تمكين التشغيل الموثوق به على أجهزة Azure الظاهرية الموجودة
ينطبق على: ✔️ Linux VM ✔️ Windows VM ✔️ Generation 2 VM
تدعم أجهزة Azure الظاهرية تمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة من الجيل 2 من Azure عن طريق الترقية إلى نوع أمان التشغيل الموثوق به.
التشغيل الموثوق به هو طريقة لتمكين أمان الحوسبة الأساسية على أجهزة Azure الظاهرية من الجيل 2. يحمي الإطلاق الموثوق به الأجهزة الظاهرية من تقنيات الهجوم المتقدمة والمستمرة مثل مجموعات التمهيد و rootkits من خلال الجمع بين تقنيات البنية الأساسية مثل التمهيد الآمن وvTPM ومراقبة تكامل التمهيد على الجهاز الظاهري الخاص بك.
هام
- يوجد حاليا دعم لتمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة من الجيل 1 من Azure في المعاينة الخاصة. يمكنك الوصول إلى المعاينة باستخدام ارتباط https://aka.ms/Gen1ToTLUpgradeالتسجيل .
- تمكين التشغيل الموثوق به على مجموعات مقياس الجهاز الظاهري Azure (VMSS) الموحدة وفليكس غير مدعومة حاليا.
المتطلبات الأساسية
- تم تكوين Azure Generation 2 VM (الأجهزة الظاهرية) باستخدام:
- عائلة الحجم المدعومة التي تم إطلاقها الموثوق بها
- صورة نظام التشغيل المدعومة بشاشة التشغيل الموثوق بها. بالنسبة لصورة نظام التشغيل المخصصة أو الأقراص، يجب أن تكون الصورة الأساسية موثوقا بها قادرة على التشغيل.
- لا يستخدم Azure Generation 2 VM (الأجهزة الظاهرية) ميزات غير مدعومة حاليا مع التشغيل الموثوق به.
- يجب إيقاف Azure Generation 2 VM وإلغاء تخصيصه قبل تمكين نوع أمان التشغيل الموثوق به.
- يجب تكوين Azure Backup إذا تم تمكينه ل VM (الأجهزة الظاهرية) باستخدام نهج النسخ الاحتياطي المحسن. لا يمكن تمكين نوع أمان التشغيل الموثوق به لجهاز (أجهزة) ظاهرية من الجيل 2 تم تكوينه باستخدام حماية النسخ الاحتياطي للنهج القياسي.
- يمكن ترحيل النسخ الاحتياطي الحالي لجهاز Azure الظاهري من النهج القياسي إلى النهج المحسن باستخدام ترحيل النسخ الاحتياطية لجهاز Azure الظاهري من النهج القياسي إلى النهج المحسن (معاينة).
أفضل الممارسات
- قم بتمكين التشغيل الموثوق به على جهاز ظاهري من الجيل الثاني للاختبار وتأكد مما إذا كانت هناك حاجة إلى أي تغييرات لتلبية المتطلبات الأساسية قبل تمكين التشغيل الموثوق به على الأجهزة الظاهرية من الجيل 2 المرتبطة بأحمال عمل الإنتاج.
- إنشاء نقطة استعادة ل Azure Generation 2 VM (الأجهزة الظاهرية) المقترنة بأحمال عمل الإنتاج قبل تمكين نوع أمان التشغيل الموثوق به. يمكنك استخدام نقطة الاستعادة لإعادة إنشاء الأقراص والجيل 2 VM مع الحالة المعروفة السابقة.
تمكين التشغيل الموثوق به على الجهاز الظاهري الموجود
إشعار
- بعد تمكين التشغيل الموثوق به، لا يمكن التراجع عن الأجهزة الظاهرية حاليا إلى نوع الأمان قياسي (تكوين تشغيل غير موثوق به).
- يتم تمكين vTPM بشكل افتراضي.
- يوصى بتمكين التمهيد الآمن (غير ممكن بشكل افتراضي) إذا كنت لا تستخدم نواة أو برامج تشغيل مخصصة غير موقعة. يحافظ التمهيد الآمن على تكامل التمهيد ويمكن الأمان الأساسي للجهاز الظاهري.
يخطو هذا القسم من خلال استخدام مدخل Microsoft Azure لتمكين التشغيل الموثوق به على جهاز Azure الظاهري الحالي من الجيل 2.
- تسجيل الدخول إلى مدخل Microsoft Azure.
- التحقق من صحة إنشاء الجهاز الظاهري هو V2 وإيقاف الجهاز الظاهري.
- في صفحة Overview في VM Properties، حدد Standard ضمن Security type. ينتقل هذا إلى صفحة التكوين للجهاز الظاهري.
- حدد نوع الأمان المنسدلة ضمن قسم نوع الأمان في صفحة التكوين.
- حدد Trusted launch ضمن القائمة المنسدلة وحدد خانات الاختيار لتمكين Secure Boot وvTPM. انقر فوق حفظ بعد إجراء التغييرات المطلوبة.
إشعار
- الأجهزة الظاهرية من الجيل 2 التي تم إنشاؤها باستخدام معرض الحوسبة Azure (ACG) والصورة المدارة وقرص نظام التشغيل لا يمكن ترقيتها إلى التشغيل الموثوق به باستخدام المدخل. يرجى التأكد من دعم إصدار نظام التشغيل للتشغيل الموثوق به واستخدام قالب PowerShell أو CLI أو ARM لتنفيذ الترقية.
- أغلق صفحة التكوين بمجرد اكتمال التحديث بنجاح والتحقق من صحة نوع الأمان ضمن خصائص الجهاز الظاهري في صفحة نظرة عامة.
- ابدأ تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته وتأكد من أنه قد بدأ بنجاح وتحقق من قدرتك على تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (ل Windows VM) أو SSH (ل Linux VM).
الخطوات التالية
(مستحسن) تمكن عمليات ما بعد الترقية مراقبة تكامل التمهيد لمراقبة صحة الجهاز الظاهري باستخدام Microsoft Defender for Cloud.
تعرف على المزيد حول التشغيل الموثوق به ومراجعة الأسئلة المتداولة