序之一。
受信任启动与 Hyper-V 防护的 VM 有何差别?
Hyper-V 防护的 VM 目前仅在 Hyper-V 上可用。 Hyper-V 防护的 VM通常与 Guarded Fabric 一同部署。 Guarded Fabric 由一个主机保护服务 (HGS)、一个或多个受保护的主机以及一组受防护的 VM 组成。 Hyper-V 受防护的 VM 用于必须保护虚拟机的数据和状态不受各种行动者影响的结构中。 这些行动者既包括结构管理员,也包括可能在 Hyper-V 主机上运行的不受信任的软件。 另一方面,受信任启动可作为独立的虚拟机或虚拟机规模集部署在 Azure 上,而无需额外的 HGS 部署和管理。 只需在部署代码中做出一项简单更改,或者在 Azure 门户上选中相应的复选框,即可启用所有的受信任启动功能。
是否可以针对新 VM 部署禁用受信任启动?
受信任启动 VM 提供基础计算安全性,建议不要对新的 VM/VMSS 部署禁用相同功能,除非部署依赖于:
可以使用带值Standard的参数securityType,以使用 Azure PowerShell (v10.3.0+) 和 CLI (v2.53.0+) 在新的 VM/VMSS 部署中禁用受信任启动
az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
--security-type 'Standard'
支持的功能和部署
受信任启动是否支持 Azure Compute Gallery?
受信任启动现在允许通过Azure Compute Gallery(前共享映像库)创建和共享映像。 映像源可以是:
- 通用化或专用的现有 Azure VM,或
- 现有托管磁盘或快照,或
- VHD 或另一个库中的映像版本。
有关使用 Azure Compute Gallery 部署受信任启动 VM 的详细信息,请参阅部署受信任启动 VM。
受信任启动是否支持 Azure 备份?
受信任启动现在支持 Azure 备份。 有关详细信息,请参阅 Azure VM 备份的支持矩阵。
启用受信任启动后,Azure 备份是否能继续正常使用?
使用增强策略配置的备份将在启用受信任启动后继续备份 VM。
受信任启动是否支持临时 OS 磁盘?
受信任启动支持临时 OS 磁盘。 有关详细信息,请参阅临时 OS 磁盘的受信任启动。
注意
对受信任启动 VM 使用临时磁盘时,创建 VM 后由 vTPM 生成或密封的密钥和机密可能不会在重新建立映像和平台事件(如服务修复)等操作之间持续保留。
能否使用在启用受信任启动之前获得的备份来还原虚拟机?
在将现有的第 2 代 VM 升级到受信任启动之前执行的备份可用于还原整个虚拟机或单个数据磁盘。 这些备份不能用于仅还原或替换 OS 磁盘。
如何找到支持受信任启动的 VM 大小?
请参阅支持受信任启动的第 2 代 VM 大小列表。
以下命令可用于检查第 2 代 VM 大小是否不支持受信任启动。
subscription="<yourSubID>"
region="chinanorth2"
vmSize="Standard_NC12s_v3"
az vm list-skus --resource-type virtualMachines --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription
如何验证 OS 映像是否支持受信任启动?
