在現有的 Azure VM 上啟用信任啟動

適用於： ✔️ Linux VM Windows VM ✔️ ✔️ 第 2 代 VM

Azure 虛擬機器 支援藉由升級至信任啟動安全性類型，在現有的 Azure 第 2 代 VM 上啟用信任啟動。

受信任的啟動是在 Azure 第 2 代 VM 上啟用基礎計算安全性的方法。 信任的啟動可藉由結合 VM 上的安全開機、vTPM 和開機完整性監視等基礎結構技術，保護您的 虛擬機器 免於進階和持續性攻擊技術，例如開機套件和 rootkit。

重要

• 如果針對第 2 代 VM 啟用， 應先停用具有客戶管理密鑰 的伺服器端加密（SSE-CMK），再執行信任的啟動升級。 完成信任啟動升級之後，應該重新啟用 SSE-CMK 加密。
• 支援在現有的 Azure 第 1 代 VM 上啟用信任啟動，目前處於私人預覽狀態。 您可以使用註冊連結 https://aka.ms/Gen1ToTLUpgrade取得預覽的存取權。
• 目前不支援在現有的 Azure 虛擬機擴展集 （VMSS） Uniform & Flex 上啟用信任啟動。

必要條件

• Azure 第 2 代 VM 已設定為：
  • 受信任的啟動支援大小系列
  • 受信任的啟動支援的OS映像。 針對自定義 OS 映射或磁碟，基底映像應為 可信任啟動。
• Azure 第 2 代 VM 未使用 信任啟動目前不支援的功能。
• 啟用信任啟動安全性類型之前，應該 先停止並解除分配 Azure 第 2 代 VM。
• 如果已針對 VM 啟用，請設定為 Azure 備份增強型備份原則。 針對使用 標準原則 備份保護設定的層代 2 VM，無法啟用受信任的啟動安全性類型。
  • 現有的 Azure VM 備份可以使用私人預覽移轉功能，從 標準 移轉至 增強 原則。 使用連結 https://aka.ms/formBackupPolicyMigration提交上線要求以預覽。

最佳作法

• 在測試第 2 代 VM 上啟用信任啟動，並確保在與生產工作負載相關聯的第 2 代 VM 上啟用信任啟動之前，是否需要進行任何變更才能符合必要條件。
• 啟用信任啟動安全性類型之前，請先為與生產工作負載相關聯的 Azure 第 2 代 VM 建立還原點 。 您可以使用還原點來重新建立具有先前已知狀態的磁碟和第 2 代 VM。

在現有的 VM 上啟用信任啟動

注意

• 啟用信任啟動之後，目前虛擬機無法回復至安全性類型 標準 （非信任啟動組態）。
• 默認會啟用 vTPM 。
• 如果您未使用自定義未簽署的核心或驅動程式，建議您啟用安全開機 （預設不會啟用）。 安全開機會保留開機完整性，並啟用 VM 的基礎安全性。

入口網站

本節將逐步說明如何使用 Azure 入口網站，在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。

1. 登入 Azure 入口網站
2. 驗證虛擬機產生是 V2 和 停止 VM。

3. 在 [VM 屬性] 的 [概觀] 頁面上，選取 [安全性類型] 底下的 [標準]。 這會流覽至 VM 的 [設定 ] 頁面。

4. 選取 [組態] 頁面 [安全性類型] 區段底下的 [安全性類型] 下拉式清單。

5. 在 下拉式清單中選取 [信任啟動 ]，然後選取複選框以啟用 安全開機 和 vTPM。 進行必要的變更之後，按兩下 [ 儲存 ]。

注意

• 第 2 代 VM 使用 Azure 計算資源庫 （ACG）、受控映射、OS 磁碟無法使用入口網站升級為受信任的啟動。 請確定 受信任啟動 支援操作系統版本，並使用PowerShell、CLI或ARM範本來執行升級。

6. 在更新成功完成後關閉 [組態] 頁面，並在 [概觀] 頁面上的 [VM 屬性] 下驗證 [安全性類型]。

7. 啟動升級的信任啟動 VM，並確定它已成功啟動，並確認您能夠使用 RDP（適用於 Windows VM）或 SSH（適用於 Linux VM）登入 VM。

CLI

本節將逐步說明如何使用 Azure CLI 在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。

請確定您已安裝最新的 Azure CLI，並使用 az login 登入 Azure 帳戶。

1. 登入 Azure 訂用帳戶

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. 解除分配 VM

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. 將設定 --security-type 為 來 TrustedLaunch啟用 [信任啟動]。

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. 驗證 上一個命令的輸出。 securityProfile 組態會使用命令輸出傳回。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. 啟動 VM。

az vm start \
    --resource-group myResourceGroup --name myVm

6. 啟動升級的信任啟動 VM，並確定它已成功啟動，並確認您能夠使用 RDP（適用於 Windows VM）或 SSH（適用於 Linux VM）登入 VM。

PowerShell

本節將逐步說明如何使用 Azure PowerShell 在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。

請確定您已安裝最新的 Azure PowerShell，並且已使用 連線-AzAccount 登入 Azure 帳戶。

1. 登入 Azure 訂用帳戶

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. 解除分配 VM

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. 將設定 --security-type 為 來 TrustedLaunch啟用 [信任啟動]。

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. 在更新的 VM 組態中驗證securityProfile 。

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. 啟動 VM。

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. 啟動升級的信任啟動 VM，並確定它已成功啟動，並確認您能夠使用 RDP（適用於 Windows VM）或 SSH（適用於 Linux VM）登入 VM。

範本

本節逐步說明如何使用 ARM 範本在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。

Azure Resource Manager 範本是 JavaScript 物件表示法 （JSON） 檔案，可定義專案的基礎結構和組態。 範本使用宣告式語法。 您不需要撰寫程式設計命令順序來建立部署，即可描述預定的部署。

1. 檢閱範本。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. 使用 虛擬機編輯參數 json 檔案，以使用 TrustedLaunch 安全性類型更新。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

參數檔案定義

屬性	屬性的描述	範例範本值
vmName	Azure 第 2 代 VM 的名稱	“myVm”
location	Azure 第 2 代 VM 的位置	“westus3”
secureBootEnabled	使用受信任的啟動安全性類型啟用安全開機	true

3. 解除分配 所有要更新的 Azure 第 2 代 VM。

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. 執行ARM範本部署。

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. 確認部署成功。 使用 Azure 入口網站 檢查 VM 的安全性類型和 UEFI 設定。 檢查 [概觀] 頁面中的 [安全性類型] 區段。

6. 啟動升級的信任啟動 VM，並確定它已成功啟動，並確認您能夠使用 RDP（適用於 Windows VM）或 SSH（適用於 Linux VM）登入 VM。

下一步

（建議）升級後會啟用開機完整性監視，以使用 適用於雲端的 Microsoft Defender 監視 VM 的健康情況。

深入瞭解 受信任的啟動 並檢閱 常見問題