Включение доверенного запуска на существующих виртуальных машинах Azure 2-го поколения

Область применения: ✔️ виртуальная машина Linux ✔️ виртуальная машина Windows ✔️ виртуальная машина поколения 2

Azure Виртуальные машины поддерживает включение доверенного запуска Azure на существующих виртуальных машинах поколения 2 Azure путем обновления до типа безопасности доверенного запуска.

Доверенный запуск — это способ обеспечить базовую безопасность вычислений на Azure поколения 2 виртуальных машинах и защищает от сложных и постоянных атак, таких как буткиты и руткиты. Это делается путем объединения технологий инфраструктуры, таких как безопасная загрузка, виртуальный доверенный платформенный модуль (vTPM) и мониторинг целостности загрузки на виртуальной машине.

Important

Доступна поддержка включения доверенного запуска на существующих виртуальных машинах поколения 1 Azure. Перейдите к обновлению существующих виртуальных машин Azure 1-го поколения до Gen2-Trusted запуска.

Prerequisites

Виртуальная машина Azure настроена следующим образом:

Доверенный запуск поддерживает семейство размеров.
Поддерживаемая версия доверенного запуска операционной системы (ОС). Для пользовательских образов ОС или дисков базовый образ должен быть доверенным, поддерживающий запуск.
Виртуальная машина Azure в настоящее время не поддерживает функции доверенного запуска.
При включении Azure Backup для виртуальных машин следует настроить с помощью политики расширенного резервного копирования. Тип безопасности "доверенный запуск" не может быть включен для виртуальных машин, настроенных с защитой резервного копирования политики Standard.
- Существующую резервную копию виртуальной машины Azure можно перенести из категории "Стандартный " в расширенную политику. Выполните действия, описанные в статье "Миграция резервных копий виртуальных машин Azure" из категории "Стандартный" в расширенную политику (предварительная версия).

Лучшие практики

Включите доверенный запуск на тестовой виртуальной машине поколения 2 и определите, необходимы ли какие-либо изменения для удовлетворения предварительных требований, прежде чем включить доверенный запуск на виртуальных машинах поколения 2, связанных с рабочими нагрузками рабочей среды.
Создайте точки восстановления для виртуальных машин поколения 2 Azure, связанных с рабочими нагрузками, перед включением типа безопасности доверенного запуска. Точки восстановления можно использовать для повторного создания дисков и виртуальной машины поколения 2 с предыдущим хорошо известным состоянием.
Для виртуальных машин Linux проверьте совместимость безопасной загрузки с помощью SBInfo средства. Ознакомьтесь с доверенной загрузкой и проверкой защищенного старта Linux для команд установки на основе SBInfo дистрибутива.

Включение доверенного запуска на существующей виртуальной машине

Note

VTPM включен по умолчанию.
Безопасная загрузка по умолчанию не включена. Настоятельно рекомендуется включить безопасную загрузку, если вы не используете пользовательское неподписанное ядро или драйверы. Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальных машин.

Включите доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью портал Azure.

Войдите на портал Azure.
Убедитесь, что поколение виртуальной машины — версия 2 и выберите "Остановить " для виртуальной машины.
На странице "Обзор " в свойствах виртуальной машины в разделе "Тип безопасности" выберите "Стандартный". Откроется страница конфигурации виртуальной машины.
На странице "Конфигурация" в разделе "Тип безопасности " выберите раскрывающийся список типов безопасности .
В раскрывающемся списке выберите доверенный запуск. Установите флажки, чтобы включить безопасную загрузку и vTPM. После внесения изменений нажмите кнопку "Сохранить".
Note
- Виртуальные машины поколения 2, созданные с помощью коллекции вычислений Azure (ACG), управляемого образа или диска ОС, нельзя обновить до доверенного запуска с помощью портала. Убедитесь, что версия ОС поддерживается для доверенного запуска. Используйте PowerShell, Azure CLI или шаблон Azure Resource Manager (шаблон ARM) для запуска обновления.
После успешного завершения обновления закройте страницу конфигурации . На странице "Обзор " в свойствах виртуальной машины подтвердите параметры типа безопасности .
Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью протокола удаленного рабочего стола (RDP) для виртуальных машин Windows или протокола Secure Shell (SSH) для виртуальных машин Linux.