请参阅受信任启动支持的 OS 版本列表,
市场 OS 映像
以下命令可用于检查市场 OS 映像是否支持受信任启动。
az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"
响应类似于以下格式。 hyperVGenerationv2和SecurityType在输出中包含TrustedLaunch,指示第 2 代 OS 映像支持受信任启动。
{
"architecture": "x64",
"automaticOsUpgradeProperties": {
"automaticOsUpgradeSupported": false
},
"dataDiskImages": [],
"disallowed": {
"vmDiskType": "Unmanaged"
},
"extendedLocation": null,
"features": [
{
"name": "SecurityType",
"value": "TrustedLaunchAndConfidentialVmSupported"
},
{
"name": "IsAcceleratedNetworkSupported",
"value": "True"
},
{
"name": "DiskControllerTypes",
"value": "SCSI, NVMe"
},
{
"name": "IsHibernateSupported",
"value": "True"
}
],
"hyperVGeneration": "V2",
"id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/chinanorth2/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
"imageDeprecationStatus": {
"alternativeOption": null,
"imageState": "Active",
"scheduledDeprecationTime": null
},
"location": "chinanorth2",
"name": "20348.1906.230803",
"osDiskImage": {
"operatingSystem": "Windows",
"sizeInGb": 127
},
"plan": null,
"tags": null
}
Azure Compute Gallery OS 映像
以下命令可用于检查Azure Compute Gallery OS 映像是否支持受信任启动。
az sig image-definition show `
--gallery-image-definition myImageDefinition `
--gallery-name myImageGallery `
--resource-group myImageGalleryRg
响应类似于以下格式。 hyperVGenerationv2和SecurityType在输出中包含TrustedLaunch,指示第 2 代 OS 映像支持受信任启动。
{
"architecture": "x64",
"features": [
{
"name": "SecurityType",
"value": "TrustedLaunchSupported"
}
],
"hyperVGeneration": "V2",
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
"identifier": {
"offer": "myImageDefinition",
"publisher": "myImageDefinition",
"sku": "myImageDefinition"
},
"location": "chinanorth2",
"name": "myImageDefinition",
"osState": "Generalized",
"osType": "Windows",
"provisioningState": "Succeeded",
"recommended": {
"memory": {
"max": 32,
"min": 1
},
"vCPUs": {
"max": 16,
"min": 1
}
},
"resourceGroup": "myImageGalleryRg",
"tags": {},
"type": "Microsoft.Compute/galleries/images"
}
外部通信驱动程序如何与受信任的启动 VM 配合工作?
添加 COM 端口需要禁用安全启动。 因此,受信任的启动 VM 会默认禁用 COM 端口。
电源状态
特定于功能的状态、启动类型和常见启动问题。
VM 来宾状态 (VMGS) 是什么?
VM 来宾状态 (VMGS) 特定于受信任启动 VM。 它是由 Azure 管理的 Blob,包含统一可扩展固件接口 (UEFI) 安全启动签名数据库和其他安全信息。 VMGS Blob 的生命周期与 OS 磁盘的生命周期相关联。
安全启动与受度量启动之间的区别是什么?
在安全启动链中,启动过程中的每个步骤都会检查后续步骤的加密签名。 例如,BIOS 会检查加载程序中的签名,而加载程序会检查它所加载的所有内核对象中的签名,依此类推。 如果任何对象遭到入侵,则签名不匹配,并且 VM 不会启动。 有关详细信息,请参阅安全启动。 受度量启动不会停止启动过程,它会度量或计算链中后续对象的哈希,并将哈希存储在 vTPM 上的平台配置寄存器 (PCR) 中。 受度量启动记录用于启动完整性监视。
为什么受信任启动虚拟机无法正确启动?
如果从 UEFI(来宾固件)、启动加载程序、操作系统或启动驱动程序中检测到未签名的组件,则受信任启动虚拟机将不会启动。 如果在启动过程中遇到未签名或不受信任的启动组件,受信任启动虚拟机中的安全启动设置将无法启动,并报告为安全启动失败。
注意
直接从 Azure 市场映像创建的受信任启动虚拟机不应遇到安全启动失败的情况。 具有市场原始映像源的 Azure Compute Gallery 映像以及从受信任启动 VM 创建的快照也不应遇到这些错误。
如何在 Azure 门户中验证无启动的情况?
当虚拟机因安全启动失败而不可用时,“无启动”意味着虚拟机具有由受信任的颁发机构签名的操作系统组件,该组件阻止了启动受信任启动 VM。 在 VM 部署中,客户可能会在 Azure 门户中看到指出安全启动中存在验证错误的资源运行状况信息。
若要从虚拟机配置页面访问资源运行状况,请导航到“帮助”面板下的“资源运行状况”。
按照资源运行状况屏幕中概述的“建议步骤”进行操作。 说明包括虚拟机启动诊断中的屏幕截图和可下载串行日志。
如果验证了无启动是由安全启动失败导致的:
- 正在使用的映像是一个较旧的版本,该版本可能有一个或多个不受信任的启动组件,并且即将弃用。 若要修复过时的映像,请更新到受支持的较新的映像版本。
- 你正在使用的映像可能是在市场源之外生成的或启动组件已被修改,并且该映像包含未签名或不受信任的启动组件。 若要验证映像是否具有未签名或不受信任的启动组件,请参阅“验证安全启动失败的情况”。
- 如果以上两种情况不适用,则虚拟机可能感染了恶意软件 (bootkit/rootkit)。 请考虑删除虚拟机并基于同一源映像重新创建一个新 VM,同时评估要安装的所有软件。
验证安全启动失败的情况
Linux 虚拟机
若要验证是哪些启动组件导致了 Azure Linux 虚拟机中的安全启动失败,最终用户可以使用 Linux 安全包中的 SBInfo 工具。
- 关闭安全启动
- 连接到 Azure Linux 受信任启动虚拟机。
- 安装适用于虚拟机正在运行的发行版的 SBInfo 工具。 该工具存在于 Linux 安全包中
这些命令适用于 Ubuntu、Debian 和其他基于 debian 的发行版。
echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list
echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list
echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list
wget https://packages.microsoft.com/keys/microsoft.asc
wget https://packages.microsoft.com/keys/msopentech.asc
sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc
sudo apt update && sudo apt install azure-security
安装适用于相应发行版的 Linux 安全包后,请运行“sbinfo”命令,通过显示所有未签名的模块、内核和启动加载程序来验证是哪些启动组件导致了安全启动失败。
sudo sbinfo -u -m -k -b
若要了解有关 SBInfo 诊断工具的详细信息,可以运行“sudo sbinfo -help”。
为什么我收到启动完整性监视错误?
Azure 虚拟机的受信任启动将受到监视,以识别高级威胁。 如果检测到此类威胁,将触发警报。 警报仅在启用了 Defender for Cloud 的增强安全功能时可用。
Microsoft Defender for Cloud 定期执行证明。 如果证明失败,将触发中等严重性警报。 受信任启动证明可能出于以下原因而失败:
- 证明的信息(包括受信任计算基础 (TCB) 的日志)偏离受信任基线(如启用安全启动时)。 任何偏差都表示加载了不受信任的模块,并且 OS 可能会遭到入侵。
- 无法验证该证明引述是否源自被证明 VM 的 vTPM。 此验证失败表示存在恶意软件,并且其可能正在截获发送到 TPM 的流量。
- VM 上的证明扩展未响应。 无响应扩展表示恶意软件或 OS 管理员发起了拒绝服务攻击。
Certificates
用户如何通过受信任启动 VM 建立信任根?
虚拟 TPM AK 公共证书让用户能够查看完整证书链(根证书和中间证书)的相关信息,帮助他们验证证书和根链中的信任。 为了确保受信任启动使用者持续维持最高安全态势,它提供了实例属性的相关信息,让用户能够追溯到整个链。
下载说明
由 .p7b(完整证书颁发机构)和 .cer(中间 CA)组成的包证书将会显示签名和证书颁发机构。 请复制相关内容,并使用证书工具来检查和评估证书的详细信息。
选择为 Azure 虚拟 TPM 根证书颁发机构 2023 下载下面的 .crt
选择查看 .p7b 内容
全局虚拟 TPM CA - 01:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Full Certificate Authority Details
Thumbprint # cdb9bc34197a5355f652f1583fbd4e9a1d4801f0
Serial Number # 51f431da2c92088a4e29e0d929de4aa7
Valid Until # 01/Jun/2048
选择查看根证书的 .cert 内容
Azure 虚拟 TPM 根证书颁发机构 2023
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
选择查看中间 CA 内容
TPM 证书的中间证书颁发机构:
"Global Virtual TPM CA - XX" (intermediate CA) [.cer],
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Intermediate Certificate Authority
Thumbprint # db1f3959dcce7091f87c43446be1f4ab2d3415b7
Serial Number # 3300000002c0d17b4b8f979c35000000000002
Valid Until # November 3rd, 2025