在现有 Azure VM 上启用受信任启动

适用于:✔️ Linux VM ✔️ Windows VM ✔️ 第 2 代 VM

Azure 虚拟机支持通过升级到受信任启动安全类型,在现有 Azure 第 2 代虚拟机 (VM) 上启用 Azure 受信任启动。

受信任启动是一种在 Azure 第 2 代 VM 上实现基础计算安全性的方法,可防范 Bootkit 和 Rootkit 等高级持久性攻击方法。 它通过将安全启动、虚拟受信任的平台模块 (vTPM) 和 VM 上的启动完整性监视等基础结构技术结合在一起来实现这一点。

重要

在现有的 Azure 第 1 代 VM 上启用受信任启动的支持目前处于个人预览版阶段。 可以使用注册表单获取预览权限。

先决条件

最佳做法

  • 在与生产工作负载关联的第 2 代 VM 上启用受信任启动之前,在第 2 代测试 VM 上启用受信任启动,并确定是否需要进行任何更改以满足先决条件。
  • 在启用“受信任启动”安全类型之前,为与生产工作负载关联的 Azure 第 2 代 VM 创建还原点。 可以使用还原点以之前的已知状态重新创建磁盘和第 2 代 VM。

在现有 VM 上启用受信任启动

注意

  • 启用受信任启动后,当前 VM 无法回滚到标准安全类型(非受信任启动配置)。
  • 默认情况下 vTPM 处于启用状态。
  • 如果未使用自定义未签名内核或驱动程序,建议启用安全启动。 默认情况下不启用此功能。 安全启动可保留启动完整性,并为 VM 实现基础安全性。

使用 Azure 门户在现有 Azure 第 2 代 VM 上启用受信任启动。

  1. 登录到 Azure 门户

  2. 确认 VM 代系为 V2,并为 VM 选择“停止”

    显示要解除分配的第 2 代 VM 的屏幕截图。

  3. 在 VM 属性中“概述”页上的“安全类型”下,选择“标准”。 VM 的“配置”页随即打开

    显示安全类型为“标准”的屏幕截图。

  4. 在“配置”页上的“安全类型”部分下,选择“安全类型”下拉列表

    显示“安全类型”下拉列表的屏幕截图。

  5. 在下拉列表中,选择“受信任启动”。 选中相应复选框以启用“安全启动”和“vTPM”。 完成更改后,选择“保存”

    注意

    显示安全启动和 vTPM 设置的屏幕截图。

  6. 更新成功完成后,关闭“配置”页。 在 VM 属性中的“概述”页上确认“安全类型”设置

    显示已升级受信任启动的 VM 的屏幕截图。

  7. 启动已升级受信任启动的 VM。 验证是否可以使用远程桌面协议 (RDP)(对于 Windows VM)或安全外壳协议 (SSH)(对于 Linux VM)登录到 VM。

Azure 顾问建议

Azure 顾问提供了为现有第 2 代 VM 实现受信任启动基础卓越性和现代安全性的卓越运营建议,使现有第 2 代 VM 能够在无额外成本的情况下采用受信任启动,为 Azure VM 提供了更好的安全状况。 确保第 2 代虚拟机具备迁移到受信任启动的所有先决条件,遵循所有最佳做法,包括验证 OS 映像、VM 大小和创建还原点。 为了使顾问建议被视为完整,请按照在现有 VM 上启用受信任启动中概述的步骤来升级虚拟机安全类型并启用受信任启动

如果第 2 代 VM 不符合受信任启动的先决条件,该怎么办?

对于不满足升级到受信任启动的先决条件的第 2 代 VM,请了解如何满足先决条件。 例如,如果使用不支持的虚拟机大小,请查找支持受信任启动的等效受信任启动支持的大小

注意

如果 Gen2 虚拟机配置的 VM 大小系列(如 MSv2 系列)目前不支持受信任启动,请忽略该建议。