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью Azure CLI.

Убедитесь, что вы установили последнюю версию Azure CLI и выполнили вход в учетную запись Azure, используя az login.

Войдите в подписку Azure виртуальной машины.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Освободите виртуальную машину.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Включите доверенный запуск, установив для --security-typeпараметра TrustedLaunch значение .

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Проверьте выходные данные предыдущей команды. Убедитесь, что securityProfile конфигурация возвращается с выходными данными команды.
```
{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}
```

Запустите виртуальную машину.

az vm start \
    --resource-group myResourceGroup --name myVm

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью Azure PowerShell.

Убедитесь, что вы установили последнюю версию Azure PowerShell и войдите в учетную запись Azure, используя Connect-AzAccount.

Войдите в подписку Azure виртуальной машины.
```
Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
```

Освободите виртуальную машину.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Включите доверенный запуск, установив для -SecurityTypeпараметра TrustedLaunch значение .

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Проверьте securityProfile в обновленной конфигурации виртуальной машины.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Запустите виртуальную машину.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью шаблона ARM.

Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.

Изучите шаблон.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Измените parameters JSON-файл с виртуальными машинами, которые будут обновлены с TrustedLaunch помощью типа безопасности.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Определение файла параметров

Property	Описание свойства	Пример значения в шаблоне
vmName	Имя виртуальной машины поколения 2 Azure.	`myVm`
location	Расположение виртуальной машины поколения 2 Azure.	`westus3`
secureBootEnabled	Включите безопасную загрузку с помощью типа безопасности доверенного запуска.	`true`

Отмена размещения всех виртуальных машин поколения 2 Azure, которые будут обновлены.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Запустите развертывание шаблона ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Снимок экрана: свойства доверенного запуска виртуальной машины.

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Откат

Note

Зарегистрируйте функцию UseStandardSecurityType в пространстве имен Microsoft.Compute на подписке виртуальной машины для поддержки отката. Дополнительные сведения см. в статье "Настройка предварительных версий функций в подписке Azure"

Чтобы откатить изменения с "Доверенного запуска" к прежней надежной конфигурации поколения Gen2, необходимо установить параметр securityType виртуальной машины на Standard.

Откат конфигурации с Trusted Launch до Gen2 (без доверенного запуска) в настоящее время не поддерживается на портале Azure.

Чтобы выполнить откат изменений с доверенного запуска до предыдущей известной хорошей конфигурации, задайте securityProfile значение "Стандартный ", как показано в примере шаблона, используемого для выполнения обновления доверенного запуска.

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

Выполните действия, чтобы отключить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью Azure CLI.

Убедитесь, что вы установили последнюю версию Azure CLI и выполнили вход в учетную запись Azure, используя az login.

Войдите в подписку Azure виртуальной машины.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Освободите виртуальную машину.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Отключите доверенный запуск, установив --security-type в Standard.
```
az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type Standard
```
Проверьте выходные данные предыдущей команды. Убедитесь, что securityProfile конфигурация возвращается с выходными данными команды.
```
{
  "securityProfile": {
    "securityType": null,
    "uefiSettings": null
  }
}
```

Запустите виртуальную машину.

az vm start \
    --resource-group myResourceGroup --name myVm

Чтобы выполнить откат изменений от доверенного запуска до предыдущей известной хорошей конфигурации, задайте -SecurityType значение Standard как показано ниже.

Войдите в подписку Azure виртуальной машины.
```
Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
```

Освободите виртуальную машину.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Отключите доверительный запуск, установив параметр -SecurityType в Standard.
```
Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType Standard
```

Проверьте securityProfile в обновленной конфигурации виртуальной машины.

# Following command output should be `null`

(Get-AzVM -ResourceGroupName myVm -VMName myResourceGroup `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

Запустите виртуальную машину.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-10-10

Поделиться через

Включение доверенного запуска на существующих виртуальных машинах Azure 2-го поколения

Prerequisites

Лучшие практики

Включение доверенного запуска на существующей виртуальной машине

Откат

Рекомендация Помощника по Azure

Связанный контент

Обратная связь

Дополнительные ресурсы