Aktifkan Peluncuran tepercaya pada VM Azure Gen2 yang sudah ada

Artikel
02/25/2025

Berlaku untuk: ✔️ VM Linux VM ✔️ Windows VM ✔️ Generasi 2 VM

Azure Virtual Machines mendukung pengaktifan peluncuran Tepercaya Azure pada komputer virtual (VM) Azure Generasi 2 yang ada dengan meningkatkan ke jenis keamanan peluncuran Tepercaya.

Peluncuran tepercaya adalah cara untuk mengaktifkan keamanan komputasi dasar pada VM Azure Generasi 2 dan melindungi dari teknik serangan canggih dan persisten seperti kit boot dan rootkit. Hal ini dilakukan dengan menggabungkan teknologi infrastruktur seperti Boot Aman, Modul Platform Tepercaya virtual (vTPM), dan pemantauan integritas boot pada VM Anda.

Penting

Dukungan untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 1 yang ada saat ini sedang dalam pratinjau. Lihat Meningkatkan VM Azure Gen1 yang ada dan mengaktifkan Peluncuran tepercaya.

Prasyarat

Azure VM dikonfigurasi dengan:

Keluarga ukuran yang didukung peluncuran tepercaya.
Versi sistem operasi (OS) yang didukung peluncuran tepercaya. Untuk gambar atau disk OS kustom, gambar dasar harus mampu diluncurkan Tepercaya.
Azure VM tidak menggunakan fitur yang saat ini tidak didukung dengan Peluncuran tepercaya.
Azure Backup, jika diaktifkan, untuk VM harus dikonfigurasi dengan kebijakan Pencadangan yang Ditingkatkan. Jenis keamanan peluncuran tepercaya tidak dapat diaktifkan untuk VM yang dikonfigurasi dengan perlindungan pencadangan kebijakan Standar.
- Cadangan Azure VM yang ada dapat dimigrasikan dari Standar ke kebijakan Yang Ditingkatkan. Ikuti langkah-langkah dalam Memigrasikan cadangan Azure VM dari Kebijakan Standar ke Ditingkatkan (pratinjau).

Praktik terbaik

Aktifkan Peluncuran tepercaya pada VM Generasi 2 pengujian dan tentukan apakah ada perubahan yang diperlukan untuk memenuhi prasyarat sebelum Anda mengaktifkan Peluncuran tepercaya pada VM Generasi 2 yang terkait dengan beban kerja produksi.
Buat titik pemulihan untuk VM Azure Generasi 2 yang terkait dengan beban kerja produksi sebelum Anda mengaktifkan jenis keamanan peluncuran tepercaya. Anda dapat menggunakan titik pemulihan untuk membuat ulang disk dan VM Generasi 2 dengan status terkenal sebelumnya.

Aktifkan Peluncuran tepercaya pada VM yang ada

Catatan

Setelah Anda mengaktifkan Peluncuran tepercaya, saat ini VM tidak dapat digulung balik ke jenis keamanan Standar (konfigurasi peluncuran non-Tepercaya).
vTPM diaktifkan secara default.
Kami menyarankan agar Anda mengaktifkan Boot Aman, jika Anda tidak menggunakan kernel atau driver kustom yang tidak ditandatangani. Perlindungan pembersihan tidak diaktifkan secara default. Boot Aman mempertahankan integritas boot dan memungkinkan keamanan dasar untuk VM.

Aktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang sudah ada dengan menggunakan portal Azure.

Masuk ke portal Azure.
Konfirmasikan bahwa generasi VM adalah V2 dan pilih Hentikan untuk VM.
Pada halaman Gambaran Umum di properti VM, di bawah Jenis keamanan, pilih Standar. Halaman Konfigurasi untuk VM terbuka.
Pada halaman Konfigurasi , di bawah bagian Jenis keamanan, pilih daftar dropdown Jenis keamanan.
Di bawah daftar dropdown, pilih Peluncuran tepercaya. Pilih kotak centang untuk mengaktifkan Boot Aman dan vTPM. Setelah Anda membuat perubahan, pilih Simpan.
Catatan
- VM Generasi 2 yang dibuat dengan menggunakan Azure Compute Gallery (ACG), Gambar terkelola, atau disk OS tidak dapat ditingkatkan ke Peluncuran tepercaya dengan menggunakan portal. Pastikan bahwa versi OS didukung untuk Peluncuran tepercaya. Gunakan PowerShell, Azure CLI, atau templat Azure Resource Manager (templat ARM) untuk menjalankan peningkatan.
Setelah pembaruan berhasil diselesaikan, tutup halaman Konfigurasi . Pada halaman Gambaran Umum di properti VM, konfirmasikan pengaturan Jenis keamanan.
Mulai VM peluncuran Tepercaya yang ditingkatkan. Verifikasi bahwa Anda dapat masuk ke VM dengan menggunakan Protokol Desktop Jarak Jauh (RDP) untuk VM Windows atau Secure Shell Protocol (SSH) untuk VM Linux.

Ikuti langkah-langkah untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang sudah ada dengan menggunakan Azure CLI.

Pastikan Anda menginstal Azure CLI terbaru dan masuk ke akun Azure dengan az login.

