共用方式為

在现有 Azure Gen2 VM 上启用受信任的启动

适用于:✔️ Linux VM ✔️ Windows VM ✔️ 第 2 代 VM

Azure 虚拟机支持通过升级到受信任的启动安全类型,在现有 Azure 第 2 代虚拟机(VM)上启用 Azure 受信任启动。

受信任启动是一种在 Azure 第 2 代 VM 上实现基础计算安全性的方法,可防范 Bootkit 和 Rootkit 等高级持久性攻击方法。 它通过将安全启动、虚拟受信任的平台模块 (vTPM) 和 VM 上的启动完整性监视等基础结构技术结合在一起来实现这一点。

重要

现有 Azure 第 1 代 VM 上启用受信任启动 的支持目前处于预览状态。 请参阅 升级现有的 Azure Gen1 VM 并启用受信任的启动

先决条件

Azure VM 配置了:

最佳做法

  • 在与生产工作负载关联的第 2 代 VM 上启用受信任启动之前,在第 2 代测试 VM 上启用受信任启动,并确定是否需要进行任何更改以满足先决条件。
  • 在启用“受信任启动”安全类型之前,为与生产工作负载关联的 Azure 第 2 代 VM 创建还原点。 可以使用还原点以之前的已知状态重新创建磁盘和第 2 代 VM。

在现有 VM 上启用受信任启动

注意

  • 默认情况下 vTPM 处于启用状态。
  • 默认情况下未启用安全启动。 强烈建议在不使用自定义未签名内核或驱动程序的情况下启用安全启动。 安全启动可保留启动完整性,并为 VM 实现基础安全性。

使用 Azure 门户在现有 Azure 第 2 代 VM 上启用受信任启动。

  1. 登录到 Azure 门户

  2. 确认 VM 代系为 V2,并为 VM 选择“停止”

    显示要解除分配的第 2 代 VM 的屏幕截图。

  3. 在 VM 属性中“概述”页上的“安全类型”下,选择“标准”。 VM 的“配置”页随即打开

    显示安全类型为“标准”的屏幕截图。

  4. 在“配置”页上的“安全类型”部分下,选择“安全类型”下拉列表

    显示“安全类型”下拉列表的屏幕截图。

  5. 在下拉列表中,选择“受信任启动”。 选中相应复选框以启用“安全启动”和“vTPM”。 完成更改后,选择“保存”

    注意

    显示安全启动和 vTPM 设置的屏幕截图。

  6. 更新成功完成后,关闭“配置”页。 在 VM 属性中的“概述”页上确认“安全类型”设置

    显示已升级受信任启动的 VM 的屏幕截图。

  7. 启动已升级受信任启动的 VM。 验证是否可以使用远程桌面协议 (RDP)(对于 Windows VM)或安全外壳协议 (SSH)(对于 Linux VM)登录到 VM。

回滚

注意

在虚拟机订阅中将功能UseStandardSecurityType注册到Microsoft.Compute命名空间,以便支持回滚。 有关详细信息,请参阅 在 Azure 订阅中设置预览功能

若要将“受信任的启动”中的更改回滚到以前的 Gen2 已知的良好配置,您需要将 VM 的securityType设置为“标准”

当前 Azure 门户不支持将受信任启动的回滚功能应用于 Gen2(非受信任启动)配置。

Azure 顾问建议

Azure 顾问针对现有第2代虚拟机提出了运营卓越建议,建议您启用“受信任的启动”,这一功能为您的Azure虚拟机提供更高的安全态势,而无需额外费用。 确保第 2 代虚拟机具备迁移到受信任启动的所有先决条件,遵循所有最佳做法,包括验证 OS 映像、VM 大小和创建还原点。 为了使顾问建议被视为完整,请按照在现有 VM 上启用受信任启动中概述的步骤来升级虚拟机安全类型并启用受信任启动

如果第 2 代 VM 不符合受信任启动的先决条件,该怎么办?

对于不符合升级到受信任启动的 先决条件 的第 2 代 VM,请查看如何满足先决条件。 例如,如果使用不支持的虚拟机大小,请查找支持可信启动的对等可信启动大小。

注意

如果 Gen2 虚拟机配置为当前不受受信任启动支持的 VM 大小系列(如 MSv2 系列),则忽略该建议。