Masuk ke langganan VM Azure.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Membatalkan alokasi VM.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Aktifkan Peluncuran tepercaya dengan mengatur --security-type ke TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Validasi output perintah sebelumnya. Pastikan konfigurasi securityProfile dikembalikan dengan output perintah.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Mulai VM.

az vm start \
    --resource-group myResourceGroup --name myVm

Mulai VM peluncuran Tepercaya yang ditingkatkan. Verifikasi bahwa Anda dapat masuk ke VM dengan menggunakan RDP (untuk VM Windows) atau SSH (untuk VM Linux).

Ikuti langkah-langkah untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang sudah ada dengan menggunakan Azure PowerShell.

Pastikan Anda menginstal Azure PowerShell terbaru dan masuk ke akun Azure dengan Connect-AzAccount.

Masuk ke langganan VM Azure.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Membatalkan alokasi VM.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Aktifkan Peluncuran tepercaya dengan mengatur -SecurityType ke TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Validasi securityProfile dalam konfigurasi VM yang diperbarui.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Mulai VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Mulai VM peluncuran Tepercaya yang ditingkatkan. Verifikasi bahwa Anda dapat masuk ke VM dengan menggunakan RDP (untuk VM Windows) atau SSH (untuk VM Linux).

Ikuti langkah-langkah untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang sudah ada dengan menggunakan templat ARM.

Templat Azure Resource Manager adalah file JavaScript Object Notation (JSON) yang menentukan infrastruktur dan konfigurasi untuk proyek Anda. Template tersebut menggunakan sintaksis deklaratif. Anda menjelaskan penyebaran yang Dimaksudkan tanpa menulis urutan perintah pemrograman untuk membuat penyebaran.

Meninjau templat.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

parameters Edit file JSON dengan VM yang akan diperbarui dengan TrustedLaunch jenis keamanan.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definisi file parameter

Properti	Deskripsi properti	Contoh nilai templat
vmName	Nama VM Azure Generasi 2.	`myVm`
lokasi	Lokasi VM Azure Generasi 2.	`westus3`
secureBootEnabled	Aktifkan Boot Aman dengan jenis keamanan peluncuran Tepercaya.	`true`

Batalkan alokasi semua VM Azure Generasi 2 yang akan diperbarui.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Jalankan penyebaran templat ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Cuplikan layar yang memperlihatkan properti Peluncuran tepercaya VM.

Mulai VM peluncuran Tepercaya yang ditingkatkan. Verifikasi bahwa Anda dapat masuk ke VM dengan menggunakan RDP (untuk VM Windows) atau SSH (untuk VM Linux).

Rekomendasi Azure Advisor

Azure Advisor mengisi rekomendasi keunggulan operasional Enable Trusted launch foundational, dan keamanan modern untuk rekomendasi keunggulan operasional VM Generasi 2 yang ada untuk VM Generasi 2 yang ada untuk mengadopsi peluncuran Tepercaya, postur keamanan yang lebih tinggi untuk Azure VM tanpa biaya tambahan untuk Anda. Pastikan VM Generasi 2 memiliki semua prasyarat untuk bermigrasi ke peluncuran Tepercaya, ikuti semua praktik terbaik termasuk validasi gambar OS, Ukuran VM, dan membuat titik pemulihan. Agar rekomendasi Advisor dianggap selesai, ikuti langkah-langkah yang diuraikan dalam Mengaktifkan peluncuran Tepercaya pada VM yang ada untuk meningkatkan jenis keamanan komputer virtual dan mengaktifkan Peluncuran tepercaya.

Bagaimana jika ada VM Generasi 2, yang tidak sesuai dengan prasyarat untuk peluncuran Tepercaya?

Untuk VM Generasi 2 yang tidak memenuhi prasyarat untuk ditingkatkan ke peluncuran Tepercaya, lihat cara memenuhi prasyarat. Misalnya, Jika menggunakan ukuran komputer virtual yang tidak didukung, cari ukuran yang didukung peluncuran Tepercaya yang setara yang mendukung peluncuran Tepercaya.

Catatan

Harap tutup rekomendasi jika komputer virtual Gen2 dikonfigurasi dengan keluarga ukuran VM yang saat ini tidak didukung dengan peluncuran Tepercaya seperti seri MSv2.

Lihat Menyebarkan komputer virtual peluncuran Tepercaya untuk mengaktifkan Peluncuran tepercaya pada komputer virtual baru & penyebaran set skala.
Lihat pemantauan integritas boot untuk mengaktifkan pemantauan integritas boot dan memantau kesehatan VM dengan menggunakan Microsoft Defender untuk Cloud.
Pelajari selengkapnya tentang Peluncuran tepercaya dan tinjau tanya jawab umum.

Bagikan melalui

Aktifkan Peluncuran tepercaya pada VM Azure Gen2 yang sudah ada

Prasyarat

Praktik terbaik

Aktifkan Peluncuran tepercaya pada VM yang ada

Rekomendasi Azure Advisor

Saran dan Komentar

Sumber Daya Tambahan:

Bagikan melalui

Aktifkan Peluncuran tepercaya pada VM Azure Gen2 yang sudah ada

Prasyarat

Praktik terbaik

Aktifkan Peluncuran tepercaya pada VM yang ada

Rekomendasi Azure Advisor

Konten terkait

Saran dan Komentar

Sumber Daya Tambahan: